Встановити централізоване адміністрування. Служба безпеки виступає, перш за все, в ролі радника або консультанта керівника підприємства, і не може нав'язувати методи (засоби) ІБ.

Безперервно управляти ризиками. ІБ варто надавати постійну увагу, щоб гарантувати адекватність і ефективність засобів контролю. Як було зазначено раніше, сучасні ІТ і суміжні технології, також як і чинники, пов'язані з ІБ, постійно змінюються.

Встановити відповідальність керівників підрозділів і керівників, які беруть участь у програмі забезпечення безпеки. Керівники повинні нести первинну відповідальність за визначення рівня безпеки ІС. Саме вони найбільшою мірою здатні визначити, який з інформаційних ресурсів є найбільш критичним, а також можливий вплив на ефективну роботу, у разі порушення його цілісності, конфіденційності або доступності. Таким чином, залучаючи їх до вибору засобів контролю можна гарантувати, що засоби контролю задовільняють поставленим вимогам, і будуть успішно впроваджені.

Оцінити ризик і визначити потреби. Оцінювання ризику є першим кроком реалізування програми забезпечення ІБ. Безпеку розглядатимемо як набір політик безпеки і відповідних засобів контролю, призначених для безпечного функціонування ІС та зменшення відповідних ризиків. Таким чином, визначення ризиків, пов'язаних з ІБ – відправна точка циклу управління ІБ.

Основні принципи розроблення системи управління інформаційною безпекою

Визнати інформаційні ресурси в якості істотних (невід'ємних) активів підрозділів підприємств. Визнання ризиків ІБ вищим менеджментом підприємств, а також набору заходів, спрямованих на визначення та управління цими ризиками є важливим чинником розвитку програми забезпечення ІБ. Такий підхід до менеджменту дозволить гарантувати, що ІБ серйозно розглядається і на більш низьких організаційних рівнях, а фахівці з ІБ забезпечені ресурсами, необхідними для ефективного здійснення програми. Розробити практичні процедури оцінювання ризиків. Існують різні методології оцінювання ризику, починаючи від неформального обговорення ризику і закінчуючи досить складними методами, які передбачають використання спеціалізованого ПЗ. Проте, світовий досвід успішних процедур управління ризиками описує відносно простий процес, який передбачає участь різних служб із залученням фахівців зі знаннями відповідних процесів, технічних фахівців і фахівців в галузі ЗІ.

Розуміння ризиків не передбачає їх точного кількісного визначення, включаючи вірогідність інциденту або вартість збитків. Такі дані недоступні, тому що втрати можуть бути не виявлені, а керівництво не поставлено до відома. Крім того, дані про повні витрати на усунення збитків, викликаних слабкими механізмами контролю безпеки, а також операційної вартості цих механізмів (механізмів контролю) обмежені. Через постійні зміни технологій, а також програмних засобів та інструментів, доступних зловмисникам, застосування статистичних даних, зібраних у попередні роки є сумнівним. У результаті важко, якщо це взагалі можливо, достеменно порівняти вартість коштів контролю з ризиком втрати щоб визначити який засіб контролю є найбільш рентабельним. У будь-якому випадку, фахівці в галузі ІБ повинні покладатися на найбільш повну інформацію, доступну їм при ухваленні рішення про вибір необхідних засобів (методів) контролю.

Визначити групу адміністрування для виконання ключових дій. У цілому, група адміністрування повинна бути:

· каталізатором (прискорювачем) процесу, гарантувати, що ризики ІБ розглядаються безперервно;

· центральним консультаційним ресурсом;

засобом доведення до керівництва підрозділів підприємств інформації про стан ІБ та прийнятих заходах.

<== попередня сторінка	\|	наступна сторінка ==>
Організаційні принципи управління інформаційною безпекою	\|	Використовувати отримані результати для координування майбутніх зусиль і підвищення відповідальності керівництва

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.003 сек.