prakrab3

Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.

Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.

В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.

Требования к информационной безопасности определяются с помощью систематической оценки рисков. Решения о расходах на мероприятия по управлению информационной безопасностью должны приниматься, исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности. Методы оценки риска могут применяться как для всей организации, так и для какой-либо ее части, отдельных информационных систем, определенных компонентов систем или услуг, а именно там, где это практически выполнимо и целесообразно.

Рекомендации по защите информации

В ГОСТе Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» прописано множество рекомендаций по защите информации. Далее я перечислю базовые пункты соблюдение которых обеспечит сохранение безопасности информации:

1. Организационные вопросы безопасности    1 Организационная инфраструктура информационной безопасности    2 Обеспечение безопасности при наличии доступа к информационным системам сторонних организаций    3 Привлечение сторонних организаций к обработке информации (аутсорсинг)

2. Классификация и управление активами    1 Учет активов    2 Классификация информации

3. Вопросы безопасности, связанные с персоналом    1 Учет вопросов безопасности в должностных обязанностях и при найме персонала    2 Обучение пользователей    3 Реагирование на инциденты нарушения информационной безопасности и сбои

4. Физическая защита и защита от воздействия окружающей среды    1 Охраняемые зоны    2 Безопасность оборудования    3 Общие мероприятия по управлению информационной безопасностью

5. Управление передачей данных и операционной деятельностью    1 Операционные процедуры и обязанности    2 Планирование нагрузки и приемка систем    3 Защита от вредоносного программного обеспечения    4 Вспомогательные операции    5 Управление сетевыми ресурсами    6 Безопасность носителей информации    7 Обмен информацией и программным обеспечением

6. Контроль доступа    1 Требование бизнеса по обеспечению контроля в отношении логического доступа    2 Контроль в отношении доступа пользователей    3 Обязанности пользователей    4 Контроль сетевого доступа    5 Контроль доступа к операционной системе    6 Контроль доступа к приложениям    7 Мониторинг доступа и использования системы    8 Работа с переносными устройствами и работа в дистанционном режиме

7. Разработка и обслуживание систем    1 Требования к безопасности систем    2 Безопасность в прикладных системах    3 Меры защиты информации, связанные с использованием криптографии    4 Безопасность системных файлов    5 Безопасность в процессах разработки и поддержки

8. Управление непрерывностью бизнеса

9. Соответствие требованиям    1 Соответствие требованиям законодательства    2 Пересмотр политики безопасности и техническое соответствие требованиям безопасности    3 Меры безопасности при проведении аудита

Вывод

В ходе практической работы №3 «Обзор стандартов. Работа с содержанием стандартов» было разобрано как работать в справочно-правовой системе с нормативными и правовыми документами по защите информации.