Министерство по развитию информационных технологий и коммуникаций республики узбекистан каршинский филиал ташкентского университета
Идентификация доступных элементов управления
Download 0.91 Mb. Pdf ko'rish
|
УК Практика Введение в управление рисками ИБ 2022 готовая
|
2.4 Идентификация доступных элементов управления Исходные данные: Документирование планов внедрения средств контроля и управления рисками. Работа: Должны быть идентифицированы существующие и планируемые средства контроля. Идентификация существующих средств контроля должна быть сделана, чтобы избежать ненужной работы или результатов, таких как дублирование средств управления. Кроме того, во время выявления существующих средств контроля необходимо провести аудит, чтобы подтвердить, что средства контроля работают должным образом - отчеты, доступные из предыдущих проверок УРИБ, должны сократить время, затрачиваемое на эту задачу. Если элементы управления не работают должным образом, это может быть причиной уязвимости. Чтобы эффективно устранить риски, выявленные операциями выбранных средств контроля, необходимо сосредоточиться на ситуации, которая требует дополнительных средств контроля. Это поддерживается в УРИБ путем измерения эффективности средств контроля в соответствии со стандартом ISO/IEC 27001. Один из способов оценить эффективность элемента управления — посмотреть, как он снижает вероятность угроз и простоту использования уязвимости или воздействия инцидента. Обзоры руководства и аудиторские отчеты также предоставляют информацию об эффективности существующих средств контроля. Планы реализации управления рисками должны учитывать способ реализации средств контроля. Существующие или планируемые средства контроля могут оказаться неэффективными, неадекватными или необоснованными. Если они считаются 51 необоснованными или недостаточными, проверьте средства контроля, чтобы определить, следует ли их удалить, заменить другими, более подходящими, или продолжать использовать, например, из-за отсутствия средств для внедрения новых средств контроля. Следующие действия рекомендуются для определения существующих или планируемых средств контроля: - пересмотр документов, содержащих информацию об инструментах управления (например, планы управления рисками). Если процессы управления информационной безопасностью надлежащим образом задокументированы, то существующие или планируемые инструменты управления и статус их внедрения должны быть благоприятными; - проверка средств управления с полномочиями пользователей и лиц, ответственных за информационную безопасность (например, администратора информационной безопасности, коменданта здания или руководителя работ) с целью внедрения их в контролируемый информационный процесс или информационную систему; - пройтись по зданию с осмотром физических элементов управления, сравнить реализованные элементы управления со списком существующих и проверить, правильно ли и эффективно работают внедренные элементы управления; - рассмотрение результатов внутренних проверок. Выходные данные: список всех существующих и планируемых элементов управления, их расположение и статус использования. Download 0.91 Mb. Do'stlaringiz bilan baham: 
|