Які ресурси відносяться до Системи управління інформаційною безпекою (СУІБ)? Яке припустиме і неприпустиме використання ресурсів СУІБ в організації? Як правильно поводитися зі змінними носіями інформації?
Ці питання та багато інших розглядали працівники Правекс банку, які минулого тижня пройшли в ISSP Training Center тренінг на тему «Впровадження СУІБ відповідно до стандарту ДСТУ ISO / IEC 27001, 27002».
Згідно зі стандартом, інформація, ресурси СУІБ, пов’язані з інформацією та обладнанням для обробки інформації, мають бути ідентифіковані та має підтримуватися їх актуальний інвентарний опис. Для кожного ідентифікованого ресурсу СУІБ повинні бути погоджені та задокументовані власник ресурсу та класифікація інформації.
Жодна окрема особа не повинна мати можливості модифікувати чи використати ресурси СУІБ без авторизації чи виявлення. Якщо конфіденційність і цілісність даних є важливими, потрібно використовувати криптографічні методи для захисту даних на змінних носіях.
Носії, що містять інформацію з обмеженим доступом, потрібно зберігати й вилучати безпечно, наприклад спаленням, розрізанням або стиранням даних перед використанням для іншої прикладної програми в організації. Інформація, що міститься на будь-яких носіях багаторазового використання, які має бути видалено з організації, якщо вона більше не потрібна, має бути зроблена невідновлюваною.
- Стандарт – це по суті набір кращих міжнародних практик, з яких можна дізнатися, як той чи інший напрямок інформаційної безпеки реалізували на різних підприємствах, - говорить тренер Руслан Соловйов. - Стандарт має 18 розділів, в яких розкриваються 14 напрямків діяльності, наприклад, криптографія, фізична безпека, розробка і впровадження програмного забезпечення тощо. І подібні тренінги допомагають розібратися в усіх цих напрямках. Адже щоб правильно трактувати наведені рекомендації, потрібно мати досвід, а бути дуже досвідченим у кожній з цих сфер для однієї людини майже нереально.
Триває реєстрація на наступний тренінг «Впровадження СУІБ відповідно до стандарту ДСТУ ISO / IEC 27001, 27002», що пройде 3-5 листопада 2021 року. Зареєструватися можна за посиланням https://www.issp.training/i-isms-implementation-of-isms-iso27001-27002.