- •Курсова робота
- •Тема: «Побудова системи менеджменту інформаційної безпеки»
- •Завдання
- •Перший етап. Управлінський
- •Розподілити відповідальність за сміб
- •Другий етап. Організаційний.
- •Наказ № 12.23
- •Наказую
- •Визначити область діїСміб
- •Третій етап. Першочерговий аналіз сміб
- •Провести аналіз існуючої сміб
- •Визначити перелік робіт по допрацюванню існуючої сміб
- •Четвертий етап. Визначення політики і цілей сміб
- •Визначити політику сміб
- •ВизначитиціліСміб по кожному процесу сміб
- •П'ятий етап. Порівняння поточної ситуації зі стандартом
- •Провести навчання відповідальних за сміб за вимогам стандарту
- •5.2 Управління трудовими ресурсами
- •5.2.1 Забезпечення кадрами
- •Опрацювати вимоги стандарту
- •4.1 Загальні вимоги
- •4.2 Створення та менеджмент сміб
- •4.2.1 Створення сміб
- •Порівняти вимоги стандарту з існуючим станом справ
- •Шостий етап. Планування і впровадження сміб
- •Визначити перелік заходів для досягнення вимог стандарту
- •Розробитипосібник зінформаційноїбезпеки
- •Визначити відповідальних за активи
- •Восьмийетап.Розробка документації сміб
- •Визначити перелік документів(процедур, записів, інструкцій) для розробки
- •Розробка процедур та інших документів
- •Розробка і впровадження в дію документів сміб
- •4.3 Вимоги забезпечення документацією
- •4.3.1 Загальних положень
- •4.3.3 Контроль записів
- •Дев’ятий етап. Навчання персоналу
- •Навчання керівників підрозділів вимогам іб
- •Навчання всього персоналу вимогам іб
- •Одинадцатий етап. Внутрішній аудит сміб
- •Підбір команди внутрішнього аудиту сміб
- •Планування внутрішнього аудиту сміб
- •Проведеннявнутрішнього аудитуСміб
- •7.3 Вихідних даних перевірок
- •Тринадцятий етап. Офіційнийзапуск сміб
- •Наказ про введення в дію сміб
- •Чотирнадцятийетап.Сповіщення зацікавлених сторін
- •Інформування клієнтів, партнерів, змі про запуск сміб
- •Висновок
- •Список використаної літератури
П'ятий етап. Порівняння поточної ситуації зі стандартом
Провести навчання відповідальних за сміб за вимогам стандарту
5.2 Управління трудовими ресурсами
5.2.1 Забезпечення кадрами
Організація повинна визначити і підібрати штат співробітників, необхідних для того, щоб:
a) створювати, впроваджувати, використовувати, контролювати, перевіряти, підтримувати та вдосконалювати СМІБ;
b) забезпечити узгодженість принципів інформаційної безпеки до вимог бізнесу;
c) визначати юридичні та регулятивні вимоги і договірні обов'язки з безпеки;
d) підтримувати необхідний рівень безпеки шляхом правильного застосування всіх впроваджених засобів управління;
e) по необхідності проводити перевірки, і відповідно реагувати на результати цих перевірок; і
f) де необхідно, вдосконалювати ефективність СМІБ.
5.2.2 Навчання, поінформованість і компетентність
Організація повинна гарантувати те, що весь персонал, призначений виконувати встановлені в СМІБ обов'язки, досить компетентний, щоб виконувати поставлені завдання, шляхом:
a) встановлення необхідного рівня компетентності персоналу, залученого до робіт, що впливає на функціонування СМІБ;
b) проведення навчання або вжиття інших заходів (наприклад, призначення компетентного персоналу), щоб задовольнити ці потреби;
c) оцінювання ефективності вжитих заходів; і
d) ведення записів про підготовку, навчання, навичках, досвіді і кваліфікації (див. 4.3.3).
Організація також повинна переконатися в тому, що всі компетентні працівники усвідомлюють значущість і важливість своєї діяльності щодо забезпечення інформаційної безпеки, і їх внеску в досягнення цілей СМІБ.
Опрацювати вимоги стандарту
4.1 Загальні вимоги
Організація повинна вводити, виконувати, використовувати, контролювати, переглядати, підтримувати та вдосконалювати документовані положення СМІБ в рамках всієї бізнес-діяльності організації, а також ризиків, з якими вона стикається. Заради практичної користі даного Міжнародного Стандарту використовуваний процес грунтується на моделі PDCA.
4.2 Створення та менеджмент сміб
4.2.1 Створення сміб
Організація повинна зробити таке.
a) З огляду на особливості діяльності організації, самої організації, її місця розташування, активів і технології, визначити масштаб і межі СМІБ, включаючи деталі і обгрунтування виключень-яких положень документа з проекту СМІБ.
b) З огляду на особливості діяльності організації, самої організації, її місця розташування, активів і технології, розробити політику СМІБ яка:
включає систему постановки цілей (завдань) і встановлює загальний напрямок керівництва і принципи дії щодо інформаційної безпеки;
бере до уваги ділові і юридичні або регулятивні вимоги, договірні зобов'язання з безпеки;
приєднана до стратегічної середовищі управління ризиком, в якій має місце створення і підтримка СМІБ;
встановлює критерії, за якими буде оцінюватися ризик, і затверджена керівництвом.
ПРИМІТКА: В цілях цього Міжнародного Стандарту, політикою СМІБ вважається розширений набір політик інформаційної безпеки. Ці політики можуть бути описані в одному документі.
c) Розробити концепцію оцінки ризику в організації.
Визначити методологію оцінки ризику, яка підходить СМІБ, і встановленої ділової інформаційної безпеки, юридичним та регулятивним вимогам.
Розробляти критерії прийняття ризику і визначати прийнятні рівні ризику.
Обрана методологія оцінки ризику повинна гарантувати, що оцінка ризику приносить порівнянні та відтворювані результати.
ПРИМІТКА: Існують різні методології оцінки ризику. Приклади методологій оцінки ризику розглянуті в МОС / МЕК ТУ 13335-3, Інформаційні технології - Рекомендації до менеджменту IT Безпеки - Методи менеджменту IT Безпеки.
d) Виявити ризики.
1) Визначити активи в рамках положень СМІБ, і власників2 (2 Термін «власник» ототожнюється з індивідом або суб'єктом, яка затверджена нести відповідальність за контроль виробництва, розвитку, технічного обслуговування, застосування та безпеки активів. Термін «власник» не означає, що персона дійсно має якісь права власності на актив) цих активів.
2) Виявити небезпеки для цих активів.
Виявити вразливі місця в системі захисту.
Виявити впливу, які руйнують конфіденційність, цілісність і доступність активів.
e) Проаналізувати і оцінити ризики.
Оцінити збиток бізнесу організації, який може бути нанесений внаслідок неспроможності системи захисту, а також бути наслідком порушення конфіденційності, цілісності, або доступності активів.
Визначити ймовірність провалу системи безпеки в світлі переважаючих небезпек і вразливостей, ударів, пов'язаних з активами, і впроваджених в даний час елементів управління.
Оцінити рівні ризику.
Визначити прийнятність ризику, або ж вимагати його скорочення, використовуючи критерії допустимості ризику.
f) Виявити та оцінити інструменти для скорочення ризику.
Можливі дії включають:
Застосування відповідних елементів управління;
Свідоме і об'єктивне прийняття ризиків, що гарантує їх безумовне відповідність вимогам політики організації і критеріям допустимості ризику;
Уникнення ризику; і
Передача відповідних бізнес-ризиків іншій стороні, наприклад, страховим компаніям, постачальникам.
g) Вибрати завдання і засоби управління для скорочення ризиків.
Завдання і засоби управління повинні бути обрані та впроваджені у відповідності до вимог, встановлених процесом оцінкою ризику і скорочення ризику. Цей вибір повинен враховувати як критерії допустимості ризику, так і юридичні, регулятивні та договірні вимоги.
Завдання і засоби управління з Додатка A повинні бути вибрані як частина цього процесу, що відповідають встановленим вимогам.
Т.к. в Додатку А перераховані не всі завдання і засоби управління, то можуть бути вибрані додаткові.
ПРИМІТКА: Додаток А містить всебічний список цілей управління, які були визначені як найбільш значущі для організацій. Щоб не пропустити ні один важливий пункт з опцій управління, які користуються даними Міжнародним Стандартом слід орієнтуватися на Додаток А як на відправний пункт для контролю вибірки.
h) Досягти затвердження управління передбачуваними залишковими ризиками.
i) Досягти авторизації управління для функціонування СМІБ.
j) Скласти Декларацію застосовності
А Декларація застосовності повинна включати наступне:
завдання і засоби управління і причини їх вибору;
завдання і засоби управління, що діють в даний час;
виключення будь-яких завдань і засобів управління з Додатка А та обгрунтування їх вилучення.
ПРИМІТКА: Декларація застосовності являє собою зведення рішень щодо скорочення ризику. Обгрунтування виключень забезпечує перевірку за різними джерелами того, що ні одного елемента управління не було упущено.