Вадим Гребенников

Управление информационной безопасностью. Стандарты СУИБ


Скачать книгу

общие названия каждому из этапов, и, кроме того, добавил еще один, 4-й этап, с помощью которого он хотел обратить внимание американских менеджеров на то, что они недостаточно анализируют полученную на третьем этапе информацию и не улучшают процесс. Именно поэтому этот этап называется «воздействуй» (Act), и соответственно цикл Шухарта-Деминга называют моделью «PDCA» или «PDSA»:

      – Plan – Планирование – идентификация и анализ проблем; оценка возможностей, постановка целей и разработка планов;

      – Do – Реализация – поиск решения проблем и реализация планов;

      – Check (Study) – Оценка результативности – оценка результатов реализации и выводы в соответствии с поставленной задачей;

      – Act Улучшение – принятие решений на основе полученных выводов, коррекция и улучшение работы.

      Модель «PDCA» для СУИБ

      Планирование – Реализация – Контроль – Улучшение

      1. Планирование (разработка и проектирование): установление целей, политик, элементов управления, процессов и процедур СУИБ для достижения результатов, соответствующих общей политике и целям организации.

      2. Реализация (внедрение и обеспечение функционирования): внедрение и применение политик ИБ, элементов управления, процессов и процедур СУИБ по оценке и обработке рисков и инцидентов ИБ.

      3. Контроль (мониторинг и анализ функционирования): оценка результативности выполнения требований политик, целей ИБ и эффективности функционирования СУИБ и оповещение высшего руководства о результатах.

      4. Улучшение (сопровождение и усовершенствование): проведение корректирующих и предупреждающих действий, основанных на результатах аудита и анализа со стороны руководства для достижения улучшения СУИБ

      Метод и цикл Шухарта-Деминга, который чаще называют циклом Деминга, обычно иллюстрируют схему управления любым процессом деятельности. Он с необходимыми уточнениями к настоящему времени получил широкое применение в международных стандартах управления:

      – качеством продукции ISO 9000;

      – охраной окружающей среды ISO 14000;

      – техникой безопасности и охраной труда OHSAS 18000;

      – информационными сервисами ISO/IEC 20000;

      – безопасностью пищевой продукции ISO 22000;

      – информационной безопасностью ISO/IEC 27000;

      – безопасностью ISO 28000;

      – непрерывностью бизнеса ISO 22300;

      – рисками ISO 31000;

      – энергетикой ISO 50000.

      3.4. Важность СУИБ

      Организации следует определить риски, связанные с информационными активами. Достижение ИБ требует управления риском и охватывает риски физические, человеческие и технологические, относящиеся к угрозам, касающимся всех форм информации внутри организации или используемой организацией.

      Принятие СУИБ является стратегическим решением для организации, и необходимо, чтобы это решение постоянно интегрировалось, оценивалось и обновлялось