- •1. Сущность и задачи ксзи
- •2. Необходимость и принципы создания ксзи
- •3. Организация архитектурного построения ксзи
- •4. Специфические функции и задачи ксзи
- •5. Методы формирования функций защиты
- •6. Функции управления ксзи
- •7. Планирование как элемент управления ксзи
- •8. Классификация задач зи
- •9. Система управления иб (в соответствие с гост р 27001-2005)
- •Система управления предприятия
- •Этапы создания суиб
- •1. Принятие решения о создании суиб
- •2. Подготовка к созданию суиб
- •3. Анализ рисков
- •4. Разработка политик и процедур суиб
- •5. Внедрение суиб в эксплуатацию
- •10. Управление рисками как основной вид управления в суиб
- •Реализация плана обработки рисков
- •11. Разработка политик и процедур суиб
- •Внедрение суиб в эксплуатацию
- •Подготовка к сертификационному аудиту
- •12. Классификация субъектов и объектов доступа к зи
- •13. Понятие и структура Концепции и Политики безопасности
- •14. Основные этапы разработки пиб
- •Разработка политики иб в соответствии в международными стандартами
- •6) Сертификация суиб на соответствие требованиям нормативных документов (стрелка от него) Документы, сопровождающие процедуру сертификации.
- •15. Содержание основных разделов пиб
- •16. Пиб в стандарте гост р исо/мэк 17799-2005 «ит. Практические правила управления иб»
- •17. Основы стандарта гост р исо/мэк 15408-2002 «Общие критерии оценки безопасности ит»
- •Назначение профиля защиты
- •18. Основы стандарта cobit
- •Описание структуры.
- •Принципы аудита.
- •19. Основы экономической эффективности ксзи
- •Методика расчета ущерба
- •20. Библиотека itil и ее роль в обеспечении иб
9. Система управления иб (в соответствие с гост р 27001-2005)
Преимущества, даваемые предприятию при получении сертификата соответствия данному стандарту:
конкурентное преимущество
повышение положения в международных рейтингах (для привлечения зарубежных инвестиций и выхода на международные рынки)
повышение стоимости акций компании
демонстрация партнерам и клиентам высокого уровня своей надежности за счет адекватной ЗИ, включая инф. клиентов и партнеров
снижение рисков, связанных с возможными ущербами для активов компании
повышение прозрачности процесса управления ИБ в организации:
четкое разделение полномочий и ответственности за обеспечение ИБ
критерии оценки эффективности выполняемых мероприятий по обеспечению ИБ
обоснование затрат на ИБ
Стандарт представляет собой модель системы управления в области ИБ. Стандарт – прежде всего набор организационных мероприятий и процедур управления. Не является по сути техн.стандартом. В основе стандарта лежит процессный подход к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ компании.
П роцессный подход заключается в создании и применении системы процессов управления, которые взаимосвязаны в непрерывный цикл планирования, внедрения, проверки и улучшения СУИБ.
Дополнительно в стандарте приведен Перечень механизмов ЗИ и программ технического уровня, который может использоваться для обеспечения надежной защиты. Т.о. СУИБ, построенная в соответствии с требованиями стандарта, представляет собой комплексную систему, включающую в себя как механизмы управления, так и механизмы непосредственной ЗИ.
Основным движущим механизмом СУИБ является периодический анализ рисков ИБ.
.
Система управления предприятия
Управление качеством ISO 9001 |
Управление окр.средой ISO 14001 |
Управление ИБ ISO 27001 |
Управление в соотв. с другими механизмами
|
Оперативное управление ITIL, BS 15000 |
Этапы создания суиб
В рамках работ по созданию СУИБ в стандарте выделяются след. основные этапы:
1. Принятие решения о создании суиб
2. Подготовка к созданию суиб
2.1. Организация рабочей группы – В ее состав должны войти:
1) представители высшего руководства предприятия
2) представители бизнес-подразделений, охватываемых СУИБ
3) специалисты подразделений, обеспечивающих ИБ на предпр., имеющие соотв. образование или подготовку.
В состав рабочей могут входить также привлеченные консультанты.
2.2. Нормативно-методическое обеспечение:
ISO/IEC 27000 – Словарь и определения
ISO/IEC 27002 – бывший ISO/IEC 17799-2005
ISO/IEC 27003 – Руководство по внедрению СУИБ
ISO/IEC 27004 – Метрики ИБ
ISO/IEC 27005 – Руководство по менеджменту рисков ИБ
ISO/IEC 27006 – Руководство по восстановлению сервисов в области инф. и коммуникационных технологий
2.3. Выбор области деятельности предпр., к-ая будет охвачена СУИБ – должны учитываться след.факторы:
Деятельность и услуги, предоставляемые партнерам и клиентам
Целевая инф., безопасность к-ой должна быть обеспечена
Бизнес-процессы, обеспечивающие обработку целевой инф.
Подразделение и сотрудники предпр., задействованные в данных бизнес-процессах
Программно-технические средства, обеспечивающие функционирование данных бизнес-процессов
Территориальные площадки предпр., в рамках к-ых происходят сбор, обработка и передача целевой инф.
Результатом является согласованная с высшим руководством область деятельности, в рамках к-ой планируется создание СУИБ.
2.4. Выявление несоответствий – для уточнения объема работ и необходимых затрат. Результатом этих работ должен стать перечень несоответствий требованиям стандарта и план работ по созданию СУИБ организации.