Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
на предприятии
Создание СУИБ на предприятии и подготовка к её сертификации на
соответствие требованиям стандарта ISO27001 делится на:
1. разработку системы управления и всех необходимых процедур;
2. внедрение системы управления.
3
1. Инвентаризация активов. Это составление перечня ценных активов
компании.
Стандарт ISO 17799 выделяет следующие виды активов:
- информационные ресурсы (базы и файлы данных, контракты,
системная документация, обучающие материалы и т.д.);
- программное обеспечение;
- материальные активы (компьютерное оборудование, средства
коммуникации и др.);
- сервисы (поддерживающая инфраструктура);
- сотрудники компании, их квалификация и опыт;
- нематериальные ресурсы (репутация и имидж компании).
6
3. Оценка защищённости информационной системы компании. На этом
этапе определяются действующие на активы угрозы, уязвимости
информационной системы, в которой обрабатываются активы. Угрозы и
уязвимости рассматриваются во взаимосвязи друг с другом. Различные
угрозы и уязвимости имеют разное значение для информационной
системы. Угрозы, уязвимости и их вероятности определяются в
результате проведения технологического аудита защищённости
информационной системы компании.
8
По результатам оценки и обработки рисков разрабатывается Положение о
применимости. Наличие этого документа обязательно для сертификации. Он
является итоговым решением относительно снижения информационных рисков
компании. Вообще, в рамках системы управления нужно разработать базу
нормативных документов, методики и инструкции, описывающие все
процедуры в области ИБ. Инструкции разрабатываются для каждой процедуры
обеспечения ИБ.
Обучение сотрудников компании – одни из способов снижения рисков ИБ.
Даже при надёжной внешней защите риски могут быть высокими за счёт
внутренних нарушений. Внутренние нарушители, т.е. сотрудники, имеют доступ
к ценной информации. Поэтому нужно проводить различные тренинги с целью
повышения осведомлённости сотрудников. Обучать их также можно
дистанционно, если компания большая.
Управление ИБ заключается в чётком выполнении всех процедур по
обеспечению ИБ, их координации и регулировании, а также в контроле их
правильного и эффективного выполнения.
Стандарт декларирует два основных принципа управления: процессный подход
9
и применение PDCA-модели.
6. Внедрение процедур системы управления ИБ. На этом этапе
информируются сотрудники о правилах и сроках выполнения процедуры,
регулярно контролируется их выполнение, оценивается их
эффективность, вносятся исправления.
Разрабатывается план, в котором описывается чёткая
последовательность действий при внедрении процедур, методы
контроля и осуществления проверок выполнения процедур.
10
Спасибо за внимание!
11