Непрерывное ‎совершенствование‏ ‎концепции ‎ИБ

Регулярный ‎пересмотр ‎концепции ‎информационной‏ ‎безопасности ‎является‏ ‎необходимым‏ ‎условием ‎для ‎устранения‏ ‎выявленных ‎несоответствий‏ ‎и ‎уязвимостей, ‎а ‎также‏ ‎оптимизации‏ ‎мер ‎защиты‏ ‎реализованных ‎для‏ ‎исполнения ‎требований ‎с ‎точки ‎зрения‏ ‎их‏ ‎эффективности.

Особое ‎внимание‏ ‎следует ‎уделять‏ ‎повышению ‎практической ‎применимости ‎технических ‎средств‏ ‎и‏ ‎организационных‏ ‎процедур, ‎что‏ ‎позволит ‎повысить‏ ‎уровень ‎принятия‏ ‎мер‏ ‎защиты ‎персоналом.‏ ‎Кроме ‎того, ‎целесообразно ‎регулярно ‎анализировать‏ ‎формулировки ‎соответствующих‏ ‎мер‏ ‎защиты ‎на ‎предмет‏ ‎их ‎логичности‏ ‎и ‎однозначности ‎понимания, ‎внося‏ ‎при‏ ‎необходимости ‎соответствующие‏ ‎уточнения ‎и‏ ‎коррективы.

Ключевые ‎аспекты ‎непрерывного ‎совершенствования:

• устранение ‎выявленных‏ ‎несоответствий‏ ‎и ‎уязвимостей;
• оптимизация‏ ‎эффективности ‎мер‏ ‎защиты;
• повышение ‎уровня ‎зрелости ‎мер ‎защиты;
• повышение‏ ‎практической‏ ‎применимости‏ ‎и ‎приемлемости‏ ‎мер ‎защиты;
• регулярный‏ ‎анализ ‎мер‏ ‎защиты‏ ‎и ‎уровней‏ ‎их ‎зрелости.

Сертификация ‎СУИБ

Построение ‎и ‎эксплуатация‏ ‎эффективной ‎СУИБ‏ ‎является‏ ‎сложной ‎и ‎трудоёмкой‏ ‎задачей. ‎Тем‏ ‎не ‎менее ‎при ‎успешной‏ ‎реализации‏ ‎такой ‎системы,‏ ‎её ‎наличие‏ ‎и ‎функционирование ‎может ‎быть ‎весьма‏ ‎полезным‏ ‎как ‎для‏ ‎внутренних, ‎так‏ ‎и ‎для ‎внешних ‎целей ‎компании.

Можно‏ ‎отметить‏ ‎следующее:

• внутренние‏ ‎цели ‎включают‏ ‎прозрачное ‎документирование‏ ‎и ‎демонстрацию‏ ‎приверженности‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности. ‎Это ‎может ‎укрепить‏ ‎корпоративную ‎культуру‏ ‎и‏ ‎повысить ‎осведомлённость ‎сотрудников;
• во‏ ‎внешнем ‎аспекте‏ ‎наличие ‎сертифицированной ‎СУИБ ‎может‏ ‎служить‏ ‎важным ‎сигналом‏ ‎качества ‎и‏ ‎надёжности ‎для ‎клиентов, ‎партнёров ‎и‏ ‎иных‏ ‎заинтересованных ‎сторон.‏ ‎Таким ‎образом,‏ ‎это ‎может ‎обеспечить ‎организации ‎определённое‏ ‎конкурентное‏ ‎преимущество.‏ ‎Сертификат, ‎который‏ ‎покупают ‎за‏ ‎три ‎дня,‏ ‎не‏ ‎является ‎тем‏ ‎сертификатом, ‎который ‎позволит ‎компании ‎гордиться‏ ‎своей ‎СУИБ;
• кроме‏ ‎того,‏ ‎органы ‎государственной ‎власти‏ ‎могут ‎применять‏ ‎механизмы ‎сертификации ‎СУИБ ‎для‏ ‎повышения‏ ‎уровня ‎доверия‏ ‎граждан ‎к‏ ‎безопасности ‎электронных ‎государственных ‎услуг ‎и‏ ‎инфраструктуры.

Ещё‏ ‎одним ‎фактором,‏ ‎стимулирующим ‎компании‏ ‎к ‎сертификации ‎СУИБ, ‎является ‎необходимость‏ ‎соответствия‏ ‎нормативным‏ ‎требованиям ‎и‏ ‎законодательству ‎в‏ ‎области ‎информационной‏ ‎безопасности.

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27001 ‎(и ‎его ‎российский ‎аналог)‏ ‎является ‎основополагающим‏ ‎в‏ ‎области ‎сертификации ‎СУИБ.‏ ‎Процедура ‎сертификации‏ ‎предусматривает ‎проверку ‎и ‎аудит‏ ‎независимыми‏ ‎компетентными ‎органами.

Для‏ ‎обеспечения ‎повторяемости‏ ‎и ‎воспроизводимости ‎результатов ‎сертификационных ‎аудитов‏ ‎необходимы‏ ‎опытные ‎и‏ ‎квалифицированные ‎аудиторы.‏ ‎Следовательно, ‎аудиторы ‎должны ‎продемонстрировать ‎наличие‏ ‎требуемых‏ ‎профессиональных‏ ‎знаний, ‎а‏ ‎также ‎знание‏ ‎и ‎соблюдение‏ ‎установленных‏ ‎правил ‎и‏ ‎процедур. ‎Данный ‎процесс ‎основывается ‎на‏ ‎дополнительных ‎стандартах‏ ‎ISO,‏ ‎призванных ‎гарантировать ‎высокий‏ ‎уровень ‎качества‏ ‎и ‎прослеживаемость ‎сертификатов.

Общепринятая ‎защита‏ ‎ИТ‏ ‎— ‎инфраструктуры‏ ‎и ‎информации‏ ‎в ‎целом ‎базируется ‎на ‎требованиях‏ ‎ISO/IEC‏ ‎27001. ‎Следовательно,‏ ‎внедрение ‎комплекса‏ ‎мер ‎информационной ‎безопасности ‎в ‎соответствии‏ ‎с‏ ‎этим‏ ‎стандартом ‎также‏ ‎может ‎быть‏ ‎сертифицировано ‎в‏ ‎России‏ ‎посредством ‎создания‏ ‎СУИБ. ‎При ‎этом ‎качественные ‎органы‏ ‎по ‎сертификации‏ ‎информационной‏ ‎безопасности ‎не ‎просто‏ ‎проверяют, ‎но‏ ‎и ‎помогают ‎интегрировать ‎требования‏ ‎ISO/IEC‏ ‎27001 ‎в‏ ‎компании.

Выдача ‎сертификата‏ ‎ISO ‎27001 ‎по ‎основам ‎информационной‏ ‎безопасности‏ ‎предполагает ‎проведение‏ ‎аудита ‎внешним‏ ‎аудитором, ‎имеющим ‎соответствующую ‎аккредитацию. ‎По‏ ‎результатам‏ ‎аудита‏ ‎формируется ‎отчёт,‏ ‎представляемый ‎в‏ ‎орган ‎по‏ ‎сертификации‏ ‎для ‎принятия‏ ‎решения ‎о ‎выдаче ‎сертификата ‎сроком‏ ‎на ‎три‏ ‎года.

ООО‏ ‎«ЦифраБез» ‎оказывает ‎помощь‏ ‎и ‎поддержку‏ ‎для ‎создания ‎СУИБ ‎в‏ ‎компании,‏ ‎а ‎также‏ ‎подготовит ‎её‏ ‎к ‎сертификации. ‎Однако ‎на ‎уровне‏ ‎ОИБВОП‏ ‎до ‎«Официального»‏ ‎мы ‎не‏ ‎рекомендуем ‎проводить ‎сертификацию, ‎так ‎как‏ ‎это‏ ‎не‏ ‎является ‎целесообразным.‏ ‎Сертификацию ‎необходимо‏ ‎проводить ‎выше‏ ‎уровня‏ ‎ОИБВОП ‎«Официальный»,‏ ‎но ‎это ‎не ‎отменяет ‎само‏ ‎создание ‎СУИБ‏ ‎и‏ ‎внедрение ‎мер ‎защиты‏ ‎для ‎исполнения‏ ‎требований ‎выбранного ‎уровня ‎ОИБВОП‏ ‎и‏ ‎ниже.

Внимание! ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на ‎основании ‎статьи ‎1259‏ ‎ГК‏ ‎РФ.

Третьи ‎лица‏ ‎не ‎вправе‏ ‎использовать ‎с ‎целью ‎создания ‎каких-либо‏ ‎средств‏ ‎обработки‏ ‎представленной ‎информации‏ ‎и ‎размещённых‏ ‎на ‎данной‏ ‎странице‏ ‎результатов ‎интеллектуальной‏ ‎деятельности ‎каким-либо ‎образом ‎без ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез».‏ ‎Распространение ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на‏ ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое ‎использование ‎осуществляется ‎без‏ ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и ‎влечёт ‎ответственность, ‎установленную‏ ‎действующим‏ ‎законодательством‏ ‎РФ.

Вовлечение ‎сотрудников

Обеспечение‏ ‎информационной ‎безопасности ‎является ‎всеобъемлющим ‎вопросом,‏ ‎затрагивающим ‎каждого‏ ‎сотрудника‏ ‎компании. ‎Ключевую ‎роль‏ ‎в ‎этом‏ ‎процессе ‎играет ‎индивидуальная ‎ответственность‏ ‎и‏ ‎компетентность ‎каждого‏ ‎сотрудника, ‎способного‏ ‎предотвратить ‎потенциальный ‎ущерб ‎и ‎способствовать‏ ‎достижению‏ ‎организационных ‎целей.‏ ‎Поэтому, ‎повышение‏ ‎осведомлённости ‎персонала ‎об ‎информационной ‎безопасности‏ ‎и‏ ‎проведение‏ ‎соответствующих ‎тренингов‏ ‎для ‎всех‏ ‎категорий ‎сотрудников,‏ ‎включая‏ ‎руководящий ‎состав,‏ ‎являются ‎фундаментальными ‎предпосылками ‎эффективного ‎управления‏ ‎информационной ‎безопасностью.‏ ‎Для‏ ‎успешной ‎реализации ‎мер‏ ‎безопасности ‎необходимо‏ ‎наличие ‎у ‎сотрудников ‎базовых‏ ‎знаний,‏ ‎включающих ‎не‏ ‎только ‎навыки‏ ‎использования ‎механизмов ‎защиты, ‎но ‎и‏ ‎понимание‏ ‎целесообразности ‎и‏ ‎назначения ‎применяемых‏ ‎средств ‎для ‎безопасности. ‎Более ‎того,‏ ‎организационный‏ ‎климат‏ ‎(внутренняя ‎среда‏ ‎в ‎компании),‏ ‎разделяемые ‎ценности‏ ‎и‏ ‎вовлечённость ‎персонала‏ ‎также ‎оказывают ‎решающее ‎влияние ‎на‏ ‎состояние ‎информационной‏ ‎безопасности‏ ‎компании ‎в ‎целом.

При‏ ‎приёме ‎на‏ ‎работу ‎новых ‎сотрудников ‎или‏ ‎при‏ ‎перераспределении ‎должностных‏ ‎обязанностей ‎персонала‏ ‎крайне ‎важно ‎обеспечить ‎всестороннее ‎ознакомление‏ ‎и,‏ ‎при ‎необходимости,‏ ‎надлежащую ‎подготовку.‏ ‎В ‎этом ‎процессе ‎следует ‎уделять‏ ‎особое‏ ‎внимание‏ ‎информированию ‎о‏ ‎ключевых ‎аспектах‏ ‎безопасности, ‎связанных‏ ‎с‏ ‎конкретным ‎рабочим‏ ‎местом. ‎Когда ‎сотрудники ‎покидают ‎компанию‏ ‎или ‎их‏ ‎функциональные‏ ‎обязанности ‎претерпевают ‎изменения,‏ ‎данный ‎переходный‏ ‎период ‎должен ‎сопровождаться ‎применением‏ ‎соответствующих‏ ‎мер ‎защиты,‏ ‎таких ‎как‏ ‎отзыв ‎полномочий ‎доступа, ‎возврат ‎ключей,‏ ‎пропусков,‏ ‎документов ‎и‏ ‎прочих ‎материальных‏ ‎ценностей.

Сотрудники ‎компании ‎должны ‎неукоснительно ‎соблюдать‏ ‎все‏ ‎законодательные‏ ‎требования, ‎нормативные‏ ‎акты ‎и‏ ‎правила, ‎действующие‏ ‎в‏ ‎соответствующей ‎сфере‏ ‎деятельности ‎компании. ‎Для ‎этого ‎необходимо‏ ‎тщательно ‎ознакомить‏ ‎персонал‏ ‎с ‎существующими ‎регламентами‏ ‎по ‎обеспечению‏ ‎информационной ‎безопасности ‎и ‎одновременно‏ ‎стимулировать‏ ‎мотивацию ‎к‏ ‎их ‎соблюдению.‏ ‎Кроме ‎того, ‎сотрудники ‎должны ‎быть‏ ‎оповещены,‏ ‎что ‎любой‏ ‎выявленный ‎(или‏ ‎предполагаемый) ‎инцидент, ‎связанный ‎с ‎нарушением‏ ‎безопасности,‏ ‎подлежит‏ ‎незамедлительному ‎информированию‏ ‎службы ‎безопасности,‏ ‎с ‎указанием‏ ‎установленного‏ ‎порядка ‎и‏ ‎адресатов ‎для ‎таких ‎сообщений. ‎Вся‏ ‎эта ‎информация‏ ‎должна‏ ‎быть ‎на ‎внутреннем‏ ‎информационном ‎ресурсе‏ ‎по ‎информационной ‎безопасности ‎в‏ ‎компании.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании ‎статьи ‎1259 ‎ГК‏ ‎РФ.

Третьи‏ ‎лица ‎не‏ ‎вправе ‎использовать‏ ‎с ‎целью ‎создания ‎каких-либо ‎средств‏ ‎обработки‏ ‎представленной‏ ‎информации ‎и‏ ‎размещённых ‎на‏ ‎данной ‎странице‏ ‎результатов‏ ‎интеллектуальной ‎деятельности‏ ‎каким-либо ‎образом ‎без ‎письменного ‎согласия‏ ‎ООО ‎«ЦифраБез».‏ ‎Распространение‏ ‎настоящей ‎информации ‎возможно‏ ‎только ‎при‏ ‎указании ‎ссылки ‎на ‎данную‏ ‎страницу.

Использование‏ ‎результатов ‎интеллектуальной‏ ‎деятельности, ‎если‏ ‎такое ‎использование ‎осуществляется ‎без ‎согласия‏ ‎ООО‏ ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и‏ ‎влечёт ‎ответственность, ‎установленную ‎действующим ‎законодательством‏ ‎РФ.