Kniga-Online.club
» » » » В. Андрианов - Обеспечение информационной безопасности бизнеса

В. Андрианов - Обеспечение информационной безопасности бизнеса

Читать бесплатно В. Андрианов - Обеспечение информационной безопасности бизнеса. Жанр: Экономика издательство ООО «Центр исследований платежных систем и расчетов», «Альпина», год 2004. Так же читаем полные версии (весь текст) онлайн без регистрации и SMS на сайте kniga-online.club или прочесть краткое содержание, предисловие (аннотацию), описание и ознакомиться с отзывами (комментариями) о произведении.
Перейти на страницу:

В примерной структуре не показаны документы, составляющие свидетельства выполненной деятельности, так как их состав напрямую зависит от реализуемых технологий и состава используемых продуктов и систем обеспечения ИБ.

При разработке внутренних нормативных документов в области обеспечения ИБ необходимо обеспечить, чтобы разрабатываемые документы:

— носили не рекомендательный, а обязательный характер;

— были выполнимыми и контролируемыми, не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;

— были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;

— не противоречили друг другу.

Оформление и содержание документов по обеспечению ИБ должны соответствовать установленным в организации нормам к содержанию и оформлению внутренних документов. Тем не менее в отношении содержания политики информационной безопасности организации и в отношении частных политик ИБ целесообразно руководствоваться положениями ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Практические правила управления информационной безопасностью». В соответствии с указанным стандартом в политику ИБ организации рекомендуется включать следующие положения:

— определение информационной безопасности организации, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;

— изложение целей и принципов информационной безопасности, сформулированных руководством;

— краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:

— соответствие законодательным требованиям и договорным обязательствам;

— требования в отношении обучения вопросам безопасности;

— предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

— управление непрерывностью бизнеса;

— ответственность за нарушения политики безопасности;

— определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

— ссылки на документы, дополняющие политику информационной безопасности, например, частные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Пример основополагающей политики ИБ организации приведен на рис. 5.

При разработке структуры частных политик целесообразно исключать повторения одинаковых правил в различных частных политиках. При необходимости повторения в какой-либо частной политике ИБ правила или группы правил, содержащихся в другой (существующей) частной политике ИБ, целесообразно использовать ссылку на существующую частную политику ИБ. Например, включение в политику обеспечения ИБ какого-либо технологического процесса требований по антивирусной защите целесообразно осуществить в виде ссылки на политику антивирусной защиты (при ее наличии).

К инструкциям, руководствам (регламентам), методическим указаниям по обеспечению ИБ, как правило, предъявляются повышенные требования четкости и ясности изложения текста. Документы этого уровня, в отличие от документов вышестоящего уровня, описывают конкретные приемы и порядок действий сотрудников для решения определенных им (например, ролью) задач либо конкретные ограничения.

Рекомендуется, чтобы инструкции, руководства (регламенты), методические указания по обеспечению ИБ содержали:

— определение субъекта (субъектов), деятельность которых регламентируется инструкцией, и /или наименование деятельности (процесса), которая описывается инструкцией;

— ресурсы, необходимые для выполнения деятельности (процесса);

— детальное описание выполняемых операций, включая накладываемые ограничения, и результат выполнения операций;

— обязанности субъекта (субъектов) в рамках выполнения регламентируемой деятельности;

— права и ответственность субъекта (субъектов).

Недостаточно только разработать и ввести в действие документы по обеспечению ИБ. Документы должны иметь поддержку их жизненного цикла и быть актуальными осуществляемой организацией деятельности, а также внутренним и внешним условиям реализации этой деятельности. Менеджмент документов по обеспечению ИБ направлен на обеспечение разработки, учета, использования, хранения, проверки, обновления (поддержание актуального состояния) и изменения документов по обеспечению ИБ организации.

Менеджмент документов по обеспечению ИБ должен учитывать существующие требования законодательных актов и нормативных документов Российской Федерации, нормативных актов органов-регуляторов и внутренних документов организации. Документы должны сохраняться удобочитаемыми, легко идентифицируемыми и доступными. В организации должны существовать и быть документированы деятельности, направленные на идентификацию, хранение, защиту, поиск, обеспечение времени хранения документов, правила по их утилизации.

Модель менеджмента документов по обеспечению ИБ, гармонизированная с моделью менеджмента ИБ, определенной стандартом ГОСТ Р ИСО/МЭК 27001, приведена на рис. 6.

На этапе «Планирование документационного обеспечения» реализуются следующие процессы менеджмента документов по обеспечению ИБ:

— определение потребностей организации по обеспечению ИБ;

— разработка, согласование и утверждение основополагающей (корпоративной) политики ИБ организации и частных политик ИБ;

— разработка, согласование и утверждение документов, содержащих описания основных процессов обеспечения ИБ (например, менеджмент инцидентов ИБ, менеджмент рисков ИБ, оценка ИБ организации, обучение и осведомление персонала и др.).

К разработке и согласованию корпоративной политики ИБ и частных политик ИБ организации должны привлекаться представители следующих служб организации, ответственных за реализацию управленческих, основных производственных и вспомогательных процессов организации, связанных с ее информационной сферой:

— лица из состава высшего руководства организации;

— профильных (основных производственных) подразделений;

— службы информатизации;

— службы безопасности (информационной безопасности).

Перейти на страницу:

В. Андрианов читать все книги автора по порядку

В. Андрианов - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки kniga-online.club.


Обеспечение информационной безопасности бизнеса отзывы

Отзывы читателей о книге Обеспечение информационной безопасности бизнеса, автор: В. Андрианов. Читайте комментарии и мнения людей о произведении.


Уважаемые читатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

  • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
  • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
  • 3. Просьба отказаться от нецензурной лексики.
  • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

Надеемся на Ваше понимание и благоразумие. С уважением, администратор kniga-online.


Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*