prakrab3
.docxВо-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.
Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.
В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.
Требования к информационной безопасности определяются с помощью систематической оценки рисков. Решения о расходах на мероприятия по управлению информационной безопасностью должны приниматься, исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности. Методы оценки риска могут применяться как для всей организации, так и для какой-либо ее части, отдельных информационных систем, определенных компонентов систем или услуг, а именно там, где это практически выполнимо и целесообразно.
Рекомендации по защите информации
В ГОСТе Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» прописано множество рекомендаций по защите информации. Далее я перечислю базовые пункты соблюдение которых обеспечит сохранение безопасности информации:
Организационные вопросы безопасности 1 Организационная инфраструктура информационной безопасности 2 Обеспечение безопасности при наличии доступа к информационным системам сторонних организаций 3 Привлечение сторонних организаций к обработке информации (аутсорсинг)
Классификация и управление активами 1 Учет активов 2 Классификация информации
Вопросы безопасности, связанные с персоналом 1 Учет вопросов безопасности в должностных обязанностях и при найме персонала 2 Обучение пользователей 3 Реагирование на инциденты нарушения информационной безопасности и сбои
Физическая защита и защита от воздействия окружающей среды 1 Охраняемые зоны 2 Безопасность оборудования 3 Общие мероприятия по управлению информационной безопасностью
Управление передачей данных и операционной деятельностью 1 Операционные процедуры и обязанности 2 Планирование нагрузки и приемка систем 3 Защита от вредоносного программного обеспечения 4 Вспомогательные операции 5 Управление сетевыми ресурсами 6 Безопасность носителей информации 7 Обмен информацией и программным обеспечением
Контроль доступа 1 Требование бизнеса по обеспечению контроля в отношении логического доступа 2 Контроль в отношении доступа пользователей 3 Обязанности пользователей 4 Контроль сетевого доступа 5 Контроль доступа к операционной системе 6 Контроль доступа к приложениям 7 Мониторинг доступа и использования системы 8 Работа с переносными устройствами и работа в дистанционном режиме
Разработка и обслуживание систем 1 Требования к безопасности систем 2 Безопасность в прикладных системах 3 Меры защиты информации, связанные с использованием криптографии 4 Безопасность системных файлов 5 Безопасность в процессах разработки и поддержки
Управление непрерывностью бизнеса
Соответствие требованиям 1 Соответствие требованиям законодательства 2 Пересмотр политики безопасности и техническое соответствие требованиям безопасности 3 Меры безопасности при проведении аудита
Вывод
В ходе практической работы №3 «Обзор стандартов. Работа с содержанием стандартов» было разобрано как работать в справочно-правовой системе с нормативными и правовыми документами по защите информации.