My-library.info
Все категории

Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

На электронном книжном портале my-library.info можно читать бесплатно книги онлайн без регистрации, в том числе Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников. Жанр: Интернет год 2004. В онлайн доступе вы получите полную версию книги с кратким содержанием для ознакомления, сможете читать аннотацию к книге (предисловие), увидеть рецензии тех, кто произведение уже прочитал и их экспертное мнение о прочитанном.
Кроме того, в библиотеке онлайн my-library.info вы найдете много новинок, которые заслуживают вашего внимания.

Название:
Управление информационной безопасностью. Стандарты СУИБ (СИ)
Дата добавления:
17 декабрь 2023
Количество просмотров:
30
Читать онлайн
Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников краткое содержание

Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников - описание и краткое содержание, автор Вадим Викторович Гребенников, читайте бесплатно онлайн на сайте электронной библиотеки My-Library.Info

Книга рассказывает о семействе международных стандартов ISO/IEC 27k, определяющих требования и правила СУИБ (системы управления информационной безопасностью), порядок разработки СУИБ и алгоритмы управления рисками информационной безопасности и инцидентами информационной безопасности.

Управление информационной безопасностью. Стандарты СУИБ (СИ) читать онлайн бесплатно

Управление информационной безопасностью. Стандарты СУИБ (СИ) - читать книгу онлайн бесплатно, автор Вадим Викторович Гребенников
class="p1">— повысить гарантии того, что информационные активы адекватно защищены на непрерывной основе от угроз ИБ;

— поддерживать структурированную и всестороннюю систему оценки угроз ИБ, выбора и применения соответствующих мер защиты, измерения и улучшения их эффективности;

— постоянно улучшать среду управления организации;

— эффективно соответствовать правовым и нормативным требованиям.

3.5. Внедрение, контроль, сопровождение и улучшение СУИБ

Внедрение, контроль, сопровождение и улучшение СУИБ являются оперативными этапами развития СУИБ.

Оперативные этапы СУИБ определяют следующие составляющие:

— общие положения;

— требования ИБ;

— решающие факторы успеха СУИБ.

Оперативные этапы СУИБ обеспечивают следующие мероприятия:

— оценка рисков ИБ;

— обработка рисков ИБ;

— выбор и внедрение мер защиты;

— контроль и сопровождение СУИБ;

— постоянное улучшение.

Общие положения

Организация должна предпринимать следующие шаги по внедрению, контролю, сопровождению и улучшению ее СУИБ:

— определение информационных активов и связанных с ними требований ИБ;

— оценка и обработка рисков ИБ;

— выбор и внедрение соответствующих мер защиты для управления неприемлемыми рисками;

— контроль, сопровождение и повышение эффективности мер защиты, связанных с информационными активами организации.

Для гарантии того, что СУИБ эффективно защищает информационные активы организации на постоянной основе, необходимо постоянно повторять все шаги, чтобы выявлять изменения рисков или стратегии организации или бизнес-целей.

Требования ИБ

В пределах общей стратегии и бизнес-целей организации, ее размера и географического распространения требования ИБ могут быть определены в результате понимания:

— информационных активов и их ценности;

— бизнес-потребностей в работе с информацией;

— правовых, нормативных и договорных требований.

Проведение методической оценки рисков, связанных с информационными активами организации, включает в себя анализ:

— угроз активам;

— уязвимостей активов;

— вероятности материализации угрозы;

— возможного влияния инцидента ИБ на активы.

Расходы на соответствующие меры защиты должны быть пропорциональны предполагаемому бизнес-влиянию от материализации риска.

Оценка рисков ИБ

Управление рисками ИБ требует соответствующего метода оценки и обработки риска, который может включать оценку затрат и преимуществ, правовых требований, проблем заинтересованных сторон, и других входных и переменных данных.

Оценки риска должны идентифицировать, измерить и установить приоритеты для рисков с учетом критерия принятия риска и целей организации. Результаты помогут выработать и принять соответствующие управленческие решения для действия и установления приоритетов по управлению рисками ИБ и внедрению мер защиты, выбранных для защиты от этих рисков.

Оценка риска должна включать систематический подход к оценке масштаба рисков (анализ риска) и процесс сравнения оцененных рисков с критерием риска для определения серьезности рисков (оценивание риска).

Оценки риска должны осуществляться периодически, чтобы вносить изменения в требования ИБ и ситуации риска, например, в активы, угрозы, уязвимости, влияния, оценивание риска, и в случае значительных изменений. Эти оценки риска должны осуществляться методично, чтобы обеспечить сопоставимые и воспроизводимые результаты.

Оценка риска ИБ должна четко определять сферу применения, чтобы быть эффективной, и содержать взаимодействия с оценками риска в других сферах, по возможности.

Стандарт ISO/IEC 27005 представляет руководство по управлению рисками ИБ, включая рекомендации по оценке, обработке, принятию, оповещению, мониторингу и анализу риска.

Обработка рисков ИБ

Перед рассмотрением обработки риска организации следует установить критерий для определения, можно принять риски или нет. Риски можно принять, если риск низкий или цена обработки не рентабельна для организации. Такие решения должны быть записаны.

Для каждого риска, определенного оценкой риска, следует принять решение о его обработке. Возможные варианты обработки риска включают:

— применение соответствующих мер защиты для снижения рисков;

— осознанное и объективное принятие рисков в строгом соответствии с политикой организации и критерием принятия риска;

— предотвращение рисков путем исключения действий, приводящих к появлению рисков;

— обмен связанными рисками с другими сторонами, например, страховщиками или поставщиками.

Соответствующие меры защиты от тех рисков, для которых принято решение об их применении с целью обработки рисков, дожны быть выбраны и внедрены.

Выбор и внедрение мер защиты

После определения требований к ИБ, определения и оценки рисков ИБ для информационных активов и принятия решений по обработке рисков ИБ должны быть выбраны и внедрены соответствующие меры защиты для снижения рисков.

Меры и средства ИБ должны гарантировать снижение рисков до приемлемого уровня с учетом:

— требований и ограничений национального и международного законодательства и нормативов;

— целей организации;

— операционных требований и ограничений;

— цены их внедрения и функционирования для снижения рисков, пропорциональной требованиям и ограничениям организации;

— их внедрения для контроля, оценки и улучшения результативности и эффективности мер и средств ИБ для поддержки целей организации;

— необходимости сбалансировать инвестиции на внедрение и функционирование мер защиты от вероятных потерь в результате инцидентов ИБ.

Меры защиты, изложенные в ISO/IEC 27002, общепризнаны как лучшие методы, применимые к большинству организаций и легко приспосабливаемые для организаций разной величины и структуры. Другие стандарты семейства стандартов СУИБ рекомендуют выбор и применение мер защиты, изложенных в стандарте ISO/IEC 27002, для СУИБ.

Меры и средства ИБ при разработке ИС следует рассматривать на стадии формирования системных и проектных требований и технического задания. Невыполнение этого может привести к дополнительным затратам и менее эффективным решениям и, может быть, в худшем случае, к невозможности достичь адекватной безопасности.

Меры защиты следует выбирать из стандарта ISO/IEC 27002 или других перечней, или создавать новые при особой необходимости. Следует осознавать, что некоторые меры защиты могут не подойти для каждой ИС или среды или быть неприемлемыми для всех организаций.

Иногда требуется время для внедрения набора мер защиты и в течение этого времени риск может быть выше приемлемого уровня долгое время. Критерий риска должен предусматривать приемлемость риска на короткое время, пока меры защиты внедряются. Заинтересованные стороны должны быть информированы об уровнях риска, которые оцениваются и прогнозируются в разные моменты времени, по мере последовательного внедрения средств защиты.

Надо понимать, что существующих мер защиты может быть недостаточно для достижения полноценной ИБ. Следует предпринять дополнительные управленческие действия для контроля, оценки и улучшения результативности и эффективности мер и средств ИБ для поддержки целей организации.

Выбор мер и средств ИБ должен быть задокументирован в Положении о применимости для соблюдения требований ИБ.

Контроль и сопровождение СУИБ

Организация должна контролировать и сопровождать СУИБ путем мониторинга и оценки деятельности на предмет соответствия политикам и целям организации и предоставления руководству результатов для анализа. Этот анализ СУИБ позволит наглядно показать, что СУИБ содержит специальные меры защиты, способные обрабатывать риски в сфере применения СУИБ. Кроме того, на основе записей этих контролируемых сфер СУИБ предоставляет данные проверки и корректирующих, профилактических и улучшающих действий.

Постоянное улучшение

Целью постоянного улучшения СУИБ является увеличение вероятностей достижения целей ИБ. Постоянное улучшение следует сфокусировать на поиске возможностей для улучшения и предоположении, что управленческая деятельность не так хороша, как могла бы быть.

Действия по улучшению содержат следующее:

— анализ и оценка существующей ситуации для определения сфер улучшения;

— формирование целей улучшения;

— поиск возможных решений для достижения целей;

— оценка этих решений и осуществление выбора;

— реализация выбранного решения;


Вадим Викторович Гребенников читать все книги автора по порядку

Вадим Викторович Гребенников - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки My-Library.Info.


Управление информационной безопасностью. Стандарты СУИБ (СИ) отзывы

Отзывы читателей о книге Управление информационной безопасностью. Стандарты СУИБ (СИ), автор: Вадим Викторович Гребенников. Читайте комментарии и мнения людей о произведении.

Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*
Все материалы на сайте размещаются его пользователями.
Администратор сайта не несёт ответственности за действия пользователей сайта..
Вы можете направить вашу жалобу на почту librarybook.ru@gmail.com или заполнить форму обратной связи.