КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Создание СМИБ
|
|
|
|
Создание и менеджмент СМИБ
Общие требования
Система менеджмента информационной безопасности
Предписание по применимости
3.16
Сокращение риска
3.15
Управление рисками
3.14
Оценивание риска
3.13
Оценка рисков
3.12
процесс, охватывающий и анализ рисков, и оценку рисков
[МОС/МЭК Руководство 73:2002]
процесс сравнения оцененного риска с данными критериями риска для определения значимости риска.
[МОС/МЭК Руководство 73:2002]
согласованные действия по руководству и управлению организацией в отношении риска
[МОС/МЭК Руководство 73:2002]
процесс отбора и проведения мероприятий по изменению риска
[МОС/МЭК Руководство 73:2002]
ПРИМЕЧАНИЕ: В данном международном стандарте термин «управление» употребляется как синоним к термину «мера».
документированное положение, описывающее цели и средства управления, уместные и применимые в СМИБ организации
ПРИМЕЧАНИЕ: Цели и выбор средств управления основаны на результатах и выводах процессов оценки и сокращения рисков, юридических или регулятивных требованиях, договорных обязательствах и требованиях касательно бизнеса организации в целях обеспечения информационной безопасности.
Организация должна вводить, выполнять, использовать, контролировать, пересматривать, поддерживать и совершенствовать документированные положения СМИБ в рамках всей бизнес-деятельности организации, а также рисков, с которыми она сталкивается. Ради практической пользы данного Международного Стандарта используемый процесс основывается на модели PDCA, показанной на рис. 1.
Организация должна сделать следующее.
|
|
|
a) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, определить масштаб и границы СМИБ, включая детали и обоснования исключений каких-либо положений документа из проекта СМИБ (см.1.2).
b) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, разработать политику СМИБ которая:
1) включает систему постановки целей (задач) и устанавливает общее направление руководства и принципы действия относительно информационной безопасности;
2) принимает во внимание деловые и юридические или регулятивные требования, договорные обязательства по безопасности;
3) присоединена к стратегической среде управления риском, в которой имеет место создание и поддержка СМИБ;
4) устанавливает критерии, по которым будет оцениваться риск (см. 4.2.1 с)); и
5) утверждена руководством.
ПРИМЕЧАНИЕ: В целях этого Международного Стандарта, политикой СМИБ считается расширенный набор политик информационной безопасности. Эти политики могут быть описаны в одном документе.
c) Разработать концепцию оценки риска в организации.
1) Определить методологию оценки риска, которая подходит СМИБ, и установленной деловой информационной безопасности, юридическим и регулятивным требованиям.
2) Разрабатывать критерии принятия риска и определять приемлемые уровни риска (см. 5.1f).
Выбранная методология оценки риска должна гарантировать, что оценка риска приносит сравнимые и воспроизводимые результаты.
ПРИМЕЧАНИЕ: Существуют различные методологии оценки риска. Примеры методологий оценки риска рассмотрены в МОС/МЭК ТУ 13335-3, Информационные технологии – Рекомендации к менеджменту IT Безопасности – Методы менеджмента IT Безопасности.
d) Выявить риски.
1) Определить активы в рамках положений СМИБ, и владельцев2 (2 Термин «владелец» отождествляется с индивидом или субъектом, которая утверждена нести ответственность за контроль производства, развития, технического обслуживания, применения и безопасности активов. Термин «владелец» не означает, что персона действительно имеет какие-либо права собственности на актив) этих активов.
|
|
|
2) Выявить опасности для этих активов.
3) Выявить уязвимые места в системе защиты.
4) Выявить воздействия, которые разрушают конфиденциальность, целостность и доступность активов.
e) Проанализировать и оценить риски.
1) Оценить ущерб бизнесу организации, который может быть нанесён вследствие несостоятельности системы защиты, а также являться последствием нарушения конфиденциальности, целостности, или доступности активов.
2) Определить вероятность провала системы безопасности в свете преобладающих опасностей и уязвимостей, ударов, связанных с активами, и внедренных в настоящее время элементов управления.
3) Оценить уровни риска.
4) Определить приемлемость риска, или же требовать его сокращения, используя критерии допустимости риска, установленные в 4.2.1с)2).
f) Выявить и оценить инструменты для сокращения риска.
Возможные действия включают:
1) Применение подходящих элементов управления;
2) Сознательное и объективное принятие рисков, гарантирующее их безусловное соответствие требованиям политики организации и критериям допустимости риска (см. 4.2.1с)2));
3) Избежание риска; и
4) Передача соответствующих бизнес-рисков другой стороне, например, страховым компаниям, поставщикам.
g) Выбрать задачи и средства управления для сокращения рисков.
Задачи и средства управления должны быть выбраны и внедрены в соответствии с требованиями, установленными процессом оценкой риска и сокращения риска. Этот выбор должен учитывать как критерии допустимости риска (см. 4.2.1с)2)), так и юридические, регулятивные и договорные требования.
Задачи и средства управления из Приложения A должны быть выбраны как часть этого процесса, отвечающие установленным требованиям.
Т.к. в Приложении А перечислены не все задачи и средства управления, то могут быть выбраны дополнительные.
|
|
|
ПРИМЕЧАНИЕ: Приложение А содержит всесторонний список целей управления, которые были определены как наиболее значимые для организаций. Чтобы не пропустить ни один важный пункт из опций управления, пользующимся данным Международным Стандартом следует ориентироваться на Приложение А как на отправной пункт для контроля выборки.
h) Достигнуть утверждения управления предполагаемыми остаточными рисками.
i) Достигнуть авторизации управления для функционирования СМИБ.
j) Составить Декларацию Применимости
А Декларация Применимости должна включать следующее:
1) задачи и средства управления, выбранные в 4.2.1g), и причины их выбора;
2) задачи и средства управления, действующие в настоящее время (см. 4.2.1e)2)); и
3) исключение каких-либо задач и средств управления из Приложения А и обоснование их исключения.
ПРИМЕЧАНИЕ: Декларация применимости представляет собой сводку решений относительно сокращения риска. Обоснование исключений обеспечивает перепроверку по разным источникам того, что ни одного элемента управления не было упущено.
|
|
|
|
|
Дата добавления: 2015-04-29; Просмотров: 503; Нарушение авторских прав?; Мы поможем в написании вашей работы!