Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 4)

СУИБ. ‎Определение‏ ‎и ‎описание ‎процесса

Компоненты ‎системы ‎управления‏ ‎информационной ‎безопасностью

Термин‏ ‎«управление»‏ ‎(менеджмент) ‎используется ‎в‏ ‎двух ‎значениях:‏ ‎во-первых, ‎он ‎обозначает ‎руководящий‏ ‎уровень‏ ‎компании, ‎т.‏ ‎е. ‎совокупность‏ ‎руководителей ‎компании, ‎а ‎во-вторых, ‎в‏ ‎более‏ ‎общем ‎смысле‏ ‎— ‎деятельность‏ ‎по ‎руководству ‎и ‎организации ‎работы‏ ‎компании.

Для‏ ‎разграничения‏ ‎этих ‎двух‏ ‎значений, ‎в‏ ‎дальнейшем ‎группа‏ ‎ответственных‏ ‎руководителей ‎будет‏ ‎именоваться ‎«руководством ‎компании» ‎либо ‎«руководящим‏ ‎звеном» ‎в‏ ‎тех‏ ‎случаях, ‎когда ‎речь‏ ‎идёт ‎непосредственно‏ ‎о ‎руководителях, ‎во ‎избежание‏ ‎смешения‏ ‎с ‎«управлением»‏ ‎(менеджментом) ‎как‏ ‎видом ‎деятельности ‎(руководство, ‎координация, ‎планирование).

Система‏ ‎управления‏ ‎компанией ‎представляет‏ ‎собой ‎совокупность‏ ‎правил, ‎процедур ‎и ‎механизмов, ‎направленных‏ ‎на‏ ‎эффективное‏ ‎функционирование ‎и‏ ‎достижение ‎её‏ ‎целей. ‎В‏ ‎свою‏ ‎очередь, ‎система‏ ‎управления ‎информационной ‎безопасностью ‎(СУИБ) ‎является‏ ‎неотъемлемой ‎частью‏ ‎общей‏ ‎системы ‎управления ‎и‏ ‎отвечает ‎за‏ ‎планирование, ‎внедрение, ‎контроль ‎и‏ ‎совершенствование‏ ‎мер, ‎обеспечивающих‏ ‎защиту ‎информационных‏ ‎ресурсов.

Ключевыми ‎компонентами ‎СУИБ ‎являются:

• принципы ‎управления‏ ‎информационной‏ ‎безопасностью ‎—‏ ‎базовые ‎установки‏ ‎и ‎подходы, ‎лежащие ‎в ‎основе‏ ‎деятельности‏ ‎по‏ ‎обеспечению ‎информационной‏ ‎безопасности;
• ресурсное ‎обеспечение‏ ‎— ‎совокупность‏ ‎материальных,‏ ‎финансовых, ‎кадровых‏ ‎и ‎иных ‎средств, ‎необходимых ‎для‏ ‎функционирования ‎СУИБ;
• организационная‏ ‎структура‏ ‎и ‎кадровое ‎обеспечение‏ ‎— ‎распределение‏ ‎полномочий, ‎ответственности ‎и ‎квалификация‏ ‎сотрудников,‏ ‎вовлечённых ‎в‏ ‎процессы ‎управления‏ ‎информационной ‎безопасностью.

Принципы ‎управления ‎включают:

• политику ‎информационной‏ ‎безопасности‏ ‎— ‎документ,‏ ‎определяющий ‎цели,‏ ‎задачи ‎и ‎стратегию ‎обеспечения ‎безопасности‏ ‎информации;
• концепцию‏ ‎информационной‏ ‎безопасности ‎—‏ ‎комплексный ‎документ‏ ‎(набор ‎документов),‏ ‎описывающий‏ ‎систему ‎мер‏ ‎защиты ‎информационных ‎активов;
• организационную ‎структуру ‎управления‏ ‎информационной ‎безопасностью‏ ‎в‏ ‎компании.

Таким ‎образом, ‎СУИБ‏ ‎представляет ‎собой‏ ‎упорядоченную ‎совокупность ‎взаимосвязанных ‎элементов,‏ ‎обеспечивающих‏ ‎управление ‎процессами‏ ‎информационной ‎безопасности‏ ‎в ‎компании.

Стратегия ‎информационной ‎безопасности ‎выступает‏ ‎в‏ ‎качестве ‎ориентира‏ ‎для ‎планирования‏ ‎и ‎реализации ‎дальнейших ‎мероприятий, ‎направленных‏ ‎на‏ ‎достижение‏ ‎установленных ‎целей‏ ‎в ‎сфере‏ ‎обеспечения ‎безопасности‏ ‎компании.‏ ‎Данная ‎стратегия‏ ‎формируется ‎руководящим ‎звеном ‎компании ‎и‏ ‎базируется ‎на‏ ‎её‏ ‎бизнес-целях ‎или ‎задачах‏ ‎государственного ‎учреждения.

Ключевые‏ ‎аспекты ‎стратегии ‎безопасности ‎находят‏ ‎своё‏ ‎отражение ‎в‏ ‎нормативном ‎документе‏ ‎— ‎политике ‎по ‎информационной ‎безопасности‏ ‎компании.‏ ‎Указанный ‎документ‏ ‎имеет ‎принципиальное‏ ‎значение, ‎поскольку ‎содержит ‎открытое ‎заявление‏ ‎руководства‏ ‎компании‏ ‎относительно ‎её‏ ‎стратегических ‎приоритетов‏ ‎в ‎сфере‏ ‎обеспечения‏ ‎информационной ‎безопасности.

Внимание!‏ ‎Материал ‎охраняется ‎авторским ‎правом ‎на‏ ‎основании ‎ст.‏ ‎1259‏ ‎ГК ‎РФ.