Разработка и внедрение системы менеджмента информационной безопасности

Размещено на http://www.allbest.ru/

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«Дальневосточный государственный университет путей сообщения»

Кафедра «Информационные технологии и системы»

Контрольная работа

По дисциплине: Основы защиты компьютерной информации

Выполнила:

Рыловская М.Ю.

Проверил:

Максименко А.Ю.

Хабаровск 2016

Разработка и внедрение системы менеджмента информационной безопасности

Необходимость внедрения СМИБ

Система менеджмента информационной безопасности (СМИБ, ISMS) организации основывается на подходе бизнес-риска и предназначена для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения ИБ. Концепция СМИБ определяется в международном стандарте ISO/IEC 27001. Внедрение СМИБ невозможно без реальной поддержки со стороны топ-менеджмента организации, определяющего четкую политику информационной безопасности, включающую цели и обязательства выполнять все применимые требования (законодательства, партнеров, клиентов и т.п.).

Цели и задачи СМИБ

Информация обладает несколькими характеристками, и одна из важнейших - безопасность. Информационная безопасность напрямую влияет на функционирование бизнеса, конкурентоспособность, имидж на рынке и, в конечном итоге, на финансовые показатели. Достаточно часто под ней понимают ограничение доступа сторонних лиц к информации.

Организация должна сделать следующее (задачи):

a)Сформулировать план сокращения риска

b)Осуществить план сокращения рисков

c)Внедрить средства управления, выбранные для достижения поставленных целей.

d)Определить, как измерить эффективность выбранных средств управления или групп средств управления

e)Внедрить обучающие и информирующие программы

f)Управлять функционированием СМИБ.

g)Обеспечить СМИБ трудовыми ресурсами

h)Внедрить методику и другие средства управления, способные своевременно выявить события безопасности и ответную реакцию на инциденты безопасности

Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба.

Процессорный подход к управлению информационной безопасности

Он подразумевает управление взаимосвязью процессов. Основные возможные проблемы при внедрении систем менеджмента, которые портят имидж всей идеи процессного подхода и приводят к тому, что часто организации после внедрения не замечают каких_либо существенных изменений: информационный безопасность бизнес риск

· разработка формальных процессов управления без учета специфики компании и ее бизнес-процессов;

· отсутствие реального внедрения процессов управления, когда компании ограничиваются только разработкой документов, описывающих процессы;

· отсутствие вовлеченности персонала;

· непонимание руководством и персоналом идеи процессного подхода и нежелание участвовать в ее воплощении.

Из-за таких проблем компания, внедряющая процессный подход, может в итоге столкнуться с тем, что, несмотря на формальные признаки внедрения, реальная ситуация в компании нисколько не улучшилась, скорее наоборот. На людей «навесили» новые обязанности, цель которых им не объяснили, неоптимальные процессы закрепили в регламентах, создали избыточную бюрократическую машину по производству записей системы (свидетельств функционирования процессов). Все это приводит к тому, что хорошая идея не приживается в компании, идет ее отторжение.

Обзор стандартов семейства ISO 2700х

Благодаря развитию современного высокотехнологичного бизнеса постепенно осознается важность и таких областей, как информационные технологии, информационная безопасность, качество и окружающая среда. Об этом говорит растущая популярность во всем мире соответствующих международных стандартов серии ISO 2700х, ISO 2000х, ISO 900х и ISO 1400х. Основные принципы управления, по большому счету, для всех областей одинаковы, поэтому соответствующие системы управления дополняют одна другую, образуя интегрированную систему управления организации (IMS). Вслед за повсеместным распространением ISO 9001 и систем управления качеством, в России наконец-то начали приживаться и международные стандарты управления ИБ -- ISO/IEC 27001/17799. Они стали доступны на русском языке, начато публичное обсуждение проектов соответствующих национальных стандартов по информационной безопасности ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 17799, постепенно получают распространение услуги сертификации. С выходом ISO 27001 спецификации СУИБ приобрели международный статус, и теперь следует ожидать значительного повышения роли и престижности СУИБ, сертифицированных по стандарту ISO 27001. Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться.

Определение плана внедрения СМИБ

Начальное планирование и внедрение направлено на создание СМИБ и запуск последовательного выполнения этапов цикла PDCA, которое начинается с проверки текущего состояния СМИБ (этап проверки - Check), затем следует пересмотр СМИБ (этап улучшения - Act) и планирование ее обновления (этап планирования - Plan), после чего запланированные изменения внедряются в работу (этап выполнения - Do). Затем цикл повторяется.

Задачами первоначального планирования и внедрения являются:

1.Сбор информации о работе компании

· Вид деятельности

· Миссия

· Местонахождение офисов

2.Определение ключевых людей для процесса разработки СМИБ

3.Определение драйверов (мотивов) к управлению рисками и потребностей создания СМИБ

4.Получение высокоуровневого мгновенного снимка текущего состояния безопасности в компании, а также имеющихся возможностей и практик по выявлению и обработке бизнес-рисков

5.Сбор подробной информации, которая поможет установить границы и содержание СМИБ. (Офисы, операции, бизнес-функции, информация, информационные технологии, инфраструктура и т.д)

6.Определение целей создания СМИБ

Все перечисленные мероприятия входят в первый процесс создания СМИБ - Процесс оценки и определение текущего состояния, который состоит из двух больших этапов: сбор информации (background discovery) и определение уровня соответствия (compliance level discovery).

Определение области СМИБ

Определение области применения СМИБ:

· Описание вида деятельности и бизнес-целей организации;

· Указание границ систем, охватываемых СМИБ;

· Описание активов организации (виды информационных ресурсов, программно-технические средства, персонал и организационная структура);

· Описание бизнес-процессов, использующих защищаемую информацию.

Определение политики информационной безопасности предприятия

Политика информационной безопасности - набор законов, мероприятий, правил, требований, ограничений, инструкций, нормативных документов, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных видов угроз.

Политика безопасности - это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности :

· определение какие данные и насколько серьезно необходимо защищать;

· определение кто и какой ущерб может нанести фирме в информационном аспекте;

· вычисление рисков и определение схемы уменьшения их до приемлемой величины.

Политика информационной безопасности должна содержать пункты, в которых бы присутствовала информация следующих разделов:

1. концепция безопасности информации;

2. определение компонентов и ресурсов информационной системы, которые могут стать источниками нарушения информационной безопасности и уровень их критичности;

3. сопоставление угроз с объектами защиты;

4. оценка рисков;

5. оценка величины возможных убытков, связанных с реализацией угроз;

6. оценка расходов на построение системы информационной безопасности;

7. определение требований к методам и средствам обеспечения информационной безопасности;

8. выбор основных решений обеспечения информационной безопасности;

9. организация проведения восстановительных работ и обеспечение непрерывного функционирования информационной системы;

10. правила разграничения доступа.

Политика информационной безопасности предприятия очень важна, для обеспечения комплексной безопасности предприятия.

Управление рисками информационной безопасностью

Управление рисками ИБ представляет собой непрерывный процесс, обеспечивающий выявление, оценку и минимизацию рисков от реализации угроз информационной безопасности, направленных на активы организации.

Управление рисками ИБ позволяет:

· получить актуальное представление об уровне обеспечения информационной безопасности организации в текущий момент,

· определить наиболее уязвимые места в обеспечении защиты информации организации,

· определить стоимостное обоснование затрат на обеспечение ИБ,

· минимизировать издержки на обеспечение ИБ.

Управление рисками предполагает решение следующих задач:

· построение модели взаимодействия бизнес процессов организации и информационных систем с целью выделения наиболее критичных активов организации,

· построение модели нарушителя ИБ и модели угроз ИБ организации,

· оценка рисков реализации угроз ИБ, направленных на критичные активы организации,

· выявление мер по снижению рисков угроз ИБ организации,

· разработка плана по снижению рисков ИБ организации,

· оценка остаточного риска ИБ организации после внедрения мер по снижению

Размещено на Allbest.ru