Главная страница

Администрация алтайского края управление алтайского края по культуре и архивному делу политика информационной безопасности Содержание


Скачать 307 Kb.
НазваниеАдминистрация алтайского края управление алтайского края по культуре и архивному делу политика информационной безопасности Содержание
Дата22.11.2018
Размер307 Kb.
Формат файлаdoc
Имя файлаpolitika_informacionnoy_bezopasnosti.doc
ТипРеферат
#57385
страница5 из 11
1   2   3   4   5   6   7   8   9   10   11

4.7.Организация системы управления информационной безопасностью Управления

4.7.1.Организация системы управления ИБ


Система управления информационной безопасности Управления (СУИБ) – предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности Управления.

Для успешного функционирования СУИБ Управления должны быть реализованы следующие процессы:

  1. определение и уточнение области действия СУИБ и выбор подхода к оценке рисков ИБ.

  2. определение и уточнение области действия СУИБ должно осуществляться на основе результатов оценки рисков, связанных с основной деятельностью Управления, а также оценки правовых рисков деятельности Управления;

  3. анализ и оценка рисков ИБ, варианты обработки рисков ИБ для наиболее критичных информационных активов.

  4. выбор и уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ.

  5. принятие руководством остаточных рисков и решения о реализации и эксплуатации/совершенствовании СУИБ. Остаточные риски ИБ должны быть соотнесены с рисками деятельности Управления, и оценено их влияние на достижение целей деятельности.

4.7.2.Реализация системы управления ИБ


В системе управления ИБ должны быть реализованы следующие процессы:

  1. разработка плана обработки рисков ИБ;

  2. реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СУИБ;

  3. реализация программ по обучению и осведомленности ИБ;

  4. обнаружение и реагирование на инциденты безопасности;

  5. обеспечение непрерывности деятельности и восстановления после прерываний.

На этапе планирования определяется политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Администрацией принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне, либо минимизировать. После этого разрабатывается и внедряется план обработки рисков.

На этапе проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

На этапе действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.

4.7.3.Методы оценивания информационных рисков


Оценка информационных рисков Управления выполняется по следующим основным этапам:

  1. идентификация и количественная оценка информационных ресурсов, значимых для работы Управления;

  2. оценивание возможных угроз;

  3. оценивание существующих уязвимостей;

  4. оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые уязвимые информационные ресурсы Управления подвергаются риску, если по отношению к ним существуют какие-либо угрозы.

При этом информационные риски зависят от:

  1. показателей ценности информационных ресурсов;

  2. вероятности реализации угроз для ресурсов;

  3. эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности организации.

При оценивании рисков учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды.

Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса Управления.

При этом вероятность того, что угроза реализуется, определяется следующими основными показателями:

  1. привлекательностью ресурса, используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

  2. возможностью использования ресурса для получения дохода, также используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

  3. техническими возможностями реализации угрозы, используется при умышленном воздействии со стороны человека;

  4. степенью легкости, с которой уязвимость может быть использована.
1   2   3   4   5   6   7   8   9   10   11


написать администратору сайта