«Обґрунтування необхідності побудови системи менеджменту інформаційної безпеки. Дослідження системи законодавства у сфері інформ. Лр_МІБ_1. Лабораторна робота 1
Скачать 20.14 Kb.
|
МЕНЕДЖМЕНТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ Лабораторна робота № 1 Тема: «Обґрунтування необхідності побудови системи менеджменту інформаційної безпеки. Дослідження системи законодавства у сфері інформаційних відносин.» Короткі теоретичні відомості ВИГОДИ ВПРОВАДЖЕННЯ СТАНДАРТУ Вигоди впровадження та сертифікації СМІБ на основі стандарту ISO 27001: 1. ІНФОРМАЦІЙНІ АКТИВИ СТАНУТЬ ЗРОЗУМІЛІ ДЛЯ МЕНЕДЖМЕНТУ КОМПАНІЇ Організація повинна управляти активами: Інвентаризація активів Визначення відповідальних за активи Розробити принципи класифікації активів за їх значимістю, правовим вимогам, важливості і критичності для організації Ідентифікувати активи відповідно до принципів класифікації Стандарт ISO 27001. Додаток А. Вимога А.7 2. ЗАГРОЗИ І ВРАЗЛИВОСТІ БЕЗПЕКИ ДЛЯ ІСНУЮЧИХ БІЗНЕС-ПРОЦЕСІВ БУДУТЬ РЕГУЛЯРНО ВИЯВЛЯТИСЯ Організація повинна ідентифікувати ризики: Ідентифікувати активи Ідентифікувати загрози цим активам Ідентифікувати уразливості, які можуть бути використані цими загрозами Визначити вплив, що може привести до втрати конфіденційності, цілісності та доступності ресурсів. Стандарт ISO 27001. Пункт 4.2.1 г) 3. РИЗИКИ БУДУТЬ ОЦІНЮВАТИСЯ І БУДЕ ПРИЙМАТИСЯ РІШЕННЯ НА ОСНОВІ БІЗНЕС-ЦІЛЕЙ КОМПАНІЇ Організація повинна проаналізувати і оцінити ризики: Оцінити збиток бізнесу Оцінити ймовірність виникнення порушення Оцінити рівні ризиків Визначити, чи є ризик прийнятним або потрібна обробка ризику з використанням критеріїв прийняття ризику Стандарт ISO 27001. Пункт 4.2.1 д) 4. УПРАВЛІННЯ СИСТЕМОЮ В КРИТИЧНІЙ СИТУАЦІЇ БУДЕ ЕФЕКТИВНИМ Організація повинна управляти безперервністю бізнесу: Визначити і впровадити процеси для безперервності бізнесу Ідентифікувати події, які можуть привести до порушень бізнес-процесів, визначити можливості і ступень впливу Розробити плани відновлення Визначити пріоритети планів для їх тестування і підтримки Тестувати і регулярно оновлювати плани Стандарт ISO 27001. Додаток А. Вимога А.14 5. ПРОВОДИТИМЕТЬСЯ ПРОЦЕС ВИКОНАННЯ ПОЛІТИКИ БЕЗПЕКИ (ЗНАХОДИТИ І ВИПРАВЛЯТИ СЛАБКІ МІСЦЯ В СИСТЕМІ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ) Керівництво має: Розробляти політики СМІБ Встановлювати цілі та плани Розподіляти відповідальність в області ІБ Доводити до відома всіх співробітників ... Забезпечувати ресурсами Приймати рішення про прийнятні рівні ризиків Забезпечувати проведення внутрішніх аудитів Проводити аналіз СМІБ Стандарт ISO 27001. Пункт 5.1 6. ПІДКРЕСЛИТЬ ПРОЗОРІСТЬ І ЧИСТОТУ БІЗНЕСУ ПЕРЕД ЗАКОНОМ ЗАВДЯКИ ВІДПОВІДНОСТІ СТАНДАРТУ Організація повинна: Визначати застосовне законодавство Забезпечити захист інтелектуальної власності Забезпечити захист записів від втрати, руйнування і фальсифікації відповідно до вимог законодавства Забезпечити захист персональних даних та приватної інформації Запобігти нецільове використання засобів обробки інформації користувачем Стандарт ISO 27001. Додаток А. Вимога А.15.1 7. ЗНИЗИТЬСЯ І ОПТИМІЗУЄТЬСЯ ВАРТІСТЬ ПІДТРИМКИ СИСТЕМИ БЕЗПЕКИ Стандарт вимагає ідентифікувати і класифікувати активи. Класифікацію можна провести в грошовому виразі або за якісною ознакою. Крім того, стандарт вимагає оцінити ризики. Для прийняття об'єктивного рішення про фінансування того чи іншого напрямку інформаційної безпеки стандарт вимагає розробити схему прийняття ризиків. Таким чином, об'єктивна оцінка поєднань «збиток-ймовірність» дозволить постійно ефективно фінансувати інформаційну безпеку. 8. З'ЯВИТЬСЯ НАДІЙНИЙ ЗАХИСТ ВІД РЕЙДЕРСЬКИХ АТАК Рейдери - спеціалісти з перехоплення оперативного управління або власності фірми за допомогою спеціально ініційованого бізнес-конфлікту. Рейдерство – вивід активів з володіння законних власників. Одна з можливих схем роботи рейдера - створити підприємству максимальну кількість проблем, а потім забрати у власників і менеджменту за безцінь з тим, щоб з тисячократним прибутком продати підприємство або його майно третім сторонам. Уразливості підприємства породжують рейдерське захоплення. Рідкісні підприємства не мають «гріхів». Ці гріхи, а точніше компрометуюча інформація знаходиться в рамках загальної інформаційної системи підприємства. Закриваючи цю інформацію від третіх осіб можна уникнути ініціювання рейдерського захоплення. Сам процес рейдерського захоплення базується на вивченні внутрішніх процесів підприємства, правил і норм його роботи. Ця інформація дозволяє чітко спланувати і провести рейдерське захоплення в найбільш відповідний момент часу. Закриття цієї інформації або дезінформування рейдерів не дозволить здійснити план по захопленню підприємства. 9. ПІДСИСТЕМА БЕЗПЕКИ ІНТЕГРУЄТЬСЯ В ЗАГАЛЬНУ СИСТЕМУ МЕНЕДЖМЕНТУ СМІБ побудована на принципах європейського менеджменту. Вимоги до загальної системи менеджменту знайшли своє відображення в стандарті ISO 9001:2000. Стандарт ISO 27001 гармонізовано із стандартом на системи менеджменту якості ISO 9001:2000 і базується на його основних принципах. Структура документації за вимогами ISO / IEC 27001:2005 може бути аналогічна структурі за вимогами ISO 9001:2000. Велика частина документації, необхідна по ISO / IEC 27001:2005 вже могла бути розроблена і використовуватися в рамках загальної системи менеджменту підприємства. 10. ПІДПРИЄМСТВО ОТРИМАЄ МІЖНАРОДНЕ ВИЗНАННЯ І ПІДВИЩИТЬ АВТОРИТЕТ, ЯК НА ВНУТРІШНЬОМУ РИНКУ, ТАК І НА ЗОВНІШНІХ РИНКАХ Для отримання цієї вигоди необхідно підтвердити відповідність Вашої СМІБ вимогам стандарту за допомогою третьої незалежної сторони. В якості третьої сторони виступає сертифікуючий орган. Підтвердження органа, що сертифікує виражається у видачі сертифіката. Рівень довіри клієнтів до Вашої системи безпосередньо залежить від довіри клієнтів до сертифікатів того чи іншого органа, що сертифікує. ЗАВДАННЯ: 1) Обґрунтуйте необхідність впровадження системи менеджменту інформаційної безпеки на підприємства. |