Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 18 из 18)
Концепция информационной безопасности
В соответствии с установленными рекомендациями, процесс разработки концепции информационной безопасности предусматривает последовательное выполнение следующих этапов:
- определение информационного контура защищаемого объекта и установление области применения концепции: На данном этапе осуществляется четкое обозначение границ информационного контура — той части организации (информационной системы, сети, процесса и тому подобного), для которой будет разработана и впоследствии реализована концепция информационной безопасности. В рамках Методологии «Волга-27001» этот информационный контур носит название — информационный комплекс. Все компоненты, входящие в рассматриваемый информационный контур, подлежат защите посредством применения соответствующих мер защиты на основе выполнения определённых требований;
- проведение структурного анализа с целью определения объектов защиты в информационном контуре: в рамках структурного анализа производится идентификация ключевых объектов защиты для определённого информационного контура. К таковым могут относиться: информационные активы, прикладные системы, ИТ-инфраструктура, системы промышленной автоматизации, устройства Интернета вещей, сетевые устройства и компоненты, помещения и здания, а также ответственный за это персонал. Помимо этого, осуществляется анализ взаимосвязей и зависимостей между вышеуказанными объектами. Выявление подобных зависимостей позволяет провести оценку потенциальных последствий инцидентов информационной безопасности для деятельности организации и разработать адекватные меры защиты;
- оценка потребностей в защите: анализ воздействия инцидентов на исследуемые бизнес-процессы. Для каждого значения, выявленного в ходе структурного анализа, определяется уровень необходимой защиты, то есть уровень обеспечения информационной безопасности.
Для определения необходимого уровня обеспечения информационной безопасности следует провести комплексную оценку потребности в защите этих процессов. На основании полученных результатов устанавливается требуемый уровень защиты для приложений, выявленных в ходе структурного анализа, с учетом характера обрабатываемой информации. Далее проводится анализ используемых ИТ-систем и мест обработки соответствующей информации. Уровень обеспечения информационной безопасности бизнес-процессов транслируется на обеспечивающие их функционирование ИТ-системы. Уровень защищенности помещений определяется исходя из требований к защите бизнес-процессов и ИТ-систем, размещенных в данных помещениях и обрабатывающих защищаемую информацию.
Методология основана на реализации требований для нейтрализации угроз или сведения их появления к минимальному и допустимому уровню, который для организации приемлем. Меры защиты имеют уровни зрелости, характеризующие степень их реализации. Методология предполагает обязательное выполнение требований, в том числе и через реализацию мер защиты, при этом допускает вариативность способов реализации, определяющих уровень зрелости конкретной меры. Методология предусматривает минимально допустимый уровень зрелости для каждого требования.
В случае, если сбой в работе ИТ-системы может привести к значительному ущербу с высокой оценочной стоимостью инцидента, это указывает на необходимость установления более высокого уровня обеспечения информационной безопасности.
Методология «Волга-27001» представляет собой комплексный подход к обеспечению информационной безопасности, основанный на требованиях стандарта ISO 27001 и дополненный лучшими международными практиками. Ключевые особенности методологии включают:
- модульную структуру требований, охватывающую все направления стандарта ISO 27001 и дополнительные аспекты безопасности для каждого модуля;
- градацию уровней обеспечения информационной безопасности, влияющую на объем и глубину реализуемых требований. Более высокий уровень предполагает внедрение большего количества требований, включая требования для более низких уровней;
- возможность поэтапного повышения уровня обеспечения информационной безопасности в зависимости от ресурсов и потребностей самой организации;
- последовательный подход к наращиванию уровня защищённости всей организации, не допускающий пропуска промежуточных этапов;
- непрерывное совершенствование методологии на основе российского и международного опыта, а также обратной связи от пользователей (для тех, кто оформит подписку уровня который разрешает личное общение).
Методология «Волга-27001» предоставляет организациям инструментарий для выбора оптимального уровня обеспечения информационной безопасности с учётом имеющихся ресурсов и специфики деятельности. При этом важно отметить, что полная минимизация угроз возможна только на уровне, когда система управления информационной безопасность построена и начала своё совершенствование, в то время как более низкие уровни позволяют только начать строительство такой системы, а соответственно не могут обеспечивать адекватную защиту от угроз.
Доступ к Методологии осуществляется на основе платной подписки. ООО «ЦифраБез» приглашает специалистов по информационной безопасности и организации-пользователей к участию в её дальнейшем развитии и совершенствовании. У нашей Методологии есть все шансы стать лучшей российской практикой для бизнеса.
Настоящим уведомляем, что материалы, размещённые на данной странице, охраняются авторским правом в соответствии со статьей 1259 Гражданского кодекса Российской Федерации. Третьи лица не вправе использовать с целью создания каких-либо средств обработки представленной информации и размещённых на данной странице результатов интеллектуальной деятельности каким-либо образом без письменного согласия ООО «ЦифраБез». Распространение настоящей информации возможно только при указании ссылки на данную страницу.
Несанкционированное использование охраняемых авторским правом материалов является нарушением законодательства Российской Федерации и влечёт за собой ответственность, предусмотренную им.
Vkontakte
Twitter
Одноклассники
Предыдущий
0 комментариев