Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников

Управление информационной безопасностью. Стандарты СУИБ

Управление информационной безопасностью. Стандарты СУИБ - Вадим Гребенников

Скачать книгу
ИС может быть сложным и дорогостоящим.

      СУИБ включает в себя идентификацию имеющихся мер защиты и требует тщательного планирования и внимания к деталям. Например, меры разграничения доступа, которые могут быть техническими (логическими), физическими, административными (управленческими), или их комбинацией, гарантируют, что доступ к информационным активам санкционируется и ограничивается на основании требований бизнеса и ИБ.

      Успешное применение СУИБ важно для защиты информационных активов, поскольку позволяет:

      – повысить гарантии того, что информационные активы адекватно защищены на непрерывной основе от угроз ИБ;

      – поддерживать структурированную и всестороннюю систему оценки угроз ИБ, выбора и применения соответствующих мер защиты, измерения и улучшения их эффективности;

      – постоянно улучшать среду управления организации;

      – эффективно соответствовать правовым и нормативным требованиям.

      3.5. Внедрение, контроль, сопровождение и улучшение СУИБ

      Внедрение, контроль, сопровождение и улучшение СУИБ являются оперативными этапами развития СУИБ.

      Оперативные этапы СУИБ определяют следующие составляющие:

      – общие положения;

      – требования ИБ;

      – решающие факторы успеха СУИБ.

      Оперативные этапы СУИБ обеспечивают следующие мероприятия:

      – оценка рисков ИБ;

      – обработка рисков ИБ;

      – выбор и внедрение мер защиты;

      – контроль и сопровождение СУИБ;

      – постоянное улучшение.

      Общие положения

      Организация должна предпринимать следующие шаги по внедрению, контролю, сопровождению и улучшению ее СУИБ:

      – определение информационных активов и связанных с ними требований ИБ;

      – оценка и обработка рисков ИБ;

      – выбор и внедрение соответствующих мер защиты для управления неприемлемыми рисками;

      – контроль, сопровождение и повышение эффективности мер защиты, связанных с информационными активами организации.

      Для гарантии того, что СУИБ эффективно защищает информационные активы организации на постоянной основе, необходимо постоянно повторять все шаги, чтобы выявлять изменения рисков или стратегии организации или бизнес-целей.

      Требования ИБ

      В пределах общей стратегии и бизнес-целей организации, ее размера и географического распространения требования ИБ могут быть определены в результате понимания:

      – информационных активов и их ценности;

      – бизнес-потребностей в работе с информацией;

      – правовых, нормативных и договорных требований.

      Проведение методической оценки рисков, связанных с информационными активами организации, включает в себя анализ:

      – угроз активам;

      – уязвимостей

Скачать книгу