- •Календарний план
- •Реферат
- •Перелік умовних скорочень
- •Розділ 1. Огляд та аналіз нормативно-правового простору
- •1.1. Огляд законів України із забезпечення захисту інформації
- •1.2. Аналіз нормативно-методичних документів України з захисту інформації
- •Огляд та аналіз міжнародних стандартів по створенню політики інформаційної безпеки
- •Розділ 2. Нормативні посилання
- •Розділ 3. Бізнес-модель об’єкту комерційного підприємства
- •3.1. Охоронна сигналізація
- •3.2. Відеоспостереження та контроль доступу
- •3.3. Система пожежної сигналізації
- •3.4. Основні вимоги техніки безпеки
- •Розділ 4. Розробка корпоративного документа «політика інформаційної безпеки»
- •4.1. Введення
- •4.2. Політики інформаційної безпеки Компанії
- •4.3. Організація системи управління інформаційною безпекою
- •4.4. Політики інформаційної безпеки
- •4.5. Політика облікових записів
- •4.6. Політика захисту арм
- •4.7. Порядок супроводу іс Компанії
- •Висновки
- •Перелік використаних джерел
4.3. Організація системи управління інформаційною безпекою
Організація системи управління ІБ
Система управління інформаційної безпеки Компанії (СУІБ) - призначена для створення, реалізації, експлуатації, моніторингу, аналізу, підтримки та підвищення інформаційної безпеки Компанії.
Для успішного функціонування СУІБ Компанії повинні бути реалізовані наступні процеси:
визначення та уточнення області дії СУІБ і вибір підходу до оцінки ризиків ІБ.
визначення та уточнення області дії СУІБ повинно здійснюватися на основі результатів оцінки ризиків, пов'язаних з основною діяльністю Компанії, а також оцінки правових ризиків діяльності Компанії;
аналіз та оцінка ризиків ІБ, варіанти обробки ризиків ІБ для найбільш критичних інформаційних активів.
вибір і уточнення цілей ІБ і захисних заходів та їх обгрунтування для мінімізації ризиків ІБ.
прийняття керівництвом залишкових ризиків і рішення про реалізацію та експлуатації / вдосконаленні СУІБ. Залишкові ризики ІБ повинні бути співвіднесені з ризиками діяльності Компанії, і оцінено їх вплив на досягнення цілей діяльності.
Реалізація системи управління ІБ
У системі управління ІБ повинні бути реалізовані наступні процеси:
розробка плану обробки ризиків ІБ;
реалізація плану обробки ризиків ІБ і реалізація захисних заходів, керування роботами і ресурсами, пов'язаними з реалізацією СУІБ;
реалізація програм з навчання та по інформованості ІБ;
виявлення та реагування на інциденти безпеки;
забезпечення безперервності діяльності і відновлення після переривань.
На етапі планування определя е ться політика і методологія управління ризиками, а також виконується оцінка ризиків, що включає в себе інвентаризацію активів, складання профілів загроз і вразливостей, оцінку ефективності контрзаходів і потенційного збитку, визначення допустимого рівня залишкових ризиків.
На етапі реалізації проводиться обробка ризиків та впровадження механізмів контролю, призначених для їх мінімізації. Адміністрацією приймається одне з чотирьох рішень по кожному ідентифікованому ризику: проігнорувати, уникнути, передати зовнішній стороні, або мінімізувати. Після цього розробляється і впроваджується план обробки ризиків.
На етапі п роверкі відстежується функціонування механізмів контролю, контролюються зміни факторів ризику (активів, погроз, вразливостей), проводяться аудити і виконуються різні контролюючі процедури.
На етапі д ЧИННИМ за результатами безперервного моніторингу і проведених перевірок, виконуються необхідні коригувальні дії, які можуть включати в себе, в зокрема, переоцінку величини ризиків, коригування політики та методології управління ризиками, а також плану обробки ризиків.
Метод оцінювання інформаційних ризиків
Оцінка інформаційних ризиків Компанії виконується за наступними основними етапами:
ідентифікація та кількісна оцінка інформаційних ресурсів, значущих для роботи Компанії;
оцінювання можливих загроз;
оцінювання існуючих вразливостей;
оцінювання ефективності засобів забезпечення інформаційної безпеки.
Передбачається, що значущі вразливі інформаційні ресурси Компанії піддаються ризику, якщо по відношенню до ні м існують які-небудь погрози.
При цьому інформаційні ризики залежать від:
показників цінності інформаційних ресурсів;
ймовірності реалізації загроз для ресурсів;
ефективності існуючих або планованих засобів забезпечення інформаційної безпеки.
Мета оцінювання ризиків полягає у визначенні характеристик ризиків інформаційної системи та її ресурсів. В результаті оцінки ризиків стає можливим вибрати засоби, що забезпечують бажаний рівень інформаційної безпеки організації.
При оцінюванні ризиків враховуються: цінність ресурсів, значимість загроз і вразливостей, ефективність існуючих і планованих засобів захисту. Самі показники ресурсів, значущості загроз і вразливостей, ефективність засобів захисту можуть бути визначені як кількісними методами, наприклад, при визначенні вартісних характеристик, так і якісними, наприклад враховують штатні або надзвичайно небезпечні нештатні впливу зовнішнього середовища.
Можливість реалізації загрози оцінюється ймовірністю її реалізації протягом заданого відрізка часу для некоторог про ресурсу Компанії.
При цьому ймовірність того, що загроза реалізується, визначається такими основними показниками:
привабливістю ресурсу, використовується при розгляді загрози від умисного впливу з боку людини;
можливістю використання ресурсу для отримання доходу, також використовується при розгляді загрози від навмисного впливу з боку людини;
технічними можливостями реалізації загрози, використовується при навмисному впливі з боку людини;
ступенем легкості, з якою вразливість може бути використана.