logo
Методология "Волга-27001"
Методология по созданию системы управления информационной безопасностью для организации любого уровня.
Поиск
Вход
Регистрация
logo
Методология "Волга-27001"  Методология по созданию системы управления информационной безопасностью для организации любого уровня.
Подписаться
10.09.2024 15:13
logo Методология "Волга-27001"

Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 5)

Описание ‎процесса‏ ‎и ‎модель ‎жизненного ‎цикла

Жизненный ‎цикл‏ ‎в ‎информационной‏ ‎безопасности

Информационная‏ ‎безопасность ‎в ‎современных‏ ‎компаниях ‎не‏ ‎является ‎статичным ‎состоянием, ‎которое‏ ‎достигается‏ ‎единожды ‎и‏ ‎остаётся ‎неизменным.‏ ‎Наоборот, ‎это ‎динамичный ‎процесс, ‎требующий‏ ‎постоянного‏ ‎внимания ‎и‏ ‎адаптации. ‎Любая‏ ‎компания ‎подвержена ‎непрерывным ‎изменениям, ‎затрагивающим‏ ‎не‏ ‎только‏ ‎бизнес-процессы, ‎функциональные‏ ‎задачи, ‎инфраструктуру,‏ ‎организационные ‎структуры‏ ‎и‏ ‎ИТ-среду, ‎но‏ ‎и ‎условия ‎в ‎которых ‎компания‏ ‎строит ‎информационную‏ ‎безопасность.

Помимо‏ ‎внутренних ‎организационных ‎изменений,‏ ‎внешние ‎факторы‏ ‎также ‎оказывают ‎влияние ‎—‏ ‎например,‏ ‎изменения ‎в‏ ‎законодательстве, ‎договорных‏ ‎требованиях, ‎а ‎также ‎доступных ‎и‏ ‎используемых‏ ‎информационных ‎и‏ ‎коммуникационных ‎технологиях.‏ ‎Кроме ‎того, ‎появление ‎новых ‎методов‏ ‎атак‏ ‎и‏ ‎уязвимостей ‎может‏ ‎частично ‎или‏ ‎полностью ‎обесценить‏ ‎ранее‏ ‎внедрённые ‎меры‏ ‎защиты. ‎Таким ‎образом, ‎активное ‎управление‏ ‎информационной ‎безопасностью‏ ‎является‏ ‎необходимым ‎условием ‎для‏ ‎поддержания ‎достигнутого‏ ‎уровня ‎ЗИВОП ‎и ‎его‏ ‎непрерывного‏ ‎совершенствования ‎(увеличения).

Недостаточно‏ ‎однократно ‎спланировать‏ ‎и ‎внедрить ‎бизнес-процессы, ‎ИТ-системы ‎и‏ ‎соответствующие‏ ‎меры ‎защиты.‏ ‎После ‎их‏ ‎внедрения ‎необходимо ‎регулярно ‎оценивать ‎эффективность‏ ‎и‏ ‎актуальность‏ ‎принятых ‎мер,‏ ‎выявлять ‎слабые‏ ‎места ‎и‏ ‎возможности‏ ‎для ‎улучшения.‏ ‎Это ‎влечёт ‎за ‎собой ‎планирование‏ ‎и ‎внедрение‏ ‎необходимых‏ ‎корректировок ‎и ‎изменений.‏ ‎Кроме ‎того,‏ ‎при ‎завершении ‎бизнес-процессов ‎или‏ ‎замене/выводе‏ ‎из ‎эксплуатации‏ ‎компонентов ‎и‏ ‎ИТ-систем ‎также ‎следует ‎учитывать ‎аспекты‏ ‎информационной‏ ‎безопасности, ‎такие‏ ‎как ‎отзыв‏ ‎разрешений ‎и ‎безопасное ‎удаление ‎наработанной‏ ‎ранее‏ ‎информации‏ ‎либо ‎её‏ ‎безопасная ‎передача‏ ‎на ‎хранение.

Выделяются‏ ‎следующие‏ ‎этапы ‎жизненного‏ ‎цикла ‎информационной ‎безопасности:

  • планирование ‎(разработка ‎концепции‏ ‎и ‎подходов);
  • закупки‏ ‎и‏ ‎(или) ‎выделение ‎(при‏ ‎необходимости) ‎оборудования‏ ‎и ‎необходимых ‎ресурсов;
  • внедрение ‎разработанных‏ ‎концепций‏ ‎и ‎подходов;
  • эксплуатация‏ ‎(включая ‎мониторинг‏ ‎и ‎контроль ‎эффективности);
  • вывод ‎из ‎эксплуатации‏ ‎(при‏ ‎необходимости);
  • аварийное ‎реагирование;
  • постоянное‏ ‎совершенствование ‎на‏ ‎основе ‎собираемой ‎обратной ‎связи ‎(метрик).

Такой‏ ‎подход‏ ‎обеспечивает‏ ‎непрерывное ‎улучшение‏ ‎информационной ‎безопасности‏ ‎в ‎компании‏ ‎в‏ ‎соответствии ‎с‏ ‎изменяющимися ‎внутренними ‎и ‎внешними ‎условиями.

Описание‏ ‎процесса ‎информационной‏ ‎безопасности

Современные‏ ‎исследования ‎в ‎области‏ ‎управления ‎информационной‏ ‎безопасностью ‎компаний ‎демонстрируют, ‎что‏ ‎не‏ ‎только ‎бизнес-процессы‏ ‎и ‎информационные‏ ‎системы ‎подвержены ‎динамическим ‎изменениям ‎во‏ ‎времени,‏ ‎но ‎и‏ ‎весь ‎комплекс‏ ‎мероприятий ‎по ‎обеспечению ‎уровня ‎ЗИВОП‏ ‎также‏ ‎имеет‏ ‎свой ‎жизненный‏ ‎цикл.

В ‎профессиональной‏ ‎литературе ‎по‏ ‎управлению‏ ‎информационной ‎безопасностью‏ ‎принято ‎выделять ‎следующие ‎ключевые ‎фазы‏ ‎жизненного ‎цикла‏ ‎процесса‏ ‎обеспечения ‎информационной ‎безопасности:

  • Планирование.‏ ‎На ‎данном‏ ‎этапе ‎проводится ‎анализ ‎текущего‏ ‎состояния,‏ ‎определяются ‎цели‏ ‎и ‎задачи‏ ‎системы ‎защиты, ‎разрабатывается ‎стратегия ‎обеспечения‏ ‎безопасности;
  • Реализация.‏ ‎Происходит ‎внедрение‏ ‎и ‎развёртывание‏ ‎запланированных ‎мер, ‎механизмов ‎и ‎средств‏ ‎защиты‏ ‎информации;
  • Мониторинг‏ ‎и ‎контроль.‏ ‎Осуществляется ‎постоянный‏ ‎контроль ‎эффективности‏ ‎функционирования‏ ‎системы ‎безопасности,‏ ‎выявление ‎отклонений ‎от ‎плановых ‎показателей;
  • Оптимизация‏ ‎и ‎совершенствование.‏ ‎На‏ ‎основе ‎результатов ‎мониторинга‏ ‎(сбора ‎метрик)‏ ‎вносятся ‎необходимые ‎коррективы, ‎производится‏ ‎модернизация‏ ‎и ‎оптимизация‏ ‎компонентов ‎системы‏ ‎защиты.

Данная ‎модель ‎жизненного ‎цикла, ‎также‏ ‎известная‏ ‎как ‎цикл‏ ‎PDCA ‎(Plan-Do-Check-Act),‏ ‎применима ‎не ‎только ‎к ‎общему‏ ‎процессу‏ ‎обеспечения‏ ‎информационной ‎безопасности,‏ ‎но ‎и‏ ‎к ‎отдельным‏ ‎его‏ ‎элементам, ‎таким‏ ‎как ‎стратегия, ‎концепция, ‎организационная ‎структура.‏ ‎Непрерывное ‎повторение‏ ‎данного‏ ‎цикла ‎позволяет ‎поддерживать‏ ‎актуальность ‎и‏ ‎эффективность ‎системы ‎информационной ‎безопасности‏ ‎компании‏ ‎в ‎условиях‏ ‎постоянно ‎меняющихся‏ ‎внешних ‎и ‎внутренних ‎факторов.

Необходимо ‎отметить,‏ ‎что‏ ‎содержание ‎и‏ ‎трудоёмкость ‎каждой‏ ‎из ‎фаз ‎жизненного ‎цикла ‎будут‏ ‎существенно‏ ‎различаться‏ ‎в ‎зависимости‏ ‎от ‎специфики‏ ‎компании, ‎её‏ ‎размера,‏ ‎отраслевой ‎принадлежности,‏ ‎уровня ‎ЗИВОП ‎и ‎других ‎параметров.‏ ‎Тем ‎не‏ ‎менее‏ ‎базовая ‎логика ‎циклического‏ ‎процесса ‎остаётся‏ ‎универсальной.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом‏ ‎на ‎основании‏ ‎ст. ‎1259‏ ‎ГК ‎РФ.

#ИБ #27001 #волга-27001 #гост-27001 #исо #смиб #стандарты #суиб
Предыдущий Следующий
Все посты проекта
0 комментариев

Статистика

Контакты

Поделиться

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.
Добавить карту
0/2048
Отменить