- •Курсова робота
- •Тема: «Побудова системи менеджменту інформаційної безпеки»
- •Завдання
- •Перший етап. Управлінський
- •Розподілити відповідальність за сміб
- •Другий етап. Організаційний.
- •Наказ № 12.23
- •Наказую
- •Визначити область діїСміб
- •Третій етап. Першочерговий аналіз сміб
- •Провести аналіз існуючої сміб
- •Визначити перелік робіт по допрацюванню існуючої сміб
- •Четвертий етап. Визначення політики і цілей сміб
- •Визначити політику сміб
- •ВизначитиціліСміб по кожному процесу сміб
- •П'ятий етап. Порівняння поточної ситуації зі стандартом
- •Провести навчання відповідальних за сміб за вимогам стандарту
- •5.2 Управління трудовими ресурсами
- •5.2.1 Забезпечення кадрами
- •Опрацювати вимоги стандарту
- •4.1 Загальні вимоги
- •4.2 Створення та менеджмент сміб
- •4.2.1 Створення сміб
- •Порівняти вимоги стандарту з існуючим станом справ
- •Шостий етап. Планування і впровадження сміб
- •Визначити перелік заходів для досягнення вимог стандарту
- •Розробитипосібник зінформаційноїбезпеки
- •Визначити відповідальних за активи
- •Восьмийетап.Розробка документації сміб
- •Визначити перелік документів(процедур, записів, інструкцій) для розробки
- •Розробка процедур та інших документів
- •Розробка і впровадження в дію документів сміб
- •4.3 Вимоги забезпечення документацією
- •4.3.1 Загальних положень
- •4.3.3 Контроль записів
- •Дев’ятий етап. Навчання персоналу
- •Навчання керівників підрозділів вимогам іб
- •Навчання всього персоналу вимогам іб
- •Одинадцатий етап. Внутрішній аудит сміб
- •Підбір команди внутрішнього аудиту сміб
- •Планування внутрішнього аудиту сміб
- •Проведеннявнутрішнього аудитуСміб
- •7.3 Вихідних даних перевірок
- •Тринадцятий етап. Офіційнийзапуск сміб
- •Наказ про введення в дію сміб
- •Чотирнадцятийетап.Сповіщення зацікавлених сторін
- •Інформування клієнтів, партнерів, змі про запуск сміб
- •Висновок
- •Список використаної літератури
Восьмийетап.Розробка документації сміб
Визначити перелік документів(процедур, записів, інструкцій) для розробки
Перелік документації СМІБ відповідно до вимог міжнародного стандарту ISO 27001. Разроблений відповідно до німецької методики ІТ-ГРУНШУТЦ.
Перелік документації СМІБ
|
|
Адміністративні документи СМІБ - Вище керівництво |
1. Оргструктура підприємства
2. Наказ про призначення представника ВР по СМІБ
3. Положення про службу безпеці
4. Положення про службу інформаційній безпеці
5. Посадова інструкція представника ВР по СМІБ
6. Посадова інструкція системного адміністратора
7. Наказ ВР про впровадження і підтримку СМІБ
|
|
Документи верхнього рівня - Представник вищого керівництва, служба безпеки, служба ІБ |
Зона дії СМІБ
Політика СМІБ зовнішня
Політика СМІБ внутрішня
Цілі СМІБ по процесах
З. Аналіз досягнення цілей
Оргструктура СМІБ
Положення про застосовність напрямів ІБ.
Робота з ризиками
Методика оцінки ризиків
Критерії прийняття ризиків
З. Звітпро оцінку ризиків
З. План по обробці ризиків
З. ЗаяваВР про прийняття залишкових ризиків.
Робота з документами
Процедура управління документацією
Процедура управління записами
Внутрішні аудити
Процедура проведения внутрішніх аудитів
З. Группа внутрішнього аудиту
З. Програма внутрішніх аудитівнарік
З. План аудиту
З. Звітпроаудит
З. Протокол невідповідностей
З.План коректуючихі попереджувальнихдійз відміткою про аналіз результативності дій.
Коректуючі і попереджувальні дії
Процедура управління корректуючимиі попереджувальними діями.
Аналіз зі сторони ВР
З. Аналіз СМІБзісторониВР
|
|
Документи середнього (технічного) рівня - Технічні фахівці з ІБ, представник вищого керівництва, служба безпеці, служба ІБ |
А6. Загальна організація ІБ
Оргструктура СМІБ
З. Журнали реєстрації новин в області ІБ
З. Договор з третьою особою по роботі з ІА
З. Журнал реєстрації дій з ІА третіх осіб
А7. Управління Активами
З. Рєєстр активів
- класифікація ІА
- відповідальність за ІА
- маркування ІА
- оцінка ІА
А8. Управління персоналом
Процедура управління персоналом
Критерії прийому персоналу
Програма вчення персоналу
Прийом на роботу
ПРАВИЛА ІБ для конкретної посади
Угода про дотримання правив ІБ
Угода про конфіденційність
Під час роботи
Записи про вчення (атестації)
При переході на іншу посаду або звільненні
ПРАВІЛА ІБ для конкретної посади
Угода про дотримання правив ІБ
Угода про конфіденційність
А9. Фізична безпека
Процедура фізичного захисту підприємства
Схема периметра безпеки
Схема розташування будівель, приміщень
Схема розташування засобів обробки інформації
Паспорта зон особливої безпеки
А10. Управління комп'ютерами і мережами
Правила обслуговування засобів обробки інформації
Процедура управління змінами в СОІ
Процедура антивірусного захисту
Процедура резервного копіювання
Процедура мережевого захисту
Процедура роботи з носіями інформації
Процедура обміну інформацією
Процедура управління електронною комерцією З
З.Журнал реєстрації дій користувачів
З. Журнали реєстрації дій адміністраторів
Керівництва по обслуговуванню СОІ
А11. Управління доступом
Фізичний доступ
Процедура доступу до приміщень
Процедура доступу до персоналу
Процедура доступу до паперових архівів
Електронний і фізичний доступ
Процедура доступу до СОІ і ІА за межами підприємства
Процедура доступу до електронних архівів
Процедура доступу до СОІ
Процедура доступу до ПО
Процедура доступу до ІС
Процедура доступу до ОС
Процедура доступу до мереж
Правила парольного захисту
Правила чистого столу і екрану
З. Журнал реєстрації доступів
З. Аналіз зареєстрованих доступів
А12. Придбання, розробка і підтримка ІС
Процедура прийняття нового СОІ, ПЗ, ІС, мережі
Процедура розробки(доопрацювання) ПО, ІС
Процедура управління технічними вразливостями
Процедура криптографічного захисту
Правила введення даних в ПЗ, ІС, СОІ
А13. Управління інцидентами
Процедура виявлення і реєстрації інцидентів
З. Журнал реєстрації інцидентів ІБ
З. Журнал реєстрації скарг і пропозицій ІБ
А14. Управління безперервністю бізнесу
Процедура управління безперервністю бізнесу
З. Ризики серйозного переривання бізнесу
З. Плани відновлення бізнесу
З. Записи про тестування планів відновлення
А15. Управління відповідністю вимогам
З. Перечень застосовного законодавства
Документи на ПЗ, ІС (ліцензії)
З. Перечень законодавчих і контрактових вимог по наявності і зберіганню записів
Процедура захисту персональних даних
Перелік законодавчих вимог по криптозахисту
|
|
Документи нижнього рівня - Весь персонал підприємства |
Копії зовнішньої політики у всіх приміщеннях
Копії Процедур управління документацією у всіх підрозділах
Копії Процедури управління записами у всіх підрозділах
Пам'ятка по антивірусному захисту
Пам'ятка по резервному копіюванню
Пам'ятка по роботі з паролями
Пам'ятка при роботі на ПК
Пам'ятка по обміну інформацією
Пам'ятка по введенню інформації в ІС
Пам'ятка по роботі з електронними документами
Пам'ятка по роботі з паперовими документами
Дії в разі нестандартної ситуації
Дії в разі катастрофи
Пам'ятка по захисту персональних даних
Покажчики на входах в зони особливого захисту