Система управління інформаційною безпекою

Система управління інформаційною безпекою СУІБ (англ. information security management system, ISMS) — частина загальної системи управління, яка ґрунтується на підході, що враховує ризики інформаційної безпеки як бізнес-ризики, призначена для розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та вдосконалення інформаційної безпеки^[1].

Інформаційна безпека

Критерії оцінки інформаційної безпеки

Цілісність · Доступність · Конфіденційність · Спостережність· Невідмовність

Нормативні документи

COBIT · ITIL · ISO/IEC 17799:2005 · ISO/IEC 27001:2013 ·

Забезпечення

Політика · СУІБ · КСЗІ · СЗІ

Захист інформації

Технічний захист інформації · Інженерний захист інформації · Криптографічний захист інформації · Організаційний захист інформації

п о р

Для процесів СУІБ застосована модель ПВПД (плануй-виконуй-перевіряй-дій; англ. Plan-Do-Check-Act, PDCA):

• Plan (планування) - фаза створення СУІБ, створення переліку активів, оцінки ризиків та вибору заходів;
• Do (дія) - етап реалізації та впровадження відповідних заходів;
• Check (перевірка) - фаза оцінки ефективності та продуктивності СУІБ. Зазвичай виконується внутрішніми аудиторами;
• Act (поліпшення) - виконання превентивних і коригуючих дій

Складові політики інформаційної безпеки

• визначення критичних бізнес-процесів/банківських продуктів;
• надання доступу до інформації;
• контроль доступу;
• парольний захист;
• антивірусний захист;
• захист мережі банку;
• віддалений доступ до ресурсів мережі;
• ідентифікація та автентифікація ресурсів СУІБ;
• криптографічний захист інформації;
• політика «чистого екрана» та «чистого стола»

Див. також

• Комплексна система захисту інформації