Основні етапи створення системи управління інформаційною безпекою

Планування. Перший крок побудови системи управління інформаційною безпекою (СУІБ) – це визначення області її дії. СУИБ може охоплювати всю організацію, єдиний офіс або виділений сервіс, наприклад розробку програмного забезпечення або супровід інформаційної системи.

Політика інформаційної безпеки. Другим кроком є формування відповідей на запитання:

· Чому інформаційна безпека важлива для організації? Які загрози викликають занепокоєння?

· Яких цілей у термінах цілісності, конфіденційності й доступності необхідно досягти?

· Який рівень ризику є прийнятним для організації?

· Які обов'язкові вимоги законодавства повинні враховуватися при побудові СУІБ?

Оцінка ризику. Третій крок ‑ вибір методу оцінки ризиків, прийнятного для організації й області дії СУІБ. Необхідно ідентифікувати ризики, включаючи:

· визначення ресурсів і їх власників;

· загрози для ресурсів, вразливості, через які реалізуються загрози.

А також оцінити ризики шляхом:

· визначення наслідків реалізації загроз для цілісності, конфіденційності і доступності ресурсів;

· оцінки імовірність настання ризиків та їх рівню.

Управління ризиком. Після отримання оцінки ризиків необхідно ухвалити рішення щодо подальших дій відносно виявлених ризиків. Можливі варіанти рішень: прийняти ризики, відповідно до визначеного в СУІБ припустимого рівня, впровадити механізми контролю для їхньої мінімізації або адресувати ризики третій стороні (наприклад, за допомогою страхування).

Впровадження. Цей етап створення СУІБ передбачає керування механізмами контролю. Крім інших заходів, мають бути впроваджені:

· процедури керування інцидентами безпеки (виявлення, оповіщення, відповідальності, аналізу й усунення);

· процедури навчання й «поінформованості» співробітників;

· процедур впровадження, планування й управління необхідними ресурсами.

Далі здійснюються перевірка досягнення мети, моніторинг вразливостей і недоліків, періодичні оцінки, актуалізація.

Впровадження СУІБ на підприємстві дозволяє підвищити ефективність витрачання коштів на захист інформації.

Література

1. Ленков С.В., Перегудов Д.А., Хорошко В.А., Методы и средства защиты информации/ под. ред. В.А.Хорошко. – К.: Арий, 2008. – Том I. Несанкционированное получение информации, – 464 с.

2. Ленков С.В., Перегудов Д.А., Хорошко В.А., Методы и средства защиты информации/ под. ред. В.А.Хорошко. – К.: Арий, 2008. – Том II. Информационная безопасность, – 344 с.

3. Богуш В.М., Юдін О.К., Інформаційна безпека держави. –К.: «МК-Прес», 2005. – 432с.

4. Мельников В.П., Клейменов С.А., Петраков В.М., Информационная безопасность и защита информации: учебное пособие для студентов высших учебных заведений / под. ред. С.А.Клейменова. – М.: Изд. центр «Академия», 2009. – 336 с.

5. Гатчин Ю.А., Климова Е.В., Ожиганов А.А. Основы информационной безопасности компьютерных систем и защиты государственной тайны: учебное пособие. –СПб.: СПбГУ ИТМО, 2001. – 60 с.