Концепция ‎информационной‏ ‎безопасности

В ‎соответствии ‎с ‎установленными ‎рекомендациями,‏ ‎процесс ‎разработки‏ ‎концепции‏ ‎информационной ‎безопасности ‎предусматривает‏ ‎последовательное ‎выполнение‏ ‎следующих ‎этапов:

• определение ‎информационного ‎контура‏ ‎защищаемого‏ ‎объекта ‎и‏ ‎установление ‎области‏ ‎применения ‎концепции: ‎На ‎данном ‎этапе‏ ‎осуществляется‏ ‎четкое ‎обозначение‏ ‎границ ‎информационного‏ ‎контура ‎— ‎той ‎части ‎организации‏ ‎(информационной‏ ‎системы,‏ ‎сети, ‎процесса‏ ‎и ‎тому‏ ‎подобного), ‎для‏ ‎которой‏ ‎будет ‎разработана‏ ‎и ‎впоследствии ‎реализована ‎концепция ‎информационной‏ ‎безопасности. ‎В‏ ‎рамках‏ ‎Методологии ‎«Волга-27001» ‎этот‏ ‎информационный ‎контур‏ ‎носит ‎название ‎— ‎информационный‏ ‎комплекс.‏ ‎Все ‎компоненты,‏ ‎входящие ‎в‏ ‎рассматриваемый ‎информационный ‎контур, ‎подлежат ‎защите‏ ‎посредством‏ ‎применения ‎соответствующих‏ ‎мер ‎защиты‏ ‎на ‎основе ‎выполнения ‎определённых ‎требований;
• проведение‏ ‎структурного‏ ‎анализа‏ ‎с ‎целью‏ ‎определения ‎объектов‏ ‎защиты ‎в‏ ‎информационном‏ ‎контуре: ‎в‏ ‎рамках ‎структурного ‎анализа ‎производится ‎идентификация‏ ‎ключевых ‎объектов‏ ‎защиты‏ ‎для ‎определённого ‎информационного‏ ‎контура. ‎К‏ ‎таковым ‎могут ‎относиться: ‎информационные‏ ‎активы,‏ ‎прикладные ‎системы,‏ ‎ИТ-инфраструктура, ‎системы‏ ‎промышленной ‎автоматизации, ‎устройства ‎Интернета ‎вещей,‏ ‎сетевые‏ ‎устройства ‎и‏ ‎компоненты, ‎помещения‏ ‎и ‎здания, ‎а ‎также ‎ответственный‏ ‎за‏ ‎это‏ ‎персонал. ‎Помимо‏ ‎этого, ‎осуществляется‏ ‎анализ ‎взаимосвязей‏ ‎и‏ ‎зависимостей ‎между‏ ‎вышеуказанными ‎объектами. ‎Выявление ‎подобных ‎зависимостей‏ ‎позволяет ‎провести‏ ‎оценку‏ ‎потенциальных ‎последствий ‎инцидентов‏ ‎информационной ‎безопасности‏ ‎для ‎деятельности ‎организации ‎и‏ ‎разработать‏ ‎адекватные ‎меры‏ ‎защиты;
• оценка ‎потребностей‏ ‎в ‎защите: ‎анализ ‎воздействия ‎инцидентов‏ ‎на‏ ‎исследуемые ‎бизнес-процессы.‏ ‎Для ‎каждого‏ ‎значения, ‎выявленного ‎в ‎ходе ‎структурного‏ ‎анализа,‏ ‎определяется‏ ‎уровень ‎необходимой‏ ‎защиты, ‎то‏ ‎есть ‎уровень‏ ‎обеспечения‏ ‎информационной ‎безопасности.

Для‏ ‎определения ‎необходимого ‎уровня ‎обеспечения ‎информационной‏ ‎безопасности ‎следует‏ ‎провести‏ ‎комплексную ‎оценку ‎потребности‏ ‎в ‎защите‏ ‎этих ‎процессов. ‎На ‎основании‏ ‎полученных‏ ‎результатов ‎устанавливается‏ ‎требуемый ‎уровень‏ ‎защиты ‎для ‎приложений, ‎выявленных ‎в‏ ‎ходе‏ ‎структурного ‎анализа,‏ ‎с ‎учетом‏ ‎характера ‎обрабатываемой ‎информации. ‎Далее ‎проводится‏ ‎анализ‏ ‎используемых‏ ‎ИТ-систем ‎и‏ ‎мест ‎обработки‏ ‎соответствующей ‎информации.‏ ‎Уровень‏ ‎обеспечения ‎информационной‏ ‎безопасности ‎бизнес-процессов ‎транслируется ‎на ‎обеспечивающие‏ ‎их ‎функционирование‏ ‎ИТ-системы.‏ ‎Уровень ‎защищенности ‎помещений‏ ‎определяется ‎исходя‏ ‎из ‎требований ‎к ‎защите‏ ‎бизнес-процессов‏ ‎и ‎ИТ-систем,‏ ‎размещенных ‎в‏ ‎данных ‎помещениях ‎и ‎обрабатывающих ‎защищаемую‏ ‎информацию.

Методология‏ ‎основана ‎на‏ ‎реализации ‎требований‏ ‎для ‎нейтрализации ‎угроз ‎или ‎сведения‏ ‎их‏ ‎появления‏ ‎к ‎минимальному‏ ‎и ‎допустимому‏ ‎уровню, ‎который‏ ‎для‏ ‎организации ‎приемлем.‏ ‎Меры ‎защиты ‎имеют ‎уровни ‎зрелости,‏ ‎характеризующие ‎степень‏ ‎их‏ ‎реализации. ‎Методология ‎предполагает‏ ‎обязательное ‎выполнение‏ ‎требований, ‎в ‎том ‎числе‏ ‎и‏ ‎через ‎реализацию‏ ‎мер ‎защиты,‏ ‎при ‎этом ‎допускает ‎вариативность ‎способов‏ ‎реализации,‏ ‎определяющих ‎уровень‏ ‎зрелости ‎конкретной‏ ‎меры. ‎Методология ‎предусматривает ‎минимально ‎допустимый‏ ‎уровень‏ ‎зрелости‏ ‎для ‎каждого‏ ‎требования.

В ‎случае,‏ ‎если ‎сбой‏ ‎в‏ ‎работе ‎ИТ-системы‏ ‎может ‎привести ‎к ‎значительному ‎ущербу‏ ‎с ‎высокой‏ ‎оценочной‏ ‎стоимостью ‎инцидента, ‎это‏ ‎указывает ‎на‏ ‎необходимость ‎установления ‎более ‎высокого‏ ‎уровня‏ ‎обеспечения ‎информационной‏ ‎безопасности.

Методология ‎«Волга-27001»‏ ‎представляет ‎собой ‎комплексный ‎подход ‎к‏ ‎обеспечению‏ ‎информационной ‎безопасности,‏ ‎основанный ‎на‏ ‎требованиях ‎стандарта ‎ISO ‎27001 ‎и‏ ‎дополненный‏ ‎лучшими‏ ‎международными ‎практиками.‏ ‎Ключевые ‎особенности‏ ‎методологии ‎включают:

• модульную‏ ‎структуру‏ ‎требований, ‎охватывающую‏ ‎все ‎направления ‎стандарта ‎ISO ‎27001‏ ‎и ‎дополнительные‏ ‎аспекты‏ ‎безопасности ‎для ‎каждого‏ ‎модуля;
• градацию ‎уровней‏ ‎обеспечения ‎информационной ‎безопасности, ‎влияющую‏ ‎на‏ ‎объем ‎и‏ ‎глубину ‎реализуемых‏ ‎требований. ‎Более ‎высокий ‎уровень ‎предполагает‏ ‎внедрение‏ ‎большего ‎количества‏ ‎требований, ‎включая‏ ‎требования ‎для ‎более ‎низких ‎уровней;
• возможность‏ ‎поэтапного‏ ‎повышения‏ ‎уровня ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎в ‎зависимости‏ ‎от‏ ‎ресурсов ‎и‏ ‎потребностей ‎самой ‎организации;
• последовательный ‎подход ‎к‏ ‎наращиванию ‎уровня‏ ‎защищённости‏ ‎всей ‎организации, ‎не‏ ‎допускающий ‎пропуска‏ ‎промежуточных ‎этапов;
• непрерывное ‎совершенствование ‎методологии‏ ‎на‏ ‎основе ‎российского‏ ‎и ‎международного‏ ‎опыта, ‎а ‎также ‎обратной ‎связи‏ ‎от‏ ‎пользователей ‎(для‏ ‎тех, ‎кто‏ ‎оформит ‎подписку ‎уровня ‎который ‎разрешает‏ ‎личное‏ ‎общение).

Методология‏ ‎«Волга-27001» ‎предоставляет‏ ‎организациям ‎инструментарий‏ ‎для ‎выбора‏ ‎оптимального‏ ‎уровня ‎обеспечения‏ ‎информационной ‎безопасности ‎с ‎учётом ‎имеющихся‏ ‎ресурсов ‎и‏ ‎специфики‏ ‎деятельности. ‎При ‎этом‏ ‎важно ‎отметить,‏ ‎что ‎полная ‎минимизация ‎угроз‏ ‎возможна‏ ‎только ‎на‏ ‎уровне, ‎когда‏ ‎система ‎управления ‎информационной ‎безопасность ‎построена‏ ‎и‏ ‎начала ‎своё‏ ‎совершенствование, ‎в‏ ‎то ‎время ‎как ‎более ‎низкие‏ ‎уровни‏ ‎позволяют‏ ‎только ‎начать‏ ‎строительство ‎такой‏ ‎системы, ‎а‏ ‎соответственно‏ ‎не ‎могут‏ ‎обеспечивать ‎адекватную ‎защиту ‎от ‎угроз.

Доступ‏ ‎к ‎Методологии‏ ‎осуществляется‏ ‎на ‎основе ‎платной‏ ‎подписки. ‎ООО‏ ‎«ЦифраБез» ‎приглашает ‎специалистов ‎по‏ ‎информационной‏ ‎безопасности ‎и‏ ‎организации-пользователей ‎к‏ ‎участию ‎в ‎её ‎дальнейшем ‎развитии‏ ‎и‏ ‎совершенствовании. ‎У‏ ‎нашей ‎Методологии‏ ‎есть ‎все ‎шансы ‎стать ‎лучшей‏ ‎российской‏ ‎практикой‏ ‎для ‎бизнеса.

Настоящим‏ ‎уведомляем, ‎что‏ ‎материалы, ‎размещённые‏ ‎на‏ ‎данной ‎странице,‏ ‎охраняются ‎авторским ‎правом ‎в ‎соответствии‏ ‎со ‎статьей‏ ‎1259‏ ‎Гражданского ‎кодекса ‎Российской‏ ‎Федерации. ‎Третьи‏ ‎лица ‎не ‎вправе ‎использовать‏ ‎с‏ ‎целью ‎создания‏ ‎каких-либо ‎средств‏ ‎обработки ‎представленной ‎информации ‎и ‎размещённых‏ ‎на‏ ‎данной ‎странице‏ ‎результатов ‎интеллектуальной‏ ‎деятельности ‎каким-либо ‎образом ‎без ‎письменного‏ ‎согласия‏ ‎ООО‏ ‎«ЦифраБез». ‎Распространение‏ ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при‏ ‎указании ‎ссылки‏ ‎на ‎данную ‎страницу.

Несанкционированное ‎использование ‎охраняемых‏ ‎авторским ‎правом‏ ‎материалов‏ ‎является ‎нарушением ‎законодательства‏ ‎Российской ‎Федерации‏ ‎и ‎влечёт ‎за ‎собой‏ ‎ответственность,‏ ‎предусмотренную ‎им.

Подход ‎к‏ ‎СУИБ

Методология

Описание ‎системы ‎управления ‎информационной ‎безопасностью‏ ‎(СУИБ), ‎представленной‏ ‎в‏ ‎данных ‎рекомендациях, ‎а‏ ‎также ‎в‏ ‎международных ‎стандартах ‎ISO ‎27000,‏ ‎ISO‏ ‎27001 ‎и‏ ‎ISO ‎27002,‏ ‎носят ‎обобщённый ‎характер ‎и ‎формулируют‏ ‎лишь‏ ‎общие ‎рамочные‏ ‎требования. ‎Такой‏ ‎подход ‎оставляет ‎значительную ‎степень ‎свободы‏ ‎для‏ ‎адаптации‏ ‎и ‎интерпретации‏ ‎при ‎практической‏ ‎реализации ‎указанных‏ ‎требований‏ ‎в ‎условиях‏ ‎конкретных ‎организаций. ‎Основная ‎задача ‎заключается‏ ‎в ‎разработке‏ ‎и‏ ‎внедрении ‎СУИБ, ‎которая‏ ‎не ‎только‏ ‎обеспечивает ‎достижение ‎установленных ‎целей‏ ‎в‏ ‎области ‎информационной‏ ‎безопасности ‎(ИБ),‏ ‎но ‎и ‎остаётся ‎экономически ‎эффективной,‏ ‎учитывая‏ ‎ресурсные ‎ограничения‏ ‎и ‎специфику‏ ‎бизнес-процессов ‎компании. ‎Это ‎требует ‎тщательного‏ ‎анализа‏ ‎рисков,‏ ‎выбора ‎оптимальных‏ ‎мер ‎защиты‏ ‎и ‎их‏ ‎интеграции‏ ‎в ‎существующие‏ ‎процессы ‎управления ‎организацией.

Разработка ‎концепции ‎ИБ‏ ‎для ‎компании‏ ‎представляет‏ ‎собой ‎один ‎из‏ ‎наиболее ‎сложных‏ ‎и ‎ответственных ‎процессов. ‎Ключевыми‏ ‎этапами‏ ‎создания ‎такой‏ ‎концепции ‎являются‏ ‎оценка ‎рисков, ‎выбор ‎соответствующих ‎мер‏ ‎защиты,‏ ‎а ‎также‏ ‎контроль ‎за‏ ‎реализацией ‎этих ‎мер. ‎Особое ‎внимание‏ ‎следует‏ ‎уделить‏ ‎выбору ‎методологии‏ ‎анализа ‎рисков,‏ ‎поскольку ‎данный‏ ‎выбор‏ ‎напрямую ‎влияет‏ ‎на ‎трудоёмкость ‎и ‎эффективность ‎разработки‏ ‎концепции.

Наши ‎рекомендации‏ ‎предлагают‏ ‎универсальные ‎подходы, ‎которые‏ ‎подходят ‎для‏ ‎большинства ‎случаев ‎и ‎позволяют‏ ‎адаптировать‏ ‎процесс ‎в‏ ‎зависимости ‎от‏ ‎специфики ‎компании. ‎В ‎зависимости ‎от‏ ‎требуемого‏ ‎уровня ‎обеспечения‏ ‎ИБ, ‎в‏ ‎области, ‎которую ‎компания ‎выбирает ‎сама,‏ ‎вы‏ ‎можете‏ ‎постепенно ‎и‏ ‎последовательно ‎выстраивать‏ ‎у ‎себя‏ ‎полноценную‏ ‎СУИБ. ‎Этот‏ ‎поэтапный ‎подход ‎не ‎просто ‎позволяет‏ ‎экономить ‎ресурсы,‏ ‎а‏ ‎в ‎целом ‎создавать‏ ‎эффективную ‎и‏ ‎действительно ‎нужную ‎компании ‎систему‏ ‎ИБ.‏ ‎Подробно ‎об‏ ‎этом ‎подходе‏ ‎можно ‎прочитать ‎в ‎Методологии ‎«Волга-27001»,‏ ‎которая‏ ‎публикуется ‎по‏ ‎платной ‎подписке‏ ‎(sponsr.ru/volga27001).

В ‎сравнении ‎с ‎традиционными ‎количественными‏ ‎методами‏ ‎анализа‏ ‎рисков, ‎предлагаемая‏ ‎методология ‎является‏ ‎более ‎экономичной‏ ‎и‏ ‎практико-ориентированной. ‎Её‏ ‎ценность ‎заключается ‎не ‎только ‎в‏ ‎описании ‎общих‏ ‎принципов‏ ‎внедрения ‎СУИБ, ‎но‏ ‎и ‎в‏ ‎чётком ‎указании ‎на ‎конкретные‏ ‎требования,‏ ‎которые ‎подлежат‏ ‎именно ‎практической‏ ‎реализации. ‎Это ‎позволяет ‎минимизировать ‎риски‏ ‎и‏ ‎обеспечить ‎эффективный‏ ‎уровень ‎обеспечения‏ ‎информационной ‎безопасности ‎для ‎информационных ‎активов‏ ‎компании.

Практические‏ ‎рекомендации‏ ‎по ‎выполнению‏ ‎установленных, ‎методологией‏ ‎«Волга-27001», ‎требований‏ ‎в‏ ‎области ‎ИБ‏ ‎доступны ‎в ‎соответствующих ‎методических ‎материалах,‏ ‎доступных ‎по‏ ‎подписке.

Данные‏ ‎рекомендации ‎охватывают ‎различные‏ ‎подходы ‎к‏ ‎организации ‎ИБ ‎и ‎представляют‏ ‎особую‏ ‎ценность ‎для‏ ‎малых ‎и‏ ‎средних ‎компаний. ‎Они ‎обеспечивают ‎этапы‏ ‎внедрения‏ ‎ИБ ‎и‏ ‎способствуют ‎построению‏ ‎СУИБ. ‎В ‎рекомендациях ‎по ‎методологии‏ ‎построения‏ ‎СУИБ‏ ‎каждый ‎этап‏ ‎подробно ‎описывается,‏ ‎что ‎позволяет‏ ‎организациям‏ ‎последовательно ‎и‏ ‎эффективно ‎выполнять ‎требования.

Отдельно ‎стоит ‎отметить,‏ ‎что ‎сертификат‏ ‎соответствия‏ ‎стандарту ‎ГОСТ ‎Р‏ ‎ИСО/МЭК ‎27001‏ ‎в ‎настоящее ‎время ‎не‏ ‎всегда‏ ‎гарантирует ‎реальное‏ ‎выполнение ‎требований.‏ ‎На ‎практике ‎его ‎можно ‎получить‏ ‎в‏ ‎кратчайшие ‎сроки‏ ‎(например, ‎за‏ ‎три ‎дня) ‎без ‎проведения ‎полноценной‏ ‎проверки.‏ ‎В‏ ‎таких ‎случаях‏ ‎организациям ‎просто‏ ‎предоставляется ‎пакет‏ ‎документов,‏ ‎что ‎не‏ ‎соответствует ‎принципам ‎прозрачности ‎и ‎достоверности.‏ ‎Не ‎смотря‏ ‎на‏ ‎наличие ‎сертификата, ‎реальное‏ ‎положение ‎дел‏ ‎в ‎ИБ ‎у ‎компании‏ ‎оставляет‏ ‎желать ‎лучшего.

В‏ ‎связи ‎с‏ ‎этим ‎ООО ‎«ЦифраБез» ‎предлагает ‎собственную‏ ‎систему‏ ‎добровольной ‎сертификации‏ ‎— ‎«Волга-27001»,‏ ‎которая ‎подтверждает, ‎что ‎организация ‎действительно‏ ‎выполняет‏ ‎требования‏ ‎рекомендаций ‎для‏ ‎заявленного ‎уровня‏ ‎обеспечения ‎ИБ‏ ‎в‏ ‎определённой ‎области‏ ‎применения. ‎Наша ‎система ‎сертификации ‎является‏ ‎прозрачной. ‎Сертификат‏ ‎выдаётся‏ ‎сроком ‎на ‎три‏ ‎года ‎с‏ ‎ежегодной ‎дистанционной ‎проверкой ‎выполнения‏ ‎требований.

Система‏ ‎добровольной ‎сертификации‏ ‎«Волга-27001», ‎разработанная‏ ‎ООО ‎«ЦифраБез», ‎представляет ‎собой ‎комплексный‏ ‎механизм‏ ‎подтверждения ‎соответствия‏ ‎организаций ‎требованиям‏ ‎рекомендаций ‎в ‎области ‎обеспечения ‎ИБ‏ ‎для‏ ‎заявленных‏ ‎уровней ‎обеспечения‏ ‎ИБ. ‎Данная‏ ‎система ‎сертификации‏ ‎обоснована‏ ‎следующими ‎ключевыми‏ ‎аспектами:

• сертификат ‎«Волга-27001» ‎базируется ‎на ‎принципах,‏ ‎аналогичных ‎стандартам‏ ‎ISO/IEC‏ ‎27001, ‎адаптированным ‎под‏ ‎специфику ‎российского‏ ‎регуляторного ‎ландшафта ‎и ‎отраслевые‏ ‎потребности.‏ ‎Это ‎обеспечивает‏ ‎гармонизацию ‎с‏ ‎глобальными ‎подходами ‎к ‎управлению ‎ИБ,‏ ‎что‏ ‎способствует ‎укреплению‏ ‎доверия ‎со‏ ‎стороны ‎партнёров ‎и ‎клиентов;
• все ‎этапы‏ ‎оценки‏ ‎соответствия,‏ ‎включая ‎аудит‏ ‎документированных ‎процессов,‏ ‎технических ‎решений‏ ‎и‏ ‎организационных ‎мер,‏ ‎регламентированы ‎внутренними ‎положениями ‎системы. ‎Критерии‏ ‎оценки, ‎методики‏ ‎проверки‏ ‎и ‎требования ‎к‏ ‎заявителям ‎доступны‏ ‎по ‎подписке, ‎что ‎исключает‏ ‎субъективность‏ ‎и ‎обеспечивает‏ ‎равные ‎условия‏ ‎для ‎желающих;
• установленный ‎период ‎действия ‎сертификата‏ ‎(3‏ ‎года) ‎соответствует‏ ‎оптимальному ‎балансу‏ ‎между ‎стабильностью ‎статуса ‎организации ‎и‏ ‎необходимостью‏ ‎регулярного‏ ‎мониторинга ‎актуальности‏ ‎внедрённых ‎мер‏ ‎ИБ. ‎Ежегодные‏ ‎дистанционные‏ ‎проверки ‎позволяют‏ ‎оперативно ‎выявлять ‎отклонения ‎от ‎установленных‏ ‎требований, ‎стимулируя‏ ‎непрерывное‏ ‎совершенствование ‎системы ‎защиты‏ ‎информации;
• система ‎предусматривает‏ ‎гибкую ‎оценку ‎в ‎зависимости‏ ‎от‏ ‎выбранного ‎уровня‏ ‎обеспечения ‎ИБ.‏ ‎Такой ‎подход ‎позволяет ‎учитывать ‎отраслевую‏ ‎специфику‏ ‎и ‎масштаб‏ ‎рисков, ‎что‏ ‎повышает ‎практическую ‎ценность ‎сертификата ‎для‏ ‎заказчиков‏ ‎и‏ ‎регуляторов, ‎а‏ ‎также ‎эффективно‏ ‎использовать ‎имеющиеся‏ ‎финансовые‏ ‎и ‎другие‏ ‎ресурсы ‎своей ‎компании;
• использование ‎дистанционных ‎инструментов‏ ‎проверки ‎сокращает‏ ‎административную‏ ‎нагрузку ‎на ‎организации,‏ ‎снижает ‎издержки‏ ‎и ‎соответствует ‎современным ‎трендам‏ ‎цифровизации‏ ‎контрольных ‎процедур.‏ ‎При ‎этом‏ ‎обеспечивается ‎достаточная ‎глубина ‎анализа ‎за‏ ‎счёт‏ ‎предоставления ‎электронных‏ ‎доказательств ‎выполнения‏ ‎требований ‎(лог-файлы, ‎скриншоты, ‎отчёты ‎систем‏ ‎мониторинга‏ ‎и‏ ‎другое);
• наличие ‎сертификата‏ ‎«Волга-27001» ‎позволяет‏ ‎организациям ‎демонстрировать‏ ‎соответствие‏ ‎актуальным ‎стандартам‏ ‎ИБ, ‎что ‎усиливает ‎их ‎позиции‏ ‎на ‎рынке,‏ ‎где‏ ‎наличие ‎подтверждённых ‎компетенций‏ ‎в ‎области‏ ‎защиты ‎информации ‎является ‎критически‏ ‎важным.‏ ‎Важно ‎отметить,‏ ‎что ‎сертификат,‏ ‎подтверждающий ‎третий ‎уровень ‎обеспечения ‎ИБ,‏ ‎свидетельствует‏ ‎о ‎том,‏ ‎что ‎данная‏ ‎область ‎применения ‎уже ‎соответствует ‎требованиям‏ ‎стандарта‏ ‎ISO‏ ‎27001. ‎Более‏ ‎того, ‎организации,‏ ‎получившие ‎сертификат‏ ‎такого‏ ‎уровня ‎в‏ ‎системе ‎сертификации ‎«Волга-27001», ‎могут ‎успешно‏ ‎пройти ‎сертификацию‏ ‎по‏ ‎ISO ‎27001 ‎для‏ ‎соответствующей ‎области‏ ‎применения.

Система ‎добровольной ‎сертификации ‎«Волга-27001»‏ ‎обеспечивает‏ ‎объективную, ‎технологичную‏ ‎и ‎экономически‏ ‎эффективную ‎модель ‎подтверждения ‎зрелости ‎процессов‏ ‎ИБ.‏ ‎Её ‎внедрение‏ ‎способствует ‎формированию‏ ‎культуры ‎ответственного ‎отношения ‎к ‎защите‏ ‎информации,‏ ‎минимизирует‏ ‎репутационные ‎и‏ ‎операционные ‎риски‏ ‎организаций, ‎а‏ ‎также‏ ‎соответствует ‎стратегическим‏ ‎задачам ‎развития ‎цифровой ‎экономики ‎в‏ ‎части ‎обеспечения‏ ‎киберустойчивости‏ ‎компаний.

Более ‎подробная ‎информация‏ ‎о ‎нашей‏ ‎системе ‎сертификации ‎и ‎условиях‏ ‎её‏ ‎получения ‎представлена‏ ‎в ‎соответствующем‏ ‎разделе ‎методологии ‎доступной ‎по ‎подписке.

Процесс‏ ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎после ‎достижения‏ ‎определённого ‎уровня ‎обеспечения ‎информационной ‎безопасности‏ ‎в‏ ‎выбранной‏ ‎области ‎применения

Анализ‏ ‎общепринятых ‎методов,‏ ‎передовых ‎практик‏ ‎и‏ ‎стандартов ‎в‏ ‎области ‎управления ‎ИБ ‎показывает, ‎что‏ ‎они ‎имеют‏ ‎схожие‏ ‎подходы ‎к ‎описанию‏ ‎основных ‎процессов‏ ‎и ‎обязанностей ‎высшего ‎руководства‏ ‎компании.‏ ‎Однако ‎существенные‏ ‎различия ‎наблюдаются‏ ‎в ‎методологиях ‎разработки ‎концепции ‎ИБ,‏ ‎особенно‏ ‎в ‎части‏ ‎оценки ‎рисков‏ ‎и ‎выбора ‎соответствующих ‎защитных ‎мер‏ ‎для‏ ‎выполнения‏ ‎требований.

Учитывая ‎это,‏ ‎методология ‎«Волга-27001»‏ ‎предлагает ‎следующий‏ ‎базовый‏ ‎алгоритм ‎создания‏ ‎концепции ‎ИБ:

• принятие ‎решения ‎о ‎разработке‏ ‎концепции ‎и‏ ‎формирование‏ ‎рабочей ‎группы ‎с‏ ‎участием ‎представителей‏ ‎ключевых ‎подразделений ‎компании;
• определение ‎ролей‏ ‎и‏ ‎ответственности ‎в‏ ‎области ‎обеспечения‏ ‎ИБ;
• проведение ‎анализа ‎рисков ‎ИБ, ‎включающего‏ ‎идентификацию‏ ‎критичных ‎информационных‏ ‎активов, ‎оценку‏ ‎угроз ‎и ‎уязвимостей, ‎а ‎также‏ ‎потенциального‏ ‎ущерба;
• определение‏ ‎требований ‎и‏ ‎целей ‎ИБ‏ ‎на ‎основе‏ ‎результатов‏ ‎анализа ‎рисков‏ ‎и ‎бизнес-потребностей ‎компании;
• разработка ‎стратегии ‎и‏ ‎политики ‎ИБ,‏ ‎определяющих‏ ‎принципы ‎защиты ‎и‏ ‎основные ‎организационные‏ ‎и ‎технические ‎меры;
• выбор ‎конкретных‏ ‎мер‏ ‎и ‎средств‏ ‎защиты ‎информации‏ ‎с ‎учетом ‎их ‎экономической ‎эффективности;
• разработка‏ ‎плана‏ ‎внедрения ‎выбранных‏ ‎мер ‎защиты‏ ‎и ‎совершенствования ‎системы ‎управления ‎ИБ;
• документирование‏ ‎концепции‏ ‎ИБ‏ ‎и ‎её‏ ‎утверждение ‎высшим‏ ‎руководством ‎компании.

Данный‏ ‎подход‏ ‎позволяет ‎учесть‏ ‎специфику ‎организации ‎и ‎обеспечить ‎системность‏ ‎в ‎управлении‏ ‎ИБ.

Оценка‏ ‎рисков

Анализ ‎рисков ‎ИБ‏ ‎имеет ‎существенные‏ ‎отличия ‎от ‎классических ‎методов‏ ‎оценки‏ ‎рисков. ‎Применение‏ ‎традиционных ‎количественных‏ ‎методов ‎анализа ‎рисков ‎в ‎сфере‏ ‎ИБ‏ ‎зачастую ‎затруднено‏ ‎или ‎невозможно‏ ‎из-за ‎отсутствия ‎необходимых ‎статистических ‎и‏ ‎исторических‏ ‎данных.‏ ‎Даже ‎в‏ ‎случаях, ‎когда‏ ‎такие ‎расчёты‏ ‎осуществимы,‏ ‎интерпретация ‎полученных‏ ‎результатов ‎может ‎представлять ‎значительные ‎трудности.

Специфика‏ ‎анализа ‎рисков‏ ‎в‏ ‎области ‎ИБ ‎обусловлена‏ ‎динамичностью ‎и‏ ‎непредсказуемостью ‎соответствующих ‎угроз, ‎а‏ ‎также‏ ‎сложностью ‎количественной‏ ‎оценки ‎ряда‏ ‎ключевых ‎факторов, ‎таких ‎как ‎вероятность‏ ‎реализации‏ ‎киберугроз, ‎масштаб‏ ‎потенциального ‎ущерба‏ ‎и ‎эффективность ‎применяемых ‎средств ‎защиты.‏ ‎В‏ ‎связи‏ ‎с ‎этим‏ ‎в ‎сфере‏ ‎ИБ ‎все‏ ‎чаще‏ ‎применяются ‎качественные‏ ‎методы ‎анализа ‎рисков, ‎основанные ‎на‏ ‎экспертных ‎оценках‏ ‎и‏ ‎сценарном ‎моделировании. ‎Такое‏ ‎моделирование ‎рекомендуется‏ ‎проводить ‎только ‎для ‎систем‏ ‎с‏ ‎уровнем ‎предназначенным‏ ‎для ‎развивающегося‏ ‎малого ‎или ‎уже ‎среднего ‎бизнеса.‏ ‎До‏ ‎этих ‎уровней‏ ‎стоит ‎проводить‏ ‎оценку ‎на ‎количественном ‎или ‎качественном‏ ‎уровне‏ ‎не‏ ‎затрагивая ‎бизнес-процессы‏ ‎и ‎не‏ ‎проводя ‎анализ‏ ‎воздействия‏ ‎на ‎бизнес-деятельность‏ ‎компании. ‎Такой ‎подход ‎позволяет ‎учесть‏ ‎специфику ‎ИБ‏ ‎и‏ ‎обеспечить ‎более ‎адекватную‏ ‎оценку ‎рисков‏ ‎в ‎условиях ‎высокой ‎неопределенности‏ ‎и‏ ‎динамичности ‎угроз.

В‏ ‎рамках ‎традиционного‏ ‎методологического ‎подхода ‎к ‎анализу ‎рисков,‏ ‎количественная‏ ‎оценка ‎риска‏ ‎определяется ‎как‏ ‎произведение ‎потенциального ‎ущерба ‎на ‎вероятность‏ ‎его‏ ‎возникновения.‏ ‎Рассмотрим ‎два‏ ‎альтернативных ‎сценария:

1. Утечка‏ ‎конфиденциальных ‎данных‏ ‎клиентов‏ ‎вследствие ‎кибератаки,‏ ‎с ‎оценочным ‎ущербом ‎в ‎5‏ ‎миллионов ‎рублей‏ ‎и‏ ‎статистической ‎вероятностью ‎наступления‏ ‎события ‎один‏ ‎раз ‎в ‎720 ‎дней‏ ‎(приблизительно‏ ‎1,97 ‎года).‏ ‎В ‎данном‏ ‎случае ‎теоретическая ‎величина ‎риска ‎составляет‏ ‎6‏ ‎944,44 ‎рубля‏ ‎в ‎день‏ ‎или ‎2 ‎534 ‎722,22 ‎рубля‏ ‎в‏ ‎год.
2. Временный‏ ‎сбой ‎в‏ ‎работе ‎корпоративной‏ ‎системы ‎электронной‏ ‎почты,‏ ‎приводящий ‎к‏ ‎снижению ‎производительности ‎труда, ‎с ‎ущербом‏ ‎в ‎5‏ ‎000‏ ‎рублей ‎и ‎статистической‏ ‎частотой ‎инцидента‏ ‎один ‎раз ‎в ‎10‏ ‎рабочих‏ ‎дней. ‎Здесь‏ ‎теоретическая ‎величина‏ ‎риска ‎составляет ‎500 ‎рублей ‎в‏ ‎день‏ ‎или ‎182‏ ‎500 ‎рублей‏ ‎в ‎год ‎(при ‎расчете ‎на‏ ‎365‏ ‎дней).

Несмотря‏ ‎на ‎значительную‏ ‎разницу ‎в‏ ‎количественных ‎показателях‏ ‎риска‏ ‎в ‎денежном‏ ‎выражении, ‎указанные ‎сценарии ‎по-прежнему ‎требуют‏ ‎дифференцированных ‎подходов‏ ‎в‏ ‎рамках ‎комплексной ‎системы‏ ‎управления ‎рисками‏ ‎организации. ‎При ‎различных ‎числовых‏ ‎значениях,‏ ‎практические ‎последствия‏ ‎реализации ‎рассматриваемых‏ ‎рисков ‎и ‎методы ‎их ‎минимизации‏ ‎существенно‏ ‎различаются.

В ‎связи‏ ‎с ‎этим,‏ ‎при ‎разработке ‎стратегии ‎управления ‎рисками‏ ‎необходимо‏ ‎учитывать‏ ‎не ‎только‏ ‎количественные ‎показатели,‏ ‎но ‎и‏ ‎качественные‏ ‎характеристики ‎потенциальных‏ ‎угроз, ‎их ‎влияние ‎на ‎непрерывность‏ ‎бизнес-процессов, ‎репутационные‏ ‎аспекты‏ ‎и ‎долгосрочные ‎последствия‏ ‎для ‎организации.‏ ‎Это ‎позволит ‎обеспечить ‎более‏ ‎эффективное‏ ‎распределение ‎ресурсов‏ ‎и ‎разработку‏ ‎адекватных ‎мер ‎по ‎снижению ‎рисков‏ ‎в‏ ‎соответствии ‎с‏ ‎их ‎спецификой‏ ‎и ‎потенциальным ‎воздействием ‎на ‎деятельность‏ ‎организации,‏ ‎но‏ ‎только ‎после‏ ‎того, ‎как‏ ‎организация ‎выстроит‏ ‎работающую‏ ‎систему ‎ИБ‏ ‎в ‎выбранной ‎области ‎применения.

Представленные ‎рекомендации‏ ‎предусматривают ‎применение‏ ‎как‏ ‎качественного ‎подхода ‎к‏ ‎оценке ‎рисков,‏ ‎обеспечивающего ‎получение ‎релевантных ‎данных‏ ‎для‏ ‎анализа ‎инцидентов,‏ ‎способных ‎оказать‏ ‎негативное ‎воздействие ‎на ‎бизнес-процессы, ‎так‏ ‎и‏ ‎количественное, ‎а‏ ‎также ‎сценарное,‏ ‎зависящее ‎от ‎выбираемого ‎уровня ‎обеспечения‏ ‎ИБ‏ ‎в‏ ‎выбранной ‎области‏ ‎применения.

Рекомендации ‎базируются‏ ‎на ‎принципе,‏ ‎согласно‏ ‎которому ‎обеспечение‏ ‎безопасной ‎обработки ‎информации, ‎критически ‎значимой‏ ‎для ‎бизнеса,‏ ‎является‏ ‎обязательным ‎требованием ‎вне‏ ‎зависимости ‎от‏ ‎отраслевой ‎специфики ‎и ‎профиля‏ ‎деятельности‏ ‎организации.  ‎Но‏ ‎компании ‎предоставляется‏ ‎полное ‎право ‎самой ‎определять, ‎что‏ ‎будет‏ ‎защищаться ‎в‏ ‎первую ‎очередь,‏ ‎затем ‎во ‎вторую, ‎после ‎в‏ ‎третью‏ ‎и‏ ‎так ‎далее.

Ключевым‏ ‎преимуществом ‎предлагаемой‏ ‎методологии ‎является‏ ‎унификация‏ ‎подхода: ‎организации‏ ‎применяющие ‎данные ‎рекомендации, ‎получают ‎единую‏ ‎нормативную ‎базу‏ ‎для‏ ‎проведения ‎оценочных ‎процедур.‏ ‎Это ‎способствует‏ ‎повышению ‎прозрачности ‎и ‎согласованности‏ ‎процессов‏ ‎управления ‎рисками,‏ ‎а ‎также‏ ‎формирует ‎доверительную ‎среду ‎для ‎субъектов,‏ ‎стремящихся‏ ‎обеспечить ‎эффективную‏ ‎защиту ‎своего‏ ‎бизнеса ‎от ‎киберугроз ‎и ‎улучшить‏ ‎состояние‏ ‎ИБ‏ ‎в ‎компании.

Настоящим‏ ‎уведомляем, ‎что‏ ‎материалы, ‎размещённые‏ ‎на‏ ‎данной ‎странице,‏ ‎охраняются ‎авторским ‎правом ‎в ‎соответствии‏ ‎со ‎статьей‏ ‎1259‏ ‎Гражданского ‎кодекса ‎Российской‏ ‎Федерации. ‎Использование‏ ‎результатов ‎интеллектуальной ‎деятельности, ‎представленных‏ ‎на‏ ‎данной ‎странице,‏ ‎в ‎том‏ ‎числе ‎для ‎создания ‎средств ‎обработки‏ ‎информации,‏ ‎без ‎письменного‏ ‎согласия ‎правообладателя‏ ‎— ‎ООО ‎«ЦифраБез» ‎— ‎запрещено.

Распространение‏ ‎данной‏ ‎информации‏ ‎допускается ‎только‏ ‎при ‎обязательном‏ ‎указании ‎ссылки‏ ‎на‏ ‎источник ‎(данную‏ ‎страницу).

Несанкционированное ‎использование ‎охраняемых ‎авторским ‎правом‏ ‎материалов ‎является‏ ‎нарушением‏ ‎законодательства ‎Российской ‎Федерации‏ ‎и ‎влечёт‏ ‎за ‎собой ‎ответственность, ‎предусмотренную‏ ‎им.

Непрерывное ‎совершенствование‏ ‎концепции ‎ИБ

Регулярный ‎пересмотр ‎концепции ‎информационной‏ ‎безопасности ‎является‏ ‎необходимым‏ ‎условием ‎для ‎устранения‏ ‎выявленных ‎несоответствий‏ ‎и ‎уязвимостей, ‎а ‎также‏ ‎оптимизации‏ ‎мер ‎защиты‏ ‎реализованных ‎для‏ ‎исполнения ‎требований ‎с ‎точки ‎зрения‏ ‎их‏ ‎эффективности.

Особое ‎внимание‏ ‎следует ‎уделять‏ ‎повышению ‎практической ‎применимости ‎технических ‎средств‏ ‎и‏ ‎организационных‏ ‎процедур, ‎что‏ ‎позволит ‎повысить‏ ‎уровень ‎принятия‏ ‎мер‏ ‎защиты ‎персоналом.‏ ‎Кроме ‎того, ‎целесообразно ‎регулярно ‎анализировать‏ ‎формулировки ‎соответствующих‏ ‎мер‏ ‎защиты ‎на ‎предмет‏ ‎их ‎логичности‏ ‎и ‎однозначности ‎понимания, ‎внося‏ ‎при‏ ‎необходимости ‎соответствующие‏ ‎уточнения ‎и‏ ‎коррективы.

Ключевые ‎аспекты ‎непрерывного ‎совершенствования:

• устранение ‎выявленных‏ ‎несоответствий‏ ‎и ‎уязвимостей;
• оптимизация‏ ‎эффективности ‎мер‏ ‎защиты;
• повышение ‎уровня ‎зрелости ‎мер ‎защиты;
• повышение‏ ‎практической‏ ‎применимости‏ ‎и ‎приемлемости‏ ‎мер ‎защиты;
• регулярный‏ ‎анализ ‎мер‏ ‎защиты‏ ‎и ‎уровней‏ ‎их ‎зрелости.

Сертификация ‎СУИБ

Построение ‎и ‎эксплуатация‏ ‎эффективной ‎СУИБ‏ ‎является‏ ‎сложной ‎и ‎трудоёмкой‏ ‎задачей. ‎Тем‏ ‎не ‎менее ‎при ‎успешной‏ ‎реализации‏ ‎такой ‎системы,‏ ‎её ‎наличие‏ ‎и ‎функционирование ‎может ‎быть ‎весьма‏ ‎полезным‏ ‎как ‎для‏ ‎внутренних, ‎так‏ ‎и ‎для ‎внешних ‎целей ‎компании.

Можно‏ ‎отметить‏ ‎следующее:

• внутренние‏ ‎цели ‎включают‏ ‎прозрачное ‎документирование‏ ‎и ‎демонстрацию‏ ‎приверженности‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности. ‎Это ‎может ‎укрепить‏ ‎корпоративную ‎культуру‏ ‎и‏ ‎повысить ‎осведомлённость ‎сотрудников;
• во‏ ‎внешнем ‎аспекте‏ ‎наличие ‎сертифицированной ‎СУИБ ‎может‏ ‎служить‏ ‎важным ‎сигналом‏ ‎качества ‎и‏ ‎надёжности ‎для ‎клиентов, ‎партнёров ‎и‏ ‎иных‏ ‎заинтересованных ‎сторон.‏ ‎Таким ‎образом,‏ ‎это ‎может ‎обеспечить ‎организации ‎определённое‏ ‎конкурентное‏ ‎преимущество.‏ ‎Сертификат, ‎который‏ ‎покупают ‎за‏ ‎три ‎дня,‏ ‎не‏ ‎является ‎тем‏ ‎сертификатом, ‎который ‎позволит ‎компании ‎гордиться‏ ‎своей ‎СУИБ;
• кроме‏ ‎того,‏ ‎органы ‎государственной ‎власти‏ ‎могут ‎применять‏ ‎механизмы ‎сертификации ‎СУИБ ‎для‏ ‎повышения‏ ‎уровня ‎доверия‏ ‎граждан ‎к‏ ‎безопасности ‎электронных ‎государственных ‎услуг ‎и‏ ‎инфраструктуры.

Ещё‏ ‎одним ‎фактором,‏ ‎стимулирующим ‎компании‏ ‎к ‎сертификации ‎СУИБ, ‎является ‎необходимость‏ ‎соответствия‏ ‎нормативным‏ ‎требованиям ‎и‏ ‎законодательству ‎в‏ ‎области ‎информационной‏ ‎безопасности.

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27001 ‎(и ‎его ‎российский ‎аналог)‏ ‎является ‎основополагающим‏ ‎в‏ ‎области ‎сертификации ‎СУИБ.‏ ‎Процедура ‎сертификации‏ ‎предусматривает ‎проверку ‎и ‎аудит‏ ‎независимыми‏ ‎компетентными ‎органами.

Для‏ ‎обеспечения ‎повторяемости‏ ‎и ‎воспроизводимости ‎результатов ‎сертификационных ‎аудитов‏ ‎необходимы‏ ‎опытные ‎и‏ ‎квалифицированные ‎аудиторы.‏ ‎Следовательно, ‎аудиторы ‎должны ‎продемонстрировать ‎наличие‏ ‎требуемых‏ ‎профессиональных‏ ‎знаний, ‎а‏ ‎также ‎знание‏ ‎и ‎соблюдение‏ ‎установленных‏ ‎правил ‎и‏ ‎процедур. ‎Данный ‎процесс ‎основывается ‎на‏ ‎дополнительных ‎стандартах‏ ‎ISO,‏ ‎призванных ‎гарантировать ‎высокий‏ ‎уровень ‎качества‏ ‎и ‎прослеживаемость ‎сертификатов.

Общепринятая ‎защита‏ ‎ИТ‏ ‎— ‎инфраструктуры‏ ‎и ‎информации‏ ‎в ‎целом ‎базируется ‎на ‎требованиях‏ ‎ISO/IEC‏ ‎27001. ‎Следовательно,‏ ‎внедрение ‎комплекса‏ ‎мер ‎информационной ‎безопасности ‎в ‎соответствии‏ ‎с‏ ‎этим‏ ‎стандартом ‎также‏ ‎может ‎быть‏ ‎сертифицировано ‎в‏ ‎России‏ ‎посредством ‎создания‏ ‎СУИБ. ‎При ‎этом ‎качественные ‎органы‏ ‎по ‎сертификации‏ ‎информационной‏ ‎безопасности ‎не ‎просто‏ ‎проверяют, ‎но‏ ‎и ‎помогают ‎интегрировать ‎требования‏ ‎ISO/IEC‏ ‎27001 ‎в‏ ‎компании.

Выдача ‎сертификата‏ ‎ISO ‎27001 ‎по ‎основам ‎информационной‏ ‎безопасности‏ ‎предполагает ‎проведение‏ ‎аудита ‎внешним‏ ‎аудитором, ‎имеющим ‎соответствующую ‎аккредитацию. ‎По‏ ‎результатам‏ ‎аудита‏ ‎формируется ‎отчёт,‏ ‎представляемый ‎в‏ ‎орган ‎по‏ ‎сертификации‏ ‎для ‎принятия‏ ‎решения ‎о ‎выдаче ‎сертификата ‎сроком‏ ‎на ‎три‏ ‎года.

ООО‏ ‎«ЦифраБез» ‎оказывает ‎помощь‏ ‎и ‎поддержку‏ ‎для ‎создания ‎СУИБ ‎в‏ ‎компании,‏ ‎а ‎также‏ ‎подготовит ‎её‏ ‎к ‎сертификации. ‎Однако ‎на ‎уровне‏ ‎ОИБВОП‏ ‎до ‎«Официального»‏ ‎мы ‎не‏ ‎рекомендуем ‎проводить ‎сертификацию, ‎так ‎как‏ ‎это‏ ‎не‏ ‎является ‎целесообразным.‏ ‎Сертификацию ‎необходимо‏ ‎проводить ‎выше‏ ‎уровня‏ ‎ОИБВОП ‎«Официальный»,‏ ‎но ‎это ‎не ‎отменяет ‎само‏ ‎создание ‎СУИБ‏ ‎и‏ ‎внедрение ‎мер ‎защиты‏ ‎для ‎исполнения‏ ‎требований ‎выбранного ‎уровня ‎ОИБВОП‏ ‎и‏ ‎ниже.

Внимание! ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на ‎основании ‎статьи ‎1259‏ ‎ГК‏ ‎РФ.

Третьи ‎лица‏ ‎не ‎вправе‏ ‎использовать ‎с ‎целью ‎создания ‎каких-либо‏ ‎средств‏ ‎обработки‏ ‎представленной ‎информации‏ ‎и ‎размещённых‏ ‎на ‎данной‏ ‎странице‏ ‎результатов ‎интеллектуальной‏ ‎деятельности ‎каким-либо ‎образом ‎без ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез».‏ ‎Распространение ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на‏ ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое ‎использование ‎осуществляется ‎без‏ ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и ‎влечёт ‎ответственность, ‎установленную‏ ‎действующим‏ ‎законодательством‏ ‎РФ.

Концепция ‎информационной‏ ‎безопасности

Контроль ‎и ‎мониторинг ‎концепции

Для ‎поддержания‏ ‎надлежащего ‎уровня‏ ‎ОИБВОП‏ ‎необходимо, ‎во-первых, ‎корректно‏ ‎применять ‎соответствующие‏ ‎меры ‎защиты, ‎а ‎во-вторых,‏ ‎постоянно‏ ‎актуализировать ‎концепцию.‏ ‎Кроме ‎того,‏ ‎важно ‎своевременно ‎обнаруживать ‎инциденты, ‎связанные‏ ‎с‏ ‎нарушением ‎информационной‏ ‎безопасности, ‎и‏ ‎оперативно, ‎адекватно ‎на ‎них ‎реагировать.‏ ‎Регулярная‏ ‎оценка‏ ‎эффективности ‎концепции‏ ‎является ‎необходимым‏ ‎условием. ‎Анализ‏ ‎результативности‏ ‎и ‎эффективности‏ ‎реализованных ‎мер ‎должен ‎осуществляться ‎в‏ ‎рамках ‎внутренних‏ ‎аудитов.‏ ‎Если ‎недостаток ‎ресурсов‏ ‎не ‎позволяет‏ ‎провести ‎такие ‎аудиты ‎силами‏ ‎опытных‏ ‎внутренних ‎сотрудников,‏ ‎следует ‎привлекать‏ ‎внешних ‎экспертов ‎для ‎проведения ‎контрольных‏ ‎мероприятий‏ ‎и ‎оценки‏ ‎метрик.

В ‎связи‏ ‎с ‎тем, ‎что ‎объём ‎трудозатрат‏ ‎при‏ ‎проведении‏ ‎аудитов ‎зависит‏ ‎от ‎сложности‏ ‎и ‎масштабов‏ ‎информационной‏ ‎инфраструктуры, ‎предъявляемые‏ ‎требования ‎к ‎проверкам ‎для ‎малых‏ ‎компаний ‎существенно‏ ‎ниже‏ ‎по ‎сравнению ‎с‏ ‎крупными ‎и‏ ‎сложными ‎организациями, ‎что, ‎как‏ ‎правило,‏ ‎значительно ‎облегчает‏ ‎работу ‎по‏ ‎проведению ‎аудита. ‎Для ‎них ‎могут‏ ‎быть‏ ‎достаточными ‎такие‏ ‎мероприятия, ‎как‏ ‎ежегодный ‎технический ‎контроль ‎ИТ-систем, ‎проверка‏ ‎имеющейся‏ ‎документации‏ ‎с ‎целью‏ ‎оценки ‎её‏ ‎актуальности, ‎а‏ ‎также‏ ‎проведение ‎рабочего‏ ‎совещания ‎для ‎обсуждения ‎проблем ‎и‏ ‎накопленного ‎опыта‏ ‎в‏ ‎рамках ‎реализации ‎концепции‏ ‎информационной ‎безопасности.

В‏ ‎рамках ‎рассматриваемого ‎контекста ‎необходимо‏ ‎осуществление‏ ‎следующих ‎мероприятий:

• Реагирование‏ ‎на ‎изменения‏ ‎в ‎текущей ‎операционной ‎деятельности:

1. При ‎возникновении‏ ‎изменений‏ ‎в ‎текущей‏ ‎операционной ‎деятельности‏ ‎(например, ‎внедрение ‎новых ‎бизнес-процессов, ‎организационные‏ ‎изменения‏ ‎или‏ ‎ввод ‎в‏ ‎эксплуатацию ‎новых‏ ‎информационных ‎систем)‏ ‎требуется‏ ‎актуализация ‎концепции‏ ‎информационной ‎безопасности, ‎а ‎также ‎сопутствующей‏ ‎документации ‎(например,‏ ‎матрица‏ ‎ответственности ‎или ‎перечень‏ ‎информационных ‎систем,‏ ‎техническое ‎описание ‎либо ‎паспорт).

Данный‏ ‎процесс‏ ‎предполагает ‎регулярный‏ ‎пересмотр ‎и‏ ‎обновление ‎всех ‎необходимых ‎документов ‎по‏ ‎информационной‏ ‎безопасности ‎с‏ ‎целью ‎обеспечения‏ ‎их ‎соответствия ‎актуальным ‎изменениям ‎в‏ ‎бизнес-процессах,‏ ‎организационной‏ ‎структуре ‎и‏ ‎информационно-технологическом ‎ландшафте.‏ ‎Крайне ‎важно‏ ‎поддерживать‏ ‎согласованность ‎между‏ ‎концепцией ‎информационной ‎безопасности ‎и ‎фактическим‏ ‎положением ‎дел‏ ‎в‏ ‎компании.

• Выявление ‎инцидентов ‎информационной‏ ‎безопасности:

1. Для ‎предотвращения,‏ ‎минимизации ‎последствий ‎или ‎своевременного‏ ‎обнаружения‏ ‎ошибок ‎в‏ ‎обработке ‎информации,‏ ‎которые ‎могут ‎нарушить ‎конфиденциальность, ‎целостность‏ ‎или‏ ‎доступность ‎данных,‏ ‎а ‎также‏ ‎выявления ‎критически ‎важных ‎ошибок ‎персонала‏ ‎и‏ ‎инцидентов‏ ‎безопасности, ‎необходимо‏ ‎реализовать ‎определённые‏ ‎требования. ‎Порядок‏ ‎обработки‏ ‎ошибок ‎должен‏ ‎быть ‎задокументирован. ‎Это ‎предполагает ‎фиксацию‏ ‎предпринятых ‎действий,‏ ‎их‏ ‎последствий ‎и ‎возможных‏ ‎дальнейших ‎шагов.‏ ‎Для ‎раннего ‎выявления ‎проблем‏ ‎информационной‏ ‎безопасности ‎могут‏ ‎применяться ‎такие‏ ‎средства, ‎как ‎мониторинг ‎систем ‎и‏ ‎сетей,‏ ‎проверки ‎целостности,‏ ‎регистрация ‎доступа,‏ ‎действий ‎или ‎ошибок, ‎контроль ‎физического‏ ‎доступа‏ ‎в‏ ‎здания ‎и‏ ‎помещения, ‎а‏ ‎также ‎различные‏ ‎датчики‏ ‎(пожарные, ‎водные,‏ ‎климатические);
2. Записи ‎и ‎протоколы ‎мероприятий ‎по‏ ‎обнаружению ‎инцидентов‏ ‎подлежат‏ ‎регулярному ‎анализу.

• Проверка ‎соблюдения‏ ‎требований:

1. Необходимо ‎осуществлять‏ ‎регулярную ‎проверку ‎с ‎целью‏ ‎подтверждения‏ ‎того, ‎что‏ ‎все ‎предусмотренные‏ ‎в ‎концепции ‎информационной ‎безопасности ‎меры‏ ‎защиты‏ ‎в ‎полной‏ ‎мере ‎применяются‏ ‎и ‎реализуются ‎для ‎исполнения ‎требований.‏ ‎При‏ ‎этом‏ ‎следует ‎контролировать‏ ‎соблюдение ‎как‏ ‎технических ‎средств‏ ‎защиты‏ ‎информации, ‎так‏ ‎и ‎организационных ‎регламентов ‎(документов). ‎Также‏ ‎должна ‎проводиться‏ ‎оценка‏ ‎наличия ‎необходимых ‎ресурсов‏ ‎для ‎надлежащей‏ ‎реализации ‎требований, ‎том ‎числе‏ ‎по‏ ‎выполнению ‎обязательств‏ ‎всеми ‎сотрудниками‏ ‎и ‎внешними ‎лицами, ‎которым ‎назначены‏ ‎определённые‏ ‎роли ‎по‏ ‎претворению ‎требований‏ ‎в ‎жизнь.

• Оценка ‎пригодности ‎и ‎эффективности‏ ‎мер‏ ‎защиты:

1. Регулярная‏ ‎ревизия ‎соответствия‏ ‎выбранных ‎мер‏ ‎защиты ‎для‏ ‎реализации‏ ‎требований ‎установленным‏ ‎целям ‎имеет ‎большое ‎значение. ‎Для‏ ‎оценки ‎их‏ ‎пригодности‏ ‎могут ‎быть ‎использованы‏ ‎различные ‎методы,‏ ‎такие ‎как ‎анализ ‎прошлых‏ ‎инцидентов‏ ‎информационной ‎безопасности,‏ ‎опросы ‎персонала‏ ‎или ‎проведение ‎тестов ‎на ‎проникновение;
2. Важно‏ ‎отслеживать‏ ‎изменения ‎в‏ ‎контексте ‎бизнес-процессов‏ ‎и ‎функциональных ‎задач ‎компании. ‎Например,‏ ‎могут‏ ‎измениться‏ ‎технические ‎или‏ ‎нормативные ‎условия.‏ ‎Ответственные ‎лица‏ ‎за‏ ‎информационную ‎безопасность‏ ‎должны ‎обращаться ‎к ‎внешним ‎источникам‏ ‎знаний, ‎участвовать‏ ‎в‏ ‎профильных ‎конференциях, ‎а‏ ‎также ‎изучать‏ ‎соответствующие ‎стандарты, ‎специализированную ‎литературу‏ ‎и‏ ‎интернет-ресурсы. ‎При‏ ‎отсутствии ‎внутренних‏ ‎компетенций ‎или ‎времени ‎стоит ‎привлекать‏ ‎внешних‏ ‎экспертов.

В ‎этом‏ ‎контексте ‎также‏ ‎целесообразно ‎критически ‎оценивать ‎эффективность ‎применяемых‏ ‎мер‏ ‎защиты‏ ‎и ‎рассматривать‏ ‎возможность ‎достижения‏ ‎целей ‎информационной‏ ‎безопасности‏ ‎более ‎экономичными‏ ‎способами, ‎которые ‎позволяют ‎исполнить ‎требование‏ ‎либо ‎признать‏ ‎его‏ ‎неприменимым ‎и ‎перекрыть‏ ‎другим ‎требованием.‏ ‎При ‎этом ‎следует ‎анализировать‏ ‎практичность‏ ‎и ‎результативность‏ ‎существующих ‎процессов‏ ‎и ‎организационных ‎правил, ‎что ‎зачастую‏ ‎создаёт‏ ‎возможности ‎для‏ ‎необходимых ‎организационных‏ ‎улучшений ‎и ‎совершенствования ‎процессов.

• Оценка ‎высшего‏ ‎руководства:

1. Высшее‏ ‎руководство‏ ‎должно ‎регулярно‏ ‎получать ‎соответствующие‏ ‎результаты ‎проверок‏ ‎от‏ ‎ответственного ‎лица‏ ‎за ‎информационную ‎безопасность ‎в ‎организации.‏ ‎При ‎этом‏ ‎необходимо‏ ‎отражать ‎выявленные ‎проблемы,‏ ‎достигнутые ‎успехи‏ ‎и ‎возможные ‎пути ‎улучшения;
2. Отчёты‏ ‎для‏ ‎руководства ‎должны‏ ‎содержать ‎всю‏ ‎необходимую ‎для ‎высшего ‎руководства ‎информацию‏ ‎с‏ ‎целью ‎эффективного‏ ‎управления ‎процессом‏ ‎обеспечения ‎информационной ‎безопасности, ‎с ‎минимальным‏ ‎количеством‏ ‎технической‏ ‎и ‎профессиональной‏ ‎информации.

Отчёты ‎должны‏ ‎включать ‎в‏ ‎себя:

1. Обзор‏ ‎текущего ‎состояния‏ ‎процесса ‎обеспечения ‎информационной ‎безопасности;
2. Оценку ‎последующих‏ ‎корректирующих ‎мероприятий‏ ‎по‏ ‎результатам ‎предыдущих ‎обзоров‏ ‎руководства;
3. Обратную ‎связь‏ ‎от ‎клиентов ‎и ‎сотрудников;
4. Обзор‏ ‎вновь‏ ‎выявленных ‎угроз‏ ‎и ‎уязвимостей‏ ‎информационной ‎безопасности.

Высшее ‎руководство ‎рассматривает ‎представленные‏ ‎отчёты‏ ‎и ‎принимает‏ ‎необходимые ‎решения,‏ ‎такие ‎как ‎совершенствование ‎процесса ‎обеспечения‏ ‎информационной‏ ‎безопасности,‏ ‎выделение ‎требуемых‏ ‎ресурсов, ‎а‏ ‎также ‎утверждение‏ ‎результатов‏ ‎анализа ‎информационной‏ ‎безопасности ‎(например, ‎снижение ‎или ‎принятие‏ ‎рисков).

Внимание! ‎Материал‏ ‎охраняется‏ ‎авторским ‎правом ‎на‏ ‎основании ‎статьи‏ ‎1259 ‎ГК ‎РФ.

Третьи ‎лица‏ ‎не‏ ‎вправе ‎использовать‏ ‎с ‎целью‏ ‎создания ‎каких-либо ‎средств ‎обработки ‎представленной‏ ‎информации‏ ‎и ‎размещённых‏ ‎на ‎данной‏ ‎странице ‎результатов ‎интеллектуальной ‎деятельности ‎каким-либо‏ ‎образом‏ ‎без‏ ‎письменного ‎согласия‏ ‎ООО ‎«ЦифраБез».‏ ‎Распространение ‎настоящей‏ ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной‏ ‎деятельности, ‎если ‎такое‏ ‎использование ‎осуществляется‏ ‎без ‎письменного ‎согласия ‎ООО‏ ‎«ЦифраБез»,‏ ‎является ‎незаконным‏ ‎и ‎влечёт‏ ‎ответственность, ‎установленную ‎действующим ‎законодательством ‎РФ.

Концепция ‎информационной‏ ‎безопасности

Разработка ‎концепции

Чтобы ‎достичь ‎целей ‎информационной‏ ‎безопасности ‎и‏ ‎желаемого‏ ‎уровня ‎ОИБВОП, ‎необходимо,‏ ‎прежде ‎всего,‏ ‎исследовать ‎взаимосвязь ‎между ‎выполнением‏ ‎задач,‏ ‎бизнес-процессов ‎и‏ ‎такими ‎свойствами‏ ‎информации, ‎как: ‎конфиденциальность, ‎целостность ‎и‏ ‎доступность.‏ ‎Кроме ‎того,‏ ‎следует ‎рассмотреть‏ ‎возможные ‎источники ‎угроз ‎(стихийные ‎бедствия,‏ ‎организационные‏ ‎недостатки,‏ ‎человеческий ‎фактор‏ ‎или ‎кибератаки),‏ ‎которые ‎могут‏ ‎повлиять‏ ‎на ‎эти‏ ‎бизнес-процессы.

Далее ‎требуется ‎принять ‎решение ‎относительно‏ ‎методов ‎управления‏ ‎выявленными‏ ‎рисками. ‎Для ‎этого‏ ‎необходимо ‎последовательно‏ ‎выполнить ‎следующие ‎шаги:

• идентификация ‎наиболее‏ ‎критичных,‏ ‎с ‎точки‏ ‎зрения ‎информационной‏ ‎безопасности, ‎информационных ‎активов ‎и ‎бизнес-процессов;
• определение‏ ‎негативных‏ ‎последствий, ‎которые‏ ‎могут ‎привести‏ ‎к ‎воздействию ‎на ‎информационные ‎активы‏ ‎и‏ ‎бизнес-процессы;
• оценка‏ ‎возможных ‎угроз‏ ‎и ‎связанных‏ ‎с ‎ними‏ ‎рисков‏ ‎для ‎выявленных‏ ‎критических ‎направлений ‎деятельности ‎компании;
• разработка ‎и‏ ‎внедрение ‎соответствующих‏ ‎мер‏ ‎защиты ‎и ‎контрмер‏ ‎для ‎снижения‏ ‎или ‎устранения ‎определённых ‎рисков;
• регулярный‏ ‎пересмотр‏ ‎и ‎актуализация‏ ‎принятых ‎мер‏ ‎в ‎соответствии ‎с ‎изменяющимися ‎условиями.

Только‏ ‎комплексный,‏ ‎систематический ‎подход‏ ‎к ‎управлению‏ ‎рисками ‎информационной ‎безопасности ‎позволит ‎достичь‏ ‎требуемого‏ ‎уровня‏ ‎ОИБВОП ‎и‏ ‎грамотно ‎подходить‏ ‎к ‎расходу‏ ‎имеющихся‏ ‎ресурсов.

Рекомендуется ‎изначально‏ ‎брать ‎самый ‎низкий ‎уровень ‎ОИБВОП‏ ‎для ‎его‏ ‎внедрения,‏ ‎повышая ‎его ‎по‏ ‎мере ‎роста‏ ‎уровней ‎зрелости ‎мер ‎защиты.‏ ‎Средний‏ ‎срок ‎достижения‏ ‎уровня ‎ОИБВОП‏ ‎составляет ‎полтора ‎года, ‎максимальный ‎—‏ ‎три.‏ ‎Этот ‎срок‏ ‎необходимо ‎прописывать‏ ‎в ‎Политике ‎по ‎информационной ‎безопасности‏ ‎компании.

Выбор‏ ‎метода‏ ‎анализа ‎рисков

Необходимо‏ ‎осуществлять ‎анализ‏ ‎рисков, ‎связанных‏ ‎с‏ ‎возможным ‎ущербом‏ ‎для ‎бизнес-процессов ‎и ‎деятельности ‎компании‏ ‎в ‎результате‏ ‎инцидентов‏ ‎информационной ‎безопасности ‎и‏ ‎реализации ‎вероятных‏ ‎угроз. ‎Соответственно, ‎методология ‎анализа‏ ‎рисков‏ ‎является ‎неотъемлемым‏ ‎элементом ‎любой‏ ‎СУИБ. ‎Для ‎определения ‎уровня ‎риска‏ ‎требуется‏ ‎выявление ‎потенциальных‏ ‎угроз, ‎оценка‏ ‎их ‎разрушительного ‎потенциала ‎и ‎вероятности‏ ‎реализации,‏ ‎а‏ ‎также ‎сопоставление‏ ‎полученных ‎данных‏ ‎с ‎допустимым‏ ‎для‏ ‎компании ‎уровнем‏ ‎принятия ‎рисков. ‎В ‎зависимости ‎от‏ ‎специфики ‎применения,‏ ‎организационных‏ ‎условий, ‎отраслевой ‎принадлежности,‏ ‎а ‎также‏ ‎целевого ‎уровня ‎ОИБВОП, ‎могут‏ ‎использоваться‏ ‎различные ‎методики‏ ‎анализа ‎рисков.‏ ‎Компания ‎должна ‎выбрать ‎методологию, ‎соответствующую‏ ‎масштабу‏ ‎и ‎её‏ ‎характеристикам. ‎Выбор‏ ‎используемого ‎метода ‎анализа ‎рисков ‎оказывает‏ ‎существенное‏ ‎влияние‏ ‎на ‎трудоёмкость‏ ‎разработки ‎концепции‏ ‎информационной ‎безопасности‏ ‎(дорожной‏ ‎карты ‎по‏ ‎защите ‎компании ‎от ‎угроз ‎информационной‏ ‎безопасности ‎в‏ ‎рамках‏ ‎набора ‎документов).

Компания ‎должна‏ ‎определить ‎какие‏ ‎риски ‎она ‎будет ‎обрабатывать‏ ‎в‏ ‎первую ‎очередь,‏ ‎а ‎какие‏ ‎можно ‎отложить ‎или ‎полностью ‎пропустить.‏ ‎Риски‏ ‎которые ‎компания‏ ‎пропускает, ‎считаются‏ ‎принятыми ‎рисками, ‎с ‎которыми ‎компания‏ ‎согласилась.‏ ‎Риски‏ ‎которые ‎нужно‏ ‎обработать, ‎должны‏ ‎быть ‎включены‏ ‎в‏ ‎реестр ‎актуальных‏ ‎рисков ‎компании ‎по ‎информационной ‎безопасности.

Рекомендуется‏ ‎обрабатывать ‎в‏ ‎первую‏ ‎очередь ‎наивысшие ‎риски‏ ‎и ‎по‏ ‎мере ‎выделения ‎ресурсов, ‎опускаться‏ ‎к‏ ‎наиболее ‎низким‏ ‎рискам. ‎Поэтому‏ ‎первостепенным ‎значением ‎для ‎определения ‎мер‏ ‎защиты‏ ‎и ‎проведения‏ ‎защитных ‎мероприятий,‏ ‎компания ‎должна ‎определить ‎свои ‎риски.

Различные‏ ‎методы‏ ‎оценки‏ ‎рисков ‎описаны‏ ‎в ‎стандартах‏ ‎ISO/IEC ‎31010‏ ‎и‏ ‎ISO/IEC ‎27005‏ ‎и ‎их ‎российских ‎аналогах. ‎Для‏ ‎«продвинутых» ‎компаний‏ ‎рекомендуется‏ ‎добавить ‎к ‎этим‏ ‎стандартам ‎ещё‏ ‎ISO/TS ‎22317, ‎который ‎позволяет‏ ‎провести‏ ‎оценку, ‎привязав‏ ‎риски ‎к‏ ‎непрерывности ‎деятельности ‎компании. ‎В ‎планах‏ ‎ООО‏ ‎«ЦифраБез» ‎разработать‏ ‎рекомендации ‎по‏ ‎анализу ‎рисков ‎и ‎оценки ‎рисков,‏ ‎а‏ ‎также‏ ‎по ‎непрерывности‏ ‎бизнес-деятельности.

Реализация ‎концепции

После‏ ‎выбора ‎мер‏ ‎защиты‏ ‎следует ‎разработать‏ ‎план ‎их ‎реализации ‎и ‎строго‏ ‎следовать ‎ему.‏ ‎Ключевыми‏ ‎этапами ‎данного ‎процесса‏ ‎являются:

• обучение ‎персонала.‏ ‎Проведение ‎необходимого ‎обучения ‎сотрудников‏ ‎для‏ ‎корректного ‎применения‏ ‎внедряемых ‎мер‏ ‎защиты;
• соблюдение ‎указанной ‎последовательности ‎действий ‎позволит‏ ‎обеспечить‏ ‎качественную ‎и‏ ‎планомерную ‎реализацию‏ ‎мер ‎защиты;
• назначение ‎ответственных ‎лиц ‎и‏ ‎распределение‏ ‎обязанностей.‏ ‎Необходимо ‎закрепить‏ ‎за ‎конкретными‏ ‎сотрудниками ‎выполнение‏ ‎отдельных‏ ‎задач ‎по‏ ‎реализации, ‎чётко ‎определив ‎их ‎функции‏ ‎и ‎полномочия;
• обеспечение‏ ‎требуемых‏ ‎ресурсов. ‎Следует ‎предусмотреть‏ ‎и ‎выделить‏ ‎все ‎необходимые ‎ресурсы: ‎трудовые,‏ ‎материальные,‏ ‎финансовые ‎и‏ ‎прочие;
• установление ‎сроков‏ ‎и ‎графика ‎выполнения. ‎Разработка ‎детального‏ ‎календарного‏ ‎плана ‎реализации‏ ‎мероприятий ‎с‏ ‎фиксацией ‎контрольных ‎точек;
• мониторинг ‎и ‎контроль‏ ‎над‏ ‎ходом‏ ‎выполнения. ‎Регулярное‏ ‎отслеживание ‎реализации‏ ‎для ‎своевременного‏ ‎выявления‏ ‎и ‎устранения‏ ‎возникающих ‎проблем;
• документирование ‎процесса ‎внедрения. ‎Ведение‏ ‎подробной ‎документации‏ ‎по‏ ‎принимаемым ‎решениям, ‎возникающим‏ ‎сложностям ‎и‏ ‎способам ‎их ‎преодоления ‎(наполнение‏ ‎внутренней‏ ‎базы ‎знаний).

Соблюдение‏ ‎указанной ‎последовательности‏ ‎действий ‎позволит ‎обеспечить ‎качественную ‎и‏ ‎планомерную‏ ‎реализацию ‎мер‏ ‎защиты ‎согласно‏ ‎требованиям ‎настоящей ‎методологии.

План ‎реализации ‎мер‏ ‎защиты

Реализационный‏ ‎план‏ ‎должен ‎охватывать‏ ‎следующие ‎ключевые‏ ‎направления:

• определение ‎приоритетных‏ ‎направлений‏ ‎и ‎последовательности‏ ‎внедрения ‎мероприятий;
• закрепление ‎ответственности ‎за ‎инициацию‏ ‎реализации;
• обеспечение ‎необходимыми‏ ‎ресурсами‏ ‎со ‎стороны ‎руководства‏ ‎компании;
• детальное ‎планирование‏ ‎реализации ‎отдельных ‎мер ‎защиты‏ ‎(установление‏ ‎сроков ‎и‏ ‎бюджетов, ‎назначение‏ ‎ответственных ‎за ‎внедрение, ‎а ‎также‏ ‎за‏ ‎контроль ‎исполнения‏ ‎и ‎оценку‏ ‎эффективности).

Таким ‎образом, ‎план ‎реализации ‎должен‏ ‎чётко‏ ‎распределять‏ ‎обязанности ‎и‏ ‎временные ‎рамки,‏ ‎при ‎этом‏ ‎предусматривая‏ ‎адекватное ‎ресурсное‏ ‎обеспечение ‎со ‎стороны ‎руководящего ‎звена‏ ‎для ‎успешного‏ ‎воплощения‏ ‎концепции ‎информационной ‎безопасности‏ ‎в ‎жизнь.‏ ‎Крайне ‎важно ‎не ‎только‏ ‎определить‏ ‎перечень ‎необходимых‏ ‎мероприятий, ‎но‏ ‎и ‎закрепить ‎ответственность ‎за ‎их‏ ‎практическое‏ ‎внедрение ‎и‏ ‎последующий ‎мониторинг‏ ‎достигаемых ‎результатов.

Внедрение ‎мер ‎защиты

Запланированные ‎меры‏ ‎защиты‏ ‎должны‏ ‎быть ‎внедрены‏ ‎в ‎соответствии‏ ‎с ‎планом‏ ‎реализации.‏ ‎При ‎этом‏ ‎информационную ‎безопасность ‎необходимо ‎интегрировать ‎в‏ ‎общеорганизационные ‎и‏ ‎рабочие‏ ‎процессы.

Если ‎в ‎ходе‏ ‎внедрения ‎возникают‏ ‎трудности, ‎следует ‎незамедлительно ‎информировать‏ ‎об‏ ‎этом ‎руководящее‏ ‎звено, ‎чтобы‏ ‎можно ‎было ‎принять ‎решение ‎для‏ ‎их‏ ‎устранения. ‎В‏ ‎качестве ‎типичных‏ ‎решений ‎могут ‎рассматриваться ‎как ‎модификация‏ ‎коммуникационных‏ ‎каналов‏ ‎или ‎распределения‏ ‎прав ‎доступа,‏ ‎так ‎и‏ ‎адаптация‏ ‎технологических ‎процедур.

Управление‏ ‎и ‎контроль

Необходимо ‎регулярно ‎оценивать ‎степень‏ ‎достижения ‎установленных‏ ‎целевых‏ ‎показателей. ‎В ‎случае‏ ‎если ‎достижение‏ ‎целевых ‎ориентиров ‎представляется ‎невозможным,‏ ‎данная‏ ‎информация ‎должна‏ ‎быть ‎доведена‏ ‎до ‎сведения ‎руководящего ‎звена, ‎отвечающего‏ ‎за‏ ‎вопросы ‎информационной‏ ‎безопасности, ‎с‏ ‎целью ‎своевременного ‎принятия ‎необходимых ‎мер‏ ‎реагирования.

Внимание!‏ ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на‏ ‎основании ‎статьи‏ ‎1259‏ ‎ГК ‎РФ.

Третьи‏ ‎лица ‎не ‎вправе ‎использовать ‎с‏ ‎целью ‎создания‏ ‎каких-либо‏ ‎средств ‎обработки ‎представленной‏ ‎информации ‎и‏ ‎размещённых ‎на ‎данной ‎странице‏ ‎результатов‏ ‎интеллектуальной ‎деятельности‏ ‎каким-либо ‎образом‏ ‎без ‎письменного ‎согласия ‎ООО ‎«ЦифраБез».‏ ‎Распространение‏ ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на ‎данную‏ ‎страницу.

Использование‏ ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое‏ ‎использование ‎осуществляется‏ ‎без‏ ‎письменного ‎согласия‏ ‎ООО ‎«ЦифраБез», ‎является ‎незаконным ‎и‏ ‎влечёт ‎ответственность,‏ ‎установленную‏ ‎действующим ‎законодательством ‎РФ.

Внедрение ‎политики‏ ‎информационной ‎безопасности

Для ‎достижения ‎установленных ‎целевых‏ ‎показателей ‎безопасности‏ ‎необходимо‏ ‎в ‎первую ‎очередь,‏ ‎разработать ‎концепцию‏ ‎обеспечения ‎информационной ‎безопасности ‎(свод‏ ‎правил‏ ‎и ‎документов).‏ ‎Ниже ‎подробно‏ ‎излагается, ‎каким ‎образом ‎планируется, ‎внедряется‏ ‎и‏ ‎поддерживается/совершенствуется ‎уровень‏ ‎ОИБВОП. ‎Результаты‏ ‎проверки ‎реализованных ‎требований ‎впоследствии ‎включаются‏ ‎в‏ ‎оценку‏ ‎эффективности ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности, ‎которая‏ ‎проводится‏ ‎на ‎уровне‏ ‎руководства ‎компании.

Поддержание ‎уровня ‎ОИБВОП

Обеспечение ‎информационной‏ ‎безопасности ‎представляет‏ ‎собой‏ ‎непрерывный ‎процесс, ‎а‏ ‎не ‎ограниченный‏ ‎во ‎времени. ‎Регулярная ‎оценка‏ ‎соответствия‏ ‎и ‎эффективности‏ ‎всех ‎элементов‏ ‎системы ‎управления ‎информационной ‎безопасностью ‎является‏ ‎ключевым‏ ‎аспектом ‎данного‏ ‎процесса.

Систематические ‎внутренние‏ ‎аудиты ‎позволяют ‎не ‎только ‎оценивать‏ ‎уровни‏ ‎зрелости‏ ‎реализованных ‎требований,‏ ‎но ‎и‏ ‎накапливать ‎опыт‏ ‎их‏ ‎практического ‎применения.‏ ‎Помимо ‎аудитов, ‎важную ‎роль ‎играют‏ ‎учения ‎и‏ ‎мероприятия‏ ‎по ‎повышению ‎осведомлённости‏ ‎персонала, ‎направленные‏ ‎на ‎верификацию ‎функционирования ‎установленных‏ ‎процедур‏ ‎и ‎моделей‏ ‎поведения ‎в‏ ‎критических ‎ситуациях. ‎Выявленные ‎в ‎ходе‏ ‎таких‏ ‎мероприятий ‎недостатки‏ ‎должны ‎инициировать‏ ‎соответствующие ‎корректирующие ‎действия ‎в ‎системе‏ ‎управления‏ ‎информационной‏ ‎безопасностью ‎компании.

Ключевым‏ ‎элементом ‎непрерывного‏ ‎совершенствования ‎информационной‏ ‎безопасности‏ ‎является ‎своевременная‏ ‎идентификация ‎перспективных ‎тенденций ‎в ‎используемых‏ ‎технологиях, ‎бизнес-процессах‏ ‎и‏ ‎структурах. ‎Это ‎позволяет‏ ‎заблаговременно ‎выявлять‏ ‎потенциальные ‎угрозы ‎и ‎разрабатывать‏ ‎упреждающие‏ ‎меры ‎по‏ ‎их ‎нейтрализации.‏ ‎При ‎этом ‎уполномоченный ‎по ‎информационной‏ ‎безопасности‏ ‎должен ‎играть‏ ‎проактивную ‎роль,‏ ‎активно ‎участвуя ‎в ‎процессах ‎управления‏ ‎изменениями‏ ‎в‏ ‎компании, ‎даже‏ ‎если ‎это‏ ‎напрямую ‎не‏ ‎предусмотрено‏ ‎соответствующими ‎внутренними‏ ‎регламентами.

При ‎проведении ‎аудитов ‎информационной ‎безопасности‏ ‎следует ‎избегать‏ ‎ситуаций,‏ ‎когда ‎аудит ‎осуществляется‏ ‎сотрудниками, ‎участвовавшими‏ ‎в ‎разработке ‎или ‎планировании‏ ‎соответствующих‏ ‎мер ‎защиты‏ ‎для ‎исполнения‏ ‎требований. ‎Данное ‎условие ‎обусловлено ‎сложностью‏ ‎для‏ ‎человека ‎объективно‏ ‎оценивать ‎собственную‏ ‎работу. ‎В ‎зависимости ‎от ‎масштабов‏ ‎компании‏ ‎может‏ ‎быть ‎целесообразным‏ ‎привлечение ‎внешних‏ ‎аудиторов ‎для‏ ‎проведения‏ ‎проверок, ‎что‏ ‎позволит ‎преодолеть ‎организационную ‎ангажированность ‎и‏ ‎предвзятость.

Поддержание ‎надлежащего‏ ‎уровня‏ ‎ОИБВОП ‎является ‎актуальной‏ ‎задачей ‎как‏ ‎для ‎крупных, ‎так ‎и‏ ‎для‏ ‎малых ‎и‏ ‎средних ‎компаний.‏ ‎Несмотря ‎на ‎то ‎что ‎объём‏ ‎и‏ ‎детализация ‎аудиторских‏ ‎мероприятий ‎в‏ ‎таких ‎компаниях ‎будет ‎менее ‎обширной‏ ‎по‏ ‎сравнению‏ ‎с ‎крупными‏ ‎структурами, ‎их‏ ‎регулярное ‎осуществление‏ ‎является‏ ‎обязательным ‎условием.

В‏ ‎рамках ‎ежегодного ‎анализа ‎со ‎стороны‏ ‎руководства ‎компании‏ ‎должна‏ ‎проводиться ‎проверка ‎наличия‏ ‎и ‎соблюдения‏ ‎новых ‎законодательных ‎требований ‎в‏ ‎сфере‏ ‎информационной ‎безопасности,‏ ‎а ‎также‏ ‎анализ ‎изменения ‎иных ‎значимых ‎внешних‏ ‎условий.‏ ‎Ежегодный ‎аудит‏ ‎проходит ‎по‏ ‎окончании ‎операционного ‎цикла ‎(в ‎один‏ ‎год).‏ ‎Операционный‏ ‎цикл ‎может‏ ‎быть ‎уменьшен‏ ‎решением ‎руководства‏ ‎компании.

Постоянное‏ ‎совершенствование ‎информационной‏ ‎безопасности

Анализ ‎процесса ‎обеспечения ‎информационной ‎безопасности‏ ‎в ‎конечном‏ ‎счёте‏ ‎направлен ‎на ‎его‏ ‎совершенствование. ‎Полученные‏ ‎результаты ‎следует ‎использовать ‎для‏ ‎оценки‏ ‎эффективности ‎и‏ ‎действенности ‎избранной‏ ‎стратегии ‎информационной ‎безопасности, ‎а ‎также‏ ‎для‏ ‎её ‎возможной‏ ‎корректировки. ‎Более‏ ‎того, ‎в ‎случае ‎изменения ‎целевых‏ ‎установок‏ ‎системы‏ ‎информационной ‎безопасности‏ ‎или ‎внешних‏ ‎условий, ‎данная‏ ‎стратегия‏ ‎также ‎подлежит‏ ‎пересмотру.

Ключевым ‎фактором ‎является ‎постоянное ‎стремление‏ ‎к ‎повышению‏ ‎результативности‏ ‎системы ‎обеспечения ‎информационной‏ ‎безопасности ‎путём‏ ‎анализа ‎её ‎текущих ‎характеристик‏ ‎и‏ ‎внесения ‎необходимых‏ ‎изменений. ‎Это‏ ‎позволяет ‎поддерживать ‎высокий ‎уровень ‎ОИБВОП‏ ‎в‏ ‎условиях ‎динамично‏ ‎меняющейся ‎среды.

Концепция‏ ‎информационной ‎безопасности ‎строится ‎на ‎соблюдении‏ ‎требований‏ ‎уровня‏ ‎ОИБВОП, ‎который‏ ‎закреплён ‎руководством‏ ‎компании ‎в‏ ‎Политике‏ ‎по ‎информационной‏ ‎безопасности ‎компании.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом ‎на‏ ‎основании‏ ‎статьи ‎1259 ‎ГК‏ ‎РФ.

Третьи ‎лица‏ ‎не ‎вправе ‎использовать ‎с‏ ‎целью‏ ‎создания ‎каких-либо‏ ‎средств ‎обработки‏ ‎представленной ‎информации ‎и ‎размещённых ‎на‏ ‎данной‏ ‎странице ‎результатов‏ ‎интеллектуальной ‎деятельности‏ ‎каким-либо ‎образом ‎без ‎письменного ‎согласия‏ ‎ООО‏ ‎«ЦифраБез».‏ ‎Распространение ‎настоящей‏ ‎информации ‎возможно‏ ‎только ‎при‏ ‎указании‏ ‎ссылки ‎на‏ ‎данную ‎страницу.

Использование ‎результатов ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое‏ ‎использование‏ ‎осуществляется ‎без ‎согласия‏ ‎ООО ‎«ЦифраБез»,‏ ‎является ‎незаконным ‎и ‎влечёт‏ ‎ответственность,‏ ‎установленную ‎действующим‏ ‎законодательством ‎РФ.

Процесс ‎обеспечения‏ ‎информационной ‎безопасности

Руководству ‎организации ‎следует ‎определять‏ ‎цели ‎обеспечения‏ ‎информационной‏ ‎безопасности ‎с ‎учётом‏ ‎всех ‎действующих‏ ‎нормативно-правовых ‎актов, ‎результатов ‎анализа‏ ‎внутренней‏ ‎и ‎внешней‏ ‎среды, ‎а‏ ‎также ‎ориентируясь ‎на ‎стратегические ‎бизнес-цели‏ ‎компании‏ ‎или ‎задачи‏ ‎государственного ‎учреждения.‏ ‎Руководство ‎также ‎должно ‎создавать ‎необходимые‏ ‎условия‏ ‎для‏ ‎реализации ‎данных‏ ‎целей. ‎Стратегия‏ ‎информационной ‎безопасности‏ ‎планирует‏ ‎методологию ‎внедрения‏ ‎непрерывного ‎процесса ‎управления ‎информационной ‎безопасностью.‏ ‎Эта ‎стратегия‏ ‎реализуется‏ ‎посредством ‎концепции ‎информационной‏ ‎безопасности ‎и‏ ‎организационной ‎структуры ‎управления ‎информационной‏ ‎безопасностью.‏ ‎В ‎дальнейшем‏ ‎для ‎каждой‏ ‎фазы ‎жизненного ‎цикла ‎будут ‎описаны‏ ‎соответствующие‏ ‎управленческие ‎шаги.

Планирование‏ ‎процесса

Определение ‎границ‏ ‎(рамок)

Обеспечение ‎информационной ‎безопасности ‎представляет ‎собой‏ ‎не‏ ‎самостоятельную‏ ‎цель, ‎а‏ ‎средство ‎для‏ ‎достижения ‎стратегических‏ ‎целей‏ ‎компании ‎и‏ ‎надёжного ‎выполнения ‎её ‎бизнес-процессов ‎или‏ ‎функциональных ‎задач.‏ ‎Для‏ ‎этого ‎руководству ‎организации‏ ‎необходимо ‎провести‏ ‎всесторонний ‎анализ ‎соответствующих ‎нормативно-правовых‏ ‎актов,‏ ‎сформулировать ‎и‏ ‎документально ‎закрепить‏ ‎цели ‎информационной ‎безопасности, ‎а ‎также‏ ‎разработать‏ ‎комплексную ‎стратегию‏ ‎их ‎достижения,‏ ‎и ‎реализовать ‎её ‎в ‎форме‏ ‎концепции‏ ‎(набора‏ ‎документов).

Процесс ‎определения‏ ‎нормативных ‎границ‏ ‎включает ‎в‏ ‎себя‏ ‎углублённый ‎анализ‏ ‎внешней ‎и ‎внутренней ‎среды ‎компании,‏ ‎выявление ‎и‏ ‎оценку‏ ‎требований ‎всех ‎заинтересованных‏ ‎сторон ‎—‏ ‎как ‎внутренних, ‎так ‎и‏ ‎внешних‏ ‎субъектов, ‎чьи‏ ‎интересы ‎связаны‏ ‎с ‎деятельностью ‎компании. ‎Данный ‎анализ‏ ‎призван‏ ‎учесть ‎их‏ ‎потребности ‎в‏ ‎области ‎информационной ‎безопасности, ‎потребности ‎к‏ ‎СУИБ,‏ ‎а‏ ‎также ‎законодательные‏ ‎и ‎регуляторные‏ ‎требования.

Определение ‎нормативно-правовых‏ ‎рамок‏ ‎является ‎ключевым‏ ‎исходным ‎этапом ‎для ‎дальнейшего ‎всестороннего‏ ‎анализа ‎и‏ ‎стратегического‏ ‎управления ‎информационной ‎безопасностью‏ ‎компании. ‎Данный‏ ‎процесс ‎позволяет ‎выявить ‎пробелы‏ ‎в‏ ‎защищаемой ‎информации,‏ ‎необходимой ‎для‏ ‎корректной ‎оценки ‎роли ‎информационной ‎безопасности‏ ‎для‏ ‎достижения ‎стратегических‏ ‎целей ‎компании.‏ ‎Кроме ‎того, ‎это ‎даёт ‎возможность‏ ‎провести‏ ‎первичное‏ ‎комплексное ‎самообследование‏ ‎(самоконтроль), ‎поскольку‏ ‎при ‎сборе‏ ‎сведений‏ ‎о ‎нормативно-правовых‏ ‎актах ‎уже ‎становится ‎очевидным, ‎где‏ ‎могут ‎возникать‏ ‎потенциальные‏ ‎противоречия ‎и ‎конфликты‏ ‎интересов, ‎а‏ ‎также ‎где, ‎возможно, ‎требуется‏ ‎принятие‏ ‎дополнительных ‎организационно-технических‏ ‎мер, ‎чтобы‏ ‎защитить ‎действительно ‎важную ‎информацию.

Таким ‎образом,‏ ‎определение‏ ‎нормативно-правовых ‎рамок‏ ‎является ‎важной‏ ‎основой ‎для ‎дальнейшей ‎разработки ‎и‏ ‎реализации‏ ‎комплексной‏ ‎системы ‎управления‏ ‎информационной ‎безопасностью‏ ‎в ‎соответствии‏ ‎со‏ ‎стратегическими ‎приоритетами‏ ‎компании ‎и ‎действующим ‎законодательством.

Формулирование ‎целей‏ ‎в ‎области‏ ‎информационной‏ ‎безопасности

Тщательная ‎постановка ‎целей‏ ‎информационной ‎безопасности‏ ‎является ‎краеугольным ‎камнем ‎при‏ ‎инициации‏ ‎любого ‎процесса‏ ‎её ‎обеспечения.‏ ‎Упущение ‎этого ‎ключевого ‎исходного ‎этапа‏ ‎сопряжено‏ ‎с ‎серьёзными‏ ‎рисками, ‎заключающимися‏ ‎в ‎разработке ‎стратегий ‎и ‎концепции‏ ‎информационной‏ ‎безопасности,‏ ‎не ‎отражающих‏ ‎действительных ‎требований‏ ‎и ‎приоритетов‏ ‎компании.

Концептуальное‏ ‎определение ‎и‏ ‎формулирование ‎целевых ‎ориентиров ‎информационной ‎безопасности‏ ‎на ‎начальном‏ ‎этапе‏ ‎имеет ‎принципиальное ‎значение,‏ ‎поскольку ‎позволяет‏ ‎обеспечить ‎точное ‎соответствие ‎и‏ ‎направленность‏ ‎последующих ‎мероприятий‏ ‎и ‎решений‏ ‎в ‎сфере ‎информационной ‎безопасности ‎реальным‏ ‎нуждам‏ ‎и ‎стратегическим‏ ‎задачам ‎компании.‏ ‎Отсутствие ‎такой ‎фундаментальной ‎основы ‎чревато‏ ‎опасностью‏ ‎игнорирования‏ ‎или ‎недооценки‏ ‎критически ‎важных‏ ‎аспектов ‎обеспечения‏ ‎информационной‏ ‎безопасности ‎в‏ ‎компании.

Следовательно, ‎исходя ‎из ‎фундаментальных ‎целей‏ ‎компании ‎и‏ ‎определённых‏ ‎границ, ‎необходимо ‎в‏ ‎первую ‎очередь‏ ‎сформулировать ‎общие ‎цели ‎информационной‏ ‎безопасности‏ ‎и ‎выработать‏ ‎стратегические ‎ориентиры‏ ‎относительно ‎путей ‎и ‎способов ‎реализации‏ ‎данных‏ ‎целей ‎в‏ ‎области ‎информационной‏ ‎безопасности. ‎При ‎разработке ‎стратегии ‎информационной‏ ‎безопасности‏ ‎должны‏ ‎быть ‎приняты‏ ‎во ‎внимание‏ ‎как ‎минимум‏ ‎следующие‏ ‎ключевые ‎направления:

• цели‏ ‎и ‎задачи ‎компании ‎либо ‎обязанности‏ ‎государственного ‎учреждения;
• законодательные‏ ‎требования‏ ‎и ‎нормативные ‎акты;
• требования‏ ‎клиентов ‎и‏ ‎существующие ‎договоры ‎(соглашения);
• внутренняя ‎структура‏ ‎и‏ ‎анализ ‎среды;
• имеющиеся‏ ‎бизнес-процессы ‎и‏ ‎задачи;
• глобальные ‎угрозы ‎для ‎бизнеса, ‎связанные‏ ‎с‏ ‎рисками ‎информационной‏ ‎безопасности ‎(анализы‏ ‎результатов ‎аудитов ‎и ‎оценок ‎рисков).

Основные‏ ‎положения‏ ‎стратегии‏ ‎безопасности ‎изложены‏ ‎в ‎Политике‏ ‎информационной ‎безопасности.‏ ‎Она‏ ‎должна ‎содержать‏ ‎как ‎минимум ‎утверждения ‎по ‎следующим‏ ‎вопросам:

• значимость ‎информационной‏ ‎безопасности‏ ‎и ‎важность ‎защищаемой‏ ‎информации, ‎бизнес-процессов‏ ‎и ‎ИТ-инфраструктуры ‎для ‎выполнения‏ ‎компанией‏ ‎своих ‎задач;
• взаимосвязь‏ ‎целей ‎информационной‏ ‎безопасности ‎с ‎бизнес-целями ‎или ‎задачами‏ ‎компании;
• цели‏ ‎безопасности ‎и‏ ‎ключевые ‎элементы‏ ‎стратегии ‎безопасности ‎для ‎бизнес-процессов ‎и‏ ‎используемых‏ ‎ИТ-систем;
• гарантия‏ ‎того, ‎что‏ ‎руководство ‎компании‏ ‎будет ‎обеспечивать‏ ‎реализацию‏ ‎Политики ‎информационной‏ ‎безопасности, ‎а ‎также ‎ключевые ‎положения‏ ‎относительно ‎контроля‏ ‎эффективности;
• описание‏ ‎организационной ‎структуры, ‎которая‏ ‎была ‎создана‏ ‎(должна ‎быть ‎создана) ‎для‏ ‎реализации‏ ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности.

Дополнительно‏ ‎в ‎стратегии ‎информационной ‎безопасности ‎могут‏ ‎быть‏ ‎включены ‎следующие‏ ‎ключевые ‎элементы:

• целесообразно‏ ‎провести ‎анализ ‎наиболее ‎значимых ‎угроз‏ ‎для‏ ‎критических‏ ‎бизнес-процессов ‎компании,‏ ‎а ‎также‏ ‎рассмотреть ‎ключевые‏ ‎нормативно-правовые‏ ‎требования ‎и‏ ‎другие ‎важные ‎регуляторные ‎рамки ‎(например,‏ ‎положения ‎договоров‏ ‎и‏ ‎соглашений);
• определение ‎основных ‎задач‏ ‎и ‎зон‏ ‎ответственности ‎в ‎процессе ‎управления‏ ‎информационной‏ ‎безопасностью. ‎В‏ ‎частности, ‎следует‏ ‎детально ‎проработать ‎роли ‎и ‎функциональные‏ ‎обязанности‏ ‎ИБ-менеджмента, ‎ИБ-ответственного,‏ ‎рядовых ‎сотрудников‏ ‎и ‎ИТ-подразделения, ‎опираясь ‎на ‎настоящие‏ ‎рекомендации.‏ ‎Кроме‏ ‎того, ‎необходимо‏ ‎определить ‎должностных‏ ‎лиц, ‎которые‏ ‎будут‏ ‎выступать ‎в‏ ‎качестве ‎точек ‎входа ‎по ‎вопросам‏ ‎информационной ‎безопасности;
• разработка‏ ‎комплексной‏ ‎программы ‎по ‎повышению‏ ‎осведомлённости ‎и‏ ‎обучению ‎персонала ‎в ‎области‏ ‎информационной‏ ‎безопасности. ‎Данный‏ ‎элемент ‎стратегии‏ ‎должен ‎основываться ‎на ‎современных ‎образовательных‏ ‎методиках‏ ‎и ‎передовом‏ ‎опыте;

Данный ‎подход‏ ‎позволит ‎сформировать ‎теоретически ‎обоснованную, ‎системную‏ ‎основу‏ ‎для‏ ‎эффективной ‎разработки‏ ‎и ‎внедрения‏ ‎стратегии ‎информационной‏ ‎безопасности‏ ‎компании.

Определение ‎адекватного‏ ‎уровня ‎обеспечения ‎информационной ‎безопасности ‎в‏ ‎выбранной ‎области‏ ‎применения

Для‏ ‎более ‎чёткого ‎определения‏ ‎целей ‎обеспечения‏ ‎информационной ‎безопасности ‎целесообразно ‎систематизировать‏ ‎требуемые‏ ‎уровни ‎защищённости‏ ‎отдельных, ‎наиболее‏ ‎значимых ‎бизнес-процессов ‎или ‎функциональных ‎областей‏ ‎компании‏ ‎в ‎разрезе‏ ‎ключевых ‎принципов‏ ‎информационной ‎безопасности ‎(конфиденциальности, ‎целостности, ‎доступности).‏ ‎Данный‏ ‎подход‏ ‎позволит ‎сформировать‏ ‎более ‎обоснованную‏ ‎основу ‎для‏ ‎последующей‏ ‎детальной ‎разработки‏ ‎концепции ‎информационной ‎безопасности.

Такая ‎детализация ‎ожидаемых‏ ‎показателей ‎информационной‏ ‎безопасности‏ ‎для ‎приоритетных ‎сфер‏ ‎деятельности ‎компании‏ ‎обеспечит ‎более ‎чёткое ‎понимание‏ ‎стратегических‏ ‎целей ‎информационной‏ ‎безопасности ‎всеми‏ ‎заинтересованными ‎сторонами. ‎Это, ‎в ‎свою‏ ‎очередь,‏ ‎повысит ‎эффективность‏ ‎процесса ‎формулирования‏ ‎комплексной ‎концепции ‎информационной ‎безопасности ‎и‏ ‎последующей‏ ‎её‏ ‎реализации.

Уровень ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎в ‎выбранной‏ ‎области‏ ‎применения ‎должен‏ ‎соответствовать ‎уровню, ‎который ‎компания ‎желает‏ ‎достигнуть ‎за‏ ‎период‏ ‎не ‎более ‎трёх‏ ‎лет ‎(стратегический‏ ‎цикл). ‎Этот ‎уровень ‎определяется‏ ‎в‏ ‎баллах ‎и‏ ‎он ‎обязательно‏ ‎декларируется ‎в ‎Политике ‎по ‎информационной‏ ‎безопасности‏ ‎компании.

Уровень ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎в ‎выбранной ‎области ‎применения ‎(уровень‏ ‎ОИБВОП)‏ ‎может‏ ‎быть ‎распространён‏ ‎на ‎всю‏ ‎организацию ‎в‏ ‎целом‏ ‎либо ‎на‏ ‎какой-то ‎конкретный ‎объект ‎информатизации, ‎информационную‏ ‎систему, ‎бизнес-процесс‏ ‎(в‏ ‎настоящих ‎рекомендациях ‎—‏ ‎информационный ‎комплекс).‏ ‎Информационный ‎комплекс ‎должен ‎быть‏ ‎документально‏ ‎зафиксирован ‎руководством‏ ‎компании, ‎особенно‏ ‎на ‎начальном ‎этапе ‎построения ‎СУИБ.‏ ‎Всё‏ ‎это ‎официально‏ ‎провозглашается ‎руководством‏ ‎компании ‎в ‎Политике ‎по ‎информационной‏ ‎безопасности‏ ‎организации.

Определение‏ ‎области ‎применения

Определение‏ ‎области ‎применения‏ ‎СУИБ ‎является‏ ‎ключевым‏ ‎этапом ‎её‏ ‎внедрения. ‎Данная ‎область ‎может ‎охватывать‏ ‎весь ‎спектр‏ ‎деятельности‏ ‎компании ‎либо ‎фокусироваться‏ ‎на ‎отдельных‏ ‎бизнес-процессах, ‎функциональных ‎задачах ‎или‏ ‎организационных‏ ‎подразделениях.

Важным ‎критерием‏ ‎при ‎выборе‏ ‎области ‎применения ‎является ‎её ‎целостность‏ ‎и‏ ‎завершённость. ‎Необходимо,‏ ‎чтобы ‎все‏ ‎существенные ‎компоненты ‎и ‎этапы ‎рассматриваемых‏ ‎бизнес-процессов‏ ‎находились‏ ‎в ‎пределах‏ ‎выбранной ‎области,‏ ‎без ‎«выпадения»‏ ‎значимых‏ ‎частей ‎за‏ ‎её ‎границы.

Область ‎применения ‎СУИБ ‎включает‏ ‎в ‎себя‏ ‎не‏ ‎только ‎информационные ‎активы,‏ ‎но ‎и‏ ‎всю ‎сопутствующую ‎инфраструктуру, ‎организационные‏ ‎аспекты,‏ ‎финансовые ‎и‏ ‎кадровые ‎ресурсы.

Для‏ ‎начального ‎и ‎базового ‎уровней ‎ОИБВОП,‏ ‎рекомендуется‏ ‎выбирать ‎область,‏ ‎которая ‎охватывает‏ ‎всю ‎организацию. ‎В ‎то ‎же‏ ‎время‏ ‎при‏ ‎обеспечении ‎защиты‏ ‎ключевых ‎(критических)‏ ‎объектов ‎внимание‏ ‎сосредотачивается‏ ‎на ‎наиболее‏ ‎критичных ‎с ‎точки ‎зрения ‎бизнеса‏ ‎активах ‎(«корпоративных‏ ‎ценностях»)‏ ‎и ‎для ‎таких‏ ‎активов ‎уровень‏ ‎ОИБВОП ‎должен ‎быть ‎выше‏ ‎как‏ ‎минимум ‎на‏ ‎один ‎уровень.

Для‏ ‎соответствия ‎требованиям ‎законодательства ‎в ‎области‏ ‎информационной‏ ‎безопасности ‎следует‏ ‎выбирать ‎не‏ ‎менее ‎третьего ‎уровня ‎ОИБВОП.

До ‎третьего‏ ‎уровня‏ ‎ОИБВОП‏ ‎в ‎организации‏ ‎СУИБ ‎строиться,‏ ‎а ‎после‏ ‎третьего‏ ‎— ‎совершенствуется.

Создание‏ ‎организационной ‎структуры

Планирование ‎и ‎внедрение ‎процесса‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎предполагает ‎определение ‎организационной‏ ‎структуры ‎(например,‏ ‎подразделений) ‎и ‎установление ‎ролей,‏ ‎функций.‏ ‎Персональная ‎конфигурация‏ ‎зависит ‎от‏ ‎масштаба ‎конкретной ‎компании ‎и ‎имеющихся‏ ‎у‏ ‎неё ‎ресурсов,‏ ‎а ‎также‏ ‎выбранного ‎уровня ‎ОИБВОП. ‎Планирование ‎ресурсов‏ ‎для‏ ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎должно ‎осуществляться‏ ‎таким ‎образом,‏ ‎чтобы‏ ‎обеспечивалось ‎достижение‏ ‎реализации ‎выбранных ‎требований.

Ключевые ‎аспекты ‎для‏ ‎определения ‎организационной‏ ‎структуры:

• определение‏ ‎организационных ‎структур, ‎ролей,‏ ‎функций;
• множественные ‎варианты‏ ‎организационной ‎структуры ‎управления ‎ИБ;
• персональная‏ ‎конфигурация‏ ‎зависит ‎от‏ ‎масштаба, ‎ресурсов‏ ‎и ‎целевого ‎уровня ‎ОИБВОП;
• планирование ‎ресурсов‏ ‎должно‏ ‎гарантировать ‎достижение‏ ‎согласованного ‎уровня‏ ‎ОИБВОП.

При ‎определении ‎роли ‎в ‎рамках‏ ‎системы‏ ‎управления‏ ‎информационной ‎безопасностью‏ ‎необходимо ‎руководствоваться‏ ‎следующими ‎базовыми‏ ‎принципами:

• общая‏ ‎ответственность ‎за‏ ‎обеспечение ‎информационной ‎безопасности ‎компании ‎и‏ ‎её ‎организацию‏ ‎сохраняется‏ ‎на ‎уровне ‎высшего‏ ‎руководства ‎(согласно‏ ‎положениям ‎учредительных ‎документов);
• обязательным ‎требованием‏ ‎является‏ ‎назначение ‎как‏ ‎минимум ‎одного‏ ‎лица, ‎на ‎которое ‎возлагается ‎задача‏ ‎по‏ ‎содействию ‎и‏ ‎координации ‎процессов‏ ‎обеспечения ‎информационной ‎безопасности, ‎зачастую ‎именуемого‏ ‎заместитель‏ ‎руководителя‏ ‎компании ‎по‏ ‎информационной ‎безопасности‏ ‎либо ‎директор‏ ‎по‏ ‎информационной ‎безопасности‏ ‎(в ‎настоящих ‎рекомендациях ‎— ‎уполномоченный‏ ‎по ‎информационной‏ ‎безопасности‏ ‎(УИБ));
• обязательно ‎за ‎внедрение‏ ‎и ‎исполнение‏ ‎каждого ‎требования ‎назначается ‎ответственное‏ ‎должностное‏ ‎лицо ‎и‏ ‎при ‎необходимости,‏ ‎дополнительно ‎другие ‎лица. ‎При ‎этом‏ ‎ответственность‏ ‎за ‎внедрение‏ ‎и ‎исполнение‏ ‎требования ‎остаётся ‎только ‎на ‎первом‏ ‎определённом‏ ‎должностном‏ ‎лице, ‎имеющем‏ ‎права ‎и‏ ‎полномочия ‎по‏ ‎распределению‏ ‎ресурсов ‎и‏ ‎принятию ‎управленческих ‎решений;
• каждый ‎в ‎компании‏ ‎в ‎равной‏ ‎степени‏ ‎несёт ‎ответственность ‎как‏ ‎за ‎выполнение‏ ‎своих ‎непосредственных ‎должностных ‎обязанностей,‏ ‎так‏ ‎и ‎за‏ ‎поддержание ‎надлежащего‏ ‎уровня ‎ОИБВОП, ‎уровня ‎защищённости ‎информационных‏ ‎активов,‏ ‎уровня ‎зрелости‏ ‎требований ‎на‏ ‎своём ‎рабочем ‎месте ‎и ‎в‏ ‎своём‏ ‎окружении;
• для‏ ‎обеспечения ‎прямого‏ ‎канала ‎коммуникации‏ ‎с ‎высшим‏ ‎руководством‏ ‎компании ‎целесообразно‏ ‎организовывать ‎позицию ‎УИБ ‎на ‎уровне‏ ‎руководства ‎компании‏ ‎либо‏ ‎как ‎минимум ‎подчинить‏ ‎напрямую ‎высшему‏ ‎руководству ‎компании. ‎На ‎уровне‏ ‎руководства,‏ ‎ответственность ‎за‏ ‎задачи ‎информационной‏ ‎безопасности ‎должна ‎быть ‎чётко ‎закреплена‏ ‎за‏ ‎конкретным ‎подразделением‏ ‎(отдельным ‎выделенным‏ ‎специалистом), ‎которое ‎подчиняется ‎УИБ.

Для ‎каждого‏ ‎требования‏ ‎уровня‏ ‎ОИБВОП ‎должно‏ ‎быть ‎назначено‏ ‎одно ‎основное‏ ‎ответственное‏ ‎должностное ‎лицо‏ ‎из ‎числа ‎руководителей ‎соответствующих ‎подразделений‏ ‎(либо ‎отдельный‏ ‎сотрудник).‏ ‎Наряду ‎с ‎основным‏ ‎ответственным ‎лицом,‏ ‎могут ‎быть ‎определены ‎дополнительные‏ ‎ответственные‏ ‎сотрудники ‎из‏ ‎других ‎профильных‏ ‎подразделений ‎(сотрудников).

В ‎случае, ‎если ‎для‏ ‎реализации‏ ‎конкретного ‎требования‏ ‎первостепенное ‎значение‏ ‎имеет ‎ответственность ‎сотрудника ‎из ‎одного‏ ‎дополнительного‏ ‎подразделения‏ ‎либо ‎подразделений,‏ ‎то ‎данное‏ ‎подразделение ‎следует‏ ‎сделать‏ ‎основным ‎ответственным‏ ‎лицом ‎за ‎такое ‎требование, ‎а‏ ‎остальных ‎—‏ ‎дополнительные‏ ‎ответственные ‎лица.

Использование ‎единственного‏ ‎или ‎множественного‏ ‎числа ‎при ‎описании ‎ответственных‏ ‎должностных‏ ‎лиц ‎не‏ ‎влияет ‎на‏ ‎количество ‎сотрудников, ‎осуществляющих ‎соответствующие ‎обязанности.‏ ‎Одно‏ ‎должностное ‎лицо‏ ‎может ‎быть‏ ‎закреплено ‎за ‎одним ‎или ‎несколькими‏ ‎исполнителями‏ ‎в‏ ‎зависимости ‎от‏ ‎организационной ‎структуры‏ ‎и ‎распределения‏ ‎функциональных‏ ‎обязанностей.

Внимание! ‎Материал‏ ‎охраняется ‎авторским ‎правом ‎на ‎основании‏ ‎статьи ‎1259‏ ‎ГК‏ ‎РФ.

Третьи ‎лица ‎не‏ ‎вправе ‎использовать‏ ‎с ‎целью ‎создания ‎каких-либо‏ ‎средств‏ ‎обработки ‎представленной‏ ‎информации ‎и‏ ‎размещённых ‎на ‎данной ‎странице ‎результатов‏ ‎интеллектуальной‏ ‎деятельности ‎каким-либо‏ ‎образом ‎без‏ ‎письменного ‎согласия ‎ООО ‎«ЦифраБез». ‎Распространение‏ ‎настоящей‏ ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании‏ ‎ссылки ‎на‏ ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной ‎деятельности, ‎если ‎такое ‎использование‏ ‎осуществляется ‎без‏ ‎согласия‏ ‎ООО ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и‏ ‎влечёт ‎ответственность, ‎установленную ‎действующим‏ ‎законодательством‏ ‎РФ.

Вовлечение ‎сотрудников

Обеспечение‏ ‎информационной ‎безопасности ‎является ‎всеобъемлющим ‎вопросом,‏ ‎затрагивающим ‎каждого‏ ‎сотрудника‏ ‎компании. ‎Ключевую ‎роль‏ ‎в ‎этом‏ ‎процессе ‎играет ‎индивидуальная ‎ответственность‏ ‎и‏ ‎компетентность ‎каждого‏ ‎сотрудника, ‎способного‏ ‎предотвратить ‎потенциальный ‎ущерб ‎и ‎способствовать‏ ‎достижению‏ ‎организационных ‎целей.‏ ‎Поэтому, ‎повышение‏ ‎осведомлённости ‎персонала ‎об ‎информационной ‎безопасности‏ ‎и‏ ‎проведение‏ ‎соответствующих ‎тренингов‏ ‎для ‎всех‏ ‎категорий ‎сотрудников,‏ ‎включая‏ ‎руководящий ‎состав,‏ ‎являются ‎фундаментальными ‎предпосылками ‎эффективного ‎управления‏ ‎информационной ‎безопасностью.‏ ‎Для‏ ‎успешной ‎реализации ‎мер‏ ‎безопасности ‎необходимо‏ ‎наличие ‎у ‎сотрудников ‎базовых‏ ‎знаний,‏ ‎включающих ‎не‏ ‎только ‎навыки‏ ‎использования ‎механизмов ‎защиты, ‎но ‎и‏ ‎понимание‏ ‎целесообразности ‎и‏ ‎назначения ‎применяемых‏ ‎средств ‎для ‎безопасности. ‎Более ‎того,‏ ‎организационный‏ ‎климат‏ ‎(внутренняя ‎среда‏ ‎в ‎компании),‏ ‎разделяемые ‎ценности‏ ‎и‏ ‎вовлечённость ‎персонала‏ ‎также ‎оказывают ‎решающее ‎влияние ‎на‏ ‎состояние ‎информационной‏ ‎безопасности‏ ‎компании ‎в ‎целом.

При‏ ‎приёме ‎на‏ ‎работу ‎новых ‎сотрудников ‎или‏ ‎при‏ ‎перераспределении ‎должностных‏ ‎обязанностей ‎персонала‏ ‎крайне ‎важно ‎обеспечить ‎всестороннее ‎ознакомление‏ ‎и,‏ ‎при ‎необходимости,‏ ‎надлежащую ‎подготовку.‏ ‎В ‎этом ‎процессе ‎следует ‎уделять‏ ‎особое‏ ‎внимание‏ ‎информированию ‎о‏ ‎ключевых ‎аспектах‏ ‎безопасности, ‎связанных‏ ‎с‏ ‎конкретным ‎рабочим‏ ‎местом. ‎Когда ‎сотрудники ‎покидают ‎компанию‏ ‎или ‎их‏ ‎функциональные‏ ‎обязанности ‎претерпевают ‎изменения,‏ ‎данный ‎переходный‏ ‎период ‎должен ‎сопровождаться ‎применением‏ ‎соответствующих‏ ‎мер ‎защиты,‏ ‎таких ‎как‏ ‎отзыв ‎полномочий ‎доступа, ‎возврат ‎ключей,‏ ‎пропусков,‏ ‎документов ‎и‏ ‎прочих ‎материальных‏ ‎ценностей.

Сотрудники ‎компании ‎должны ‎неукоснительно ‎соблюдать‏ ‎все‏ ‎законодательные‏ ‎требования, ‎нормативные‏ ‎акты ‎и‏ ‎правила, ‎действующие‏ ‎в‏ ‎соответствующей ‎сфере‏ ‎деятельности ‎компании. ‎Для ‎этого ‎необходимо‏ ‎тщательно ‎ознакомить‏ ‎персонал‏ ‎с ‎существующими ‎регламентами‏ ‎по ‎обеспечению‏ ‎информационной ‎безопасности ‎и ‎одновременно‏ ‎стимулировать‏ ‎мотивацию ‎к‏ ‎их ‎соблюдению.‏ ‎Кроме ‎того, ‎сотрудники ‎должны ‎быть‏ ‎оповещены,‏ ‎что ‎любой‏ ‎выявленный ‎(или‏ ‎предполагаемый) ‎инцидент, ‎связанный ‎с ‎нарушением‏ ‎безопасности,‏ ‎подлежит‏ ‎незамедлительному ‎информированию‏ ‎службы ‎безопасности,‏ ‎с ‎указанием‏ ‎установленного‏ ‎порядка ‎и‏ ‎адресатов ‎для ‎таких ‎сообщений. ‎Вся‏ ‎эта ‎информация‏ ‎должна‏ ‎быть ‎на ‎внутреннем‏ ‎информационном ‎ресурсе‏ ‎по ‎информационной ‎безопасности ‎в‏ ‎компании.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании ‎статьи ‎1259 ‎ГК‏ ‎РФ.

Третьи‏ ‎лица ‎не‏ ‎вправе ‎использовать‏ ‎с ‎целью ‎создания ‎каких-либо ‎средств‏ ‎обработки‏ ‎представленной‏ ‎информации ‎и‏ ‎размещённых ‎на‏ ‎данной ‎странице‏ ‎результатов‏ ‎интеллектуальной ‎деятельности‏ ‎каким-либо ‎образом ‎без ‎письменного ‎согласия‏ ‎ООО ‎«ЦифраБез».‏ ‎Распространение‏ ‎настоящей ‎информации ‎возможно‏ ‎только ‎при‏ ‎указании ‎ссылки ‎на ‎данную‏ ‎страницу.

Использование‏ ‎результатов ‎интеллектуальной‏ ‎деятельности, ‎если‏ ‎такое ‎использование ‎осуществляется ‎без ‎согласия‏ ‎ООО‏ ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и‏ ‎влечёт ‎ответственность, ‎установленную ‎действующим ‎законодательством‏ ‎РФ.

Обеспечение ‎ресурсами

Обеспечение‏ ‎требуемого ‎уровня ‎ОИБВОП ‎неизменно ‎сопряжено‏ ‎с ‎необходимостью‏ ‎выделения‏ ‎финансовых, ‎кадровых ‎и‏ ‎временных ‎ресурсов,‏ ‎которые ‎руководство ‎компании ‎должно‏ ‎предоставлять‏ ‎в ‎достаточном‏ ‎объёме. ‎В‏ ‎ситуации, ‎когда ‎поставленные ‎цели ‎не‏ ‎могут‏ ‎быть ‎достигнуты‏ ‎вследствие ‎нехватки‏ ‎необходимых ‎ресурсов, ‎ответственность ‎за ‎это‏ ‎лежит‏ ‎не‏ ‎на ‎исполнителях,‏ ‎а ‎на‏ ‎руководителях, ‎установивших‏ ‎нереалистичные‏ ‎цели ‎(задачи)‏ ‎или ‎не ‎обеспечивших ‎исполнителей ‎соответствующими‏ ‎ресурсами.

Во ‎избежание‏ ‎срыва‏ ‎намеченных ‎целей ‎крайне‏ ‎важно ‎уже‏ ‎на ‎этапе ‎их ‎планирования‏ ‎провести‏ ‎первичную ‎оценку‏ ‎предполагаемых ‎затрат‏ ‎и ‎ожидаемых ‎результатов. ‎На ‎протяжении‏ ‎всего‏ ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎данный ‎аспект ‎должен ‎оставаться ‎ключевым,‏ ‎с‏ ‎одной‏ ‎стороны, ‎для‏ ‎предотвращения ‎расточительного‏ ‎использования ‎ресурсов,‏ ‎с‏ ‎другой ‎—‏ ‎для ‎гарантии ‎осуществления ‎необходимых ‎инвестиций,‏ ‎направленных ‎на‏ ‎достижение‏ ‎соответствующего ‎уровня ‎ОИБВОП.

Техническое‏ ‎обеспечение ‎информационной‏ ‎безопасности ‎зачастую ‎рассматривается ‎в‏ ‎качестве‏ ‎единственного ‎и‏ ‎достаточного ‎решения.‏ ‎Однако ‎данный ‎подход ‎является ‎чрезмерно‏ ‎упрощённым.‏ ‎Представляется ‎целесообразным‏ ‎использование ‎более‏ ‎широкого ‎понятия ‎«информационная ‎безопасность» ‎вместо‏ ‎узкого‏ ‎термина‏ ‎«ИТ-безопасность ‎(кибербезопасность)».

Особенно‏ ‎важно ‎отметить,‏ ‎что ‎инвестиции‏ ‎в‏ ‎человеческие ‎ресурсы‏ ‎нередко ‎оказываются ‎более ‎эффективными, ‎нежели‏ ‎вложения ‎в‏ ‎технические‏ ‎средства ‎защиты. ‎Сама‏ ‎по ‎себе‏ ‎техника ‎не ‎в ‎состоянии‏ ‎решить‏ ‎проблемы ‎информационной‏ ‎безопасности, ‎она‏ ‎должна ‎быть ‎органично ‎интегрирована ‎в‏ ‎соответствующие‏ ‎организационные ‎процессы‏ ‎и ‎структуры.

Кроме‏ ‎того, ‎оценка ‎результативности ‎и ‎применимости‏ ‎мер‏ ‎информационной‏ ‎безопасности ‎также‏ ‎требует ‎выделения‏ ‎достаточного ‎объёма‏ ‎ресурсов.‏ ‎Таким ‎образом,‏ ‎для ‎обеспечения ‎эффективной ‎информационной ‎безопасности‏ ‎необходим ‎комплексный‏ ‎подход,‏ ‎сочетающий ‎технические, ‎организационные‏ ‎и ‎ресурсные‏ ‎компоненты.

Недостаток ‎временных ‎ресурсов ‎является‏ ‎распространённой‏ ‎проблемой ‎у‏ ‎штатных ‎специалистов‏ ‎по ‎информационной ‎безопасности ‎в ‎компаниях.‏ ‎Зачастую‏ ‎им ‎не‏ ‎хватает ‎времени‏ ‎для ‎всестороннего ‎анализа ‎всех ‎факторов,‏ ‎влияющих‏ ‎на‏ ‎информационную ‎безопасность,‏ ‎включая ‎нормативно-правовые‏ ‎требования ‎и‏ ‎решение‏ ‎технических ‎вопросов.‏ ‎Кроме ‎того, ‎у ‎них ‎могут‏ ‎отсутствовать ‎необходимые‏ ‎фундаментальные‏ ‎знания ‎в ‎данной‏ ‎области. ‎В‏ ‎таких ‎случаях ‎целесообразно ‎привлекать‏ ‎внешних‏ ‎экспертов ‎для‏ ‎решения ‎вопросов‏ ‎и ‎проблем, ‎которые ‎не ‎могут‏ ‎быть‏ ‎разрешены ‎внутренними‏ ‎ресурсами. ‎Данное‏ ‎решение ‎должно ‎быть ‎документировано ‎штатными‏ ‎специалистами,‏ ‎чтобы‏ ‎руководство ‎могло‏ ‎выделить ‎на‏ ‎это ‎соответствующие‏ ‎ресурсы‏ ‎и ‎принять‏ ‎грамотное ‎управленческое ‎решение.

Эффективное ‎функционирование ‎информационных‏ ‎систем ‎является‏ ‎базовым‏ ‎условием ‎для ‎обеспечения‏ ‎их ‎безопасности.‏ ‎Для ‎этого ‎необходимо ‎наличие‏ ‎достаточных‏ ‎ресурсов ‎чтобы‏ ‎грамотно ‎обеспечивать‏ ‎их ‎техническую ‎эксплуатацию. ‎Типичные ‎проблемы‏ ‎эксплуатации,‏ ‎такие ‎как‏ ‎нехватка ‎ресурсов,‏ ‎перегруженность ‎специалистов ‎или ‎неструктурированная ‎и‏ ‎плохо‏ ‎обслуживаемая‏ ‎ИТ-инфраструктура, ‎как‏ ‎правило, ‎должны‏ ‎быть ‎решены‏ ‎в‏ ‎первую ‎очередь,‏ ‎чтобы ‎меры ‎защиты ‎могли ‎быть‏ ‎эффективно ‎и‏ ‎результативно‏ ‎внедрены ‎и ‎полностью‏ ‎исполнили ‎то,‏ ‎ради ‎чего ‎они ‎были‏ ‎задуманы.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании ‎статьи ‎1259 ‎ГК‏ ‎РФ.

Использование ‎доступных‏ ‎источников ‎информации

Обеспечение ‎информационной ‎безопасности ‎является‏ ‎сложной ‎комплексной‏ ‎темой,‏ ‎требующей ‎всестороннего ‎изучения‏ ‎и ‎глубокого‏ ‎понимания ‎со ‎стороны ‎ответственных‏ ‎специалистов.‏ ‎К ‎счастью,‏ ‎в ‎распоряжении‏ ‎исследователей ‎и ‎практиков ‎имеется ‎широкий‏ ‎спектр‏ ‎доступных ‎информационных‏ ‎ресурсов, ‎которые‏ ‎могут ‎быть ‎задействованы ‎для ‎углубления‏ ‎знаний‏ ‎в‏ ‎данной ‎предметной‏ ‎области. ‎Эти‏ ‎ресурсы ‎включают‏ ‎в‏ ‎себя ‎нормативно-правовые‏ ‎акты ‎и ‎отраслевые ‎стандарты, ‎материалы‏ ‎сети ‎Интернет,‏ ‎а‏ ‎также ‎специализированную ‎научную‏ ‎и ‎профессиональную‏ ‎литературу. ‎Кроме ‎того, ‎важную‏ ‎роль‏ ‎играет ‎сетевое‏ ‎взаимодействие ‎с‏ ‎профильными ‎ассоциациями, ‎партнёрскими ‎организациями, ‎экспертными‏ ‎сообществами,‏ ‎государственными ‎органами.‏ ‎Такое ‎сотрудничество‏ ‎позволяет ‎осуществлять ‎эффективный ‎обмен ‎передовым‏ ‎опытом‏ ‎и‏ ‎актуальной ‎информацией‏ ‎в ‎сфере‏ ‎обеспечения ‎информационной‏ ‎безопасности.

В‏ ‎компании ‎должна‏ ‎быть ‎создана ‎внутренняя ‎база ‎знаний‏ ‎для ‎специалистов‏ ‎по‏ ‎информационной ‎безопасности, ‎где‏ ‎указываются ‎доступные‏ ‎источники ‎и ‎собирается ‎нарабатываемый‏ ‎со‏ ‎временем ‎опыт.

Управленческий‏ ‎анализ

Руководство ‎компании‏ ‎должно ‎регулярно ‎проводить ‎управленческий ‎анализ‏ ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎При‏ ‎необходимости, ‎например, ‎при ‎участившихся ‎инцидентах‏ ‎или‏ ‎существенном‏ ‎изменении ‎внешних‏ ‎условий, ‎такие‏ ‎оценки ‎следует‏ ‎выполнять‏ ‎и ‎вне‏ ‎плановых ‎сроков. ‎Все ‎результаты ‎и‏ ‎принятые ‎решения‏ ‎подлежат‏ ‎документированию.

Ключевые ‎вопросы ‎для‏ ‎рассмотрения ‎в‏ ‎рамках ‎управленческого ‎анализа:

• Изменились ‎ли‏ ‎факторы,‏ ‎определяющие ‎подход‏ ‎к ‎обеспечению‏ ‎информационной ‎безопасности?
• Остаются ‎ли ‎цели ‎информационной‏ ‎безопасности‏ ‎актуальными ‎и‏ ‎адекватными?
• Соответствует ‎ли‏ ‎политика ‎информационной ‎безопасности ‎современным ‎реалиям‏ ‎компании‏ ‎и‏ ‎законодательным ‎требованиям?

Акцент‏ ‎при ‎оценке‏ ‎эффективности ‎процесса‏ ‎информационной‏ ‎безопасности ‎делается‏ ‎не ‎на ‎проверке ‎отдельных ‎мер‏ ‎безопасности, ‎а‏ ‎на‏ ‎комплексном ‎анализе. ‎Например,‏ ‎безопасная ‎эксплуатация‏ ‎интернет-портала ‎может ‎оказаться ‎слишком‏ ‎затратной‏ ‎для ‎небольшой‏ ‎компании, ‎что‏ ‎может ‎послужить ‎основанием ‎для ‎передачи‏ ‎управления‏ ‎порталом ‎внешнему‏ ‎поставщику ‎услуг.

Кроме‏ ‎того, ‎целесообразно ‎проанализировать, ‎насколько ‎зарекомендовала‏ ‎себя‏ ‎организация‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎Если‏ ‎будет ‎установлено,‏ ‎что‏ ‎меры ‎безопасности‏ ‎неэффективны ‎или ‎чрезмерно ‎затраты, ‎это‏ ‎может ‎послужить‏ ‎основанием‏ ‎для ‎пересмотра ‎и‏ ‎адаптации ‎всей‏ ‎стратегии ‎информационной ‎безопасности ‎компании.‏ ‎При‏ ‎этом ‎руководству‏ ‎следует ‎ответить‏ ‎на ‎следующие ‎вопросы:

• Является ‎ли ‎стратегия‏ ‎информационной‏ ‎безопасности ‎по-прежнему‏ ‎адекватной?
• Соответствует ‎ли‏ ‎концепция ‎информационной ‎безопасности ‎целям ‎компании,‏ ‎в‏ ‎том‏ ‎числе ‎законодательным‏ ‎требованиям?
• Обеспечивает ‎ли‏ ‎существующая ‎организация‏ ‎информационной‏ ‎безопасности ‎эффективную‏ ‎реализацию ‎целей?
• Не ‎требуется ‎ли ‎усиление‏ ‎её ‎статуса‏ ‎или‏ ‎более ‎тесная ‎интеграция‏ ‎в ‎бизнес-процессы?
• Являются‏ ‎ли ‎затраты ‎на ‎обеспечение‏ ‎информационной‏ ‎безопасности ‎оправданными‏ ‎и ‎соразмерными?

Корректирующие‏ ‎меры

Результаты ‎оценки ‎эффективности ‎должны ‎систематически‏ ‎применяться‏ ‎для ‎реализации‏ ‎соответствующих ‎корректирующих‏ ‎мер. ‎Это ‎может ‎подразумевать ‎необходимость‏ ‎модификации‏ ‎целей‏ ‎информационной ‎безопасности,‏ ‎стратегии ‎и/или‏ ‎концепции, ‎а‏ ‎также‏ ‎адаптации ‎организационной‏ ‎структуры ‎к ‎изменившимся ‎требованиям. ‎В‏ ‎ряде ‎случаев‏ ‎целесообразно‏ ‎осуществить ‎фундаментальные ‎изменения‏ ‎в ‎бизнес-процессах‏ ‎или ‎ИТ-инфраструктуре, ‎а ‎также‏ ‎отказаться‏ ‎от ‎определённых‏ ‎бизнес-процессов ‎или‏ ‎передать ‎их ‎на ‎аутсорсинг, ‎если‏ ‎их‏ ‎безопасное ‎функционирование‏ ‎более ‎не‏ ‎может ‎быть ‎гарантировано ‎имеющимися ‎ресурсами.‏ ‎При‏ ‎внедрении‏ ‎более ‎масштабных‏ ‎преобразований ‎и‏ ‎реализации ‎значительных‏ ‎улучшений‏ ‎цикл ‎управления‏ ‎замыкается ‎повторным ‎запуском ‎этапа ‎планирования.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на ‎основании‏ ‎статьи ‎1259‏ ‎ГК ‎РФ.

Осведомлённость ‎и‏ ‎связь

На ‎всех ‎этапах ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎коммуникация‏ ‎является ‎ключевым ‎элементом‏ ‎для ‎достижения‏ ‎поставленных ‎целей. ‎Недопонимания ‎и‏ ‎пробелы‏ ‎в ‎знаниях‏ ‎являются ‎наиболее‏ ‎частыми ‎причинами ‎возникающих ‎проблем ‎с‏ ‎взаимодействием‏ ‎внутри ‎команды‏ ‎внедрения. ‎В‏ ‎связи ‎с ‎этим ‎на ‎всех‏ ‎уровнях‏ ‎и‏ ‎во ‎всех‏ ‎подразделениях ‎компании‏ ‎необходимо ‎обеспечить‏ ‎бесперебойный‏ ‎информационный ‎поток‏ ‎о ‎событиях ‎и ‎мерах ‎в‏ ‎области ‎информационной‏ ‎безопасности.‏ ‎Как ‎минимум ‎в‏ ‎компании ‎должно‏ ‎быть ‎обеспечено:

• отчётность ‎перед ‎руководством.‏ ‎Руководству‏ ‎компании ‎необходимо‏ ‎периодически ‎предоставлять‏ ‎информацию ‎о ‎важных ‎проблемах, ‎результатах‏ ‎проверок‏ ‎и ‎аудитов,‏ ‎а ‎также‏ ‎о ‎новых ‎тенденциях, ‎изменяющихся ‎условиях‏ ‎или‏ ‎возможностях‏ ‎для ‎улучшения,‏ ‎чтобы ‎оно‏ ‎могло ‎надлежащим‏ ‎образом‏ ‎выполнять ‎свои‏ ‎управленческие ‎функции. ‎Для ‎принятия ‎верных‏ ‎решений ‎при‏ ‎управлении‏ ‎и ‎регулировании ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности ‎руководству ‎компании ‎требуются‏ ‎представлять‏ ‎ключевые ‎показатели‏ ‎состояния ‎информационной‏ ‎безопасности ‎(метрики). ‎Эти ‎показатели ‎должны‏ ‎быть‏ ‎представлены ‎в‏ ‎управленческих ‎отчётах,‏ ‎которые ‎подразделение ‎по ‎информационной ‎безопасности‏ ‎должно‏ ‎регулярно‏ ‎предоставлять ‎руководству‏ ‎в ‎соответствующей‏ ‎форме. ‎Руководство,‏ ‎ознакомившись‏ ‎с ‎управленческими‏ ‎отчётами, ‎при ‎необходимости, ‎предпримет ‎требуемые‏ ‎управленческие ‎действия.‏ ‎В‏ ‎компании ‎следует ‎создать‏ ‎комитет ‎по‏ ‎информационной ‎безопасности ‎и ‎его‏ ‎решения‏ ‎направлять ‎на‏ ‎утверждение ‎руководству‏ ‎компании;
• информационный ‎поток. ‎Недостаточная ‎коммуникация ‎и‏ ‎отсутствие‏ ‎информации ‎могут‏ ‎приводить ‎как‏ ‎к ‎проблемам ‎информационной ‎безопасности, ‎так‏ ‎и‏ ‎к‏ ‎неправильным ‎решениям‏ ‎или ‎ненужным‏ ‎рабочим ‎шагам‏ ‎с‏ ‎потерей ‎драгоценного‏ ‎времени. ‎Сотрудников ‎нужно ‎информировать ‎о‏ ‎смысле ‎и‏ ‎цели‏ ‎мер ‎защиты, ‎особенно‏ ‎если ‎они‏ ‎влекут ‎за ‎собой ‎дополнительную‏ ‎нагрузку‏ ‎или ‎приводят‏ ‎к ‎дополнительным‏ ‎неудобствам. ‎Кроме ‎того, ‎сотрудники ‎должны‏ ‎быть‏ ‎осведомлены ‎о‏ ‎связанных ‎с‏ ‎их ‎работой ‎правовых ‎вопросах ‎информационной‏ ‎безопасности‏ ‎и‏ ‎защиты ‎данных.‏ ‎Сотрудников ‎также‏ ‎следует ‎включать‏ ‎в‏ ‎планирование ‎реализации‏ ‎мер, ‎чтобы ‎они ‎могли ‎вносить‏ ‎собственные ‎идеи‏ ‎и‏ ‎оценивать ‎их ‎практическую‏ ‎применимость, ‎имели‏ ‎возможность ‎давать ‎обратную ‎связь,‏ ‎обсуждать‏ ‎проекты ‎локальных‏ ‎актов ‎по‏ ‎информационной ‎безопасности. ‎Для ‎этого ‎в‏ ‎компании‏ ‎должен ‎быть‏ ‎создан ‎отдельный‏ ‎информационный ‎ресурс ‎по ‎информационной ‎безопасности;
• классификация‏ ‎информации.‏ ‎Чтобы‏ ‎обеспечить ‎надлежащую‏ ‎защиту ‎информации,‏ ‎её ‎значимость‏ ‎для‏ ‎компании ‎должна‏ ‎быть ‎чётко ‎определена. ‎Для ‎более‏ ‎простого ‎обмена‏ ‎информацией‏ ‎о ‎ценности ‎различных‏ ‎видов ‎информации,‏ ‎как ‎внутри ‎компании, ‎так‏ ‎и‏ ‎с ‎другими‏ ‎организациями, ‎требуется‏ ‎схема ‎классификации ‎и ‎маркирования, ‎описывающая‏ ‎уровни‏ ‎конфиденциальности ‎(ценности).‏ ‎Для ‎этого‏ ‎в ‎компании ‎должен ‎быть ‎утверждён‏ ‎перечень‏ ‎защищаемой‏ ‎информации;
• документирование. ‎Для‏ ‎обеспечения ‎непрерывности‏ ‎и ‎последовательности‏ ‎всего‏ ‎процесса ‎информационной‏ ‎безопасности ‎необходимо ‎его ‎постоянно ‎документировать.‏ ‎Только ‎так‏ ‎различные‏ ‎шаги ‎процесса ‎и‏ ‎принятые ‎решения‏ ‎становятся ‎контролируемые. ‎Кроме ‎того,‏ ‎полная‏ ‎документация ‎гарантирует,‏ ‎что ‎аналогичные‏ ‎работы ‎выполняются ‎должным ‎образом, ‎делая‏ ‎процессы‏ ‎измеримыми ‎и‏ ‎воспроизводимыми. ‎Документация‏ ‎также ‎помогает ‎выявлять ‎основные ‎слабости‏ ‎в‏ ‎процессе‏ ‎и ‎избегать‏ ‎повторения ‎ошибок.‏ ‎Необходимая ‎документация‏ ‎выполняет‏ ‎различные ‎функции‏ ‎в ‎различных ‎мероприятиях ‎по ‎информационной‏ ‎безопасности ‎и‏ ‎ориентирована‏ ‎на ‎разные ‎целевые‏ ‎аудитории. ‎Можно‏ ‎выделить ‎следующие ‎виды ‎документации:
• Техническая‏ ‎документация‏ ‎и ‎документация‏ ‎рабочих ‎процессов‏ ‎(целевая ‎аудитория ‎— ‎эксперты, ‎техники).‏ ‎При‏ ‎сбоях ‎или‏ ‎инцидентах ‎должна‏ ‎быть ‎возможность ‎восстановить ‎желаемое ‎состояние‏ ‎бизнес-процессов‏ ‎и‏ ‎соответствующих ‎ИТ-систем.‏ ‎Технические ‎детали‏ ‎и ‎рабочие‏ ‎процессы‏ ‎должны ‎быть‏ ‎задокументированы ‎таким ‎образом, ‎чтобы ‎это‏ ‎можно ‎было‏ ‎сделать‏ ‎в ‎разумные ‎сроки‏ ‎и ‎как‏ ‎можно ‎с ‎наименьшей ‎квалификацией‏ ‎персонала,‏ ‎чтобы ‎даже‏ ‎уборщица, ‎в‏ ‎случае ‎необходимости ‎могла ‎восстановить ‎работоспособность;
• Отчёты‏ ‎для‏ ‎руководства ‎(целевая‏ ‎аудитория ‎—‏ ‎высшее ‎руководство, ‎руководство ‎безопасностью). ‎Вся‏ ‎информация,‏ ‎необходимая‏ ‎руководству ‎для‏ ‎выполнения ‎своих‏ ‎управленческих ‎и‏ ‎контрольных‏ ‎функций, ‎должна‏ ‎фиксироваться ‎с ‎требуемой ‎степенью ‎детализации‏ ‎(например, ‎результаты‏ ‎аудитов,‏ ‎измерения ‎эффективности, ‎отчёты‏ ‎об ‎инцидентах‏ ‎безопасности);
• Документирование ‎управленческих ‎решений ‎(целевая‏ ‎аудитория‏ ‎— ‎высшее‏ ‎руководство). ‎Высшее‏ ‎руководство ‎должно ‎документировать ‎и ‎обосновать‏ ‎выбранную‏ ‎стратегию ‎информационной‏ ‎безопасности. ‎Кроме‏ ‎того, ‎решения, ‎касающиеся ‎аспектов ‎безопасности,‏ ‎должны‏ ‎быть‏ ‎задокументированы ‎на‏ ‎всех ‎уровнях,‏ ‎чтобы ‎они‏ ‎были‏ ‎прослеживаемые, ‎контролируемые‏ ‎и ‎воспроизводимы ‎в ‎любое ‎время.

Формальные‏ ‎требования ‎к‏ ‎документации

Документация‏ ‎не ‎обязательно ‎должна‏ ‎вестись ‎исключительно‏ ‎в ‎бумажной ‎форме. ‎Выбор‏ ‎средства‏ ‎документирования ‎должен‏ ‎определяться ‎в‏ ‎соответствии ‎с ‎конкретными ‎потребностями. ‎Так,‏ ‎для‏ ‎нужд ‎кризисного‏ ‎управления ‎целесообразно‏ ‎использование ‎удалённого ‎программного ‎обеспечения ‎(защищённого‏ ‎облачного‏ ‎ресурса),‏ ‎позволяющего ‎заблаговременно‏ ‎фиксировать ‎все‏ ‎необходимые ‎мероприятия‏ ‎и‏ ‎контактные ‎лица,‏ ‎что ‎обеспечивает ‎его ‎мобильную ‎доступность‏ ‎в ‎чрезвычайных‏ ‎ситуациях,‏ ‎например, ‎на ‎переносном‏ ‎ноутбуке ‎с‏ ‎доступом ‎к ‎этому ‎ресурсу.‏ ‎Однако,‏ ‎в ‎зависимости‏ ‎от ‎характера‏ ‎кризисного ‎события, ‎предпочтительной ‎может ‎оказаться‏ ‎удобная‏ ‎бумажная ‎справочная‏ ‎документация.

Следует ‎учитывать‏ ‎законодательные ‎или ‎договорные ‎требования ‎к‏ ‎документированию,‏ ‎например,‏ ‎в ‎отношении‏ ‎сроков ‎хранения‏ ‎и ‎детализации‏ ‎содержания.‏ ‎Документация ‎выполняет‏ ‎свою ‎функцию ‎лишь ‎при ‎условии‏ ‎регулярного ‎составления‏ ‎и‏ ‎поддержания ‎её ‎актуальности.‏ ‎Кроме ‎того,‏ ‎она ‎должна ‎быть ‎структурирована‏ ‎и‏ ‎систематизирована ‎для‏ ‎обеспечения ‎доступности‏ ‎при ‎необходимости. ‎Авторство ‎и ‎даты‏ ‎создания‏ ‎различных ‎элементов‏ ‎документации ‎должны‏ ‎быть ‎видны. ‎При ‎наличии ‎ссылок‏ ‎на‏ ‎другие‏ ‎документы, ‎их‏ ‎источники ‎должны‏ ‎быть ‎явно‏ ‎указаны,‏ ‎а ‎сами‏ ‎документы ‎должны ‎быть ‎доступны.

Документация, ‎имеющая‏ ‎отношение ‎к‏ ‎вопросам‏ ‎информационной ‎безопасности, ‎может‏ ‎содержать ‎конфиденциальную‏ ‎информацию ‎и, ‎соответственно, ‎требует‏ ‎надлежащей‏ ‎защиты. ‎Помимо‏ ‎потребности ‎в‏ ‎защите, ‎должны ‎быть ‎установлены ‎регламенты‏ ‎хранения‏ ‎и ‎уничтожения.‏ ‎В ‎описаниях‏ ‎процессов ‎и ‎процедур ‎следует ‎определять‏ ‎необходимость‏ ‎анализа‏ ‎документации, ‎её‏ ‎пересмотра, ‎ответственных‏ ‎лиц, ‎а‏ ‎также‏ ‎круг ‎лиц,‏ ‎имеющих ‎доступ ‎к ‎ней. ‎Документация,‏ ‎содержащая ‎конфиденциальную‏ ‎информацию,‏ ‎не ‎может ‎располагаться‏ ‎на ‎внутреннем‏ ‎информационном ‎ресурсе ‎по ‎информационной‏ ‎безопасности‏ ‎компании, ‎а‏ ‎должна ‎храниться‏ ‎только ‎в ‎защищённых ‎местах.

Внимание! ‎Материал‏ ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании‏ ‎статьи ‎1259 ‎ГК ‎РФ.

Принципы ‎управления

Интегрируйте‏ ‎информационную ‎безопасность ‎в ‎бизнес-процессы ‎компании

Информационная‏ ‎безопасность ‎представляет‏ ‎собой‏ ‎сквозную ‎(интегральную) ‎функцию,‏ ‎которая ‎должна‏ ‎быть ‎введена ‎во ‎все‏ ‎процессы‏ ‎и ‎проекты‏ ‎компании, ‎связанные‏ ‎с ‎обработкой ‎информации. ‎Данное ‎требование‏ ‎обусловлено‏ ‎ключевой ‎ролью‏ ‎информации ‎в‏ ‎современных ‎компаниях ‎и ‎необходимостью ‎обеспечения‏ ‎её‏ ‎надлежащей‏ ‎защиты.

В ‎частности,‏ ‎в ‎рамках‏ ‎управления ‎проектами‏ ‎уже‏ ‎на ‎этапе‏ ‎планирования ‎следует ‎оценивать ‎потребности ‎в‏ ‎защите ‎информации,‏ ‎которая‏ ‎будет ‎генерироваться ‎и‏ ‎обрабатываться ‎в‏ ‎ходе ‎реализации ‎проекта. ‎Результаты‏ ‎данной‏ ‎оценки ‎должны‏ ‎служить ‎основой‏ ‎для ‎планирования ‎и ‎внедрения ‎соответствующих‏ ‎мер‏ ‎защиты.

Аналогичным ‎образом,‏ ‎процессы ‎управления‏ ‎инцидентами ‎в ‎ИТ-среде ‎должны ‎быть‏ ‎тесно‏ ‎взаимоувязаны‏ ‎с ‎управлением‏ ‎инцидентами ‎по‏ ‎информационной ‎безопасности.‏ ‎Это‏ ‎позволит ‎обеспечить‏ ‎своевременное ‎выявление, ‎реагирование ‎и ‎устранение‏ ‎сбоев, ‎затрагивающих‏ ‎информационную‏ ‎безопасность ‎в ‎компании.

Таким‏ ‎образом, ‎эффективность‏ ‎системы ‎управления ‎информационной ‎безопасностью‏ ‎компании‏ ‎во ‎многом‏ ‎зависит ‎от‏ ‎уровня ‎интеграции ‎данной ‎функции ‎в‏ ‎ключевые‏ ‎управленческие ‎процессы.‏ ‎Отсутствие ‎или‏ ‎недостаточная ‎интегрированность ‎информационной ‎безопасности ‎может‏ ‎значительно‏ ‎снижать‏ ‎её ‎нужность‏ ‎для ‎защиты‏ ‎компании ‎от‏ ‎угроз‏ ‎в ‎области‏ ‎информационной ‎безопасности.

Достижимые ‎цели

Проекты ‎часто ‎терпят‏ ‎неудачу ‎из-за‏ ‎нереалистичных‏ ‎или ‎слишком ‎амбициозных‏ ‎целевых ‎показателей.‏ ‎Это ‎не ‎является ‎исключением‏ ‎и‏ ‎в ‎сфере‏ ‎информационной ‎безопасности.‏ ‎Для ‎достижения ‎адекватной ‎цели ‎информационной‏ ‎безопасности‏ ‎зачастую ‎более‏ ‎эффективными ‎могут‏ ‎быть ‎многочисленные ‎небольшие ‎шаги ‎и‏ ‎долгосрочный,‏ ‎непрерывный‏ ‎процесс ‎улучшения‏ ‎без ‎значительных‏ ‎первоначальных ‎инвестиционных‏ ‎затрат,‏ ‎нежели ‎масштабный‏ ‎проект.

Так, ‎может ‎быть ‎целесообразным ‎в‏ ‎первую ‎очередь‏ ‎внедрять‏ ‎необходимый ‎уровень ‎ЗИВОП‏ ‎только ‎в‏ ‎выбранных ‎направлениях ‎мер ‎защиты,‏ ‎применяя‏ ‎базовые ‎меры‏ ‎защиты, ‎и‏ ‎сосредотачиваться ‎на ‎достижении ‎уровня ‎зрелости‏ ‎для‏ ‎каждой ‎из‏ ‎них. ‎Такой‏ ‎поэтапный, ‎эволюционный ‎подход ‎позволяет ‎достичь‏ ‎требуемого‏ ‎уровня‏ ‎ЗИВОП ‎без‏ ‎чрезмерных ‎ресурсных‏ ‎затрат ‎на‏ ‎старте,‏ ‎одновременно ‎обеспечивая‏ ‎постепенное ‎наращивание ‎защитных ‎мер ‎и,‏ ‎соответственно, ‎рост‏ ‎уровня‏ ‎ЗИВОП. ‎В ‎отличие‏ ‎от ‎рискованных‏ ‎крупномасштабных ‎проектов, ‎данная ‎тактика‏ ‎является‏ ‎более ‎обоснованной‏ ‎и ‎управляемой.

Экономический‏ ‎эффект

Одной ‎из ‎наиболее ‎сложных ‎задач‏ ‎в‏ ‎сфере ‎управления‏ ‎информационной ‎безопасностью‏ ‎является ‎оптимальное ‎распределение ‎ограниченных ‎ресурсов‏ ‎(они‏ ‎ВСЕГДА‏ ‎ограничены) ‎между‏ ‎различными ‎защитными‏ ‎мероприятиями ‎с‏ ‎учётом‏ ‎их ‎эффективности‏ ‎и ‎соотношения ‎с ‎возможными ‎рисками.

Наиболее‏ ‎рациональным ‎подходом‏ ‎является‏ ‎приоритизация ‎выделения ‎ресурсов‏ ‎в ‎те‏ ‎меры, ‎которые ‎демонстрируют ‎наибольшую‏ ‎результативность‏ ‎либо ‎предотвращают‏ ‎наиболее ‎критически‏ ‎важные ‎риски. ‎При ‎этом ‎следует‏ ‎отметить,‏ ‎что ‎самые‏ ‎действенные ‎решения‏ ‎не ‎всегда ‎являются ‎и ‎наиболее‏ ‎затратными.

Фундаментальное‏ ‎значение‏ ‎в ‎данном‏ ‎контексте ‎приобретает‏ ‎глубокое ‎понимание‏ ‎зависимости‏ ‎ключевых ‎бизнес-процессов‏ ‎и ‎функциональных ‎задач ‎компании ‎от‏ ‎информационно-технологической ‎инфраструктуры.‏ ‎Это‏ ‎знание ‎позволяет ‎выстраивать‏ ‎сбалансированную ‎систему‏ ‎обеспечения ‎информационной ‎безопасности.

Эффективная ‎реализация‏ ‎мер‏ ‎защиты ‎предполагает‏ ‎комплексный ‎подход,‏ ‎включающий ‎как ‎технические, ‎так ‎и‏ ‎организационные,‏ ‎режимные ‎меры.‏ ‎Инвестиции ‎в‏ ‎технические ‎средства ‎защиты ‎требуют ‎прямых‏ ‎финансовых‏ ‎затрат,‏ ‎которые ‎могут‏ ‎быть ‎оправданы‏ ‎только ‎при‏ ‎условии‏ ‎максимально ‎эффективного‏ ‎использования ‎данных ‎решений, ‎их ‎интеграции‏ ‎в ‎целостную‏ ‎систему‏ ‎безопасности ‎и ‎обеспечения‏ ‎соответствующего ‎уровня‏ ‎подготовки ‎персонала. ‎В ‎свою‏ ‎очередь,‏ ‎организационные ‎и‏ ‎режимные ‎меры‏ ‎могут ‎выступать ‎в ‎качестве ‎альтернативы‏ ‎или‏ ‎дополнения ‎к‏ ‎техническим ‎решениям,‏ ‎однако ‎их ‎последовательное ‎внедрение ‎сопряжено‏ ‎со‏ ‎значительными‏ ‎управленческими ‎и‏ ‎ресурсными ‎сложностями,‏ ‎и ‎частым‏ ‎отторжением‏ ‎их ‎персоналом‏ ‎без ‎соответствующих ‎разъяснений ‎об ‎их‏ ‎внедрении ‎со‏ ‎стороны‏ ‎руководящего ‎звена ‎компании.

Будьте‏ ‎примером

Высшее ‎руководство‏ ‎компании ‎также ‎должно ‎выполнять‏ ‎функцию‏ ‎эталона ‎в‏ ‎сфере ‎информационной‏ ‎безопасности. ‎Данное ‎требование ‎включает ‎в‏ ‎себя,‏ ‎помимо ‎прочего,‏ ‎соблюдение ‎руководящим‏ ‎звеном ‎всех ‎установленных ‎норм ‎и‏ ‎правил‏ ‎информационной‏ ‎безопасности, ‎участие‏ ‎в ‎образовательных‏ ‎мероприятиях, ‎а‏ ‎также‏ ‎оказание ‎поддержки‏ ‎другим ‎руководителям ‎в ‎осуществлении ‎ими‏ ‎своей ‎эталонной‏ ‎роли.

Первостепенно,‏ ‎чтобы ‎высшее ‎руководство‏ ‎компании ‎служило‏ ‎образцом ‎в ‎вопросах ‎информационной‏ ‎безопасности.‏ ‎Им ‎необходимо‏ ‎не ‎только‏ ‎придерживаться ‎всех ‎предписанных ‎регламентов, ‎но‏ ‎и‏ ‎лично ‎вовлекаться‏ ‎в ‎тренинги‏ ‎и ‎обучающие ‎программы, ‎а ‎также‏ ‎содействовать‏ ‎другим‏ ‎управленцам ‎в‏ ‎надлежащем ‎выполнении‏ ‎аналогичных ‎обязанностей.‏ ‎Лишь‏ ‎при ‎таком‏ ‎условии ‎руководство ‎компании ‎сможет ‎эффективно‏ ‎культивировать ‎культуру‏ ‎информационной‏ ‎безопасности ‎во ‎всей‏ ‎своей ‎организационной‏ ‎структуре.

В ‎компании ‎должен ‎работать‏ ‎принцип:‏ ‎делаешь ‎ты,‏ ‎делают ‎другие.‏ ‎Если ‎ты ‎не ‎делаешь, ‎то‏ ‎и‏ ‎с ‎других‏ ‎не ‎можешь‏ ‎спрашивать.

Необходимо ‎осознавать, ‎что ‎руководство ‎компании‏ ‎является‏ ‎маяком‏ ‎и ‎целью‏ ‎в ‎поведении‏ ‎для ‎сотрудников.‏ ‎Если‏ ‎руководство ‎не‏ ‎исполняет ‎требования ‎по ‎информационной ‎безопасности,‏ ‎значит ‎и‏ ‎сотрудники‏ ‎их ‎не ‎будут‏ ‎исполнять. ‎А‏ ‎следовательно ‎сколько ‎бы ‎ресурсов,‏ ‎включая‏ ‎финансовых, ‎в‏ ‎информационною ‎безопасность‏ ‎не ‎было ‎бы ‎вложено, ‎эффекта‏ ‎от‏ ‎них ‎не‏ ‎будет ‎никакого.

Внимание!‏ ‎Материал ‎охраняется ‎авторским ‎правом ‎на‏ ‎основании‏ ‎статьи‏ ‎1259 ‎ГК‏ ‎РФ.

Принципы ‎управления

Управление‏ ‎информационной ‎безопасностью ‎представляет ‎собой ‎комплексную‏ ‎управленческую ‎деятельность,‏ ‎направленную‏ ‎на ‎планирование, ‎организацию,‏ ‎контроль ‎и‏ ‎координацию ‎мер ‎по ‎обеспечению‏ ‎защиты‏ ‎информационных ‎ресурсов‏ ‎и ‎систем.‏ ‎Данная ‎функция ‎предполагает ‎выполнение ‎и‏ ‎соблюдение‏ ‎соответствующих ‎законодательных‏ ‎и ‎нормативных‏ ‎требований.

В ‎профессиональной ‎литературе ‎описаны ‎различные‏ ‎концептуальные‏ ‎подходы‏ ‎к ‎эффективной‏ ‎организации ‎системы‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎и ‎соответствующих‏ ‎организационных ‎структур. ‎Несмотря ‎на ‎многообразие‏ ‎моделей, ‎существует‏ ‎ряд‏ ‎универсальных ‎управленческих ‎принципов,‏ ‎которые ‎следует‏ ‎учитывать ‎в ‎данной ‎сфере.

Некоторые‏ ‎из‏ ‎этих ‎принципов‏ ‎могут ‎показаться‏ ‎очевидными, ‎поскольку ‎они ‎являются ‎общепризнанными‏ ‎ценностями‏ ‎в ‎теории‏ ‎менеджмента. ‎Парадоксально,‏ ‎но ‎на ‎практике ‎зачастую ‎именно‏ ‎простые,‏ ‎но‏ ‎важные ‎аспекты,‏ ‎такие ‎как‏ ‎дисциплина, ‎терпение,‏ ‎принятие‏ ‎ответственности, ‎тщательное‏ ‎планирование ‎проектов, ‎упускаются ‎из ‎виду‏ ‎вовсе ‎или‏ ‎реализуются‏ ‎ненадлежащим ‎образом. ‎В‏ ‎то ‎же‏ ‎время ‎эффективные ‎меры, ‎как‏ ‎то:‏ ‎оптимизация ‎процессов,‏ ‎обучение ‎персонала,‏ ‎повышение ‎осведомлённости, ‎мотивация ‎сотрудников, ‎разработка‏ ‎понятной‏ ‎документации, ‎могут‏ ‎значительно ‎повысить‏ ‎уровня ‎ЗИВОП ‎от ‎угроз ‎информационной‏ ‎безопасности.

В‏ ‎противовес‏ ‎этому, ‎сложные‏ ‎и, ‎соответственно,‏ ‎дорогостоящие ‎технические‏ ‎решения,‏ ‎необоснованно ‎преподносятся‏ ‎как ‎более ‎эффективные, ‎что ‎способствует‏ ‎формированию ‎негативного‏ ‎восприятия‏ ‎мер ‎защиты ‎как‏ ‎«ускорителя ‎затрат».‏ ‎Поэтому ‎в ‎дальнейшем ‎будут‏ ‎рассмотрены‏ ‎ключевые ‎принципы‏ ‎управления ‎информационной‏ ‎безопасностью, ‎соблюдение ‎которых ‎способствует ‎успешной‏ ‎реализации‏ ‎данной ‎функции.

Обязанности‏ ‎руководства ‎компании

Задачи‏ ‎и ‎обязанности ‎руководящего ‎звена ‎в‏ ‎области‏ ‎информационной‏ ‎безопасности ‎можно‏ ‎обобщить ‎в‏ ‎следующих ‎обозначенных‏ ‎пунктах‏ ‎ниже.

Принятие ‎на‏ ‎себя ‎общей ‎ответственности ‎за ‎информационную‏ ‎безопасность

Вопросы ‎информационной‏ ‎безопасности‏ ‎компаний ‎находятся ‎в‏ ‎фокусе ‎внимания‏ ‎руководящих ‎структур ‎различного ‎типа‏ ‎и‏ ‎уровня. ‎Ответственность‏ ‎за ‎обеспечение‏ ‎целостности, ‎конфиденциальности ‎и ‎доступности ‎информационных‏ ‎активов‏ ‎лежит ‎на‏ ‎высшем ‎руководстве‏ ‎государственных ‎органов, ‎коммерческих ‎предприятий ‎и‏ ‎иных‏ ‎экономических‏ ‎субъектах.

Данная ‎ответственность‏ ‎может ‎иметь‏ ‎как ‎нормативно-правовую,‏ ‎так‏ ‎и ‎организационно-управленческую‏ ‎природу. ‎С ‎одной ‎стороны, ‎требования‏ ‎по ‎обеспечению‏ ‎информационной‏ ‎безопасности ‎могут ‎быть‏ ‎закреплены ‎в‏ ‎законодательстве, ‎подзаконных ‎актах, ‎стандартах‏ ‎и‏ ‎прочих ‎регулирующих‏ ‎документах ‎в‏ ‎зависимости ‎от ‎сферы ‎деятельности ‎компании‏ ‎(например,‏ ‎Указ ‎Президента‏ ‎РФ ‎от‏ ‎01.05.2022 ‎№ ‎250). С ‎другой ‎стороны,‏ ‎руководство‏ ‎должно‏ ‎принимать ‎целенаправленные‏ ‎меры ‎по‏ ‎внедрению ‎и‏ ‎поддержанию‏ ‎адекватных ‎механизмов‏ ‎информационной ‎безопасности ‎как ‎в ‎рамках‏ ‎внутренних ‎процессов,‏ ‎так‏ ‎и ‎во ‎внешнем‏ ‎взаимодействии.

Ключевым ‎аспектом‏ ‎является ‎публичная ‎демонстрация ‎приверженности‏ ‎руководства‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности.‏ ‎Топ-менеджеры ‎обязаны ‎открыто ‎заявлять ‎о‏ ‎своей‏ ‎ответственности ‎в‏ ‎данной ‎сфере‏ ‎и ‎доводить ‎её ‎критическую ‎важность‏ ‎до‏ ‎сведения‏ ‎всех ‎сотрудников‏ ‎компании. ‎Таким‏ ‎образом, ‎обеспечивается‏ ‎формирование‏ ‎соответствующей ‎организационной‏ ‎культуры ‎и ‎повышается ‎эффективность ‎практической‏ ‎реализации ‎мер‏ ‎защиты.

Инициировать‏ ‎процесс, ‎контролировать ‎исполнение‏ ‎и ‎наблюдать‏ ‎за ‎состоянием ‎информационной ‎безопасности‏ ‎в‏ ‎компании

Роль ‎высшего‏ ‎руководства ‎в‏ ‎обеспечении ‎информационной ‎безопасности ‎компании ‎является‏ ‎ключевой‏ ‎и ‎стратегической.‏ ‎Основные ‎функциональные‏ ‎задачи ‎руководства ‎компании ‎в ‎этой‏ ‎области‏ ‎включают‏ ‎следующие ‎направления:

• разработка‏ ‎и ‎утверждение‏ ‎единой ‎политики‏ ‎информационной‏ ‎безопасности, ‎непосредственно‏ ‎увязанной ‎с ‎общими ‎бизнес-целями ‎и‏ ‎функциональными ‎приоритетами‏ ‎компании.‏ ‎Данная ‎политика ‎должна‏ ‎содержать ‎чёткие‏ ‎целевые ‎ориентиры ‎и ‎показатели‏ ‎в‏ ‎сфере ‎информационной‏ ‎безопасности;
• систематический ‎анализ‏ ‎и ‎оценка ‎влияния ‎рисков ‎информационной‏ ‎безопасности‏ ‎на ‎ключевые‏ ‎операционные ‎и‏ ‎функциональные ‎процессы. ‎На ‎основе ‎данной‏ ‎оценки‏ ‎руководство‏ ‎принимает ‎обоснованные‏ ‎решения ‎относительно‏ ‎применяемых ‎методов‏ ‎управления‏ ‎этими ‎рисками,‏ ‎сохраняя ‎за ‎собой ‎конечную ‎ответственность‏ ‎за ‎состояние‏ ‎информационной‏ ‎безопасности ‎компании;
• создание ‎необходимых‏ ‎организационных ‎условий‏ ‎и ‎стимулов ‎для ‎эффективной‏ ‎реализации‏ ‎мер ‎информационной‏ ‎безопасности. ‎Сюда‏ ‎относится ‎определение ‎ответственности, ‎полномочий ‎и‏ ‎ресурсного‏ ‎обеспечения ‎соответствующих‏ ‎подразделений/должностных ‎лиц;
• формирование‏ ‎культуры ‎постоянного ‎совершенствования ‎практик ‎информационной‏ ‎безопасности‏ ‎путём‏ ‎регулярного ‎анализа,‏ ‎актуализации ‎политики‏ ‎и ‎информирования/обучения‏ ‎персонала.

Таким‏ ‎образом, ‎стратегическая‏ ‎роль ‎высшего ‎руководства ‎заключается ‎в‏ ‎комплексном ‎управлении‏ ‎рисками‏ ‎информационной ‎безопасности ‎компании‏ ‎в ‎соответствии‏ ‎с ‎её ‎ключевыми ‎бизнес-целями‏ ‎(деятельностью),‏ ‎а ‎также‏ ‎постоянным ‎ростом‏ ‎уровня ‎ЗИВОП ‎исходя ‎из ‎уровня‏ ‎информационной‏ ‎безопасности ‎и‏ ‎уровня ‎зрелости‏ ‎мер ‎защиты.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом‏ ‎на‏ ‎основании ‎ст.‏ ‎1259 ‎ГК‏ ‎РФ.

Описание ‎процесса‏ ‎и ‎модель ‎жизненного ‎цикла

Жизненный ‎цикл‏ ‎в ‎информационной‏ ‎безопасности

Информационная‏ ‎безопасность ‎в ‎современных‏ ‎компаниях ‎не‏ ‎является ‎статичным ‎состоянием, ‎которое‏ ‎достигается‏ ‎единожды ‎и‏ ‎остаётся ‎неизменным.‏ ‎Наоборот, ‎это ‎динамичный ‎процесс, ‎требующий‏ ‎постоянного‏ ‎внимания ‎и‏ ‎адаптации. ‎Любая‏ ‎компания ‎подвержена ‎непрерывным ‎изменениям, ‎затрагивающим‏ ‎не‏ ‎только‏ ‎бизнес-процессы, ‎функциональные‏ ‎задачи, ‎инфраструктуру,‏ ‎организационные ‎структуры‏ ‎и‏ ‎ИТ-среду, ‎но‏ ‎и ‎условия ‎в ‎которых ‎компания‏ ‎строит ‎информационную‏ ‎безопасность.

Помимо‏ ‎внутренних ‎организационных ‎изменений,‏ ‎внешние ‎факторы‏ ‎также ‎оказывают ‎влияние ‎—‏ ‎например,‏ ‎изменения ‎в‏ ‎законодательстве, ‎договорных‏ ‎требованиях, ‎а ‎также ‎доступных ‎и‏ ‎используемых‏ ‎информационных ‎и‏ ‎коммуникационных ‎технологиях.‏ ‎Кроме ‎того, ‎появление ‎новых ‎методов‏ ‎атак‏ ‎и‏ ‎уязвимостей ‎может‏ ‎частично ‎или‏ ‎полностью ‎обесценить‏ ‎ранее‏ ‎внедрённые ‎меры‏ ‎защиты. ‎Таким ‎образом, ‎активное ‎управление‏ ‎информационной ‎безопасностью‏ ‎является‏ ‎необходимым ‎условием ‎для‏ ‎поддержания ‎достигнутого‏ ‎уровня ‎ЗИВОП ‎и ‎его‏ ‎непрерывного‏ ‎совершенствования ‎(увеличения).

Недостаточно‏ ‎однократно ‎спланировать‏ ‎и ‎внедрить ‎бизнес-процессы, ‎ИТ-системы ‎и‏ ‎соответствующие‏ ‎меры ‎защиты.‏ ‎После ‎их‏ ‎внедрения ‎необходимо ‎регулярно ‎оценивать ‎эффективность‏ ‎и‏ ‎актуальность‏ ‎принятых ‎мер,‏ ‎выявлять ‎слабые‏ ‎места ‎и‏ ‎возможности‏ ‎для ‎улучшения.‏ ‎Это ‎влечёт ‎за ‎собой ‎планирование‏ ‎и ‎внедрение‏ ‎необходимых‏ ‎корректировок ‎и ‎изменений.‏ ‎Кроме ‎того,‏ ‎при ‎завершении ‎бизнес-процессов ‎или‏ ‎замене/выводе‏ ‎из ‎эксплуатации‏ ‎компонентов ‎и‏ ‎ИТ-систем ‎также ‎следует ‎учитывать ‎аспекты‏ ‎информационной‏ ‎безопасности, ‎такие‏ ‎как ‎отзыв‏ ‎разрешений ‎и ‎безопасное ‎удаление ‎наработанной‏ ‎ранее‏ ‎информации‏ ‎либо ‎её‏ ‎безопасная ‎передача‏ ‎на ‎хранение.

Выделяются‏ ‎следующие‏ ‎этапы ‎жизненного‏ ‎цикла ‎информационной ‎безопасности:

• планирование ‎(разработка ‎концепции‏ ‎и ‎подходов);
• закупки‏ ‎и‏ ‎(или) ‎выделение ‎(при‏ ‎необходимости) ‎оборудования‏ ‎и ‎необходимых ‎ресурсов;
• внедрение ‎разработанных‏ ‎концепций‏ ‎и ‎подходов;
• эксплуатация‏ ‎(включая ‎мониторинг‏ ‎и ‎контроль ‎эффективности);
• вывод ‎из ‎эксплуатации‏ ‎(при‏ ‎необходимости);
• аварийное ‎реагирование;
• постоянное‏ ‎совершенствование ‎на‏ ‎основе ‎собираемой ‎обратной ‎связи ‎(метрик).

Такой‏ ‎подход‏ ‎обеспечивает‏ ‎непрерывное ‎улучшение‏ ‎информационной ‎безопасности‏ ‎в ‎компании‏ ‎в‏ ‎соответствии ‎с‏ ‎изменяющимися ‎внутренними ‎и ‎внешними ‎условиями.

Описание‏ ‎процесса ‎информационной‏ ‎безопасности

Современные‏ ‎исследования ‎в ‎области‏ ‎управления ‎информационной‏ ‎безопасностью ‎компаний ‎демонстрируют, ‎что‏ ‎не‏ ‎только ‎бизнес-процессы‏ ‎и ‎информационные‏ ‎системы ‎подвержены ‎динамическим ‎изменениям ‎во‏ ‎времени,‏ ‎но ‎и‏ ‎весь ‎комплекс‏ ‎мероприятий ‎по ‎обеспечению ‎уровня ‎ЗИВОП‏ ‎также‏ ‎имеет‏ ‎свой ‎жизненный‏ ‎цикл.

В ‎профессиональной‏ ‎литературе ‎по‏ ‎управлению‏ ‎информационной ‎безопасностью‏ ‎принято ‎выделять ‎следующие ‎ключевые ‎фазы‏ ‎жизненного ‎цикла‏ ‎процесса‏ ‎обеспечения ‎информационной ‎безопасности:

• Планирование.‏ ‎На ‎данном‏ ‎этапе ‎проводится ‎анализ ‎текущего‏ ‎состояния,‏ ‎определяются ‎цели‏ ‎и ‎задачи‏ ‎системы ‎защиты, ‎разрабатывается ‎стратегия ‎обеспечения‏ ‎безопасности;
• Реализация.‏ ‎Происходит ‎внедрение‏ ‎и ‎развёртывание‏ ‎запланированных ‎мер, ‎механизмов ‎и ‎средств‏ ‎защиты‏ ‎информации;
• Мониторинг‏ ‎и ‎контроль.‏ ‎Осуществляется ‎постоянный‏ ‎контроль ‎эффективности‏ ‎функционирования‏ ‎системы ‎безопасности,‏ ‎выявление ‎отклонений ‎от ‎плановых ‎показателей;
• Оптимизация‏ ‎и ‎совершенствование.‏ ‎На‏ ‎основе ‎результатов ‎мониторинга‏ ‎(сбора ‎метрик)‏ ‎вносятся ‎необходимые ‎коррективы, ‎производится‏ ‎модернизация‏ ‎и ‎оптимизация‏ ‎компонентов ‎системы‏ ‎защиты.

Данная ‎модель ‎жизненного ‎цикла, ‎также‏ ‎известная‏ ‎как ‎цикл‏ ‎PDCA ‎(Plan-Do-Check-Act),‏ ‎применима ‎не ‎только ‎к ‎общему‏ ‎процессу‏ ‎обеспечения‏ ‎информационной ‎безопасности,‏ ‎но ‎и‏ ‎к ‎отдельным‏ ‎его‏ ‎элементам, ‎таким‏ ‎как ‎стратегия, ‎концепция, ‎организационная ‎структура.‏ ‎Непрерывное ‎повторение‏ ‎данного‏ ‎цикла ‎позволяет ‎поддерживать‏ ‎актуальность ‎и‏ ‎эффективность ‎системы ‎информационной ‎безопасности‏ ‎компании‏ ‎в ‎условиях‏ ‎постоянно ‎меняющихся‏ ‎внешних ‎и ‎внутренних ‎факторов.

Необходимо ‎отметить,‏ ‎что‏ ‎содержание ‎и‏ ‎трудоёмкость ‎каждой‏ ‎из ‎фаз ‎жизненного ‎цикла ‎будут‏ ‎существенно‏ ‎различаться‏ ‎в ‎зависимости‏ ‎от ‎специфики‏ ‎компании, ‎её‏ ‎размера,‏ ‎отраслевой ‎принадлежности,‏ ‎уровня ‎ЗИВОП ‎и ‎других ‎параметров.‏ ‎Тем ‎не‏ ‎менее‏ ‎базовая ‎логика ‎циклического‏ ‎процесса ‎остаётся‏ ‎универсальной.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом‏ ‎на ‎основании‏ ‎ст. ‎1259‏ ‎ГК ‎РФ.

СУИБ. ‎Определение‏ ‎и ‎описание ‎процесса

Компоненты ‎системы ‎управления‏ ‎информационной ‎безопасностью

Термин‏ ‎«управление»‏ ‎(менеджмент) ‎используется ‎в‏ ‎двух ‎значениях:‏ ‎во-первых, ‎он ‎обозначает ‎руководящий‏ ‎уровень‏ ‎компании, ‎т.‏ ‎е. ‎совокупность‏ ‎руководителей ‎компании, ‎а ‎во-вторых, ‎в‏ ‎более‏ ‎общем ‎смысле‏ ‎— ‎деятельность‏ ‎по ‎руководству ‎и ‎организации ‎работы‏ ‎компании.

Для‏ ‎разграничения‏ ‎этих ‎двух‏ ‎значений, ‎в‏ ‎дальнейшем ‎группа‏ ‎ответственных‏ ‎руководителей ‎будет‏ ‎именоваться ‎«руководством ‎компании» ‎либо ‎«руководящим‏ ‎звеном» ‎в‏ ‎тех‏ ‎случаях, ‎когда ‎речь‏ ‎идёт ‎непосредственно‏ ‎о ‎руководителях, ‎во ‎избежание‏ ‎смешения‏ ‎с ‎«управлением»‏ ‎(менеджментом) ‎как‏ ‎видом ‎деятельности ‎(руководство, ‎координация, ‎планирование).

Система‏ ‎управления‏ ‎компанией ‎представляет‏ ‎собой ‎совокупность‏ ‎правил, ‎процедур ‎и ‎механизмов, ‎направленных‏ ‎на‏ ‎эффективное‏ ‎функционирование ‎и‏ ‎достижение ‎её‏ ‎целей. ‎В‏ ‎свою‏ ‎очередь, ‎система‏ ‎управления ‎информационной ‎безопасностью ‎(СУИБ) ‎является‏ ‎неотъемлемой ‎частью‏ ‎общей‏ ‎системы ‎управления ‎и‏ ‎отвечает ‎за‏ ‎планирование, ‎внедрение, ‎контроль ‎и‏ ‎совершенствование‏ ‎мер, ‎обеспечивающих‏ ‎защиту ‎информационных‏ ‎ресурсов.

Ключевыми ‎компонентами ‎СУИБ ‎являются:

• принципы ‎управления‏ ‎информационной‏ ‎безопасностью ‎—‏ ‎базовые ‎установки‏ ‎и ‎подходы, ‎лежащие ‎в ‎основе‏ ‎деятельности‏ ‎по‏ ‎обеспечению ‎информационной‏ ‎безопасности;
• ресурсное ‎обеспечение‏ ‎— ‎совокупность‏ ‎материальных,‏ ‎финансовых, ‎кадровых‏ ‎и ‎иных ‎средств, ‎необходимых ‎для‏ ‎функционирования ‎СУИБ;
• организационная‏ ‎структура‏ ‎и ‎кадровое ‎обеспечение‏ ‎— ‎распределение‏ ‎полномочий, ‎ответственности ‎и ‎квалификация‏ ‎сотрудников,‏ ‎вовлечённых ‎в‏ ‎процессы ‎управления‏ ‎информационной ‎безопасностью.

Принципы ‎управления ‎включают:

• политику ‎информационной‏ ‎безопасности‏ ‎— ‎документ,‏ ‎определяющий ‎цели,‏ ‎задачи ‎и ‎стратегию ‎обеспечения ‎безопасности‏ ‎информации;
• концепцию‏ ‎информационной‏ ‎безопасности ‎—‏ ‎комплексный ‎документ‏ ‎(набор ‎документов),‏ ‎описывающий‏ ‎систему ‎мер‏ ‎защиты ‎информационных ‎активов;
• организационную ‎структуру ‎управления‏ ‎информационной ‎безопасностью‏ ‎в‏ ‎компании.

Таким ‎образом, ‎СУИБ‏ ‎представляет ‎собой‏ ‎упорядоченную ‎совокупность ‎взаимосвязанных ‎элементов,‏ ‎обеспечивающих‏ ‎управление ‎процессами‏ ‎информационной ‎безопасности‏ ‎в ‎компании.

Стратегия ‎информационной ‎безопасности ‎выступает‏ ‎в‏ ‎качестве ‎ориентира‏ ‎для ‎планирования‏ ‎и ‎реализации ‎дальнейших ‎мероприятий, ‎направленных‏ ‎на‏ ‎достижение‏ ‎установленных ‎целей‏ ‎в ‎сфере‏ ‎обеспечения ‎безопасности‏ ‎компании.‏ ‎Данная ‎стратегия‏ ‎формируется ‎руководящим ‎звеном ‎компании ‎и‏ ‎базируется ‎на‏ ‎её‏ ‎бизнес-целях ‎или ‎задачах‏ ‎государственного ‎учреждения.

Ключевые‏ ‎аспекты ‎стратегии ‎безопасности ‎находят‏ ‎своё‏ ‎отражение ‎в‏ ‎нормативном ‎документе‏ ‎— ‎политике ‎по ‎информационной ‎безопасности‏ ‎компании.‏ ‎Указанный ‎документ‏ ‎имеет ‎принципиальное‏ ‎значение, ‎поскольку ‎содержит ‎открытое ‎заявление‏ ‎руководства‏ ‎компании‏ ‎относительно ‎её‏ ‎стратегических ‎приоритетов‏ ‎в ‎сфере‏ ‎обеспечения‏ ‎информационной ‎безопасности.

Внимание!‏ ‎Материал ‎охраняется ‎авторским ‎правом ‎на‏ ‎основании ‎ст.‏ ‎1259‏ ‎ГК ‎РФ.

Обзор ‎стандартов‏ ‎по ‎информационной ‎безопасности

В ‎сфере ‎информационной‏ ‎безопасности ‎сформировался‏ ‎ряд‏ ‎нормативных ‎документов ‎и‏ ‎стандартов, ‎ориентированных‏ ‎на ‎различные ‎целевые ‎группы‏ ‎и‏ ‎тематические ‎области.

Применение‏ ‎норм ‎и‏ ‎стандартов ‎информационной ‎безопасности ‎(их ‎ещё‏ ‎называют‏ ‎— ‎лучшие‏ ‎практики) ‎в‏ ‎компаниях ‎не ‎только ‎повышает ‎уровень‏ ‎ЗИК,‏ ‎но‏ ‎и ‎облегчает‏ ‎согласование ‎между‏ ‎различными ‎институтами‏ ‎относительно‏ ‎внедрения ‎конкретных‏ ‎мер ‎защиты.

Представленный ‎ниже ‎обзор ‎демонстрирует‏ ‎специфику ‎ключевых‏ ‎норм‏ ‎и ‎стандартов ‎в‏ ‎данной ‎сфере:

Стандарты‏ ‎информационной ‎безопасности ‎ISO

В ‎рамках‏ ‎деятельности‏ ‎международных ‎организаций‏ ‎по ‎стандартизации‏ ‎ISO ‎и ‎IEC, ‎нормативные ‎документы‏ ‎в‏ ‎сфере ‎информационной‏ ‎безопасности ‎унифицированы‏ ‎и ‎объединены ‎в ‎серию ‎стандартов‏ ‎2700x,‏ ‎которая‏ ‎постоянно ‎расширяется.‏ ‎На ‎глобальном‏ ‎уровне ‎данные‏ ‎нормы‏ ‎принято ‎обозначать‏ ‎как ‎международные ‎стандарты. ‎При ‎этом‏ ‎часть ‎этих‏ ‎международных‏ ‎стандартов ‎также ‎представлена‏ ‎в ‎виде‏ ‎переведённых ‎и ‎адаптированных ‎версий,‏ ‎выступающих‏ ‎в ‎качестве‏ ‎национальных ‎стандартов‏ ‎России ‎— ‎ГОСТ ‎Р ‎ИСО/МЭК.

Основной‏ ‎состав‏ ‎серии ‎стандартов‏ ‎ISO/IEC ‎27000x‏ ‎включает ‎следующие ‎ключевые ‎нормативные ‎документы:

ISO/IEC‏ ‎27000‏ ‎—‏ ‎Системы ‎менеджмента‏ ‎информационной ‎безопасности:‏ ‎Термины ‎и‏ ‎определения

Данный‏ ‎международный ‎стандарт‏ ‎предоставляет ‎концептуальный ‎обзор ‎систем ‎управления‏ ‎информационной ‎безопасностью‏ ‎(СУИБ)‏ ‎и ‎детально ‎рассматривает‏ ‎взаимосвязи ‎между‏ ‎различными ‎стандартами ‎серии ‎ISO/IEC‏ ‎27000.‏ ‎Помимо ‎этого,‏ ‎стандарт ‎содержит‏ ‎всеобъемлющий ‎глоссарий ‎ключевых ‎терминов ‎и‏ ‎определений,‏ ‎связанных ‎с‏ ‎управлением ‎информационной‏ ‎безопасностью.

ISO/IEC ‎27001 ‎— ‎Системы ‎управления‏ ‎информационной‏ ‎безопасности:‏ ‎Требования

Данный ‎международный‏ ‎стандарт ‎устанавливает‏ ‎нормативные ‎требования‏ ‎к‏ ‎внедрению, ‎функционированию‏ ‎и ‎постоянному ‎улучшению ‎документированной ‎системы‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎в ‎компаниях. ‎Стандарт‏ ‎состоит ‎примерно‏ ‎из ‎9 ‎страниц ‎требований‏ ‎и‏ ‎включает ‎нормативное‏ ‎приложение ‎с‏ ‎перечислением ‎более ‎100 ‎возможных ‎мер‏ ‎контроля,‏ ‎которые ‎должны‏ ‎быть ‎выбраны‏ ‎и ‎внедрены ‎с ‎учётом ‎соответствующих‏ ‎рисков‏ ‎информационной‏ ‎безопасности. ‎Необходимо‏ ‎отметить, ‎что‏ ‎ISO/IEC ‎27001‏ ‎не‏ ‎предоставляет ‎практические‏ ‎рекомендации ‎относительно ‎реализации ‎данных ‎требований.

Ранее‏ ‎структура ‎требований‏ ‎в‏ ‎ISO/IEC ‎27001 ‎была‏ ‎ориентирована ‎на‏ ‎модель ‎управленческого ‎цикла ‎PDCA‏ ‎(Plan-Do-Check-Act).‏ ‎Однако ‎при‏ ‎последнем ‎пересмотре‏ ‎стандарта ‎явное ‎упоминание ‎этого ‎цикла‏ ‎было‏ ‎исключено. ‎Это‏ ‎было ‎сделано‏ ‎с ‎целью ‎подчеркнуть, ‎что ‎порядок‏ ‎изложения‏ ‎отдельных‏ ‎требований ‎в‏ ‎стандарте ‎не‏ ‎отражает ‎их‏ ‎относительную‏ ‎важность ‎или‏ ‎рекомендуемую ‎последовательность ‎внедрения. ‎Тем ‎не‏ ‎менее ‎мероприятия‏ ‎по‏ ‎построению ‎и ‎функционированию‏ ‎СУИБ ‎по-прежнему‏ ‎могут ‎осуществляться ‎в ‎соответствии‏ ‎с‏ ‎циклом ‎PDCA.

ISO/IEC‏ ‎27002 ‎—‏ ‎Свод ‎правил ‎для ‎средств ‎управления‏ ‎информационной‏ ‎безопасностью

Данный ‎международный‏ ‎стандарт ‎оказывает‏ ‎практическую ‎поддержку ‎компаниям ‎в ‎выборе‏ ‎и‏ ‎внедрении‏ ‎мер ‎контроля,‏ ‎описанных ‎в‏ ‎ISO/IEC ‎27001,‏ ‎с‏ ‎целью ‎построения‏ ‎эффективно ‎функционирующей ‎системы ‎управления ‎информационной‏ ‎безопасностью ‎и‏ ‎её‏ ‎интеграции ‎в ‎общую‏ ‎систему ‎менеджмента‏ ‎компании. ‎Соответствующие ‎меры ‎безопасности‏ ‎описаны‏ ‎на ‎90‏ ‎страницах ‎стандарта‏ ‎ISO/IEC ‎27002. ‎Рекомендации ‎в ‎первую‏ ‎очередь‏ ‎ориентированы ‎на‏ ‎уровень ‎менеджмента‏ ‎и ‎содержат ‎минимум ‎технических ‎деталей.

ISO/IEC‏ ‎27004‏ ‎—‏ ‎Мониторинг, ‎измерение,‏ ‎анализ ‎и‏ ‎оценка

Международный ‎стандарт‏ ‎ISO/IEC‏ ‎27004 ‎посвящён‏ ‎методологическим ‎аспектам ‎мониторинга, ‎измерения, ‎анализа‏ ‎и ‎оценки‏ ‎эффективности‏ ‎внедрения ‎и ‎функционирования‏ ‎системы ‎управления‏ ‎информационной ‎безопасностью ‎в ‎компаниях.

Основное‏ ‎назначение‏ ‎данного ‎стандарта‏ ‎заключается ‎в‏ ‎регламентации ‎процедур ‎по ‎разработке ‎и‏ ‎реализации‏ ‎программы ‎мониторинга‏ ‎СУИБ, ‎которая‏ ‎должна ‎обеспечивать ‎поддержку ‎управленческих ‎решений‏ ‎и‏ ‎демонстрировать‏ ‎результативность ‎внедрённой‏ ‎системы ‎менеджмента.

В‏ ‎стандарте ‎рассматриваются‏ ‎вопросы‏ ‎определения ‎соответствующих‏ ‎метрик ‎и ‎ключевых ‎показателей ‎для‏ ‎оценки ‎эффективности‏ ‎мер‏ ‎контроля ‎информационной ‎безопасности‏ ‎и ‎общей‏ ‎результативности ‎СУИБ. ‎Особое ‎внимание‏ ‎уделяется‏ ‎методам ‎сбора,‏ ‎анализа ‎и‏ ‎интерпретации ‎данных, ‎полученных ‎в ‎ходе‏ ‎мониторинга,‏ ‎с ‎целью‏ ‎выявления ‎тенденций,‏ ‎областей ‎для ‎улучшения ‎и ‎обоснования‏ ‎достигнутого‏ ‎уровня‏ ‎ЗИК.

Применение ‎положений‏ ‎ISO/IEC ‎27004‏ ‎позволяет ‎компаниям‏ ‎обеспечивать‏ ‎объективную ‎оценку‏ ‎и ‎демонстрировать ‎заинтересованным ‎сторонам ‎эффективность‏ ‎функционирования ‎их‏ ‎системы‏ ‎менеджмента ‎информационной ‎безопасности‏ ‎на ‎постоянной‏ ‎основе.

ISO/IEC ‎27005 ‎— ‎Менеджмент‏ ‎рисков‏ ‎информационной ‎безопасности

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27005 ‎«Менеджмент ‎рисков ‎информационной ‎безопасности»‏ ‎содержит‏ ‎рекомендации ‎по‏ ‎разработке ‎структурированного‏ ‎подхода ‎к ‎управлению ‎рисками ‎в‏ ‎сфере‏ ‎информационной‏ ‎безопасности. ‎Данный‏ ‎стандарт, ‎в‏ ‎частности, ‎оказывает‏ ‎методологическую‏ ‎поддержку ‎при‏ ‎реализации ‎требований ‎стандарта ‎ISO/IEC ‎27001.‏ ‎Следует ‎отметить,‏ ‎что‏ ‎ISO/IEC ‎27005 ‎не‏ ‎предписывает ‎какую-либо‏ ‎конкретную ‎методику ‎управления ‎рисками.

Рассматриваемый‏ ‎стандарт‏ ‎во ‎многом‏ ‎базируется ‎на‏ ‎положениях ‎международного ‎стандарта ‎ISO/IEC ‎31000‏ ‎«Менеджмент‏ ‎рисков ‎—‏ ‎Принципы ‎и‏ ‎руководящие ‎указания». ‎Дополняющий ‎стандарт ‎ISO/IEC‏ ‎31010‏ ‎«Методы‏ ‎оценки ‎рисков»‏ ‎подробно ‎раскрывает‏ ‎вопросы ‎интеграции‏ ‎процедур‏ ‎оценки ‎рисков‏ ‎в ‎систему ‎риск-менеджмента, ‎а ‎также‏ ‎методологии ‎идентификации,‏ ‎анализа,‏ ‎оценки ‎и ‎обработки‏ ‎рисков. ‎Приложение‏ ‎B ‎стандарта ‎ISO/IEC ‎31010‏ ‎предоставляет‏ ‎всесторонний ‎обзор‏ ‎более ‎30‏ ‎различных ‎методов ‎оценки ‎рисков.

Комплексное ‎применение‏ ‎изложенных‏ ‎в ‎данных‏ ‎взаимосвязанных ‎стандартах‏ ‎подходов ‎позволяет ‎компаниям ‎формировать ‎эффективные‏ ‎системы‏ ‎менеджмента‏ ‎рисков ‎информационной‏ ‎безопасности ‎на‏ ‎основе ‎признанных‏ ‎международных‏ ‎методологий.

ISO/IEC ‎27006‏ ‎— ‎Требования ‎к ‎органам, ‎проводящим‏ ‎аудит ‎и‏ ‎сертификацию‏ ‎систем ‎управления ‎информационной‏ ‎безопасностью

Стандарт ‎ISO/IEC‏ ‎27006 ‎регламентирует ‎требования ‎к‏ ‎органам,‏ ‎осуществляющим ‎аудит‏ ‎и ‎сертификацию‏ ‎систем ‎управления ‎информационной ‎безопасностью. ‎Данный‏ ‎стандарт‏ ‎устанавливает ‎чёткие‏ ‎критерии ‎для‏ ‎аккредитации ‎органов ‎по ‎сертификации ‎СУИБ,‏ ‎а‏ ‎также‏ ‎подробно ‎рассматривает‏ ‎специфику ‎процессов‏ ‎сертификации ‎СУИБ.

ISO/IEC‏ ‎27009‏ ‎— ‎Отраслевое‏ ‎применение ‎ISO/IEC ‎27001 ‎— ‎Требования

Стандарт‏ ‎ISO/IEC ‎27009‏ ‎описывает‏ ‎механизмы ‎адаптации ‎стандарта‏ ‎ISO/IEC ‎27001‏ ‎к ‎особенностям ‎различных ‎секторов‏ ‎экономики.‏ ‎Он ‎регламентирует,‏ ‎каким ‎образом‏ ‎могут ‎быть ‎интегрированы ‎отраслевые ‎расширения‏ ‎(например,‏ ‎для ‎энергетики,‏ ‎облачных ‎вычислений,‏ ‎финансовой ‎сферы) ‎в ‎структуру ‎СУИБ,‏ ‎построенной‏ ‎на‏ ‎базе ‎ISO/IEC‏ ‎27001, ‎и‏ ‎учтены ‎в‏ ‎качестве‏ ‎дополнительных ‎требований.‏ ‎Для ‎этого ‎предусматривается ‎возможность ‎расширения‏ ‎или ‎дополнения‏ ‎отдельных‏ ‎мер ‎контроля, ‎содержащихся‏ ‎в ‎приложении‏ ‎к ‎ISO/IEC ‎27001.

Другие ‎стандарты‏ ‎серии‏ ‎ISO/IEC ‎27000,‏ ‎вероятно, ‎в‏ ‎долгосрочной ‎перспективе ‎будут ‎охватывать ‎диапазон‏ ‎номеров‏ ‎от ‎27000‏ ‎до ‎271xx.‏ ‎Все ‎эти ‎стандарты, ‎так ‎или‏ ‎иначе,‏ ‎связаны‏ ‎с ‎различными‏ ‎аспектами ‎управления‏ ‎информационной ‎безопасностью,‏ ‎и‏ ‎призваны ‎способствовать‏ ‎более ‎глубокому ‎пониманию ‎и ‎эффективному‏ ‎практическому ‎применению‏ ‎требований‏ ‎ISO/IEC ‎27001. ‎Среди‏ ‎таких ‎стандартов‏ ‎можно ‎выделить ‎документы, ‎посвящённые‏ ‎вопросам‏ ‎практической ‎реализации‏ ‎СУИБ ‎и‏ ‎обеспечения ‎непрерывности ‎бизнес-процессов.

Следует ‎отметить, ‎что‏ ‎отраслевые‏ ‎стандарты, ‎такие‏ ‎как ‎ISO/IEC‏ ‎27019 ‎для ‎энергетического ‎сектора, ‎также‏ ‎разрабатываются‏ ‎на‏ ‎основе ‎концепций,‏ ‎заложенных ‎в‏ ‎ISO/IEC ‎27009,‏ ‎что‏ ‎обеспечивает ‎их‏ ‎согласованность ‎с ‎базовыми ‎требованиями ‎информационной‏ ‎безопасности.

COBIT ‎5

COBIT‏ ‎5‏ ‎рассматривает ‎информационные ‎технологии‏ ‎как ‎ключевую‏ ‎основу ‎для ‎достижения ‎организационных‏ ‎целей‏ ‎бизнеса ‎и‏ ‎предписывает, ‎чтобы‏ ‎цели ‎ИТ, ‎а ‎следовательно ‎и‏ ‎информационной‏ ‎безопасности ‎проистекали‏ ‎из ‎бизнес-стратегии,‏ ‎а ‎предоставляемые ‎ИТ-услуги ‎отвечали ‎требованиям‏ ‎качества‏ ‎бизнес-процессов‏ ‎для ‎всей‏ ‎компании. ‎Аналогично‏ ‎методологии ‎ITIL,‏ ‎COBIT‏ ‎5 ‎ориентируются‏ ‎на ‎целенаправленные, ‎оптимизированные ‎ИТ-процессы. ‎Кроме‏ ‎того, ‎COBIT‏ ‎5‏ ‎вводит ‎концепцию ‎«потенциала‏ ‎процесса», ‎которая‏ ‎позволяет ‎оценить ‎способность ‎организации‏ ‎надёжно‏ ‎и ‎устойчиво‏ ‎достигать ‎требуемых‏ ‎целей. ‎Комплексная ‎оценка ‎зрелости ‎всех‏ ‎37‏ ‎процессных ‎областей,‏ ‎разделённых ‎на‏ ‎пять ‎доменов, ‎даёт ‎возможность ‎сделать‏ ‎выводы‏ ‎о‏ ‎профессионализме ‎поддерживающих‏ ‎ИТ-процессов ‎должностных‏ ‎лиц. ‎Документы‏ ‎COBIT‏ ‎издаются ‎Ассоциацией‏ ‎по ‎аудиту ‎и ‎контролю ‎информационных‏ ‎систем ‎(ISACA).‏ ‎При‏ ‎разработке ‎COBIT ‎авторы‏ ‎ориентировались ‎на‏ ‎существующие ‎международные ‎стандарты ‎в‏ ‎области‏ ‎управления ‎информационной‏ ‎безопасностью, ‎в‏ ‎частности, ‎на ‎стандарт ‎ISO/IEC ‎27002.

ITIL

Библиотека‏ ‎информационных‏ ‎технологий ‎и‏ ‎инфраструктуры ‎(Information‏ ‎Technology ‎Infrastructure ‎Library, ‎ITIL) ‎представляет‏ ‎собой‏ ‎комплекс‏ ‎взаимосвязанных ‎методических‏ ‎материалов, ‎посвящённых‏ ‎вопросам ‎управления‏ ‎ИТ-услугами.‏ ‎Данная ‎инициатива‏ ‎была ‎разработана ‎Офисом ‎правительственной ‎торговли‏ ‎(Office ‎of‏ ‎Government‏ ‎Commerce, ‎OGC) ‎соединённого‏ ‎королевства ‎Великобритании.

Основная‏ ‎цель ‎ITIL ‎заключается ‎в‏ ‎оптимизации‏ ‎качества ‎и‏ ‎эффективности ‎ИТ-услуг‏ ‎с ‎позиции ‎ИТ-провайдера, ‎будь ‎то‏ ‎внутреннее‏ ‎ИТ-подразделение ‎компании‏ ‎или ‎сторонний‏ ‎сервис-провайдер. ‎Особое ‎внимание ‎в ‎рамках‏ ‎данного‏ ‎методологического‏ ‎подхода ‎уделяется‏ ‎вопросам ‎информационной‏ ‎безопасности, ‎которые‏ ‎рассматриваются‏ ‎с ‎операционной‏ ‎точки ‎зрения ‎(операционной ‎деятельности). ‎В‏ ‎свою ‎очередь,‏ ‎надлежащее‏ ‎функционирование ‎ИТ-инфраструктуры ‎выступает‏ ‎ключевым ‎фактором‏ ‎эффективного ‎функционирования ‎системы ‎управления‏ ‎информационной‏ ‎безопасностью, ‎в‏ ‎результате ‎чего‏ ‎многие ‎дисциплины ‎ITIL ‎в ‎той‏ ‎или‏ ‎иной ‎мере‏ ‎коррелируют ‎с‏ ‎принципами ‎обеспечения ‎информационной ‎безопасности, ‎закреплёнными‏ ‎в‏ ‎соответствующих‏ ‎стандартах.

На ‎базе‏ ‎методологии ‎ITIL‏ ‎был ‎разработан‏ ‎международный‏ ‎стандарт ‎ISO/IEC‏ ‎20000, ‎который ‎устанавливает ‎требования ‎к‏ ‎системе ‎управления‏ ‎ИТ-услугами‏ ‎и ‎может ‎быть‏ ‎использован ‎в‏ ‎качестве ‎основы ‎для ‎сертификации.

PCI‏ ‎DSS

Стандарт‏ ‎безопасности ‎платёжных‏ ‎карт ‎(PCI‏ ‎DSS) ‎является ‎инструментом ‎для ‎обеспечения‏ ‎информационной‏ ‎безопасности ‎в‏ ‎сфере ‎платежей‏ ‎с ‎использованием ‎банковских ‎карт. ‎Он‏ ‎был‏ ‎разработан‏ ‎Советом ‎по‏ ‎стандартам ‎безопасности‏ ‎платёжных ‎карт,‏ ‎консорциумом‏ ‎ведущих ‎платёжных‏ ‎систем, ‎и ‎определяет ‎требования ‎к‏ ‎защите ‎данных‏ ‎держателей‏ ‎карт ‎для ‎всех‏ ‎компаний, ‎участвующих‏ ‎в ‎обработке, ‎хранении ‎или‏ ‎передаче‏ ‎этих ‎данных.‏ ‎Соблюдение ‎стандарта‏ ‎PCI ‎DSS ‎является ‎обязательным ‎для‏ ‎торговых‏ ‎предприятий, ‎принимающих‏ ‎платежи ‎по‏ ‎картам, ‎а ‎также ‎для ‎провайдеров‏ ‎услуг,‏ ‎оказывающих‏ ‎услуги ‎обработки‏ ‎таких ‎платежей.

NIST

Национальный‏ ‎институт ‎стандартов‏ ‎и‏ ‎технологий ‎(NIST)‏ ‎является ‎федеральным ‎агентством ‎США, ‎ответственным‏ ‎за ‎разработку‏ ‎официальных‏ ‎стандартов ‎и ‎руководств‏ ‎в ‎сфере‏ ‎информационной ‎безопасности. ‎Серия ‎специальных‏ ‎публикаций‏ ‎NIST ‎SP‏ ‎800 ‎содержит‏ ‎обширные ‎рекомендации ‎по ‎различным ‎аспектам‏ ‎информационной‏ ‎безопасности, ‎которые‏ ‎оказывают ‎значительное‏ ‎влияние ‎на ‎формирование ‎передовых ‎практик‏ ‎в‏ ‎этой‏ ‎области ‎на‏ ‎международном ‎уровне.‏ ‎В ‎частности,‏ ‎документ‏ ‎NIST ‎SP‏ ‎800-53 ‎представляет ‎собой ‎всеобъемлющий ‎свод‏ ‎средств ‎управления‏ ‎информационной‏ ‎безопасностью, ‎структурированный ‎по‏ ‎тематическим ‎областям.

ISF‏ ‎— ‎Стандарт ‎надлежащей ‎практики

Форум‏ ‎информационной‏ ‎безопасности ‎(ISF)‏ ‎является ‎независимой‏ ‎международной ‎организацией, ‎специализирующейся ‎на ‎информационной‏ ‎безопасности.‏ ‎ISF ‎публикует‏ ‎Стандарт ‎надлежащей‏ ‎практики ‎(SoGP) ‎— ‎практико-ориентированное ‎руководство‏ ‎по‏ ‎информационной‏ ‎безопасности, ‎основанное‏ ‎на ‎признанных‏ ‎передовых ‎практиках‏ ‎и‏ ‎охватывающее ‎требования‏ ‎ведущих ‎стандартов, ‎таких ‎как ‎ISO/IEC‏ ‎27002, ‎COBIT‏ ‎5,‏ ‎PCI ‎DSS ‎и‏ ‎NIST ‎SP‏ ‎800-53.

Настоящие ‎рекомендации ‎основаны ‎на‏ ‎ИСО‏ ‎27001, ‎а‏ ‎также ‎других‏ ‎стандартах ‎указанных ‎выше.

Внимание! ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на‏ ‎основании ‎ст.‏ ‎1259 ‎ГК ‎РФ.