- •Iso 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации Источник: http://www.Klubok.Net/pageid499.Html
- •Iso 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации Источник: http://www.Klubok.Net/pageid499.Html
- •Iso 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификаци Источник: http://www.Klubok.Net/pageid499.Html
- •19. Как оценивается иб ит согласно стандартам iso/iec 15408 и 18045 и идентичных им гост р исо/мэк?
- •23. Каковы основные цели следования модели pdca при построении процесса управления инцидентами иб в соответствии с требованиями гост р исо/мэк то 18044?
- •26. Каково значение стандартов серии сто бр иббс в рамках развития стандартизации управления иб в России?
- •31. Какие определения ПолИб даются в различных международных стандартах?
- •32. В чем различие политик, стандартов, правил и процедур оиб?
- •37. Перечислите основные требования, предъявляемые в различных источниках к ПолИб?
- •38. Каковы основные принципы, позволяющие разработать эффективную ПолИб?
- •39. Каково содержание документа, описывающего корпоративную ПолИб? Что излагается в каждом из разделов этой политики?
- •51. Какими принципами необходимо руководствоваться при установлении ответственности в отношении соблюдения ПолИб?
- •52. Дайте определения «оиб», «управления иб» и «суиб» организации.
- •53. Опишите деятельность по оиб организации как процесс. Каковы его входные и выходные данные, ресурсы и управляющие воздействия?
- •55. Каковы основные этапы процесса управления иб итт?
51. Какими принципами необходимо руководствоваться при установлении ответственности в отношении соблюдения ПолИб?
Принцип разделения полномочий (обязанностей). Он предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс.
Руководствуясь соображениями эффективности, ответственность за определенные функции в отношении ПолИБ может потребоваться возложить не только на главного ответственного за ПолИБ, но и на других сотрудников организации.
Границы и время средств управления в отношении ПолИБ влияют на установление ответственности за выполнение конкретных требований политики.
Ограничения на полномочия соответствующего органа или лица также могут повлиять на успешное исполнение требований ПолИБ.
Привлечение комиссии по оценке ПолИБ может обеспечить более широкое понимание деятельности, на которую распространяется политика.
Применение ПолИБ также влияет на себя ответственность за осуществление всего жизненного цикла политики и отдельных его шагов.
На какую часть организации распространяется ПолИБ? Или она применима только к одному подразделению, пользователям отдельной технологии или ко всей организации в целом? От ответа на эти вопросы зависит ответственность соответствующих лиц на уровне всей организации или ее отдельных технологий и систем.
52. Дайте определения «оиб», «управления иб» и «суиб» организации.
ОИБ обеспечение информационной безопасности
СУИБ система управления информационной безопасностью
правление информационной безопасностью (управление ИБ): циклический процесс, состоящий из совокупности целенаправленных действий, осуществляемых для достижения заявленных бизнес-целей организации посредством обеспечения защищенности ее информационной сферы, и включающий осознание необходимости обеспечения ИБ (ОИБ), постановку задачи по ОИБ, оценку текущей ситуации и состояния объекта управления, планирование мер по обработке рисков ИБ, реализацию, внедрение и оценку эффективности соответствующих защитных мероприятий и средств управления, распределение ролей и ответственности в области ОИБ, обучение и мотивацию сотрудников, выбор управляющих и корректирующих воздействий и их реализацию.
53. Опишите деятельность по оиб организации как процесс. Каковы его входные и выходные данные, ресурсы и управляющие воздействия?
Входные данные для процесса ОИБ:
· информация о среде ведения бизнеса организации;
· информационные модели основной деятельности организации – описания бизнес-процессов, реализуемых технологий и т.д.;
· потребности организации в ИБ;
· информация, используемая для контроля успешности деятельности по ОИБ.
Выход (результат) деятельности по ОИБ в организации:
· документы по ОИБ (отчеты, предложения, в том числе по обучению персонала, внутренние нормативные документы и т.д.);
· механизмы (средства, защитные меры) ОИБ;
· заказы на приобретение, поставку и регламентацию использования средств ОИБ на объекты и системы в организации, которые далее могут эксплуатироваться другими вспомогательными или основными подразделениями, и порядок их использования;
· сигнал опасности для основной деятельности (бизнеса) организации.