среда, 21 ноября 2012 г.

Этапы создания системы обеспечения информационной безопасности

Согласно модели PDCA выделяется 4 этапа создания системы обеспечения информационной безопасности (СОИБ):
  • Планирование СОИБ
  • Реализация СОИБ
  • Проверка СОИБ
  • Совершенствование СОИБ

Планирование СОИБ

  1. Определить область и границы действия СОИБ 
  2. Определить политику СОИБ 
  3. Определить подход к оценке риска в организации 
  4. Идентифицировать риски
  5. Проанализировать и оценить риски 
  6. Определить и оценить различные варианты обработки рисков 
  7. Выбрать цели и меры управления для обработки рисков 
  8. Получить подтверждения руководством предполагаемых остаточных рисков
  9. Получить разрешение руководства на внедрение СОИБ 
  10. Подготовить Положение о применимости 

Реализация (внедрение и функционирование) СОИБ

  1. Разработать план обработки рисков 
  2. Реализовать план обработки рисков 
  3. Внедрить выбранные меры управления
  4. Определить способ измерения результативности 
  5. Реализовать программы по обучению и повышению квалификации сотрудников 
  6. Управлять работой СОИБ
  7. Управлять ресурсами СОИБ 
  8. Внедрить процедуры, обеспечивающие возможность быстрого реагирования на инциденты 

Проверка (мониторинг и анализ) СОИБ

  1. Выполнять процедуры мониторинга и анализа 
  2. Проводить регулярный анализ результативности СОИБ 
  3. Измерять результативность мер управления для проверки соответствия требованиям ИБ
  4. Пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков 
  5. Проводить внутренние аудиты системы менеджмента информационной безопасности (СМИБ) через установленные периоды времени 
  6. Регулярно проводить руководством организации анализ СМИБ
  7. Обновлять планы ИБ с учетом результатов анализа и мониторинга 
  8. Регистрировать действия и события, способные повлиять на результативность или функционирование СОИБ 

Совершенствование СОИБ

  1. Выявлять возможности улучшения СОИБ 
  2. Предпринимать необходимые корректирующие и предупреждающие действия
  3. Передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам 
  4. Обеспечивать внедрение улучшений СМИБ для достижения запланированных целей
Источник: материалы лекций Алексея Басенко

Комментариев нет:

Отправить комментарий