Реферат: Системы управления информационной безопасностью
Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:
— Сделать большинство информационных активов наиболее понятными для менеджмента компании
— Выявлять основные угрозы безопасности для существующих бизнес-процессов
— Рассчитывать риски и принимать решения на основе бизнес-целей компании
— Обеспечить эффективное управление системой в критичных ситуациях
— Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
— Четко определить личную ответственность
— Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
-Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000(серия международных стандартов, описывающих требования к системе менеджмента качества организаций и предприятий.)
— Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
— Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
— Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту.
Система ГРИФ, входящая в DS Office 2006, позволяет построить приближенную модель информационной системы, содержащую наиболее критичные ресурсы и основные угрозы и уязвимости, с учетом вероятности их реализации. Полученная модель показывает наиболее уязвимые места ИС, уровень ущерба, к которому может привести каждая уязвимость, а также позволяет принять решение о том, какие контрмеры будут наиболее эффективны.
Система КОНДОР, которая включает в себя базы стандартов управления информационной безопасностью (ISO 17799:2000, ISO 17799:2005, ISO 27001, СТО БР ИББС-1.0-2006), представленных в виде перечня требований. Анализируя выполнение каждого требования, система позволяет получить полную картину — какие положения стандартов выполняются, а какие нет. Также в системе предусмотрена возможность создавать свои базы требований, чтобы провести оценку соответствия, например, корпоративному стандарту безопасности.