В. Андрианов - Обеспечение информационной безопасности бизнеса
- Название:Обеспечение информационной безопасности бизнеса
- Автор:
- Жанр:
- Издательство:ООО «Центр исследований платежных систем и расчетов», «Альпина»
- Год:2011
- Город:Москва
- ISBN:978-5-9614-1364-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
В. Андрианов - Обеспечение информационной безопасности бизнеса краткое содержание
Данную книгу можно назвать практической энциклопедией. В ней дан максимальный охват проблематики обеспечения информационной безопасности, начиная с современных подходов, обзора нормативного обеспечения в мире и в России и заканчивая рассмотрением конкретных направлений обеспечения информационной безопасности (обеспечение ИБ периметра, противодействие атакам, мониторинг ИБ, виртуальные частные сети и многие другие), конкретных аппаратно-программных решений в данной области. Книга будет полезна бизнес-руководителям компаний и тем, в чью компетенцию входит решение технических вопросов обеспечения информационной безопасности.
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу lib@alpinabook.ru.
Обеспечение информационной безопасности бизнеса - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
— стандарты по аккредитации органов оценки и сертификации систем менеджмента.
Стандарты вида Б (стандарт рекомендаций для системы менеджмента) предназначены для оказания содействия организации в реализации и /или улучшении системы менеджмента путем предоставления дополнительного руководства по элементам стандарта требований системы менеджмента. Примеры таких стандартов:
— руководство по использованию стандартов требований системы менеджмента;
— руководство по установлению системы менеджмента;
— руководство по совершенствованию/улучшению системы менеджмента;
— характерные для сектора стандарты рекомендаций для системы менеджмента.
Стандарты вида В (стандарт, связанный с системой менеджмента) предназначены для обеспечения дополнительной информации по определенным компонентам системы менеджмента или руководствам по взаимосвязанным поддерживающим методам и средствам, являющимся полезным и востребованным дополнением к положениям стандартов на системы менеджмента. Примеры таких стандартов:
— документы по терминологии системы менеджмента;
— стандарты руководств по аудиту, документированию, обучению, мониторингу, измерениям и оцениванию функционирования;
— стандарты по маркировке и оценке жизненного цикла.
Комплекс стандартов, имеющих с своем составе стандарты систем менеджмента типов А, Б и В, рекомендуется рассматривать как семейство стандартов менеджмента. Например, для систем менеджмента информационной безопасности к 2010 г. уже фактически сформировалось семейство стандартов СМИБ, отвечающее требованиям Руководства ISO 72 (см. рис. 30).
Совместимость стандартов требований системы менеджмента или стандартов рекомендаций для системы менеджмента и простоту использования их предполагается улучшить посредством увеличения общности между стандартами, разрабатываемыми в соответствии с положениями Руководства ISO 72. Общность стандартов основывается на следующих общих составляющих стандартов:
— модель системы менеджмента;
— структура стандарта;
— система общих элементов вместе с их формулировкой;
— используемая терминологии.
Модель и структура.Общая структура стандарта требований системы менеджмента или рекомендаций для системы менеджмента основывается на признанной модели (модели Деминга) и логике системы требований (спецификации) к системе менеджмента в соответствии с данной моделью. В Руководстве ISO 72 отмечается, что в настоящее время в международных стандартах менеджмента используются две признанные модели: модель Деминга (PDCA) и процессная модель. Однако это не означает, что существующие модели для стандартов систем менеджмента будут с течением времени развиваться, и могут появиться новые модели.
Общие элементы.В Руководстве ISO 72 отмечается, что опыт работы со стандартами систем менеджмента, созданными ИСО, показывает, что практика работ выводит на ряд общих областей систем менеджмента. Такими общими областями предлагается считать:
— политику системы менеджмента;
— планирование;
— реализацию и введение в действие;
— оценку функционирования;
— совершенствование;
— проверки, проводимые руководством.
Боле подробно данные общие элементы представлены в таблице 1.
Общие элементы стандартов систем менеджмента ИСО
Таблица 1
Продолжение табл. 1
Окончание табл. 1
Таблица 1 показывает общие элементы стандартов требований системы менеджмента и стандартов рекомендаций для системы менеджмента ИСО, перечисленные в соответствии с этой структурой. Разработчиками стандартов системы менеджмента рекомендуется соблюдение представленной в Руководстве ISO 72 системы элементов для облегчения использования стандартов, а также совместной реализации стандартов систем менеджмента. При этом ими рекомендуется также использование подобных (схожих) формулировок при составлении текстов для общих элементов стандартных требований к системам менеджмента.
2.2.3. Шаги реализации стандартной СМИБ организации
Стандартной СМИБ присущи все общие для систем менеджмента элементы. При этом опыт использования стандартизированных требований к СМИБ показал, что следующие факторы часто оказываются решающими для успешной реализации обеспечения информационной безопасности в организации:
— политика информационной безопасности, цели и мероприятия, отражающие цели бизнеса организации;
— подход и структура для реализации, поддержки мониторинга и совершенствования информационной безопасности, согласующиеся с культурой организации;
— явная поддержка и приверженность руководства всех уровней;
— хорошее понимание требований ИБ, оценки риска и менеджмента риска;
— эффективные мероприятия по осведомленности по вопросам ИБ для достижения должного осознания;
— распространение руководств (инструкций) по политике и стандартам информационной безопасности среди всех руководителей, служащих и других сторон;
— обеспечение финансирования мероприятий менеджмента ИБ;
— обеспечение соответствующей информированности, обучения и образования;
— установление эффективного процесса менеджмента инцидентов информационной безопасности;
— реализация оценивания системы, которое используется для оценок эффективности функционирования менеджмента информационной безопасности и предложений по совершенствованию, поступающих по каналам обратной связи с руководством.
Следование требованиям стандартов СМИБ предполагает последовательное продвижение к спецификации защитных мер организации (административных, организационных, технологических, технических и иных) и соответствующих целевых процессов деятельности, необходимых для контроля рисков деятельности организации в ее информационной сфере.
В общем случае этап планирования СМИБ в соответствии с требованиями стандарта [11] может включать следующие 10 шагов, представленных в таблице 2, реальное наполнение которых определяется самой организацией.
Таблица 2
Графически данные шаги иллюстрирует рис. 31.
Читать дальшеИнтервал:
Закладка:
