Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Самостійна оцінка рівня зрілості системи управління ризиками в організації

Средства защиты информации | Править] Программные средства защиты информации | Защита информации от несанкционированного доступа | Основні та допоміжні активи | Якісна оцінка ризиків | Порівняння двох підходів | Розвиток стандарту | Информационная безопасность | Править] Существенные признаки понятия | Править] Организационно-технические и режимные меры и методы |


Читайте также:
  1. D) Зрівнянням в правах української старшини з російським дворянством
  2. III. Забезпечення вихідного рівня знань-умінь
  3. III. Провести порівняльний аналіз підприємства за наступними параметрами.
  4. III. Провести порівняльний аналіз підприємства за наступними параметрами.
  5. Iv) Корпоративне управління, розкриття інформації і прозорість
  6. lll. Органи управління фінансами
  7. Oslash; Під формою організації навчання слід розуміти:зовн. Зовн. Сторону навч. процесу

Використання приведеного нижче переліку оцінок забезпечує точніший спосіб визначення рівня зрілості організації. Хоча отримані оцінки будуть суб'єктивними, проте, ретельно аналізуючи кожну оцінку, можна визначити рівень підготовки організації до впровадження процесу управління ризиками безпеки, пропонованого корпорацією майкрософту. Оціните полягання справ в організації за шкалою від 0 до 5, використовуючи приведені раніше визначення рівня зрілості.

Політики і процедури забезпечення захисту інформації є повними, лаконічними, зрозумілими і ретельно задокументованими.

· Для всіх посад, що вимагають виконання завдань по забезпеченню інформаційної безпеки, розроблені чітко певні і зрозумілі ролі і обов'язки.

· Політики і процедури забезпечення захисту при доступі сторонніх осіб до ділових даних ретельно задокументовані. Наприклад, компанії, що виконують видалену розробку додатків для внутрішніх бізнес-засобів, мають права доступу до мережевих ресурсів, що дозволяють ефективно організувати спільну роботу і завершити виконання поставлених завдань, проте при цьому їм надаються лише мінімально необхідні права.

· Інвентаризація ІТ-активів(таких як устаткування, програмне забезпечення і сховища даних) виконується акуратно і своєчасно.

· Організація використовує елементи контролю, що забезпечують захист бізнес-даних від несанкціонованого доступу як зсередини організації, так і зовні.

· У організації працює ефективна система сповіщення користувачів про політиків і рекомендації в області інформаційної безпеки (наприклад, шляхом проведення тренінгів або розсилки новин).

· У організації використовуються ефективні елементи контролю фізичного доступу до комп'ютерної мережі і інших ІТ-активам.

· Нові комп'ютерні системи вводяться в експлуатацію з дотриманням стандартів безпеки організації і з використанням стандартних методик, заснованих на вживанні образів дисків, сценаріїв і інших автоматизованих засобів.

· Оновлення програмного забезпечення основних виробників на більшій частині комп'ютерів організації здійснюється автоматично, за допомогою ефективної системи управління виправленнями.

У організації створена група реагування на інциденти, яка розробила і задокументувала ефективні процеси відстежування порушень системи безпеки і реагування на ці порушення. Всі інциденти ретельно аналізуються, поки не буде виявлена основна причина інциденту, а всі проблеми не будуть усунені.

· У організації використовується всеосяжна антивірусна система, що включає багаторівневий захист, навчання користувачів і ефективні методики реагування на вірусні атаки.

· Процеси підтримки роботи користувачів ретельно задокументовані і хоч би частково автоматизовані, внаслідок чого нові співробітники, постачальники і партнери своєчасно отримують необхідний рівень доступу до ІТ-системам організації. Крім того, ці процеси повинні підтримувати тимчасове відключення і видалення облікових записів користувачів, в яких більше немає необхідності.

· Доступ до комп'ютерів і мережі контролюється за допомогою системи авторизації і перевірки достовірності користувачів, списків управління доступом до даних і про активного моніторингу порушень політики.

· Розробники додатків прослухують учбові курси і забезпечуються детальною інформацією про стандарти безпеки, вживані при створенні і перевірці якості програмного забезпечення.

· У організації розроблені і ретельно задокументовані методи і системи забезпечення безперервної роботи, які регулярно перевіряються шляхом моделювання і проведення тренувань.

· У організації упроваджені і ефективно працюють програми, що дозволяють переконатися, що всі співробітники виконують свої посадові обов'язки відповідно до вимог законодавства.

Для перевірки відповідності стандартним рекомендаціям по захисту бізнес-активів регулярно здійснюються аудит і контроль силами сторонніх організацій.

Обчислите число балів для організації, підсумувавши бали, отримані при оцінці кожного приведеного вище твердження. Теоретично організація може набрати від 0 до 85 балів, проте на практиці лише небагато організацій отримають найвищу або найнижчу оцінку.

Якщо організація набрала 51 бал або більш, це означає, що, видно, організація добре підготовлена до впровадження процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, і використанню всіх його можливостей. Якщо організація набрала від 34 до 50 балів, це показує, що організація зробила значні зусилля по управлінню ризиками безпеки і готова до поступового впровадження даного процесу. Подібним організаціям рекомендується розглянути можливість використання цього процесу в декількох підрозділах протягом декількох місяців, а лише потім переходити до впровадження в рамках всієї організації. Організаціям, що набрали менше 34 балів, рекомендується упроваджувати цей процес поступово, почавши впровадження із створення групи управління ризиками безпеки і використання процесу в одному з підрозділів протягом декількох місяців. Коли організація переконається в корисності даного процесу, використовуючи його для зниження ризиків у вибраному підрозділі, цей процес слід упровадити ще в двох або трьох підрозділах. Подальше впровадження процесу може супроводитися внесенням значних змін і повинно відбуватися поступово, аби уникнути негативного впливу на здатність організації до виконання основних бізнес-цілей. Тому при впровадженні даного процесу слід керуватися здоровим глуздом - кожна залишена без захисту система підвищує ризик безпеки і ризик настання правової відповідальності, і кращим методом запобігання цим наслідкам є використання власних знань про систему. Якщо організація не згодна з пропозицією упроваджувати даний процес поступово і вважає, що впровадження повинне виконуватися невідкладно, вона повинна діяти на власний розсуд.

Організація повинна ретельно вибрати підрозділ для реалізації пілотних програм. При виборі слід враховувати, наскільки важливі питання безпеки для даного підрозділу і яким чином визначається безпека з точки зору доступності, цілісності і конфіденційності послуг і даних. Нижче наводяться приклади питань, використовуваних при виборі підрозділів для пілотної програми.

Чи перевищує рівень зрілості системи управління ризиками у вибраному підрозділі середній рівень для організації?

· Чи будуть керівники вибраного підрозділу активно підтримувати програму?

· Чи забезпечує вибраний підрозділ високий рівень наочності в рамках організації?

· В разі успішного завершення пілотної програми процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, чи буде корисний досвід даної програми переданий останнім підрозділам організації?

Цими ж критеріями необхідно керуватися при виборі підрозділу для подальшого розширення програми.

 


Дата добавления: 2015-11-14; просмотров: 43 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Визначення рівня зрілості використовуваної в організації системи управління ризиками| Реактивний підхід

mybiblioteka.su - 2015-2024 год. (0.006 сек.)