Файловый архив студентов. Файловый архив студентов.
1314 вуза, 5306 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Гродненский государственный университет им. Я. Купалы
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ALL.docx
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
351.06 Кб
Скачать
►Содержание►

51. Система менеджмента информационной безопасности (смиб): требования к внедрению и обеспечению функционированию.

СТБ ISO/IEC 27001-2011.

Организация должна:

a) разработать план обработки рисков, в котором идентифицированы соответствующие действия руководства, ресурсы, ответственность и приоритеты в отношении менеджмента рисков информационной безопасности (см. раздел 5);

b) реализовывать план обработки рисков для достижения идентифицированных целей управления, который включает финансирование и распределение ролей и ответственности;

c) внедрить средства управления, выбранные в соответствии с 4.2.1 [перечисление g)], для достижения целей управления;

(g - выбирать цели и средства управления для обработки рисков.

Цели и средства управления должны выбираться и использоваться так, чтобы обеспечить соответствие требованиям, идентифицированным в процессе оценки и обработки рисков. При этом должны учитываться критерии принятия рисков, а также правовые, другие обязательные и контрактные требования.

Цели и средства управления должны быть частью этого процесса и выбираться из числа приведенных в приложении A как соответствующие для охвата идентифицированных требований.

Перечень целей и средств управления, приведенный в приложении A, не является исчерпывающим, и могут быть выбраны дополнительные цели и средства управления).

d) определять способ измерения результативности выбранных средств управления или групп средств управления и установить, как должны будут выполняться данные измерения для оценки результативности средств управления, с целью получения сопоставимых и воспроизводимых результатов [см. 4.2.3, перечисление c)].

Примечание – Измерение результативности средств управления позволяет руководителям и персоналу определить, насколько средства управления позволяют достигать запланированных целей управления;

e) реализовывать программы по подготовке и повышению осведомленности (см. 5.2.2);

f) осуществлять менеджмент функционирования СМИБ;

g) осуществлять менеджмент ресурсов СМИБ (см. 5.2);

h) внедрить процедуры и другие средства управления, позволяющие обеспечить быстрое обнаружение событий и реагирование на инциденты в области безопасности [см. 4.2.3, перечисление a. См. ниже)

a) выполнять процедуры мониторинга и анализа и применять другие средства управления, для того чтобы:

1) своевременно обнаруживать ошибки в результатах обработки;

2) своевременно идентифицировать неудавшиеся и успешные попытки нарушения и инциденты в области безопасности;

3) предоставить руководству возможность определить, что деятельность по обеспечению безопасности реализуется посредством делегирования полномочий персоналу или внедряется с применением информационных технологий;

4) способствовать обнаружению событий в области безопасности и таким образом предотвращать инциденты в области безопасности посредством использования показателей;

5) определять, являются ли предпринятые действия результативными для устранения нарушений безопасности].

52.Система менеджмента информационной безопасности (СМИБ) — часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

В случае построения в соответствии с требованиями ISO/IEC 27001 основывается на PDCA модели:

  • Plan (планирование) — фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;

  • Do (действие) — этап реализации и внедрения соответствующих мер;

  • Check (проверка) — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами;

  • Act (улучшения) — выполнение превентивных и корректирующих действий;

Проблемы, связанные с информационной безопасностью существуют и на сегодняшний день. Наличие системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO 27001:2005 поможет организации сберечь её активов и обеспечить целостность, надежность и конфиденциальность информации.

Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанная на управлении бизнес-рисками для создания, внедрения, эксплуатации, мониторинга, анализа, поддержания и улучшения информационной безопасности.

Стандарт ISO 27001 предъявляет требования к организации любого типа, вне зависимости от её размеров, от сферы деятельности и географической расположенности.

ИСТОРИЯ СТАНДАРТА

В ответ на возрастающие потребности общества в начале 90х годов XX века была создана рабочая группа по разработке стандартов в области информационной безопасности, первым в 1993 году были выпущены Практические правила менеджмента информационной безопасности. Данная работа получила свое развитие в первой версии британского стандарта BS 7799, который был опубликован в 1995. В 1998 году стандарт BS 7799 был пересмотрен, к тому времени он уже состоял из двух частей, одна из которых включала в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности. В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть 1, а затем как стандарт ISO 17999:2000. После этого стандарт ISO 17999 был вновь пересмотрен и выпущен как ISO 17999:2005, а затем его название было изменено на ISO 27002:2005. Новая версия второй части британского стандарта была выпущена как BS 7799:2002, Часть 2, а в июле 2007 года опубликована международной организацией по стандартизации ISO как стандарт ISO 27001:2005.

СТРУКТУРА СТАНДАРТА

Требования к данной системе предъявляет международный стандарт ISO 27001:2005, в соответствии с которым СМИБ должна базироваться на следующих ключевых компонентах:

Требования, установленные в стандарте ISO 27001, являются общими и предназначены для применения ко всем организациям, независимо от их типа, размера или особенностей. Стандарт ISO 27001 обеспечивает:

  • определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;

  • определение подходов к оценке и управлению рисками в организации;

  • управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;

  • использование процессного подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;

  • определение процессов системы менеджмента информационной безопасности;

  • определение статуса мероприятий по обеспечению информационной безопасности;

  • использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;

  • предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.

В Республике Беларусь с 1 января 2012 года введен государственный стандарт СТБ ISO/IEC 27001-2011 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», который является идентичным указанному выше международному стандарту. Он устанавливает требования к разработке, внедрению, обеспечению функционирования, мониторингу, анализу, поддержке и улучшению системы менеджмента информационной безопасности в контексте общих бизнес-рисков организации, связанных с информационной безопасностью. Стандарт содержит требования к внедрению средств управления безопасностью с учетом потребностей конкретных организаций, целей, которые они перед собой ставят в области информационной безопасности, а также имеющихся ресурсов.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности