Информационное обеспечение INAS
Защита от рисков и управление рисками, связанными с использованием, хранением и передачей данных и информационных систем.
Методические рекомендации:
Деятельность может включать, но не ограничиваться:
- Защищать от рисков, связанных с использованием, хранением и передачей данных и информационных систем, и управлять ими.
- сертификация и аккредитация формальных систем
- технический анализ и оценка для определения эффективности контроля.
Информация и данные обычно защищаются с помощью следующих пяти принципов:
- доступность - обеспечение того, чтобы авторизованные пользователи могли легко получить доступ к необходимой им информации
- целостность - защита информации от несанкционированного изменения, извлечения или удаления
- подлинность - подтверждение личности пользователей и устройств
- конфиденциальность - ограничение доступа только для авторизованных пользователей
- Неотказуемость - предотвращение возможного отрицания того, что действие имело место, путем обеспечения достоверности данных относительно их происхождения.
Уровни ответственности за этот навык
3 | 4 | 5 | 6 | 7 |
Информационное обеспечение: Уровни 1-2
Этот навык, как правило, не соблюдается и не практикуется на этих уровнях ответственности и подотчетности.
Информационное обеспечение: Уровень 3
Придерживается стандартных подходов к технической оценке информационных систем в соответствии с политикой обеспечения информационной безопасности и бизнес-целями. Принимает рутинные решения по аккредитации. Распознает решения, которые выходят за рамки его сферы и уровня ответственности, и эскалирует их. Рассматривает и выполняет оценки рисков и планы обработки рисков. Определяет типичные показатели риска и объясняет меры по его предотвращению. Поддерживает целостность записей для поддержки и обоснования решений.
Информационное обеспечение: Уровень 4
Выполняет техническую оценку и/или аккредитацию сложных информационных систем или информационных систем с повышенным риском. Определяет меры по снижению риска, необходимые в дополнение к стандартным мерам организации или домена. Устанавливает требования к доказательствам аккредитации от партнеров по поставке и доводит требования аккредитации до сведения заинтересованных сторон. Вносит вклад в планирование и организацию мероприятий по обеспечению информационной безопасности и аккредитации. Вносит вклад в разработку и внедрение процессов обеспечения информационной безопасности.
Информационное обеспечение: Уровень 5
Интерпретирует политику обеспечения информационной безопасности и безопасности и применяет ее для управления рисками. Предоставляет консультации и рекомендации для обеспечения принятия и соблюдения архитектур, стратегий, политик, стандартов и руководящих принципов обеспечения информационной безопасности. Планирует, организует и проводит обеспечение информационной безопасности и аккредитацию сложных областей, межфункциональных областей и всей цепочки поставок. Вносит вклад в разработку политики, стандартов и руководящих принципов.
Информационное обеспечение: Уровень 6
Разрабатывает политику, стандарты и руководства по обеспечению информационной безопасности. Вносит вклад в разработку организационных стратегий, которые учитывают изменяющиеся бизнес-риски и требования к контролю информации. Способствует принятию и соблюдению политик и стандартов. Обеспечивает соблюдение архитектурных принципов, определение требований и проведение тщательного тестирования безопасности. Обеспечивает, чтобы процессы аккредитации поддерживали и обеспечивали достижение организационных целей. Отслеживает тенденции окружающей среды и рынка и оценивает любое влияние на организационные стратегии, преимущества и риски.
Информационное обеспечение: Уровень 7
Руководит созданием и анализом стратегии обеспечения информационной безопасности предприятия для поддержки стратегических требований бизнеса. Обеспечивает соответствие между бизнес-стратегиями и обеспечением информационной безопасности путем разработки стратегий, политик, стандартов и практик. Руководит предоставлением экспертных знаний, консультаций и рекомендаций по обеспечению надежности информации во всех информационных системах организации.