Непрерывное совершенствование концепции ИБ и сертификация СУИБ (часть 16)

Непрерывное ‎совершенствование‏ ‎концепции ‎ИБ

Регулярный ‎пересмотр ‎концепции ‎информационной‏ ‎безопасности ‎является‏ ‎необходимым‏ ‎условием ‎для ‎устранения‏ ‎выявленных ‎несоответствий‏ ‎и ‎уязвимостей, ‎а ‎также‏ ‎оптимизации‏ ‎мер ‎защиты‏ ‎реализованных ‎для‏ ‎исполнения ‎требований ‎с ‎точки ‎зрения‏ ‎их‏ ‎эффективности.

Особое ‎внимание‏ ‎следует ‎уделять‏ ‎повышению ‎практической ‎применимости ‎технических ‎средств‏ ‎и‏ ‎организационных‏ ‎процедур, ‎что‏ ‎позволит ‎повысить‏ ‎уровень ‎принятия‏ ‎мер‏ ‎защиты ‎персоналом.‏ ‎Кроме ‎того, ‎целесообразно ‎регулярно ‎анализировать‏ ‎формулировки ‎соответствующих‏ ‎мер‏ ‎защиты ‎на ‎предмет‏ ‎их ‎логичности‏ ‎и ‎однозначности ‎понимания, ‎внося‏ ‎при‏ ‎необходимости ‎соответствующие‏ ‎уточнения ‎и‏ ‎коррективы.

Ключевые ‎аспекты ‎непрерывного ‎совершенствования:

• устранение ‎выявленных‏ ‎несоответствий‏ ‎и ‎уязвимостей;
• оптимизация‏ ‎эффективности ‎мер‏ ‎защиты;
• повышение ‎уровня ‎зрелости ‎мер ‎защиты;
• повышение‏ ‎практической‏ ‎применимости‏ ‎и ‎приемлемости‏ ‎мер ‎защиты;
• регулярный‏ ‎анализ ‎мер‏ ‎защиты‏ ‎и ‎уровней‏ ‎их ‎зрелости.

Сертификация ‎СУИБ

Построение ‎и ‎эксплуатация‏ ‎эффективной ‎СУИБ‏ ‎является‏ ‎сложной ‎и ‎трудоёмкой‏ ‎задачей. ‎Тем‏ ‎не ‎менее ‎при ‎успешной‏ ‎реализации‏ ‎такой ‎системы,‏ ‎её ‎наличие‏ ‎и ‎функционирование ‎может ‎быть ‎весьма‏ ‎полезным‏ ‎как ‎для‏ ‎внутренних, ‎так‏ ‎и ‎для ‎внешних ‎целей ‎компании.

Можно‏ ‎отметить‏ ‎следующее:

• внутренние‏ ‎цели ‎включают‏ ‎прозрачное ‎документирование‏ ‎и ‎демонстрацию‏ ‎приверженности‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности. ‎Это ‎может ‎укрепить‏ ‎корпоративную ‎культуру‏ ‎и‏ ‎повысить ‎осведомлённость ‎сотрудников;
• во‏ ‎внешнем ‎аспекте‏ ‎наличие ‎сертифицированной ‎СУИБ ‎может‏ ‎служить‏ ‎важным ‎сигналом‏ ‎качества ‎и‏ ‎надёжности ‎для ‎клиентов, ‎партнёров ‎и‏ ‎иных‏ ‎заинтересованных ‎сторон.‏ ‎Таким ‎образом,‏ ‎это ‎может ‎обеспечить ‎организации ‎определённое‏ ‎конкурентное‏ ‎преимущество.‏ ‎Сертификат, ‎который‏ ‎покупают ‎за‏ ‎три ‎дня,‏ ‎не‏ ‎является ‎тем‏ ‎сертификатом, ‎который ‎позволит ‎компании ‎гордиться‏ ‎своей ‎СУИБ;
• кроме‏ ‎того,‏ ‎органы ‎государственной ‎власти‏ ‎могут ‎применять‏ ‎механизмы ‎сертификации ‎СУИБ ‎для‏ ‎повышения‏ ‎уровня ‎доверия‏ ‎граждан ‎к‏ ‎безопасности ‎электронных ‎государственных ‎услуг ‎и‏ ‎инфраструктуры.

Ещё‏ ‎одним ‎фактором,‏ ‎стимулирующим ‎компании‏ ‎к ‎сертификации ‎СУИБ, ‎является ‎необходимость‏ ‎соответствия‏ ‎нормативным‏ ‎требованиям ‎и‏ ‎законодательству ‎в‏ ‎области ‎информационной‏ ‎безопасности.

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27001 ‎(и ‎его ‎российский ‎аналог)‏ ‎является ‎основополагающим‏ ‎в‏ ‎области ‎сертификации ‎СУИБ.‏ ‎Процедура ‎сертификации‏ ‎предусматривает ‎проверку ‎и ‎аудит‏ ‎независимыми‏ ‎компетентными ‎органами.

Для‏ ‎обеспечения ‎повторяемости‏ ‎и ‎воспроизводимости ‎результатов ‎сертификационных ‎аудитов‏ ‎необходимы‏ ‎опытные ‎и‏ ‎квалифицированные ‎аудиторы.‏ ‎Следовательно, ‎аудиторы ‎должны ‎продемонстрировать ‎наличие‏ ‎требуемых‏ ‎профессиональных‏ ‎знаний, ‎а‏ ‎также ‎знание‏ ‎и ‎соблюдение‏ ‎установленных‏ ‎правил ‎и‏ ‎процедур. ‎Данный ‎процесс ‎основывается ‎на‏ ‎дополнительных ‎стандартах‏ ‎ISO,‏ ‎призванных ‎гарантировать ‎высокий‏ ‎уровень ‎качества‏ ‎и ‎прослеживаемость ‎сертификатов.

Общепринятая ‎защита‏ ‎ИТ‏ ‎— ‎инфраструктуры‏ ‎и ‎информации‏ ‎в ‎целом ‎базируется ‎на ‎требованиях‏ ‎ISO/IEC‏ ‎27001. ‎Следовательно,‏ ‎внедрение ‎комплекса‏ ‎мер ‎информационной ‎безопасности ‎в ‎соответствии‏ ‎с‏ ‎этим‏ ‎стандартом ‎также‏ ‎может ‎быть‏ ‎сертифицировано ‎в‏ ‎России‏ ‎посредством ‎создания‏ ‎СУИБ. ‎При ‎этом ‎качественные ‎органы‏ ‎по ‎сертификации‏ ‎информационной‏ ‎безопасности ‎не ‎просто‏ ‎проверяют, ‎но‏ ‎и ‎помогают ‎интегрировать ‎требования‏ ‎ISO/IEC‏ ‎27001 ‎в‏ ‎компании.

Выдача ‎сертификата‏ ‎ISO ‎27001 ‎по ‎основам ‎информационной‏ ‎безопасности‏ ‎предполагает ‎проведение‏ ‎аудита ‎внешним‏ ‎аудитором, ‎имеющим ‎соответствующую ‎аккредитацию. ‎По‏ ‎результатам‏ ‎аудита‏ ‎формируется ‎отчёт,‏ ‎представляемый ‎в‏ ‎орган ‎по‏ ‎сертификации‏ ‎для ‎принятия‏ ‎решения ‎о ‎выдаче ‎сертификата ‎сроком‏ ‎на ‎три‏ ‎года.

ООО‏ ‎«ЦифраБез» ‎оказывает ‎помощь‏ ‎и ‎поддержку‏ ‎для ‎создания ‎СУИБ ‎в‏ ‎компании,‏ ‎а ‎также‏ ‎подготовит ‎её‏ ‎к ‎сертификации. ‎Однако ‎на ‎уровне‏ ‎ОИБВОП‏ ‎до ‎«Официального»‏ ‎мы ‎не‏ ‎рекомендуем ‎проводить ‎сертификацию, ‎так ‎как‏ ‎это‏ ‎не‏ ‎является ‎целесообразным.‏ ‎Сертификацию ‎необходимо‏ ‎проводить ‎выше‏ ‎уровня‏ ‎ОИБВОП ‎«Официальный»,‏ ‎но ‎это ‎не ‎отменяет ‎само‏ ‎создание ‎СУИБ‏ ‎и‏ ‎внедрение ‎мер ‎защиты‏ ‎для ‎исполнения‏ ‎требований ‎выбранного ‎уровня ‎ОИБВОП‏ ‎и‏ ‎ниже.

Внимание! ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на ‎основании ‎статьи ‎1259‏ ‎ГК‏ ‎РФ.

Третьи ‎лица‏ ‎не ‎вправе‏ ‎использовать ‎с ‎целью ‎создания ‎каких-либо‏ ‎средств‏ ‎обработки‏ ‎представленной ‎информации‏ ‎и ‎размещённых‏ ‎на ‎данной‏ ‎странице‏ ‎результатов ‎интеллектуальной‏ ‎деятельности ‎каким-либо ‎образом ‎без ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез».‏ ‎Распространение ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на‏ ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое ‎использование ‎осуществляется ‎без‏ ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и ‎влечёт ‎ответственность, ‎установленную‏ ‎действующим‏ ‎законодательством‏ ‎РФ.