Использование ‎доступных‏ ‎источников ‎информации

Обеспечение ‎информационной ‎безопасности ‎является‏ ‎сложной ‎комплексной‏ ‎темой,‏ ‎требующей ‎всестороннего ‎изучения‏ ‎и ‎глубокого‏ ‎понимания ‎со ‎стороны ‎ответственных‏ ‎специалистов.‏ ‎К ‎счастью,‏ ‎в ‎распоряжении‏ ‎исследователей ‎и ‎практиков ‎имеется ‎широкий‏ ‎спектр‏ ‎доступных ‎информационных‏ ‎ресурсов, ‎которые‏ ‎могут ‎быть ‎задействованы ‎для ‎углубления‏ ‎знаний‏ ‎в‏ ‎данной ‎предметной‏ ‎области. ‎Эти‏ ‎ресурсы ‎включают‏ ‎в‏ ‎себя ‎нормативно-правовые‏ ‎акты ‎и ‎отраслевые ‎стандарты, ‎материалы‏ ‎сети ‎Интернет,‏ ‎а‏ ‎также ‎специализированную ‎научную‏ ‎и ‎профессиональную‏ ‎литературу. ‎Кроме ‎того, ‎важную‏ ‎роль‏ ‎играет ‎сетевое‏ ‎взаимодействие ‎с‏ ‎профильными ‎ассоциациями, ‎партнёрскими ‎организациями, ‎экспертными‏ ‎сообществами,‏ ‎государственными ‎органами.‏ ‎Такое ‎сотрудничество‏ ‎позволяет ‎осуществлять ‎эффективный ‎обмен ‎передовым‏ ‎опытом‏ ‎и‏ ‎актуальной ‎информацией‏ ‎в ‎сфере‏ ‎обеспечения ‎информационной‏ ‎безопасности.

В‏ ‎компании ‎должна‏ ‎быть ‎создана ‎внутренняя ‎база ‎знаний‏ ‎для ‎специалистов‏ ‎по‏ ‎информационной ‎безопасности, ‎где‏ ‎указываются ‎доступные‏ ‎источники ‎и ‎собирается ‎нарабатываемый‏ ‎со‏ ‎временем ‎опыт.

Управленческий‏ ‎анализ

Руководство ‎компании‏ ‎должно ‎регулярно ‎проводить ‎управленческий ‎анализ‏ ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎При‏ ‎необходимости, ‎например, ‎при ‎участившихся ‎инцидентах‏ ‎или‏ ‎существенном‏ ‎изменении ‎внешних‏ ‎условий, ‎такие‏ ‎оценки ‎следует‏ ‎выполнять‏ ‎и ‎вне‏ ‎плановых ‎сроков. ‎Все ‎результаты ‎и‏ ‎принятые ‎решения‏ ‎подлежат‏ ‎документированию.

Ключевые ‎вопросы ‎для‏ ‎рассмотрения ‎в‏ ‎рамках ‎управленческого ‎анализа:

• Изменились ‎ли‏ ‎факторы,‏ ‎определяющие ‎подход‏ ‎к ‎обеспечению‏ ‎информационной ‎безопасности?
• Остаются ‎ли ‎цели ‎информационной‏ ‎безопасности‏ ‎актуальными ‎и‏ ‎адекватными?
• Соответствует ‎ли‏ ‎политика ‎информационной ‎безопасности ‎современным ‎реалиям‏ ‎компании‏ ‎и‏ ‎законодательным ‎требованиям?

Акцент‏ ‎при ‎оценке‏ ‎эффективности ‎процесса‏ ‎информационной‏ ‎безопасности ‎делается‏ ‎не ‎на ‎проверке ‎отдельных ‎мер‏ ‎безопасности, ‎а‏ ‎на‏ ‎комплексном ‎анализе. ‎Например,‏ ‎безопасная ‎эксплуатация‏ ‎интернет-портала ‎может ‎оказаться ‎слишком‏ ‎затратной‏ ‎для ‎небольшой‏ ‎компании, ‎что‏ ‎может ‎послужить ‎основанием ‎для ‎передачи‏ ‎управления‏ ‎порталом ‎внешнему‏ ‎поставщику ‎услуг.

Кроме‏ ‎того, ‎целесообразно ‎проанализировать, ‎насколько ‎зарекомендовала‏ ‎себя‏ ‎организация‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎Если‏ ‎будет ‎установлено,‏ ‎что‏ ‎меры ‎безопасности‏ ‎неэффективны ‎или ‎чрезмерно ‎затраты, ‎это‏ ‎может ‎послужить‏ ‎основанием‏ ‎для ‎пересмотра ‎и‏ ‎адаптации ‎всей‏ ‎стратегии ‎информационной ‎безопасности ‎компании.‏ ‎При‏ ‎этом ‎руководству‏ ‎следует ‎ответить‏ ‎на ‎следующие ‎вопросы:

• Является ‎ли ‎стратегия‏ ‎информационной‏ ‎безопасности ‎по-прежнему‏ ‎адекватной?
• Соответствует ‎ли‏ ‎концепция ‎информационной ‎безопасности ‎целям ‎компании,‏ ‎в‏ ‎том‏ ‎числе ‎законодательным‏ ‎требованиям?
• Обеспечивает ‎ли‏ ‎существующая ‎организация‏ ‎информационной‏ ‎безопасности ‎эффективную‏ ‎реализацию ‎целей?
• Не ‎требуется ‎ли ‎усиление‏ ‎её ‎статуса‏ ‎или‏ ‎более ‎тесная ‎интеграция‏ ‎в ‎бизнес-процессы?
• Являются‏ ‎ли ‎затраты ‎на ‎обеспечение‏ ‎информационной‏ ‎безопасности ‎оправданными‏ ‎и ‎соразмерными?

Корректирующие‏ ‎меры

Результаты ‎оценки ‎эффективности ‎должны ‎систематически‏ ‎применяться‏ ‎для ‎реализации‏ ‎соответствующих ‎корректирующих‏ ‎мер. ‎Это ‎может ‎подразумевать ‎необходимость‏ ‎модификации‏ ‎целей‏ ‎информационной ‎безопасности,‏ ‎стратегии ‎и/или‏ ‎концепции, ‎а‏ ‎также‏ ‎адаптации ‎организационной‏ ‎структуры ‎к ‎изменившимся ‎требованиям. ‎В‏ ‎ряде ‎случаев‏ ‎целесообразно‏ ‎осуществить ‎фундаментальные ‎изменения‏ ‎в ‎бизнес-процессах‏ ‎или ‎ИТ-инфраструктуре, ‎а ‎также‏ ‎отказаться‏ ‎от ‎определённых‏ ‎бизнес-процессов ‎или‏ ‎передать ‎их ‎на ‎аутсорсинг, ‎если‏ ‎их‏ ‎безопасное ‎функционирование‏ ‎более ‎не‏ ‎может ‎быть ‎гарантировано ‎имеющимися ‎ресурсами.‏ ‎При‏ ‎внедрении‏ ‎более ‎масштабных‏ ‎преобразований ‎и‏ ‎реализации ‎значительных‏ ‎улучшений‏ ‎цикл ‎управления‏ ‎замыкается ‎повторным ‎запуском ‎этапа ‎планирования.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на ‎основании‏ ‎статьи ‎1259‏ ‎ГК ‎РФ.

Принципы ‎управления

Интегрируйте‏ ‎информационную ‎безопасность ‎в ‎бизнес-процессы ‎компании

Информационная‏ ‎безопасность ‎представляет‏ ‎собой‏ ‎сквозную ‎(интегральную) ‎функцию,‏ ‎которая ‎должна‏ ‎быть ‎введена ‎во ‎все‏ ‎процессы‏ ‎и ‎проекты‏ ‎компании, ‎связанные‏ ‎с ‎обработкой ‎информации. ‎Данное ‎требование‏ ‎обусловлено‏ ‎ключевой ‎ролью‏ ‎информации ‎в‏ ‎современных ‎компаниях ‎и ‎необходимостью ‎обеспечения‏ ‎её‏ ‎надлежащей‏ ‎защиты.

В ‎частности,‏ ‎в ‎рамках‏ ‎управления ‎проектами‏ ‎уже‏ ‎на ‎этапе‏ ‎планирования ‎следует ‎оценивать ‎потребности ‎в‏ ‎защите ‎информации,‏ ‎которая‏ ‎будет ‎генерироваться ‎и‏ ‎обрабатываться ‎в‏ ‎ходе ‎реализации ‎проекта. ‎Результаты‏ ‎данной‏ ‎оценки ‎должны‏ ‎служить ‎основой‏ ‎для ‎планирования ‎и ‎внедрения ‎соответствующих‏ ‎мер‏ ‎защиты.

Аналогичным ‎образом,‏ ‎процессы ‎управления‏ ‎инцидентами ‎в ‎ИТ-среде ‎должны ‎быть‏ ‎тесно‏ ‎взаимоувязаны‏ ‎с ‎управлением‏ ‎инцидентами ‎по‏ ‎информационной ‎безопасности.‏ ‎Это‏ ‎позволит ‎обеспечить‏ ‎своевременное ‎выявление, ‎реагирование ‎и ‎устранение‏ ‎сбоев, ‎затрагивающих‏ ‎информационную‏ ‎безопасность ‎в ‎компании.

Таким‏ ‎образом, ‎эффективность‏ ‎системы ‎управления ‎информационной ‎безопасностью‏ ‎компании‏ ‎во ‎многом‏ ‎зависит ‎от‏ ‎уровня ‎интеграции ‎данной ‎функции ‎в‏ ‎ключевые‏ ‎управленческие ‎процессы.‏ ‎Отсутствие ‎или‏ ‎недостаточная ‎интегрированность ‎информационной ‎безопасности ‎может‏ ‎значительно‏ ‎снижать‏ ‎её ‎нужность‏ ‎для ‎защиты‏ ‎компании ‎от‏ ‎угроз‏ ‎в ‎области‏ ‎информационной ‎безопасности.

Достижимые ‎цели

Проекты ‎часто ‎терпят‏ ‎неудачу ‎из-за‏ ‎нереалистичных‏ ‎или ‎слишком ‎амбициозных‏ ‎целевых ‎показателей.‏ ‎Это ‎не ‎является ‎исключением‏ ‎и‏ ‎в ‎сфере‏ ‎информационной ‎безопасности.‏ ‎Для ‎достижения ‎адекватной ‎цели ‎информационной‏ ‎безопасности‏ ‎зачастую ‎более‏ ‎эффективными ‎могут‏ ‎быть ‎многочисленные ‎небольшие ‎шаги ‎и‏ ‎долгосрочный,‏ ‎непрерывный‏ ‎процесс ‎улучшения‏ ‎без ‎значительных‏ ‎первоначальных ‎инвестиционных‏ ‎затрат,‏ ‎нежели ‎масштабный‏ ‎проект.

Так, ‎может ‎быть ‎целесообразным ‎в‏ ‎первую ‎очередь‏ ‎внедрять‏ ‎необходимый ‎уровень ‎ЗИВОП‏ ‎только ‎в‏ ‎выбранных ‎направлениях ‎мер ‎защиты,‏ ‎применяя‏ ‎базовые ‎меры‏ ‎защиты, ‎и‏ ‎сосредотачиваться ‎на ‎достижении ‎уровня ‎зрелости‏ ‎для‏ ‎каждой ‎из‏ ‎них. ‎Такой‏ ‎поэтапный, ‎эволюционный ‎подход ‎позволяет ‎достичь‏ ‎требуемого‏ ‎уровня‏ ‎ЗИВОП ‎без‏ ‎чрезмерных ‎ресурсных‏ ‎затрат ‎на‏ ‎старте,‏ ‎одновременно ‎обеспечивая‏ ‎постепенное ‎наращивание ‎защитных ‎мер ‎и,‏ ‎соответственно, ‎рост‏ ‎уровня‏ ‎ЗИВОП. ‎В ‎отличие‏ ‎от ‎рискованных‏ ‎крупномасштабных ‎проектов, ‎данная ‎тактика‏ ‎является‏ ‎более ‎обоснованной‏ ‎и ‎управляемой.

Экономический‏ ‎эффект

Одной ‎из ‎наиболее ‎сложных ‎задач‏ ‎в‏ ‎сфере ‎управления‏ ‎информационной ‎безопасностью‏ ‎является ‎оптимальное ‎распределение ‎ограниченных ‎ресурсов‏ ‎(они‏ ‎ВСЕГДА‏ ‎ограничены) ‎между‏ ‎различными ‎защитными‏ ‎мероприятиями ‎с‏ ‎учётом‏ ‎их ‎эффективности‏ ‎и ‎соотношения ‎с ‎возможными ‎рисками.

Наиболее‏ ‎рациональным ‎подходом‏ ‎является‏ ‎приоритизация ‎выделения ‎ресурсов‏ ‎в ‎те‏ ‎меры, ‎которые ‎демонстрируют ‎наибольшую‏ ‎результативность‏ ‎либо ‎предотвращают‏ ‎наиболее ‎критически‏ ‎важные ‎риски. ‎При ‎этом ‎следует‏ ‎отметить,‏ ‎что ‎самые‏ ‎действенные ‎решения‏ ‎не ‎всегда ‎являются ‎и ‎наиболее‏ ‎затратными.

Фундаментальное‏ ‎значение‏ ‎в ‎данном‏ ‎контексте ‎приобретает‏ ‎глубокое ‎понимание‏ ‎зависимости‏ ‎ключевых ‎бизнес-процессов‏ ‎и ‎функциональных ‎задач ‎компании ‎от‏ ‎информационно-технологической ‎инфраструктуры.‏ ‎Это‏ ‎знание ‎позволяет ‎выстраивать‏ ‎сбалансированную ‎систему‏ ‎обеспечения ‎информационной ‎безопасности.

Эффективная ‎реализация‏ ‎мер‏ ‎защиты ‎предполагает‏ ‎комплексный ‎подход,‏ ‎включающий ‎как ‎технические, ‎так ‎и‏ ‎организационные,‏ ‎режимные ‎меры.‏ ‎Инвестиции ‎в‏ ‎технические ‎средства ‎защиты ‎требуют ‎прямых‏ ‎финансовых‏ ‎затрат,‏ ‎которые ‎могут‏ ‎быть ‎оправданы‏ ‎только ‎при‏ ‎условии‏ ‎максимально ‎эффективного‏ ‎использования ‎данных ‎решений, ‎их ‎интеграции‏ ‎в ‎целостную‏ ‎систему‏ ‎безопасности ‎и ‎обеспечения‏ ‎соответствующего ‎уровня‏ ‎подготовки ‎персонала. ‎В ‎свою‏ ‎очередь,‏ ‎организационные ‎и‏ ‎режимные ‎меры‏ ‎могут ‎выступать ‎в ‎качестве ‎альтернативы‏ ‎или‏ ‎дополнения ‎к‏ ‎техническим ‎решениям,‏ ‎однако ‎их ‎последовательное ‎внедрение ‎сопряжено‏ ‎со‏ ‎значительными‏ ‎управленческими ‎и‏ ‎ресурсными ‎сложностями,‏ ‎и ‎частым‏ ‎отторжением‏ ‎их ‎персоналом‏ ‎без ‎соответствующих ‎разъяснений ‎об ‎их‏ ‎внедрении ‎со‏ ‎стороны‏ ‎руководящего ‎звена ‎компании.

Будьте‏ ‎примером

Высшее ‎руководство‏ ‎компании ‎также ‎должно ‎выполнять‏ ‎функцию‏ ‎эталона ‎в‏ ‎сфере ‎информационной‏ ‎безопасности. ‎Данное ‎требование ‎включает ‎в‏ ‎себя,‏ ‎помимо ‎прочего,‏ ‎соблюдение ‎руководящим‏ ‎звеном ‎всех ‎установленных ‎норм ‎и‏ ‎правил‏ ‎информационной‏ ‎безопасности, ‎участие‏ ‎в ‎образовательных‏ ‎мероприятиях, ‎а‏ ‎также‏ ‎оказание ‎поддержки‏ ‎другим ‎руководителям ‎в ‎осуществлении ‎ими‏ ‎своей ‎эталонной‏ ‎роли.

Первостепенно,‏ ‎чтобы ‎высшее ‎руководство‏ ‎компании ‎служило‏ ‎образцом ‎в ‎вопросах ‎информационной‏ ‎безопасности.‏ ‎Им ‎необходимо‏ ‎не ‎только‏ ‎придерживаться ‎всех ‎предписанных ‎регламентов, ‎но‏ ‎и‏ ‎лично ‎вовлекаться‏ ‎в ‎тренинги‏ ‎и ‎обучающие ‎программы, ‎а ‎также‏ ‎содействовать‏ ‎другим‏ ‎управленцам ‎в‏ ‎надлежащем ‎выполнении‏ ‎аналогичных ‎обязанностей.‏ ‎Лишь‏ ‎при ‎таком‏ ‎условии ‎руководство ‎компании ‎сможет ‎эффективно‏ ‎культивировать ‎культуру‏ ‎информационной‏ ‎безопасности ‎во ‎всей‏ ‎своей ‎организационной‏ ‎структуре.

В ‎компании ‎должен ‎работать‏ ‎принцип:‏ ‎делаешь ‎ты,‏ ‎делают ‎другие.‏ ‎Если ‎ты ‎не ‎делаешь, ‎то‏ ‎и‏ ‎с ‎других‏ ‎не ‎можешь‏ ‎спрашивать.

Необходимо ‎осознавать, ‎что ‎руководство ‎компании‏ ‎является‏ ‎маяком‏ ‎и ‎целью‏ ‎в ‎поведении‏ ‎для ‎сотрудников.‏ ‎Если‏ ‎руководство ‎не‏ ‎исполняет ‎требования ‎по ‎информационной ‎безопасности,‏ ‎значит ‎и‏ ‎сотрудники‏ ‎их ‎не ‎будут‏ ‎исполнять. ‎А‏ ‎следовательно ‎сколько ‎бы ‎ресурсов,‏ ‎включая‏ ‎финансовых, ‎в‏ ‎информационною ‎безопасность‏ ‎не ‎было ‎бы ‎вложено, ‎эффекта‏ ‎от‏ ‎них ‎не‏ ‎будет ‎никакого.

Внимание!‏ ‎Материал ‎охраняется ‎авторским ‎правом ‎на‏ ‎основании‏ ‎статьи‏ ‎1259 ‎ГК‏ ‎РФ.

Принципы ‎управления

Управление‏ ‎информационной ‎безопасностью ‎представляет ‎собой ‎комплексную‏ ‎управленческую ‎деятельность,‏ ‎направленную‏ ‎на ‎планирование, ‎организацию,‏ ‎контроль ‎и‏ ‎координацию ‎мер ‎по ‎обеспечению‏ ‎защиты‏ ‎информационных ‎ресурсов‏ ‎и ‎систем.‏ ‎Данная ‎функция ‎предполагает ‎выполнение ‎и‏ ‎соблюдение‏ ‎соответствующих ‎законодательных‏ ‎и ‎нормативных‏ ‎требований.

В ‎профессиональной ‎литературе ‎описаны ‎различные‏ ‎концептуальные‏ ‎подходы‏ ‎к ‎эффективной‏ ‎организации ‎системы‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎и ‎соответствующих‏ ‎организационных ‎структур. ‎Несмотря ‎на ‎многообразие‏ ‎моделей, ‎существует‏ ‎ряд‏ ‎универсальных ‎управленческих ‎принципов,‏ ‎которые ‎следует‏ ‎учитывать ‎в ‎данной ‎сфере.

Некоторые‏ ‎из‏ ‎этих ‎принципов‏ ‎могут ‎показаться‏ ‎очевидными, ‎поскольку ‎они ‎являются ‎общепризнанными‏ ‎ценностями‏ ‎в ‎теории‏ ‎менеджмента. ‎Парадоксально,‏ ‎но ‎на ‎практике ‎зачастую ‎именно‏ ‎простые,‏ ‎но‏ ‎важные ‎аспекты,‏ ‎такие ‎как‏ ‎дисциплина, ‎терпение,‏ ‎принятие‏ ‎ответственности, ‎тщательное‏ ‎планирование ‎проектов, ‎упускаются ‎из ‎виду‏ ‎вовсе ‎или‏ ‎реализуются‏ ‎ненадлежащим ‎образом. ‎В‏ ‎то ‎же‏ ‎время ‎эффективные ‎меры, ‎как‏ ‎то:‏ ‎оптимизация ‎процессов,‏ ‎обучение ‎персонала,‏ ‎повышение ‎осведомлённости, ‎мотивация ‎сотрудников, ‎разработка‏ ‎понятной‏ ‎документации, ‎могут‏ ‎значительно ‎повысить‏ ‎уровня ‎ЗИВОП ‎от ‎угроз ‎информационной‏ ‎безопасности.

В‏ ‎противовес‏ ‎этому, ‎сложные‏ ‎и, ‎соответственно,‏ ‎дорогостоящие ‎технические‏ ‎решения,‏ ‎необоснованно ‎преподносятся‏ ‎как ‎более ‎эффективные, ‎что ‎способствует‏ ‎формированию ‎негативного‏ ‎восприятия‏ ‎мер ‎защиты ‎как‏ ‎«ускорителя ‎затрат».‏ ‎Поэтому ‎в ‎дальнейшем ‎будут‏ ‎рассмотрены‏ ‎ключевые ‎принципы‏ ‎управления ‎информационной‏ ‎безопасностью, ‎соблюдение ‎которых ‎способствует ‎успешной‏ ‎реализации‏ ‎данной ‎функции.

Обязанности‏ ‎руководства ‎компании

Задачи‏ ‎и ‎обязанности ‎руководящего ‎звена ‎в‏ ‎области‏ ‎информационной‏ ‎безопасности ‎можно‏ ‎обобщить ‎в‏ ‎следующих ‎обозначенных‏ ‎пунктах‏ ‎ниже.

Принятие ‎на‏ ‎себя ‎общей ‎ответственности ‎за ‎информационную‏ ‎безопасность

Вопросы ‎информационной‏ ‎безопасности‏ ‎компаний ‎находятся ‎в‏ ‎фокусе ‎внимания‏ ‎руководящих ‎структур ‎различного ‎типа‏ ‎и‏ ‎уровня. ‎Ответственность‏ ‎за ‎обеспечение‏ ‎целостности, ‎конфиденциальности ‎и ‎доступности ‎информационных‏ ‎активов‏ ‎лежит ‎на‏ ‎высшем ‎руководстве‏ ‎государственных ‎органов, ‎коммерческих ‎предприятий ‎и‏ ‎иных‏ ‎экономических‏ ‎субъектах.

Данная ‎ответственность‏ ‎может ‎иметь‏ ‎как ‎нормативно-правовую,‏ ‎так‏ ‎и ‎организационно-управленческую‏ ‎природу. ‎С ‎одной ‎стороны, ‎требования‏ ‎по ‎обеспечению‏ ‎информационной‏ ‎безопасности ‎могут ‎быть‏ ‎закреплены ‎в‏ ‎законодательстве, ‎подзаконных ‎актах, ‎стандартах‏ ‎и‏ ‎прочих ‎регулирующих‏ ‎документах ‎в‏ ‎зависимости ‎от ‎сферы ‎деятельности ‎компании‏ ‎(например,‏ ‎Указ ‎Президента‏ ‎РФ ‎от‏ ‎01.05.2022 ‎№ ‎250). С ‎другой ‎стороны,‏ ‎руководство‏ ‎должно‏ ‎принимать ‎целенаправленные‏ ‎меры ‎по‏ ‎внедрению ‎и‏ ‎поддержанию‏ ‎адекватных ‎механизмов‏ ‎информационной ‎безопасности ‎как ‎в ‎рамках‏ ‎внутренних ‎процессов,‏ ‎так‏ ‎и ‎во ‎внешнем‏ ‎взаимодействии.

Ключевым ‎аспектом‏ ‎является ‎публичная ‎демонстрация ‎приверженности‏ ‎руководства‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности.‏ ‎Топ-менеджеры ‎обязаны ‎открыто ‎заявлять ‎о‏ ‎своей‏ ‎ответственности ‎в‏ ‎данной ‎сфере‏ ‎и ‎доводить ‎её ‎критическую ‎важность‏ ‎до‏ ‎сведения‏ ‎всех ‎сотрудников‏ ‎компании. ‎Таким‏ ‎образом, ‎обеспечивается‏ ‎формирование‏ ‎соответствующей ‎организационной‏ ‎культуры ‎и ‎повышается ‎эффективность ‎практической‏ ‎реализации ‎мер‏ ‎защиты.

Инициировать‏ ‎процесс, ‎контролировать ‎исполнение‏ ‎и ‎наблюдать‏ ‎за ‎состоянием ‎информационной ‎безопасности‏ ‎в‏ ‎компании

Роль ‎высшего‏ ‎руководства ‎в‏ ‎обеспечении ‎информационной ‎безопасности ‎компании ‎является‏ ‎ключевой‏ ‎и ‎стратегической.‏ ‎Основные ‎функциональные‏ ‎задачи ‎руководства ‎компании ‎в ‎этой‏ ‎области‏ ‎включают‏ ‎следующие ‎направления:

• разработка‏ ‎и ‎утверждение‏ ‎единой ‎политики‏ ‎информационной‏ ‎безопасности, ‎непосредственно‏ ‎увязанной ‎с ‎общими ‎бизнес-целями ‎и‏ ‎функциональными ‎приоритетами‏ ‎компании.‏ ‎Данная ‎политика ‎должна‏ ‎содержать ‎чёткие‏ ‎целевые ‎ориентиры ‎и ‎показатели‏ ‎в‏ ‎сфере ‎информационной‏ ‎безопасности;
• систематический ‎анализ‏ ‎и ‎оценка ‎влияния ‎рисков ‎информационной‏ ‎безопасности‏ ‎на ‎ключевые‏ ‎операционные ‎и‏ ‎функциональные ‎процессы. ‎На ‎основе ‎данной‏ ‎оценки‏ ‎руководство‏ ‎принимает ‎обоснованные‏ ‎решения ‎относительно‏ ‎применяемых ‎методов‏ ‎управления‏ ‎этими ‎рисками,‏ ‎сохраняя ‎за ‎собой ‎конечную ‎ответственность‏ ‎за ‎состояние‏ ‎информационной‏ ‎безопасности ‎компании;
• создание ‎необходимых‏ ‎организационных ‎условий‏ ‎и ‎стимулов ‎для ‎эффективной‏ ‎реализации‏ ‎мер ‎информационной‏ ‎безопасности. ‎Сюда‏ ‎относится ‎определение ‎ответственности, ‎полномочий ‎и‏ ‎ресурсного‏ ‎обеспечения ‎соответствующих‏ ‎подразделений/должностных ‎лиц;
• формирование‏ ‎культуры ‎постоянного ‎совершенствования ‎практик ‎информационной‏ ‎безопасности‏ ‎путём‏ ‎регулярного ‎анализа,‏ ‎актуализации ‎политики‏ ‎и ‎информирования/обучения‏ ‎персонала.

Таким‏ ‎образом, ‎стратегическая‏ ‎роль ‎высшего ‎руководства ‎заключается ‎в‏ ‎комплексном ‎управлении‏ ‎рисками‏ ‎информационной ‎безопасности ‎компании‏ ‎в ‎соответствии‏ ‎с ‎её ‎ключевыми ‎бизнес-целями‏ ‎(деятельностью),‏ ‎а ‎также‏ ‎постоянным ‎ростом‏ ‎уровня ‎ЗИВОП ‎исходя ‎из ‎уровня‏ ‎информационной‏ ‎безопасности ‎и‏ ‎уровня ‎зрелости‏ ‎мер ‎защиты.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом‏ ‎на‏ ‎основании ‎ст.‏ ‎1259 ‎ГК‏ ‎РФ.

Описание ‎процесса‏ ‎и ‎модель ‎жизненного ‎цикла

Жизненный ‎цикл‏ ‎в ‎информационной‏ ‎безопасности

Информационная‏ ‎безопасность ‎в ‎современных‏ ‎компаниях ‎не‏ ‎является ‎статичным ‎состоянием, ‎которое‏ ‎достигается‏ ‎единожды ‎и‏ ‎остаётся ‎неизменным.‏ ‎Наоборот, ‎это ‎динамичный ‎процесс, ‎требующий‏ ‎постоянного‏ ‎внимания ‎и‏ ‎адаптации. ‎Любая‏ ‎компания ‎подвержена ‎непрерывным ‎изменениям, ‎затрагивающим‏ ‎не‏ ‎только‏ ‎бизнес-процессы, ‎функциональные‏ ‎задачи, ‎инфраструктуру,‏ ‎организационные ‎структуры‏ ‎и‏ ‎ИТ-среду, ‎но‏ ‎и ‎условия ‎в ‎которых ‎компания‏ ‎строит ‎информационную‏ ‎безопасность.

Помимо‏ ‎внутренних ‎организационных ‎изменений,‏ ‎внешние ‎факторы‏ ‎также ‎оказывают ‎влияние ‎—‏ ‎например,‏ ‎изменения ‎в‏ ‎законодательстве, ‎договорных‏ ‎требованиях, ‎а ‎также ‎доступных ‎и‏ ‎используемых‏ ‎информационных ‎и‏ ‎коммуникационных ‎технологиях.‏ ‎Кроме ‎того, ‎появление ‎новых ‎методов‏ ‎атак‏ ‎и‏ ‎уязвимостей ‎может‏ ‎частично ‎или‏ ‎полностью ‎обесценить‏ ‎ранее‏ ‎внедрённые ‎меры‏ ‎защиты. ‎Таким ‎образом, ‎активное ‎управление‏ ‎информационной ‎безопасностью‏ ‎является‏ ‎необходимым ‎условием ‎для‏ ‎поддержания ‎достигнутого‏ ‎уровня ‎ЗИВОП ‎и ‎его‏ ‎непрерывного‏ ‎совершенствования ‎(увеличения).

Недостаточно‏ ‎однократно ‎спланировать‏ ‎и ‎внедрить ‎бизнес-процессы, ‎ИТ-системы ‎и‏ ‎соответствующие‏ ‎меры ‎защиты.‏ ‎После ‎их‏ ‎внедрения ‎необходимо ‎регулярно ‎оценивать ‎эффективность‏ ‎и‏ ‎актуальность‏ ‎принятых ‎мер,‏ ‎выявлять ‎слабые‏ ‎места ‎и‏ ‎возможности‏ ‎для ‎улучшения.‏ ‎Это ‎влечёт ‎за ‎собой ‎планирование‏ ‎и ‎внедрение‏ ‎необходимых‏ ‎корректировок ‎и ‎изменений.‏ ‎Кроме ‎того,‏ ‎при ‎завершении ‎бизнес-процессов ‎или‏ ‎замене/выводе‏ ‎из ‎эксплуатации‏ ‎компонентов ‎и‏ ‎ИТ-систем ‎также ‎следует ‎учитывать ‎аспекты‏ ‎информационной‏ ‎безопасности, ‎такие‏ ‎как ‎отзыв‏ ‎разрешений ‎и ‎безопасное ‎удаление ‎наработанной‏ ‎ранее‏ ‎информации‏ ‎либо ‎её‏ ‎безопасная ‎передача‏ ‎на ‎хранение.

Выделяются‏ ‎следующие‏ ‎этапы ‎жизненного‏ ‎цикла ‎информационной ‎безопасности:

• планирование ‎(разработка ‎концепции‏ ‎и ‎подходов);
• закупки‏ ‎и‏ ‎(или) ‎выделение ‎(при‏ ‎необходимости) ‎оборудования‏ ‎и ‎необходимых ‎ресурсов;
• внедрение ‎разработанных‏ ‎концепций‏ ‎и ‎подходов;
• эксплуатация‏ ‎(включая ‎мониторинг‏ ‎и ‎контроль ‎эффективности);
• вывод ‎из ‎эксплуатации‏ ‎(при‏ ‎необходимости);
• аварийное ‎реагирование;
• постоянное‏ ‎совершенствование ‎на‏ ‎основе ‎собираемой ‎обратной ‎связи ‎(метрик).

Такой‏ ‎подход‏ ‎обеспечивает‏ ‎непрерывное ‎улучшение‏ ‎информационной ‎безопасности‏ ‎в ‎компании‏ ‎в‏ ‎соответствии ‎с‏ ‎изменяющимися ‎внутренними ‎и ‎внешними ‎условиями.

Описание‏ ‎процесса ‎информационной‏ ‎безопасности

Современные‏ ‎исследования ‎в ‎области‏ ‎управления ‎информационной‏ ‎безопасностью ‎компаний ‎демонстрируют, ‎что‏ ‎не‏ ‎только ‎бизнес-процессы‏ ‎и ‎информационные‏ ‎системы ‎подвержены ‎динамическим ‎изменениям ‎во‏ ‎времени,‏ ‎но ‎и‏ ‎весь ‎комплекс‏ ‎мероприятий ‎по ‎обеспечению ‎уровня ‎ЗИВОП‏ ‎также‏ ‎имеет‏ ‎свой ‎жизненный‏ ‎цикл.

В ‎профессиональной‏ ‎литературе ‎по‏ ‎управлению‏ ‎информационной ‎безопасностью‏ ‎принято ‎выделять ‎следующие ‎ключевые ‎фазы‏ ‎жизненного ‎цикла‏ ‎процесса‏ ‎обеспечения ‎информационной ‎безопасности:

• Планирование.‏ ‎На ‎данном‏ ‎этапе ‎проводится ‎анализ ‎текущего‏ ‎состояния,‏ ‎определяются ‎цели‏ ‎и ‎задачи‏ ‎системы ‎защиты, ‎разрабатывается ‎стратегия ‎обеспечения‏ ‎безопасности;
• Реализация.‏ ‎Происходит ‎внедрение‏ ‎и ‎развёртывание‏ ‎запланированных ‎мер, ‎механизмов ‎и ‎средств‏ ‎защиты‏ ‎информации;
• Мониторинг‏ ‎и ‎контроль.‏ ‎Осуществляется ‎постоянный‏ ‎контроль ‎эффективности‏ ‎функционирования‏ ‎системы ‎безопасности,‏ ‎выявление ‎отклонений ‎от ‎плановых ‎показателей;
• Оптимизация‏ ‎и ‎совершенствование.‏ ‎На‏ ‎основе ‎результатов ‎мониторинга‏ ‎(сбора ‎метрик)‏ ‎вносятся ‎необходимые ‎коррективы, ‎производится‏ ‎модернизация‏ ‎и ‎оптимизация‏ ‎компонентов ‎системы‏ ‎защиты.

Данная ‎модель ‎жизненного ‎цикла, ‎также‏ ‎известная‏ ‎как ‎цикл‏ ‎PDCA ‎(Plan-Do-Check-Act),‏ ‎применима ‎не ‎только ‎к ‎общему‏ ‎процессу‏ ‎обеспечения‏ ‎информационной ‎безопасности,‏ ‎но ‎и‏ ‎к ‎отдельным‏ ‎его‏ ‎элементам, ‎таким‏ ‎как ‎стратегия, ‎концепция, ‎организационная ‎структура.‏ ‎Непрерывное ‎повторение‏ ‎данного‏ ‎цикла ‎позволяет ‎поддерживать‏ ‎актуальность ‎и‏ ‎эффективность ‎системы ‎информационной ‎безопасности‏ ‎компании‏ ‎в ‎условиях‏ ‎постоянно ‎меняющихся‏ ‎внешних ‎и ‎внутренних ‎факторов.

Необходимо ‎отметить,‏ ‎что‏ ‎содержание ‎и‏ ‎трудоёмкость ‎каждой‏ ‎из ‎фаз ‎жизненного ‎цикла ‎будут‏ ‎существенно‏ ‎различаться‏ ‎в ‎зависимости‏ ‎от ‎специфики‏ ‎компании, ‎её‏ ‎размера,‏ ‎отраслевой ‎принадлежности,‏ ‎уровня ‎ЗИВОП ‎и ‎других ‎параметров.‏ ‎Тем ‎не‏ ‎менее‏ ‎базовая ‎логика ‎циклического‏ ‎процесса ‎остаётся‏ ‎универсальной.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом‏ ‎на ‎основании‏ ‎ст. ‎1259‏ ‎ГК ‎РФ.

СУИБ. ‎Определение‏ ‎и ‎описание ‎процесса

Компоненты ‎системы ‎управления‏ ‎информационной ‎безопасностью

Термин‏ ‎«управление»‏ ‎(менеджмент) ‎используется ‎в‏ ‎двух ‎значениях:‏ ‎во-первых, ‎он ‎обозначает ‎руководящий‏ ‎уровень‏ ‎компании, ‎т.‏ ‎е. ‎совокупность‏ ‎руководителей ‎компании, ‎а ‎во-вторых, ‎в‏ ‎более‏ ‎общем ‎смысле‏ ‎— ‎деятельность‏ ‎по ‎руководству ‎и ‎организации ‎работы‏ ‎компании.

Для‏ ‎разграничения‏ ‎этих ‎двух‏ ‎значений, ‎в‏ ‎дальнейшем ‎группа‏ ‎ответственных‏ ‎руководителей ‎будет‏ ‎именоваться ‎«руководством ‎компании» ‎либо ‎«руководящим‏ ‎звеном» ‎в‏ ‎тех‏ ‎случаях, ‎когда ‎речь‏ ‎идёт ‎непосредственно‏ ‎о ‎руководителях, ‎во ‎избежание‏ ‎смешения‏ ‎с ‎«управлением»‏ ‎(менеджментом) ‎как‏ ‎видом ‎деятельности ‎(руководство, ‎координация, ‎планирование).

Система‏ ‎управления‏ ‎компанией ‎представляет‏ ‎собой ‎совокупность‏ ‎правил, ‎процедур ‎и ‎механизмов, ‎направленных‏ ‎на‏ ‎эффективное‏ ‎функционирование ‎и‏ ‎достижение ‎её‏ ‎целей. ‎В‏ ‎свою‏ ‎очередь, ‎система‏ ‎управления ‎информационной ‎безопасностью ‎(СУИБ) ‎является‏ ‎неотъемлемой ‎частью‏ ‎общей‏ ‎системы ‎управления ‎и‏ ‎отвечает ‎за‏ ‎планирование, ‎внедрение, ‎контроль ‎и‏ ‎совершенствование‏ ‎мер, ‎обеспечивающих‏ ‎защиту ‎информационных‏ ‎ресурсов.

Ключевыми ‎компонентами ‎СУИБ ‎являются:

• принципы ‎управления‏ ‎информационной‏ ‎безопасностью ‎—‏ ‎базовые ‎установки‏ ‎и ‎подходы, ‎лежащие ‎в ‎основе‏ ‎деятельности‏ ‎по‏ ‎обеспечению ‎информационной‏ ‎безопасности;
• ресурсное ‎обеспечение‏ ‎— ‎совокупность‏ ‎материальных,‏ ‎финансовых, ‎кадровых‏ ‎и ‎иных ‎средств, ‎необходимых ‎для‏ ‎функционирования ‎СУИБ;
• организационная‏ ‎структура‏ ‎и ‎кадровое ‎обеспечение‏ ‎— ‎распределение‏ ‎полномочий, ‎ответственности ‎и ‎квалификация‏ ‎сотрудников,‏ ‎вовлечённых ‎в‏ ‎процессы ‎управления‏ ‎информационной ‎безопасностью.

Принципы ‎управления ‎включают:

• политику ‎информационной‏ ‎безопасности‏ ‎— ‎документ,‏ ‎определяющий ‎цели,‏ ‎задачи ‎и ‎стратегию ‎обеспечения ‎безопасности‏ ‎информации;
• концепцию‏ ‎информационной‏ ‎безопасности ‎—‏ ‎комплексный ‎документ‏ ‎(набор ‎документов),‏ ‎описывающий‏ ‎систему ‎мер‏ ‎защиты ‎информационных ‎активов;
• организационную ‎структуру ‎управления‏ ‎информационной ‎безопасностью‏ ‎в‏ ‎компании.

Таким ‎образом, ‎СУИБ‏ ‎представляет ‎собой‏ ‎упорядоченную ‎совокупность ‎взаимосвязанных ‎элементов,‏ ‎обеспечивающих‏ ‎управление ‎процессами‏ ‎информационной ‎безопасности‏ ‎в ‎компании.

Стратегия ‎информационной ‎безопасности ‎выступает‏ ‎в‏ ‎качестве ‎ориентира‏ ‎для ‎планирования‏ ‎и ‎реализации ‎дальнейших ‎мероприятий, ‎направленных‏ ‎на‏ ‎достижение‏ ‎установленных ‎целей‏ ‎в ‎сфере‏ ‎обеспечения ‎безопасности‏ ‎компании.‏ ‎Данная ‎стратегия‏ ‎формируется ‎руководящим ‎звеном ‎компании ‎и‏ ‎базируется ‎на‏ ‎её‏ ‎бизнес-целях ‎или ‎задачах‏ ‎государственного ‎учреждения.

Ключевые‏ ‎аспекты ‎стратегии ‎безопасности ‎находят‏ ‎своё‏ ‎отражение ‎в‏ ‎нормативном ‎документе‏ ‎— ‎политике ‎по ‎информационной ‎безопасности‏ ‎компании.‏ ‎Указанный ‎документ‏ ‎имеет ‎принципиальное‏ ‎значение, ‎поскольку ‎содержит ‎открытое ‎заявление‏ ‎руководства‏ ‎компании‏ ‎относительно ‎её‏ ‎стратегических ‎приоритетов‏ ‎в ‎сфере‏ ‎обеспечения‏ ‎информационной ‎безопасности.

Внимание!‏ ‎Материал ‎охраняется ‎авторским ‎правом ‎на‏ ‎основании ‎ст.‏ ‎1259‏ ‎ГК ‎РФ.

Обзор ‎стандартов‏ ‎по ‎информационной ‎безопасности

В ‎сфере ‎информационной‏ ‎безопасности ‎сформировался‏ ‎ряд‏ ‎нормативных ‎документов ‎и‏ ‎стандартов, ‎ориентированных‏ ‎на ‎различные ‎целевые ‎группы‏ ‎и‏ ‎тематические ‎области.

Применение‏ ‎норм ‎и‏ ‎стандартов ‎информационной ‎безопасности ‎(их ‎ещё‏ ‎называют‏ ‎— ‎лучшие‏ ‎практики) ‎в‏ ‎компаниях ‎не ‎только ‎повышает ‎уровень‏ ‎ЗИК,‏ ‎но‏ ‎и ‎облегчает‏ ‎согласование ‎между‏ ‎различными ‎институтами‏ ‎относительно‏ ‎внедрения ‎конкретных‏ ‎мер ‎защиты.

Представленный ‎ниже ‎обзор ‎демонстрирует‏ ‎специфику ‎ключевых‏ ‎норм‏ ‎и ‎стандартов ‎в‏ ‎данной ‎сфере:

Стандарты‏ ‎информационной ‎безопасности ‎ISO

В ‎рамках‏ ‎деятельности‏ ‎международных ‎организаций‏ ‎по ‎стандартизации‏ ‎ISO ‎и ‎IEC, ‎нормативные ‎документы‏ ‎в‏ ‎сфере ‎информационной‏ ‎безопасности ‎унифицированы‏ ‎и ‎объединены ‎в ‎серию ‎стандартов‏ ‎2700x,‏ ‎которая‏ ‎постоянно ‎расширяется.‏ ‎На ‎глобальном‏ ‎уровне ‎данные‏ ‎нормы‏ ‎принято ‎обозначать‏ ‎как ‎международные ‎стандарты. ‎При ‎этом‏ ‎часть ‎этих‏ ‎международных‏ ‎стандартов ‎также ‎представлена‏ ‎в ‎виде‏ ‎переведённых ‎и ‎адаптированных ‎версий,‏ ‎выступающих‏ ‎в ‎качестве‏ ‎национальных ‎стандартов‏ ‎России ‎— ‎ГОСТ ‎Р ‎ИСО/МЭК.

Основной‏ ‎состав‏ ‎серии ‎стандартов‏ ‎ISO/IEC ‎27000x‏ ‎включает ‎следующие ‎ключевые ‎нормативные ‎документы:

ISO/IEC‏ ‎27000‏ ‎—‏ ‎Системы ‎менеджмента‏ ‎информационной ‎безопасности:‏ ‎Термины ‎и‏ ‎определения

Данный‏ ‎международный ‎стандарт‏ ‎предоставляет ‎концептуальный ‎обзор ‎систем ‎управления‏ ‎информационной ‎безопасностью‏ ‎(СУИБ)‏ ‎и ‎детально ‎рассматривает‏ ‎взаимосвязи ‎между‏ ‎различными ‎стандартами ‎серии ‎ISO/IEC‏ ‎27000.‏ ‎Помимо ‎этого,‏ ‎стандарт ‎содержит‏ ‎всеобъемлющий ‎глоссарий ‎ключевых ‎терминов ‎и‏ ‎определений,‏ ‎связанных ‎с‏ ‎управлением ‎информационной‏ ‎безопасностью.

ISO/IEC ‎27001 ‎— ‎Системы ‎управления‏ ‎информационной‏ ‎безопасности:‏ ‎Требования

Данный ‎международный‏ ‎стандарт ‎устанавливает‏ ‎нормативные ‎требования‏ ‎к‏ ‎внедрению, ‎функционированию‏ ‎и ‎постоянному ‎улучшению ‎документированной ‎системы‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎в ‎компаниях. ‎Стандарт‏ ‎состоит ‎примерно‏ ‎из ‎9 ‎страниц ‎требований‏ ‎и‏ ‎включает ‎нормативное‏ ‎приложение ‎с‏ ‎перечислением ‎более ‎100 ‎возможных ‎мер‏ ‎контроля,‏ ‎которые ‎должны‏ ‎быть ‎выбраны‏ ‎и ‎внедрены ‎с ‎учётом ‎соответствующих‏ ‎рисков‏ ‎информационной‏ ‎безопасности. ‎Необходимо‏ ‎отметить, ‎что‏ ‎ISO/IEC ‎27001‏ ‎не‏ ‎предоставляет ‎практические‏ ‎рекомендации ‎относительно ‎реализации ‎данных ‎требований.

Ранее‏ ‎структура ‎требований‏ ‎в‏ ‎ISO/IEC ‎27001 ‎была‏ ‎ориентирована ‎на‏ ‎модель ‎управленческого ‎цикла ‎PDCA‏ ‎(Plan-Do-Check-Act).‏ ‎Однако ‎при‏ ‎последнем ‎пересмотре‏ ‎стандарта ‎явное ‎упоминание ‎этого ‎цикла‏ ‎было‏ ‎исключено. ‎Это‏ ‎было ‎сделано‏ ‎с ‎целью ‎подчеркнуть, ‎что ‎порядок‏ ‎изложения‏ ‎отдельных‏ ‎требований ‎в‏ ‎стандарте ‎не‏ ‎отражает ‎их‏ ‎относительную‏ ‎важность ‎или‏ ‎рекомендуемую ‎последовательность ‎внедрения. ‎Тем ‎не‏ ‎менее ‎мероприятия‏ ‎по‏ ‎построению ‎и ‎функционированию‏ ‎СУИБ ‎по-прежнему‏ ‎могут ‎осуществляться ‎в ‎соответствии‏ ‎с‏ ‎циклом ‎PDCA.

ISO/IEC‏ ‎27002 ‎—‏ ‎Свод ‎правил ‎для ‎средств ‎управления‏ ‎информационной‏ ‎безопасностью

Данный ‎международный‏ ‎стандарт ‎оказывает‏ ‎практическую ‎поддержку ‎компаниям ‎в ‎выборе‏ ‎и‏ ‎внедрении‏ ‎мер ‎контроля,‏ ‎описанных ‎в‏ ‎ISO/IEC ‎27001,‏ ‎с‏ ‎целью ‎построения‏ ‎эффективно ‎функционирующей ‎системы ‎управления ‎информационной‏ ‎безопасностью ‎и‏ ‎её‏ ‎интеграции ‎в ‎общую‏ ‎систему ‎менеджмента‏ ‎компании. ‎Соответствующие ‎меры ‎безопасности‏ ‎описаны‏ ‎на ‎90‏ ‎страницах ‎стандарта‏ ‎ISO/IEC ‎27002. ‎Рекомендации ‎в ‎первую‏ ‎очередь‏ ‎ориентированы ‎на‏ ‎уровень ‎менеджмента‏ ‎и ‎содержат ‎минимум ‎технических ‎деталей.

ISO/IEC‏ ‎27004‏ ‎—‏ ‎Мониторинг, ‎измерение,‏ ‎анализ ‎и‏ ‎оценка

Международный ‎стандарт‏ ‎ISO/IEC‏ ‎27004 ‎посвящён‏ ‎методологическим ‎аспектам ‎мониторинга, ‎измерения, ‎анализа‏ ‎и ‎оценки‏ ‎эффективности‏ ‎внедрения ‎и ‎функционирования‏ ‎системы ‎управления‏ ‎информационной ‎безопасностью ‎в ‎компаниях.

Основное‏ ‎назначение‏ ‎данного ‎стандарта‏ ‎заключается ‎в‏ ‎регламентации ‎процедур ‎по ‎разработке ‎и‏ ‎реализации‏ ‎программы ‎мониторинга‏ ‎СУИБ, ‎которая‏ ‎должна ‎обеспечивать ‎поддержку ‎управленческих ‎решений‏ ‎и‏ ‎демонстрировать‏ ‎результативность ‎внедрённой‏ ‎системы ‎менеджмента.

В‏ ‎стандарте ‎рассматриваются‏ ‎вопросы‏ ‎определения ‎соответствующих‏ ‎метрик ‎и ‎ключевых ‎показателей ‎для‏ ‎оценки ‎эффективности‏ ‎мер‏ ‎контроля ‎информационной ‎безопасности‏ ‎и ‎общей‏ ‎результативности ‎СУИБ. ‎Особое ‎внимание‏ ‎уделяется‏ ‎методам ‎сбора,‏ ‎анализа ‎и‏ ‎интерпретации ‎данных, ‎полученных ‎в ‎ходе‏ ‎мониторинга,‏ ‎с ‎целью‏ ‎выявления ‎тенденций,‏ ‎областей ‎для ‎улучшения ‎и ‎обоснования‏ ‎достигнутого‏ ‎уровня‏ ‎ЗИК.

Применение ‎положений‏ ‎ISO/IEC ‎27004‏ ‎позволяет ‎компаниям‏ ‎обеспечивать‏ ‎объективную ‎оценку‏ ‎и ‎демонстрировать ‎заинтересованным ‎сторонам ‎эффективность‏ ‎функционирования ‎их‏ ‎системы‏ ‎менеджмента ‎информационной ‎безопасности‏ ‎на ‎постоянной‏ ‎основе.

ISO/IEC ‎27005 ‎— ‎Менеджмент‏ ‎рисков‏ ‎информационной ‎безопасности

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27005 ‎«Менеджмент ‎рисков ‎информационной ‎безопасности»‏ ‎содержит‏ ‎рекомендации ‎по‏ ‎разработке ‎структурированного‏ ‎подхода ‎к ‎управлению ‎рисками ‎в‏ ‎сфере‏ ‎информационной‏ ‎безопасности. ‎Данный‏ ‎стандарт, ‎в‏ ‎частности, ‎оказывает‏ ‎методологическую‏ ‎поддержку ‎при‏ ‎реализации ‎требований ‎стандарта ‎ISO/IEC ‎27001.‏ ‎Следует ‎отметить,‏ ‎что‏ ‎ISO/IEC ‎27005 ‎не‏ ‎предписывает ‎какую-либо‏ ‎конкретную ‎методику ‎управления ‎рисками.

Рассматриваемый‏ ‎стандарт‏ ‎во ‎многом‏ ‎базируется ‎на‏ ‎положениях ‎международного ‎стандарта ‎ISO/IEC ‎31000‏ ‎«Менеджмент‏ ‎рисков ‎—‏ ‎Принципы ‎и‏ ‎руководящие ‎указания». ‎Дополняющий ‎стандарт ‎ISO/IEC‏ ‎31010‏ ‎«Методы‏ ‎оценки ‎рисков»‏ ‎подробно ‎раскрывает‏ ‎вопросы ‎интеграции‏ ‎процедур‏ ‎оценки ‎рисков‏ ‎в ‎систему ‎риск-менеджмента, ‎а ‎также‏ ‎методологии ‎идентификации,‏ ‎анализа,‏ ‎оценки ‎и ‎обработки‏ ‎рисков. ‎Приложение‏ ‎B ‎стандарта ‎ISO/IEC ‎31010‏ ‎предоставляет‏ ‎всесторонний ‎обзор‏ ‎более ‎30‏ ‎различных ‎методов ‎оценки ‎рисков.

Комплексное ‎применение‏ ‎изложенных‏ ‎в ‎данных‏ ‎взаимосвязанных ‎стандартах‏ ‎подходов ‎позволяет ‎компаниям ‎формировать ‎эффективные‏ ‎системы‏ ‎менеджмента‏ ‎рисков ‎информационной‏ ‎безопасности ‎на‏ ‎основе ‎признанных‏ ‎международных‏ ‎методологий.

ISO/IEC ‎27006‏ ‎— ‎Требования ‎к ‎органам, ‎проводящим‏ ‎аудит ‎и‏ ‎сертификацию‏ ‎систем ‎управления ‎информационной‏ ‎безопасностью

Стандарт ‎ISO/IEC‏ ‎27006 ‎регламентирует ‎требования ‎к‏ ‎органам,‏ ‎осуществляющим ‎аудит‏ ‎и ‎сертификацию‏ ‎систем ‎управления ‎информационной ‎безопасностью. ‎Данный‏ ‎стандарт‏ ‎устанавливает ‎чёткие‏ ‎критерии ‎для‏ ‎аккредитации ‎органов ‎по ‎сертификации ‎СУИБ,‏ ‎а‏ ‎также‏ ‎подробно ‎рассматривает‏ ‎специфику ‎процессов‏ ‎сертификации ‎СУИБ.

ISO/IEC‏ ‎27009‏ ‎— ‎Отраслевое‏ ‎применение ‎ISO/IEC ‎27001 ‎— ‎Требования

Стандарт‏ ‎ISO/IEC ‎27009‏ ‎описывает‏ ‎механизмы ‎адаптации ‎стандарта‏ ‎ISO/IEC ‎27001‏ ‎к ‎особенностям ‎различных ‎секторов‏ ‎экономики.‏ ‎Он ‎регламентирует,‏ ‎каким ‎образом‏ ‎могут ‎быть ‎интегрированы ‎отраслевые ‎расширения‏ ‎(например,‏ ‎для ‎энергетики,‏ ‎облачных ‎вычислений,‏ ‎финансовой ‎сферы) ‎в ‎структуру ‎СУИБ,‏ ‎построенной‏ ‎на‏ ‎базе ‎ISO/IEC‏ ‎27001, ‎и‏ ‎учтены ‎в‏ ‎качестве‏ ‎дополнительных ‎требований.‏ ‎Для ‎этого ‎предусматривается ‎возможность ‎расширения‏ ‎или ‎дополнения‏ ‎отдельных‏ ‎мер ‎контроля, ‎содержащихся‏ ‎в ‎приложении‏ ‎к ‎ISO/IEC ‎27001.

Другие ‎стандарты‏ ‎серии‏ ‎ISO/IEC ‎27000,‏ ‎вероятно, ‎в‏ ‎долгосрочной ‎перспективе ‎будут ‎охватывать ‎диапазон‏ ‎номеров‏ ‎от ‎27000‏ ‎до ‎271xx.‏ ‎Все ‎эти ‎стандарты, ‎так ‎или‏ ‎иначе,‏ ‎связаны‏ ‎с ‎различными‏ ‎аспектами ‎управления‏ ‎информационной ‎безопасностью,‏ ‎и‏ ‎призваны ‎способствовать‏ ‎более ‎глубокому ‎пониманию ‎и ‎эффективному‏ ‎практическому ‎применению‏ ‎требований‏ ‎ISO/IEC ‎27001. ‎Среди‏ ‎таких ‎стандартов‏ ‎можно ‎выделить ‎документы, ‎посвящённые‏ ‎вопросам‏ ‎практической ‎реализации‏ ‎СУИБ ‎и‏ ‎обеспечения ‎непрерывности ‎бизнес-процессов.

Следует ‎отметить, ‎что‏ ‎отраслевые‏ ‎стандарты, ‎такие‏ ‎как ‎ISO/IEC‏ ‎27019 ‎для ‎энергетического ‎сектора, ‎также‏ ‎разрабатываются‏ ‎на‏ ‎основе ‎концепций,‏ ‎заложенных ‎в‏ ‎ISO/IEC ‎27009,‏ ‎что‏ ‎обеспечивает ‎их‏ ‎согласованность ‎с ‎базовыми ‎требованиями ‎информационной‏ ‎безопасности.

COBIT ‎5

COBIT‏ ‎5‏ ‎рассматривает ‎информационные ‎технологии‏ ‎как ‎ключевую‏ ‎основу ‎для ‎достижения ‎организационных‏ ‎целей‏ ‎бизнеса ‎и‏ ‎предписывает, ‎чтобы‏ ‎цели ‎ИТ, ‎а ‎следовательно ‎и‏ ‎информационной‏ ‎безопасности ‎проистекали‏ ‎из ‎бизнес-стратегии,‏ ‎а ‎предоставляемые ‎ИТ-услуги ‎отвечали ‎требованиям‏ ‎качества‏ ‎бизнес-процессов‏ ‎для ‎всей‏ ‎компании. ‎Аналогично‏ ‎методологии ‎ITIL,‏ ‎COBIT‏ ‎5 ‎ориентируются‏ ‎на ‎целенаправленные, ‎оптимизированные ‎ИТ-процессы. ‎Кроме‏ ‎того, ‎COBIT‏ ‎5‏ ‎вводит ‎концепцию ‎«потенциала‏ ‎процесса», ‎которая‏ ‎позволяет ‎оценить ‎способность ‎организации‏ ‎надёжно‏ ‎и ‎устойчиво‏ ‎достигать ‎требуемых‏ ‎целей. ‎Комплексная ‎оценка ‎зрелости ‎всех‏ ‎37‏ ‎процессных ‎областей,‏ ‎разделённых ‎на‏ ‎пять ‎доменов, ‎даёт ‎возможность ‎сделать‏ ‎выводы‏ ‎о‏ ‎профессионализме ‎поддерживающих‏ ‎ИТ-процессов ‎должностных‏ ‎лиц. ‎Документы‏ ‎COBIT‏ ‎издаются ‎Ассоциацией‏ ‎по ‎аудиту ‎и ‎контролю ‎информационных‏ ‎систем ‎(ISACA).‏ ‎При‏ ‎разработке ‎COBIT ‎авторы‏ ‎ориентировались ‎на‏ ‎существующие ‎международные ‎стандарты ‎в‏ ‎области‏ ‎управления ‎информационной‏ ‎безопасностью, ‎в‏ ‎частности, ‎на ‎стандарт ‎ISO/IEC ‎27002.

ITIL

Библиотека‏ ‎информационных‏ ‎технологий ‎и‏ ‎инфраструктуры ‎(Information‏ ‎Technology ‎Infrastructure ‎Library, ‎ITIL) ‎представляет‏ ‎собой‏ ‎комплекс‏ ‎взаимосвязанных ‎методических‏ ‎материалов, ‎посвящённых‏ ‎вопросам ‎управления‏ ‎ИТ-услугами.‏ ‎Данная ‎инициатива‏ ‎была ‎разработана ‎Офисом ‎правительственной ‎торговли‏ ‎(Office ‎of‏ ‎Government‏ ‎Commerce, ‎OGC) ‎соединённого‏ ‎королевства ‎Великобритании.

Основная‏ ‎цель ‎ITIL ‎заключается ‎в‏ ‎оптимизации‏ ‎качества ‎и‏ ‎эффективности ‎ИТ-услуг‏ ‎с ‎позиции ‎ИТ-провайдера, ‎будь ‎то‏ ‎внутреннее‏ ‎ИТ-подразделение ‎компании‏ ‎или ‎сторонний‏ ‎сервис-провайдер. ‎Особое ‎внимание ‎в ‎рамках‏ ‎данного‏ ‎методологического‏ ‎подхода ‎уделяется‏ ‎вопросам ‎информационной‏ ‎безопасности, ‎которые‏ ‎рассматриваются‏ ‎с ‎операционной‏ ‎точки ‎зрения ‎(операционной ‎деятельности). ‎В‏ ‎свою ‎очередь,‏ ‎надлежащее‏ ‎функционирование ‎ИТ-инфраструктуры ‎выступает‏ ‎ключевым ‎фактором‏ ‎эффективного ‎функционирования ‎системы ‎управления‏ ‎информационной‏ ‎безопасностью, ‎в‏ ‎результате ‎чего‏ ‎многие ‎дисциплины ‎ITIL ‎в ‎той‏ ‎или‏ ‎иной ‎мере‏ ‎коррелируют ‎с‏ ‎принципами ‎обеспечения ‎информационной ‎безопасности, ‎закреплёнными‏ ‎в‏ ‎соответствующих‏ ‎стандартах.

На ‎базе‏ ‎методологии ‎ITIL‏ ‎был ‎разработан‏ ‎международный‏ ‎стандарт ‎ISO/IEC‏ ‎20000, ‎который ‎устанавливает ‎требования ‎к‏ ‎системе ‎управления‏ ‎ИТ-услугами‏ ‎и ‎может ‎быть‏ ‎использован ‎в‏ ‎качестве ‎основы ‎для ‎сертификации.

PCI‏ ‎DSS

Стандарт‏ ‎безопасности ‎платёжных‏ ‎карт ‎(PCI‏ ‎DSS) ‎является ‎инструментом ‎для ‎обеспечения‏ ‎информационной‏ ‎безопасности ‎в‏ ‎сфере ‎платежей‏ ‎с ‎использованием ‎банковских ‎карт. ‎Он‏ ‎был‏ ‎разработан‏ ‎Советом ‎по‏ ‎стандартам ‎безопасности‏ ‎платёжных ‎карт,‏ ‎консорциумом‏ ‎ведущих ‎платёжных‏ ‎систем, ‎и ‎определяет ‎требования ‎к‏ ‎защите ‎данных‏ ‎держателей‏ ‎карт ‎для ‎всех‏ ‎компаний, ‎участвующих‏ ‎в ‎обработке, ‎хранении ‎или‏ ‎передаче‏ ‎этих ‎данных.‏ ‎Соблюдение ‎стандарта‏ ‎PCI ‎DSS ‎является ‎обязательным ‎для‏ ‎торговых‏ ‎предприятий, ‎принимающих‏ ‎платежи ‎по‏ ‎картам, ‎а ‎также ‎для ‎провайдеров‏ ‎услуг,‏ ‎оказывающих‏ ‎услуги ‎обработки‏ ‎таких ‎платежей.

NIST

Национальный‏ ‎институт ‎стандартов‏ ‎и‏ ‎технологий ‎(NIST)‏ ‎является ‎федеральным ‎агентством ‎США, ‎ответственным‏ ‎за ‎разработку‏ ‎официальных‏ ‎стандартов ‎и ‎руководств‏ ‎в ‎сфере‏ ‎информационной ‎безопасности. ‎Серия ‎специальных‏ ‎публикаций‏ ‎NIST ‎SP‏ ‎800 ‎содержит‏ ‎обширные ‎рекомендации ‎по ‎различным ‎аспектам‏ ‎информационной‏ ‎безопасности, ‎которые‏ ‎оказывают ‎значительное‏ ‎влияние ‎на ‎формирование ‎передовых ‎практик‏ ‎в‏ ‎этой‏ ‎области ‎на‏ ‎международном ‎уровне.‏ ‎В ‎частности,‏ ‎документ‏ ‎NIST ‎SP‏ ‎800-53 ‎представляет ‎собой ‎всеобъемлющий ‎свод‏ ‎средств ‎управления‏ ‎информационной‏ ‎безопасностью, ‎структурированный ‎по‏ ‎тематическим ‎областям.

ISF‏ ‎— ‎Стандарт ‎надлежащей ‎практики

Форум‏ ‎информационной‏ ‎безопасности ‎(ISF)‏ ‎является ‎независимой‏ ‎международной ‎организацией, ‎специализирующейся ‎на ‎информационной‏ ‎безопасности.‏ ‎ISF ‎публикует‏ ‎Стандарт ‎надлежащей‏ ‎практики ‎(SoGP) ‎— ‎практико-ориентированное ‎руководство‏ ‎по‏ ‎информационной‏ ‎безопасности, ‎основанное‏ ‎на ‎признанных‏ ‎передовых ‎практиках‏ ‎и‏ ‎охватывающее ‎требования‏ ‎ведущих ‎стандартов, ‎таких ‎как ‎ISO/IEC‏ ‎27002, ‎COBIT‏ ‎5,‏ ‎PCI ‎DSS ‎и‏ ‎NIST ‎SP‏ ‎800-53.

Настоящие ‎рекомендации ‎основаны ‎на‏ ‎ИСО‏ ‎27001, ‎а‏ ‎также ‎других‏ ‎стандартах ‎указанных ‎выше.

Внимание! ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на‏ ‎основании ‎ст.‏ ‎1259 ‎ГК ‎РФ.