Информационная безопасность



              

Регуляторы безопасности для минимального уровня ИБ


На минимальном уровне информационной безопасности целесообразно применять следующие административные регуляторы безопасности.

Рисунок 4. Регуляторы безопасности по уровням ИБ

  • Оценка рисков: политика и процедуры. Разработка, распространение, периодический пересмотр и изменение:

    • официальной документированной политики оценки рисков, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов оценки рисков.
  • Оценка рисков: категорирование по требованиям безопасности. Категорирование данных и информационной системы, документирование результатов, включая обоснование установленных категорий; документ заверяется руководством.
  • Оценка рисков: проведение. Оценка рисков и возможного ущерба от несанкционированного доступа, использования, раскрытия, нарушения работы, модификации и/или разрушения данных и/или информационной системы, включая ресурсы, управляемые внешними организациями.
  • Оценка рисков: пересмотр результатов. Пересмотр результатов оценки рисков проводится либо с заданной частотой, либо после существенных изменений в ИС или поддерживающей инфраструктуре, либо после иных событий, способных заметно повлиять на уровень безопасности ИС или ее статус аккредитации.
  • Планирование безопасности: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:

    • официальной документированной политики планирования безопасности, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов планирования безопасности.
  • Планирование безопасности: план безопасности ИС. Разработка и реализация для информационной системы плана, в котором описаны требования безопасности для ИС и имеющиеся и планируемые регуляторы безопасности, служащие для выполнения этих требований; документ заверяется руководством.
  • Планирование безопасности: изменение плана безопасности ИС. С заданной частотой пересматривается план безопасности ИС.


    Содержание  Назад  Вперед