Процессный подход в управлении информационной безопасностью Выполнил: Исаева М. Ф. Студент группы КИБ-908 Научный руководитель: ассистент Коробулина О. Ю. Санкт – Петербург 2012
ГОСТ Р ИСО/МЭК 27001 - 2006 Национальный стандарт Российской Федерации; Идентичен международному стандарту ИСО/МЭК 27001: 2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» ; Может быть использован как внутри организации, так и внешними организациями для оценки соответствия.
Процессный подход Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. «Процессный подход» - использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов.
Процессный подход Модель «Plan –Do – Check – Act»
Процессный подход Планирование (разработка СМИБ) Разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности для достижения результатов, соответствующих общей политике и целям организации Осуществление (внедрение и обеспечение функционирования СМИБ) Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ Проверка (проведение мониторинга СМИБ) Оценка, в том числе. по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа Действие (поддержка и улучшение Проведение корректирующих и превентивных действий, основанных на СМИБ) результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ
Система менеджмента информационной безопасности Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Система менеджмента информационной безопасности Разработка СМИБ Внедрение и функционирование СМИБ Проведение мониторинга и анализа СМИБ Поддержка и улучшение СМИБ
Разработка СМИБ Содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ Устанавливает критерии оценки рисков, подходы к оценке рисков и идентификацию рисков Выбирает цели и меры управления для обработки рисков
Внедрение и функционирование СМИБ Разработка плана обработки рисков Внедрение мер управления для достижения целей управления Определение способов измерения результативности выбранных мер управления Реализация программ по обучению и повышению квалификации сотрудников Управление работой СМИБ Управление ресурсами СМИБ
Проведение мониторинга и анализа СМИБ Проведение регулярного анализа результативности СМИБ Измерение результативности мер управления для проверки соответствия требованиям ИБ Проведение внутренних аудитов СМИБ через установленные периоды времени Обновление планов ИБ с учетом результатов анализа и мониторинга
Поддержка и улучшение СМИБ Выявление возможности улучшения СМИБ Использование опыта по обеспечению ИБ Передача подробной информации о действиях СМИБ Обеспечение внедрения улучшений СМИБ для достижения запланированных целей Проведение корректирующих и предупреждающих действий
Скачать презентацию Процессный подход в управлении информационной безопасностью Выполнил: Исаева
процессный_подход.ppt