Войти в мой кабинет
Регистрация
ГОТОВЫЕ РАБОТЫ / КУРСОВАЯ РАБОТА, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Организация консалтинговой деятельности в области информационной безопасности/

irina_k20 396 руб. КУПИТЬ ЭТУ РАБОТУ
Страниц: 33 Заказ написания работы может стоить дешевле
Оригинальность: неизвестно После покупки вы можете повысить уникальность этой работы до 80-100% с помощью сервиса
Размещено: 17.06.2020
Направления развития ИБ, целей и решаемых задач с учетом стратегических целей развития организации; Конкретных действий, необходимых для продвижения по выбранному направлению и достижения поставленных целей и задач. Целью курсовой работы является изучение деятельности консультанта или консалтинговой компании, оказывающего услуги консалтинга в области информационной безопасности. Задачей курсовой работы является описание услуг, предоставляемых консультантом или конслатинговой компанией в области информационной безопасности и проверка их на соответствие требованиям законодательства и отраслей.
Введение

Сегодня консалтинг в области информационной безопасности очень востребован на рынке. Это связано с актуальностью задач, решаемых с его помощью. Консалтинг в области информационной безопасности представляет собой комплекс услуг, оказываемых заказчику с целью определения:Текущего уровня обеспечения (уровня зрелости) информационной безопасности в организации, в соответствии с лучшими мировыми практиками по обеспечению информационной безопасности, отраслевыми требованиями, а также с точки зрения эффективности противодействия существующим угрозам информационной безопасности; Соответствия существующей или разрабатываемой системы защиты информации действующему законодательству, а также организационно-нормативные документы;
Содержание

ВВЕДЕНИЕ 3 1 ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ КОНСАЛТИНГА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 4 1.1 Консалтинг в области информационной безопасности 4 1.2 Актуальность услуг по консалтингу в области информационной безопасности 5 1.3 Виды консалтинга в области информационной безопасности 7 1.4 Формы оказания услуг по консалтингу в области информационной безопасности 8 2 ПОДГОТОВКА И ОРГАНИЗАЦИЯ КОНСАЛТИНГА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ 9 2.1 Определение уровня информационной безопасности организации 9 2.2 Обследование состояния информационной безопасности организации с разработкой рекомендаций 10 2.2.1 Информационное обследование 11 2.2.2 Анализ полученной в ходе обследования информации 14 2.2.3 Разработка и согласование рекомендаций по повышению уровня информационной безопасности организации 15 2.3 Анализ рисков информационной безопасности организации 16 2.3.1 Идентификация и оценка критичности активов организации 17 2.3.2 Выбор методики анализа рисков 17 2.3.3 Идентификация рисков 19 2.3.4 Оценка рисков 19 2.3.5 Выбор мер противодействия рискам 20 2.3.6 Результат работ по анализу рисков информационной безопасности 20 2.4 Разработка стратегии информационной безопасности 21 2.5 Обеспечение требований 25 2.5.1 Обеспечение требований законодательства 25 2.5.2 Обеспечение отраслевых требований по информационной безопасности 28 ЗАКЛЮЧЕНИЕ 32 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 33
Список литературы

1. Федеральный закон Российской Федерации «О персональных данных» №152-ФЗ от 27.07.2006 2. «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2006. 3. Стандарт Payment Card Industry Data Security Standard (PCI DSS) 4. Алимирзоев Р.А. Современный инструментарий консалтинговой деятельности в процессе обеспечения экономической безопасности предприятия: Препринт. СПб.: Изд-во СПбГУЭФ, 2010 5. Алимирзоев Р.А. Особенности управленческого консультирования в процессе обеспечения экономической безопасности предприятия // Известия Санкт-Петербургского университета экономики и финансов. 2010. № 5. 0,5 6. Алимирзоев Р.А. Информационно-аналитическое обеспечение системы экономической безопасности предприятия // Научные записки кафедры управления и планирования социальноэкономических процессов имени З.д.н. РФ Ю.А. Лаврикова СПбГУЭФ. Выпуск 1. СПб.: Изд-во СПбГУЭФ, 2010. 7. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. - М.: Academia, 2011; 8. Козлачков П.С. Основные направления развития систем информационной безопасности. – М.: финансы и статистика, 2004. 9. Леваков Г.Н. Анатомия информационной безопасности. – М.: ТК Велби, издательство Проспект, 2004 10. Силаенков А.Н. Проектирование системы информационной безопасности: учеб. пособие – Омск: Изд-во ОмГТУ, 2009.
Отрывок из работы

1 ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ КОНСАЛТИНГА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 1.1 Консалтинг в области информационной безопасности Консалтинг – это, прежде всего, вид интеллектуальной деятельности. Его основная задача заключается в анализе и обосновании перспектив развития, а также в использовании научно-технических и организационно-экономических инноваций с учетом предметной области и проблем клиента. Консалтинг решает вопросы управленческой, экономической, финансовой, инвестиционной деятельности организаций, стратегического планирования, оптимизации общего функционирования компании, ведения бизнеса, исследования и прогнозирования рынков сбыта, движения цен и так далее. Исходя из вышесказанного, постараемся сформулировать определение консалтинга в области информационной безопасности (далее ИБ). Консалтинг в области информационной безопасности представляет собой комплекс услуг, оказываемых компанией-консультантом заказчику с целью определения: • текущего уровня обеспечения (уровня зрелости) ИБ в организации, в соответствии с лучшими мировыми практиками по обеспечению ИБ, отраслевыми требованиями, а также с точки зрения эффективности противодействия существующим угрозам ИБ; • направления развития ИБ, целей и решаемых задач с учетом стратегических целей развития организации; • конкретных действий, необходимых для продвижения по выбранному направлению и достижения поставленных целей и задач. 1.2 Актуальность услуг по консалтингу в области информационной безопасности Сегодня консалтинг в области ИБ очень востребован на рынке. Это связано с актуальностью задач, решаемых с его помощью. В каких же случаях и кто обращается в консалтинговую компанию? Можно выделить четыре основных повода. Во-первых, это происходит тогда, когда организация не знает, на каком уровне развития находится информационная безопасность ее ресурсов, отвечает ли она потребностям бизнеса и внешним требованиям (законодательство, отраслевые, регулирующие требования, требования заказчиков и т.п.), нет полного понимания, какие действия необходимо предпринимать и нужны ли они вообще. При этом в штате организации отсутствуют квалифицированные специалисты, способные решить вышеперечисленные задачи. Во-вторых, когда существующая система ИБ построена и функционирует неэффективно, и это сказывается на текущей деятельности. В такой организации часто возникают инциденты информационной безопасности, приводящие к значительным ущербам, остаются высокие риски реализации угроз ИБ из-за отсутствия или малой результативности отдельных мер по ее обеспечению. При этом в организации не хватает необходимого опыта и внутренних ресурсов для выстраивания эффективных защитных мер, а также обеспечения адекватной и своевременной реакции на возникающие инциденты ИБ. В-третьих, когда существует явная необходимость привести имеющиеся механизмы обеспечения ИБ в соответствие с внешними требованиями в области информационной безопасности. В основном это относится к требованиям различных регуляторов в той отрасли, в которой работает организация. Сюда же можно отнести и выполнение требований законодательства. В-четвертых, когда организация, достигнув нового, более высокого уровня развития, понимает, что существующий уровень обеспечения ИБ не только не удовлетворяет текущим потребностям, но и является сдерживающим фактором для дальнейшего развития. В данном случае необходимо выстроить процессы управления ИБ, тесно взаимоувязанные с существующими бизнес-процессами, что позволит перевести на более высокую ступень развития и управления ИБ в организации. Это, в свою очередь, поможет добиться прозрачности и ясности вопросов обеспечения информационной безопасности как для высшего руководства организации и существующих акционеров, так и для потенциальных инвесторов. Такой консалтинг заключается в построении системы управления ИБ в соответствии с лучшими мировыми практиками и, при необходимости, в подготовке системы управления к сертификации по международным стандартам в области ИБ. [4] Инициаторами приобретения услуг консалтинга в сфере информационной безопасности, как правило, являются: • руководство организации, если оно хочет разобраться в том, на каком уровне находится ИБ в организации, сделать ее эффективной с точки зрения затрат и, соответственно, адекватной угрозам, что необходимо предпринять, чтобы улучшить состояние процессов обеспечения защиты информации. При этом руководство осознает, что собственных ресурсов для решения такой задачи недостаточно. В некоторых случаях руководство может быть инициатором приглашения внешнего консультанта, если хочет составить для себя объективную картину того, насколько качественно службы, ответственные за выполнение задач по обеспечению ИБ, выполняют их; • служба автоматизации или служба информационной безопасности, когда существующий уровень компетенций сотрудников в части ИБ в целом недостаточен для решения поставленных задач по построению эффективной системы информационной безопасности; • служба информационной безопасности в случаях, когда перед ней ставятся новые задачи, выходящие за рамки установленных обязанностей и компетенций (периодические работы, требующие высокой квалификации сотрудников, внедрение новых систем и технологий и т.п.). В данном случае внешние высококвалифицированные специалисты привлекаются для решения данных специализированных задач, в то время как штатные сотрудники службы могут сконцентрироваться на решении профильных повседневных вопросов. 1.3 Виды консалтинга в области информационной безопасности Каждый консалтинговый проект в области ИБ сам по себе уникален. Однако можно выделить основные виды услуг, предоставляемых консалтинговыми компаниями: • аналитическая деятельность (анализ и оценка деятельности организации по защите информационных ресурсов, включая анализ эффективности применяемых средств и методов защиты информации, экспертизу ведущихся проектов в части ИБ, сравнительные исследования с показателями по отрасли и т. д.); • прогнозирование (на основе проведенного анализа и используемых консультантом методик – составление прогнозов по указанным выше направлениям); • консультации с выдачей рекомендаций по самому широкому кругу вопросов, касающихся защиты бизнес-процессов и ресурсов организации, разработки и внедрения мероприятий и систем защиты; • стратегическое планирование деятельности организации в области ИБ и решение совокупности проблем, связанных с организацией управления информационной безопасностью.[5] 1.4 Формы оказания услуг по консалтингу в области информационной безопасности Формы предоставления услуг также могут быть различными в зависимости от сложности проекта и пожеланий заказчика: • консультации с периодическими выездами на площадку заказчика для сбора исходных данных, согласования результатов анализа и выдаваемых рекомендаций; • удаленные консультации без выезда на площадку заказчика; • постоянное присутствие на площадке заказчика определенного числа консультантов в течении всего срока проекта (аутстаффинг). 2 ПОДГОТОВКА И ОРГАНИЗАЦИЯ КОНСАЛТИНГА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ 2.1 Определение уровня информационной безопасности организации Для определения уровня информационной безопасности, который обеспечивается в организации, проводится обследование состояния ИБ организации. Однако само по себе обследование не имеет смысла, если в результате не будут выработаны рекомендации по повышению уровня защищенности от существующих угроз в отношении информационных ресурсов компании. Чаще всего такие работы называются аудитом информационной безопасности. Однако, понятия аудит и обследование стоит различать. Аудиты проводятся, как правило, с целью сбора доказательств соответствия определенному стандарту или нормативному акту деятельности организации в области обеспечения ИБ. И результатом аудита обычно является аудиторский отчет с указанием выявленных несоответствий, не содержащий конкретных рекомендаций по их устранению. Обследование же, являясь по сути консультациями сотрудников заказчика, позволяет провести более глубокое изучение состояния информационной безопасности. Его целью является не столько поиск несоответствий и свидетельств наличия этих несоответствий, сколько определение причин существующих проблем и выработка необходимых эффективных действий и мероприятий, которые помогут в их решении и приведут имеющиеся механизмы обеспечения ИБ в соответствие с требованиями по информационной безопасности, предъявляемыми к организации. Обследование состояния ИБ – это наиболее востребованная, а потому и самая распространенная услуга по консалтингу в области информационной безопасности. 2.2 Обследование состояния информационной безопасности организации с разработкой рекомендаций Данная услуга заключается, главным образом, в оценке текущего уровня защищенности информационных систем (далее ИС) организации. На основе полученных сведений, разрабатываются рекомендации по реализации комплекса организационных и технических мер, повышающих существующий уровень ИБ. Такое обследование, как правило, проводится на начальном этапе работ по созданию комплексной системы информационной безопасности компании. В число задач, решаемых при проведении работ по обследованию состояния информационной безопасности заказчика, входит: • оценка состояния системы ИБ организации; • оценка соответствия механизмов системы информационной безопасности организации выбранным критериям обследования; • выявление актуальных проблем, связанных с обеспечением ИБ; • формирование оптимальной и эффективной программы построения системы информационной безопасности организации. В зависимости от задач, стоящих перед организацией, обследование состояния ИБ может включать в себя различные виды работ и критерии оценки, которые согласуются с исполнителем перед началом консалтингового проекта. В целом, все работы в ходе обследования выполняются в 3 этапа: • информационное обследование; • анализ полученной в ходе обследования информации; • разработка и согласование рекомендаций по повышению уровня информационной безопасности организации. 2.2.1 Информационное обследование Информационное обследование проводится с целью сбора и обработки всех данных, необходимых для принятия решения по определению текущего уровня защищенности ИС компании и разработке рекомендаций по его повышению. Такое обследование включает в себя сбор сведений: • об информационной системе организации, защищенность которой будет оцениваться в ходе работ; • о текущем уровне защищенности ИС. 2.2.1.1 Информационная система организации, защищенность которой будет оцениваться в ходе работ Работы этого этапа включают получение сведений: • об организационной структуре заказчика; о структуре комплекса используемых программно-технических средств; • о характеристиках используемых каналов и точек подключения к сетям связи и сети Интернет; • о структуре информационных потоков в ИС. • о процессах обеспечения информационной безопасности в организации; Сбор информации о процессах обеспечения ИБ в организации проводится с целью оценки общего состояния данных процессов и их соответствия целям компании. При этом консультанты знакомятся с организационно-распорядительными документами по ИБ, утвержденными в обследуемой организации, а также проводят интервью с представителями высшего руководства, с руководителями основных и вспомогательных подразделений заказчика. В процессе выполнения работ на данном этапе проводится: • оценка зрелости процессов ИБ; • оценка степени внедрения процессов информационной безопасности с целью выяснения того, насколько широко применяются рассматриваемые процессы; • анализ существующей нормативно-распорядительной документации по обеспечению ИБ. При анализе нормативно-распорядительной документации проводится проверка наличия в организации нормативно-регламентирующей базы по обеспечению информационной безопасности: • организационной инфраструктуры с установленными обязанностями по обеспечению информационной безопасности для сотрудников всех должностей; • утвержденной политики обеспечения информационной безопасности (политика парольной защиты, политика антивирусной защиты, политика реагирования на нарушения ИБ, политика использования ресурсов сети Интернет, положение о конфиденциальности и т.п.); • документированных правил обращения с информационными ресурсами, включая правила отнесения данных к определенным категориям (перечень сведений, составляющих конфиденциальную информацию, регламент назначения и разграничения прав доступа к данным); • документированных процессов обслуживания и администрирования информационной системы и используемых средств защиты, а также мер обеспечения бесперебойной работы. Кроме того, в ходе работ специалистами компании-консультанта проводится экспресс-опрос сотрудников бизнес-подразделений организации с целью определения уровня знания, понимания и соблюдения положений политики и других документов по ИБ. Результатом работ на данном этапе является оценка зрелости существующих процессов информационной безопасности и полноты существующих нормативно-регламентирующих документов, а также их применения сотрудниками в своей повседневной деятельности. 2.2.1.2 Текущий уровень защищенности информационной системы На рассматриваемом этапе собираются данные о встроенных механизмах обеспечения информационной безопасности в прикладных и инфраструктурных системах, а также об используемых наложенных средствах защиты информации. Этап сбора информации о текущем уровне защищенности ИС может также включать инструментальный анализ защищенности информационной системы организации, который делится на две части: анализ защищенности внешних и внутренних ресурсов ИС. Инструментальный анализ из сети Интернет имитирует действия внешних злоумышленников, которые обладают высоким уровнем знаний в области вычислительной техники и получают информацию об ИС из открытых источников. Результатом таких работ является экспертная оценка потенциальной возможности совершения несанкционированного воздействия или нанесения ущерба ресурсам информационной системы со стороны внешних злоумышленников. Внутренний инструментальный анализ имитирует действия внутренних злоумышленников, являющихся зарегистрированными пользователями информационной системы организации. Результатом этих работ является экспертная оценка потенциальной возможности совершения несанкционированного воздействия или нанесения ущерба ресурсам информационной системы со стороны внутренних злоумышленников, а также защищенности эксплуатируемых в информационной системе прикладных систем, операционных систем и баз данных. 2.2.2 Анализ полученной в ходе обследования информации На этом этапе проводится экспертная оценка текущих показателей защищенности основных ресурсов ИС, определяется возможность нарушения конфиденциальности, целостности и доступности ресурсов информационной системы с использованием выявленных уязвимостей внешними и внутренними нарушителями. Критериями принятия решений при анализе полученной информации и выработке рекомендаций являются: • экспертное мнение специалистов компании-консультанта, имеющих большой опыт предоставления консалтинговых услуг организациям различных областей деятельности; • мнение высшего руководства организации; • результаты интервью с персоналом организации; • требования законодательства; • требования нормативных документов и стандартов как отраслевых, так и самой организации. Результатом работ на данном этапе является экспертная оценка эффективности используемых средств и методов защиты информационных ресурсов ИС. Кроме того, с учетом результатов предыдущих этапов, строится модель угроз информационной безопасности в отношении ресурсов ИС организации. На этапе построения модели угроз осуществляется классификация и описание угроз и уязвимостей, обнаруженных в информационной системе заказчика с экспертной оценкой возможных последствий реализации выявленных угроз. В итоге этих работ является модель угроз, классифицированных по уровню критичности для организации. Такая модель включает описание угрозы, в том числе агента реализации угрозы, выявленных уязвимостей, активов, в отношении которых возможна реализация угрозы, типов возможных потерь в случае нарушения конфиденциальности, целостности или доступности активов. Степень детализации модели угроз может быть различна и определяется реальными потребностями для каждой организации в отдельности. 2.2.3 Разработка и согласование рекомендаций по повышению уровня информационной безопасности организации По результатам проведенного обследования подготавливается отчет, который включает в себя описание: • обследованных автоматизированных систем (далее – АС), сервисов и программно-технических средств; • существующих административных и организационных мер по обеспечению ИБ; • применяемых программно-технических средств обеспечения ИБ; • рекомендаций по применению комплекса мер и средств, которые необходимо реализовать для повышения уровня информационной безопасности компании. Рекомендации могут включать: • первоочередные меры по усилению информационной безопасности ИС заказчика (ряд технических и организационных мероприятий, проведение которых должно быть осуществлено незамедлительно); • изменения или дополнения, которые необходимо внести в нормативно-распорядительную документацию (в том числе в политику обеспечения информационной безопасности), и механизмы доведения ее до пользователей ИС заказчика; • доработку существующих механизмов защиты данных в ИС (например, изменение конфигураций и настроек внешних и встроенных средств защиты информации, прикладных АС); • внедрение дополнительных механизмов защиты информации. 2.3 Анализ рисков информационной безопасности организации Другим подходом, позволяющим наиболее глубоко оценить текущее состояние информационной безопасности и вывести ее на более высокий уровень развития, является анализ рисков ИБ. Как правило, он характерен для компаний с более продвинутой системой менеджмента, где уже сформирован и функционирует отдел, в задачи которого входит оценка операционных рисков. Анализ рисков ИБ рассматривается как бизнес-задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем ИБ, смысл которой заключается в защите бизнеса от реально существующих угроз ИБ. При анализе рисков ИБ консалтинговые компании обычно знакомятся с организационно-распорядительными документами по информационной безопасности, проводят интервью с представителями высшего руководства заказчика, с руководителями основных направлений деятельности и обеспечивающих подразделений с целью оценки общего состояния процессов обеспечения ИБ и их соответствия бизнес-целям заказчика. При проведении анализа рисков ИБ рассматриваются следующие основные бизнес-процессы: • развитие бизнеса; • планирование и подготовка финансовой отчетности; • управление персоналом; • внутренний аудит; • управление проектами; • продажи; производство или предоставление услуг. Работы по анализу рисков ИБ включают в себя несколько этапов, описанных ниже. 2.3.1 Идентификация и оценка критичности активов организации Процесс анализа рисков ИБ начинается с идентификации и оценки критичности активов организации. Идентифицируются все активы, задействованные в функционировании бизнес-процессов и имеющие влияние на ценную для компании информацию. Данные активы включают: • человеческие ресурсы; • информационные ресурсы (как в электронном, так и в бумажном виде); • оборудование; • программное обеспечение; • услуги, оказываемые внутренним и внешним заказчикам. Оценка критичности (или ценности) каждого актива формулируется владельцем данного актива. Результатом этого этапа является полный перечень активов, их критичности и список владельцев, оформленный в виде отчета по инвентаризации активов. 2.3.2 Выбор методики анализа рисков Для любой организации характерны свои риски, в том числе и риски информационной безопасности. Именно поэтому при их оценке необходимо учитывать все специфические моменты, связанные с функционированием организации. Такой учет проводится на этапе разработки методики анализа рисков ИБ. Существуют различные методики анализа рисков ИБ. Условно их можно разделить на статистические и нестатистические методики (Рис.1). Рисунок 1 – Практика применения статистических и нестатистических методик анализа рисков ИБ Статистические методики применяются в случае, если в организации накоплена достаточная база событий ИБ, поскольку данный метод основывается как раз на собранных статистических данных об инцидентах, связанных с нарушением информационной безопасности. Но что делать, если таких событий мало? Тогда используются нестатистические методы, к которым относятся, например, вариационный метод, метод имитационного моделирования, а также наиболее популярная в настоящее время методика анализа сценариев. Она, в частности, применяется для оценки рисков редких событий с большими операционными потерями, а также в случае, если внутренних исторических данных недостаточно для применения статистических методик. Использование методики анализа сценариев является, к примеру, требованием соглашения Basel II при оценке рисков редких событий в кредитно-финансовых организациях. При создании методики анализа рисков ИБ большое значение имеет разработка процедуры анализа рисков, которая должна учитывать специфику бизнес-процессов заказчика. Она утверждается высшим руководством организации. На этапе разработки методики анализа рисков ИБ также осуществляется выбор шкалы уровней риска, определение приемлемого уровня риска, а также разработка критериев, на основании которых достигается снижение критичных рисков до приемлемого уровня. 2.3.3 Идентификация рисков На этапе идентификации рисков информационной безопасности с использованием разработанной процедуры анализа рисков специалистами компании-консультанта проводятся: • идентификация угроз информационной безопасности в отношении сформированного перечня активов; • идентификация уязвимостей, которые могут привести к реализации угроз; • идентификация потенциального ущерба (последствий реализации угроз), к которому может привести нарушение информационной безопасности активов. Результатом данных работ является документированный набор идентифицированных рисков. 2.3.4 Оценка рисков Оценка рисков информационной безопасности является важнейшим элементом процесса анализа рисков ИБ и включает в себя целый комплекс мероприятий: • оценка ущерба для бизнеса, который возможен в результате нарушения информационной безопасности активов; • оценка возможности нарушения информационной безопасности активов с учетом идентифицированных для данных активов угроз, уязвимостей и ущерба, а также используемых механизмов информационной безопасности; • определение уровней (величин) рисков. 2.3.5 Выбор мер противодействия рискам Заключительным этапом процесса анализа рисков ИБ является выбор мер противодействия. Данный этап подразумевает сопоставление определенных уровней рисков с выбранными на предыдущих этапах критериями для их принятия или снижения. Результатом является комплекс механизмов контроля, направленный на снижение выявленных рисков. Разрабатывается и утверждается высшим руководством организации «План обработки рисков», описывающий решения по их принятию или снижению с указанием выбранных мер и мероприятий. В плане также указываются приоритеты снижения, действия конкретных исполнителей, бюджетируются конкретные мероприятия и средства защиты информации. Реализация разработанного плана обработки рисков ИБ является основой для бизнес-ориентированного подхода к обеспечению информационной безопасности в организации. 2.3.6 Результат работ по анализу рисков информационной безопасности Результатом работ по анализу рисков информационной безопасности, как правило, является: • описание обследованных автоматизированных систем и сервисов, применяемых административных, организационных мер, программно-технических средств обеспечения ИБ; • карта рисков информационной безопасности; • план обработки рисков, который включает комплекс внедряемых административных, организационных мер и программно-технических средств, направленных на снижение уровня рисков информационной безопасности, оценку стоимости внедрения, а также график мероприятий по внедрению мер обеспечения ИБ (а в некоторых случаях полученные данные могут быть представлены в виде эскизного проекта реализации системы информационной безопасности ИС заказчика). 2.4 Разработка стратегии информационной безопасности Стратегия ИБ — это единый документ, утвержденный руководством организации, который определяет подходы к обеспечению информационной безопасности на продолжительный срок. Она определяет цели и задачи системы обеспечения ИБ, принципы ее организации, функционирования и управления, а также основные направления создания и развития целостной системы обеспечения безопасности информации заказчика. Стратегия ИБ включает в себя правовые, оперативные, технологические, организационные, технические и физические меры по защите информации, которые находятся в тесной взаимосвязи между собой.
Не смогли найти подходящую работу?
Вы можете заказать учебную работу от 100 рублей у наших авторов.
Оформите заказ и авторы начнут откликаться уже через 5 мин!
Похожие работы
Курсовая работа, Информационная безопасность, 31 страница
350 руб.
Курсовая работа, Информационная безопасность, 32 страницы
384 руб.
Курсовая работа, Информационная безопасность, 26 страниц
1200 руб.
Курсовая работа, Информационная безопасность, 42 страницы
400 руб.
Служба поддержки сервиса
+7(499)346-70-08
Принимаем к оплате
Способы оплаты
© «Препод24»

Все права защищены

Разработка движка сайта

/slider/1.jpg /slider/2.jpg /slider/3.jpg /slider/4.jpg /slider/5.jpg