ISMS

© Христо Тужаров,  

април 2009

 

ЖИЗНЕН ЦИКЪЛ НА  ISMS

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

СИСТЕМА ЗА УПРАВЛЕНИЕ СИГУРНОСТТА НА ИНФОРМАЦИЯТА

СИСТЕМЕН ПОДХОД

ПИРАМИДАЛЕН ISMS МОДЕЛ

МИСИЯ НА ISMS

ПОТРЕБИТЕЛИ НА ISMS

 

ХАКЕРИ И КРАКЕРИ

ФУНКЦИИ НА ISMS

 

КОМПОНЕНТЕН МОДЕЛ НА ISMS

ЖИЗНЕН ЦИКЪЛ НА  ISMS

СПИРАЛЕН МОДЕЛ  

Жизнен цикъл на ISMS

 

ЖИЗНЕН ЦИКЪЛ НА  ISMS

 

Изследване на системата за управление сигурността на информацията СУСИ

На този етап се осъществява:

  • Анализ на риска (risk assessment). Категоризиране на информационните ресурси по степен на ценност и важност;

  • Анализ уязвимостта на системата (vulnerability assessment);

  • Тестване за проникване (penetration assessment);

  • Оценка на заплахите (threat assessment). Построяване модели на нарушителя.

Дава се отговор на въпросите:

  • "Какви са наличните ресурси на организацията?";

  • "Каква е тяхната стойност?";

  • "Кой има достъп до ресурсите?".

Осъществява се идентификация и инвентаризация на всички ресурси (работни станции и сървъри, потребители, данни, софтуер  и т.н.).

 

Тази информация се използва на всички етапи на изграждане на комплексната система за осигуряване на сигурността.

 

Проектиране (design) на СУСИ.

На този етап се осъществява:

  • Разработва се политиката на  сигурност на  организацията;

  • Изработват се принципите за оценка на ефективността, на предлаганите в политиката мерки (законодателни, организационни, програмно -технически)

При разработване на политиката се отчитат следните фактори:

  • Данни за потребителите;

  • Налични мрежови устройства;

  • Разположението на критичните информационни ресурси и т.н.

 Внедряване (deploy) на СУСИ.

Реализират се плановете разработени на етап проектиране.

 

На този етап се реализират:

  • Действия по инсталиране на средствата за защита;

  • Интеграция с другите политики и технически средства;

  • Тестване в реални условия;

  • Обучение на потребителите по изискванията на политиката на безопасност и правилата за експлоатация на установените средства за защита.

 

Експлоатация (manage and support) на СУСИ.

На този етап се оценява ефективността на приетите мерки и съответствието им с приетата политика на сигурност.

 

При възникване на инциденти, свързани с нарушаване на политиката:

  • Изпълнява се разработения на етап проектиране план за реагиране на инциденти 

  • Преразглеждат се някои положения от политиката на сигурност (извършва се и при изменение технологията за обработка на информацията и появяване на нови технологии на защита:),

  • Извършва се преразглеждане на разработените документи.

 

Обучение (education).

Постоянен процес, осъществяван на всички етапи по създаване на комплексната система за сигурност. В него участват всички служители на организацията - оператори, администратори и ръководители и т.н.