Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Зрелая система менеджмента информационной безопасности (СМИБ) обеспечивает эффективное управление ИБ — отсутствие неприемлемых рисков со стороны ИТ-систем для организации и поддержание баланса между рисками и затратами на обеспечение ИБ, с учетом требований бизнеса, законодательной и нормативной базы.
Современная СМИБ представляет собой процессно-ориентированную систему управления, включающую организационный, документальный и программно-аппаратный компоненты. Можно выделить следующие «взгляды» на СМИБ: процессный, документальный и зрелостный.
Процессы СМИБ созданы в соответствии с требованиями стандарта ISO/IEC 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним, жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование. Документированные процессы СМИБ обеспечивают выполнение всех требований стандарта 27001.
Документация СМИБ состоит из политик, документированных процедур, стандартов и записей и делится на две части: документация менеджмента СМИБ и эксплуатационная документация СМИБ.
Зрелостная модель СМИБ определяет детализацию разрабатываемой документации и степень автоматизации процессов менеджмента и эксплуатации СМИБ. При оценке и планировании используется модель зрелости CobiT. В Программе повышения зрелости СМИБ приводятся состав и сроки мероприятий по совершенствованию процессов менеджмента ИБ и управления эксплуатацией средств ИБ.
При построении СМИБ выполняются следующие работы:
· организация управления проектом, формирование проектной группы со стороны заказчика и исполнителя;
· определение области деятельности (ОД) СМИБ;
· обследование организации в ОД СМИБ и т.д.
Сертификация СМИБ проводится по решению высшего руководства организации. Она обеспечивает конкурентное преимущество организации в случае, если соответствующие требования являются значимыми на целевых рынках. Сертификация СМИБ включает:
выбор сертифицирующей организации;
организацию предсертификационного аудита и т.д.
Методологическая основа построения СМИБ
Привлечение к сертификационному аудиту СМИБ зарубежных аудиторов диктует использование в ходе построения СМИБ оригинальных англоязычных версий современных стандартов в области управления ИБ и ИТ.
Перечень подсистем, состав средств каждой подсистемы и их поставщик определяются на этапе разработки и реализации технических проектов на основании результатов оценки и обработки рисков и принятия решения по их обработке высшим руководством компании.
В общий перечень подсистем входят:
подсистема антивирусной и антиспам защиты;
подсистема обнаружения и предотвращения вторжений т.д.
Результатом данных работ является функционирующая СМИБ целевого уровня зрелости.
Дата публикования: 2015-02-28; Прочитано: 326 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!