1   2   3   4   5   6   7   8   9   10   11
Ім'я файлу: politika-informatsionnoy-bezopasnosti-komitet-sotsialnoy-podderz
Розширення: doc
Розмір: 212кб.
Дата: 23.12.2020
скачати

Организация системы управления информационной безопасностью комитета



Система управления информационной безопасности Комитета (СУИБ) предназначена для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности Комитета.

Для успешного функционирования СУИБ Комитета должны быть реализованы следующие процессы:

  1. определение и уточнение области действия СУИБ и выбор подхода к оценке рисков ИБ.

  2. определение и уточнение области действия СУИБ должно осуществляться на основе результатов оценки рисков, связанных с основной деятельностью Комитета, а также оценки репутационных и правовых рисков деятельности Комитета;

  3. анализ и оценка рисков ИБ, варианты обработки рисков ИБ для наиболее критичных информационных активов и производственных процессов.

  4. выбор и уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ.

  5. принятие руководством Комитета остаточных рисков и решения о реализации и эксплуатации/совершенствовании СУИБ. Остаточные риски ИБ должны быть соотнесены с рисками деятельности Комитета и оценено их влияние на достижение целей деятельности Комитета.



  1. Реализация системы управления ИБ


В системе управления ИБ должны быть реализованы следующие процессы:

  1. разработка плана обработки рисков ИБ;

  2. реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СУИБ;

  3. реализация программ по обучению и осведомленности ИБ;

  4. обнаружение и реагирование на инциденты безопасности;

  5. обеспечение непрерывности деятельности и восстановления после прерываний.

На этапе планирования определяется политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации, Администрацией принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне, либо минимизировать. После этого разрабатывается и внедряется план обработки рисков.

На этапе проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

На этапе действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.

  1. Методы оценивания информационных рисков


Оценка информационных рисков Комитета выполняется по следующим основным этапам:

  1. идентификация и количественная оценка информационных ресурсов, значимых для работы Комитета;

  2. оценивание возможных угроз;

  3. оценивание существующих уязвимостей;

  4. оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для производственного процесса уязвимые информационные ресурсы Комитета подвергаются риску, если по отношению к ним существуют какие-либо угрозы.

При этом информационные риски зависят от:

  1. показателей ценности информационных ресурсов;

  2. вероятности реализации угроз для ресурсов;

  3. эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности организации.

При оценивании рисков учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды.

Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса Комитета.

При этом вероятность того, что угроза реализуется, определяется следующими основными показателями:

  1. привлекательностью ресурса, используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

  2. возможностью использования ресурса для получения дохода, также используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

  3. техническими возможностями реализации угрозы, используется при умышленном воздействии со стороны человека;

  4. степенью легкости, с которой уязвимость может быть использована.


  1. 1   2   3   4   5   6   7   8   9   10   11

    скачати

© Усі права захищені
написати до нас