27 
7-Практическая работа 
Тема: Управление жизненным циклом информационных активов 
Цель работы: в ходе выполнения данного практического занятия 
студенты получат знания и навыки по управлению жизненным циклом 
информационных активов. 
Теоретическая часть: Под управлением жизненным циклом 
информационных активов понимается обеспечение надежности управления 
информацией при ее использовании внутри предприятия. При необходимости 
внутри организации должен быть выделен специалист, к которому может 
обратиться сотрудник, интересующийся вопросами информационной 
безопасности. Необходимо наладить отношения с внешними экспертами по 
безопасности, чтобы быть в курсе тенденций отрасли, способов и методов ее 
оценки, а также адекватно реагировать на нарушения информационной 
безопасности. Должен поддерживаться многопрофильный подход к 
информационной безопасности, например, совместная работа между 
менеджерами, 
пользователями, 
администраторами, 
разработчиками 
приложений, персоналом по аудиту и безопасности, а также специалистами по 
страхованию и управлению рисками. 
Руководство должно активно поддерживать безопасность в организации, 
давая четкие указания, являясь примером в исполнении, давая четкие 
поручения, а также утверждая поручения по обеспечению информационной 
безопасности. 
Руководство должно: 
a) обеспечение того, чтобы цели безопасности были определены в 
соответствии с организационными требованиями и включены в 
соответствующие процессы; 
б) 
Представление, 
рассмотрение 
и 
утверждение 
политики 
информационной безопасности; 
в) контроль за эффективностью реализации политики информационной 
безопасности; 
г) Обеспечить значительную административную поддержку и четкое 
руководство инициативами, направленными на повышение безопасности; 
д) обеспечить выделение необходимых активов для обеспечения 
информационной безопасности; 
е) утверждение назначения ответственных за информационную 
безопасность внутри организации и их обязанностей; 
ж) инициирование планов и программ по обеспечению осведомленности 
сотрудников по вопросам информационной безопасности; 
з) Убедиться, что внедрение средств управления информационной 
безопасностью координируется внутри организации. 
Реализация организацией деятельности по управлению информационной 

28 
безопасностью (т. е. инструментов управления, политик, процессов и 
процедур информационной безопасности) должна подвергаться независимой 
проверке (аудит) на основе разработанного плана или при значительных 
изменениях в реализации деятельности по обеспечению безопасности. 
Руководство инициирует независимое расследование. Он проводится для 
того, чтобы мероприятия, разработанные в организации, должным образом 
отражали политику, могли выполняться и считались эффективными. 
В этом обзоре следует определить необходимость изменений в подходе к 
обеспечению безопасности с учетом оценки возможных улучшений, а также 
политики и целей управления. 
Такой аудит может быть проведен внутренним аудитором, независимым 
менеджером или внешней организацией, специализирующейся на таких 
аудитах, при этом привлекаемые к аудиту специалисты должны обладать 
соответствующими навыками и опытом. 
Результаты независимого расследования оформляются письменно и 
направляются в виде отчета руководителю, инициировавшему расследование. 
Предоставленные документы должны быть проанализированы. 
В случае выявления в ходе проверки несоответствия реализации 
мероприятий по управлению информационной безопасностью требованиям и 
нормам информационной безопасности руководству следует рассмотреть 
вопрос о внесении корректировок. 
Необходимо выявить риски, связанные с информацией организации и 
средствами ее обработки, по бизнес-процессам, задействованным сторонами. 
Перед тем, как использование будет разрешено, должны быть приняты 
соответствующие меры контроля. 
Если есть необходимость разрешить сторонним организациям 
использовать средства обработки информации и/или информационные активы 
организации, то необходимо определить риски для наложения требований на 
определенные средства контроля (4). При определении рисков, связанных с 
доступом иностранных организаций, необходимо учитывать следующее: 
а) средства обработки информации, используемые иностранными 
организациями; 
б) вид использования информации и средств обработки иностранной 
организации, например: 
1) Физическое использование офисных помещений, компьютерных 
залов, серверных помещений; 
2) Логическое использование баз данных и информационных систем 
организации; 
3) Сетевое соединение между сетями организации и чужой 
организации - постоянное соединение или удаленный доступ; 
4) предусмотрено ли использование на месте или за его пределами; 

29 
в) важность и конфиденциальность используемой информации, а также 
ее конфиденциальность для деловых операций; 
г) средства управления, необходимые для защиты информационных 
активов организации и не предназначенные для предоставления доступа 
посторонним организациям; 
д) сотрудник иностранного субподрядчика, участвующий в обработке 
информации организации; 
е) способ идентификации организации или работника, уполномоченного 
на получение разрешения на использование, способ проверки повторения 
подтверждения полномочий и потребности. 
ж) различные методы и средства управления, используемые зарубежными 
организациями 
для 
хранения, 
обработки, 
передачи, 
совместного 
использования и обмена информацией; 
з) последствия отказа иностранному субподрядчику в необходимом 
доступе к информации, а также ввода и получения им неясной или вводящей 
в заблуждение информации; 
и) Практика и процедуры, связанные с инцидентами информационной 
безопасности и возможными убытками, условия дальнейшего использования 
иностранной организации в случае инцидента информационной безопасности; 
к) законодательные и нормативные требования, а также другие 
договорные обязательства, связанные с иностранными организациями, 
которые необходимо учитывать; 
л) Влияние договоров на интересы любых других заинтересованных 
сторон. 

Download 0.91 Mb.

Do'stlaringiz bilan baham: