1   2   3   4   5   6   7   8   9
Ім'я файлу: Курсова 5..docx
Розширення: docx
Розмір: 270кб.
Дата: 25.05.2023
скачати

Дев’ятий етап: Навчання персоналу.


  1. Навчання керівників підрозділів вимогам ІБ;

Для навчання керівників підрозділів щодо вимог інформаційної безпеки (ІБ), можна виконати такі кроки:

  1. Визначте основні вимоги ІБ: Опрацюйте стандарти, політики та процедури, що стосуються інформаційної безпеки в фірми. Визначте основні пункти, з якими повинні ознайомитись керівники підрозділів.

  2. Розробіть навчальну програму: Створіть план навчання, який охоплює ключові аспекти ІБ, які керівники підрозділів повинні знати. Включіть теми, такі як захист інформації, управління доступом, безпека мережі, захист від шкідливих програм тощо.

  3. Організуйте навчання: Проведіть навчальні сесії або тренінги для керівників підрозділів, де будуть розглянуті вимоги ІБ. Використовуйте різноманітні методи навчання, такі як презентації, демонстрації, практичні вправи, групові дискусії тощо.

  4. Забезпечте доступ до ресурсів: Переконайтеся, що керівники підрозділів мають доступ до відповідних документів, політик, процедур та інших ресурсів, пов'язаних з ІБ. Це може включати електронні документи, веб-портали, інструкції тощо.

  5. Проведіть оцінку навчання: Періодично оцінюйте рівень розуміння та впровадження вимог ІБ керівниками підрозділів. Це може бути здійснено через тести, анкети, практичні завдання або спостереження за їхніми діями.

  6. Забезпечте постійну підтримку: Запроваджуйте механізми підтримки та консультування для керівників підрозділів у питаннях ІБ. Надайте контактну інформацію фахівців з ІБ, які можуть відповісти на їхні запитання та допомогти у вирішенні проблем.

Навчання керівників підрозділів вимогам ІБ є важливим кроком у підвищенні освіченості та свідомості щодо безпеки інформації в фірми. Це сприятиме покращенню загальної культури безпеки та зменшенню ризиків, пов'язаних з інформаційною безпекою.

  1. Навчання всього персоналу вимогам ІБ

Для навчання всього персоналу вимогам інформаційної безпеки (ІБ), рекомендую виконати наступні кроки:

Визначте основні аспекти ІБ: Опрацюйте стандарти, політики та процедури, що стосуються інформаційної безпеки в банку. Визначте ключові аспекти, які персонал повинен знати та розуміти.

Розробіть навчальну програму: Створіть комплексну програму навчання, яка охоплює різні аспекти ІБ, такі як захист інформації, управління доступом, безпека мережі, захист від шкідливих програм, соціальна інженерія тощо. Розбийте навчання на модулі та теми, щоб забезпечити поетапне освоєння матеріалу.

Організуйте навчання: Проведіть навчальні сесії, тренінги або вебінари для всього персоналу. Забезпечте доступність навчання для всіх співробітників, враховуючи їхні посадові обов'язки та розташування.

Використовуйте різноманітні методи навчання: Використовуйте комбінацію презентацій, демонстрацій, практичних вправ, кейсів, групових дискусій, тестів тощо. Дотримуйтеся інтерактивного підходу, щоб залучити увагу та активну участь співробітників.

Перевіряйте розуміння та оцінюйте знання: Забезпечте систему оцінювання, яка дозволить перевірити розуміння співробітниками навчального матеріалу. Це можуть бути тестові завдання, квесті, виконання практичних завдань, анкетування тощо.

Проводьте періодичне оновлення навчальної програми: Інформаційна безпека постійно еволюціонує, тому важливо оновлювати навчальну програму та матеріали відповідно до останніх трендів і вимог ІБ.

Десятий етап: Розробка та прийняття заходів щодо забезпечення роботи СМІБ.




  1. Впровадження засобів захисту:

Забезпечення роботи СМІБ виконується завдяки впровадженню наступних видів заходів

адміністративних

навчальних

технічних

- Адміністративні засоби захисту включають в себе впровадження системи реєстрації працівників компанії, проведення планових і позапланових перевірок рівня кваліфікації працівників, перевірку технічного оснащення фірми, звітність керівникам усіх відділів і підзвітність керівництву, а також встановлення режиму доступу до архівних документів та електронних носіїв інформації.

- Навчальні засоби захисту передбачають навчання персоналу з використання програмного та апаратного забезпечення компанії, ознайомлення з основними вимогами інформаційної безпеки та впровадженням стандартів і методик інформаційної безпеки (СМІБ), а також ознайомлення з правилами техніки безпеки, інструкціями щодо роботи з технікою та документами.

- Технічні засоби захисту включають фізичні та апаратні засоби. Фізичні засоби захисту охоплюють охоронні та охоронно-пожежні системи, апаратні засоби захисту передбачають джерела безперебійного живлення, пристрої стабілізації напруги, пристрої екранування, пристрої ідентифікації та фіксації терміналів і користувачів, а також засоби захисту портів комп'ютерної техніки. Програмні засоби захисту включають програми для захисту від несанкціонованого доступу, захисту інформації від копіювання та програми для захисту від вірусів.


Одинадцятий етап: Внутрішній аудит СМІБ.


  1. Підбір команди внутрішнього аудиту СМІБ

Внутрішній аудит СМІБ має проводити не тільки керівництво, а й усі працівники, задіяні в розробці і впровадженні СМІБ в компанії. В туристичній фірмі внутрішній аудит СМІБ будуть проводити:

  1. Директор компанії;

  2. Заступник директора;

  3. Начальник відділу ІТ;

  4. Працівник з інформаційної безпеки;

  5. Менеджер по роботі з персоналом.

  1. Планування внутрішнього аудиту СМІБ

Згідно із пунктом 6 стандарту ISO 27001:

  1. Програма аудиту має бути спланована, враховані як стан і важливість процесів і областей, що піддаються аудиту, так і результати попередніх аудитів. Мають бути визначені критерії аудиту, масштаб, частота проведення, методики. Вибір аудиторів і проведення аудитів повинні гарантувати об'єктивність і безсторонність процесу аудиту. Аудитори не повинні ревізувати свою власну роботу.

  2. Порядок розподілу обов'язків і вимоги до планерування і проведення аудитів, до звітів про результати і ведення записів мають бути визначені в документально оформленій процедурі.

  3. Керівництво, відповідальне за ту, що піддається аудиту область, повинне гарантувати, що без великої затримки зробить дії з усунення виявлених неузгодженостей і їх причин. Подальші ревізії повинні вимагати підтвердження того, що дійсно були зроблені відповідні заходи, і звіти про отримані результати .

  1. Проведення внутрішнього аудиту СМІБ

Організація повинна проводити внутрішні аудити СМІБ для того, щоб переконатися, що завдання, засоби управління, процеси і методи СМІБ:

1) задовольняють вимогам даного Міжнародного Стандарту і важливим законам або положенням;

2) задовольняють встановленим вимогам інформаційної безпеки;

3) ефективно виконуються і підтримуються; і

4) функціонують, як сподівалося.

Дванадцятий етап: Аналіз СМІБ з боку вищого керівництва.


  1. Проведення аналізу СМІБ зі сторони вищого керівництва

Проведення аналізу СМІБ з боку вищого керівництва.

Керівництво повинне перевіряти СМІБ в заплановані періоди (як мінімум раз на рік), щоб переконатися в тому, що вона як і раніше придатна, адекватна і ефективна. Така перевірка повинна включати оцінку можливостей вдосконалення і необхідності змін в СМІБ, в т.ч. і в політиці інформаційної безпеки і цілях інформаційної безпеки. Результати перевірки необхідно оформити документально, і зробити записи (див.

Вхідні дані для перевірки

Вхідні дані для перевірки управління повинні включати: а) результати аудитів і перевірок СМІБ;

b) рекомендації зацікавлених сторін;

з) техніку, продукти або методики, які могли б використовуватися в організації,

щоб удосконалювати функціонування і ефективність СМІБ;

стан превентивних і коректуючих заходів;

уразливості або загрози, недостатньо досліджені при попередній оцінці

ризиків;

результати оцінки ефективності;

контроль вживання відповідних заходів після попередніх перевірок

управління;

будь-які зміни, які можуть вплинути на СМІБ; і

рекомендації по вдосконаленню.

Вихідних даних перевірок

Підсумки перевірки управління повинні включати будь-які рішення і заходи, пов'язані з наступним.

а) Вдосконалення ефективності СМІБ;

b) Оновлення планів оцінки і скорочення риски;

с) Модифікація методів і засобів управління, що впливають на інформаційну безпеку, як необхідність реагування на внутрішні і зовнішні події, які можуть принести збиток СМІБ, а також зміни в:

вимогах бізнесу;

вимогах безпеки;

бізнес-процесах, що впливають на існуючі вимоги бізнесу;

юридичних або регулятивних вимогах;

договірних зобов'язаннях; і

рівнях ризиків і критеріях допустимості ризиків.

Придбання необхідних ресурсів.

Вдосконалення системи оцінювання ефективності.


Тринадцятий етап: Офіційний запуск СМІБ.




  1. Наказ про введення в дію СМІБ.

НАКАЗ №556

м.Київ

24.05.2023 р.

Про впровадження в дію системи менеджменту інформаційної безпеки

«Підприємство»

НАКАЗУЮ

З метою підвищення рівня інформаційної безпеки фірми і покращення взаємодії між окремими структурними підрозділами фірми

1. Ввести в дію розроблену і перевірену систему менеджменту інформаційної безпеки у відповідності з вимогами міжнародного стандарту ISO27001.

2. Призначити відповідальним за інформаційну безпеку заступника директора __________ПІП_________ з покладанням на нього наступних додаткових функцій:

Організація і координація робіт по введенню в дію і підтримці в робочому стані процедур і процесів системи менеджменту інформаційної безпеки(СМІБ);

Періодичне пред’явлення звітів про функціонування СМІБ і пропозицій про покращення її функціональності;

підтримка зв’язку із зовнішніми організаціями відносно питань, що відносяться до СМІБ;

роз’яснення персоналу внутрішніх вимог з інформаційної безпеки.

3. Встановити доплату заступнику директора __________ПІП_________ у розмірі 1000грн за виконання додаткових обов’язків, пов’язаних із впровадженням СМІБ і підтримною її функціонування.

4. Контроль виконання наказу лишаю за собою.

Директор «Підприємство»

__________ПІП_________ (Підпис)

Чотирнадцятий етап: Оповіщення зацікавлених сторін.




  1. Інформування клієнтів, партнерів, ЗМІ про запуск СМІБ

PR-менеджер буде відповідати за інформування зацікавлених сторін про впровадження СМІБ в бізнес. PR-менеджер спочатку розробляє план інформування клієнтів, партнерів і ЗМІ.

Варіанти інформування зацікавлених сторін включають:.

Тепер компанія роздаватиме нові візитні картки з індикацією присутності СМІБ.

Маркетингові матеріали компанії містять інформацію про доступність СМІБ.

зміна правил, інструкцій і процедур безпеки.

розсилка листів з повідомленням партнерів про вступ СМІБ в бізнес.

Компанія «занесена» до списку підприємств, які прийняли СМІБ».

Виступи на конгресах і конференціях, де обговорюється цінність впровадження СМІБ у бізнесі.

ВИСНОВОК


В даній курсовій роботі були описані етапи та пункти створення, впровадження, моніторингу та підтримки Системи Менеджменту Інформаційної Безпеки для компанії, яка спеціалізується на наданні туристичних послуг . Робота з СМІБ складалась з 14 етапів та 34 пунктів і базувалась на стандартах "Методика впровадження системи менеджменту інформаційної безпеки ІТ - Гріншутц".

Була розроблена СМІБ для не існуючого підприємства з урахуванням всіх недоліків системи захисту, сучасних інформаційних технологій, існуючих методів захисту та оцінки ризиків.

Впровадження СМІБ має свої переваги для туристичної фірми, зокрема можливість легкого контролю ресурсів без зайвого витрачання часу, виконання роботи відповідно до стандартів та контролю якості виробництва. Крім того, належне контролювання всіх аспектів системи допомагає зберегти конфіденційність, цілісність та доступність інформації, що є важливим для будь-якої організації.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ


      1. Конспект лекцій з дисципліни «Менеджмент інформаційної безпеки».

      2. Стандарт ISO / IEC 27001.

      3. Стандарт ISO / IEC 27002.

      4. Стандарт ISO 19011:2002.

      5. Серія стандартів ISO / IEC 27000.

      6. Кормич Б.А. Інформаційна безпека: організаційно-правові основи: Навчальний посібник. / МОН. - К.: Кондор, 2008. - 383 с.

      7. Інформаційна безпека та Сучасні мережеві технології: Англо-українсько-російський словник термінів / В.П. Бабак, О.Г. Корченко. - К.: НАУ, 2003.-670с.

      8. Ризик-менеджмент. / В.М. Вяткін, І.В. Вяткін, В.А. Гамза, Ю.Ю. Катеринославський, Дж.Дж Хемптон; І. Юргенс, ред. Підручник. - М: Дашков і К, 2003. - 494 с.

      9. Інформаційна безпека та захист інформації: Навчальний посібник. - 2-е вид., Стер. / В. П. Мельников, С. А. Клейменов, А. М. Петраков; Клейменов С. А., ред. - М.: Академія, 2007. - 332 с.

      10. Надійнісне проектування технічних систем и оцінка ризику. / Хенлі Ернест Джон, Кумамото Хиромицу; пров. з англ. О.Ю. Зареніна, В.Ф.Хмеля; под ред. Ю.Г.Зареніна. - К: Вища школа, 1987. - 544 с.

      11. Захист інформації в МЕРЕЖА передачі Даних / О.І. Юдін, О.Г. Корченко, Г.Ф. Конахович - К.: Вид-во ТОВ «НВП» Інтерсервіс », 2009. - 716 с.6

      12. Корченко О.Г. Побудова систем захисту інформації на нечітких множинах. Теорія та практичні рішення. - К.: «МК-Пресс», 2006. - 320с.

      13. Енциклопедія безпеки авіації / Н.С. Кулик, В.П. Харченко, М.Г. Луцький та ін; Під. ред. Н.С. Кулика. - К.: Техніка, 2008. - 1000С.; Мул. - Бібліогр.: С.977-999.

1   2   3   4   5   6   7   8   9

скачати

© Усі права захищені
написати до нас