Система менеджмента информационной безопасности

Система менеджмента информационной безопасности (СМИБ) — часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

В случае построения в соответствии с требованиями ISO/IEC 27001 основывается на PDCA модели:

Plan (планирование) — фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;
Do (действие) — этап реализации и внедрения соответствующих мер;
Check (проверка) — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами;

Act (улучшения) — выполнение превентивных и корректирующих действий;В России принят ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Источник: Википедия

Связанные понятия

Управление информационной безопасностью (англ. Information security management, ISM) — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению...

Служба информационной безопасности – это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной организации.

Синдром безопасной атаки — это состояние субъектов информационных правоотношений, осознающих опасность нарушения и важность обеспечения безопасности информационной инфраструктуры, но в силу различных причин, не обеспечивающих ее, в том числе, при проведении в отношении нее компьютерных атак.

Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определёнными критериями и показателями безопасности.

Информационная безопасность — это дисциплина, изучающая защиту целостности, доступности и конфиденциальности информации.

Безопасность систем управления — это предотвращение преднамеренных или непреднамеренных помех правильной работе промышленных автоматизированных систем управления (АСУ). Эти системы сегодня управляют всеми основными видами деятельности, в том числе ядерной и иной электроэнеретикой, добычей и транспортировкой нефти, водоснабжением, транспортом, связью и различными иными производствами и процессами. АСУ включают в себя компьютеры, сети, операционные системы, приложения и программируемые и непрограммируемые...

Администрирование данных — управление информационными ресурсами, включая планирование базы данных, разработку и внедрение стандартов, определение ограничений и процедур, а также концептуальное и логическое проектирование баз данных.

Информатизация (англ. Informatization) — политика и процессы, направленные на построение и развитие телекоммуникационной инфраструктуры, объединяющей территориально распределенные информационные ресурсы. Процесс информатизации является следствием развития информационных технологий и трансформации технологического, продукт-ориентированного способа производства в постиндустриальный. В основе информатизации лежат кибернетические методы и средства управления, а также инструментарий информационных и коммуникационных...

Экологический менеджмент — часть общей системы корпоративного управления, которая обладает четкой организационной структурой и ставит целью достижение положений, указанных в экологической политике посредством реализации программ по охране окружающей среды.

Информационный менеджмент — специальная область менеджмента, выделившаяся как самостоятельное направление в конце 70-х гг. XX века, специализирующаяся на сборе, управлении и распределении информации. Менеджмент подразумевает организацию и контроль планирования, структуры, оценки и распространения информации с целью прогнозирования ожиданий клиента и информационного обеспечения функций предприятия.

Автоматизированная система управления операционным риском — программное обеспечение, содержащее комплекс средств, необходимых для решения задач управления операционными рисками предприятий: от сбора данных до предоставления отчетности и построения прогнозов. Расчеты производятся на основе моделей и методов статистического и экономического анализа.

«Электронная Москва» — городская целевая программа (ГЦП) города Москвы, определяющая состав мероприятий по применению информационно-коммуникационных технологий (ИКТ) в городском управлении и социальной сфере.

Управление предприятием — постоянное и системное влияние на деятельность структурных подразделений предприятия (подготовка, принятие и реализация решений) для обеспечения их согласованной работы и достижения запланированного результата.

Автоматиза́ция ма́рке́тинга — использование специализированных компьютерных программ и технических решений для автоматизации маркетинговых процессов предприятия, перенос текущих бизнес-процессов компании в область цифровых сервисов с целью экономии трудовых и временных ресурсов. Основные области автоматизации — это маркетинговое планирование и бюджетирование, управление маркетинговыми активами, управление маркетинговыми кампаниями, взаимодействие с клиентами, управление потенциальными продажами...

Автоматизация управления персоналом — (англ. HRIS – human resources information system, HRMS – human resources management system) — деятельность по разработке, внедрению и администрированию программного обеспечения для управления человеческими ресурсами, нацеленные на автоматизацию функций кадровых служб и информационное обеспечения деятельности организации.

Стандартиза́ция — деятельность по разработке, опубликованию и применению стандартов, по установлению норм, правил и характеристик в целях обеспечения безопасности продукции, работ и услуг для окружающей среды, жизни, здоровья и имущества, технической и информационной совместимости, взаимозаменяемости и качества продукции, работ и услуг в соответствии с уровнем развития науки, техники и технологии, единства измерений, экономии всех видов ресурсов, безопасности хозяйственных объектов с учётом риска...

ЕИАС ФСТ России — Единая Информационно-Аналитическая Система «ФСТ России — РЭК — субъекты регулирования» предназначена для автоматизации информационного взаимодействия между ФСТ России, органами исполнительной власти субъектов Российской Федерации в области государственного регулирования тарифов, регулируемыми и экспертными организациями. Система обеспечивает автоматизированный сбор, передачу и обработку данных, необходимых для установления тарифов.

Компьютерная безопасность — раздел информационной безопасности, характеризующий невозможность возникновения ущерба компьютера, превышающего величину приемлемого ущерба для него от всех выявленных и изученных источников его отказов в определённых условиях работы и на заданном интервале времени.

Управление ИТ-активами (IT asset management) – одна из важнейших стратегических областей деятельности организации. Одним из ключевых факторов управления ИТ-активами является возможность проведения инвентаризации, выявляющей детальную информацию по используемому аппаратному и программному обеспечению, которая позволяет принимать объективные решения для заказа новых или перераспределения существующих элементов ИТ-инфраструктуры (ИТ-активов).

Автоматизированная система (АС) — cистема, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций . АС представляет собой организационно-техническую систему, обеспечивающую выработку решений на основе автоматизации информационных процессов в различных сферах деятельности (управление, проектирование, производство и тому подобное) или их сочетаниях .

Управление эффективностью деятельности организации (английские термины CPM, BPM, EPM) — это набор управленческих процессов (планирования, организации выполнения, контроля и анализа), которые позволяют бизнесу определить стратегические цели и затем оценивать и управлять деятельностью по достижению поставленных целей при оптимальном использовании имеющихся ресурсов. Это система управления, построенная на принципах управления стоимостью бизнеса.

Обеспечение качества программного обеспечения (англ. Software quality assurance, SQA) — набор процедур мониторинга разработки программного обеспечения и методов, используемых для обеспечения его качества. В настоящее время в программной инженерии имеется большое количество методов обеспечения качества программного обеспечения, которые соответствуют одному или нескольким стандартам, в частности стандартам ISO 9000 или наборам моделей (методологий) CMMI.

Управление учётными данными (англ. Identity management, сокр. IdM, иногда IDM) — комплекс подходов, практик, технологий и специальных программных средств для управления учётными данными пользователей, системами контроля и управления доступом (СКУД), с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач.

Политика безопасности организации (англ. organizational security policies) — совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Федеральный закон «Об информации, информационных технологиях и о защите информации» — нормативный документ Российской Федерации, юридически описывающий понятия и определения в области информационной технологии и задающий принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации, а также регулирующий отношения при осуществлении права на поиск, получение, передачу, производство и распространение информации при применении информационных технологий...

Автоматизированные библиотечные информационные системы (АБИС) — системы планирования ресурсов предприятий для библиотеки, которые используются для отслеживания библиотечных фондов, от их заказа и приобретения до выдачи посетителям библиотек.

Подробнее: Автоматизированная библиотечная информационная система

Система управления взаимоотношениями с клиентами (CRM, CRM-система, сокращение от англ. Customer Relationship Management) — прикладное программное обеспечение для организаций, предназначенное для автоматизации стратегий взаимодействия с заказчиками (клиентами), в частности для повышения уровня продаж, оптимизации маркетинга и улучшения обслуживания клиентов путём сохранения информации о клиентах и истории взаимоотношений с ними, установления и улучшения бизнес-процессов и последующего анализа результатов...

ИТ-консалтинг (англ. IT-consulting) — консалтинг в сфере информационных технологий (ИТ). Является одним из многочисленных направлений консалтинга (консалтинговых услуг).

Система управления качеством (система качества) — это организационная структура, включающая взаимодействующий управленческий персонал, реализующий функции управления качеством установленными методами.

Центр национальной компьютерной безопасности США (англ. National Computer Security Center) — является частью Агентства национальной безопасности США. Он отвечает за безопасность компьютеров на федеральном уровне. В конце 80-х и начале 90-х годов, Агентство национальной безопасности и Центр национальной компьютерной безопасности США опубликовали ряд критериев оценки надежности компьютерных систем в радужной серии книг.

Система автоматизации документооборота, система электронного документооборота (СЭДО) — автоматизированная многопользовательская система, сопровождающая процесс управления работой иерархической организации с целью обеспечения выполнения этой организацией своих функций. При этом предполагается, что процесс управления опирается на человеко-читаемые документы, содержащие инструкции для сотрудников организации, необходимые к исполнению.

Информационное право рассматривается как наука, как учебная дисциплина и как система правового регулирования отношений в информационной сфере, то есть подотрасль российского административного права и гражданского права.

Электронное правительство (англ. e-Government) — пакет технологий и набор сопутствующих организационных мер, нормативно-правового обеспечения для организации цифрового взаимодействия между органами государственной власти различных ветвей власти, гражданами, организациями и другими субъектами экономики. Предполагает эффективный способ предоставления информации о деятельности органов государственной власти, оказание государственных услуг гражданам, бизнесу, другим ветвям государственной власти и государственным...

Финансовый менеджмент — система управления денежными потоками организации с целью оптимизации рисков в соответствии с критериями и предпочтениями руководящих субъектов в рамках избранной общей стратегии. Финансовый менеджмент неразрывно связан с маркетингом, хотя в Российской научной литературе встречаются лишь единичные обсуждения данного вопроса.

Автоматизированная система управления (сокращённо АСУ) — комплекс аппаратных и программных средств, а также персонала, предназначенный для управления различными процессами в рамках технологического процесса, производства, предприятия. АСУ применяются в различных отраслях промышленности, энергетике, транспорте и т. п. Термин «автоматизированная», в отличие от термина «автоматическая», подчёркивает сохранение за человеком-оператором некоторых функций, либо наиболее общего, целеполагающего характера...

Информационные технологии в банковском секторе позволяют накапливать и максимально использовать информацию о клиентах и их потребностях в услугах.

Социальная технология — это совокупность приемов, методов и воздействий, применяемых для достижения поставленных целей в процессе социального планирования и развития, решения разного рода социальных проблем, для проектирования и осуществления коммуникативных воздействий, изменяющих сознание людей, культурные, политические и/или социальные структуры, системы или ситуации.

Коммуникационный менеджмент – это теория и практика управления социальными коммуникациями как внутри организации, так и между организацией и её средой, направленная на осуществление оптимально благоприятных для организации коммуникационных процессов, формирование и поддержание имиджа и общественного мнения, достижение согласия, сотрудничества и признания.. Теория и практика взаимодействия битититажно, что предметом коммуникационного менеджмента являются именно социальные, а не, например, цифровые...

Доступность информации — состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие права доступа, могут реализовывать их беспрепятственно. К правам доступа относятся: право на чтение, изменение, хранение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов.

Национальная стратегия безопасности киберпространства (англ. National Strategy to Secure Cyberspace) США — составная часть стратегии национальной безопасности США. Национальная стратегия безопасности киберпространства была разработана Министерством внутренней безопасности США в качестве реакции на террористические акты 11 сентября 2001 года и опубликована 14 февраля 2003 года. Этот документ был подготовлен после года полевых исследований состояния компьютерной безопасности в университетах, правительственных...

Регуляторные технологии или регтех (англ. Regulatory Technology, RegTech) — подмножество финансовых технологий, которое описывает информационные технологии, обеспечивающие более легкое, быстрое или эффективное выполнение регуляторных требований участниками финансовых рынков.

Экономическая безопасность – это область научного знания, в рамках которой изучают состояние экономики, при котором обеспечивается достаточно высокий и устойчивый рост экономических показателей; эффективное удовлетворение экономических потребностей; контроль государства за движением и использованием национальных ресурсов; защита экономических интересов страны на национальном и международном уровнях.. Из-за сложности названия и совпадении названий деятельности, соответствующих служб, предназначения...

Управление интернет-магазином (англ. management of e-shop) — это вид управленческой деятельности, связанный с бизнесом в сфере розничной или мелкооптовой интернет, в котором для взаимодействия продавца и покупателя используется сеть Интернет, это процесс планирования, координации и контроля бизнес-процессов в интернет-магазине. Суть данной деятельности состоит в организации торгового процесса с учетом особенностей интернета, как среды ведения торговой деятельности, как канала информационного взаимодействия...

Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации...

Автоматизация технологического процесса — совокупность методов и средств, предназначенная для реализации системы или систем, позволяющих осуществлять управление самим технологическим процессом без непосредственного участия человека, либо оставления за человеком права принятия наиболее ответственных решений.

Интеграция приложений предприятия (Enterprise Application Integration, EAI) — это технологии и приложения, задача которых - вовлечь несколько приложений, используемых в одной организации, в единый процесс и осуществлять преобразование форматов данных между ними.

Ассоциированная система менеджмента качества — это система управления качеством результатов научно-технической деятельности (РНТД), организованная и функционирующая по стандарту СТО.9001-08 «Интеллектуальная собственность и инновации. Ассоциированная система менеджмента качества».

Наилучшая доступная технология (НДТ) — «технология производства продукции (товаров), выполнения работ, оказания услуг, определяемая на основе современных достижений науки и техники и наилучшего сочетания критериев достижения целей охраны окружающей среды при условии наличия технической возможности её применения» (определение из Федерального закона от 21 июля 2014 года № 219-ФЗ «О внесении изменений в Федеральный закон „Об охране окружающей среды“ и отдельные законодательные акты Российской Федерации...

Международные стандарты финансовой отчётности государственного/общественного сектора — выпускаемые IPSASB Международной федерации бухгалтеров стандарты бухгалтерской отчётности, базируемые на IFRS. Их цель — улучшение качества бухгалтерской отчётности госорганами с целью более объективных оценок при выделении ресурсов решениями правительств, тем повышая их транспарентность и подотчётность. IPSAS включают в себя 38 стандартов учёта по методу начисления + стандарт кассового метода учёта.

Операционная модель — это абстрактное представление применяемых способов и порядка реализации корпоративной стратегии в повседневной деятельности компании. Она определяет уровень интеграции и стандартизации бизнес-процессов, необходимый для создания и предоставления товаров и услуг компании её клиентам.Операционная модель включает в себя согласованные между собой операционные процессы, структуру бизнеса, системы менеджмента и корпоративную культуру, разработанные ради достижения главной цели — создания...

а б в г д е ё ж з и й к л м н о п р с т у ф х ц ч ш щ э ю я