Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 13)

Внедрение ‎политики‏ ‎информационной ‎безопасности

Для ‎достижения ‎установленных ‎целевых‏ ‎показателей ‎безопасности‏ ‎необходимо‏ ‎в ‎первую ‎очередь,‏ ‎разработать ‎концепцию‏ ‎обеспечения ‎информационной ‎безопасности ‎(свод‏ ‎правил‏ ‎и ‎документов).‏ ‎Ниже ‎подробно‏ ‎излагается, ‎каким ‎образом ‎планируется, ‎внедряется‏ ‎и‏ ‎поддерживается/совершенствуется ‎уровень‏ ‎ОИБВОП. ‎Результаты‏ ‎проверки ‎реализованных ‎требований ‎впоследствии ‎включаются‏ ‎в‏ ‎оценку‏ ‎эффективности ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности, ‎которая‏ ‎проводится‏ ‎на ‎уровне‏ ‎руководства ‎компании.

Поддержание ‎уровня ‎ОИБВОП

Обеспечение ‎информационной‏ ‎безопасности ‎представляет‏ ‎собой‏ ‎непрерывный ‎процесс, ‎а‏ ‎не ‎ограниченный‏ ‎во ‎времени. ‎Регулярная ‎оценка‏ ‎соответствия‏ ‎и ‎эффективности‏ ‎всех ‎элементов‏ ‎системы ‎управления ‎информационной ‎безопасностью ‎является‏ ‎ключевым‏ ‎аспектом ‎данного‏ ‎процесса.

Систематические ‎внутренние‏ ‎аудиты ‎позволяют ‎не ‎только ‎оценивать‏ ‎уровни‏ ‎зрелости‏ ‎реализованных ‎требований,‏ ‎но ‎и‏ ‎накапливать ‎опыт‏ ‎их‏ ‎практического ‎применения.‏ ‎Помимо ‎аудитов, ‎важную ‎роль ‎играют‏ ‎учения ‎и‏ ‎мероприятия‏ ‎по ‎повышению ‎осведомлённости‏ ‎персонала, ‎направленные‏ ‎на ‎верификацию ‎функционирования ‎установленных‏ ‎процедур‏ ‎и ‎моделей‏ ‎поведения ‎в‏ ‎критических ‎ситуациях. ‎Выявленные ‎в ‎ходе‏ ‎таких‏ ‎мероприятий ‎недостатки‏ ‎должны ‎инициировать‏ ‎соответствующие ‎корректирующие ‎действия ‎в ‎системе‏ ‎управления‏ ‎информационной‏ ‎безопасностью ‎компании.

Ключевым‏ ‎элементом ‎непрерывного‏ ‎совершенствования ‎информационной‏ ‎безопасности‏ ‎является ‎своевременная‏ ‎идентификация ‎перспективных ‎тенденций ‎в ‎используемых‏ ‎технологиях, ‎бизнес-процессах‏ ‎и‏ ‎структурах. ‎Это ‎позволяет‏ ‎заблаговременно ‎выявлять‏ ‎потенциальные ‎угрозы ‎и ‎разрабатывать‏ ‎упреждающие‏ ‎меры ‎по‏ ‎их ‎нейтрализации.‏ ‎При ‎этом ‎уполномоченный ‎по ‎информационной‏ ‎безопасности‏ ‎должен ‎играть‏ ‎проактивную ‎роль,‏ ‎активно ‎участвуя ‎в ‎процессах ‎управления‏ ‎изменениями‏ ‎в‏ ‎компании, ‎даже‏ ‎если ‎это‏ ‎напрямую ‎не‏ ‎предусмотрено‏ ‎соответствующими ‎внутренними‏ ‎регламентами.

При ‎проведении ‎аудитов ‎информационной ‎безопасности‏ ‎следует ‎избегать‏ ‎ситуаций,‏ ‎когда ‎аудит ‎осуществляется‏ ‎сотрудниками, ‎участвовавшими‏ ‎в ‎разработке ‎или ‎планировании‏ ‎соответствующих‏ ‎мер ‎защиты‏ ‎для ‎исполнения‏ ‎требований. ‎Данное ‎условие ‎обусловлено ‎сложностью‏ ‎для‏ ‎человека ‎объективно‏ ‎оценивать ‎собственную‏ ‎работу. ‎В ‎зависимости ‎от ‎масштабов‏ ‎компании‏ ‎может‏ ‎быть ‎целесообразным‏ ‎привлечение ‎внешних‏ ‎аудиторов ‎для‏ ‎проведения‏ ‎проверок, ‎что‏ ‎позволит ‎преодолеть ‎организационную ‎ангажированность ‎и‏ ‎предвзятость.

Поддержание ‎надлежащего‏ ‎уровня‏ ‎ОИБВОП ‎является ‎актуальной‏ ‎задачей ‎как‏ ‎для ‎крупных, ‎так ‎и‏ ‎для‏ ‎малых ‎и‏ ‎средних ‎компаний.‏ ‎Несмотря ‎на ‎то ‎что ‎объём‏ ‎и‏ ‎детализация ‎аудиторских‏ ‎мероприятий ‎в‏ ‎таких ‎компаниях ‎будет ‎менее ‎обширной‏ ‎по‏ ‎сравнению‏ ‎с ‎крупными‏ ‎структурами, ‎их‏ ‎регулярное ‎осуществление‏ ‎является‏ ‎обязательным ‎условием.

В‏ ‎рамках ‎ежегодного ‎анализа ‎со ‎стороны‏ ‎руководства ‎компании‏ ‎должна‏ ‎проводиться ‎проверка ‎наличия‏ ‎и ‎соблюдения‏ ‎новых ‎законодательных ‎требований ‎в‏ ‎сфере‏ ‎информационной ‎безопасности,‏ ‎а ‎также‏ ‎анализ ‎изменения ‎иных ‎значимых ‎внешних‏ ‎условий.‏ ‎Ежегодный ‎аудит‏ ‎проходит ‎по‏ ‎окончании ‎операционного ‎цикла ‎(в ‎один‏ ‎год).‏ ‎Операционный‏ ‎цикл ‎может‏ ‎быть ‎уменьшен‏ ‎решением ‎руководства‏ ‎компании.

Постоянное‏ ‎совершенствование ‎информационной‏ ‎безопасности

Анализ ‎процесса ‎обеспечения ‎информационной ‎безопасности‏ ‎в ‎конечном‏ ‎счёте‏ ‎направлен ‎на ‎его‏ ‎совершенствование. ‎Полученные‏ ‎результаты ‎следует ‎использовать ‎для‏ ‎оценки‏ ‎эффективности ‎и‏ ‎действенности ‎избранной‏ ‎стратегии ‎информационной ‎безопасности, ‎а ‎также‏ ‎для‏ ‎её ‎возможной‏ ‎корректировки. ‎Более‏ ‎того, ‎в ‎случае ‎изменения ‎целевых‏ ‎установок‏ ‎системы‏ ‎информационной ‎безопасности‏ ‎или ‎внешних‏ ‎условий, ‎данная‏ ‎стратегия‏ ‎также ‎подлежит‏ ‎пересмотру.

Ключевым ‎фактором ‎является ‎постоянное ‎стремление‏ ‎к ‎повышению‏ ‎результативности‏ ‎системы ‎обеспечения ‎информационной‏ ‎безопасности ‎путём‏ ‎анализа ‎её ‎текущих ‎характеристик‏ ‎и‏ ‎внесения ‎необходимых‏ ‎изменений. ‎Это‏ ‎позволяет ‎поддерживать ‎высокий ‎уровень ‎ОИБВОП‏ ‎в‏ ‎условиях ‎динамично‏ ‎меняющейся ‎среды.

Концепция‏ ‎информационной ‎безопасности ‎строится ‎на ‎соблюдении‏ ‎требований‏ ‎уровня‏ ‎ОИБВОП, ‎который‏ ‎закреплён ‎руководством‏ ‎компании ‎в‏ ‎Политике‏ ‎по ‎информационной‏ ‎безопасности ‎компании.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом ‎на‏ ‎основании‏ ‎статьи ‎1259 ‎ГК‏ ‎РФ.

Третьи ‎лица‏ ‎не ‎вправе ‎использовать ‎с‏ ‎целью‏ ‎создания ‎каких-либо‏ ‎средств ‎обработки‏ ‎представленной ‎информации ‎и ‎размещённых ‎на‏ ‎данной‏ ‎странице ‎результатов‏ ‎интеллектуальной ‎деятельности‏ ‎каким-либо ‎образом ‎без ‎письменного ‎согласия‏ ‎ООО‏ ‎«ЦифраБез».‏ ‎Распространение ‎настоящей‏ ‎информации ‎возможно‏ ‎только ‎при‏ ‎указании‏ ‎ссылки ‎на‏ ‎данную ‎страницу.

Использование ‎результатов ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое‏ ‎использование‏ ‎осуществляется ‎без ‎согласия‏ ‎ООО ‎«ЦифраБез»,‏ ‎является ‎незаконным ‎и ‎влечёт‏ ‎ответственность,‏ ‎установленную ‎действующим‏ ‎законодательством ‎РФ.