- •Курсова робота
- •Тема: «Побудова системи менеджменту інформаційної безпеки»
- •Завдання
- •Перший етап. Управлінський
- •Розподілити відповідальність за сміб
- •Другий етап. Організаційний.
- •Наказ № 12.23
- •Наказую
- •Визначити область діїСміб
- •Третій етап. Першочерговий аналіз сміб
- •Провести аналіз існуючої сміб
- •Визначити перелік робіт по допрацюванню існуючої сміб
- •Четвертий етап. Визначення політики і цілей сміб
- •Визначити політику сміб
- •ВизначитиціліСміб по кожному процесу сміб
- •П'ятий етап. Порівняння поточної ситуації зі стандартом
- •Провести навчання відповідальних за сміб за вимогам стандарту
- •5.2 Управління трудовими ресурсами
- •5.2.1 Забезпечення кадрами
- •Опрацювати вимоги стандарту
- •4.1 Загальні вимоги
- •4.2 Створення та менеджмент сміб
- •4.2.1 Створення сміб
- •Порівняти вимоги стандарту з існуючим станом справ
- •Шостий етап. Планування і впровадження сміб
- •Визначити перелік заходів для досягнення вимог стандарту
- •Розробитипосібник зінформаційноїбезпеки
- •Визначити відповідальних за активи
- •Восьмийетап.Розробка документації сміб
- •Визначити перелік документів(процедур, записів, інструкцій) для розробки
- •Розробка процедур та інших документів
- •Розробка і впровадження в дію документів сміб
- •4.3 Вимоги забезпечення документацією
- •4.3.1 Загальних положень
- •4.3.3 Контроль записів
- •Дев’ятий етап. Навчання персоналу
- •Навчання керівників підрозділів вимогам іб
- •Навчання всього персоналу вимогам іб
- •Одинадцатий етап. Внутрішній аудит сміб
- •Підбір команди внутрішнього аудиту сміб
- •Планування внутрішнього аудиту сміб
- •Проведеннявнутрішнього аудитуСміб
- •7.3 Вихідних даних перевірок
- •Тринадцятий етап. Офіційнийзапуск сміб
- •Наказ про введення в дію сміб
- •Чотирнадцятийетап.Сповіщення зацікавлених сторін
- •Інформування клієнтів, партнерів, змі про запуск сміб
- •Висновок
- •Список використаної літератури
Розробка процедур та інших документів
Розрізняють такі процедури:
- управлінські процедури (стандарт на розробку документів, управління документацією, записами; заходи, що коректують і застережливі; внутрішній аудит; управління персоналом і ін.)
- технічні процедури (придбання, розвиток і підтримка інформаційних систем; управління доступом; реєстрація і аналіз інцидентів; резервне копіювання; управління знімними носіями і ін.)
Управлінські та технічні процедури розробляються згідно з таким шаблоном:
Титульна сторінка.
Мета написання процедури.
Галузь використання.
Терміни використання.
Опис процесів, вказівки по виконанню і їх виконавці.
Посилання на постанови, накази, розпорядження та стандарти згідно яким функціонує підприємство.
Лист визначень і скорочень.
Додатки.
Розрізняють таки записи:
- записи управлінські (звіти про внутрішні аудити; аналіз СМІБ з боку вищого керівництва; звіт про аналіз рисок; звіт про роботу комітету з інформаційної безпеки; звіт про стан дій, що коректують і застережливих; договори; особисті справи співробітників і ін.)
- записи технічні (реєстр активів; план підприємства; план фізичного розміщення активів; план комп'ютерної мережі; журнал реєстрації резервного копіювання; журнал реєстрації факту технічного контролю після змін в операційній системі; балки інформаційних систем; балки системного адміністратора; журнал реєстрації інцидентів; журнал реєстрації тестів по безперервності бізнесу і ін.)
Інструкції і положення розробляються згідно зі встановленими нормами українського діловодства, для даного підприємства розробляють такі інструкції і положення:
правила роботи з ПК,
правила роботи з інформаційною системою,
правила поводження з паролями,
інструкція по відновленню даних з резервних копій,
політика віддаленого доступу,
правила роботи з переносним устаткуванням і ін.
Розробка і впровадження в дію документів сміб
Розробка і впровадження в дію документів СМІБ здійснюється згідно стандарту ISO 27001 пункту 4.3.
4.3 Вимоги забезпечення документацією
4.3.1 Загальних положень
Документація повинна включати протоколи (записи) управлінських рішень, переконувати в тому, що необхідність дій обумовлена рішеннями і політикою менеджменту; і переконувати у відтворюваності записаних результатів.
Важливо вміти демонструвати зворотний зв'язок вибраних засобів управління з результатами процесів оцінки ризиків і його скорочення, і далі з політикою СМІБ і її цілями.
У документацію СМІБ необхідно включити:
a) документовані формулювання політики і цілей СМІБ (див. 4.2.1b));
b) положення СМІБ (див. 4.2.1а));
с) концепцію і засоби управління на підтримку СМІБ;
d)опис методології оцінки риски (див. 4.2.1с));
e) звіт про оцінку ризиків (див. 4.2.1с) – 4.2.1g));
f) план скорочення ризиків (див. 4.2.2b));
g) документовану концепцію, необхідну організації для забезпечення ефективності планерування, функціонування і управління процесами її інформаційної безпеки і опису способів виміру ефективності засобів управління (см. 4.2.3с));
h) документи, потрібні даним Міжнародним Стандартом (див. 4.3.3); і
i) Твердження про Застосовність.
ПРИМІТКА 1: В рамках даного Міжнародного Стандарту термін «документована концепція» означає, що концепція упроваджена, документована, виконується і дотримується.
ПРИМІТКА 2: Розмір документації СМІБ в різних організаціях може вагатися залежно від:
- розміру організації і типа її активів; і
- масштабу і складності вимог безпеки і керованої системи.
ПРИМІТКА 3: Документи і звіти можуть надаватися в будь-якій формі.
Контроль документів
Документи, необхідні СМІБ, необхідно захищати і регулювати.Необхідно затвердити процедуру документації, необхідну для опису управлінських дій з:
а) встановленню відповідності документів певним нормам до їх публікації;
b) перевірці і оновленню документів як необхідності, перед затвердженням документів;
c) забезпеченню відповідності змін поточному стану виправлених документів;
d) забезпеченню доступності важливих версій документів, що діють;
e) забезпеченню зрозумілості і читабельності документів;
f) забезпеченню доступності документів тим, кому вони необхідні; а також їх передачі, зберігання і, нарешті, знищення відповідно до процедур, вживаних залежно від їх класифікації;
g) встановленню достовірності документів із зовнішніх джерел;
h) контролю поширення документів;
i) запобіганню неумисному використанню документів, що вийшли з вживання; і
j) застосуванню до них відповідного способу ідентифікації, якщо вони зберігаються просто на всяк випадок.