Вы читаете книгу
Управление информационной безопасностью. Стандарты СУИБ (СИ)
Гребенников Вадим Викторович
Выбрать книгу по жанру
Фантастика и фэнтези
- Боевая фантастика
- Героическая фантастика
- Городское фэнтези
- Готический роман
- Детективная фантастика
- Ироническая фантастика
- Ироническое фэнтези
- Историческое фэнтези
- Киберпанк
- Космическая фантастика
- Космоопера
- ЛитРПГ
- Мистика
- Научная фантастика
- Ненаучная фантастика
- Попаданцы
- Постапокалипсис
- Сказочная фантастика
- Социально-философская фантастика
- Стимпанк
- Технофэнтези
- Ужасы и мистика
- Фантастика: прочее
- Фэнтези
- Эпическая фантастика
- Юмористическая фантастика
- Юмористическое фэнтези
- Альтернативная история
Детективы и триллеры
- Боевики
- Дамский детективный роман
- Иронические детективы
- Исторические детективы
- Классические детективы
- Криминальные детективы
- Крутой детектив
- Маньяки
- Медицинский триллер
- Политические детективы
- Полицейские детективы
- Прочие Детективы
- Триллеры
- Шпионские детективы
Проза
- Афоризмы
- Военная проза
- Историческая проза
- Классическая проза
- Контркультура
- Магический реализм
- Новелла
- Повесть
- Проза прочее
- Рассказ
- Роман
- Русская классическая проза
- Семейный роман/Семейная сага
- Сентиментальная проза
- Советская классическая проза
- Современная проза
- Эпистолярная проза
- Эссе, очерк, этюд, набросок
- Феерия
Любовные романы
- Исторические любовные романы
- Короткие любовные романы
- Любовно-фантастические романы
- Остросюжетные любовные романы
- Порно
- Прочие любовные романы
- Слеш
- Современные любовные романы
- Эротика
- Фемслеш
Приключения
- Вестерны
- Исторические приключения
- Морские приключения
- Приключения про индейцев
- Природа и животные
- Прочие приключения
- Путешествия и география
Детские
- Детская образовательная литература
- Детская проза
- Детская фантастика
- Детские остросюжетные
- Детские приключения
- Детские стихи
- Детский фольклор
- Книга-игра
- Прочая детская литература
- Сказки
Поэзия и драматургия
- Басни
- Верлибры
- Визуальная поэзия
- В стихах
- Драматургия
- Лирика
- Палиндромы
- Песенная поэзия
- Поэзия
- Экспериментальная поэзия
- Эпическая поэзия
Старинная литература
- Античная литература
- Древневосточная литература
- Древнерусская литература
- Европейская старинная литература
- Мифы. Легенды. Эпос
- Прочая старинная литература
Научно-образовательная
- Альтернативная медицина
- Астрономия и космос
- Биология
- Биофизика
- Биохимия
- Ботаника
- Ветеринария
- Военная история
- Геология и география
- Государство и право
- Детская психология
- Зоология
- Иностранные языки
- История
- Культурология
- Литературоведение
- Математика
- Медицина
- Обществознание
- Органическая химия
- Педагогика
- Политика
- Прочая научная литература
- Психология
- Психотерапия и консультирование
- Религиоведение
- Рефераты
- Секс и семейная психология
- Технические науки
- Учебники
- Физика
- Физическая химия
- Философия
- Химия
- Шпаргалки
- Экология
- Юриспруденция
- Языкознание
- Аналитическая химия
Компьютеры и интернет
- Базы данных
- Интернет
- Компьютерное «железо»
- ОС и сети
- Программирование
- Программное обеспечение
- Прочая компьютерная литература
Справочная литература
Документальная литература
- Биографии и мемуары
- Военная документалистика
- Искусство и Дизайн
- Критика
- Научпоп
- Прочая документальная литература
- Публицистика
Религия и духовность
- Астрология
- Индуизм
- Православие
- Протестантизм
- Прочая религиозная литература
- Религия
- Самосовершенствование
- Христианство
- Эзотерика
- Язычество
- Хиромантия
Юмор
Дом и семья
- Домашние животные
- Здоровье и красота
- Кулинария
- Прочее домоводство
- Развлечения
- Сад и огород
- Сделай сам
- Спорт
- Хобби и ремесла
- Эротика и секс
Деловая литература
- Банковское дело
- Внешнеэкономическая деятельность
- Деловая литература
- Делопроизводство
- Корпоративная культура
- Личные финансы
- Малый бизнес
- Маркетинг, PR, реклама
- О бизнесе популярно
- Поиск работы, карьера
- Торговля
- Управление, подбор персонала
- Ценные бумаги, инвестиции
- Экономика
Жанр не определен
Техника
Прочее
Драматургия
Фольклор
Военное дело
Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович - Страница 40
– результаты других регулярных проверок;
– рекомендации по улучшению СУИБ.
Выходные данные: Документ, содержащий план организации проверок, проводимых руководством, и включающий:
– исходные данные, требуемые для проверки СУИБ руководством;
– процедуры проверок, проводимых руководством и касающихся аспектов аудита, мониторинга и измерения.
5.3.2. Программа обучения в области ИБ
Исходные данные6
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1, – требований к ИБ для процесса СУИБ;
– выходные данные 4.2 – план обработки рисков;
– выходные данные 4.3 – положение о применимости;
– выходные данные 5.1.3 – политики ИБ;
– выходные данные 5.1.4 – стандарты и процедуры ИБ;
– обзор общей программы обучения в организации.
Рекомендации: Руководство отвечает за обучение, чтобы сотрудники, назначенные на определенные должности, имели необходимые знания для выполнения требуемых операций. Содержание программы образования и обучения должно помогать всем сотрудникам знать и понимать значение и важность операций по обеспечению ИБ, в которых они участвуют, и то, как они могут способствовать достижению целей.
Программа обучения с целью информирования по вопросам ИБ должна обеспечивать составление записей по обучению в области ИБ. Эти записи должны регулярно проверяться для обеспечения получения требуемого обучения всеми сотрудниками. Необходимо назначить должностное лицо, ответственное за этот процесс.
Материалы по обучению в области ИБ должны быть разработаны таким образом, чтобы они были связаны с другими обучающими материалами, используемыми в организации, особенно, учебные курсы для пользователей ИС. Обучение по существенным аспектам ИБ должно включаться в каждый учебный курс для пользователей ИС.
Обучающие материалы по ИБ должны включать, как минимум, следующие пункты в зависимости от целевой аудитории:
– основные термины ИБ;
– риски и угрозы ИБ;
– четкое определение инцидента ИБ: рекомендации по его обнаружению, устранению и отчетности;
– политики ИБ, стандарты и процедуры организации;
– сферы ответственности и каналы отчетности, связанные с ИБ;
– рекомендации по оказанию помощи в повышении уровня ИБ;
– рекомендации, связанные с нарушениями ИБ и отчетностью;
– координаты получения дополнительной информации.
Необходимо определить группу по обучению ИБ, которая может выполнять следующие задачи:
– создание и управление записями по ИБ;
– составление и управления материалами по обучению;
– проведение обучения.
Выходные данные:
– материалы по обучению в области ИБ;
– формирование программ обучения в области ИБ, включая роли и сферы ответственности;
– планы обучения в области ИБ;
– записи, показывающие результаты обучения работников в области ИБ.
5.4. Разработка окончательного плана проекта СУИБ
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 5.1 – разработка системы ИБ;
– выходные данные 5.2 – разработка системы ИБ ИКТ и физических объектов;
– выходные данные 5.3 – разработка ИБ, связанной с СУИБ;
– ISO/IEC 27002 – правила СУИБ.
Рекомендации: Действия, требуемые для внедрения выбранных средств управления и выполнения других действий, связанных с системой СУИБ, должны быть оформлены в виде подробного плана внедрения как части конечного проекта СУИБ. Подробный план внедрения системы также может подкрепляться описаниями предложенных инструментов и методов внедрения.
Поскольку проект СУИБ включает множество различных ролей в организации, важно, чтобы действия были четко определены для ответственных сторон и план был распространен на ранних стадиях проекта во всей организации.
Выходные данные: Выходные данные этого действия представляют собой окончательный план проекта внедрения СУИБ.
5. Управление рисками иб (стандарт ISO/IEC 27005:2010)
(window.adrunTag = window.adrunTag || []).push({v: 1, el: 'adrun-4-390', c: 4, b: 390})В начале 2006 года был принят первый британский национальный стандарт в сфере управления рисками ИБ BS 7799—3, который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».
Новый стандарт ISO/IEC 27005 заменил сразу две части морально устаревшего технического стандарта ISO/IEC TR 13335 (TR – technical report – технический отчет) «ИТ. Методы защиты»: часть 3 «Методы управления безопасностью ИТ» и часть 4 «Выбор защитных мер», на базе которых он и был разработан.
В 2011 году была принята последняя редакция стандарта ISO/IEC 27005, в котором были пересмотрены и обновлены в соответствии с требованиями следующих документов:
– ISO 31000:2009 – Управление рисками – Принципы и руководства;
– ISO/IEC 31010:2009 – Управление рисками – Методики оценки рисков;
– ISO Guide 73:2009 – Управление рисками – Словарь.
Систематический подход к управлению рисками ИБ необходим для того, чтобы идентифицировать потребности организации, касающиеся требований ИБ, и создать эффективную СУИБ.
Усилия по обеспечению ИБ должны эффективно и своевременно рассматривать риски там и тогда, где и когда это необходимо. Управление рисками ИБ должно быть неотъемлемой частью всех видов деятельности, связанных с УИБ, а также должен применяться для реализации и поддержки функционирования СУИБ организации.
Управление рисками ИБ должно быть непрерывным процессом. Данный процесс должен устанавливать контекст, поддерживать оценку и обработку рисков, обеспечивать использование плана обработки риска для реализации, содействовать выработке рекомендаций и решений.
Управление рисками ИБ связано с анализом того, что может произойти, и какими могут быть возможные последствия, прежде чем выработать решение о том, что и когда должно быть сделано для снижения риска до приемлемого уровня.
Управление рисками ИБ должно способствовать следующему:
– идентификации рисков;
– оценке рисков, исходя из последствий их реализации для бизнеса и вероятности их возникновения;
– изучению вероятности и потенциальных последствий данных рисков;
– установлению порядка приоритетов в рамках обработки рисков;
– установлению приоритетов мероприятий по снижению имеющих место рисков;
– привлечению заинтересованных сторон к принятию решений об управлении рисками и поддержанию их информированности о состоянии управления рисками;
– эффективности проводимого мониторинга обработки рисков;
– проведению регулярного мониторинга и пересмотра процесса управления рисками;
– сбору информации для усовершенствования подхода к управлению рисками;
– подготовке менеджеров и персонала в сфере управления рисками и необходимых действий, предпринимаемых для их уменьшения.
Стандарт содержит описание процесса управления рисками ИБ и связанных с ним видов деятельности, основной обзор которых даётся в разделе 6.
Все действия по управлению рисками ИБ описываются в следующих разделах:
1) установление контекста (сферы применения) – в разделе 7;
2) оценка риска – в разделе 8;
3) обработка риска – в разделе 9;
4) принятие риска – в разделе 10;
5) обмен информацией о рисках – в разделе 11;
6) мониторинг и улучшение – в разделе 12.
Все составляющие управления рисками в каждом разделе структурированы в виде входных данных, действий, руководства по реализации и выходных данных.
Входные данные: идентифицируется любая информация, требуемая для выполнения деятельности.
Действие: описывается деятельность.
Руководство по реализации: предоставляется руководство по выполнению действия.
Выходные данные: идентифицируется любая информация, полученная после выполнения деятельности.
- Предыдущая
- 40/60
- Следующая