Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

Администрация алтайского края управление алтайского края по культуре и архивному делу политика информационной безопасности Содержание


Скачать 307 Kb.
НазваниеАдминистрация алтайского края управление алтайского края по культуре и архивному делу политика информационной безопасности Содержание
Дата22.11.2018
Размер307 Kb.
Формат файлаdoc
Имя файлаpolitika_informacionnoy_bezopasnosti.doc
ТипРеферат
#57385
страница5 из 11
1   2   3   4   5   6   7   8   9   10   11

4.7.Организация системы управления информационной безопасностью Управления

4.7.1.Организация системы управления ИБ


Система управления информационной безопасности Управления (СУИБ) – предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности Управления.

Для успешного функционирования СУИБ Управления должны быть реализованы следующие процессы:

  1. определение и уточнение области действия СУИБ и выбор подхода к оценке рисков ИБ.

  2. определение и уточнение области действия СУИБ должно осуществляться на основе результатов оценки рисков, связанных с основной деятельностью Управления, а также оценки правовых рисков деятельности Управления;

  3. анализ и оценка рисков ИБ, варианты обработки рисков ИБ для наиболее критичных информационных активов.

  4. выбор и уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ.

  5. принятие руководством остаточных рисков и решения о реализации и эксплуатации/совершенствовании СУИБ. Остаточные риски ИБ должны быть соотнесены с рисками деятельности Управления, и оценено их влияние на достижение целей деятельности.

4.7.2.Реализация системы управления ИБ


В системе управления ИБ должны быть реализованы следующие процессы:

  1. разработка плана обработки рисков ИБ;

  2. реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СУИБ;

  3. реализация программ по обучению и осведомленности ИБ;

  4. обнаружение и реагирование на инциденты безопасности;

  5. обеспечение непрерывности деятельности и восстановления после прерываний.

На этапе планирования определяется политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Администрацией принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне, либо минимизировать. После этого разрабатывается и внедряется план обработки рисков.

На этапе проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

На этапе действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.

4.7.3.Методы оценивания информационных рисков


Оценка информационных рисков Управления выполняется по следующим основным этапам:

  1. идентификация и количественная оценка информационных ресурсов, значимых для работы Управления;

  2. оценивание возможных угроз;

  3. оценивание существующих уязвимостей;

  4. оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые уязвимые информационные ресурсы Управления подвергаются риску, если по отношению к ним существуют какие-либо угрозы.

При этом информационные риски зависят от:

  1. показателей ценности информационных ресурсов;

  2. вероятности реализации угроз для ресурсов;

  3. эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности организации.

При оценивании рисков учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды.

Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса Управления.

При этом вероятность того, что угроза реализуется, определяется следующими основными показателями:

  1. привлекательностью ресурса, используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

  2. возможностью использования ресурса для получения дохода, также используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

  3. техническими возможностями реализации угрозы, используется при умышленном воздействии со стороны человека;

  4. степенью легкости, с которой уязвимость может быть использована.
1   2   3   4   5   6   7   8   9   10   11

написать администратору сайта