29 Января, 2013

Компанией GlobalTrust Solutions выпущена политика контроля и измерения эффективности Системы Управления Информационной Безопасностью

GlobalTrust
Компания GlobalTrust Solutions выпустила типовой организационно-распорядительный документ - Политика контроля эффективности СУИБ, который устанавливает систему измерений и мер измерений для осуществления контроля и оценки эффективности механизмов контроля информационной безопасности на основании положений стандарта ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.

Целями Политики контроля эффективности СУИБ являются предоставление руководству организации информации для принятие решений по совершенствованию механизмов контроля ИБ с целью минимизации рисков наиболее эффективным и экономически целесообразным способом, а также предоставление заинтересованным сторонам достоверной информации о существующих рисках ИБ, а также состоянию СУИБ, используемой для управления этими рисками.
В качестве объектов измерений выступают:
  • СУИБ в целом
  • подсистемы СУИБ, включая Систему Управления Информационными Рисками, Систему Управления Инцидентами, Систему Управления Непрерывностью Бизнеса и прочие подсистемы
  • отдельные механизмы и области контроля в области действия СУИБ, определяемые в соответствии с положениями международного стандарта ISO/IEC 27001:2005 (Приложение А)
  • политики безопасности и прочие организационно-распорядительные документы, регламентирующие вопросы обеспечения ИБ
  • процессы и процедуры обеспечения ИБ
  • программно-технические средства и комплексы средств обеспечения ИБ
Процесс измерений эффективности СУИБ реализуется в виде Программы измерений. Программа измерений определяет последовательность мероприятий по оценке механизмов контроля СУИБ (и прочих объектов измерений) путем измерения их эффективности.
Целями оценки механизмов контроля СУИБ являются:
  • Выявления неэффективных механизмов контроля, не соответствующих установленным в организации требованиям и критериям эффективности
  • Оценки возврата инвестиций в СУИБ
  • Определение способов повышения эффективности СУИБ и усовершенствования механизмов контроля
Основным критерием оценки механизмов контроля СУИБ является обеспечиваемый этими механизмами контроля возврат инвестиций, определяемый как уменьшение прогнозируемых среднегодовых потерь организации в результате инцидентов ИБ. Методика измерения экономической эффективности СУИБ базируется на оценке рисков, являющейся отправной точкой для выбора и оценки механизмов контроля, а результаты измерений, в свою очередь, используются для оценке рисков.

Эффективно реализованная в соответствии программа измерений позволит укрепить доверие заинтересованных сторон (клиентов, партнеров, контрагентов, регулирующих органов, акционеров и т.д.) к результатам измерений и оценки существующих рисков ИБ, а также обеспечить реализацию процесса непрерывного совершенствования СУИБ и отслеживать прогресс в достижении целей информационной безопасности на основе накопленных результатов измерений.

Политику контроля эффективности СУИБ можно приобрести в составе комплекта типовых документов по управлению ИБ - GTS 1035 в специализированном интернет-гипермаркете информационной безопасности GTrust.ru .

http://globaltrust.ru/ru/about/presscenter/news/vypuschena-politika-kontrolya-i-izmereniya-effektivnosti-sistemy-upravleniya-informacionnoi-bezopasnostyu
или введите имя

CAPTCHA