Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5

Нажмите для полного просмотра!

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №2

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №3

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №4

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №5

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №6

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №7

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №8

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №9

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №10

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №11

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №12

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №13

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №14

Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5, слайд №15

Содержание ▲

Вы можете ознакомиться и скачать презентацию на тему Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5. Доклад-сообщение содержит 15 слайдов. Презентации для любого класса можно скачать бесплатно. Если материал и наш сайт презентаций Mypresentation Вам понравились – поделитесь им с друзьями с помощью социальных кнопок и добавьте в закладки в своем браузере.

Слайды и текст этой презентации

Слайд 1

Описание слайда:

Слайд 2

Описание слайда:

Слайд 3

Описание слайда:

Слайд 4

Описание слайда:

Слайд 5

Описание слайда:

Любой вид деятельности, использующий ресурсы и управляемый для того, чтобы дать возможность преобразования входов в выходы, можно считать процессом. Часто выход одного процесса непосредственно образует вход следующего процесса. Любой вид деятельности, использующий ресурсы и управляемый для того, чтобы дать возможность преобразования входов в выходы, можно считать процессом. Часто выход одного процесса непосредственно образует вход следующего процесса. Особую важность для пользователей при осуществлении процессного подхода применительно к менеджменту информационной безопасности имеют следующие факторы: понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности; внедрение и использование мер управления для менеджмента рисков информационной безопасности среди общих бизнес-рисков организации; мониторинг и проверка эффективности СМИБ; непрерывное улучшение СМИБ, основанное на результатах объективных измерении. Циклически повторяющийся процесс принятия решения, используемый в управлении качеством называется – цикл Дёминга (Цикл PDCA). PDCA (англ. «Plan-Do-Check-Act» - планирование-действие-проверка-корректировка) циклически повторяющийся процесс принятия решения, используемый в управлении качеством.

Слайд 6

Описание слайда:

Цикл управления Цикл управления

Слайд 7

Описание слайда:

Слайд 8

Описание слайда:

Система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы. Система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Слайд 9

Описание слайда:

Слайд 10

Описание слайда:

Перечень мероприятий по разработке СМИБ: Перечень мероприятий по разработке СМИБ: определить область применения СМИБ; определить политику СМИБ; определить подход к оценке риска в организации; идентифицировать риски; проанализировать и оценить риски; определить и оценить различные варианты обработки рисков; выбрать цели и меры управления для обработки рисков; получить утверждение руководством предполагаемых остаточных рисков; получить разрешение руководства на внедрение и эксплуатацию СМИБ; подготовить Положение о применимости.

Слайд 11

Описание слайда:

Слайд 12

Описание слайда:

Цели и меры управления изложены в приложении А к стандарту ISO/IEC 27001. В стандарте ISO/IEC 27002 предоставляется более детализированная информация для поддержки реализации мер и средств контроля и управления и достижения целей управления. Меры и средства контроля и управления информационной безопасности в стандарте изложены в 11-ти разделах, которые все вместе содержат, в целом, 39 основных категорий безопасности, и одного вводного раздела, знакомящего с оценкой и обработкой рисков. Цели и меры управления изложены в приложении А к стандарту ISO/IEC 27001. В стандарте ISO/IEC 27002 предоставляется более детализированная информация для поддержки реализации мер и средств контроля и управления и достижения целей управления. Меры и средства контроля и управления информационной безопасности в стандарте изложены в 11-ти разделах, которые все вместе содержат, в целом, 39 основных категорий безопасности, и одного вводного раздела, знакомящего с оценкой и обработкой рисков. В международном стандарте ISO/IEC 27003 рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ, определяется проект внедрения СМИБ (упоминается в данном международном стандарте как проект СМИБ) и представлены рекомендации по планированию проекта СМИБ, в результате которого получается окончательный план внедрения СМИБ.

Слайд 13

Описание слайда:

Политика информационной безопасности документирует стратегическую позицию организации в отношении информационной безопасности во всей организации. Политика информационной безопасности документирует стратегическую позицию организации в отношении информационной безопасности во всей организации. Политика строится на основе информации и знания. Моменты, признанные руководством важными во время ранее проведенного анализа, должны быть сделаны наглядными, им должно быть уделено особое внимание в политике, чтобы обеспечить стимуляцию и мотивацию в организации. Также важно отметить, что происходит, если не следовать выбранной политике, и подчеркнуть влияния законов и регулирующих положений на рассматриваемую организацию. Мера и средство контроля и управления. Политика информационной безопасности должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций.

Слайд 14

Описание слайда:

Рекомендация по реализации. Рекомендация по реализации. Политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности, Документ, в котором излагается политика, должен содержать положения относительно: определения информационной безопасности, ее общих целей и сферы действия, а также упоминания значения безопасности как инструмента, обеспечивающего возможность совместного использования информации; изложения намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса; подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска; краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия: например: соответствие законодательным требованиям и договорным обязательствам; требования по обеспечению осведомленности, обучения и тренинга в отношении безопасности; менеджмент непрерывности бизнеса; ответственность за нарушения политики информационной безопасности; определения общих и конкретных обязанностей сотрудников в рамках менеджмента информационной безопасности, включая информирование об инцидентах безопасности; ссылок на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Слайд 15

Описание слайда:

В приложение А к стандарту ГОСТ Р ИСО/МЭК 27001-2006 приведена связь целей и мер управления. В приложение А к стандарту ГОСТ Р ИСО/МЭК 27001-2006 приведена связь целей и мер управления. В разделах 5-15 ИСО/МЭК 17799:2005 приведены рекомендации по реализации и указания с точки зрения практики в отношении поддержки мер управления, изложенных в А.5-А.15. ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Свод норм и правил менеджмента информационной безопасности» заменил ГОСТ Р ИСО/МЭК 17799-2005. ГОСТ Р ИСО/МЭК 27002-2012 является аналогом ISO/IEC 27002:2005 «Information technology - Security techniques - Code of practice for information security management».