- •Курсова робота
- •Тема: «Побудова системи менеджменту інформаційної безпеки»
- •Завдання
- •Перший етап. Управлінський
- •Розподілити відповідальність за сміб
- •Другий етап. Організаційний.
- •Наказ № 12.23
- •Наказую
- •Визначити область діїСміб
- •Третій етап. Першочерговий аналіз сміб
- •Провести аналіз існуючої сміб
- •Визначити перелік робіт по допрацюванню існуючої сміб
- •Четвертий етап. Визначення політики і цілей сміб
- •Визначити політику сміб
- •ВизначитиціліСміб по кожному процесу сміб
- •П'ятий етап. Порівняння поточної ситуації зі стандартом
- •Провести навчання відповідальних за сміб за вимогам стандарту
- •5.2 Управління трудовими ресурсами
- •5.2.1 Забезпечення кадрами
- •Опрацювати вимоги стандарту
- •4.1 Загальні вимоги
- •4.2 Створення та менеджмент сміб
- •4.2.1 Створення сміб
- •Порівняти вимоги стандарту з існуючим станом справ
- •Шостий етап. Планування і впровадження сміб
- •Визначити перелік заходів для досягнення вимог стандарту
- •Розробитипосібник зінформаційноїбезпеки
- •Визначити відповідальних за активи
- •Восьмийетап.Розробка документації сміб
- •Визначити перелік документів(процедур, записів, інструкцій) для розробки
- •Розробка процедур та інших документів
- •Розробка і впровадження в дію документів сміб
- •4.3 Вимоги забезпечення документацією
- •4.3.1 Загальних положень
- •4.3.3 Контроль записів
- •Дев’ятий етап. Навчання персоналу
- •Навчання керівників підрозділів вимогам іб
- •Навчання всього персоналу вимогам іб
- •Одинадцатий етап. Внутрішній аудит сміб
- •Підбір команди внутрішнього аудиту сміб
- •Планування внутрішнього аудиту сміб
- •Проведеннявнутрішнього аудитуСміб
- •7.3 Вихідних даних перевірок
- •Тринадцятий етап. Офіційнийзапуск сміб
- •Наказ про введення в дію сміб
- •Чотирнадцятийетап.Сповіщення зацікавлених сторін
- •Інформування клієнтів, партнерів, змі про запуск сміб
- •Висновок
- •Список використаної літератури
Другий етап. Організаційний.
Створити групу по впровадженню і підтримці СМІБ
Створенням групи по впровадженню і підтримці СМІБ займається керівництво, у даному випадку це директор БК «Озеленення». Процес створення такої групи супроводжується видачею необхідного наказу про впровадження СМІБ і призначення відповідальних осіб.
Наказ № 12.23
м.Київ |
16.02.2012р. |
Про впровадження системи менеджменту інформаційної безпеки
відповідно до стандартуISO27001:2005
Наказую
З ціллю забезпечення інформаційної безпеки БК «Озеленення»:
Розробити, впровадити і сертифікувати систему менеджменту інформаційної безпеки у відповідності до міжнародного стандарту ISO 27001:2005.
Назначити відповідально за впровадження і підтримку СМІБ заступника директора Собкова Олександра Васильовича з покладанням на неї наступних додаткових обов’язків:
організація і координація робіт по розробці, впровадженні і підтримці в робочому стані процедур і процесів системи менеджменту інформаційної безпеки(СМІБ),
періодичне представлення звітів по функціонуванні СМІБ і пропозицій про покращення її функціонування,,
підтримка зв’язку з зовнішніми організаціями по питанням, що відносяться до СМІБ,
Впровадження СМІБ завершити в квітні 2015 року, пред’явити її до сертифікації в системі сертифікації ТЮФ СЕРТ.
Контроль виконання наказу залишаю за собою.
Директор БК «Озеленення»
Скляренко Анатолій Сергійович (Підпис)
Провести навчання групи по впровадженню і підтримці СМІБ
Відповідно до наказу №12.23, відповідальним за впровадження СМІБ в БК «Озеленення» назначено замісника директора фірми Собков О.В.
Відповідальним за технічну і програмну складову по впровадженню і функціонуванню СМІБ призначено начальника відділу ІТ Козак М.І.
Необхідною складовою процесу впровадження СМІБ є навчання групи по роботі із СМІБ:
Ознайомлення з основними положеннями стандарту ISO 27001;
Проведення тренінгів для групи по роботі із СМІБ;
Ознайомлення з роботою програмних і апаратних засобів по забезпеченню ІБ.
Визначити область діїСміб
Область дії СМІБ в БК «Озеленення»:
База даних клієнтів;
База даних фірм-партнерів;
Оформлення надання туристичних послуг фізичним і юридичним особам;
Співпраця з фірмами-партнерами – бронювання авіаквитків, бронювання готелів, замовлення екскурсій та інше.
Третій етап. Першочерговий аналіз сміб
Провести аналіз існуючої сміб
Аналіз існуючої СМІБ в першу чергу оснований на оцінці ризиків інформаційної безпеки підприємства. Для туристичної фірми із параметрами - 4 приміщення, 26 ПК, оцінка ризиків ІБ здійснювалася з допомогою продукту Microsoft - Microsoft Security Assessment Tool (MSAT).
Ситуаційний аналіз
Виходячи з представлених відповідей, в графічному вигляді представлені концепції, описані вище, для БК «Озеленення».
Виходячи з ваших відповідей на питання, пов'язані з оцінкою ризиків, захисним заходам організації присвоєні такі рейтинги.
Відповідає новітнімметодикам |
Потребує вдосконалення |
Незадовільно |
Результати:
Области анализа |
Сравнение риска и защиты |
уровень безопасности |
Инфраструктура |
|
|
Приложения |
|
|
Операции |
|
|
Персонал |
|
|
• ПРБ є мірою, що показує ризик для бізнесу, з яким компанія стикається в даній галузі і в умовах обраної бізнес-моделі.
• DiDI - це величина вимірювання захисних заходів щодо забезпечення безпеки, що використовуються у відношенні персоналу, процесів і технологій для зниження ризиків, виявлених на підприємстві.
• Рівень безпеки - це величина вимірювання здібностей організації до ефективного використання інструментів, доступних для створення стабільного рівня безпеки з багатьох дисциплін.