1   2   3   4   5   6   7   8   9
Ім'я файлу: Курсова 5..docx
Розширення: docx
Розмір: 270кб.
Дата: 25.05.2023
скачати

Четвертий етап: Визначення політики і цілей СМІБ.


9. Визначити політику СМІБ;

Політика СМІБ включає декілька основних пунктів:

1. Виконання політики безпеки основане на пошуку і коригуванні слабких місць в системі ІБ.

Керівництво повинно:

  1. Розробляти політики СМІБ

  2. Встановлювати цілі та плани

  3. Розподіляти відповідальність в області ІБ

  4. Доводити до відома всіх співробітників

  5. Забезпечувати ресурсами

  6. Приймати рішення про прийнятні рівні ризиків

  7. Забезпечувати проведення внутрішніх аудитів

  8. Проводити аналіз СМІБ

2. Якщо розглядати політику безпеки для існуючих бізнес-процесів, то її основним завданням є виявлення загроз і вразливостей безпеки для існуючих бізнес-процесів.

Організація повинна ідентифікувати ризики:

  1. Ідентифікувати активи

  2. Ідентифікувати загрози цим активам

  3. Ідентифікувати вразливості, які можуть бути використані цими погрозами

  4. Визначити вплив, який може привести до втрати конфіденційності, цілісності та доступності ресурсів.

3. Політика безпеки фірми з розрахунку ризиків і прийняття рішень на основі бізнес-цілей сформована певними діями організації.

Організація повинна проаналізувати і оцінити ризики:

  1. Оцінити збиток бізнесу

  2. Оцінити ймовірність виникнення порушення

  3. Оцінити рівні ризиків

  4. Визначити, чи є ризик прийнятним або потрібна обробка ризику з використанням критеріїв прийняття ризику

4. Важливим аспектом політики безпеки фірми є ефективне управління підприємством в критичній ситуації.

Організація повинна управляти безперервністю бізнесу:

  1. Визначити та впровадити процеси для безперервності бізнесу

  2. Ідентифікувати події, які можуть привести до порушень бізнес-процесів, визначити можливості і ступеня впливу

  3. Визначити пріоритети планів для їхнього тестування та підтримки

  4. Тестувати і регулярно оновлювати плани

10. Визначити цілі СМІБ з кожного процесу СМІБ.

Нижче наведено загальні цілі для деяких процесів СМІБ, які можуть бути застосовані в фірмі:

1.Ризик-аналіз та управління ризиками:

  • Виявлення потенційних загроз і слабких місць в системі безпеки інформації фірми.

  • Оцінка ризиків та визначення заходів для мінімізації ризиків.

  • Забезпечення постійного моніторингу та управління ризиками інформаційної безпеки.

2.Керування доступом:

  • Забезпечення авторизованого та контрольованого доступу до інформації та систем фірми.

  • Встановлення політик та процедур для керування ідентифікацією, аутентифікацією та авторизацією користувачів.

  • Забезпечення обмеженого доступу до конфіденційної інформації залежно від потреб та ролей користувачів.

3.Фізична безпека:

  • Забезпечення фізичної безпеки приміщень, обладнання та фізичних активів фірми.

  • Контроль доступу до приміщень та обмеження несанкціонованого фізичного доступу до систем інформації.

4.Управління інцидентами та відновлення:

  • Виявлення, обробка та відновлення від інцидентів безпеки інформації.

  • Розробка процедур реагування на інциденти та планів відновлення після інциденту.

  • Постійне покращення механізмів виявлення, реагування та відновлення для забезпечення безпеки інформації.

5.Свідомість та навчання персоналу:

  • Забезпечення навчання, тренінгів та свідомості персоналу щодо безпеки інформації.

  • Поширення політик та процедур безпеки серед персоналу фірми.

  • Залучення персоналу до виявлення та повідомлення про можливі загрози безпеці інформації.

1   2   3   4   5   6   7   8   9

скачати

© Усі права захищені
написати до нас