- •Управління інформаційною безпекою
- •Загальний аналіз міжнародних стандартів та вимог управління інформаційною безпекою. Міжнародні критерії оцінки безпеки інформаційних ресурсів.
- •Концепція захищеної автоматизованої системи. Принципи створення захищеної інформаційно-телекомунікаційної системи.
- •Модель протидії загрозам безпеки. Стратегія, напрямки та методи забезпечення безпеки інформації.
- •Основні поняття та задачі менеджменту інформаційної безпеки.
- •Характеристика сучасної національної та міжнародної нормативної бази у сфері інформаційної безпеки. Алгоритм впровадження системи менеджменту інформаційної безпеки.
- •Практичні правила управління інформаційною безпекою, цілі та задачі управління інформаційною безпекою на базі міжнародного стандарту іso/іec 27002.
- •Основні заходи забезпечення безпеки інформаційних мереж.
- •Організація управління доступом.
- •Технології аудиту інформаційної безпеки. Практичні кроки аудиту інформаційної безпеки. Задачі, що вирішуються при проведенні аудиту.
- •Принципи аналізу і управління інформаційними ризиками. Оцінка інформаційних ризиків з використання методів системного аналізу.
-
Характеристика сучасної національної та міжнародної нормативної бази у сфері інформаційної безпеки. Алгоритм впровадження системи менеджменту інформаційної безпеки.
В сучасних умовах розвитку інформаційного суспільства активно розвивається інформаційна сфера, яка поєднує в собі інформацію, інформаційну інфраструктуру, зокрема інформаційні мережі, інформаційні відносини між суб'єктами цієї сфери, що складаються у процесі збирання, формування, розповсюдження і використання інформації. Інформаційні відносини займають чільне місце у формуванні інформаційної політики держави, в житті сучасного суспільства, а також в діловому та в особистому житті кожної людини. Це, в свою чергу, обумовлює необхідність розвитку й удосконалення правових засобів регулювання суспільних відносин у сфері інформаційної діяльності. Зрозуміло, що в демократичній правовій державі такі відносини мають базуватися на сучасній нормативно-правовій базі, що регулює діяльність в інформаційній сфері. Законодавчі норми у цій сфері істотно впливають на нормативно-правове регулювання відносин між суспільством, його членами та державою, між фізичними та юридичними особами тощо. Тобто на сучасному етапі інформаційні відносини виступають, з одного боку, зовнішнім проявом будь-яких відносин у житті країни, суспільства та громадян, з іншого - тими підвалинами, на яких формується законодавство в інших сферах їх існування. З огляду на викладене законність функціонування є однією з головних вимог до системи забезпечення інформаційної безпеки. Ця законність повинна базуватися на сукупності законів і підзаконних нормативних актів, які спрямовані на створення необхідних умов для захисту національних інтересів в інформаційній та інших сферах життя країни.
Перший етап. Управлінський
1. Усвідомити цілі і вигоди впровадження СМИБ
2. Отримати підтримку керівництва на впровадження і введення в експлуатацію системи менеджменту інформаційної безпеки (СМИБ)
3. Розподілити відповідальність по СМИБ
Другий етап. Організаційний
1. Створити групу по впровадженню і підтримці СМИБ
2. Навчити групу по впровадженню і підтримці СМИБ
3. Визначити область дії СМИБ
Третій етап. Первинний аналіз СМИБ
1. Провести аналіз існуючої СМИБ
2. Визначити перелік робіт по доробці існуючої СМИБ
Четвертий етап. Визначення політики і цілей СМИБ
1. Визначити політику СМИБ
2. Визначити меті СМИБ по кожному процесу СМИБ
П'ятий етап. Порівняння поточної ситуації зі стандартом
1. Провести навчання відповідальних за СМИБ вимогам стандарту
2. Проробити вимоги стандарту
3. Порівняти вимоги стандарту з існуючим положенням справ
Шостий етап. Планування впровадження СМИБ
1. Визначити перелік заходів для досягнення вимог стандарту
2. Розробити керівництво по інформаційній безпеці
Сьомий етап. Впровадження системи управління ризиками
1. Розробити процедуру по ідентифікації ризиків
2. Ідентифікувати і ранжировать активи
Восьмий етап. Розробка документації СМИБ
1. Визначити перелік документів (процедур, записів, інструкцій) для розробки
2. Розробка процедур і інших документів:
-
з управлінські процедури (стандарт на розробку документів, управління документацією, записами; коректуючі і застережливі заходи; внутрішній аудит; управління персоналом і інш.)
-
з технічні процедури (придбання, розвиток і підтримка інформаційних систем; управління доступом; реєстрація і аналіз інцидентів; резервне копіювання; управління знімними носіями і інш.)
-
із запису управлінські (звіти про внутрішні аудити; аналіз СМИБ з боку вищого керівництва; звіт про аналіз ризиків; звіт про роботу комітету по інформаційній безпеці; звіт про стан коректуючих і застережливих дій; договору; особисті справи співробітників і інш.)
-
із записи технічні (реєстр активів; план підприємства; план фізичного розміщення активів; план комп'ютерної мережі; журнал реєстрації резервного копіювання; журнал реєстрації факту технічного контролю після змін в операційній системі; балки інформаційних систем; балки системного адміністратора; журнал реєстрації інцидентів; журнал реєстрації тестів по безперервності бізнесу і інш.)
-
з інструкції, положення (правила роботи з ПК, правила роботи з інформаційною системою, правила поводження з паролями, інструкція по відновленню даних з резервних копій, політика видаленого доступу, правила роботи з переносним обладнанням і інш.)
3. Розробка і введення в дію документів СМИБ
Дев'ятий етап. Навчання персоналу
1. Навчання керівників підрозділів вимогам ИБ
2. Навчання всього персоналу вимогам ИБ
Десятий етап. Розробка і вживання заходів по забезпеченню роботи СМИБ
1. Впровадження коштів захисту
-
з адміністративних
-
з учбових
-
з технічних
Одинадцятий етап. Внутрішній аудит СМИБ
1. Підбір команди внутрішнього аудиту СМИБ
2. Планування внутрішнього аудиту СМИБ
3. Проведення внутрішнього аудиту СМИБ
Дванадцятий етап. Аналіз СМИБ з боку вищого керівництва
1. Проведення аналізу СМИБ з боку вищого керівництва
Тринадцятий етап. Офіційний запуск СМИБ
1. Наказ про введення в дію СМИБ
Чотирнадцятий етап.
1. Сповіщення зацікавлених сторін/Інформуючого клієнтів, партнерів, ЗМІ про запуск СМИБ