+7 (499) 110-86-37Москва и область +7 (812) 426-14-07 Доб. 366Санкт-Петербург и область

Идентификация и оценка информационных активов

Перейти к содержимому. Перейти к навигации. В процессе управления любым направлением деятельности необходимо вырабатывать осознанные и эффективные решения, принятие которых помогает достичь определенных целей. На наш взгляд, адекватное решение можно принять только на основании фактов и анализа причинно-следственных связей. Конечно, в ряде случаев решения принимаются и на интуитивном уровне, но качество интуитивного решения очень сильно зависит от опыта менеджера и в меньшей степени — от удачного стечения обстоятельств. Для иллюстрации того, насколько сложен процесс принятия обоснованного и соответствующего реалиям решения, приведем пример из области управления информационной безопасностью ИБ.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:
ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: ИБ-лекторий — Андрей Прозоров (Solar Security): Карьера в информационной безопасности

Система управления информационной безопасностью. Управление активами

К организационным уязвимостям относятся любые слабости защиты, не являющиеся слабостями технических или программных средств. Для идентификации организационных уязвимостей проводится проверка источников этих уязвимостей, к которым относятся:. Организационные уязвимости обычно заключаются в отсутствии или неправильном применении механизмов контроля. Поэтому основным источником идентификации организационных уязвимостей служит международный стандарт ISO , так как этот стандарт содержит наиболее полное высокоуровневое описание того, что должно быть сделано для защиты информационных активов.

Если чего-то не хватает, то это может рассматриваться в качестве потенциальной уязвимости. Международный стандарт ISO содержит подробное описание областей и механизмов контроля. Еще одним источником идентификации организационных уязвимостей служит анализ законодательной и нормативной базы в области информационной безопасности.

Источники идентификации потенциальных организационных уязвимостей:. ISO , приложение А , — определяет 11 областей и механизмов контроля;. ISO — подробно описывает 11 областей и механизмов контроля;. BIP — предоставляет дополнительное руководство по внедрению и аудиту механизмов контроля;. Разделы 4—8 международного стандарта ISO определяют обязательные читай — наиболее важные с точки зрения передового опыта и здравого смысла элементы СУИБ, такие как политика безопасности, оценка и обработка рисков, аудиты, анализ со стороны руководства, анализ эффективности, корректирующие и превентивные меры и т.

Отсутствие этих элементов почти всегда свидетельствует о наличии серьезных уязвимостей. Для анализа данных организационных уязвимостей составляется таблица соответствия, в которой для каждого требования, содержащегося в стандарте ISO , отмечается текущее состояние с выполнением этого требования, а также дается описание свойственных организации особенностей в интерпретации этого требования и существующих затруднений с его выполнением.

Оценочные мероприятия включают в себя интервьюирование персонала, сбор и анализ свидетельств надлежащего функционирования СУИБ, анализ полноты и правильности реализации механизмов контроля, описанных в стандарте. Результаты анализа заносятся в оценочную таблицу, фрагмент которой показан на рисунке. Целесообразность использования механизмов контроля, перечисленных в приложении А стандарта ISO и далее подробно описанных в стандарте ISO , должна определяться по результатам оценки рисков.

Однако отсутствие любого из этих механизмов контроля может рассматриваться на данном этапе в качестве потенциальной уязвимости, так как это ослабляет защиту активов. Для анализа этой группы уязвимостей также используется оценочная таблица, фрагмент которой показан на рисунке. Левая часть этой таблицы полностью повторяет структуру Приложения А стандарта ISO , а в правой части отмечается текущий статус реализации соответствующих механизмов контроля, описываются особенности реализации этих механизмов, а также приводится обоснование исключений некоторых механизмов контроля там, где это необходимо.

Как мы увидим далее, именно эта оценочная таблица будет выполнять роль Декларации о применимости механизмов контроля — важнейшего документа СУИБ, вокруг которого в последующем будет строиться обработка рисков и аудиты. Результатом идентификации организационных уязвимостей является отчет о несоответствиях, в котором для каждой области контроля определяется степень соответствия, перечисляются существующие механизмы безопасности, сильные и слабые стороны, а также даются рекомендации по усилению защиты.

Обеспечить и поддерживать надлежащий уровень защиты активов организации. Все активы должны быть учтены и иметь назначенного владельца. Также должна быть определена ответственность за сопровождение этих активов и обеспечение их безопасности.

Политика безопасности организации определяет права доступа к основным категориям информационных и ИТ активов на уровне файловых папок, ИТ сервисов и программных модулей. Права доступа периодически проверяются и пересматриваются.

Политика безопасности определяет правила допустимого использования активов, которые внедрены и соблюдаются на практике. Перечень конфиденциальной информации оформлен в виде приложения к Политике безопасности. Отсутствуют правила маркирования и обращения с конфиденциальными документами, а также схема их классификации.

Сформировать и поддерживать в актуальном состоянии реестр активов. Назначить владельцев для каждого активов и определить их ответственность за активы. Определить общую схему классификации информации по критериям конфиденциальности, целостности и доступности. Разработать и внедрить правила маркировки и обращения с конфиденциальными документами. Купить книгу "Искусство управления информационными рисками".

Искусство управления. Поиск по сайту:. Об авторе Предисловие Содержание Рецензии. Идентификация организационных уязвимостей К организационным уязвимостям относятся любые слабости защиты, не являющиеся слабостями технических или программных средств. Для идентификации организационных уязвимостей проводится проверка источников этих уязвимостей, к которым относятся: процессы управления безопасностью; организационная структура, распределение ролей и ответственности; документированные процедуры и записи; квалификация, осведомленность и обученность персонала; физические меры защиты и физическое окружение; соответствие требованиям законодательства, нормативной базы, договоров, стандартов и бизнеса.

Несоответствия: Отсутствует реестр информационных активов. Владельцы активов не идентифицированы явным образом. Рекомендации: Сформировать и поддерживать в актуальном состоянии реестр активов. Настольная книга менеджера информационной безопасности и эксперта по оценке информационных рисков. Отсутствует реестр информационных активов.

Анализ рисков в управлении информационной безопасностью

К организационным уязвимостям относятся любые слабости защиты, не являющиеся слабостями технических или программных средств. Для идентификации организационных уязвимостей проводится проверка источников этих уязвимостей, к которым относятся:. Организационные уязвимости обычно заключаются в отсутствии или неправильном применении механизмов контроля. Поэтому основным источником идентификации организационных уязвимостей служит международный стандарт ISO , так как этот стандарт содержит наиболее полное высокоуровневое описание того, что должно быть сделано для защиты информационных активов. Если чего-то не хватает, то это может рассматриваться в качестве потенциальной уязвимости.

Оценка рисков информационной безопасности · Идентификация активов. Активы Надлежащее управление и учет активов должны являться одной из.

Идентификация и оценка информационных активов предприятия

В данном разделе необходимо представить схему общей организационно-функциональной структуры предприятия, которая бы отражала содержание аппарата управления и объекта управления на предприятии, основные административные и функциональные подразделения предприятия. Схема должна носить целостный характер. В организационной структуре должна соблюдаться логичность представления должностей и подразделений. Например, на втором уровне подчиненности указываются либо должности руководителей, либо названия подразделений. Положения действующей нормативной базы в области информационной безопасности международные стандарты, ГОСТы требует от организации идентификации и принятия систематического метода и подхода к оценке рисков, где риск — комбинация вероятности события и его последствий. Тем не менее, результат оценивания риска может быть представлен как в форме количественного показателя тыс. Важно, чтобы управление рисками информационной безопасности осуществлялось четко и последовательно во всей организации. Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации.

1.1.2. Организационно-функциональная структура предприятия.

В этой части одно существенное дополнение и несколько мелких изменений. Действительно, старая ссылка больше не работает, обновил. Отправить комментарий. Практика информационной безопасности. Страницы Главная страница Содержание блога Законодательство и требования Стандарты и лучшие практики Полезные сайты и инструменты.

Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации.

Идентификация и оценка активов

Конфиденциальная для бизнеса информация входит в сферу повышенного интереса конкурирующих компаний. Для недобросовестных конкурентов, коррупционеров и других злоумышленников особый интерес представляет информация о составе менеджмента предприятий, их статусе и деятельности фирмы. Доступ к конфиденциальной информации и ее изменение могут нанести существенный урон финансовому положению компании. При этом, информационная утечка может быть даже частичной. Дорогие читатели!

Законодательная база Российской Федерации

Идентификация и определение ценности активов, исходя из потребностей бизнеса организации, являются основными факторами в оценке риска. Для того чтобы определить требуемый уровень защиты активов, необходимо оценить их ценность с точки зрения важности этих активов для бизнеса. Важно учитывать идентифицированные законодательные требования, требования бизнеса и контрактных обязательств, а также последствия нарушения конфиденциальности, целостности и доступности этих активов. Получение исходных данных для оценки от владельцев и пользователей активов. Определение последствий для бизнеса в результате нарушения конфиденциальности, целостности и доступности актива.

Актив системы информационных технологий является компонентом или частью общей системы, в которую организация напрямую вкладывает.

Категории: Менеджмент Право. Похожие презентации:. Система управления информационной безопасностью. Угрозы информационной безопасности.

Активы ресурсы — это все, что имеет ценность или находит полезное применение для организации, ее деловых операций и обеспечения их непрерывности. Поэтому активы нуждаются в защите для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет активов должны являться одной из основных обязанностей руководителей всех уровней. Важные активы внутри области действия СУИБ должны быть четко идентифицированы и должным образом оценены, а реестры, описывающие различные виды активов, должны быть взаимоувязаны и поддерживаться в актуальном состоянии. Для того чтобы быть уверенным в том, что ни один из активов не был пропущен или забыт, должна быть определена область действия СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий.

.

.

.

ВИДЕО ПО ТЕМЕ: Практические аспекты информационной безопасности. Что такое пентест и зачем он нужен?
Комментарии 1
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. genteutas89

    А если на дороге нет знака что ведётся фиксация это законно?