Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
СМІБ Скляренко.docx
Скачиваний:
153
Добавлен:
19.02.2016
Размер:
1.08 Mб
Скачать

П'ятий етап. Порівняння поточної ситуації зі стандартом

  1. Провести навчання відповідальних за сміб за вимогам стандарту

5.2 Управління трудовими ресурсами

5.2.1 Забезпечення кадрами

Організація повинна визначити і підібрати штат співробітників, необхідних для того, щоб:

a) створювати, впроваджувати, використовувати, контролювати, перевіряти, підтримувати та вдосконалювати СМІБ;

b) забезпечити узгодженість принципів інформаційної безпеки до вимог бізнесу;

c) визначати юридичні та регулятивні вимоги і договірні обов'язки з безпеки;

d) підтримувати необхідний рівень безпеки шляхом правильного застосування всіх впроваджених засобів управління;

e) по необхідності проводити перевірки, і відповідно реагувати на результати цих перевірок; і

f) де необхідно, вдосконалювати ефективність СМІБ.

5.2.2 Навчання, поінформованість і компетентність

Організація повинна гарантувати те, що весь персонал, призначений виконувати встановлені в СМІБ обов'язки, досить компетентний, щоб виконувати поставлені завдання, шляхом:

a) встановлення необхідного рівня компетентності персоналу, залученого до робіт, що впливає на функціонування СМІБ;

b) проведення навчання або вжиття інших заходів (наприклад, призначення компетентного персоналу), щоб задовольнити ці потреби;

c) оцінювання ефективності вжитих заходів; і

d) ведення записів про підготовку, навчання, навичках, досвіді і кваліфікації (див. 4.3.3).

Організація також повинна переконатися в тому, що всі компетентні працівники усвідомлюють значущість і важливість своєї діяльності щодо забезпечення інформаційної безпеки, і їх внеску в досягнення цілей СМІБ.

  1. Опрацювати вимоги стандарту

4.1 Загальні вимоги

Організація повинна вводити, виконувати, використовувати, контролювати, переглядати, підтримувати та вдосконалювати документовані положення СМІБ в рамках всієї бізнес-діяльності організації, а також ризиків, з якими вона стикається. Заради практичної користі даного Міжнародного Стандарту використовуваний процес грунтується на моделі PDCA.

4.2 Створення та менеджмент сміб

4.2.1 Створення сміб

Організація повинна зробити таке.

a) З огляду на особливості діяльності організації, самої організації, її місця розташування, активів і технології, визначити масштаб і межі СМІБ, включаючи деталі і обгрунтування виключень-яких положень документа з проекту СМІБ.

b) З огляду на особливості діяльності організації, самої організації, її місця розташування, активів і технології, розробити політику СМІБ яка:

включає систему постановки цілей (завдань) і встановлює загальний напрямок керівництва і принципи дії щодо інформаційної безпеки;

бере до уваги ділові і юридичні або регулятивні вимоги, договірні зобов'язання з безпеки;

приєднана до стратегічної середовищі управління ризиком, в якій має місце створення і підтримка СМІБ;

встановлює критерії, за якими буде оцінюватися ризик, і затверджена керівництвом.

ПРИМІТКА: В цілях цього Міжнародного Стандарту, політикою СМІБ вважається розширений набір політик інформаційної безпеки. Ці політики можуть бути описані в одному документі.

c) Розробити концепцію оцінки ризику в організації.

Визначити методологію оцінки ризику, яка підходить СМІБ, і встановленої ділової інформаційної безпеки, юридичним та регулятивним вимогам.

Розробляти критерії прийняття ризику і визначати прийнятні рівні ризику.

Обрана методологія оцінки ризику повинна гарантувати, що оцінка ризику приносить порівнянні та відтворювані результати.

ПРИМІТКА: Існують різні методології оцінки ризику. Приклади методологій оцінки ризику розглянуті в МОС / МЕК ТУ 13335-3, Інформаційні технології - Рекомендації до менеджменту IT Безпеки - Методи менеджменту IT Безпеки.

d) Виявити ризики.

1) Визначити активи в рамках положень СМІБ, і власників2 (2 Термін «власник» ототожнюється з індивідом або суб'єктом, яка затверджена нести відповідальність за контроль виробництва, розвитку, технічного обслуговування, застосування та безпеки активів. Термін «власник» не означає, що персона дійсно має якісь права власності на актив) цих активів.

2) Виявити небезпеки для цих активів.

Виявити вразливі місця в системі захисту.

Виявити впливу, які руйнують конфіденційність, цілісність і доступність активів.

e) Проаналізувати і оцінити ризики.

Оцінити збиток бізнесу організації, який може бути нанесений внаслідок неспроможності системи захисту, а також бути наслідком порушення конфіденційності, цілісності, або доступності активів.

Визначити ймовірність провалу системи безпеки в світлі переважаючих небезпек і вразливостей, ударів, пов'язаних з активами, і впроваджених в даний час елементів управління.

Оцінити рівні ризику.

Визначити прийнятність ризику, або ж вимагати його скорочення, використовуючи критерії допустимості ризику.

f) Виявити та оцінити інструменти для скорочення ризику.

Можливі дії включають:

Застосування відповідних елементів управління;

Свідоме і об'єктивне прийняття ризиків, що гарантує їх безумовне відповідність вимогам політики організації і критеріям допустимості ризику;

Уникнення ризику; і

Передача відповідних бізнес-ризиків іншій стороні, наприклад, страховим компаніям, постачальникам.

g) Вибрати завдання і засоби управління для скорочення ризиків.

Завдання і засоби управління повинні бути обрані та впроваджені у відповідності до вимог, встановлених процесом оцінкою ризику і скорочення ризику. Цей вибір повинен враховувати як критерії допустимості ризику, так і юридичні, регулятивні та договірні вимоги.

Завдання і засоби управління з Додатка A повинні бути вибрані як частина цього процесу, що відповідають встановленим вимогам.

Т.к. в Додатку А перераховані не всі завдання і засоби управління, то можуть бути вибрані додаткові.

ПРИМІТКА: Додаток А містить всебічний список цілей управління, які були визначені як найбільш значущі для організацій. Щоб не пропустити ні один важливий пункт з опцій управління, які користуються даними Міжнародним Стандартом слід орієнтуватися на Додаток А як на відправний пункт для контролю вибірки.

h) Досягти затвердження управління передбачуваними залишковими ризиками.

i) Досягти авторизації управління для функціонування СМІБ.

j) Скласти Декларацію застосовності

А Декларація застосовності повинна включати наступне:

завдання і засоби управління і причини їх вибору;

завдання і засоби управління, що діють в даний час;

виключення будь-яких завдань і засобів управління з Додатка А та обгрунтування їх вилучення.

ПРИМІТКА: Декларація застосовності являє собою зведення рішень щодо скорочення ризику. Обгрунтування виключень забезпечує перевірку за різними джерелами того, що ні одного елемента управління не було упущено.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]