Рекомендации по организации иб в организации реферат
Обновлено: 04.07.2024
Работа системы основана на подходах современной теории риск менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.
Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.
Содержание
Внедрение системы менеджмента информационной безопасности……………………………………………………………………….4
Организация защиты информации на предприятии……………. 10
Документирование конфиденциальной информации………………11
Библиографический список………………………………………………..13
Список электронных ресурсов…………………………………………….14
Вложенные файлы: 1 файл
Реферат123.docx
Система менеджмента информационной безопасности и защиты информации организации: документирование конфиденциальной информации
- Список сокращений и специальных терминов…………………… ……….3
- Содержание реферата………………………………………………………. .4
- Внедрение системы менеджмента информационной безопасности……………………………………………… ……………………….4
- Организация защиты информации на предприятии……………. 10
- Документирование конфиденциальной информации………………11
Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.
Доступность информации – это возможность получить за приемлемое время требуемую информационную услугу.
Информационная безопасность — это состояние защищённости информационной среды; защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.
Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.
Конфиденциальность информации – это защита от несанкционированного доступа к информации.
Политика безопасности – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Система менеджмента информационной безопасности — это совокупность процессов, которые работают в компании для обеспечения конфиденциальности, целостности и доступности информационных активов.
Целостность информации – актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
- Внедрение системы менеджмента информацио нной безопасности
- управление внутренней организацией информационной безопасности;
- обеспечение информационной безопасности при взаимодействии с третьими сторонами;
- управление реестром информационных активов и правила их классификации;
- управление безопасностью оборудования;
- обеспечение физической безопасности;
- обеспечение информационной безопасности персонала;
- планирование и принятие информационных систем;
- резервное копирование;
- обеспечение безопасности сети;
- и многие другие.
- эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;
- предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;
- повышения культуры ИБ в организации;
- повышения зрелости в области управления обеспечением ИБ;
- оптимизации расходования средств на обеспечение ИБ.
- организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;
- определяют область деятельности (ОД) СМИБ;
- обследуют организацию в ОД СМИБ:
- в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;
- в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;
- в части ИТ инфраструктуры;
- в части ИБ инфраструктуры;
Результатом данных работ является функционирующая СМИБ целевого уровня зрелости.
Сертификация СМИБ проводится по решению высшего руководства организации. Она обеспечивает конкурентное преимущество организации в случае, если соответствующие требования являются значимыми на целевых рынках. Сертификация СМИБ включает:
- выбор сертифицирующей организации;
- организацию предсертификационного аудита;
- консультационные услуги по выполнению корректирующих и предупреждающих действий по устранению замечаний, полученных на предсертификационном аудите;
- организацию сертификационного аудита;
- консультационные услуги по выполнению корректирующих и предупреждающих действий по устранению замечаний, полученных на сертификационном аудите;
- сопровождение СМИБ после сертификационного аудита.
Привлечение к сертификационному аудиту СМИБ зарубежных аудиторов диктует использование в ходе построения СМИБ оригинальных англоязычных версий современных стандартов в области управления ИБ и ИТ.
Используются следующие источники:
- международные стандарты ISO/IEC: 27001:2005, 27005:2008, 27002:2005;
- другие зарубежные стандарты и рекомендации: ISO/IEC TR 18044, BS 25999-1:2006, BS 25999-2:2007, PAS 77:2006, IT BIP 0071, 0072, 0073, 0074, NIST SP 800-53:2007;
- собственные разработки компании Открытые Технологии: концепция обеспечения информационной безопасности в распределенной организации;
- количественная и рейтинговая методики оценки рисков ИБ; обобщенная процессная модель СМИБ;
- типовые проекты построения технических подсистем информационной безопасности.
Перечень подсистем, состав средств каждой подсистемы и их поставщик определяются на этапе разработки и реализации технических проектов на основании результатов оценки и обработки рисков и принятия решения по их обработке высшим руководством компании.
Читайте также:
Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005.
Работа системы основана на подходах современной теории риск менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.
Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.
Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:
Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность — это результат устойчивого функционирования процессов, связанных с информационными технологиями.
Использование ИТ-решений для поддержки основных бизнес-процессов компании или непосредственно для оказания услуг клиентам предъявляет высокие требования к их качеству – доступности, мощности, непрерывности и безопасности использования. Реализация угроз различного характера – от вирусной эпидемии во внутренней сети до отказа системы электропитания в масштабах города – может привести к нарушению деятельности организации, прямым финансовым потерям и ущербу репутации. Зрелая Система менеджмента информационной безопасности (СМИБ) обеспечивает эффективное управление обеспечением ИБ: отсутствие неприемлемых рисков со стороны ИТ-систем для организации, и поддержание баланса между рисками и затратами на обеспечение ИБ.
Выгоды от реализации СМИБ в организации достигаются за счет:
Компания Открытые Технологии предоставляет своим клиентам полный спектр услуг в области построения, эксплуатации, развития и сертификации СМИБ.
Современная СМИБ представляет собой процессно- ориентированную систему управления, включающую организационный, документальный и программно-аппаратный компоненты. Можно выделить следующие разрезы СМИБ: процессный, документальный и зрелостный.
Процессы СМИБ созданы в соответствии с требованиями стандарта ISO/IEC 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание – Внедрение и эксплуатация – Мониторинг и анализ – Сопровождение и совершенствование. Процессы СМИБ интегрируются в существующую структуру бизнес-процессов организации для выполнения всех требований стандарта.
Для их автоматизации применяется специализированное программное обеспечение, использование которого позволяет существенно уменьшить трудоемкость эксплуатации СМИБ, повысить уровень зрелости процессов менеджмента и упростить процедуры внутреннего и внешнего сертификационного аудита.
Документация СМИБ состоит из политик, документированных процедур, стандартов и записей и делится на две части: документация менеджмента СМИБ и эксплуатационная документация СМИБ.
Документация менеджмента ИБ представлена Политиками ИБ и СМИБ, основной процедурой – "Менеджмент ИБ" и сопутствующими формами записей, процедурами "Внутренний аудит", "Управление документацией" и Управление Записями. При необходимости СМИБ интегрируется с существующей в организации СМК, а также с другими системами менеджмента.
Зрелостная модель СМИБ определяет состав и детализацию разрабатываемой документации, последовательность построения СМИБ, детальность разрабатываемой документации и степень автоматизации процессов менеджмента и эксплуатации СМИБ. При оценке и планировании используется модель зрелости CobiT. В Программе повышения зрелости СМИБ приводятся состав и сроки мероприятий по совершенствованию процессов менеджмента ИБ и управления эксплуатацией средств ИБ.
При построении СМИБ специалисты компании Открытее Технологии проводят следующие работы: