79 
16-ПРАКТИЧЕСКАЯ РАБОТА 
Тема: Политика управления использованием: анализ системы 
управления информационной безопасностью. 
Цель работы: Изучить международные стандарты, используемые при 
идентификации и анализе рисков в организации, иметь информацию о них и 
иметь краткое представление об оценке и анализе рисков в организации. 
Теоретическая часть: стандарт ISO 27002 состоит из модели и 
требований к разработке, внедрению, эксплуатации, мониторингу, анализу, 
обслуживанию и совершенствованию системы управления информационной 
безопасностью (УРИБ). Внедрение УРИБ должно оставаться стратегическим 
решением организации. При разработке и внедрении УРИБ следует учитывать 
потребности, цели, используемые процессы, размер и структуру организации. 
Ожидается, что УРИБ и поддерживающие его системы со временем изменятся. 
Кроме того, степень расширения УРИБ зависит от потребностей организации, 
например, простая ситуация требует простого решения для УРИБ. 
Этот стандарт может использоваться внутренними и внешними 
сторонами для оценки соответствия. 
Процессный подход 
Стандарт ISO 27002 направлен на использование процессного подхода 
при разработке, внедрении, эксплуатации, мониторинге, анализе, 
обслуживании и совершенствовании УРИБ организации. 
Чтобы организация функционировала успешно, она должна определить и 
управлять большим количеством взаимосвязанных видов деятельности. Все 
виды деятельности, которые используют активы и управляются для 
преобразования входов в выходы, можно рассматривать как процессы. Часто 
результат одного процесса создает непосредственный ввод следующего 
процесса. 
Выделение системы процессов в организации и их взаимодействия, а 
также использование системы процессов, а также управление процессами 
можно считать «процессным подходом». 
Этот подход подчеркивает важность: 
а) понимание требований организации к информационной безопасности 
и необходимость определения политик и целей информационной 
безопасности; 
б) внедрение и применение мер управления рисками информационной 
безопасности организации в общем контексте всех бизнес-рисков; 
у) 
постоянный мониторинг и анализ производительности и 
эффективности УРИБ; 
г) постоянное совершенствование на основе результатов объективных 
измерений. 
Этот стандарт предоставляет модель «планируй-делай-проверяй-

80 
действуй» [``Rlan-Do-Check-Act'' (PDCA)], которую можно использовать при 
разработке каждого процесса УРИБ. 
Модель, представленная на рисунке 1, показывает, как УРИБ 
использует в качестве входных данных требования информационной 
безопасности и ожидаемые результаты заинтересованных сторон и получает 
информацию, свидетельствующую о том, что заявленные требования и 
ожидаемые результаты удовлетворяются в результате реализации 
необходимых действий и процессов. На рис. 1 также показаны взаимосвязи 
между процессами, представленными в разделах 4–8. 
Кроме того, модель PDCA совместима с «Руководящими указаниями 
Организации экономического сотрудничества и развития (ОЭСР) по 
безопасности информационных систем и сетей» 2002 г. [1]. Этот стандарт 
предоставляет практическую модель для применения этих принципов к 
управлению рисками, планированию и реализации безопасности, а также 
управлению безопасностью и переоценке. 
Пример 1 
Может потребоваться, чтобы нарушение информационной безопасности 
не могло быть причиной серьезных финансовых потерь и/или каких-либо 
затруднений для организации. 
Пример 2 
В случае серьезного инцидента, например, при взломе сайта 
организации, осуществляющей электронную коммерцию с помощью сайта, в 
организации должны быть специалисты, обладающие достаточными знаниями 
и опытом, чтобы минимизировать последствия взлома. 

81 

Download 0.91 Mb.

Do'stlaringiz bilan baham: