🗊Презентация Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5

Любой вид деятельности, использующий ресурсы и управляемый для того, чтобы дать возможность преобразования входов в выходы, можно считать процессом. Часто выход одного процесса непосредственно образует вход следующего процесса. Любой вид деятельности, использующий ресурсы и управляемый для того, чтобы дать возможность преобразования входов в выходы, можно считать процессом. Часто выход одного процесса непосредственно образует вход следующего процесса. Особую важность для пользователей при осуществлении процессного подхода применительно к менеджменту информационной безопасности имеют следующие факторы: понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности; внедрение и использование мер управления для менеджмента рисков информационной безопасности среди общих бизнес-рисков организации; мониторинг и проверка эффективности СМИБ; непрерывное улучшение СМИБ, основанное на результатах объективных измерении. Циклически повторяющийся процесс принятия решения, используемый в управлении качеством называется – цикл Дёминга (Цикл PDCA). PDCA (англ. «Plan-Do-Check-Act» - планирование-действие-проверка-корректировка) циклически повторяющийся процесс принятия решения, используемый в управлении качеством.

Цикл управления Цикл управления

Система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы. Система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Перечень мероприятий по разработке СМИБ: Перечень мероприятий по разработке СМИБ: определить область применения СМИБ; определить политику СМИБ; определить подход к оценке риска в организации; идентифицировать риски; проанализировать и оценить риски; определить и оценить различные варианты обработки рисков; выбрать цели и меры управления для обработки рисков; получить утверждение руководством предполагаемых остаточных рисков; получить разрешение руководства на внедрение и эксплуатацию СМИБ; подготовить Положение о применимости.

Цели и меры управления изложены в приложении А к стандарту ISO/IEC 27001. В стандарте ISO/IEC 27002 предоставляется более детализированная информация для поддержки реализации мер и средств контроля и управления и достижения целей управления. Меры и средства контроля и управления информационной безопасности в стандарте изложены в 11-ти разделах, которые все вместе содержат, в целом, 39 основных категорий безопасности, и одного вводного раздела, знакомящего с оценкой и обработкой рисков. Цели и меры управления изложены в приложении А к стандарту ISO/IEC 27001. В стандарте ISO/IEC 27002 предоставляется более детализированная информация для поддержки реализации мер и средств контроля и управления и достижения целей управления. Меры и средства контроля и управления информационной безопасности в стандарте изложены в 11-ти разделах, которые все вместе содержат, в целом, 39 основных категорий безопасности, и одного вводного раздела, знакомящего с оценкой и обработкой рисков. В международном стандарте ISO/IEC 27003 рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ, определяется проект внедрения СМИБ (упоминается в данном международном стандарте как проект СМИБ) и представлены рекомендации по планированию проекта СМИБ, в результате которого получается окончательный план внедрения СМИБ.

Политика информационной безопасности документирует стратегическую позицию организации в отношении информационной безопасности во всей организации. Политика информационной безопасности документирует стратегическую позицию организации в отношении информационной безопасности во всей организации. Политика строится на основе информации и знания. Моменты, признанные руководством важными во время ранее проведенного анализа, должны быть сделаны наглядными, им должно быть уделено особое внимание в политике, чтобы обеспечить стимуляцию и мотивацию в организации. Также важно отметить, что происходит, если не следовать выбранной политике, и подчеркнуть влияния законов и регулирующих положений на рассматриваемую организацию. Мера и средство контроля и управления. Политика информационной безопасности должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций.

Рекомендация по реализации. Рекомендация по реализации. Политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности, Документ, в котором излагается политика, должен содержать положения относительно: определения информационной безопасности, ее общих целей и сферы действия, а также упоминания значения безопасности как инструмента, обеспечивающего возможность совместного использования информации; изложения намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса; подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска; краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия: например: соответствие законодательным требованиям и договорным обязательствам; требования по обеспечению осведомленности, обучения и тренинга в отношении безопасности; менеджмент непрерывности бизнеса; ответственность за нарушения политики информационной безопасности; определения общих и конкретных обязанностей сотрудников в рамках менеджмента информационной безопасности, включая информирование об инцидентах безопасности; ссылок на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

В приложение А к стандарту ГОСТ Р ИСО/МЭК 27001-2006 приведена связь целей и мер управления. В приложение А к стандарту ГОСТ Р ИСО/МЭК 27001-2006 приведена связь целей и мер управления. В разделах 5-15 ИСО/МЭК 17799:2005 приведены рекомендации по реализации и указания с точки зрения практики в отношении поддержки мер управления, изложенных в А.5-А.15. ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Свод норм и правил менеджмента информационной безопасности» заменил ГОСТ Р ИСО/МЭК 17799-2005. ГОСТ Р ИСО/МЭК 27002-2012 является аналогом ISO/IEC 27002:2005 «Information technology - Security techniques - Code of practice for information security management».