Библибоба

Читаем Ценность ваших данных полностью

Ценность ваших данных

Александр Константинов , Николай Скворцов , Сергей Борисович Кузнецов

В соответствии с рекомендациями стандарта, СМИБ включает в себя полный комплекс направлений деятельности по обеспечению информационной безопасности, в том числе организацию деятельности и управление рисками, а также непосредственное применение мер защиты информации. Выбирать те или иные способы защиты информации следует на основе оценки рисков ИБ: размера возможного ущерба от реализации угроз конфиденциальности, целостности и доступности информации. А также исходя из необходимости выполнения нормативных обязательств перед государством, партнерами и другими заинтересованными сторонами.

Таким образом, предлагаемый подход позволяет применять стандарт для реализации СМИБ в организациях любого масштаба и уровня нормативного регулирования.

Важно, что ИСO/МЭК 27001 совместим с другими стандартами систем менеджмента, такими как ИСO 9001, ИСO 14000, ИСO 31000, ИСO/МЭК 38500, ИСO/МЭК 20000, ИСO/МЭК 22301. Это позволяет использовать единый подход и принципы, общую терминологию, реализовать интегрированные процессы по направлениям контроля качества выпускаемой продукции, охраны окружающей среды, стратегического управления и управления ИТ-сервисами, обеспечения непрерывности деятельности организации, и, наконец, информационной безопасности. Что, в свою очередь, дает возможность построить структурированную и прозрачную систему менеджмента организации и повысить общую эффективность соответствующих процессов[499].

15.1.4. Система менеджмента информационной безопасности

Система менеджмента информационной безопасности (СМИБ) включает в себя политику, процедуры, руководящие принципы и связанные с ними ресурсы, мероприятия, коллективно управляемые организацией в целях защиты ее информационных активов.

Эта система обеспечивает системный подход к созданию, внедрению, функционированию, мониторингу, анализу, поддержке и усилению ИБ организации для достижения бизнес-целей. Она основывается на оценке рисков и уровнях принятия рисков организацией, предназначенных для эффективной обработки рисков и управления ими. Анализ требований по защите информационных активов и применение соответствующих мер, обеспечивающих необходимую защиту этих активов, способствуют успешному внедрению СМИБ.

Для успешного внедрения СМИБ организации должны соблюдать следующие основные принципы[500]:

● понимание необходимости использования СМИБ;

● назначение ответственности за обеспечение ИБ;

● обеспечение баланса между обязательствами руководства и потребностями заинтересованных сторон;

● повышение социальной значимости;

● оценивание рисков, чтобы применять необходимые меры обеспечения ИБ для достижения допустимых уровней рисков;

● обеспечение безопасности неотъемлемых элементов информационных сетей и систем;

● активное предупреждение и выявление инцидентов ИБ;

● применение комплексного подхода к менеджменту ИБ;

● регулярную переоценку уровня ИБ и внесение соответствующих изменений.

15.1.5. Разработка и сопровождение СМИБ

Организация должна предпринимать следующие шаги по разработке, мониторингу, поддержке и улучшению своей СМИБ:

1) определение информационных активов и связанных с ними требований ИБ;

1) оценка рисков ИБ и их обработка;

2) выбор и внедрение соответствующих мер обеспечения ИБ в отношении неприемлемых рисков;

3) мониторинг, поддержка и повышение эффективности мер обеспечения информационной безопасности, связанных с информационными активами организации.

Для гарантии эффективной непрерывной зашиты информационных активов организации с помощью СМИБ необходимо постоянно повторять шаги 1–4, чтобы выявлять изменения в рисках, стратегии организации или бизнес-целях[501].

1. Определение информационных активов и связанных с ними требований ИБ

В рамках общей стратегии и бизнес-целей организации, ее размера и географического расположения требования ИБ можно сформулировать на основе анализа следующих факторов:

● идентифицированные информационные активы и их ценность;

● потребности бизнеса в обработке, обмене и хранении информации;

● юридические, нормативные и договорные требования.

Проведение систематической оценки рисков, связанных с информационными активами организации, включает в себя анализ угроз, уязвимостей, анализ потенциального воздействия любого инцидента ИБ и вероятности возникновения угрозы информационным активам, а также анализ потенциального воздействия любого инцидента ИБ на информационные активы. Расходы на соответствующие меры обеспечения ИБ будут пропорциональны предполагаемому влиянию риска на бизнес.

2. Оценка рисков ИБ и их обработка

Менеджмент риска ИБ требует должной оценки риска и метода его обработки. Это в свою очередь предполагает оценку затрат и преимуществ, законных требований, социальных, экономических и экологических аспектов, переменных, проблем заинтересованных сторон, приоритетов и других входных данных.

Перейти на страницу:
Читать далее

Похожие книги

100 абсолютных законов успеха в бизнесе
100 абсолютных законов успеха в бизнесе

Почему одни люди преуспевают в бизнесе больше других? Почему одни предприятия процветают, в то время как другие терпят крах? Известный лектор и писатель по вопросам бизнеса нашел ответы на эти очень трудные вопросы. В своей книге он представляет набор принципов, или `универсальных законов`, которые лежат в основе успеха деловых людей всего мира. Практические рекомендации Трейси имеют вид 100 доступных для понимания и простых в применении законов, относящихся к важнейшим сферам труда и бизнеса. Он также приводит примеры из реальной жизни, которые наглядно иллюстрируют, как работает каждый из законов, а также предлагает читателю упражнения по применению этих законов в работе и жизни.

Брайан Трейси

Деловая литература / Маркетинг, PR, реклама / О бизнесе популярно / Финансы и бизнес
Читать бесплатно
Алчность и слава Уолл-Стрит
Алчность и слава Уолл-Стрит

Лауреат Пулитцеровской премии Джеймс Б. Стюарт стал первым, кто показал, что благородство и респектабельность Уолл-стрит являются лишь вершиной айсберга, в подводной части которого таится мир коррупции и преступных сговоров, процветает манипулирование ценами и нелегальное использование закрытой информации. Жанр книги Джеймса Стюарта с трудом поддается определению. С одной стороны, это журналистское расследование: книга основана исключительно на реальных событиях, документах и торговой информации, а с другой – остросюжетный триллер, где описание человеческой натуры, большого бизнеса и крупномасштабных спекуляций исполнено небывалого драматизма.

Джеймс Б. Стюарт , Джеймс Стюарт

Деловая литература / Биографии и Мемуары / Документальное / Финансы и бизнес
Без регистрации
100 способов мотивации
100 способов мотивации

Авторы создали актуальное, удобное, вдохновляющее руководство для лидеров, менеджеров и профессионалов своего дела, а также для всех, кто к этому стремится. Книга обобщила в себе лучший опыт проведения семинаров, тренингов и коучинговых программ по лидерству и коммуникации, среди участников которых многие известные компании и организации.Для широкого круга читателей.

Скотт Ричардсон , Стив Чандлер

Деловая литература
Полная версия
50 правил успеха, чтобы достичь желаемого в бизнесе и в личной жизни
50 правил успеха, чтобы достичь желаемого в бизнесе и в личной жизни

Постройте жизнь по своему сценарию! «50 правил успеха» от Джека Кэнфилда – эксперта по достижению успеха, автора бестселлеров, разошедшихся по всему миру тиражами в 500 000 000 экземпляров. Эта книга ‒ признанная классика, которая помогла 500 000 читателям добиться успеха как в бизнесе, так и в личной жизни."50 правил успеха" работают для всех. Неважно, в чём состоит ваша цель ‒ как только вы начнете применять правила на практике, ваша жизнь изменится так, как вы даже мечтать не осмеливались.[i]Книга также выходила под названием «Правила успеха».[/i]

Джанет Свитцер , Джек Кэнфилд

Деловая литература
Читать Онлайн
Избранное