Мельников Д.А. Лекция №24: Основные направления и принципы организации СОИБ ИТС
Подождите немного. Документ загружается.
Лекция
Лекция
№
№
2
2
4
4
:
:
Основные
Основные
направления
направления
и
и
принципы
принципы
организации
организации
СОИБ
СОИБ
ИТС
ИТС
f идентифицировать риски:
f идентифицировать риски:
определить используемое имущество в пределах
сферы функционирования СОИБ, атакже
ответственный за это имущество персонал;
определить угрозы этому имуществу;
определить уязвимости, которые могут привести к
реализации угроз;
определить негативные воздействия, которые
могут привести к нарушению конфиденциальности,
целостности и работоспособности защищаемых
объектов;
определить используемое имущество в пределах
сферы функционирования СОИБ, атакже
ответственный за это имущество персонал;
определить угрозы этому имуществу;
определить уязвимости, которые могут привести к
реализации угроз;
определить негативные воздействия, которые
могут привести к нарушению конфиденциальности,
целостности и работоспособности защищаемых
объектов;
Лекция
Лекция
№
№
2
2
4
4
:
:
Основные
Основные
направления
направления
и
и
принципы
принципы
организации
организации
СОИБ
СОИБ
ИТС
ИТС
g проанализировать и оценить риски:
g проанализировать и оценить риски:
оценить возможные воздействия на компанию, которые
могут повлечь за собой нарушение безопасности,
учитывая последствия нарушений конфиденциальности,
целостности и работоспособности защищаемых
объектов;
оценить реальную вероятность осуществления такого
нарушения безопасности в свете наиболее
распространённых угроз и уязвимостей, и негативные
воздействия, связанные с защищаемыми объектами, а
также процедуры текущего управления и контроля;
оценить уровни рисков;
определить является ли риск приемлемым или он
требует нового способа нейтрализации на основании
сформулированного критерия приемлемости критерия;
оценить возможные воздействия на компанию, которые
могут повлечь за собой нарушение безопасности,
учитывая последствия нарушений конфиденциальности,
целостности и работоспособности защищаемых
объектов;
оценить реальную вероятность осуществления такого
нарушения безопасности в свете наиболее
распространённых угроз и уязвимостей, и негативные
воздействия, связанные с защищаемыми объектами, а
также процедуры текущего управления и контроля;
оценить уровни рисков;
определить является ли риск приемлемым или он
требует нового способа нейтрализации на основании
сформулированного критерия приемлемости критерия;
Лекция
Лекция
№
№
2
2
4
4
:
:
Основные
Основные
направления
направления
и
и
принципы
принципы
организации
организации
СОИБ
СОИБ
ИТС
ИТС
h определение и оценка вариантов и способов
нейтрализации рисков. Возможны следующие
действия:
h определение и оценка вариантов и способов
нейтрализации рисков. Возможны следующие
действия:
применение соответствующих процедур контроля и
управления;
сознательно и беспристрастно признать риски,
удостоверившись, что они в явном виде удовлетворяют
стратегии компании по обеспечению ИБ и критерию
приемлемости рисков;
остерегаться рисков;
передача информации о реальных рисках другим
заинтересованным организациям;
применение соответствующих процедур контроля и
управления;
сознательно и беспристрастно признать риски,
удостоверившись, что они в явном виде удовлетворяют
стратегии компании по обеспечению ИБ и критерию
приемлемости рисков;
остерегаться рисков;
передача информации о реальных рисках другим
заинтересованным организациям;
Лекция
Лекция
№
№
2
2
4
4
:
:
Основные
Основные
направления
направления
и
и
принципы
принципы
организации
организации
СОИБ
СОИБ
ИТС
ИТС
i выбор целей и средств управления.
i выбор целей и средств управления.
Цели и средства управления должны
выбираться и реализовываться с учётом
удовлетворения требованиям,
определённым процессами оценки и
нейтрализации рисков. Такой выбор должен
учитывать критерии приемлемости рисков, а
также требования законодательной и
нормативной правовой базы и договорных
обязательств;
Цели и средства управления должны
выбираться и реализовываться с учётом
удовлетворения требованиям,
определённым процессами оценки и
нейтрализации рисков. Такой выбор должен
учитывать критерии приемлемости рисков, а
также требования законодательной и
нормативной правовой базы и договорных
обязательств;
Лекция
Лекция
№
№
2
2
4
4
:
:
Основные
Основные
направления
направления
и
и
принципы
принципы
организации
организации
СОИБ
СОИБ
ИТС
ИТС
j получить санкцию на управление
предполагаемыми оставшимися рисками;
k провести процедуру авторизации
управления с целью внедрения и
функционирования СОИБ;
l составить заключение о применимости.
Такоезаключениедолжновключать
следующее:
j получить санкцию на управление
предполагаемыми оставшимися рисками;
k провести процедуру авторизации
управления с целью внедрения и
функционирования СОИБ;
l составить заключение о применимости.
Такоезаключениедолжновключать
следующее:
Лекция
Лекция
№
№
2
2
4
4
:
:
Основные
Основные
направления
направления
и
и
принципы
принципы
организации
организации
СОИБ
СОИБ
ИТС
ИТС
выбранные цели и средства управления, а
также причины их выбора;
применяемые в настоящее время цели и
средства управления;
исключённые цели и средства управления и
мотивировка такого исключения.
выбранные цели и средства управления, а
также причины их выбора;
применяемые в настоящее время цели и
средства управления;
исключённые цели и средства управления и
мотивировка такого исключения.
(Замечание. Заключение о применимости
суммирует решения, касающиеся
нейтрализации рисков.)
(Замечание
. Заключение о применимости
суммирует решения, касающиеся
нейтрализации рисков.)
Лекция
Лекция
№
№
2
2
4
4
:
:
Основные
Основные
направления
направления
и
и
принципы
принципы
организации
организации
СОИБ
СОИБ
ИТС
ИТС
Внедрение и функционирование СОИБ
.
Руководство и персонал любой компании должны:
Внедрение и функционирование СОИБ
.
Руководство и персонал любой компании должны:
составить план нейтрализации рисков, который
определяет соответствующие управляющие
(обеспечивающие) процедуры, ресурсы,
ответственность и приоритеты при управлении
рисками ИБ;
внедрить план нейтрализации рисков для
достижения поставленных целей управления,
который включает анализ финансирования и
распределения ролей и ответственности;
внедрить выбранные средства управления для
достижения поставленных целей управления;
составить план нейтрализации рисков, который
определяет соответствующие управляющие
(обеспечивающие) процедуры, ресурсы,
ответственность и приоритеты при управлении
рисками ИБ;
внедрить план нейтрализации рисков для
достижения поставленных целей управления,
который включает анализ финансирования и
распределения ролей и ответственности;
внедрить выбранные средства управления для
достижения поставленных целей управления;
Лекция
Лекция
№
№
2
2
4
4
:
:
Основные
Основные
направления
направления
и
и
принципы
принципы
организации
организации
СОИБ
СОИБ
ИТС
ИТС
определить процедуры измерения (оценки)
эффективности выбранных средств управления
или групп средств управления, а также определить,
как можно использовать эти измерительные
процедуры для оценки эффективности управления
доступом и могут ли быть получены соизмеримые
(сопоставимые) и воспроизводимые результаты
после реализации этих процедур (
Замечание.
Оценка эффективности средств управления
позволит руководству и персоналу компании
определить насколько средства управления
обеспечили достижение поставленных целей
управления.
);
определить процедуры измерения (оценки)
эффективности выбранных средств управления
или групп средств управления, а также определить,
как можно использовать эти измерительные
процедуры для оценки эффективности управления
доступом и могут ли быть получены соизмеримые
(сопоставимые) и воспроизводимые результаты
после реализации этих процедур (
Замечание.
Оценка эффективности средств управления
позволит руководству и персоналу компании
определить насколько средства управления
обеспечили достижение поставленных целей
управления.
);
Лекция
Лекция
№
№
2
2
4
4
:
:
Основные
Основные
направления
направления
и
и
принципы
принципы
организации
организации
СОИБ
СОИБ
ИТС
ИТС
внедрить программы обучения и оперативного
информирования;
управлять функционированием СОИБ;
управлять ресурсами СОИБ;
внедрить процедуры и другие средства
управления, способные обеспечить
своевременное выявление и мгновенную
ответную реакцию на инциденты, связанные с
нарушением ИБ.
внедрить программы обучения и оперативного
информирования;
управлять функционированием СОИБ;
управлять ресурсами СОИБ;
внедрить процедуры и другие средства
управления, способные обеспечить
своевременное выявление и мгновенную
ответную реакцию на инциденты, связанные с
нарушением ИБ.
Лекция
Лекция
№
№
2
2
4
4
:
:
Основные
Основные
направления
направления
и
и
принципы
принципы
организации
организации
СОИБ
СОИБ
ИТС
ИТС
Текущий контроль и анализ функционирования
СОИБ
. Руководство и персонал любой компании
должны:
Текущий контроль и анализ функционирования
СОИБ
. Руководство и персонал любой компании
должны:
n осуществлять текущий контроль и анализ
процедур и средств управления с целью:
n осуществлять текущий контроль и анализ
процедур и средств управления с целью:
своевременного выявления ошибок и сбоев по
результатам функционирования компании;
своевременного определения неудачных и
успешных попыток нарушить систему ИБ, атакже
инцидентов, связанных с ИБ;
своевременного выявления ошибок и сбоев по
результатам функционирования компании;
своевременного определения неудачных и
успешных попыток нарушить систему ИБ, атакже
инцидентов, связанных с ИБ;