1 2 3 4 5 6 7 8 9 10 11 Ім'я файлу: politika-informatsionnoy-bezopasnosti-komitet-sotsialnoy-podderz Розширення: doc Розмір: 212кб. Дата: 23.12.2020 скачати Организация системы управления информационной безопасностью комитетаСистема управления информационной безопасности Комитета (СУИБ) предназначена для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности Комитета. Для успешного функционирования СУИБ Комитета должны быть реализованы следующие процессы: определение и уточнение области действия СУИБ и выбор подхода к оценке рисков ИБ. определение и уточнение области действия СУИБ должно осуществляться на основе результатов оценки рисков, связанных с основной деятельностью Комитета, а также оценки репутационных и правовых рисков деятельности Комитета; анализ и оценка рисков ИБ, варианты обработки рисков ИБ для наиболее критичных информационных активов и производственных процессов. выбор и уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ. принятие руководством Комитета остаточных рисков и решения о реализации и эксплуатации/совершенствовании СУИБ. Остаточные риски ИБ должны быть соотнесены с рисками деятельности Комитета и оценено их влияние на достижение целей деятельности Комитета. Реализация системы управления ИБВ системе управления ИБ должны быть реализованы следующие процессы: разработка плана обработки рисков ИБ; реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СУИБ; реализация программ по обучению и осведомленности ИБ; обнаружение и реагирование на инциденты безопасности; обеспечение непрерывности деятельности и восстановления после прерываний. На этапе планирования определяется политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков. На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации, Администрацией принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне, либо минимизировать. После этого разрабатывается и внедряется план обработки рисков. На этапе проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры. На этапе действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков. Методы оценивания информационных рисковОценка информационных рисков Комитета выполняется по следующим основным этапам: идентификация и количественная оценка информационных ресурсов, значимых для работы Комитета; оценивание возможных угроз; оценивание существующих уязвимостей; оценивание эффективности средств обеспечения информационной безопасности. Предполагается, что значимые для производственного процесса уязвимые информационные ресурсы Комитета подвергаются риску, если по отношению к ним существуют какие-либо угрозы. При этом информационные риски зависят от: показателей ценности информационных ресурсов; вероятности реализации угроз для ресурсов; эффективности существующих или планируемых средств обеспечения информационной безопасности. Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности организации. При оценивании рисков учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды. Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса Комитета. При этом вероятность того, что угроза реализуется, определяется следующими основными показателями: привлекательностью ресурса, используется при рассмотрении угрозы от умышленного воздействия со стороны человека; возможностью использования ресурса для получения дохода, также используется при рассмотрении угрозы от умышленного воздействия со стороны человека; техническими возможностями реализации угрозы, используется при умышленном воздействии со стороны человека; степенью легкости, с которой уязвимость может быть использована. |