Автор работы: Пользователь скрыл имя, 16 Декабря 2011 в 12:21, реферат
Цілі політики
Потреба в інформаційній безпеці
1. Цілі політики 4
2. Застосування 4
3. Затвердження менеджменту 4
4.1. Організація інформаційної безпеки 5
4.2. Управління ризиками 5
4.3. Розробка документації 5
5. Поширення 5
6. Запровадження політики ІБ 6
7. Повноваження за політикою ІБ 6
7.1. Власник 6
7.2. Розробка політики ІБ 6
7.3. Затвердження політики ІБ 6
7.4. Перегляд політики ІБ 6
8. Відхилення від політики 6
9. Консультації 6
10. Визначення 6
Політика
інформаційної безпеки
Політика інформаційної безпеки |
Управління документами:
| Дата вступу в силу | |
| Затверджується | |
| Власник | |
| Контактна персона | |
| Класифікація | |
| Функціональна застосовність | |
| Дата створення | |
| Переглядалося востаннє | |
| Дата наступного перегляду | |
| Версія | |
| Статус |
| Версія | Дата | |
Зміст
1. Цілі політики 4
2. Застосування 4
3. Затвердження менеджменту 4
4.1. Організація інформаційної безпеки 5
4.2. Управління ризиками 5
4.3. Розробка документації 5
5. Поширення 5
6. Запровадження політики ІБ 6
7. Повноваження за політикою ІБ 6
7.1. Власник 6
7.2. Розробка політики ІБ 6
7.3. Затвердження політики ІБ 6
7.4. Перегляд політики ІБ 6
8. Відхилення від політики 6
9. Консультації 6
10. Визначення 6
Потреба в інформаційній безпеці
Політика
Інформаційної безпеки
Правління
«організації» заявляє
про свою повну підтримку
в побудові інформаційної
безпеки в компанії
та в роботі з корпоративними
та іншими сторонами
| Голова
правління |
Стратегія «організації» полягає в наступному…
«Організація» ставить за мету ….
Політика інформаційної безпеки визначає …
Політика
інформаційної безпеки
Керівництво «Організації» зобов’язується підтримувати….
Департамент ІТ безпеки несе відповідальність за …
Для координації питань інформаційної безпеки в «Організації» має бути затверджена ….
Пов’язані документи:
…….
У «Організації» ідентифікуються, оцінюються та визначаються пріоритетність інформаційних ризиків.
Політика інформаційної безпеки ґрунтується на основі ….
Застосування заходів захисту повинно бути обґрунтоване на основі …..
Для визначення рівнів ризику …..
Пов’язані документи:
…….
«Організація» створює спеціальні політики, керівництва та процедури щодо таких питань інформаційної безпеки:
…
Опис, яким чином Політика інформаційної безпеки поширюється, зберігається, хто до неї має доступ.
«Організація» має гарантувати роботу відділень та всіх працівників, відповідно до політик інформаційної безпеки, забезпечуючи їх сумлінне виконання.
Дії, результатом яких є серйозне нехтування інформаційною безпекою класифікуються, як інциденти в області безпеки. Такі інциденти вважаються серйозними порушеннями, якщо вони відповідають одній чи більшій кількості категорій:
……
Порушення цієї політики інформаційної безпеки може призвести до таких заходів, але не обмежуватися ними:
…..
Правління «Організації» несе відповідальність за ….
Департамент інформаційної безпеки несе відповідальність за….
Розробка відповідної політики інформаційної безпеки має бути ініційована та проведена ….
Порядок затвердження політики.
Порядок перегляду політики.
Відхилення від стандартів та політик ….
За консультаціями та/чи у випадках інших непорозумінь щодо політики, будь-ласка, звертайтеся до …..
Інформаційний актив - це сукупність інформації (відомостей), що представляє цінність для банківської установи та / або її клієнтів, ділових партнерів і співробітників, а також будь-яка система обробки, обміну або фізичного місця зберігання інформації.
Інформаційна безпека - це сукупність організаційно-технічних заходів і засобів, спрямованих на захист інформації від загроз з метою забезпечення безперервності бізнес-процесів, зниження бізнес ризиків і оптимізації витрат.
Інформаційний інцидент - подія або послідовність подій, які ставлять під загрозу конфіденційність, цілісність і доступність інформаційних активів.
Заходи щодо захисту - сукупність організаційних і / або технічних дій, спрямованих на управління ризиком.
Доступність - властивість інформації або інформаційного активу, яка визначає можливість її / його використання за призначенням в необхідний момент часу.
Конфіденційність - властивість інформації (або інформаційного активу), яке полягає в тому, що доступ до неї не може бути отриманий неавторизованим особою, об'єктом і / або процесом, внаслідок правових обмежень, накладених її власником.
Цілісність - властивість інформації (або інформаційного активу), яке полягає в неможливості її модифікації несанкціоновано, без дозволу її власника.
Ризик - це ймовірність шкідливого впливу на бізнес у результаті порушення конфіденційності, цілісності та доступності інформації.
Вразливість - недолік чи пролом в системі безпеки, які збільшують імовірність здійснення загрози порушення конфіденційності, цілісності та доступності інформації.
Загроза - спосіб, за допомогою якого може бути порушена конфіденційність, цілісність та доступність інформації.
Аналіз загроз - це процес вивчення джерел загроз щодо вразливостей в системі, щоб визначити загрози для конкретної системи в конкретній оперативній обстановці.
Управління ризиками - це процес, метою якого є зменшити ризики до прийнятного рівня, визначивши заходи захисту та мінімізувавши вплив від невизначених подій.
Аналіз інформаційних ризиків - процес оцінки потенційного впливу реалізації загроз на бізнес, визначення загроз і вразливостей і вибір відповідних контрзаходів.
Зниження ризиків - процес проведення заходів по безпеці для зменшення виявлених ризиків до прийнятного рівня.
Вплив на бізнес - це рейтинг збитку, який свідчить про характер і рівень збитку, заподіяного банку в результаті порушення конфіденційності, цілісності та доступності інформації.
Керівництво - документ, що вказує що треба зробити і як для того, щоб досягти цілей поставлених політикою.
Політика - документ, що визначає загальні принципи та напрямок, визначені керівництвом компанії.
Третя сторона - особа або організація, які вважаються незалежними від задіяних сторін, у випадках виникнення будь-яких питань.
* Визначення
надані відповідно до