Файловый архив студентов. Файловый архив студентов.
1296 вузов, 5028 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Стандартизация и методология управления информационными рисками. Чопоров О.Н., Гузев Ю.Н.doc
Скачиваний:
145
Добавлен:
01.05.2022
Размер:
8.16 Mб
Скачать
►Содержание►

1.2. Система менеджмента информационной безопасности

Менеджмент информационной безопасности, согласно стандарту ГОСТ Р ИСО/МЭК 27001-2006, состоит из всех мероприятий, направленных на достижение и поддержку соответствующих уровней конфиденциальности, целостности и доступности [14]. К этому должны быть добавлены и рассмотрены неотказуемость, учетность, подлинность и надежность.

Менеджмент информационной безопасности включает:

  • планирование, реализацию и мониторинг обеспечения безопасности;

  • обеспечение того, чтобы меры безопасности учитывали требования;

  • обеспечение того, чтобы кадровая, физическая и информационная безопасность соответствовали целям;

  • обеспечение того, чтобы вопрос инцидентов разрешался в соответствии со структурой менеджмента;

  • обеспечение того, чтобы персонал был образованным, обученным и сознавал свои обязанности и роли в отношении обеспечения безопасности;

  • обеспечение соответствия политикам, стандартам и процедурам;

  • аудит и проверку соответствия механизмов и целей безопасности.

Система менеджмента информационной безопасности (СМИБ) представляет модель для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения защиты информационных активов для достижения деловых целей, основанную на оценке риска и на принятии уровней риска организации, разработанную для эффективного рассмотрения и управления рисками [13]. Анализ требований для защиты информационных активов и применение соответствующих средств управления, чтобы обеспечить необходимую защиту этих информационных активов, способствует успешной реализации СМИБ.

В ГОСТ Р ИСО/МЭК 27001-2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» [14] при структурировании всех процессов СМИБ рекомендуется использовать процессный подход для СМИБ, представленный в виде модели «Планирование (Plan) – Осуществление (Do) – Проверка (Check) – Действие (Act)» (PDCA). Связи между представленными процессами представлены на рис. 1.1.

В рамках процесса «Планирование» (разработка СМИБ) осуществляется разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации.

Процесс «Осуществление» (внедрение и обеспечение функционирования СМИБ) подразумевает внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ.

Процесс «Проверка» (проведение мониторинга и анализа СМИБ) - оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа.

Процесс «Действие» (поддержка и улучшение СМИБ) – проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ.

Рис. 1.1. Связи между процессами модели PDCA

В качестве части СМИБ организации должны быть определены риски, связанные с информационными активами организации. Достижение информационной безопасности требует управления риском и охватывает риски физические, человеческие и технологические, относящиеся к угрозам, касающимся всех форм информации внутри организации или используемой организацией.

Организация должна предпринимать следующие шаги по внедрению, контролю, поддержке и улучшению её СМИБ:

а) определение информационных активов и связанных с ними требований безопасности;

б) оценка рисков информационной безопасности;

в) выбор и реализация соответствующих средств управления для управления недопустимыми рисками;

г) контроль, поддержка и повышение эффективности средств управления безопасностью, связанных с информационными активами организации.

Для гарантии эффективной непрерывной защиты информационных активов организации с помощью СМИБ необходимо постоянно повторять шаги (а) - (г), чтобы выявлять изменения рисков, стратегии организации или деловых целей.

Таким образом, управление (менеджмент) рисками является одной из основных составляющих СМИБ.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности