Другий етап. Організаційний.
Створити групу по впровадженню і підтримці СМІБ
Створенням групи по впровадженню і підтримці СМІБ займається керівництво, у даному випадку це директор БК «Озеленення». Процес створення такої групи супроводжується видачею необхідного наказу про впровадження СМІБ і призначення відповідальних осіб.
Наказ № 12.23
|
м.Київ |
16.02.2012р. |
Про впровадження системи менеджменту інформаційної безпеки
відповідно до стандартуISO27001:2005
Наказую
З ціллю забезпечення інформаційної безпеки БК «Озеленення»:
Розробити, впровадити і сертифікувати систему менеджменту інформаційної безпеки у відповідності до міжнародного стандарту ISO 27001:2005.
Назначити відповідально за впровадження і підтримку СМІБ заступника директора Собкова Олександра Васильовича з покладанням на неї наступних додаткових обов’язків:
організація і координація робіт по розробці, впровадженні і підтримці в робочому стані процедур і процесів системи менеджменту інформаційної безпеки(СМІБ),
періодичне представлення звітів по функціонуванні СМІБ і пропозицій про покращення її функціонування,,
підтримка зв’язку з зовнішніми організаціями по питанням, що відносяться до СМІБ,
Впровадження СМІБ завершити в квітні 2015 року, пред’явити її до сертифікації в системі сертифікації ТЮФ СЕРТ.
Контроль виконання наказу залишаю за собою.
Директор БК «Озеленення»
Скляренко Анатолій Сергійович (Підпис)
Провести навчання групи по впровадженню і підтримці СМІБ
Відповідно до наказу №12.23, відповідальним за впровадження СМІБ в БК «Озеленення» назначено замісника директора фірми Собков О.В.
Відповідальним за технічну і програмну складову по впровадженню і функціонуванню СМІБ призначено начальника відділу ІТ Козак М.І.
Необхідною складовою процесу впровадження СМІБ є навчання групи по роботі із СМІБ:
Ознайомлення з основними положеннями стандарту ISO 27001;
Проведення тренінгів для групи по роботі із СМІБ;
Ознайомлення з роботою програмних і апаратних засобів по забезпеченню ІБ.
Визначити область діїСміб
Область дії СМІБ в БК «Озеленення»:
База даних клієнтів;
База даних фірм-партнерів;
Оформлення надання туристичних послуг фізичним і юридичним особам;
Співпраця з фірмами-партнерами – бронювання авіаквитків, бронювання готелів, замовлення екскурсій та інше.
Третій етап. Першочерговий аналіз сміб
Провести аналіз існуючої сміб
Аналіз існуючої СМІБ в першу чергу оснований на оцінці ризиків інформаційної безпеки підприємства. Для туристичної фірми із параметрами - 4 приміщення, 26 ПК, оцінка ризиків ІБ здійснювалася з допомогою продукту Microsoft - Microsoft Security Assessment Tool (MSAT).
Ситуаційний аналіз
Виходячи з представлених відповідей, в графічному вигляді представлені концепції, описані вище, для БК «Озеленення».
Виходячи з ваших відповідей на питання, пов'язані з оцінкою ризиків, захисним заходам організації присвоєні такі рейтинги.
|
Відповідає новітнімметодикам |
Потребує вдосконалення |
Незадовільно |
Результати:
|
Области анализа |
Сравнение риска и защиты |
уровень безопасности |
|
Инфраструктура |
|
|
|
Приложения |
|
|
|
Операции |
|
|
|
Персонал |
|
|
• ПРБ є мірою, що показує ризик для бізнесу, з яким компанія стикається в даній галузі і в умовах обраної бізнес-моделі.
• DiDI - це величина вимірювання захисних заходів щодо забезпечення безпеки, що використовуються у відношенні персоналу, процесів і технологій для зниження ризиків, виявлених на підприємстві.
• Рівень безпеки - це величина вимірювання здібностей організації до ефективного використання інструментів, доступних для створення стабільного рівня безпеки з багатьох дисциплін.
