Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 9)
Использование доступных источников информации
Обеспечение информационной безопасности является сложной комплексной темой, требующей всестороннего изучения и глубокого понимания со стороны ответственных специалистов. К счастью, в распоряжении исследователей и практиков имеется широкий спектр доступных информационных ресурсов, которые могут быть задействованы для углубления знаний в данной предметной области. Эти ресурсы включают в себя нормативно-правовые акты и отраслевые стандарты, материалы сети Интернет, а также специализированную научную и профессиональную литературу. Кроме того, важную роль играет сетевое взаимодействие с профильными ассоциациями, партнёрскими организациями, экспертными сообществами, государственными органами. Такое сотрудничество позволяет осуществлять эффективный обмен передовым опытом и актуальной информацией в сфере обеспечения информационной безопасности.
В компании должна быть создана внутренняя база знаний для специалистов по информационной безопасности, где указываются доступные источники и собирается нарабатываемый со временем опыт.
Управленческий анализ
Руководство компании должно регулярно проводить управленческий анализ процесса обеспечения информационной безопасности. При необходимости, например, при участившихся инцидентах или существенном изменении внешних условий, такие оценки следует выполнять и вне плановых сроков. Все результаты и принятые решения подлежат документированию.
Ключевые вопросы для рассмотрения в рамках управленческого анализа:
- Изменились ли факторы, определяющие подход к обеспечению информационной безопасности?
- Остаются ли цели информационной безопасности актуальными и адекватными?
- Соответствует ли политика информационной безопасности современным реалиям компании и законодательным требованиям?
Акцент при оценке эффективности процесса информационной безопасности делается не на проверке отдельных мер безопасности, а на комплексном анализе. Например, безопасная эксплуатация интернет-портала может оказаться слишком затратной для небольшой компании, что может послужить основанием для передачи управления порталом внешнему поставщику услуг.
Кроме того, целесообразно проанализировать, насколько зарекомендовала себя организация обеспечения информационной безопасности. Если будет установлено, что меры безопасности неэффективны или чрезмерно затраты, это может послужить основанием для пересмотра и адаптации всей стратегии информационной безопасности компании. При этом руководству следует ответить на следующие вопросы:
- Является ли стратегия информационной безопасности по-прежнему адекватной?
- Соответствует ли концепция информационной безопасности целям компании, в том числе законодательным требованиям?
- Обеспечивает ли существующая организация информационной безопасности эффективную реализацию целей?
- Не требуется ли усиление её статуса или более тесная интеграция в бизнес-процессы?
- Являются ли затраты на обеспечение информационной безопасности оправданными и соразмерными?
Корректирующие меры
Результаты оценки эффективности должны систематически применяться для реализации соответствующих корректирующих мер. Это может подразумевать необходимость модификации целей информационной безопасности, стратегии и/или концепции, а также адаптации организационной структуры к изменившимся требованиям. В ряде случаев целесообразно осуществить фундаментальные изменения в бизнес-процессах или ИТ-инфраструктуре, а также отказаться от определённых бизнес-процессов или передать их на аутсорсинг, если их безопасное функционирование более не может быть гарантировано имеющимися ресурсами. При внедрении более масштабных преобразований и реализации значительных улучшений цикл управления замыкается повторным запуском этапа планирования.
Внимание! Материал охраняется авторским правом на основании статьи 1259 ГК РФ.