Четырнадцатый этап. Оповещение заинтересованных сторон

Тринадцатый этап. Официальный запуск СМИБ

Двенадцатый этап. Анализ СМИБ со стороны высшего руководства

Одиннадцатый этап. Внутренний аудит СМИБ

Десятый этап. Разработка и принятие мер по обеспечению работы СМИБ

Девятый этап. Обучение персонала

Восьмой этап. Разработка документации СМИБ

1. Определить перечень документов (процедур, записей, инструкций) для разработки
2. Разработка процедур и других документов

· управленческие процедуры (стандарт на разработку документов, управление документацией, записями; корректирующие и предупреждающие мероприятия; внутренний аудит; управление персоналом и др.)

· технические процедуры (приобретение, развитие и поддержка информационных систем; управление доступом; регистрация и анализ инцидентов; резервное копирование; управление съемными носителями и др.)

· записи управленческие (отчеты о внутренних аудитах; анализ СМИБ со стороны высшего руководства; отчет об анализе рисков; отчет о работе комитета по информационной безопасности; отчет о состоянии корректирующих и предупреждающих действий; договора; личные дела сотрудников и др.)

· записи технические (реестр активов; план предприятия; план физического размещения активов; план компьютерной сети; журнал регистрации резервного копирования; журнал регистрации факта технического контроля после изменений в операционной системе; логи информационных систем; логи системного администратора; журнал регистрации инцидентов; журнал регистрации тестов по непрерывности бизнеса и др.)

· инструкции, положения (правила работы с ПК, правила работы с информационной системой, правила обращения с паролями, инструкция по восстановлению данных из резервных копий, политика удаленного доступа, правила работы с переносным оборудованием и др.)

1. Разработка и введение в действие документов СМИБ

1. Обучение руководителей подразделений требованиям ИБ
2. Обучение всего персонала требованиям ИБ

1. Внедрение средств защиты

· административных

· учебных

· технических

1. Подбор команды внутреннего аудита СМИБ
2. Планирование внутреннего аудита СМИБ
3. Проведение внутреннего аудита СМИБ

1. Проведение анализа СМИБ со стороны высшего руководства

1. Приказ о введении в действие СМИБ

1. Информирование клиентов, партнеров, СМИ о запуске СМИБ

NOTES (ПРИМЕЧАНИЯ)

*Международная электротехническая комиссия (МЭК; англ. International Electrotechnical Commission, IEC; фр. Commission électrotechnique internationale, CEI) — международная некоммерческая организация по стандартизации в области электрических, электронных и смежных технологий. Некоторые из стандартов МЭК разрабатываются совместно с Международной организацией по стандартизации (ISO).

*Международная организация по стандартизации, ИСО (International Organization for Standardization, ISO) — международная организация, занимающаяся выпуском стандартов.

*Аудит, аудиторская проверка — процедура независимой оценки деятельности организации, системы, процесса, проекта или продукта. Чаще всего термин употребляется применительно к проверке бухгалтерской отчётности компаний.

Различают операционный, технический, экологический, качества и прочие разновидности аудита. Отдельные виды аудита близки по значению к сертификации.

*Система менеджмента информационной безопасности (СМИБ) — та часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

В случае построения в соответствии с требованиями ISO/IEC 27001 основывается на PDCA модели:

• Plan (Планирование) — фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;

• Do (Действие) — этап реализации и внедрения соответствующих мер;

• Check (Проверка) — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

• Act (Улучшения) — выполнение превентивных и корректирующих действий;

Для обозначения СМИБ, так же используется сокращение СУИБ (Система управления информационной безопасности). В России планируется принятие ГОСТ Р ИСО/МЭК 27001 «МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ».

* PCDA — («Plan-Do-Check-Act») циклически повторяющийся процесс принятия решения, используемый в управлении качеством. Также известен как Deming Cycle, Shewhart cycle, Deming Wheel, или Plan-Do-Study-Act.

* Лог — (англ. log) журнал событий, дневник, запись, протокол;

* СВТ – средства вычислительной техники. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

*НСД – несанкционированный доступ.

* РД – Руководящие Документы.

* Объединённый технический комитет №1 ISO/МЭК (англ. ISO/IEC Joint Technical Committee 1, ISO/IEC JTC 1) — подразделение Международной организации по стандартизации (англ. International Organization for Standardization, ISO) и Международной электротехнической комиссии (МЭК,англ. International Electrotechnical Commission, IEC), которое занимается всеми вопросами связанными со стандартами в области информационных технологий.

Дата добавления: 2015-04-30; Просмотров: 313; Нарушение авторских прав?; Мы поможем в написании вашей работы!