Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 17)

Подход ‎к‏ ‎СУИБ

Методология

Описание ‎системы ‎управления ‎информационной ‎безопасностью‏ ‎(СУИБ), ‎представленной‏ ‎в‏ ‎данных ‎рекомендациях, ‎а‏ ‎также ‎в‏ ‎международных ‎стандартах ‎ISO ‎27000,‏ ‎ISO‏ ‎27001 ‎и‏ ‎ISO ‎27002,‏ ‎носят ‎обобщённый ‎характер ‎и ‎формулируют‏ ‎лишь‏ ‎общие ‎рамочные‏ ‎требования. ‎Такой‏ ‎подход ‎оставляет ‎значительную ‎степень ‎свободы‏ ‎для‏ ‎адаптации‏ ‎и ‎интерпретации‏ ‎при ‎практической‏ ‎реализации ‎указанных‏ ‎требований‏ ‎в ‎условиях‏ ‎конкретных ‎организаций. ‎Основная ‎задача ‎заключается‏ ‎в ‎разработке‏ ‎и‏ ‎внедрении ‎СУИБ, ‎которая‏ ‎не ‎только‏ ‎обеспечивает ‎достижение ‎установленных ‎целей‏ ‎в‏ ‎области ‎информационной‏ ‎безопасности ‎(ИБ),‏ ‎но ‎и ‎остаётся ‎экономически ‎эффективной,‏ ‎учитывая‏ ‎ресурсные ‎ограничения‏ ‎и ‎специфику‏ ‎бизнес-процессов ‎компании. ‎Это ‎требует ‎тщательного‏ ‎анализа‏ ‎рисков,‏ ‎выбора ‎оптимальных‏ ‎мер ‎защиты‏ ‎и ‎их‏ ‎интеграции‏ ‎в ‎существующие‏ ‎процессы ‎управления ‎организацией.

Разработка ‎концепции ‎ИБ‏ ‎для ‎компании‏ ‎представляет‏ ‎собой ‎один ‎из‏ ‎наиболее ‎сложных‏ ‎и ‎ответственных ‎процессов. ‎Ключевыми‏ ‎этапами‏ ‎создания ‎такой‏ ‎концепции ‎являются‏ ‎оценка ‎рисков, ‎выбор ‎соответствующих ‎мер‏ ‎защиты,‏ ‎а ‎также‏ ‎контроль ‎за‏ ‎реализацией ‎этих ‎мер. ‎Особое ‎внимание‏ ‎следует‏ ‎уделить‏ ‎выбору ‎методологии‏ ‎анализа ‎рисков,‏ ‎поскольку ‎данный‏ ‎выбор‏ ‎напрямую ‎влияет‏ ‎на ‎трудоёмкость ‎и ‎эффективность ‎разработки‏ ‎концепции.

Наши ‎рекомендации‏ ‎предлагают‏ ‎универсальные ‎подходы, ‎которые‏ ‎подходят ‎для‏ ‎большинства ‎случаев ‎и ‎позволяют‏ ‎адаптировать‏ ‎процесс ‎в‏ ‎зависимости ‎от‏ ‎специфики ‎компании. ‎В ‎зависимости ‎от‏ ‎требуемого‏ ‎уровня ‎обеспечения‏ ‎ИБ, ‎в‏ ‎области, ‎которую ‎компания ‎выбирает ‎сама,‏ ‎вы‏ ‎можете‏ ‎постепенно ‎и‏ ‎последовательно ‎выстраивать‏ ‎у ‎себя‏ ‎полноценную‏ ‎СУИБ. ‎Этот‏ ‎поэтапный ‎подход ‎не ‎просто ‎позволяет‏ ‎экономить ‎ресурсы,‏ ‎а‏ ‎в ‎целом ‎создавать‏ ‎эффективную ‎и‏ ‎действительно ‎нужную ‎компании ‎систему‏ ‎ИБ.‏ ‎Подробно ‎об‏ ‎этом ‎подходе‏ ‎можно ‎прочитать ‎в ‎Методологии ‎«Волга-27001»,‏ ‎которая‏ ‎публикуется ‎по‏ ‎платной ‎подписке‏ ‎(sponsr.ru/volga27001).

В ‎сравнении ‎с ‎традиционными ‎количественными‏ ‎методами‏ ‎анализа‏ ‎рисков, ‎предлагаемая‏ ‎методология ‎является‏ ‎более ‎экономичной‏ ‎и‏ ‎практико-ориентированной. ‎Её‏ ‎ценность ‎заключается ‎не ‎только ‎в‏ ‎описании ‎общих‏ ‎принципов‏ ‎внедрения ‎СУИБ, ‎но‏ ‎и ‎в‏ ‎чётком ‎указании ‎на ‎конкретные‏ ‎требования,‏ ‎которые ‎подлежат‏ ‎именно ‎практической‏ ‎реализации. ‎Это ‎позволяет ‎минимизировать ‎риски‏ ‎и‏ ‎обеспечить ‎эффективный‏ ‎уровень ‎обеспечения‏ ‎информационной ‎безопасности ‎для ‎информационных ‎активов‏ ‎компании.

Практические‏ ‎рекомендации‏ ‎по ‎выполнению‏ ‎установленных, ‎методологией‏ ‎«Волга-27001», ‎требований‏ ‎в‏ ‎области ‎ИБ‏ ‎доступны ‎в ‎соответствующих ‎методических ‎материалах,‏ ‎доступных ‎по‏ ‎подписке.

Данные‏ ‎рекомендации ‎охватывают ‎различные‏ ‎подходы ‎к‏ ‎организации ‎ИБ ‎и ‎представляют‏ ‎особую‏ ‎ценность ‎для‏ ‎малых ‎и‏ ‎средних ‎компаний. ‎Они ‎обеспечивают ‎этапы‏ ‎внедрения‏ ‎ИБ ‎и‏ ‎способствуют ‎построению‏ ‎СУИБ. ‎В ‎рекомендациях ‎по ‎методологии‏ ‎построения‏ ‎СУИБ‏ ‎каждый ‎этап‏ ‎подробно ‎описывается,‏ ‎что ‎позволяет‏ ‎организациям‏ ‎последовательно ‎и‏ ‎эффективно ‎выполнять ‎требования.

Отдельно ‎стоит ‎отметить,‏ ‎что ‎сертификат‏ ‎соответствия‏ ‎стандарту ‎ГОСТ ‎Р‏ ‎ИСО/МЭК ‎27001‏ ‎в ‎настоящее ‎время ‎не‏ ‎всегда‏ ‎гарантирует ‎реальное‏ ‎выполнение ‎требований.‏ ‎На ‎практике ‎его ‎можно ‎получить‏ ‎в‏ ‎кратчайшие ‎сроки‏ ‎(например, ‎за‏ ‎три ‎дня) ‎без ‎проведения ‎полноценной‏ ‎проверки.‏ ‎В‏ ‎таких ‎случаях‏ ‎организациям ‎просто‏ ‎предоставляется ‎пакет‏ ‎документов,‏ ‎что ‎не‏ ‎соответствует ‎принципам ‎прозрачности ‎и ‎достоверности.‏ ‎Не ‎смотря‏ ‎на‏ ‎наличие ‎сертификата, ‎реальное‏ ‎положение ‎дел‏ ‎в ‎ИБ ‎у ‎компании‏ ‎оставляет‏ ‎желать ‎лучшего.

В‏ ‎связи ‎с‏ ‎этим ‎ООО ‎«ЦифраБез» ‎предлагает ‎собственную‏ ‎систему‏ ‎добровольной ‎сертификации‏ ‎— ‎«Волга-27001»,‏ ‎которая ‎подтверждает, ‎что ‎организация ‎действительно‏ ‎выполняет‏ ‎требования‏ ‎рекомендаций ‎для‏ ‎заявленного ‎уровня‏ ‎обеспечения ‎ИБ‏ ‎в‏ ‎определённой ‎области‏ ‎применения. ‎Наша ‎система ‎сертификации ‎является‏ ‎прозрачной. ‎Сертификат‏ ‎выдаётся‏ ‎сроком ‎на ‎три‏ ‎года ‎с‏ ‎ежегодной ‎дистанционной ‎проверкой ‎выполнения‏ ‎требований.

Система‏ ‎добровольной ‎сертификации‏ ‎«Волга-27001», ‎разработанная‏ ‎ООО ‎«ЦифраБез», ‎представляет ‎собой ‎комплексный‏ ‎механизм‏ ‎подтверждения ‎соответствия‏ ‎организаций ‎требованиям‏ ‎рекомендаций ‎в ‎области ‎обеспечения ‎ИБ‏ ‎для‏ ‎заявленных‏ ‎уровней ‎обеспечения‏ ‎ИБ. ‎Данная‏ ‎система ‎сертификации‏ ‎обоснована‏ ‎следующими ‎ключевыми‏ ‎аспектами:

• сертификат ‎«Волга-27001» ‎базируется ‎на ‎принципах,‏ ‎аналогичных ‎стандартам‏ ‎ISO/IEC‏ ‎27001, ‎адаптированным ‎под‏ ‎специфику ‎российского‏ ‎регуляторного ‎ландшафта ‎и ‎отраслевые‏ ‎потребности.‏ ‎Это ‎обеспечивает‏ ‎гармонизацию ‎с‏ ‎глобальными ‎подходами ‎к ‎управлению ‎ИБ,‏ ‎что‏ ‎способствует ‎укреплению‏ ‎доверия ‎со‏ ‎стороны ‎партнёров ‎и ‎клиентов;
• все ‎этапы‏ ‎оценки‏ ‎соответствия,‏ ‎включая ‎аудит‏ ‎документированных ‎процессов,‏ ‎технических ‎решений‏ ‎и‏ ‎организационных ‎мер,‏ ‎регламентированы ‎внутренними ‎положениями ‎системы. ‎Критерии‏ ‎оценки, ‎методики‏ ‎проверки‏ ‎и ‎требования ‎к‏ ‎заявителям ‎доступны‏ ‎по ‎подписке, ‎что ‎исключает‏ ‎субъективность‏ ‎и ‎обеспечивает‏ ‎равные ‎условия‏ ‎для ‎желающих;
• установленный ‎период ‎действия ‎сертификата‏ ‎(3‏ ‎года) ‎соответствует‏ ‎оптимальному ‎балансу‏ ‎между ‎стабильностью ‎статуса ‎организации ‎и‏ ‎необходимостью‏ ‎регулярного‏ ‎мониторинга ‎актуальности‏ ‎внедрённых ‎мер‏ ‎ИБ. ‎Ежегодные‏ ‎дистанционные‏ ‎проверки ‎позволяют‏ ‎оперативно ‎выявлять ‎отклонения ‎от ‎установленных‏ ‎требований, ‎стимулируя‏ ‎непрерывное‏ ‎совершенствование ‎системы ‎защиты‏ ‎информации;
• система ‎предусматривает‏ ‎гибкую ‎оценку ‎в ‎зависимости‏ ‎от‏ ‎выбранного ‎уровня‏ ‎обеспечения ‎ИБ.‏ ‎Такой ‎подход ‎позволяет ‎учитывать ‎отраслевую‏ ‎специфику‏ ‎и ‎масштаб‏ ‎рисков, ‎что‏ ‎повышает ‎практическую ‎ценность ‎сертификата ‎для‏ ‎заказчиков‏ ‎и‏ ‎регуляторов, ‎а‏ ‎также ‎эффективно‏ ‎использовать ‎имеющиеся‏ ‎финансовые‏ ‎и ‎другие‏ ‎ресурсы ‎своей ‎компании;
• использование ‎дистанционных ‎инструментов‏ ‎проверки ‎сокращает‏ ‎административную‏ ‎нагрузку ‎на ‎организации,‏ ‎снижает ‎издержки‏ ‎и ‎соответствует ‎современным ‎трендам‏ ‎цифровизации‏ ‎контрольных ‎процедур.‏ ‎При ‎этом‏ ‎обеспечивается ‎достаточная ‎глубина ‎анализа ‎за‏ ‎счёт‏ ‎предоставления ‎электронных‏ ‎доказательств ‎выполнения‏ ‎требований ‎(лог-файлы, ‎скриншоты, ‎отчёты ‎систем‏ ‎мониторинга‏ ‎и‏ ‎другое);
• наличие ‎сертификата‏ ‎«Волга-27001» ‎позволяет‏ ‎организациям ‎демонстрировать‏ ‎соответствие‏ ‎актуальным ‎стандартам‏ ‎ИБ, ‎что ‎усиливает ‎их ‎позиции‏ ‎на ‎рынке,‏ ‎где‏ ‎наличие ‎подтверждённых ‎компетенций‏ ‎в ‎области‏ ‎защиты ‎информации ‎является ‎критически‏ ‎важным.‏ ‎Важно ‎отметить,‏ ‎что ‎сертификат,‏ ‎подтверждающий ‎третий ‎уровень ‎обеспечения ‎ИБ,‏ ‎свидетельствует‏ ‎о ‎том,‏ ‎что ‎данная‏ ‎область ‎применения ‎уже ‎соответствует ‎требованиям‏ ‎стандарта‏ ‎ISO‏ ‎27001. ‎Более‏ ‎того, ‎организации,‏ ‎получившие ‎сертификат‏ ‎такого‏ ‎уровня ‎в‏ ‎системе ‎сертификации ‎«Волга-27001», ‎могут ‎успешно‏ ‎пройти ‎сертификацию‏ ‎по‏ ‎ISO ‎27001 ‎для‏ ‎соответствующей ‎области‏ ‎применения.

Система ‎добровольной ‎сертификации ‎«Волга-27001»‏ ‎обеспечивает‏ ‎объективную, ‎технологичную‏ ‎и ‎экономически‏ ‎эффективную ‎модель ‎подтверждения ‎зрелости ‎процессов‏ ‎ИБ.‏ ‎Её ‎внедрение‏ ‎способствует ‎формированию‏ ‎культуры ‎ответственного ‎отношения ‎к ‎защите‏ ‎информации,‏ ‎минимизирует‏ ‎репутационные ‎и‏ ‎операционные ‎риски‏ ‎организаций, ‎а‏ ‎также‏ ‎соответствует ‎стратегическим‏ ‎задачам ‎развития ‎цифровой ‎экономики ‎в‏ ‎части ‎обеспечения‏ ‎киберустойчивости‏ ‎компаний.

Более ‎подробная ‎информация‏ ‎о ‎нашей‏ ‎системе ‎сертификации ‎и ‎условиях‏ ‎её‏ ‎получения ‎представлена‏ ‎в ‎соответствующем‏ ‎разделе ‎методологии ‎доступной ‎по ‎подписке.

Процесс‏ ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎после ‎достижения‏ ‎определённого ‎уровня ‎обеспечения ‎информационной ‎безопасности‏ ‎в‏ ‎выбранной‏ ‎области ‎применения

Анализ‏ ‎общепринятых ‎методов,‏ ‎передовых ‎практик‏ ‎и‏ ‎стандартов ‎в‏ ‎области ‎управления ‎ИБ ‎показывает, ‎что‏ ‎они ‎имеют‏ ‎схожие‏ ‎подходы ‎к ‎описанию‏ ‎основных ‎процессов‏ ‎и ‎обязанностей ‎высшего ‎руководства‏ ‎компании.‏ ‎Однако ‎существенные‏ ‎различия ‎наблюдаются‏ ‎в ‎методологиях ‎разработки ‎концепции ‎ИБ,‏ ‎особенно‏ ‎в ‎части‏ ‎оценки ‎рисков‏ ‎и ‎выбора ‎соответствующих ‎защитных ‎мер‏ ‎для‏ ‎выполнения‏ ‎требований.

Учитывая ‎это,‏ ‎методология ‎«Волга-27001»‏ ‎предлагает ‎следующий‏ ‎базовый‏ ‎алгоритм ‎создания‏ ‎концепции ‎ИБ:

• принятие ‎решения ‎о ‎разработке‏ ‎концепции ‎и‏ ‎формирование‏ ‎рабочей ‎группы ‎с‏ ‎участием ‎представителей‏ ‎ключевых ‎подразделений ‎компании;
• определение ‎ролей‏ ‎и‏ ‎ответственности ‎в‏ ‎области ‎обеспечения‏ ‎ИБ;
• проведение ‎анализа ‎рисков ‎ИБ, ‎включающего‏ ‎идентификацию‏ ‎критичных ‎информационных‏ ‎активов, ‎оценку‏ ‎угроз ‎и ‎уязвимостей, ‎а ‎также‏ ‎потенциального‏ ‎ущерба;
• определение‏ ‎требований ‎и‏ ‎целей ‎ИБ‏ ‎на ‎основе‏ ‎результатов‏ ‎анализа ‎рисков‏ ‎и ‎бизнес-потребностей ‎компании;
• разработка ‎стратегии ‎и‏ ‎политики ‎ИБ,‏ ‎определяющих‏ ‎принципы ‎защиты ‎и‏ ‎основные ‎организационные‏ ‎и ‎технические ‎меры;
• выбор ‎конкретных‏ ‎мер‏ ‎и ‎средств‏ ‎защиты ‎информации‏ ‎с ‎учетом ‎их ‎экономической ‎эффективности;
• разработка‏ ‎плана‏ ‎внедрения ‎выбранных‏ ‎мер ‎защиты‏ ‎и ‎совершенствования ‎системы ‎управления ‎ИБ;
• документирование‏ ‎концепции‏ ‎ИБ‏ ‎и ‎её‏ ‎утверждение ‎высшим‏ ‎руководством ‎компании.

Данный‏ ‎подход‏ ‎позволяет ‎учесть‏ ‎специфику ‎организации ‎и ‎обеспечить ‎системность‏ ‎в ‎управлении‏ ‎ИБ.

Оценка‏ ‎рисков

Анализ ‎рисков ‎ИБ‏ ‎имеет ‎существенные‏ ‎отличия ‎от ‎классических ‎методов‏ ‎оценки‏ ‎рисков. ‎Применение‏ ‎традиционных ‎количественных‏ ‎методов ‎анализа ‎рисков ‎в ‎сфере‏ ‎ИБ‏ ‎зачастую ‎затруднено‏ ‎или ‎невозможно‏ ‎из-за ‎отсутствия ‎необходимых ‎статистических ‎и‏ ‎исторических‏ ‎данных.‏ ‎Даже ‎в‏ ‎случаях, ‎когда‏ ‎такие ‎расчёты‏ ‎осуществимы,‏ ‎интерпретация ‎полученных‏ ‎результатов ‎может ‎представлять ‎значительные ‎трудности.

Специфика‏ ‎анализа ‎рисков‏ ‎в‏ ‎области ‎ИБ ‎обусловлена‏ ‎динамичностью ‎и‏ ‎непредсказуемостью ‎соответствующих ‎угроз, ‎а‏ ‎также‏ ‎сложностью ‎количественной‏ ‎оценки ‎ряда‏ ‎ключевых ‎факторов, ‎таких ‎как ‎вероятность‏ ‎реализации‏ ‎киберугроз, ‎масштаб‏ ‎потенциального ‎ущерба‏ ‎и ‎эффективность ‎применяемых ‎средств ‎защиты.‏ ‎В‏ ‎связи‏ ‎с ‎этим‏ ‎в ‎сфере‏ ‎ИБ ‎все‏ ‎чаще‏ ‎применяются ‎качественные‏ ‎методы ‎анализа ‎рисков, ‎основанные ‎на‏ ‎экспертных ‎оценках‏ ‎и‏ ‎сценарном ‎моделировании. ‎Такое‏ ‎моделирование ‎рекомендуется‏ ‎проводить ‎только ‎для ‎систем‏ ‎с‏ ‎уровнем ‎предназначенным‏ ‎для ‎развивающегося‏ ‎малого ‎или ‎уже ‎среднего ‎бизнеса.‏ ‎До‏ ‎этих ‎уровней‏ ‎стоит ‎проводить‏ ‎оценку ‎на ‎количественном ‎или ‎качественном‏ ‎уровне‏ ‎не‏ ‎затрагивая ‎бизнес-процессы‏ ‎и ‎не‏ ‎проводя ‎анализ‏ ‎воздействия‏ ‎на ‎бизнес-деятельность‏ ‎компании. ‎Такой ‎подход ‎позволяет ‎учесть‏ ‎специфику ‎ИБ‏ ‎и‏ ‎обеспечить ‎более ‎адекватную‏ ‎оценку ‎рисков‏ ‎в ‎условиях ‎высокой ‎неопределенности‏ ‎и‏ ‎динамичности ‎угроз.

В‏ ‎рамках ‎традиционного‏ ‎методологического ‎подхода ‎к ‎анализу ‎рисков,‏ ‎количественная‏ ‎оценка ‎риска‏ ‎определяется ‎как‏ ‎произведение ‎потенциального ‎ущерба ‎на ‎вероятность‏ ‎его‏ ‎возникновения.‏ ‎Рассмотрим ‎два‏ ‎альтернативных ‎сценария:

1. Утечка‏ ‎конфиденциальных ‎данных‏ ‎клиентов‏ ‎вследствие ‎кибератаки,‏ ‎с ‎оценочным ‎ущербом ‎в ‎5‏ ‎миллионов ‎рублей‏ ‎и‏ ‎статистической ‎вероятностью ‎наступления‏ ‎события ‎один‏ ‎раз ‎в ‎720 ‎дней‏ ‎(приблизительно‏ ‎1,97 ‎года).‏ ‎В ‎данном‏ ‎случае ‎теоретическая ‎величина ‎риска ‎составляет‏ ‎6‏ ‎944,44 ‎рубля‏ ‎в ‎день‏ ‎или ‎2 ‎534 ‎722,22 ‎рубля‏ ‎в‏ ‎год.
2. Временный‏ ‎сбой ‎в‏ ‎работе ‎корпоративной‏ ‎системы ‎электронной‏ ‎почты,‏ ‎приводящий ‎к‏ ‎снижению ‎производительности ‎труда, ‎с ‎ущербом‏ ‎в ‎5‏ ‎000‏ ‎рублей ‎и ‎статистической‏ ‎частотой ‎инцидента‏ ‎один ‎раз ‎в ‎10‏ ‎рабочих‏ ‎дней. ‎Здесь‏ ‎теоретическая ‎величина‏ ‎риска ‎составляет ‎500 ‎рублей ‎в‏ ‎день‏ ‎или ‎182‏ ‎500 ‎рублей‏ ‎в ‎год ‎(при ‎расчете ‎на‏ ‎365‏ ‎дней).

Несмотря‏ ‎на ‎значительную‏ ‎разницу ‎в‏ ‎количественных ‎показателях‏ ‎риска‏ ‎в ‎денежном‏ ‎выражении, ‎указанные ‎сценарии ‎по-прежнему ‎требуют‏ ‎дифференцированных ‎подходов‏ ‎в‏ ‎рамках ‎комплексной ‎системы‏ ‎управления ‎рисками‏ ‎организации. ‎При ‎различных ‎числовых‏ ‎значениях,‏ ‎практические ‎последствия‏ ‎реализации ‎рассматриваемых‏ ‎рисков ‎и ‎методы ‎их ‎минимизации‏ ‎существенно‏ ‎различаются.

В ‎связи‏ ‎с ‎этим,‏ ‎при ‎разработке ‎стратегии ‎управления ‎рисками‏ ‎необходимо‏ ‎учитывать‏ ‎не ‎только‏ ‎количественные ‎показатели,‏ ‎но ‎и‏ ‎качественные‏ ‎характеристики ‎потенциальных‏ ‎угроз, ‎их ‎влияние ‎на ‎непрерывность‏ ‎бизнес-процессов, ‎репутационные‏ ‎аспекты‏ ‎и ‎долгосрочные ‎последствия‏ ‎для ‎организации.‏ ‎Это ‎позволит ‎обеспечить ‎более‏ ‎эффективное‏ ‎распределение ‎ресурсов‏ ‎и ‎разработку‏ ‎адекватных ‎мер ‎по ‎снижению ‎рисков‏ ‎в‏ ‎соответствии ‎с‏ ‎их ‎спецификой‏ ‎и ‎потенциальным ‎воздействием ‎на ‎деятельность‏ ‎организации,‏ ‎но‏ ‎только ‎после‏ ‎того, ‎как‏ ‎организация ‎выстроит‏ ‎работающую‏ ‎систему ‎ИБ‏ ‎в ‎выбранной ‎области ‎применения.

Представленные ‎рекомендации‏ ‎предусматривают ‎применение‏ ‎как‏ ‎качественного ‎подхода ‎к‏ ‎оценке ‎рисков,‏ ‎обеспечивающего ‎получение ‎релевантных ‎данных‏ ‎для‏ ‎анализа ‎инцидентов,‏ ‎способных ‎оказать‏ ‎негативное ‎воздействие ‎на ‎бизнес-процессы, ‎так‏ ‎и‏ ‎количественное, ‎а‏ ‎также ‎сценарное,‏ ‎зависящее ‎от ‎выбираемого ‎уровня ‎обеспечения‏ ‎ИБ‏ ‎в‏ ‎выбранной ‎области‏ ‎применения.

Рекомендации ‎базируются‏ ‎на ‎принципе,‏ ‎согласно‏ ‎которому ‎обеспечение‏ ‎безопасной ‎обработки ‎информации, ‎критически ‎значимой‏ ‎для ‎бизнеса,‏ ‎является‏ ‎обязательным ‎требованием ‎вне‏ ‎зависимости ‎от‏ ‎отраслевой ‎специфики ‎и ‎профиля‏ ‎деятельности‏ ‎организации.  ‎Но‏ ‎компании ‎предоставляется‏ ‎полное ‎право ‎самой ‎определять, ‎что‏ ‎будет‏ ‎защищаться ‎в‏ ‎первую ‎очередь,‏ ‎затем ‎во ‎вторую, ‎после ‎в‏ ‎третью‏ ‎и‏ ‎так ‎далее.

Ключевым‏ ‎преимуществом ‎предлагаемой‏ ‎методологии ‎является‏ ‎унификация‏ ‎подхода: ‎организации‏ ‎применяющие ‎данные ‎рекомендации, ‎получают ‎единую‏ ‎нормативную ‎базу‏ ‎для‏ ‎проведения ‎оценочных ‎процедур.‏ ‎Это ‎способствует‏ ‎повышению ‎прозрачности ‎и ‎согласованности‏ ‎процессов‏ ‎управления ‎рисками,‏ ‎а ‎также‏ ‎формирует ‎доверительную ‎среду ‎для ‎субъектов,‏ ‎стремящихся‏ ‎обеспечить ‎эффективную‏ ‎защиту ‎своего‏ ‎бизнеса ‎от ‎киберугроз ‎и ‎улучшить‏ ‎состояние‏ ‎ИБ‏ ‎в ‎компании.

Настоящим‏ ‎уведомляем, ‎что‏ ‎материалы, ‎размещённые‏ ‎на‏ ‎данной ‎странице,‏ ‎охраняются ‎авторским ‎правом ‎в ‎соответствии‏ ‎со ‎статьей‏ ‎1259‏ ‎Гражданского ‎кодекса ‎Российской‏ ‎Федерации. ‎Использование‏ ‎результатов ‎интеллектуальной ‎деятельности, ‎представленных‏ ‎на‏ ‎данной ‎странице,‏ ‎в ‎том‏ ‎числе ‎для ‎создания ‎средств ‎обработки‏ ‎информации,‏ ‎без ‎письменного‏ ‎согласия ‎правообладателя‏ ‎— ‎ООО ‎«ЦифраБез» ‎— ‎запрещено.

Распространение‏ ‎данной‏ ‎информации‏ ‎допускается ‎только‏ ‎при ‎обязательном‏ ‎указании ‎ссылки‏ ‎на‏ ‎источник ‎(данную‏ ‎страницу).

Несанкционированное ‎использование ‎охраняемых ‎авторским ‎правом‏ ‎материалов ‎является‏ ‎нарушением‏ ‎законодательства ‎Российской ‎Федерации‏ ‎и ‎влечёт‏ ‎за ‎собой ‎ответственность, ‎предусмотренную‏ ‎им.