Библибоба

Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Управление информационной безопасностью. Стандарты СУИБ (СИ)

Вадим Викторович Гребенников

— специального оборудования, используемого для размещения аппаратного обеспечения ИКТ или данных, применяемых в СУИБ.

Выходные данные:

— описание физических границ СМИБ с обоснованием для исключения каких-либо физических границ, находящихся под управлением организации, из области действия СМИБ;

— описание организации и ее географических характеристик, относящихся к области действия СМИБ.

2.4. Объединение всех областей действия и границ СУИБ

Исходные данные:

— выходные данные 1.2 — описание предварительной области действия СУИБ;

— выходные данные 2.1 — определение организационной области действия и границ;

— выходные данные 2.2 — определение области действия и границ ИКТ;

— выходные данные 2.3 — определение физической области действия и границ.

Рекомендации: Свести все исходные данные в один документ.

Выходные данные: Документ, описывающий область действия и границы СУИБ, должен содержать следующую информацию:

— ключевые характеристики организации (функция, структура, активы и область действия и границы ответственности для каждого актива);

— процессы в организации, находящиеся в области действия СУИБ;

— предварительный перечень активов, находящихся в области действия СУИБ;

— конфигурация оборудования и сетей, находящихся в области действия СУИБ;

— схемы объектов, определяющие физические границы СУИБ;

— описание ролей и сфер ответственности в рамках СУИБ и их связи со структурой организации;

— описание и обоснование исключений каких-либо элементов из области действия СУИБ.

2.5. Разработка политики СУИБ и получение одобрения руководства

Исходные данные:

— выходные данные 2.4 — документированная область действия и границы СУИБ;

— выходные данные 1.2 — документированные цели внедрения СУИБ;

— выходные данные 1.3 — описание случая применения и проект плана СУИБ.

Рекомендации: Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику ИБ и политику СУИБ. В свою очередь, политика ИБ может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам ИБ.

Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика ИБ подкрепляется политиками, касающимися контроля доступа, политики чистого рабочего стола и экрана, использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.

Согласно стандарту ISO/IEC 27001 требуется, чтобы организации имели политику СУИБ и политику ИБ. Согласно стандарту ISO/IEC 27035 требуется, чтобы организации имели политику управления инцидентами ИБ.

Эти политики могут разрабатываться как равноправные политики — политика СУИБ может подчиняться политике ИБ или наоборот. В то же время политика управления инцидентами ИБ является составной частью политики СУИБ.

Содержание политики основано на контексте, в котором работает организация.

При разработке любой политики нужно учитывать следующие составляющие:

— цели и задачи;

— стратегии для достижения целей;

— структуру и процессы организации;

— требования политик более высокого уровня.

Любая политика содержит следующие разделы:

— введение;

— область действия;

— цели, принципы;

— сферы ответственности;

— ключевые результаты;

— связанные политики.

Краткое содержание политики:

1. Введение — краткое объяснение предмета политики.

2. Область действия — описывает части или действия организации, находящиеся под влиянием политики.

3. Цели — описание назначения политики.

4. Принципы — описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем — правила выполнения процессов.

5. Сферы ответственности — кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.

6. Ключевые результаты — описание результатов, получаемых предприятием, если цели достигнуты.

7. Связанные политики — описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.

Выходные данные: Задокументировання политика СУИБ, утвержденная руководством.

<p>3. Проведение анализа требований к ИБ</p>

Цель: Определить требования, которым должна соответствовать СУИБ, определить активы и получить данные по текущему состоянию ИБ в рамках области действия СУИБ.

Информация, собранная в процессе анализа ИБ, должна:

Перейти на страницу:
Читать далее

Похожие книги

Искусство обмана
Искусство обмана

Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии
Читать бесплатно
UNIX
UNIX

В книге американских авторов — разработчиков операционной системы UNIX — блестяще решена проблема автоматизации деятельности программиста, системной поддержки его творчества, выходящей за рамки языков программирования. Профессионалам открыт богатый "встроенный" арсенал системы UNIX. Многочисленными примерами иллюстрировано использование языка управления заданиями shell.Для программистов-пользователей операционной системы UNIX.

А. М. Березко , Брайан Керниган , Брайан Уилсон Керниган , Роб Пайк

ОС и Сети, интернет / Интернет / ОС и Сети / Книги по IT
Без регистрации
Основы AS/400
Основы AS/400

Фрэнк Солтис

ОС и Сети, интернет / ОС и Сети / Книги по IT
Полная версия
Веб-аналитика: анализ информации о посетителях веб-сайтов
Веб-аналитика: анализ информации о посетителях веб-сайтов

Компании в веб-пространстве тратят колоссальные средства на веб-аналитику и оптимизацию своих веб-сайтов, которые, в свою очередь, приносят миллиарды долларов дохода. Если вы аналитик или работаете с веб-данными, то эта книга ознакомит вас с новейшими точками зрения на веб-аналитику и то, как с ее помощью сделать вашу компанию весьма успешной в веб. Вы изучите инструментальные средства и показатели, которые можно использовать, но что важнее всего, эта книга ознакомит вас с новыми многочисленными точками зрения на веб-аналитику. Книга содержит много советов, приемов, идей и рекомендаций, которые вы можете взять на вооружение. Изучение веб-аналитики по этой уникальной книге позволит познакомиться с проблемами и возможностями ее современной концепции. Написанная практиком, книга охватывает определения и теории, проливающие свет на сложившееся мнение об этой области, а также предоставляет поэтапное руководство по реализации успешной стратегии веб-аналитики.Эксперт в данной области Авинаш Кошик в присущем ему блестящем стиле разоблачает укоренившиеся мифы и ведет по пути к получению действенного понимания аналитики. Узнайте, как отойти от анализа посещаемости сайта, почему основное внимание следует уделять качественным данным, каковы методы обретения лучшего понимания, которое поможет выработать мировоззрение, ориентированное на мнение клиента, без необходимости жертвовать интересами компании.- Изучите все преимущества и недостатки методов сбора данных.- Выясните, как перестать подсчитывать количество просмотренных страниц, получить лучшее представление о своих клиентах.- Научитесь определять ценность показателей при помощи тройной проверки "Ну и что".- Оптимизируйте организационную структуру и выберите правильный инструмент аналитики.- Изучите и примените передовые аналитические концепции, включая анализ SEM/PPC, сегментацию, показатели переходов и др.- Используйте решения с быстрым началом для блогов и электронной торговли, а также веб-сайтов мелкого бизнеса.- Изучите ключевые компоненты платформы экспериментирования и проверки.- Используйте анализ конкурентной разведки для обретения понимания и принятия мер.Здесь также находятся:- Десять шагов по улучшению веб-аналитики.- Семь шагов по созданию управляемой данными культуры в организации.- Шесть способов замера успеха блога.- Три секрета создания эффективной веб-аналитики.- Десять признаков великого веб-аналитика.

Авинаш Кошик

ОС и Сети, интернет
Читать Онлайн
Избранное