Шостий етап: Планування впровадження СМІБ.
14. Визначити перелік заходів для досягнення вимог стандарту;
Наша мета — запровадити СУІБ, яка відповідає вимогам стандарту ISO 27001. На даний момент ми виконали два критерії зі списку, наданого на попередньому етапі. Наступним кроком є визначення основних дій, які необхідно виконати, щоб наша компанія відповідала стандарту.
Пункт 4 Пункт 2 ст.
Ми повинні виконати наступні дії відповідно до пункту 2 стандарту ISO 27001.
Створіть стратегію зменшення ризиків, яка окреслює ініціативи керівництва, фінансові зобов’язання та пріоритетні цілі для управління ризиками інформаційної безпеки.
Введення в дію плану зменшення ризиків, який включає аналіз відповідальності та фінансування.
3. Використовуйте інструменти управління для досягнення цілей.
Встановіть, як цю систему заходів слід використовувати для оцінки ефективності управління та отримання послідовних і повторюваних результатів. Визначтеся з методологією оцінки ефективності обраних інструментів управління.
5. Керувати роботою СМІБ та реалізовувати навчальні та інформаційні програми.
6. Впровадити процедури та інші інструменти управління, які дозволять оперативно виявляти події безпеки та реагувати на інциденти безпеки. Забезпечити СМІБ необхідними трудовими ресурсами.
15. Розробити інструкцію з інформаційної безпеки.
Відповідно до нововведень у фірмі керівництво розробило посібник з інформаційної безпеки. Цей посібник вміщає в собі такі пункти:
Загальні положення інформаційної безпеки (ІБ)
Поняття ІБ
Загрози ІБ
Методи і засоби забезпечення ІБ
Основні терміни в сфері ІБ
Стандарти у сфері управління ІБ
Основи стандарту ISO 27001
Впровадження стардарту ISO 27001 на підприємствах
Система менеджменту інформаційної безпеки (СМІБ) та її оцінка
Основи безпеки інформаційних технологій
3.1 Інформаційні системи та технології як об'єкти інформаційної безпеки
3.2 Забезпечення безпеки інформаційних ресурсів
3.3 Основні напрями забезпечення безпеки інформації та інформаційних ресурсів
Сьомий етап: Впровадження системи управління ризиками.
Розробити процедуру з ідентифікації ризиків;
Оцінка інформаційних ризиків у видавництві - це процес визначення можливих загроз безпеці інформації в організації, що може привести до її втрати, порушення конфіденційності, цілісності і доступності. Для оцінки інформаційних ризиків у видавництві потрібно:
Визначити активи, які підлягають захисту (наприклад, бази даних з персональними даними, фінансова інформація тощо).
Визначити можливі загрози безпеці інформації, такі як кібератаки, витік інформації від працівників або сторонніх осіб, природні катастрофи тощо.
Оцінити вірогідність виникнення кожної загрози і визначити її потенційний вплив на активи.
Розробити стратегію зменшення ризиків, визначивши необхідні заходи для забезпечення безпеки інформації.
Регулярно оцінювати інформаційні ризики і проводити аналіз ефективності заходів з їх зменшення.
17. Ідентифікувати і ранжувати активи; (Каталог «Модулі» методики ІТ-Грундшутц)
На даному етапі слід визначити всі наявні активи в компанії, все те, що містить цінність для організації. Класифікувати їх за такими ознаками, як:
Назва
Кількість
Відділ, в якому використовується
Користувач
Категорія
Групова відповідність
Відділи приміщення компанії:
1. "Технічне відділення" або "Центр обслуговування технічної підтримки" - це приміщення, де знаходяться спеціалісти з технічної підтримки, розробники програмного забезпечення та ІТ-адміністратори.
2. "Маркетинговий відділ" - це приміщення, де знаходяться співробітники, що відповідають за маркетинг, рекламу, зв'язки з клієнтами, веб-дизайн та контент-менеджмент.
3. "Фінансовий відділ" або "Відділ фінансів та адміністрації" - це приміщення, де розміщується фінансовий менеджер, бухгалтерія, кадровий відділ та інші співробітники, що відповідають за фінансові аспекти та адміністративні процеси компанії.
4. "Адміністративне відділення" - це приміщення, де знаходяться офісні робочі місця керівництва, менеджерів та адміністративного персоналу.
Власниками активів являються працівники фірми.
Ось персонал, призначений для кожного приміщення:
Відділ управління:
Директор/генеральний директор
Менеджер проекту
Менеджер інформаційної безпеки
Менеджер з розвитку бізнесу
Відділ технічної підтримки та розробки:
Розробник програмного забезпечення
ІТ-адміністратор
Відділ маркетингу та зв'язків з клієнтами:
Клієнт-менеджер
Маркетинговий менеджер
Веб-дизайнер
Контент-менеджер
Відділ фінансів та адміністрації:
Фінансовий менеджер
Кадровик
Цей персонал покриває різні функціональні області та забезпечує роботу відповідних відділів та приміщень
Групи активів:
Програмне забезпечення - ПЗ
Комп’ютерна і мережева техніка - КМТ
Документація - Д
Електронна документація - ЕД
Бази даних - БД
Архівна інформація - АІ
Обладнання - О
Персонал – П
| Назва | Кількість | Відділ, в якому використовується | Користувач | Категорія | Групова відповідність |
| Веб-сайт І додатки | 1, 1 | 2.3 | ІТ-адміністратори | Складні | КМТ, ПЗ і ЕД |
| ПК | 26 | 1,2,3,4 | Всі працівники компанії | Складні | КМТ |
| Телефони | 26 | 1,2,3,4 | Всі працівники компанії | Прості | О |
| Принтери | 6 | 1,2,3,4 | Працівники 1,2,3,4 відділів | Прості | КМТ |
| Маршрутизатори | 2 | 3 | Системний адміністратор | Складні | КМТ |
| Сервери | 1 | 3 | Працівники 3 відділу | Складні | КМТ |
| Ксерокси | 4 | 1,2,3,4 | Працівники 1,2,3,4 відділів | Прості | КМТ |
| База даних клієнтів | 4 | 1,2 | Бухгалтер, , менеджери по оформленню замовлень, оператори по оформленню білетів | Складні | БД |
| База даних працівників | 4 | 1,2,3,4 | Бухгалтер, кадровик, начальник відділу кадрів, заступник директора, директор, менеджер по роботі з персоналом | Складні | БД |
| База даних співпрацюючих фірм | 13 | 1,2,3 | Директор і його заступник, бухгалтер | Складні | БД |
| Архівні документи | 17 - різновидів | 1,2,3,4 | Всі працівники компанії | Складні | АІ |
| Архівні ел.носії інф. | Невизначена кількість | 3,4 | Всі працівники, крім операторів і охорони | Складні | АІ |
| Документація | Невизначена кількість | 1,2,3,4 | Всі працівники компанії | Прості | Д і ЕД |
| Фінансові звіти | Невизначена кількість | 3 | Директор і його заступник, бухгалтер, начальник відділу кадрів | Складні | Д і ЕД |
| Бухгалтерські звіти | Невизначена кількість | 3 | Бухгалтер | Складні | Д і ЕД |
| Договори з клієнтами | Невизначена кількість | 1,2,3 | Заступник директора, бухгалтер, менеджери по оформленню замовлень | Складні | Д |
| Сертифікат відповідності | 1 | 1 | Директор, завідуючий директора | Прості | Д |
| Сертифікат якості | 1 | 1 | Директор, завідуючий директора | Прості | Д |
| Сейфи | 3 | 3,4 | Директор, завідуючий директора, бухгалтер | Складні | О |
| Пакети ПЗ | 26 | 1,2,3,4. | Всі працівники | Прості | ПЗ |
Ідентифікувати загрози та вразливості активів
Загроза - це потенційна можливість завдання шкоди, з використанням вразливостей. Вразливість – слабке місце системи з використанням якого можна реалізувати атаку на систему, в даному випадку – на активи
| Назві активів | Вразливості | Загрози |
| ПК | За деяким ПК працює декілька працівників, ненадійність паролів | Апаратні збої, крадіжка |
| Телефони | Підключення до загальної телефонної лінії | Прослуховування телефонних переговорів |
| Сервера | Мають вихід в Інтернет | Крадіжка, копіювання інформації |
| База даних клієнтів | Ненадійність паролів ПК, доступ до мережі Інтернет | Копіювання даних, спотворення і підробка даних |
| База даних працівників | Ненадійність паролів ПК, доступ до мережі Інтернет | Копіювання даних, спотворення і підробка даних |
| Архівна документація | Не всі архівні документи знаходяться в сейфах, доступність до архівів всіх працівників компанії | Крадіжка і вивчення документації, її підробка |
| Документація | Не зберігається в сейфах, до деяких документів доступ мають декілька працівників | Копіювання даних, спотворення і підробка даних |
| Фінансові звіти | Ненадійність паролів ПК | Копіювання даних, крадіжка, підробка, спотворення |
| Назві активів | Вразливості | Загрози |
| ПК | За деяким ПК працює декілька працівників, ненадійність паролів | Апаратні збої, крадіжка |
| Телефони | Підключення до загальної телефонної лінії | Прослуховування телефонних переговорів |
| Сервера | Мають вихід в Інтернет | Крадіжка, копіювання інформації |
| База даних клієнтів | Ненадійність паролів ПК, доступ до мережі Інтернет | Копіювання даних, спотворення і підробка даних |
18. Розробити план по зниженню ризиків
План заходів для зниження ризиків:
Розрахунок і ранжування ризиків:
Виявлення вразливостей.
Виявлення загроз.
Визначення величини ризику.
2. Проведення оцінки ризиків:
Вибір методики оцінки ризиків.
Впровадження обраної методики оцінки ризиків.
Аналіз ефективності використаної методики та ідентифікація її недоліків.
3. Розробка комплексу заходів по зниженню ризику:
Здійснення заходів для поліпшення захисту приміщень.
Оновлення антивірусного програмного забезпечення.
Зміна паролів на комп'ютерах.
Навчання персоналу щодо безпеки роботи з комп'ютерами.
Проведення непланової перевірки роботи працівників та їх кваліфікації.
Позапланове технічне обслуговування інформаційної системи.
1 2 3 4 5 6 7 8 9