Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий.

Документ введен в действие с 1 сентября 2007 года. Его цель дать нужные описания и советы по методам действенного управления безопасностью информационных технологий. Эталон содержит 12 разделов, в каких приведен общий обзор методов управления безопасностью информационных технологий, описание вариантов стратегии анализа риска, освещены вопросы внедрения защитных мер и приведены описание работ по следующему наблюдению Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий. за системой.

Процесс управления безопасностью информационных технологий начинается с определения целей и стратегии, которые устанавливает себе организация в целях обеспечения безопасности и разработки информационных технологий.

После определения требований, выбирается стратегия анализа риска. Эталон тщательно рассматривает главные варианты стратегии.

После оценки уровня риска для каждой системы информационных технологий Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий. определяют надлежащие меры защиты, направленные до понижения уровня риска до применимого уровня. Эти меры реализуются в согласовании с планом безопасности информационных технологий. Реализация плана должна сопровождаться выполнением программ познания и осознания мер безопасности и обучения использованию этих мер, что является принципиальным результатом эффективности принятых защитных мер.

Не считая того Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий., управление безопасностью информационных технологий содержит в себе решение текущих задач, связанных с проведением разных следующих действий, которые содержат в себе сервис и проверку соответствия безопасности, управление переменами, мониторинг и обработку инфы. Все перечисленные деяния могут привести к корректировке приобретенных ранее результатов и принятых решений, потому схема содержит оборотную связь меж Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий. плодами процесса и его составными частями.

Главные варианты стратегии анализа риска организации.

До того как приступить к хоть каким действиям, связанным с анализом риска, организация обязана иметь стратегию проведения такового анализа, при этом составные части этой стратегии (способы, методы и т.д.), которые должны быть отражены в содержании Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий. политики обеспечения безопасности информационных технологий.

Эталон обрисовывает четыре варианта стратегии, которые представляют четыре различных подхода к анализу риска.

1. Базисный подход заключается в применении базисного уровня обеспечения безопасности ко всем системам информационных технологий организации методом выбора стандартных защитных мер безопасности.

Достоинства данного варианта:

- возможность обойтись наименьшим количеством ресурсов при проведении Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий. анализа и, соответственно, издержать меньше времени и усилий;

- возможность принятия экономически действенного решения.

Недочеты:

- если принять очень высочайший уровень, то для ряда систем уровень безопасности будет завышен;

- если принять малый уровень, то для ряда систем уровень безопасности будет недостающий, что может привести к риску их нарушения.

Таким макаром, данный Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий. подход целенаправлено использовать в организациях, где системы информационных технологий, характеризуются низким уровнем требований к информационной безопасности. Но если системы организации характеризуются различной степенью чувствительности, различными объемами и сложностью деловой инфы, то внедрение общих эталонов применительно ко всем системам будет логически неправильным и экономически неоправданным.

2. Неформальный подход предугадывает проведение неформального анализа риска Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий., основанного на практическом опыте определенного профессионала.

Плюсы:

- не просит использования значимых средств либо времени. Эксперт не должен получать дополнительные познания по собственной специальности и проводить детализированный анализ риска.

Недочеты:

- возрастает возможность пропуска ряда принципиальных деталей;

- появляются трудности в обосновании необходимости реализации защитных мер;

- для профессионалов, не владеющих значимым опытом Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий. работы в области анализа риска, не существует готовых советов;

- результаты могут зависеть от личного подхода, личных предубеждений;

- трудности в случае увольнения спеца, который проводил неформальный подход.

С учетом приведенных выше недочетов 2-ой вариант подхода к анализу риска для многих организаций будет неэффективным.

3. Детализированный анализ риска подразумевает проведение детализированного Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий. анализа риска, который содержит в себе подробную идентификацию и оценку активов, оценку вероятных угроз, также оценку уровня уязвимости, с получением результатов для всех систем информационных технологий, действующих в организации

Достоинства подхода:

- определение для каждой из систем соответственных ей защитных мер обеспечения безопасности.

Недочеты:

- значимые издержки средств, времени и квалифицированного Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий. труда;

- возможность того, что определение защитных мер для какой-нибудь критичной системы произойдет очень поздно.

Таким макаром, внедрение детализированного анализа риска применительно ко всем системам информационных технологий не рекомендуется.

4. Комбинированный подход подразумевает проведение анализа высочайшего уровня риска для всех систем информационных технологий, обращая внимание на бизнес значимость системы и уровень риска, которому Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий. она подвергается. Для более важных систем используют детализированный анализ, для других базисный подход.

Достоинства:

- стремительная оценка состояние систем;

- рациональное рассредотачивание ресурсов.

Внедрение данного подхода обеспечивает большинству организаций более действенное решение заморочек.

Главные положения и структура эталона представлена в приложении 2.


informacionnij-byulleten-administracii-sankt-peterburga-17-668-10-maya-2010-g.html
informacionnij-byulleten-administracii-sankt-peterburga-18-669-17-maya-2010-g-stranica-19.html
informacionnij-byulleten-administracii-sankt-peterburga-18-719-23-maya-2011-g-stranica-13.html