- •Курсова робота
- •Тема: «Побудова системи менеджменту інформаційної безпеки»
- •Завдання
- •Перший етап. Управлінський
- •Розподілити відповідальність за сміб
- •Другий етап. Організаційний.
- •Наказ № 12.23
- •Наказую
- •Визначити область діїСміб
- •Третій етап. Першочерговий аналіз сміб
- •Провести аналіз існуючої сміб
- •Визначити перелік робіт по допрацюванню існуючої сміб
- •Четвертий етап. Визначення політики і цілей сміб
- •Визначити політику сміб
- •ВизначитиціліСміб по кожному процесу сміб
- •П'ятий етап. Порівняння поточної ситуації зі стандартом
- •Провести навчання відповідальних за сміб за вимогам стандарту
- •5.2 Управління трудовими ресурсами
- •5.2.1 Забезпечення кадрами
- •Опрацювати вимоги стандарту
- •4.1 Загальні вимоги
- •4.2 Створення та менеджмент сміб
- •4.2.1 Створення сміб
- •Порівняти вимоги стандарту з існуючим станом справ
- •Шостий етап. Планування і впровадження сміб
- •Визначити перелік заходів для досягнення вимог стандарту
- •Розробитипосібник зінформаційноїбезпеки
- •Визначити відповідальних за активи
- •Восьмийетап.Розробка документації сміб
- •Визначити перелік документів(процедур, записів, інструкцій) для розробки
- •Розробка процедур та інших документів
- •Розробка і впровадження в дію документів сміб
- •4.3 Вимоги забезпечення документацією
- •4.3.1 Загальних положень
- •4.3.3 Контроль записів
- •Дев’ятий етап. Навчання персоналу
- •Навчання керівників підрозділів вимогам іб
- •Навчання всього персоналу вимогам іб
- •Одинадцатий етап. Внутрішній аудит сміб
- •Підбір команди внутрішнього аудиту сміб
- •Планування внутрішнього аудиту сміб
- •Проведеннявнутрішнього аудитуСміб
- •7.3 Вихідних даних перевірок
- •Тринадцятий етап. Офіційнийзапуск сміб
- •Наказ про введення в дію сміб
- •Чотирнадцятийетап.Сповіщення зацікавлених сторін
- •Інформування клієнтів, партнерів, змі про запуск сміб
- •Висновок
- •Список використаної літератури
4.3.3 Контроль записів
Записи повинні створюватися і зберігатися для того, щоб забезпечити підтвердження відповідності вимогам і ефективне функціонування СМІБ. Запису необхідно захищати і перевіряти. СМІБ повинна враховувати будь-які юридичні і регулятивні вимоги і договірні зобов'язання. Записи мають бути зрозумілі, легко ідентіфіцируєми і відновлені. Засоби управління, необхідні для ідентифікації, зберігання, захисту, відновлення, тривалості зберігання і знищення записів, мають бути документально затверджені і введені в дію. У записі необхідно включати інформацію про проведення заходів, описаних в 4.2, і про всі випадки і значимі для безпеки інциденти, що відносяться до СМІБ.
ПРИКЛАД
Прикладами записів є гостьова книга, протоколи аудиту і заповнені форми авторизації доступу.
Дев’ятий етап. Навчання персоналу
Навчання керівників підрозділів вимогам іб
Вимоги ІБ для керівництва згідно зі стандартом ІТ-Гріншудтц:
Висока надійність для дій, і управління інформацією особливо (доступність, цілісність, конфіденційність);
Гарантія хорошої репутації організації в очах громадськості;
Збереження цінності інвестицій в технологію, інформацію, робочий процес і знання;
Захист дуже коштовної і можливо невідновної обробленої інформації;
Захист якості інформації, напр., де вона зберігається як основа для більшості рішень;
Задоволення вимог, витікаючих з норм закону;
Зменшення витрат, які виникають, якщо трапляється порушення безпеки (включаючи уникнення і запобігання пошкодженням);
Гарантія безперервності робочого процесу в організації.
Необхідно провести ознайомлення керівництва з основними вимогами ІБ і на основі цих вимог скласти Політику безпеки компанії.
Навчання всього персоналу вимогам іб
Вимоги до ІБ для керівництва і для загального персоналу дещо відрізняються. Навчання персоналу вимогам ІБ здійснюються згідно з «Посібником з інформаційної безпеки», який було розроблено на Шостому етапі впровадження СМІБ. Пункт 15. Розробити посібник з інформаційної безпеки.
Десятий етап. Розробка і впровадження заходів по забезпеченню роботи СМІБ
Впровадження засобів захисту
- адміністративних
-навчальних
- технічних
Адміністративні засоби захисту – впровадження системи реєстрації працівників компанії, проведення планових і позапланових перевірок рівня кваліфікації працівників компанії, проведення перевірки технічного оснащення фірми, помісячна звітність директору компанії керівників усіх відділів, і письмова підзвітність керівництву в обов’язковому порядку, встановлення режиму доступу до архівних документів та електронних носіїв інформації.
Навчальні засоби захисту – проведення навчання персоналу з користування програмним і апаратним забезпеченням компанії, ознайомлення персоналу з основними вимогами інформаційної безпеки та вимогами по роботі і впровадженню СМІБ, ознайомлення персоналу з правилами техніки безпеки, інструкціями роботи з технікою та документами.
Технічні засоби захисту – сукупність технічниз засобів по забезпеченню захисту конфіденційної інформації. Технічні засоби захисту включають:
Фізичні засоби захисту – охоронні та охоронно-пожежні системи, засоби фізичного захисту.
Апаратні засоби захисту – джерела безперебійного живлення апаратури, а також: пристрої стабілізації, що оберігають від стрибкоподібних пере падів напруги і пікових навантажень у мережі електроживлення; пристрої екранування апаратури, ліній зв 'язку та приміщень, в яких знаходиться комп 'ютерна техніка; пристрої ідентифікації і фіксації терміналів і користувачів при спробах несанкціонованого доступу до комп 'ютерної мережі; засоби захисту портів комп 'ютерної техніки тощо.
Програмні засоби захисту – програми для захисту від несанкціонованого доступу, програми для захисту інформації від копіювання, програмні засоби для захисту інформації від вірусів.