Управление информационной безопасностью

Управление информационной безопасностью (англ. Information security management, ISM) — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.

Источник: Википедия

Связанные понятия

Стандарты социальной отчётности — документы, руководства и сборники правил, формулирующие требования к отчётам частных компаний по итогам их деятельности в рамках корпоративной социальной ответственности. Служат в качестве основных принципов социального учёта, аудита и отчётности. Используются многими транснациональными корпорациями и крупными компаниями как ориентиры при написании ежегодных отчётов о КСО наряду с МСФО – международными стандартами финансовой отчётности.

Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определёнными критериями и показателями безопасности.

Безопасность систем управления — это предотвращение преднамеренных или непреднамеренных помех правильной работе промышленных автоматизированных систем управления (АСУ). Эти системы сегодня управляют всеми основными видами деятельности, в том числе ядерной и иной электроэнеретикой, добычей и транспортировкой нефти, водоснабжением, транспортом, связью и различными иными производствами и процессами. АСУ включают в себя компьютеры, сети, операционные системы, приложения и программируемые и непрограммируемые...

Судя по растущему количеству публикаций и компаний, профессионально занимающихся защитой информации в компьютерных системах, решению этой задачи придаётся большое значение. Одной из наиболее очевидных причин нарушения системы защиты является умышленный несанкционированный доступ (НСД) к конфиденциальной информации со стороны нелегальных пользователей и последующие нежелательные манипуляции с этой информацией.

Подробнее: Защита информации в локальных сетях

Политика ограниченного использования программ (в английской версии Windows - SRP, Software Restriction Policy) впервые появилась в Windows XP и присутствуют в последующих версиях ОС Windows.

Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства.

Подробнее: СТО БР ИББС

Информационная инфраструктура — система организационных структур, подсистем, обеспечивающих функционирование и развитие информационного пространства страны и средств информационного взаимодействия.Включает в себя...

Видеоаналитика — технология, использующая методы компьютерного зрения для автоматизированного получения различных данных на основании анализа последовательности изображений, поступающих с видеокамер в режиме реального времени или из архивных записей.

Токенизация, применяемая в области информационной безопасности, представляет собой процесс замены конфиденциального элемента данных на неконфиденциальный эквивалент, называемый токеном, который не имеет самостоятельного смысла/значения для внешнего или внутреннего использования. Токен — это ссылка (то есть идентификатор), которая сопоставляется с конфиденциальными данными через систему токенизации. Сопоставление исходных данных с токеном использует методы, которые делают невозможным обратное преобразование...

Жизненный цикл программного обеспечения (ПО) — период времени, который начинается с момента принятия решения о необходимости создания программного продукта и заканчивается в момент его полного изъятия из эксплуатации.

Система автоматизации документооборота, система электронного документооборота (СЭДО) — автоматизированная многопользовательская система, сопровождающая процесс управления работой иерархической организации с целью обеспечения выполнения этой организацией своих функций. При этом предполагается, что процесс управления опирается на человеко-читаемые документы, содержащие инструкции для сотрудников организации, необходимые к исполнению.

Стандарты качества образования — это совокупность требований, предъявляемых к знаниям выпускников учебных заведений, и обязательных при реализации основной образовательной программы образовательного учреждения.

Общие критерии оценки защищённости информационных технологий, Общие критерии, ОК (англ. Common Criteria for Information Technology Security Evaluation, Common Criteria, CC) — принятый в России международный стандарт по компьютерной безопасности. В отличие от стандарта FIPS 140, Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут...

Оценка соответствия (conformity assessment) — прямое или косвенное определение соблюдения требований, предъявляемых к объекту.

Бухгалтерская система (система автоматизации бухгалтерского учёта, САБУ) — программное обеспечение, предназначенное для ведения бухгалтерского и фискального (направленного на удовлетворение требований государства по расчёту и уплате налогов) учёта.

Безопасность приложения ( англ. Application Security ) включает в себя меры, принимаемые для повышения безопасности приложения, часто путем обнаружения, исправления и предотвращения уязвимостей в безопасности. Для выявления уязвимостей на разных этапах жизненного цикла приложений, таких как проектирование, разработка, развертывание, обновление, обслуживание, используются различные методы.

Электро́нный би́знес (англ. Electronic Business), Е-бизнес, И-бизнес, e-Business — бизнес-модель, в которой бизнес-процессы, обмен бизнес информацией и коммерческие транзакции автоматизируются с помощью информационных систем. Значительная часть решений использует Интернет-технологии для передачи данных и предоставления Web-сервисов. Впервые термин прозвучал в выступлении бывшего генерального директора IBM Луиса Герстнера.

Управление записями (англ. Records Management) — управление документами организации с момента их создания до окончательного уничтожения. Данная практика включает в себя формирование документов в делопроизводстве, их хранение, защиту и уничтожение (либо, в некоторых случаях — архивное хранение).

Предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

Комплаенс (англ. compliance — согласие, соответствие; происходит от глагола to comply — исполнять) — буквально означает (см. Оксфордском словаре английского языка ) действие в соответствии с запросом или указанием; повиновение (англ. compliance is an action in accordance with a request or command, obedience). «Комплаенс» представляет собой соответствие каким-либо внутренним или внешним требованиям или нормам.

Управление эффективностью деятельности организации (английские термины CPM, BPM, EPM) — это набор управленческих процессов (планирования, организации выполнения, контроля и анализа), которые позволяют бизнесу определить стратегические цели и затем оценивать и управлять деятельностью по достижению поставленных целей при оптимальном использовании имеющихся ресурсов. Это система управления, построенная на принципах управления стоимостью бизнеса.

Регуляторные технологии или регтех (англ. Regulatory Technology, RegTech) — подмножество финансовых технологий, которое описывает информационные технологии, обеспечивающие более легкое, быстрое или эффективное выполнение регуляторных требований участниками финансовых рынков.

Межсетевое взаимодействие — это способ соединения компьютерной сети с другими сетями с помощью шлюзов, которые обеспечивают общепринятый порядок маршрутизации пакетов информации между сетями. Полученная система взаимосвязанных сетей называется составной сетью, или просто интерсетью.

Адаптивный кейс-менеджмент ACM (англ. Adaptive Case Management, Dynamic Case Management, Advanced Case Management) — концепция динамического управления бизнес-процессами предприятия.

Инженерия производительности (англ. Performance Engineering) — часть системной инженерии, включающая в себя набор ролей, знаний, практик, инструментов и результатов и применяющаяся на каждом этапе Цикла разработки программного обеспечения с целью убедиться в том, что создаваемое, программируемое и поддерживаемое архитектурное решение соответствует нефункциональным требованиям к производительности этого решения.

Одно окно — это термин, обозначающий технологию предоставления услуг для граждан и бизнеса. Технология «одно окно» имеет целью снизить время вынужденного общения граждан и бизнеса и характеризуется тем, что оказание любых услуг концентрируется в одном месте, начиная от подачи заявления, до выдачи результатов решения исполнительного или иного органа.

Внутренние коммуникации (англ. Internal Communications) — поддерживающая бизнес-функция в компаниях, призванная решить стратегические задачи построения эффективной системы взаимодействия между подразделениями и сотрудниками. Это также один из инструментов достижения стратегических целей компании через организованный процесс обмена между всеми сотрудниками внутрикорпоративной информацией.

Информатизация архивного дела — многосторонний процесс, включающий методические и нормативные разработки, экспериментальные работы, разработку программного обеспечения, обучение, внедрение, планирование работ.Начиная с середины 80-х гг. начинается активная работа по внедрению автоматизированных методов поиска документальной информации в практику работы архивов. В сфере НСА автоматизированные архивные технологии не только оказывают сильное влияние на способы создания и ведения справочно-поисковых...

Контроль доступа — функция открытой системы, обеспечивающая технологию безопасности, которая разрешает или запрещает доступ к определённым типам данных, основанную на идентификации субъекта, которому нужен доступ, и объекта данных, являющегося целью доступа.

Соглаше́ние об у́ровне предоставле́ния услу́ги (англ. Service Level Agreement, SLA) — термин методологии ITIL, обозначающий формальный договор между заказчиком (и в рекомендациях ITIL заказчик и потребитель — разные понятия) услуги и её поставщиком, содержащий описание услуги, права и обязанности сторон и, самое главное, согласованный уровень качества предоставления данной услуги.

Электронное таможенное декларирование в России — возможность подачи таможенных деклараций в электронном виде и проведения удалённой процедуры таможенного декларирования товаров, реализованная в России в начале 2000-х годов.

Международные карты химической безопасности (International Chemical Safety Cards, ICSC) представляют собой листы, на которых приводится информация о свойствах химических веществ, используемых в промышленности и быту. Информация излагается в унифицированной и наглядной форме, доступной для восприятия. Форма и содержание Карт согласованы экспертами в рамках Международной Программы по Химической Безопасности.

Маркетинг на основе баз данных – разновидность прямого маркетинга, использующего базы данных клиентов или потенциальных клиентов для создания персонализированных коммуникаций с целью продвижения продукта или услуги.

Электронно-библиотечная система (ЭБС) — это предусмотренный федеральными государственными образовательными стандартами высшего профессионального образования (ФГОС ВПО) России обязательный элемент библиотечно-информационного обеспечения учащихся вузов, представляющий собой базу данных, содержащую издания учебной, учебно-методической и иной литературы, используемой в образовательном процессе, и соответствующую содержательным и количественным характеристикам, установленным приказом Рособрнадзора от...

Аппаратные средства защиты информационных систем — средства защиты информации и информационных систем, реализованных на аппаратном уровне. Данные средства являются необходимой частью безопасности информационной системы, хотя разработчики аппаратуры обычно оставляют решение проблемы информационной безопасности программистам.

Файловая сеть (File Area Network) определяет способ совместного использования файлов через сеть, например, хранилищ данных, подключенных к файловому серверу или сетевому хранилищу (NAS).

Многофакторная аутентификация (МФА, англ. multi-factor authentication, MFA) — расширенная аутентификация, метод контроля доступа к компьютеру, в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации». К категориям таких доказательств относят...

Политика безопасности организации (англ. organizational security policies) — совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Безопасность информационных потоков — набор требований и правил, направленных на определение того, какие информационные потоки в системе являются разрешёнными, а какие нет. Данная модель не является самостоятельной, и используется в дополнение к мандатной или дискреционной модели управления доступа.

Сетевой элемент — управляемый логический объект, объединяющий одно или несколько физических устройств. Такой подход позволяет управлять распределенными устройствами с помощью одной системы управления как единым целым .

Управление изменениями — это структурный подход к переводу индивидов, команд и организаций из текущего состояния в желаемое будущее состояние. Целью этого организационного процесса является расширение прав и возможностей сотрудников принять и поддержать изменения в их текущем бизнес-окружении. В управлении проектами, управление изменениями рассматривается как процесс управления проектом, в котором формально представлены и одобрены изменения проекта..

EDI (англ. Electronic data interchange «электронный обмен данными») — серия стандартов и конвенций по передаче структурированной цифровой информации между организациями, основанная на определенных регламентах и форматах передаваемых сообщений.

Сопровождение программного обеспечения стандартизовано, имеются национальные стандарты Российской Федерации, идентичные международным (ISO/IEC 12207:2008 System and software engineering — Software life cycle processes, ГОСТ Р ИСО/МЭК 12207-2010 «Национальный стандарт Российской Федерации. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств»; ISO/IEC 14764:99 Information tehnology — Software maintenance, ГОСТ Р ИСО/МЭК 14764-2002 «Государственный...

Справочно-правовые системы (информационно-правовые системы) — класс компьютерных баз данных, содержащих тексты указов, постановлений и решений различных государственных органов. Подкрепленные нормативными документами, они также содержат консультации специалистов по праву, бухгалтерскому и налоговому учету, судебные решения, типовые формы деловых документов и др.

Подробнее: Справочно-правовая система

Безопасное программирование — методика разработки программного обеспечения, предотвращающая случайное внедрение уязвимостей и обеспечивающая устойчивость к воздействию вредоносных программ и несанкционированному доступу. Баги и логические ошибки являются основной причиной появления уязвимостей программного обеспечения.

Рутокен (от англ. Russian — российский и англ. token — признак, жетон) — торговая марка программных и аппаратных продуктов в области защиты информации российского производства (производитель: компания «Актив»).

Смартста́нция (от англ. Smartstation — «умная станция») — это класс электронных многофункциональных устройств, одновременно выполняющих функции L2/L3 маршрутизатора, беспроводной Wi-Fi точки-доступа, VoIP-шлюза, мини АТС, базовой станции DECT, сетевого хранилища NAS, принт-сервера и других сетевых устройств.

Финансовое моделирование – это процесс построения абстрактного представления (финансовой модели) реальной или предполагаемой финансовой ситуации. В ходе финансового моделирования могут быть исследованы все или некоторые вопросы развития компании, изменения стоимости ценных бумаг и иные активы и объекты, имеющие финансовую оценку.

Автоматиза́ция ма́рке́тинга — использование специализированных компьютерных программ и технических решений для автоматизации маркетинговых процессов предприятия, перенос текущих бизнес-процессов компании в область цифровых сервисов с целью экономии трудовых и временных ресурсов. Основные области автоматизации — это маркетинговое планирование и бюджетирование, управление маркетинговыми активами, управление маркетинговыми кампаниями, взаимодействие с клиентами, управление потенциальными продажами...

Стейкхо́лдер (англ. stákeholder), заинтересованная сторона, причастная сторона — физическое лицо или организация, имеющая права, долю, требования или интересы относительно системы или её свойств, удовлетворяющих их потребностям и ожиданиям (ISO/IEC 15288:2008,:4 ISO/IEC 29148:2011:6).

а б в г д е ё ж з и й к л м н о п р с т у ф х ц ч ш щ э ю я