Библибоба

Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Управление информационной безопасностью. Стандарты СУИБ (СИ)

Вадим Викторович Гребенников

— определить недостатки в управлении путем сравнения существующих средств управления с определенными требованиями к управлению;

— определить и задокументировать текущее состояние организации.

Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.

<p>4. Проведение оценки и планирование обработки рисков</p>

Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.

Проведение оценки и планирование обработки рисков определяют следующие процессы:

1) проведение оценки рисков;

2) выбор средств ИБ;

3) получение санкции руководства на внедрение и использование СУИБ.

4.1. Проведение оценки рисков

Исходные данные:

— выходные данные раздела 2 — область действия и политика СУИБ;

— выходные данные раздела 3 — состояние ИБ и информационные активы;

— ISO/IEC 27005 — управление рисками ИБ.

Рекомендации: Оценка рисков состоит из следующих мероприятий:

— идентификация рисков;

— измерение рисков;

— оценивание рисков.

При оценке рисков необходимо определить:

— угрозы и их источники;

— меры защиты;

— уязвимости;

— последствия нарушений ИБ.

При оценке риска нужно также осуществить:

— оценку уровня риска;

— оценку влияния инцидента на организацию;

— сравнение уровня риска с критериями оценки и приемлемости.

Выходные данные:

— описание методологий оценки рисков;

— результаты оценки рисков.

4.2. Выбор средств ИБ

Исходные данные:

— выходные данные 4.1 — результаты оценки риска;

— ISO/IEC 27002 — правила СУИБ;

— ISO/IEC 27005 — управление рисками ИБ;

— ISO/IEC 27035 — управление инцидентами ИБ.

Рекомендации: Важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.

Разработка плана обработки инцидентов

Цель плана обработки инцидентов ИБ — обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.

Каждая организация должна использовать план в качестве руководства для:

— реагирования на события ИБ;

— определения того, становятся ли события ИБ инцидентами;

— управления инцидентами ИБ до их разрешения;

— реагирования на уязвимости ИБ;

— идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;

— реализации улучшений СУИБ.

Выходные данные:

— перечень выбранных мер и средств защиты;

— планы обработки рисков и инцидентов.

4.3. Получение санкции руководства на внедрение и использование СУИБ

Исходные данные:

— выходные данные 1.4 — утвержденный начальный проект СУИБ;

— выходные данные раздела 2 — область действия и политика СУИБ;

— выходные данные 4.1 — результаты оценки риска;

— выходные данные 4.2 — планы обработки рисков и инцидентов.

Рекомендации: Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СУИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СУИБ, в сравнении с рисками, возникающими в случае, когда СУИБ не применияется.

Выходные данные:

— письменное одобрение руководством внедрения СУИБ;

— утверждение руководством планов обработки рисков и инцидентов;

— положение о применимости, включающее выбранные меры и средства защиты.

<p>5. Разработка СУИБ</p>

Цель: Составить конечный план внедрения СУИБ путем разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СУИБ.

При разработке СУИБ следует принять во внимание следующие аспекты:

— безопасность организации;

— безопасность ИКТ;

— безопасность физических объектов;

— особые требования к СУИБ.

Безопасность организации охватывает административные аспекты ИБ, включая ответственность за обработку риска.

Безопасность ИКТ охватывает аспекты ИБ, связанные с ответственностью за снижение рисков при выполнении операций с ИКТ.

Перейти на страницу:
Читать далее

Похожие книги

Искусство обмана
Искусство обмана

Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии
Читать бесплатно
UNIX
UNIX

В книге американских авторов — разработчиков операционной системы UNIX — блестяще решена проблема автоматизации деятельности программиста, системной поддержки его творчества, выходящей за рамки языков программирования. Профессионалам открыт богатый "встроенный" арсенал системы UNIX. Многочисленными примерами иллюстрировано использование языка управления заданиями shell.Для программистов-пользователей операционной системы UNIX.

А. М. Березко , Брайан Керниган , Брайан Уилсон Керниган , Роб Пайк

ОС и Сети, интернет / Интернет / ОС и Сети / Книги по IT
Без регистрации
Основы AS/400
Основы AS/400

Фрэнк Солтис

ОС и Сети, интернет / ОС и Сети / Книги по IT
Полная версия
Веб-аналитика: анализ информации о посетителях веб-сайтов
Веб-аналитика: анализ информации о посетителях веб-сайтов

Компании в веб-пространстве тратят колоссальные средства на веб-аналитику и оптимизацию своих веб-сайтов, которые, в свою очередь, приносят миллиарды долларов дохода. Если вы аналитик или работаете с веб-данными, то эта книга ознакомит вас с новейшими точками зрения на веб-аналитику и то, как с ее помощью сделать вашу компанию весьма успешной в веб. Вы изучите инструментальные средства и показатели, которые можно использовать, но что важнее всего, эта книга ознакомит вас с новыми многочисленными точками зрения на веб-аналитику. Книга содержит много советов, приемов, идей и рекомендаций, которые вы можете взять на вооружение. Изучение веб-аналитики по этой уникальной книге позволит познакомиться с проблемами и возможностями ее современной концепции. Написанная практиком, книга охватывает определения и теории, проливающие свет на сложившееся мнение об этой области, а также предоставляет поэтапное руководство по реализации успешной стратегии веб-аналитики.Эксперт в данной области Авинаш Кошик в присущем ему блестящем стиле разоблачает укоренившиеся мифы и ведет по пути к получению действенного понимания аналитики. Узнайте, как отойти от анализа посещаемости сайта, почему основное внимание следует уделять качественным данным, каковы методы обретения лучшего понимания, которое поможет выработать мировоззрение, ориентированное на мнение клиента, без необходимости жертвовать интересами компании.- Изучите все преимущества и недостатки методов сбора данных.- Выясните, как перестать подсчитывать количество просмотренных страниц, получить лучшее представление о своих клиентах.- Научитесь определять ценность показателей при помощи тройной проверки "Ну и что".- Оптимизируйте организационную структуру и выберите правильный инструмент аналитики.- Изучите и примените передовые аналитические концепции, включая анализ SEM/PPC, сегментацию, показатели переходов и др.- Используйте решения с быстрым началом для блогов и электронной торговли, а также веб-сайтов мелкого бизнеса.- Изучите ключевые компоненты платформы экспериментирования и проверки.- Используйте анализ конкурентной разведки для обретения понимания и принятия мер.Здесь также находятся:- Десять шагов по улучшению веб-аналитики.- Семь шагов по созданию управляемой данными культуры в организации.- Шесть способов замера успеха блога.- Три секрета создания эффективной веб-аналитики.- Десять признаков великого веб-аналитика.

Авинаш Кошик

ОС и Сети, интернет
Читать Онлайн
Избранное