logo
Методология "Волга-27001"
Методология по созданию системы управления информационной безопасностью для организации любого уровня.
Поиск
Вход
Регистрация
logo
Методология "Волга-27001"  Методология по созданию системы управления информационной безопасностью для организации любого уровня.
Подписаться
09.01.2025 10:29
logo Методология "Волга-27001"

Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 14)

Концепция ‎информационной‏ ‎безопасности

Разработка ‎концепции

Чтобы ‎достичь ‎целей ‎информационной‏ ‎безопасности ‎и‏ ‎желаемого‏ ‎уровня ‎ОИБВОП, ‎необходимо,‏ ‎прежде ‎всего,‏ ‎исследовать ‎взаимосвязь ‎между ‎выполнением‏ ‎задач,‏ ‎бизнес-процессов ‎и‏ ‎такими ‎свойствами‏ ‎информации, ‎как: ‎конфиденциальность, ‎целостность ‎и‏ ‎доступность.‏ ‎Кроме ‎того,‏ ‎следует ‎рассмотреть‏ ‎возможные ‎источники ‎угроз ‎(стихийные ‎бедствия,‏ ‎организационные‏ ‎недостатки,‏ ‎человеческий ‎фактор‏ ‎или ‎кибератаки),‏ ‎которые ‎могут‏ ‎повлиять‏ ‎на ‎эти‏ ‎бизнес-процессы.

Далее ‎требуется ‎принять ‎решение ‎относительно‏ ‎методов ‎управления‏ ‎выявленными‏ ‎рисками. ‎Для ‎этого‏ ‎необходимо ‎последовательно‏ ‎выполнить ‎следующие ‎шаги:

  • идентификация ‎наиболее‏ ‎критичных,‏ ‎с ‎точки‏ ‎зрения ‎информационной‏ ‎безопасности, ‎информационных ‎активов ‎и ‎бизнес-процессов;
  • определение‏ ‎негативных‏ ‎последствий, ‎которые‏ ‎могут ‎привести‏ ‎к ‎воздействию ‎на ‎информационные ‎активы‏ ‎и‏ ‎бизнес-процессы;
  • оценка‏ ‎возможных ‎угроз‏ ‎и ‎связанных‏ ‎с ‎ними‏ ‎рисков‏ ‎для ‎выявленных‏ ‎критических ‎направлений ‎деятельности ‎компании;
  • разработка ‎и‏ ‎внедрение ‎соответствующих‏ ‎мер‏ ‎защиты ‎и ‎контрмер‏ ‎для ‎снижения‏ ‎или ‎устранения ‎определённых ‎рисков;
  • регулярный‏ ‎пересмотр‏ ‎и ‎актуализация‏ ‎принятых ‎мер‏ ‎в ‎соответствии ‎с ‎изменяющимися ‎условиями.

Только‏ ‎комплексный,‏ ‎систематический ‎подход‏ ‎к ‎управлению‏ ‎рисками ‎информационной ‎безопасности ‎позволит ‎достичь‏ ‎требуемого‏ ‎уровня‏ ‎ОИБВОП ‎и‏ ‎грамотно ‎подходить‏ ‎к ‎расходу‏ ‎имеющихся‏ ‎ресурсов.

Рекомендуется ‎изначально‏ ‎брать ‎самый ‎низкий ‎уровень ‎ОИБВОП‏ ‎для ‎его‏ ‎внедрения,‏ ‎повышая ‎его ‎по‏ ‎мере ‎роста‏ ‎уровней ‎зрелости ‎мер ‎защиты.‏ ‎Средний‏ ‎срок ‎достижения‏ ‎уровня ‎ОИБВОП‏ ‎составляет ‎полтора ‎года, ‎максимальный ‎—‏ ‎три.‏ ‎Этот ‎срок‏ ‎необходимо ‎прописывать‏ ‎в ‎Политике ‎по ‎информационной ‎безопасности‏ ‎компании.

Выбор‏ ‎метода‏ ‎анализа ‎рисков

Необходимо‏ ‎осуществлять ‎анализ‏ ‎рисков, ‎связанных‏ ‎с‏ ‎возможным ‎ущербом‏ ‎для ‎бизнес-процессов ‎и ‎деятельности ‎компании‏ ‎в ‎результате‏ ‎инцидентов‏ ‎информационной ‎безопасности ‎и‏ ‎реализации ‎вероятных‏ ‎угроз. ‎Соответственно, ‎методология ‎анализа‏ ‎рисков‏ ‎является ‎неотъемлемым‏ ‎элементом ‎любой‏ ‎СУИБ. ‎Для ‎определения ‎уровня ‎риска‏ ‎требуется‏ ‎выявление ‎потенциальных‏ ‎угроз, ‎оценка‏ ‎их ‎разрушительного ‎потенциала ‎и ‎вероятности‏ ‎реализации,‏ ‎а‏ ‎также ‎сопоставление‏ ‎полученных ‎данных‏ ‎с ‎допустимым‏ ‎для‏ ‎компании ‎уровнем‏ ‎принятия ‎рисков. ‎В ‎зависимости ‎от‏ ‎специфики ‎применения,‏ ‎организационных‏ ‎условий, ‎отраслевой ‎принадлежности,‏ ‎а ‎также‏ ‎целевого ‎уровня ‎ОИБВОП, ‎могут‏ ‎использоваться‏ ‎различные ‎методики‏ ‎анализа ‎рисков.‏ ‎Компания ‎должна ‎выбрать ‎методологию, ‎соответствующую‏ ‎масштабу‏ ‎и ‎её‏ ‎характеристикам. ‎Выбор‏ ‎используемого ‎метода ‎анализа ‎рисков ‎оказывает‏ ‎существенное‏ ‎влияние‏ ‎на ‎трудоёмкость‏ ‎разработки ‎концепции‏ ‎информационной ‎безопасности‏ ‎(дорожной‏ ‎карты ‎по‏ ‎защите ‎компании ‎от ‎угроз ‎информационной‏ ‎безопасности ‎в‏ ‎рамках‏ ‎набора ‎документов).

Компания ‎должна‏ ‎определить ‎какие‏ ‎риски ‎она ‎будет ‎обрабатывать‏ ‎в‏ ‎первую ‎очередь,‏ ‎а ‎какие‏ ‎можно ‎отложить ‎или ‎полностью ‎пропустить.‏ ‎Риски‏ ‎которые ‎компания‏ ‎пропускает, ‎считаются‏ ‎принятыми ‎рисками, ‎с ‎которыми ‎компания‏ ‎согласилась.‏ ‎Риски‏ ‎которые ‎нужно‏ ‎обработать, ‎должны‏ ‎быть ‎включены‏ ‎в‏ ‎реестр ‎актуальных‏ ‎рисков ‎компании ‎по ‎информационной ‎безопасности.

Рекомендуется‏ ‎обрабатывать ‎в‏ ‎первую‏ ‎очередь ‎наивысшие ‎риски‏ ‎и ‎по‏ ‎мере ‎выделения ‎ресурсов, ‎опускаться‏ ‎к‏ ‎наиболее ‎низким‏ ‎рискам. ‎Поэтому‏ ‎первостепенным ‎значением ‎для ‎определения ‎мер‏ ‎защиты‏ ‎и ‎проведения‏ ‎защитных ‎мероприятий,‏ ‎компания ‎должна ‎определить ‎свои ‎риски.

Различные‏ ‎методы‏ ‎оценки‏ ‎рисков ‎описаны‏ ‎в ‎стандартах‏ ‎ISO/IEC ‎31010‏ ‎и‏ ‎ISO/IEC ‎27005‏ ‎и ‎их ‎российских ‎аналогах. ‎Для‏ ‎«продвинутых» ‎компаний‏ ‎рекомендуется‏ ‎добавить ‎к ‎этим‏ ‎стандартам ‎ещё‏ ‎ISO/TS ‎22317, ‎который ‎позволяет‏ ‎провести‏ ‎оценку, ‎привязав‏ ‎риски ‎к‏ ‎непрерывности ‎деятельности ‎компании. ‎В ‎планах‏ ‎ООО‏ ‎«ЦифраБез» ‎разработать‏ ‎рекомендации ‎по‏ ‎анализу ‎рисков ‎и ‎оценки ‎рисков,‏ ‎а‏ ‎также‏ ‎по ‎непрерывности‏ ‎бизнес-деятельности.

Реализация ‎концепции

После‏ ‎выбора ‎мер‏ ‎защиты‏ ‎следует ‎разработать‏ ‎план ‎их ‎реализации ‎и ‎строго‏ ‎следовать ‎ему.‏ ‎Ключевыми‏ ‎этапами ‎данного ‎процесса‏ ‎являются:

  • обучение ‎персонала.‏ ‎Проведение ‎необходимого ‎обучения ‎сотрудников‏ ‎для‏ ‎корректного ‎применения‏ ‎внедряемых ‎мер‏ ‎защиты;
  • соблюдение ‎указанной ‎последовательности ‎действий ‎позволит‏ ‎обеспечить‏ ‎качественную ‎и‏ ‎планомерную ‎реализацию‏ ‎мер ‎защиты;
  • назначение ‎ответственных ‎лиц ‎и‏ ‎распределение‏ ‎обязанностей.‏ ‎Необходимо ‎закрепить‏ ‎за ‎конкретными‏ ‎сотрудниками ‎выполнение‏ ‎отдельных‏ ‎задач ‎по‏ ‎реализации, ‎чётко ‎определив ‎их ‎функции‏ ‎и ‎полномочия;
  • обеспечение‏ ‎требуемых‏ ‎ресурсов. ‎Следует ‎предусмотреть‏ ‎и ‎выделить‏ ‎все ‎необходимые ‎ресурсы: ‎трудовые,‏ ‎материальные,‏ ‎финансовые ‎и‏ ‎прочие;
  • установление ‎сроков‏ ‎и ‎графика ‎выполнения. ‎Разработка ‎детального‏ ‎календарного‏ ‎плана ‎реализации‏ ‎мероприятий ‎с‏ ‎фиксацией ‎контрольных ‎точек;
  • мониторинг ‎и ‎контроль‏ ‎над‏ ‎ходом‏ ‎выполнения. ‎Регулярное‏ ‎отслеживание ‎реализации‏ ‎для ‎своевременного‏ ‎выявления‏ ‎и ‎устранения‏ ‎возникающих ‎проблем;
  • документирование ‎процесса ‎внедрения. ‎Ведение‏ ‎подробной ‎документации‏ ‎по‏ ‎принимаемым ‎решениям, ‎возникающим‏ ‎сложностям ‎и‏ ‎способам ‎их ‎преодоления ‎(наполнение‏ ‎внутренней‏ ‎базы ‎знаний).

Соблюдение‏ ‎указанной ‎последовательности‏ ‎действий ‎позволит ‎обеспечить ‎качественную ‎и‏ ‎планомерную‏ ‎реализацию ‎мер‏ ‎защиты ‎согласно‏ ‎требованиям ‎настоящей ‎методологии.

План ‎реализации ‎мер‏ ‎защиты

Реализационный‏ ‎план‏ ‎должен ‎охватывать‏ ‎следующие ‎ключевые‏ ‎направления:

  • определение ‎приоритетных‏ ‎направлений‏ ‎и ‎последовательности‏ ‎внедрения ‎мероприятий;
  • закрепление ‎ответственности ‎за ‎инициацию‏ ‎реализации;
  • обеспечение ‎необходимыми‏ ‎ресурсами‏ ‎со ‎стороны ‎руководства‏ ‎компании;
  • детальное ‎планирование‏ ‎реализации ‎отдельных ‎мер ‎защиты‏ ‎(установление‏ ‎сроков ‎и‏ ‎бюджетов, ‎назначение‏ ‎ответственных ‎за ‎внедрение, ‎а ‎также‏ ‎за‏ ‎контроль ‎исполнения‏ ‎и ‎оценку‏ ‎эффективности).

Таким ‎образом, ‎план ‎реализации ‎должен‏ ‎чётко‏ ‎распределять‏ ‎обязанности ‎и‏ ‎временные ‎рамки,‏ ‎при ‎этом‏ ‎предусматривая‏ ‎адекватное ‎ресурсное‏ ‎обеспечение ‎со ‎стороны ‎руководящего ‎звена‏ ‎для ‎успешного‏ ‎воплощения‏ ‎концепции ‎информационной ‎безопасности‏ ‎в ‎жизнь.‏ ‎Крайне ‎важно ‎не ‎только‏ ‎определить‏ ‎перечень ‎необходимых‏ ‎мероприятий, ‎но‏ ‎и ‎закрепить ‎ответственность ‎за ‎их‏ ‎практическое‏ ‎внедрение ‎и‏ ‎последующий ‎мониторинг‏ ‎достигаемых ‎результатов.

Внедрение ‎мер ‎защиты

Запланированные ‎меры‏ ‎защиты‏ ‎должны‏ ‎быть ‎внедрены‏ ‎в ‎соответствии‏ ‎с ‎планом‏ ‎реализации.‏ ‎При ‎этом‏ ‎информационную ‎безопасность ‎необходимо ‎интегрировать ‎в‏ ‎общеорганизационные ‎и‏ ‎рабочие‏ ‎процессы.

Если ‎в ‎ходе‏ ‎внедрения ‎возникают‏ ‎трудности, ‎следует ‎незамедлительно ‎информировать‏ ‎об‏ ‎этом ‎руководящее‏ ‎звено, ‎чтобы‏ ‎можно ‎было ‎принять ‎решение ‎для‏ ‎их‏ ‎устранения. ‎В‏ ‎качестве ‎типичных‏ ‎решений ‎могут ‎рассматриваться ‎как ‎модификация‏ ‎коммуникационных‏ ‎каналов‏ ‎или ‎распределения‏ ‎прав ‎доступа,‏ ‎так ‎и‏ ‎адаптация‏ ‎технологических ‎процедур.

Управление‏ ‎и ‎контроль

Необходимо ‎регулярно ‎оценивать ‎степень‏ ‎достижения ‎установленных‏ ‎целевых‏ ‎показателей. ‎В ‎случае‏ ‎если ‎достижение‏ ‎целевых ‎ориентиров ‎представляется ‎невозможным,‏ ‎данная‏ ‎информация ‎должна‏ ‎быть ‎доведена‏ ‎до ‎сведения ‎руководящего ‎звена, ‎отвечающего‏ ‎за‏ ‎вопросы ‎информационной‏ ‎безопасности, ‎с‏ ‎целью ‎своевременного ‎принятия ‎необходимых ‎мер‏ ‎реагирования.

Внимание!‏ ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на‏ ‎основании ‎статьи‏ ‎1259‏ ‎ГК ‎РФ.

Третьи‏ ‎лица ‎не ‎вправе ‎использовать ‎с‏ ‎целью ‎создания‏ ‎каких-либо‏ ‎средств ‎обработки ‎представленной‏ ‎информации ‎и‏ ‎размещённых ‎на ‎данной ‎странице‏ ‎результатов‏ ‎интеллектуальной ‎деятельности‏ ‎каким-либо ‎образом‏ ‎без ‎письменного ‎согласия ‎ООО ‎«ЦифраБез».‏ ‎Распространение‏ ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на ‎данную‏ ‎страницу.

Использование‏ ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое‏ ‎использование ‎осуществляется‏ ‎без‏ ‎письменного ‎согласия‏ ‎ООО ‎«ЦифраБез», ‎является ‎незаконным ‎и‏ ‎влечёт ‎ответственность,‏ ‎установленную‏ ‎действующим ‎законодательством ‎РФ.

#метрики #ИБ #27001 #волга-27001 #исо #стандарты #суиб #волга27001
Предыдущий Следующий
Все посты проекта
0 комментариев

Статистика

Контакты

Поделиться

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.
Добавить карту
0/2048
Отменить