Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 15)

Концепция ‎информационной‏ ‎безопасности

Контроль ‎и ‎мониторинг ‎концепции

Для ‎поддержания‏ ‎надлежащего ‎уровня‏ ‎ОИБВОП‏ ‎необходимо, ‎во-первых, ‎корректно‏ ‎применять ‎соответствующие‏ ‎меры ‎защиты, ‎а ‎во-вторых,‏ ‎постоянно‏ ‎актуализировать ‎концепцию.‏ ‎Кроме ‎того,‏ ‎важно ‎своевременно ‎обнаруживать ‎инциденты, ‎связанные‏ ‎с‏ ‎нарушением ‎информационной‏ ‎безопасности, ‎и‏ ‎оперативно, ‎адекватно ‎на ‎них ‎реагировать.‏ ‎Регулярная‏ ‎оценка‏ ‎эффективности ‎концепции‏ ‎является ‎необходимым‏ ‎условием. ‎Анализ‏ ‎результативности‏ ‎и ‎эффективности‏ ‎реализованных ‎мер ‎должен ‎осуществляться ‎в‏ ‎рамках ‎внутренних‏ ‎аудитов.‏ ‎Если ‎недостаток ‎ресурсов‏ ‎не ‎позволяет‏ ‎провести ‎такие ‎аудиты ‎силами‏ ‎опытных‏ ‎внутренних ‎сотрудников,‏ ‎следует ‎привлекать‏ ‎внешних ‎экспертов ‎для ‎проведения ‎контрольных‏ ‎мероприятий‏ ‎и ‎оценки‏ ‎метрик.

В ‎связи‏ ‎с ‎тем, ‎что ‎объём ‎трудозатрат‏ ‎при‏ ‎проведении‏ ‎аудитов ‎зависит‏ ‎от ‎сложности‏ ‎и ‎масштабов‏ ‎информационной‏ ‎инфраструктуры, ‎предъявляемые‏ ‎требования ‎к ‎проверкам ‎для ‎малых‏ ‎компаний ‎существенно‏ ‎ниже‏ ‎по ‎сравнению ‎с‏ ‎крупными ‎и‏ ‎сложными ‎организациями, ‎что, ‎как‏ ‎правило,‏ ‎значительно ‎облегчает‏ ‎работу ‎по‏ ‎проведению ‎аудита. ‎Для ‎них ‎могут‏ ‎быть‏ ‎достаточными ‎такие‏ ‎мероприятия, ‎как‏ ‎ежегодный ‎технический ‎контроль ‎ИТ-систем, ‎проверка‏ ‎имеющейся‏ ‎документации‏ ‎с ‎целью‏ ‎оценки ‎её‏ ‎актуальности, ‎а‏ ‎также‏ ‎проведение ‎рабочего‏ ‎совещания ‎для ‎обсуждения ‎проблем ‎и‏ ‎накопленного ‎опыта‏ ‎в‏ ‎рамках ‎реализации ‎концепции‏ ‎информационной ‎безопасности.

В‏ ‎рамках ‎рассматриваемого ‎контекста ‎необходимо‏ ‎осуществление‏ ‎следующих ‎мероприятий:

• Реагирование‏ ‎на ‎изменения‏ ‎в ‎текущей ‎операционной ‎деятельности:

1. При ‎возникновении‏ ‎изменений‏ ‎в ‎текущей‏ ‎операционной ‎деятельности‏ ‎(например, ‎внедрение ‎новых ‎бизнес-процессов, ‎организационные‏ ‎изменения‏ ‎или‏ ‎ввод ‎в‏ ‎эксплуатацию ‎новых‏ ‎информационных ‎систем)‏ ‎требуется‏ ‎актуализация ‎концепции‏ ‎информационной ‎безопасности, ‎а ‎также ‎сопутствующей‏ ‎документации ‎(например,‏ ‎матрица‏ ‎ответственности ‎или ‎перечень‏ ‎информационных ‎систем,‏ ‎техническое ‎описание ‎либо ‎паспорт).

Данный‏ ‎процесс‏ ‎предполагает ‎регулярный‏ ‎пересмотр ‎и‏ ‎обновление ‎всех ‎необходимых ‎документов ‎по‏ ‎информационной‏ ‎безопасности ‎с‏ ‎целью ‎обеспечения‏ ‎их ‎соответствия ‎актуальным ‎изменениям ‎в‏ ‎бизнес-процессах,‏ ‎организационной‏ ‎структуре ‎и‏ ‎информационно-технологическом ‎ландшафте.‏ ‎Крайне ‎важно‏ ‎поддерживать‏ ‎согласованность ‎между‏ ‎концепцией ‎информационной ‎безопасности ‎и ‎фактическим‏ ‎положением ‎дел‏ ‎в‏ ‎компании.

• Выявление ‎инцидентов ‎информационной‏ ‎безопасности:

1. Для ‎предотвращения,‏ ‎минимизации ‎последствий ‎или ‎своевременного‏ ‎обнаружения‏ ‎ошибок ‎в‏ ‎обработке ‎информации,‏ ‎которые ‎могут ‎нарушить ‎конфиденциальность, ‎целостность‏ ‎или‏ ‎доступность ‎данных,‏ ‎а ‎также‏ ‎выявления ‎критически ‎важных ‎ошибок ‎персонала‏ ‎и‏ ‎инцидентов‏ ‎безопасности, ‎необходимо‏ ‎реализовать ‎определённые‏ ‎требования. ‎Порядок‏ ‎обработки‏ ‎ошибок ‎должен‏ ‎быть ‎задокументирован. ‎Это ‎предполагает ‎фиксацию‏ ‎предпринятых ‎действий,‏ ‎их‏ ‎последствий ‎и ‎возможных‏ ‎дальнейших ‎шагов.‏ ‎Для ‎раннего ‎выявления ‎проблем‏ ‎информационной‏ ‎безопасности ‎могут‏ ‎применяться ‎такие‏ ‎средства, ‎как ‎мониторинг ‎систем ‎и‏ ‎сетей,‏ ‎проверки ‎целостности,‏ ‎регистрация ‎доступа,‏ ‎действий ‎или ‎ошибок, ‎контроль ‎физического‏ ‎доступа‏ ‎в‏ ‎здания ‎и‏ ‎помещения, ‎а‏ ‎также ‎различные‏ ‎датчики‏ ‎(пожарные, ‎водные,‏ ‎климатические);
2. Записи ‎и ‎протоколы ‎мероприятий ‎по‏ ‎обнаружению ‎инцидентов‏ ‎подлежат‏ ‎регулярному ‎анализу.

• Проверка ‎соблюдения‏ ‎требований:

1. Необходимо ‎осуществлять‏ ‎регулярную ‎проверку ‎с ‎целью‏ ‎подтверждения‏ ‎того, ‎что‏ ‎все ‎предусмотренные‏ ‎в ‎концепции ‎информационной ‎безопасности ‎меры‏ ‎защиты‏ ‎в ‎полной‏ ‎мере ‎применяются‏ ‎и ‎реализуются ‎для ‎исполнения ‎требований.‏ ‎При‏ ‎этом‏ ‎следует ‎контролировать‏ ‎соблюдение ‎как‏ ‎технических ‎средств‏ ‎защиты‏ ‎информации, ‎так‏ ‎и ‎организационных ‎регламентов ‎(документов). ‎Также‏ ‎должна ‎проводиться‏ ‎оценка‏ ‎наличия ‎необходимых ‎ресурсов‏ ‎для ‎надлежащей‏ ‎реализации ‎требований, ‎том ‎числе‏ ‎по‏ ‎выполнению ‎обязательств‏ ‎всеми ‎сотрудниками‏ ‎и ‎внешними ‎лицами, ‎которым ‎назначены‏ ‎определённые‏ ‎роли ‎по‏ ‎претворению ‎требований‏ ‎в ‎жизнь.

• Оценка ‎пригодности ‎и ‎эффективности‏ ‎мер‏ ‎защиты:

1. Регулярная‏ ‎ревизия ‎соответствия‏ ‎выбранных ‎мер‏ ‎защиты ‎для‏ ‎реализации‏ ‎требований ‎установленным‏ ‎целям ‎имеет ‎большое ‎значение. ‎Для‏ ‎оценки ‎их‏ ‎пригодности‏ ‎могут ‎быть ‎использованы‏ ‎различные ‎методы,‏ ‎такие ‎как ‎анализ ‎прошлых‏ ‎инцидентов‏ ‎информационной ‎безопасности,‏ ‎опросы ‎персонала‏ ‎или ‎проведение ‎тестов ‎на ‎проникновение;
2. Важно‏ ‎отслеживать‏ ‎изменения ‎в‏ ‎контексте ‎бизнес-процессов‏ ‎и ‎функциональных ‎задач ‎компании. ‎Например,‏ ‎могут‏ ‎измениться‏ ‎технические ‎или‏ ‎нормативные ‎условия.‏ ‎Ответственные ‎лица‏ ‎за‏ ‎информационную ‎безопасность‏ ‎должны ‎обращаться ‎к ‎внешним ‎источникам‏ ‎знаний, ‎участвовать‏ ‎в‏ ‎профильных ‎конференциях, ‎а‏ ‎также ‎изучать‏ ‎соответствующие ‎стандарты, ‎специализированную ‎литературу‏ ‎и‏ ‎интернет-ресурсы. ‎При‏ ‎отсутствии ‎внутренних‏ ‎компетенций ‎или ‎времени ‎стоит ‎привлекать‏ ‎внешних‏ ‎экспертов.

В ‎этом‏ ‎контексте ‎также‏ ‎целесообразно ‎критически ‎оценивать ‎эффективность ‎применяемых‏ ‎мер‏ ‎защиты‏ ‎и ‎рассматривать‏ ‎возможность ‎достижения‏ ‎целей ‎информационной‏ ‎безопасности‏ ‎более ‎экономичными‏ ‎способами, ‎которые ‎позволяют ‎исполнить ‎требование‏ ‎либо ‎признать‏ ‎его‏ ‎неприменимым ‎и ‎перекрыть‏ ‎другим ‎требованием.‏ ‎При ‎этом ‎следует ‎анализировать‏ ‎практичность‏ ‎и ‎результативность‏ ‎существующих ‎процессов‏ ‎и ‎организационных ‎правил, ‎что ‎зачастую‏ ‎создаёт‏ ‎возможности ‎для‏ ‎необходимых ‎организационных‏ ‎улучшений ‎и ‎совершенствования ‎процессов.

• Оценка ‎высшего‏ ‎руководства:

1. Высшее‏ ‎руководство‏ ‎должно ‎регулярно‏ ‎получать ‎соответствующие‏ ‎результаты ‎проверок‏ ‎от‏ ‎ответственного ‎лица‏ ‎за ‎информационную ‎безопасность ‎в ‎организации.‏ ‎При ‎этом‏ ‎необходимо‏ ‎отражать ‎выявленные ‎проблемы,‏ ‎достигнутые ‎успехи‏ ‎и ‎возможные ‎пути ‎улучшения;
2. Отчёты‏ ‎для‏ ‎руководства ‎должны‏ ‎содержать ‎всю‏ ‎необходимую ‎для ‎высшего ‎руководства ‎информацию‏ ‎с‏ ‎целью ‎эффективного‏ ‎управления ‎процессом‏ ‎обеспечения ‎информационной ‎безопасности, ‎с ‎минимальным‏ ‎количеством‏ ‎технической‏ ‎и ‎профессиональной‏ ‎информации.

Отчёты ‎должны‏ ‎включать ‎в‏ ‎себя:

1. Обзор‏ ‎текущего ‎состояния‏ ‎процесса ‎обеспечения ‎информационной ‎безопасности;
2. Оценку ‎последующих‏ ‎корректирующих ‎мероприятий‏ ‎по‏ ‎результатам ‎предыдущих ‎обзоров‏ ‎руководства;
3. Обратную ‎связь‏ ‎от ‎клиентов ‎и ‎сотрудников;
4. Обзор‏ ‎вновь‏ ‎выявленных ‎угроз‏ ‎и ‎уязвимостей‏ ‎информационной ‎безопасности.

Высшее ‎руководство ‎рассматривает ‎представленные‏ ‎отчёты‏ ‎и ‎принимает‏ ‎необходимые ‎решения,‏ ‎такие ‎как ‎совершенствование ‎процесса ‎обеспечения‏ ‎информационной‏ ‎безопасности,‏ ‎выделение ‎требуемых‏ ‎ресурсов, ‎а‏ ‎также ‎утверждение‏ ‎результатов‏ ‎анализа ‎информационной‏ ‎безопасности ‎(например, ‎снижение ‎или ‎принятие‏ ‎рисков).

Внимание! ‎Материал‏ ‎охраняется‏ ‎авторским ‎правом ‎на‏ ‎основании ‎статьи‏ ‎1259 ‎ГК ‎РФ.

Третьи ‎лица‏ ‎не‏ ‎вправе ‎использовать‏ ‎с ‎целью‏ ‎создания ‎каких-либо ‎средств ‎обработки ‎представленной‏ ‎информации‏ ‎и ‎размещённых‏ ‎на ‎данной‏ ‎странице ‎результатов ‎интеллектуальной ‎деятельности ‎каким-либо‏ ‎образом‏ ‎без‏ ‎письменного ‎согласия‏ ‎ООО ‎«ЦифраБез».‏ ‎Распространение ‎настоящей‏ ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной‏ ‎деятельности, ‎если ‎такое‏ ‎использование ‎осуществляется‏ ‎без ‎письменного ‎согласия ‎ООО‏ ‎«ЦифраБез»,‏ ‎является ‎незаконным‏ ‎и ‎влечёт‏ ‎ответственность, ‎установленную ‎действующим ‎законодательством ‎РФ.