Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников

Чтение книги онлайн.

СКАЧАТЬ организационной среды, обстоятельств бизнеса, правовых условий или технической среды.

      При пересмотре политики ИБ следует учитывать результаты пересмотров методов управления, для чего должны существовать определенные процедуры, в том числе график или период пересмотра.

      2. Организация ИБ

      Организацию ИБ определяют следующие составляющие:

      – внутренняя организация;

      – мобильные устройства и удалённая работа.

      2.1. Внутренняя организация

      Цель: Создать структуру управления для инициирования и управления внедрением и обеспечением ИБ в организации.

      Внутренняя организация сферы ИБ предполагает следующие мероприятия:

      – определение ответственности;

      – разделение обязанностей;

      – контакт с властями;

      – контакт со специальными группами.

      Определение ответственности

      Меры и средства

      Все ответственности в поле ИБ должны быть определены и закреплены.

      Рекомендации по реализации

      Закрепление ответственности должно соответствовать политике ИБ. Ответственности за защиту индивидуальных активов и осуществления процессов ИБ должны быть определены. Ответственности за действия по управлению рисками ИБ и, в частности, принятие остаточного риска должны быть определены. Эти ответственности должны быть дополнительно детализированы, при необходимости, для специфических мест и средств обработки информации.

      Ответственные лица могут делегировать некоторые задачи безопасности другим. Впрочем они все равно несут за это ответственность, поэтому должны обеспечить правильное оформление такого делегирования.

      Сферы ответственности должны быть зафиксированы.

      В частности, необходимо учесть следующее:

      – активы и процессы ИБ должны быть идентифицированы и определены;

      – личная ответственность за каждый актив и процесс ИБ должна быть обозначена и ее детали задокументированы;

      – уровни авторизации должны быть определены и задокументированы;

      – назначенные быть ответственными в сфере ИБ должны быть компетентными и в курсе всех событий в этой сфере;

      – координация и контроль аспектов ИБ взаимотношений с поставщиками должны быть идентифицированы и задокументированы.

      Многие организации назначают отдельного менеджера по ИБ, возлагая на него всю ответственность за разработку и внедрение ИБ и поддержку актуальности мер и средств ИБ. Одной из распространенных практик является назначение владельца каждого актива, отвечающего за его безопасность.

      Разделение обязанностей

      Меры и средства

      Противоречивые обязанности и зоны ответственности должны быть разделены для снижения возможностей несанкционированного изменения СКАЧАТЬ