Информационное обеспечение INAS

Защита от рисков и управление рисками, связанными с использованием, хранением и передачей данных и информационных систем.

Методические рекомендации:

Деятельность может включать, но не ограничиваться:

  • Защищать от рисков, связанных с использованием, хранением и передачей данных и информационных систем, и управлять ими.
  • сертификация и аккредитация формальных систем
  • технический анализ и оценка для определения эффективности контроля.

Информация и данные обычно защищаются с помощью следующих пяти принципов:

  • доступность - обеспечение того, чтобы авторизованные пользователи могли легко получить доступ к необходимой им информации
  • целостность - защита информации от несанкционированного изменения, извлечения или удаления
  • подлинность - подтверждение личности пользователей и устройств
  • конфиденциальность - ограничение доступа только для авторизованных пользователей
  • Неотказуемость - предотвращение возможного отрицания того, что действие имело место, путем обеспечения достоверности данных относительно их происхождения.

Информационное обеспечение: уровень 3

Придерживается стандартных подходов к технической оценке информационных систем в соответствии с политикой обеспечения информационной безопасности и бизнес-целями. Принимает рутинные решения по аккредитации. Распознает решения, которые выходят за рамки его сферы и уровня ответственности, и эскалирует их. Рассматривает и выполняет оценки рисков и планы обработки рисков. Определяет типичные показатели риска и объясняет меры по его предотвращению. Поддерживает целостность записей для поддержки и обоснования решений.

Информационное обеспечение: уровень 4

Выполняет техническую оценку и/или аккредитацию сложных информационных систем или информационных систем с повышенным риском. Определяет меры по снижению риска, необходимые в дополнение к стандартным мерам организации или домена. Устанавливает требования к доказательствам аккредитации от партнеров по поставке и доводит требования аккредитации до сведения заинтересованных сторон. Вносит вклад в планирование и организацию мероприятий по обеспечению информационной безопасности и аккредитации. Вносит вклад в разработку и внедрение процессов обеспечения информационной безопасности.

Информационное обеспечение: уровень 5

Интерпретирует политику обеспечения информационной безопасности и безопасности и применяет ее для управления рисками. Предоставляет консультации и рекомендации для обеспечения принятия и соблюдения архитектур, стратегий, политик, стандартов и руководящих принципов обеспечения информационной безопасности. Планирует, организует и проводит обеспечение информационной безопасности и аккредитацию сложных областей, межфункциональных областей и всей цепочки поставок. Вносит вклад в разработку политики, стандартов и руководящих принципов.

Информационное обеспечение: уровень 6

Разрабатывает политику, стандарты и руководства по обеспечению информационной безопасности. Вносит вклад в разработку организационных стратегий, которые учитывают изменяющиеся бизнес-риски и требования к контролю информации. Способствует принятию и соблюдению политик и стандартов. Обеспечивает соблюдение архитектурных принципов, определение требований и проведение тщательного тестирования безопасности. Обеспечивает, чтобы процессы аккредитации поддерживали и обеспечивали достижение организационных целей. Отслеживает тенденции окружающей среды и рынка и оценивает любое влияние на организационные стратегии, преимущества и риски.

Информационное обеспечение: уровень 7

Руководит созданием и анализом стратегии обеспечения информационной безопасности предприятия для поддержки стратегических требований бизнеса. Обеспечивает соответствие между бизнес-стратегиями и обеспечением информационной безопасности путем разработки стратегий, политик, стандартов и практик. Руководит предоставлением экспертных знаний, консультаций и рекомендаций по обеспечению надежности информации во всех информационных системах организации.