Управление безопасностью

Практика управления информационной безопасностью

По материалам публикации U.S. General Accounting Office Executive Guide. Information Security Management. Learning From Leading Organizations

Как построить и сертифицировать систему управления информационной безопасностью?

Управление информационной безопасностью — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.

Разработка и внедрение эффективных политик информационной безопасности

В настоящей статье речь пойдет о существующих подходах к разработке эффективных ПБ, без которых невозможно создание комплексной системы обеспечения ИБ организации. Как будет показано, эффективность ПБ определяется качеством самого документа, который должен соответствовать текущему положению дел в организации и учитывать основные принципы обеспечения ИБ, изложенные ниже, а также правильностью и законченностью процесса внедрения.

Международный опыт управления информационной безопасностью для российских компаний

Грядущее вступление России во Всемирную торговую организацию определяет насущную потребность в принятии у нас новых международных стандартов серии ГОСТ Р ИСО/МЭК, в том числе в области управления информационной безопасностью, основанных на известном стандарте BS 7799.

Сбалансированный подход к построению корпоративных систем управления информационной безопасностью

Эволюция вычислительных технологий постоянно ускоряется, руководителям предприятий приходится отслеживать новые тенденции, принимать решения, связанные с обновлением инфраструктуры информационных технологий. Новые технологии приводят к появлению новых способов организации дальнейшей работы, а также служат источниками новых услуг.

Система управления безопасностью: простые рецепты

В последнее время все больше заметен перекос понятий в области защиты данных: говоря об информационной безопасности, многие в первую очередь имеют в виду защиту от вирусов и хакеров. Но если попросить специалистов по безопасности рассказать о том, что их волнует, выяснится, что наибольшую озабоченность вызывают действия "инсайдеров" (сотрудников компании) Это показали и ежегодный отчет ФБР Computer Crime and Security Survey, и Global Information Security Survey 2004 компании Ernst&Young, и исследования "Внутренние IT-угрозы в России 2004", проведенные компанией InfoWatch.

Моделирование процессов создания и оценки эффективности систем защиты информации

Практическая задача обеспечения информационной безопасности состоит в разработке модели представления системы (процессов) ИБ, которая на основе научно-методического аппарата, позволяла бы решать задачи создания, использования и оценки эффективности СЗИ для проектируемых и существующих уникальных ИС. Что понимается под моделью СЗИ? Насколько реально создать такую модель?

Категорирование информации и информационных систем. Обеспечение базового уровня информационной безопасности

На рынке ИТ растет спектр предложений по обеспечению информационной безопасности. Как правильно сориентироваться в этом потоке предлагаемых продуктов? Как выбрать оптимальный по финансовым затратам вариант и учесть все потребности вашей компании? Какие критерии отбора применить? Ведь хотя служба ИБ любой организации или предприятия сама по себе ни интеллектуальных, ни материальных ценностей не производит, в ее необходимости и важности уже ни у кого нет сомнений, и на расходах на эту службу редко экономят. Что необходимо сделать, чтобы затраты и уровень информационной безопасности компании были в оптимальном соотношении — этим вопросам посвящена данная публикация.

Исследование и обоснование возможностей автоматизации процедуры анализа защищенности автоматизированных систем

Формализация основных понятий и отношений информационной безопасности, введение классификации требований и угроз безопасности, определение операций над требованиями создают предпосылки для разработки прототипа экспертной системы (ЭС) анализа защищенности АС, опирающегося на концепцию оценивания безопасности, выраженную в "Единых критериях". Построение ЭС на основе "Единых критериев" позволяет обеспечить ее соответствие современному состоянию ИТ и международным стандартам информационной безопасности, а также возможность повторного использования результатов оценивания безопасности.

[...]