Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

— выходные данные 4.3 — положение о применимости;

— выходные данные 5.1.3 — политики ИБ;

— выходные данные 5.1.4 — стандарты и процедуры ИБ;

— обзор общей программы обучения в организации.

Рекомендации: Руководство отвечает за обучение, чтобы сотрудники, назначенные на определенные должности, имели необходимые знания для выполнения требуемых операций. Содержание программы образования и обучения должно помогать всем сотрудникам знать и понимать значение и важность операций по обеспечению ИБ, в которых они участвуют, и то, как они могут способствовать достижению целей.

Программа обучения с целью информирования по вопросам ИБ должна обеспечивать составление записей по обучению в области ИБ. Эти записи должны регулярно проверяться для обеспечения получения требуемого обучения всеми сотрудниками. Необходимо назначить должностное лицо, ответственное за этот процесс.

Материалы по обучению в области ИБ должны быть разработаны таким образом, чтобы они были связаны с другими обучающими материалами, используемыми в организации, особенно, учебные курсы для пользователей ИС. Обучение по существенным аспектам ИБ должно включаться в каждый учебный курс для пользователей ИС.

Обучающие материалы по ИБ должны включать, как минимум, следующие пункты в зависимости от целевой аудитории:

— основные термины ИБ;

— риски и угрозы ИБ;

— четкое определение инцидента ИБ: рекомендации по его обнаружению, устранению и отчетности;

— политики ИБ, стандарты и процедуры организации;

— сферы ответственности и каналы отчетности, связанные с ИБ;

— рекомендации по оказанию помощи в повышении уровня ИБ;

— рекомендации, связанные с нарушениями ИБ и отчетностью;

— координаты получения дополнительной информации.

Необходимо определить группу по обучению ИБ, которая может выполнять следующие задачи:

— создание и управление записями по ИБ;

— составление и управления материалами по обучению;

— проведение обучения.

Выходные данные:

— материалы по обучению в области ИБ;

— формирование программ обучения в области ИБ, включая роли и сферы ответственности;

— планы обучения в области ИБ;

— записи, показывающие результаты обучения работников в области ИБ.

5.4. Разработка окончательного плана проекта СУИБ

Исходные данные:

— выходные данные 2.4 — область действия и границы СУИБ;

— выходные данные 2.5 — политика СУИБ;

— выходные данные 5.1 — разработка системы ИБ;

— выходные данные 5.2 — разработка системы ИБ ИКТ и физических объектов;

— выходные данные 5.3 — разработка ИБ, связанной с СУИБ;

— ISO/IEC 27002 — правила СУИБ.

Рекомендации:

Действия, требуемые для внедрения выбранных средств управления и выполнения других действий, связанных с системой СУИБ, должны быть оформлены в виде подробного плана внедрения как части конечного проекта СУИБ. Подробный план внедрения системы также может подкрепляться описаниями предложенных инструментов и методов внедрения.

Поскольку проект СУИБ включает множество различных ролей в организации, важно, чтобы действия были четко определены для ответственных сторон и план был распространен на ранних стадиях проекта во всей организации.

Выходные данные: Выходные данные этого действия представляют собой окончательный план проекта внедрения СУИБ.

5. Управление рисками иб (стандарт ISO/IEC 27005:2010)

В начале 2006 года был принят первый британский национальный стандарт в сфере управления рисками ИБ BS 7799—3, который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».

Новый стандарт ISO/IEC 27005 заменил сразу две части морально устаревшего технического стандарта ISO/IEC TR 13335 (TR — technical report — технический отчет) «ИТ. Методы защиты»: часть 3 «Методы управления безопасностью ИТ» и часть 4 «Выбор защитных мер», на базе которых он и был разработан.

В 2011 году была принята последняя редакция стандарта ISO/IEC 27005, в котором были пересмотрены и обновлены в соответствии с требованиями следующих документов:

— ISO 31000:2009 — Управление рисками — Принципы и руководства;

— ISO/IEC 31010:2009 — Управление рисками — Методики оценки рисков;

— ISO Guide 73:2009 — Управление рисками — Словарь.

Систематический подход к управлению рисками ИБ необходим для того, чтобы идентифицировать потребности организации, касающиеся требований ИБ, и создать эффективную СУИБ.

Перейти на страницу:

Похожие книги

Полное руководство по Microsoft Windows XP
Полное руководство по Microsoft Windows XP

В книге известного американского автора описывается среда ОС Windows XP и принципы ее функционирования, приведен сравнительный анализ Windows XP с предшествующими версиями операционной системы Windows. Рассматриваются вопросы применения и модификации нового интерфейса с целью получения прямого доступа ко всем функциям Windows XP обсуждаются варианты подключения к компьютерным сетям. Несколько разделов посвящены работе с реестром и конфигурационными файлами, мультимедийным функциям и разнообразным системным службам, а также методам решения проблем с программным обеспечением и оборудованием. Особое внимание уделено обеспечению безопасности операционной системы.Издание адресовано пользователям и сетевым администраторам, желающим активно применять возможности операционной системы Windows XP (в том числе и недокументированные).

Джон Поль Мюллер , Питер Нортон

ОС и Сети, интернет / ОС и Сети / Книги по IT
Недокументированные и малоизвестные возможности Windows XP
Недокументированные и малоизвестные возможности Windows XP

Книга содержит подробные сведения о таких недокументированных или малоизвестных возможностях Windows XP, как принципы работы с программами rundll32.exe и regsvr32.exe, написание скриптов сервера сценариев Windows и создание INF-файлов. Р' ней приведено описание оснасток, изложены принципы работы с консолью управления mmc.exe и параметрами реестра, которые изменяются с ее помощью. Кроме того, рассмотрено большое количество средств, позволяющих выполнить тонкую настройку Windows XP.Эта книга предназначена для опытных пользователей и администраторов, которым интересно узнать о нестандартных возможностях Windows. Тем более что довольно часто эти возможности позволяют обойти ограничения на те или иные функции Windows, установленные администратором. Р

Роман Александрович Клименко

ОС и Сети, интернет / ОС и Сети / Книги по IT