Руководитель по ИТ обеспечивает участие ИТ подразделения при проведении аудита ИБ корпоративной информационной сети.
Таблица внесения изменений в Политику ИБ
|
Дата |
Версия (номер, релиз) |
Описание изменений |
Автор |
Глоссарий терминов
Владельцы информации - руководители структурных подразделений, в которых создаются и обрабатываются информационные активы. Владельцы информации контролируют также предоставление доступа к информационным активам, находящимся в их ведении.
Информационная безопасность (ИВ) - комплекс мер по обеспечению целостности, конфиденциальности и доступности информации, создаваемой, хранимой, обрабатываемой и передаваемой внутри Компании или за ее пределами.
Информационный актив - данные, информация, сведения, обрабатываемые в Компании с помощью информационных систем.
ИС - информационные системы.
Физическая безопасность (ФБ) - комплекс мер по обеспечению физической безопасности помещений, оборудования и персонала и является неотъемлемым компонентом ИБ.
Политика ~ документ, определяющий базовые принципы (требования) в отношении обеспечения ИБ. Для детального описания способов выполнения требований ИБ разрабатываются стандарты и процедуры.
Процедура — документ, определяющий набор и последовательность действий, которые должны предприниматься при решении конкретной задачи.
Стандарт — документ, определяющий набор правил в той или иной области. Например, перечень настроек ИТ-систем, правила работы персонала или модели поведения в той или иной ситуации.
Конфиденциальностьзащищенность информационного актива от несанкционированного доступа.
Целостность — способность сохранить неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
Доступность - возможность за приемлемое время получить доступ к требуемому информационному активу.
ИТ-сервис - совокупность людских ресурсов и элементов ИТ-инфраструктуры, обеспечивающих предоставление И'Г услуги, например, электронная почта или хранение данных.
ИТ-инфраструктура - представляет собой кабельные сети, сервера, системное и прикладное программное обеспечение, информационные системы, телекоммуникационные системы и системы связи, персональные компьютеры, системы защиты информации.
Пользователи корпоративной информационной сети - администраторы информационных систем, сотрудники, Компании или сторонней организации, которым предоставлен доступ к ИС компании.
Нормативные документы ИБ - политики, процедуры, стандарты, регламенты и инструкции, выражающие позицию и требования Компании в области информационной безопасности, а также способы удовлетворения требований ИБ.
Решение к заданию 4
Цели и задачи этапов работы по анализу ИТ рисков
Определение объема работ. Цель: определить подразделения, в которых проводится анализ рисков. Задача - определить необходимые ресурсы для проведения работы.
Формирование Рабочей группы. Цель: подбор квалифицированных специалистов функциональных подразделений для проведения работ по анализу рисков. Задачи: доведение до руководителей подразделений квалификационных требований к специалистам, формы проведения работ, ожидаемых результатов. Проведение предварительного обучения членов Рабочей группы методологическим вопросам анализа рисков.
Сбор информации. Цель: определение шкалы ущерба от нарушений безопасного использования ИТ сервисов и установление уровня ущерба, который является приемлемым для компании. Задачи: составление списка используемых подразделениями ИТ сервисов, установление шкалы вероятностей реализации угроз безопасности; количественное и качественное определение принятых уровней ущерба.
Оценка эффективности контролей. Цель: получение оценки эффективности действующих контролей. Задачи: выявление используемых в компании контролей (в терминологии OCTAVE), обеспечивающих защиту информационных активов и оценка их зрелости (достаточность и эффективность).
Обработка информации. Цель: получение матрицы ИТ рисков по анализируемым ИТ сервисам. Задачи: проведение расчетов значений рисков согласно методологии OCTAVE, выбор контролей для ИТ сервисов, ущерб от нарушений безопасности которых неприемлем, способных снизить уровень ущерба до приемлемого, проведение расчетов заново, подтверждающих достижение приемлемого уровня рисков.
Составление Плана мероприятий по снижению рисков. Цель: разработка Плана мероприятий организационного и/или технологического характера, реализация которых обеспечит достижение приемлемого уровня рисков. Задачи: определение объема работ; определение стоимости, приоритета и сроков реализации конкретных мер по снижению рисков; утверждение Плана руководством.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.