Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Лекция 3

Содержание

Слайд 2

СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Система менеджмента информационной безопасности (СМИБ) – часть общей

СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Система менеджмента информационной безопасности (СМИБ) – часть общей
системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.
Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов
и гарантирующих доверие заинтересованных сторон.

Слайд 3

РАЗРАБОТКА СМИБ

Организации необходимо:
определить область и границы действия СМИБ с учетом характеристик бизнеса,

РАЗРАБОТКА СМИБ Организации необходимо: определить область и границы действия СМИБ с учетом
организации, ее размещения, активов и технологий, в том числе детали и обоснование любых исключений из области ее действия;
определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
определить подход к оценке риска в организации;
идентифицировать риски;
проанализировать и оценить риски;
определить и оценить различные варианты обработки рисков;
выбрать цели и меры управления для обработки рисков.

Слайд 4

ПРОЦЕССЫ СМИБ

Модель «Планирование (Plan) – Осуществление (Do) – Проверка (Check) – Действие

ПРОЦЕССЫ СМИБ Модель «Планирование (Plan) – Осуществление (Do) – Проверка (Check) – Действие (Act)» (PDCA)
(Act)» (PDCA)

Слайд 5

ПРОЦЕССЫ СМИБ

Связи между процессами СМИБ модели PDCA

Модель позволяет осуществить оценку рисков, проектирование

ПРОЦЕССЫ СМИБ Связи между процессами СМИБ модели PDCA Модель позволяет осуществить оценку
и реализацию системы информационной безопасности, ее менеджмент и переоценку

Слайд 6

ПОЛИТИКА СМИБ

Политика СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и

ПОЛИТИКА СМИБ Политика СМИБ на основе характеристик бизнеса, организации, ее размещения, активов
технологий должна включать в себя:
концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ;
принятие во внимание требования бизнеса, нормативно-правовые требования, а также договорные обязательства по обеспечению безопасности;
согласование со стратегическим содержанием менеджмента рисков организации, в рамках которого будет разрабатываться и поддерживаться СМИБ;
установление критериев оценки рисков.
Политика СМИБ утверждается руководством организации.

Слайд 7

ДОКУМЕНТАЦИЯ СМИБ

Документация СМИБ должна включать в себя следующее:
документированные положения политики СМИБ и

ДОКУМЕНТАЦИЯ СМИБ Документация СМИБ должна включать в себя следующее: документированные положения политики
целей СМИБ;
область функционирования СМИБ;
процедуры и меры управления, поддерживающие СМИБ;
описание методологии оценки риска;
отчет по оценки риска;
план обработки рисков;
документированные процедуры, необходимые организации для обеспечения эффективного планирования процессов в области ИБ и управления этими процессами, а также описания путей оценки результативности мер управления;
учетные записи;
положение о применимости.

Слайд 8

УПРАВЛЕНИЕ ДОКУМЕНТАМИ

Документированная процедура определяет действия руководства по:
a) утверждению документов СМИБ перед их

УПРАВЛЕНИЕ ДОКУМЕНТАМИ Документированная процедура определяет действия руководства по: a) утверждению документов СМИБ
изданием;
b) пересмотру, обновлению и повторному утверждению документов;
c) обеспечению идентификации внесенных изменений и текущего статуса документов;
d) обеспечению наличия версий соответствующих документов в местах их использования;
е) определению порядка просмотра документов и их идентификации;
f) обеспечению доступа к документам авторизованным лицам, а также передачи, хранения и уничтожения в соответствии с процедурами, применимыми к степени их конфиденциальности;
g) идентификации документов, созданных вне организации;
h) обеспечению контроля за распространением документов;
i) предотвращению непреднамеренного использования устаревших документов;
j) использованию соответствующей идентификации устаревших документов в случае их дальнейшего хранения.

Слайд 9

УПРАВЛЕНИЕ ЗАПИСЯМИ

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести

УПРАВЛЕНИЕ ЗАПИСЯМИ Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо
и поддерживать в рабочем состоянии учетные записи.
Учетные записи необходимо контролировать и защищать. СМИБ должна принимать во внимание все нормативно-правовые требования и договорные обязательства, имеющие отношение к ИБ. Записи должны быть четкими, легко идентифицируемыми и восстанавливаемыми.
Меры управления, требуемые для идентификации, хранения, защиты, поиска, определения сроков хранения и уничтожения записей должны быть документированы и реализованы.
Примерами записей являются: журнал регистрации посетителей, отчеты о результатах аудитов, заполненные формы авторизации доступа.

Слайд 10

ЦЕЛИ И МЕРЫ УПРАВЛЕНИЯ

Данный перечень мер управления не является исчерпывающим и организация

ЦЕЛИ И МЕРЫ УПРАВЛЕНИЯ Данный перечень мер управления не является исчерпывающим и
может рассмотреть необходимость дополнительных целей и мер управления
Имя файла: Методы-и-средства-обеспечения-безопасности.-Системы-менеджмента-информационной-безопасности.-Лекция-3.pptx
Количество просмотров: 51
Количество скачиваний: 1