logo
0
читателей
Методология "Волга-27001"  Методология по созданию системы управления информационной безопасностью для организации любого уровня.
О проекте Просмотр Уровни подписки Фильтры Статистика Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
Методология «Волга-27001» — это целостный подход к внедрению стандарта ISO 27001 и других лучших практик, разработанный ООО «ЦифраБез» для адаптации этого международного стандарта к специфике российских организаций.
Основные особенности этой методологии:
Комплексность: «Волга-27001» охватывает весь жизненный цикл внедрения стандарта — от предварительной оценки готовности организации до внедрения и поддержания системы управления информационной безопасностью (СУИБ);
Адаптация к российской специфике: методология учитывает требования российских законодательных и нормативных актов в области информационной безопасности;
Практическая направленность: акцент делается не на формальное соответствие стандарту, а на реальное повышение уровня информационной безопасности, в области, которую выбирает сама компания для своих информационных активов;
Встраивание в бизнес-процессы: СУИБ органично интегрируется в существующую систему управления организацией, минимизируя дополнительную нагрузку на персонал при проведении шоковой реформы в бизнес-процессах и управлении организацией;
Использование отечественных технологий: при внедрении СУИБ по методологии «Волга-27001» приоритет отдаётся решениям российских разработчиков, что обеспечивает независимость от иностранных поставщиков и делает вас независимыми от санкций и других сюрпризов от «западных партнёров».
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Безвозмездное пожертвование без возможности возврата. Этот взнос не предоставляет доступ к закрытому контенту.

Помочь проекту
Просто посмотреть первым 1 000₽ месяц 10 200₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Методология "Волга-27001"
Доступны сообщения

Предоставляется доступ к текстовым общим материалам раньше, чем в других открытых источниках, на которых будет проведено опубликование.

Оформить подписку
Хочу всё знать! 5 500₽ месяц 52 800₽ год
(-20%)
При подписке на год для вас действует 20% скидка. 20% основная скидка и 0% доп. скидка за ваш уровень на проекте Методология "Волга-27001"
Доступны сообщения

Подписка позволяет получить доступ к закрытым материалам, которые не публикуются в открытом доступе.

Первыми получать доступ к публикуемым статьям (на месяц раньше), касающихся обучения.

Через личные сообщения получать консультационную помощь по вопросам информационной безопасности и защиты информации.

Давать предложения и замечания к статьям (материалам) для их совершенствования.

Доступна для любой организации и учреждения.

Оформить подписку
Фильтры
Статистика
Обновления проекта
Контакты
Поделиться
Читать: 3+ мин
logo Методология "Волга-27001"

Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 9)

Использование ‎доступных‏ ‎источников ‎информации

Обеспечение ‎информационной ‎безопасности ‎является‏ ‎сложной ‎комплексной‏ ‎темой,‏ ‎требующей ‎всестороннего ‎изучения‏ ‎и ‎глубокого‏ ‎понимания ‎со ‎стороны ‎ответственных‏ ‎специалистов.‏ ‎К ‎счастью,‏ ‎в ‎распоряжении‏ ‎исследователей ‎и ‎практиков ‎имеется ‎широкий‏ ‎спектр‏ ‎доступных ‎информационных‏ ‎ресурсов, ‎которые‏ ‎могут ‎быть ‎задействованы ‎для ‎углубления‏ ‎знаний‏ ‎в‏ ‎данной ‎предметной‏ ‎области. ‎Эти‏ ‎ресурсы ‎включают‏ ‎в‏ ‎себя ‎нормативно-правовые‏ ‎акты ‎и ‎отраслевые ‎стандарты, ‎материалы‏ ‎сети ‎Интернет,‏ ‎а‏ ‎также ‎специализированную ‎научную‏ ‎и ‎профессиональную‏ ‎литературу. ‎Кроме ‎того, ‎важную‏ ‎роль‏ ‎играет ‎сетевое‏ ‎взаимодействие ‎с‏ ‎профильными ‎ассоциациями, ‎партнёрскими ‎организациями, ‎экспертными‏ ‎сообществами,‏ ‎государственными ‎органами.‏ ‎Такое ‎сотрудничество‏ ‎позволяет ‎осуществлять ‎эффективный ‎обмен ‎передовым‏ ‎опытом‏ ‎и‏ ‎актуальной ‎информацией‏ ‎в ‎сфере‏ ‎обеспечения ‎информационной‏ ‎безопасности.

В‏ ‎компании ‎должна‏ ‎быть ‎создана ‎внутренняя ‎база ‎знаний‏ ‎для ‎специалистов‏ ‎по‏ ‎информационной ‎безопасности, ‎где‏ ‎указываются ‎доступные‏ ‎источники ‎и ‎собирается ‎нарабатываемый‏ ‎со‏ ‎временем ‎опыт.

Управленческий‏ ‎анализ

Руководство ‎компании‏ ‎должно ‎регулярно ‎проводить ‎управленческий ‎анализ‏ ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎При‏ ‎необходимости, ‎например, ‎при ‎участившихся ‎инцидентах‏ ‎или‏ ‎существенном‏ ‎изменении ‎внешних‏ ‎условий, ‎такие‏ ‎оценки ‎следует‏ ‎выполнять‏ ‎и ‎вне‏ ‎плановых ‎сроков. ‎Все ‎результаты ‎и‏ ‎принятые ‎решения‏ ‎подлежат‏ ‎документированию.

Ключевые ‎вопросы ‎для‏ ‎рассмотрения ‎в‏ ‎рамках ‎управленческого ‎анализа:

  • Изменились ‎ли‏ ‎факторы,‏ ‎определяющие ‎подход‏ ‎к ‎обеспечению‏ ‎информационной ‎безопасности?
  • Остаются ‎ли ‎цели ‎информационной‏ ‎безопасности‏ ‎актуальными ‎и‏ ‎адекватными?
  • Соответствует ‎ли‏ ‎политика ‎информационной ‎безопасности ‎современным ‎реалиям‏ ‎компании‏ ‎и‏ ‎законодательным ‎требованиям?

Акцент‏ ‎при ‎оценке‏ ‎эффективности ‎процесса‏ ‎информационной‏ ‎безопасности ‎делается‏ ‎не ‎на ‎проверке ‎отдельных ‎мер‏ ‎безопасности, ‎а‏ ‎на‏ ‎комплексном ‎анализе. ‎Например,‏ ‎безопасная ‎эксплуатация‏ ‎интернет-портала ‎может ‎оказаться ‎слишком‏ ‎затратной‏ ‎для ‎небольшой‏ ‎компании, ‎что‏ ‎может ‎послужить ‎основанием ‎для ‎передачи‏ ‎управления‏ ‎порталом ‎внешнему‏ ‎поставщику ‎услуг.

Кроме‏ ‎того, ‎целесообразно ‎проанализировать, ‎насколько ‎зарекомендовала‏ ‎себя‏ ‎организация‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎Если‏ ‎будет ‎установлено,‏ ‎что‏ ‎меры ‎безопасности‏ ‎неэффективны ‎или ‎чрезмерно ‎затраты, ‎это‏ ‎может ‎послужить‏ ‎основанием‏ ‎для ‎пересмотра ‎и‏ ‎адаптации ‎всей‏ ‎стратегии ‎информационной ‎безопасности ‎компании.‏ ‎При‏ ‎этом ‎руководству‏ ‎следует ‎ответить‏ ‎на ‎следующие ‎вопросы:

  • Является ‎ли ‎стратегия‏ ‎информационной‏ ‎безопасности ‎по-прежнему‏ ‎адекватной?
  • Соответствует ‎ли‏ ‎концепция ‎информационной ‎безопасности ‎целям ‎компании,‏ ‎в‏ ‎том‏ ‎числе ‎законодательным‏ ‎требованиям?
  • Обеспечивает ‎ли‏ ‎существующая ‎организация‏ ‎информационной‏ ‎безопасности ‎эффективную‏ ‎реализацию ‎целей?
  • Не ‎требуется ‎ли ‎усиление‏ ‎её ‎статуса‏ ‎или‏ ‎более ‎тесная ‎интеграция‏ ‎в ‎бизнес-процессы?
  • Являются‏ ‎ли ‎затраты ‎на ‎обеспечение‏ ‎информационной‏ ‎безопасности ‎оправданными‏ ‎и ‎соразмерными?

Корректирующие‏ ‎меры

Результаты ‎оценки ‎эффективности ‎должны ‎систематически‏ ‎применяться‏ ‎для ‎реализации‏ ‎соответствующих ‎корректирующих‏ ‎мер. ‎Это ‎может ‎подразумевать ‎необходимость‏ ‎модификации‏ ‎целей‏ ‎информационной ‎безопасности,‏ ‎стратегии ‎и/или‏ ‎концепции, ‎а‏ ‎также‏ ‎адаптации ‎организационной‏ ‎структуры ‎к ‎изменившимся ‎требованиям. ‎В‏ ‎ряде ‎случаев‏ ‎целесообразно‏ ‎осуществить ‎фундаментальные ‎изменения‏ ‎в ‎бизнес-процессах‏ ‎или ‎ИТ-инфраструктуре, ‎а ‎также‏ ‎отказаться‏ ‎от ‎определённых‏ ‎бизнес-процессов ‎или‏ ‎передать ‎их ‎на ‎аутсорсинг, ‎если‏ ‎их‏ ‎безопасное ‎функционирование‏ ‎более ‎не‏ ‎может ‎быть ‎гарантировано ‎имеющимися ‎ресурсами.‏ ‎При‏ ‎внедрении‏ ‎более ‎масштабных‏ ‎преобразований ‎и‏ ‎реализации ‎значительных‏ ‎улучшений‏ ‎цикл ‎управления‏ ‎замыкается ‎повторным ‎запуском ‎этапа ‎планирования.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на ‎основании‏ ‎статьи ‎1259‏ ‎ГК ‎РФ.

Читать: 6+ мин
logo Методология "Волга-27001"

Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 8)

Осведомлённость ‎и‏ ‎связь

На ‎всех ‎этапах ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎коммуникация‏ ‎является ‎ключевым ‎элементом‏ ‎для ‎достижения‏ ‎поставленных ‎целей. ‎Недопонимания ‎и‏ ‎пробелы‏ ‎в ‎знаниях‏ ‎являются ‎наиболее‏ ‎частыми ‎причинами ‎возникающих ‎проблем ‎с‏ ‎взаимодействием‏ ‎внутри ‎команды‏ ‎внедрения. ‎В‏ ‎связи ‎с ‎этим ‎на ‎всех‏ ‎уровнях‏ ‎и‏ ‎во ‎всех‏ ‎подразделениях ‎компании‏ ‎необходимо ‎обеспечить‏ ‎бесперебойный‏ ‎информационный ‎поток‏ ‎о ‎событиях ‎и ‎мерах ‎в‏ ‎области ‎информационной‏ ‎безопасности.‏ ‎Как ‎минимум ‎в‏ ‎компании ‎должно‏ ‎быть ‎обеспечено:

  • отчётность ‎перед ‎руководством.‏ ‎Руководству‏ ‎компании ‎необходимо‏ ‎периодически ‎предоставлять‏ ‎информацию ‎о ‎важных ‎проблемах, ‎результатах‏ ‎проверок‏ ‎и ‎аудитов,‏ ‎а ‎также‏ ‎о ‎новых ‎тенденциях, ‎изменяющихся ‎условиях‏ ‎или‏ ‎возможностях‏ ‎для ‎улучшения,‏ ‎чтобы ‎оно‏ ‎могло ‎надлежащим‏ ‎образом‏ ‎выполнять ‎свои‏ ‎управленческие ‎функции. ‎Для ‎принятия ‎верных‏ ‎решений ‎при‏ ‎управлении‏ ‎и ‎регулировании ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности ‎руководству ‎компании ‎требуются‏ ‎представлять‏ ‎ключевые ‎показатели‏ ‎состояния ‎информационной‏ ‎безопасности ‎(метрики). ‎Эти ‎показатели ‎должны‏ ‎быть‏ ‎представлены ‎в‏ ‎управленческих ‎отчётах,‏ ‎которые ‎подразделение ‎по ‎информационной ‎безопасности‏ ‎должно‏ ‎регулярно‏ ‎предоставлять ‎руководству‏ ‎в ‎соответствующей‏ ‎форме. ‎Руководство,‏ ‎ознакомившись‏ ‎с ‎управленческими‏ ‎отчётами, ‎при ‎необходимости, ‎предпримет ‎требуемые‏ ‎управленческие ‎действия.‏ ‎В‏ ‎компании ‎следует ‎создать‏ ‎комитет ‎по‏ ‎информационной ‎безопасности ‎и ‎его‏ ‎решения‏ ‎направлять ‎на‏ ‎утверждение ‎руководству‏ ‎компании;
  • информационный ‎поток. ‎Недостаточная ‎коммуникация ‎и‏ ‎отсутствие‏ ‎информации ‎могут‏ ‎приводить ‎как‏ ‎к ‎проблемам ‎информационной ‎безопасности, ‎так‏ ‎и‏ ‎к‏ ‎неправильным ‎решениям‏ ‎или ‎ненужным‏ ‎рабочим ‎шагам‏ ‎с‏ ‎потерей ‎драгоценного‏ ‎времени. ‎Сотрудников ‎нужно ‎информировать ‎о‏ ‎смысле ‎и‏ ‎цели‏ ‎мер ‎защиты, ‎особенно‏ ‎если ‎они‏ ‎влекут ‎за ‎собой ‎дополнительную‏ ‎нагрузку‏ ‎или ‎приводят‏ ‎к ‎дополнительным‏ ‎неудобствам. ‎Кроме ‎того, ‎сотрудники ‎должны‏ ‎быть‏ ‎осведомлены ‎о‏ ‎связанных ‎с‏ ‎их ‎работой ‎правовых ‎вопросах ‎информационной‏ ‎безопасности‏ ‎и‏ ‎защиты ‎данных.‏ ‎Сотрудников ‎также‏ ‎следует ‎включать‏ ‎в‏ ‎планирование ‎реализации‏ ‎мер, ‎чтобы ‎они ‎могли ‎вносить‏ ‎собственные ‎идеи‏ ‎и‏ ‎оценивать ‎их ‎практическую‏ ‎применимость, ‎имели‏ ‎возможность ‎давать ‎обратную ‎связь,‏ ‎обсуждать‏ ‎проекты ‎локальных‏ ‎актов ‎по‏ ‎информационной ‎безопасности. ‎Для ‎этого ‎в‏ ‎компании‏ ‎должен ‎быть‏ ‎создан ‎отдельный‏ ‎информационный ‎ресурс ‎по ‎информационной ‎безопасности;
  • классификация‏ ‎информации.‏ ‎Чтобы‏ ‎обеспечить ‎надлежащую‏ ‎защиту ‎информации,‏ ‎её ‎значимость‏ ‎для‏ ‎компании ‎должна‏ ‎быть ‎чётко ‎определена. ‎Для ‎более‏ ‎простого ‎обмена‏ ‎информацией‏ ‎о ‎ценности ‎различных‏ ‎видов ‎информации,‏ ‎как ‎внутри ‎компании, ‎так‏ ‎и‏ ‎с ‎другими‏ ‎организациями, ‎требуется‏ ‎схема ‎классификации ‎и ‎маркирования, ‎описывающая‏ ‎уровни‏ ‎конфиденциальности ‎(ценности).‏ ‎Для ‎этого‏ ‎в ‎компании ‎должен ‎быть ‎утверждён‏ ‎перечень‏ ‎защищаемой‏ ‎информации;
  • документирование. ‎Для‏ ‎обеспечения ‎непрерывности‏ ‎и ‎последовательности‏ ‎всего‏ ‎процесса ‎информационной‏ ‎безопасности ‎необходимо ‎его ‎постоянно ‎документировать.‏ ‎Только ‎так‏ ‎различные‏ ‎шаги ‎процесса ‎и‏ ‎принятые ‎решения‏ ‎становятся ‎контролируемые. ‎Кроме ‎того,‏ ‎полная‏ ‎документация ‎гарантирует,‏ ‎что ‎аналогичные‏ ‎работы ‎выполняются ‎должным ‎образом, ‎делая‏ ‎процессы‏ ‎измеримыми ‎и‏ ‎воспроизводимыми. ‎Документация‏ ‎также ‎помогает ‎выявлять ‎основные ‎слабости‏ ‎в‏ ‎процессе‏ ‎и ‎избегать‏ ‎повторения ‎ошибок.‏ ‎Необходимая ‎документация‏ ‎выполняет‏ ‎различные ‎функции‏ ‎в ‎различных ‎мероприятиях ‎по ‎информационной‏ ‎безопасности ‎и‏ ‎ориентирована‏ ‎на ‎разные ‎целевые‏ ‎аудитории. ‎Можно‏ ‎выделить ‎следующие ‎виды ‎документации:
  • Техническая‏ ‎документация‏ ‎и ‎документация‏ ‎рабочих ‎процессов‏ ‎(целевая ‎аудитория ‎— ‎эксперты, ‎техники).‏ ‎При‏ ‎сбоях ‎или‏ ‎инцидентах ‎должна‏ ‎быть ‎возможность ‎восстановить ‎желаемое ‎состояние‏ ‎бизнес-процессов‏ ‎и‏ ‎соответствующих ‎ИТ-систем.‏ ‎Технические ‎детали‏ ‎и ‎рабочие‏ ‎процессы‏ ‎должны ‎быть‏ ‎задокументированы ‎таким ‎образом, ‎чтобы ‎это‏ ‎можно ‎было‏ ‎сделать‏ ‎в ‎разумные ‎сроки‏ ‎и ‎как‏ ‎можно ‎с ‎наименьшей ‎квалификацией‏ ‎персонала,‏ ‎чтобы ‎даже‏ ‎уборщица, ‎в‏ ‎случае ‎необходимости ‎могла ‎восстановить ‎работоспособность;
  • Отчёты‏ ‎для‏ ‎руководства ‎(целевая‏ ‎аудитория ‎—‏ ‎высшее ‎руководство, ‎руководство ‎безопасностью). ‎Вся‏ ‎информация,‏ ‎необходимая‏ ‎руководству ‎для‏ ‎выполнения ‎своих‏ ‎управленческих ‎и‏ ‎контрольных‏ ‎функций, ‎должна‏ ‎фиксироваться ‎с ‎требуемой ‎степенью ‎детализации‏ ‎(например, ‎результаты‏ ‎аудитов,‏ ‎измерения ‎эффективности, ‎отчёты‏ ‎об ‎инцидентах‏ ‎безопасности);
  • Документирование ‎управленческих ‎решений ‎(целевая‏ ‎аудитория‏ ‎— ‎высшее‏ ‎руководство). ‎Высшее‏ ‎руководство ‎должно ‎документировать ‎и ‎обосновать‏ ‎выбранную‏ ‎стратегию ‎информационной‏ ‎безопасности. ‎Кроме‏ ‎того, ‎решения, ‎касающиеся ‎аспектов ‎безопасности,‏ ‎должны‏ ‎быть‏ ‎задокументированы ‎на‏ ‎всех ‎уровнях,‏ ‎чтобы ‎они‏ ‎были‏ ‎прослеживаемые, ‎контролируемые‏ ‎и ‎воспроизводимы ‎в ‎любое ‎время.

Формальные‏ ‎требования ‎к‏ ‎документации

Документация‏ ‎не ‎обязательно ‎должна‏ ‎вестись ‎исключительно‏ ‎в ‎бумажной ‎форме. ‎Выбор‏ ‎средства‏ ‎документирования ‎должен‏ ‎определяться ‎в‏ ‎соответствии ‎с ‎конкретными ‎потребностями. ‎Так,‏ ‎для‏ ‎нужд ‎кризисного‏ ‎управления ‎целесообразно‏ ‎использование ‎удалённого ‎программного ‎обеспечения ‎(защищённого‏ ‎облачного‏ ‎ресурса),‏ ‎позволяющего ‎заблаговременно‏ ‎фиксировать ‎все‏ ‎необходимые ‎мероприятия‏ ‎и‏ ‎контактные ‎лица,‏ ‎что ‎обеспечивает ‎его ‎мобильную ‎доступность‏ ‎в ‎чрезвычайных‏ ‎ситуациях,‏ ‎например, ‎на ‎переносном‏ ‎ноутбуке ‎с‏ ‎доступом ‎к ‎этому ‎ресурсу.‏ ‎Однако,‏ ‎в ‎зависимости‏ ‎от ‎характера‏ ‎кризисного ‎события, ‎предпочтительной ‎может ‎оказаться‏ ‎удобная‏ ‎бумажная ‎справочная‏ ‎документация.

Следует ‎учитывать‏ ‎законодательные ‎или ‎договорные ‎требования ‎к‏ ‎документированию,‏ ‎например,‏ ‎в ‎отношении‏ ‎сроков ‎хранения‏ ‎и ‎детализации‏ ‎содержания.‏ ‎Документация ‎выполняет‏ ‎свою ‎функцию ‎лишь ‎при ‎условии‏ ‎регулярного ‎составления‏ ‎и‏ ‎поддержания ‎её ‎актуальности.‏ ‎Кроме ‎того,‏ ‎она ‎должна ‎быть ‎структурирована‏ ‎и‏ ‎систематизирована ‎для‏ ‎обеспечения ‎доступности‏ ‎при ‎необходимости. ‎Авторство ‎и ‎даты‏ ‎создания‏ ‎различных ‎элементов‏ ‎документации ‎должны‏ ‎быть ‎видны. ‎При ‎наличии ‎ссылок‏ ‎на‏ ‎другие‏ ‎документы, ‎их‏ ‎источники ‎должны‏ ‎быть ‎явно‏ ‎указаны,‏ ‎а ‎сами‏ ‎документы ‎должны ‎быть ‎доступны.

Документация, ‎имеющая‏ ‎отношение ‎к‏ ‎вопросам‏ ‎информационной ‎безопасности, ‎может‏ ‎содержать ‎конфиденциальную‏ ‎информацию ‎и, ‎соответственно, ‎требует‏ ‎надлежащей‏ ‎защиты. ‎Помимо‏ ‎потребности ‎в‏ ‎защите, ‎должны ‎быть ‎установлены ‎регламенты‏ ‎хранения‏ ‎и ‎уничтожения.‏ ‎В ‎описаниях‏ ‎процессов ‎и ‎процедур ‎следует ‎определять‏ ‎необходимость‏ ‎анализа‏ ‎документации, ‎её‏ ‎пересмотра, ‎ответственных‏ ‎лиц, ‎а‏ ‎также‏ ‎круг ‎лиц,‏ ‎имеющих ‎доступ ‎к ‎ней. ‎Документация,‏ ‎содержащая ‎конфиденциальную‏ ‎информацию,‏ ‎не ‎может ‎располагаться‏ ‎на ‎внутреннем‏ ‎информационном ‎ресурсе ‎по ‎информационной‏ ‎безопасности‏ ‎компании, ‎а‏ ‎должна ‎храниться‏ ‎только ‎в ‎защищённых ‎местах.

Внимание! ‎Материал‏ ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании‏ ‎статьи ‎1259 ‎ГК ‎РФ.

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048