Концепция ‎информационной‏ ‎безопасности

В ‎соответствии ‎с ‎установленными ‎рекомендациями,‏ ‎процесс ‎разработки‏ ‎концепции‏ ‎информационной ‎безопасности ‎предусматривает‏ ‎последовательное ‎выполнение‏ ‎следующих ‎этапов:

• определение ‎информационного ‎контура‏ ‎защищаемого‏ ‎объекта ‎и‏ ‎установление ‎области‏ ‎применения ‎концепции: ‎На ‎данном ‎этапе‏ ‎осуществляется‏ ‎четкое ‎обозначение‏ ‎границ ‎информационного‏ ‎контура ‎— ‎той ‎части ‎организации‏ ‎(информационной‏ ‎системы,‏ ‎сети, ‎процесса‏ ‎и ‎тому‏ ‎подобного), ‎для‏ ‎которой‏ ‎будет ‎разработана‏ ‎и ‎впоследствии ‎реализована ‎концепция ‎информационной‏ ‎безопасности. ‎В‏ ‎рамках‏ ‎Методологии ‎«Волга-27001» ‎этот‏ ‎информационный ‎контур‏ ‎носит ‎название ‎— ‎информационный‏ ‎комплекс.‏ ‎Все ‎компоненты,‏ ‎входящие ‎в‏ ‎рассматриваемый ‎информационный ‎контур, ‎подлежат ‎защите‏ ‎посредством‏ ‎применения ‎соответствующих‏ ‎мер ‎защиты‏ ‎на ‎основе ‎выполнения ‎определённых ‎требований;
• проведение‏ ‎структурного‏ ‎анализа‏ ‎с ‎целью‏ ‎определения ‎объектов‏ ‎защиты ‎в‏ ‎информационном‏ ‎контуре: ‎в‏ ‎рамках ‎структурного ‎анализа ‎производится ‎идентификация‏ ‎ключевых ‎объектов‏ ‎защиты‏ ‎для ‎определённого ‎информационного‏ ‎контура. ‎К‏ ‎таковым ‎могут ‎относиться: ‎информационные‏ ‎активы,‏ ‎прикладные ‎системы,‏ ‎ИТ-инфраструктура, ‎системы‏ ‎промышленной ‎автоматизации, ‎устройства ‎Интернета ‎вещей,‏ ‎сетевые‏ ‎устройства ‎и‏ ‎компоненты, ‎помещения‏ ‎и ‎здания, ‎а ‎также ‎ответственный‏ ‎за‏ ‎это‏ ‎персонал. ‎Помимо‏ ‎этого, ‎осуществляется‏ ‎анализ ‎взаимосвязей‏ ‎и‏ ‎зависимостей ‎между‏ ‎вышеуказанными ‎объектами. ‎Выявление ‎подобных ‎зависимостей‏ ‎позволяет ‎провести‏ ‎оценку‏ ‎потенциальных ‎последствий ‎инцидентов‏ ‎информационной ‎безопасности‏ ‎для ‎деятельности ‎организации ‎и‏ ‎разработать‏ ‎адекватные ‎меры‏ ‎защиты;
• оценка ‎потребностей‏ ‎в ‎защите: ‎анализ ‎воздействия ‎инцидентов‏ ‎на‏ ‎исследуемые ‎бизнес-процессы.‏ ‎Для ‎каждого‏ ‎значения, ‎выявленного ‎в ‎ходе ‎структурного‏ ‎анализа,‏ ‎определяется‏ ‎уровень ‎необходимой‏ ‎защиты, ‎то‏ ‎есть ‎уровень‏ ‎обеспечения‏ ‎информационной ‎безопасности.

Для‏ ‎определения ‎необходимого ‎уровня ‎обеспечения ‎информационной‏ ‎безопасности ‎следует‏ ‎провести‏ ‎комплексную ‎оценку ‎потребности‏ ‎в ‎защите‏ ‎этих ‎процессов. ‎На ‎основании‏ ‎полученных‏ ‎результатов ‎устанавливается‏ ‎требуемый ‎уровень‏ ‎защиты ‎для ‎приложений, ‎выявленных ‎в‏ ‎ходе‏ ‎структурного ‎анализа,‏ ‎с ‎учетом‏ ‎характера ‎обрабатываемой ‎информации. ‎Далее ‎проводится‏ ‎анализ‏ ‎используемых‏ ‎ИТ-систем ‎и‏ ‎мест ‎обработки‏ ‎соответствующей ‎информации.‏ ‎Уровень‏ ‎обеспечения ‎информационной‏ ‎безопасности ‎бизнес-процессов ‎транслируется ‎на ‎обеспечивающие‏ ‎их ‎функционирование‏ ‎ИТ-системы.‏ ‎Уровень ‎защищенности ‎помещений‏ ‎определяется ‎исходя‏ ‎из ‎требований ‎к ‎защите‏ ‎бизнес-процессов‏ ‎и ‎ИТ-систем,‏ ‎размещенных ‎в‏ ‎данных ‎помещениях ‎и ‎обрабатывающих ‎защищаемую‏ ‎информацию.

Методология‏ ‎основана ‎на‏ ‎реализации ‎требований‏ ‎для ‎нейтрализации ‎угроз ‎или ‎сведения‏ ‎их‏ ‎появления‏ ‎к ‎минимальному‏ ‎и ‎допустимому‏ ‎уровню, ‎который‏ ‎для‏ ‎организации ‎приемлем.‏ ‎Меры ‎защиты ‎имеют ‎уровни ‎зрелости,‏ ‎характеризующие ‎степень‏ ‎их‏ ‎реализации. ‎Методология ‎предполагает‏ ‎обязательное ‎выполнение‏ ‎требований, ‎в ‎том ‎числе‏ ‎и‏ ‎через ‎реализацию‏ ‎мер ‎защиты,‏ ‎при ‎этом ‎допускает ‎вариативность ‎способов‏ ‎реализации,‏ ‎определяющих ‎уровень‏ ‎зрелости ‎конкретной‏ ‎меры. ‎Методология ‎предусматривает ‎минимально ‎допустимый‏ ‎уровень‏ ‎зрелости‏ ‎для ‎каждого‏ ‎требования.

В ‎случае,‏ ‎если ‎сбой‏ ‎в‏ ‎работе ‎ИТ-системы‏ ‎может ‎привести ‎к ‎значительному ‎ущербу‏ ‎с ‎высокой‏ ‎оценочной‏ ‎стоимостью ‎инцидента, ‎это‏ ‎указывает ‎на‏ ‎необходимость ‎установления ‎более ‎высокого‏ ‎уровня‏ ‎обеспечения ‎информационной‏ ‎безопасности.

Методология ‎«Волга-27001»‏ ‎представляет ‎собой ‎комплексный ‎подход ‎к‏ ‎обеспечению‏ ‎информационной ‎безопасности,‏ ‎основанный ‎на‏ ‎требованиях ‎стандарта ‎ISO ‎27001 ‎и‏ ‎дополненный‏ ‎лучшими‏ ‎международными ‎практиками.‏ ‎Ключевые ‎особенности‏ ‎методологии ‎включают:

• модульную‏ ‎структуру‏ ‎требований, ‎охватывающую‏ ‎все ‎направления ‎стандарта ‎ISO ‎27001‏ ‎и ‎дополнительные‏ ‎аспекты‏ ‎безопасности ‎для ‎каждого‏ ‎модуля;
• градацию ‎уровней‏ ‎обеспечения ‎информационной ‎безопасности, ‎влияющую‏ ‎на‏ ‎объем ‎и‏ ‎глубину ‎реализуемых‏ ‎требований. ‎Более ‎высокий ‎уровень ‎предполагает‏ ‎внедрение‏ ‎большего ‎количества‏ ‎требований, ‎включая‏ ‎требования ‎для ‎более ‎низких ‎уровней;
• возможность‏ ‎поэтапного‏ ‎повышения‏ ‎уровня ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎в ‎зависимости‏ ‎от‏ ‎ресурсов ‎и‏ ‎потребностей ‎самой ‎организации;
• последовательный ‎подход ‎к‏ ‎наращиванию ‎уровня‏ ‎защищённости‏ ‎всей ‎организации, ‎не‏ ‎допускающий ‎пропуска‏ ‎промежуточных ‎этапов;
• непрерывное ‎совершенствование ‎методологии‏ ‎на‏ ‎основе ‎российского‏ ‎и ‎международного‏ ‎опыта, ‎а ‎также ‎обратной ‎связи‏ ‎от‏ ‎пользователей ‎(для‏ ‎тех, ‎кто‏ ‎оформит ‎подписку ‎уровня ‎который ‎разрешает‏ ‎личное‏ ‎общение).

Методология‏ ‎«Волга-27001» ‎предоставляет‏ ‎организациям ‎инструментарий‏ ‎для ‎выбора‏ ‎оптимального‏ ‎уровня ‎обеспечения‏ ‎информационной ‎безопасности ‎с ‎учётом ‎имеющихся‏ ‎ресурсов ‎и‏ ‎специфики‏ ‎деятельности. ‎При ‎этом‏ ‎важно ‎отметить,‏ ‎что ‎полная ‎минимизация ‎угроз‏ ‎возможна‏ ‎только ‎на‏ ‎уровне, ‎когда‏ ‎система ‎управления ‎информационной ‎безопасность ‎построена‏ ‎и‏ ‎начала ‎своё‏ ‎совершенствование, ‎в‏ ‎то ‎время ‎как ‎более ‎низкие‏ ‎уровни‏ ‎позволяют‏ ‎только ‎начать‏ ‎строительство ‎такой‏ ‎системы, ‎а‏ ‎соответственно‏ ‎не ‎могут‏ ‎обеспечивать ‎адекватную ‎защиту ‎от ‎угроз.

Доступ‏ ‎к ‎Методологии‏ ‎осуществляется‏ ‎на ‎основе ‎платной‏ ‎подписки. ‎ООО‏ ‎«ЦифраБез» ‎приглашает ‎специалистов ‎по‏ ‎информационной‏ ‎безопасности ‎и‏ ‎организации-пользователей ‎к‏ ‎участию ‎в ‎её ‎дальнейшем ‎развитии‏ ‎и‏ ‎совершенствовании. ‎У‏ ‎нашей ‎Методологии‏ ‎есть ‎все ‎шансы ‎стать ‎лучшей‏ ‎российской‏ ‎практикой‏ ‎для ‎бизнеса.

Настоящим‏ ‎уведомляем, ‎что‏ ‎материалы, ‎размещённые‏ ‎на‏ ‎данной ‎странице,‏ ‎охраняются ‎авторским ‎правом ‎в ‎соответствии‏ ‎со ‎статьей‏ ‎1259‏ ‎Гражданского ‎кодекса ‎Российской‏ ‎Федерации. ‎Третьи‏ ‎лица ‎не ‎вправе ‎использовать‏ ‎с‏ ‎целью ‎создания‏ ‎каких-либо ‎средств‏ ‎обработки ‎представленной ‎информации ‎и ‎размещённых‏ ‎на‏ ‎данной ‎странице‏ ‎результатов ‎интеллектуальной‏ ‎деятельности ‎каким-либо ‎образом ‎без ‎письменного‏ ‎согласия‏ ‎ООО‏ ‎«ЦифраБез». ‎Распространение‏ ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при‏ ‎указании ‎ссылки‏ ‎на ‎данную ‎страницу.

Несанкционированное ‎использование ‎охраняемых‏ ‎авторским ‎правом‏ ‎материалов‏ ‎является ‎нарушением ‎законодательства‏ ‎Российской ‎Федерации‏ ‎и ‎влечёт ‎за ‎собой‏ ‎ответственность,‏ ‎предусмотренную ‎им.

Непрерывное ‎совершенствование‏ ‎концепции ‎ИБ

Регулярный ‎пересмотр ‎концепции ‎информационной‏ ‎безопасности ‎является‏ ‎необходимым‏ ‎условием ‎для ‎устранения‏ ‎выявленных ‎несоответствий‏ ‎и ‎уязвимостей, ‎а ‎также‏ ‎оптимизации‏ ‎мер ‎защиты‏ ‎реализованных ‎для‏ ‎исполнения ‎требований ‎с ‎точки ‎зрения‏ ‎их‏ ‎эффективности.

Особое ‎внимание‏ ‎следует ‎уделять‏ ‎повышению ‎практической ‎применимости ‎технических ‎средств‏ ‎и‏ ‎организационных‏ ‎процедур, ‎что‏ ‎позволит ‎повысить‏ ‎уровень ‎принятия‏ ‎мер‏ ‎защиты ‎персоналом.‏ ‎Кроме ‎того, ‎целесообразно ‎регулярно ‎анализировать‏ ‎формулировки ‎соответствующих‏ ‎мер‏ ‎защиты ‎на ‎предмет‏ ‎их ‎логичности‏ ‎и ‎однозначности ‎понимания, ‎внося‏ ‎при‏ ‎необходимости ‎соответствующие‏ ‎уточнения ‎и‏ ‎коррективы.

Ключевые ‎аспекты ‎непрерывного ‎совершенствования:

• устранение ‎выявленных‏ ‎несоответствий‏ ‎и ‎уязвимостей;
• оптимизация‏ ‎эффективности ‎мер‏ ‎защиты;
• повышение ‎уровня ‎зрелости ‎мер ‎защиты;
• повышение‏ ‎практической‏ ‎применимости‏ ‎и ‎приемлемости‏ ‎мер ‎защиты;
• регулярный‏ ‎анализ ‎мер‏ ‎защиты‏ ‎и ‎уровней‏ ‎их ‎зрелости.

Сертификация ‎СУИБ

Построение ‎и ‎эксплуатация‏ ‎эффективной ‎СУИБ‏ ‎является‏ ‎сложной ‎и ‎трудоёмкой‏ ‎задачей. ‎Тем‏ ‎не ‎менее ‎при ‎успешной‏ ‎реализации‏ ‎такой ‎системы,‏ ‎её ‎наличие‏ ‎и ‎функционирование ‎может ‎быть ‎весьма‏ ‎полезным‏ ‎как ‎для‏ ‎внутренних, ‎так‏ ‎и ‎для ‎внешних ‎целей ‎компании.

Можно‏ ‎отметить‏ ‎следующее:

• внутренние‏ ‎цели ‎включают‏ ‎прозрачное ‎документирование‏ ‎и ‎демонстрацию‏ ‎приверженности‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности. ‎Это ‎может ‎укрепить‏ ‎корпоративную ‎культуру‏ ‎и‏ ‎повысить ‎осведомлённость ‎сотрудников;
• во‏ ‎внешнем ‎аспекте‏ ‎наличие ‎сертифицированной ‎СУИБ ‎может‏ ‎служить‏ ‎важным ‎сигналом‏ ‎качества ‎и‏ ‎надёжности ‎для ‎клиентов, ‎партнёров ‎и‏ ‎иных‏ ‎заинтересованных ‎сторон.‏ ‎Таким ‎образом,‏ ‎это ‎может ‎обеспечить ‎организации ‎определённое‏ ‎конкурентное‏ ‎преимущество.‏ ‎Сертификат, ‎который‏ ‎покупают ‎за‏ ‎три ‎дня,‏ ‎не‏ ‎является ‎тем‏ ‎сертификатом, ‎который ‎позволит ‎компании ‎гордиться‏ ‎своей ‎СУИБ;
• кроме‏ ‎того,‏ ‎органы ‎государственной ‎власти‏ ‎могут ‎применять‏ ‎механизмы ‎сертификации ‎СУИБ ‎для‏ ‎повышения‏ ‎уровня ‎доверия‏ ‎граждан ‎к‏ ‎безопасности ‎электронных ‎государственных ‎услуг ‎и‏ ‎инфраструктуры.

Ещё‏ ‎одним ‎фактором,‏ ‎стимулирующим ‎компании‏ ‎к ‎сертификации ‎СУИБ, ‎является ‎необходимость‏ ‎соответствия‏ ‎нормативным‏ ‎требованиям ‎и‏ ‎законодательству ‎в‏ ‎области ‎информационной‏ ‎безопасности.

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27001 ‎(и ‎его ‎российский ‎аналог)‏ ‎является ‎основополагающим‏ ‎в‏ ‎области ‎сертификации ‎СУИБ.‏ ‎Процедура ‎сертификации‏ ‎предусматривает ‎проверку ‎и ‎аудит‏ ‎независимыми‏ ‎компетентными ‎органами.

Для‏ ‎обеспечения ‎повторяемости‏ ‎и ‎воспроизводимости ‎результатов ‎сертификационных ‎аудитов‏ ‎необходимы‏ ‎опытные ‎и‏ ‎квалифицированные ‎аудиторы.‏ ‎Следовательно, ‎аудиторы ‎должны ‎продемонстрировать ‎наличие‏ ‎требуемых‏ ‎профессиональных‏ ‎знаний, ‎а‏ ‎также ‎знание‏ ‎и ‎соблюдение‏ ‎установленных‏ ‎правил ‎и‏ ‎процедур. ‎Данный ‎процесс ‎основывается ‎на‏ ‎дополнительных ‎стандартах‏ ‎ISO,‏ ‎призванных ‎гарантировать ‎высокий‏ ‎уровень ‎качества‏ ‎и ‎прослеживаемость ‎сертификатов.

Общепринятая ‎защита‏ ‎ИТ‏ ‎— ‎инфраструктуры‏ ‎и ‎информации‏ ‎в ‎целом ‎базируется ‎на ‎требованиях‏ ‎ISO/IEC‏ ‎27001. ‎Следовательно,‏ ‎внедрение ‎комплекса‏ ‎мер ‎информационной ‎безопасности ‎в ‎соответствии‏ ‎с‏ ‎этим‏ ‎стандартом ‎также‏ ‎может ‎быть‏ ‎сертифицировано ‎в‏ ‎России‏ ‎посредством ‎создания‏ ‎СУИБ. ‎При ‎этом ‎качественные ‎органы‏ ‎по ‎сертификации‏ ‎информационной‏ ‎безопасности ‎не ‎просто‏ ‎проверяют, ‎но‏ ‎и ‎помогают ‎интегрировать ‎требования‏ ‎ISO/IEC‏ ‎27001 ‎в‏ ‎компании.

Выдача ‎сертификата‏ ‎ISO ‎27001 ‎по ‎основам ‎информационной‏ ‎безопасности‏ ‎предполагает ‎проведение‏ ‎аудита ‎внешним‏ ‎аудитором, ‎имеющим ‎соответствующую ‎аккредитацию. ‎По‏ ‎результатам‏ ‎аудита‏ ‎формируется ‎отчёт,‏ ‎представляемый ‎в‏ ‎орган ‎по‏ ‎сертификации‏ ‎для ‎принятия‏ ‎решения ‎о ‎выдаче ‎сертификата ‎сроком‏ ‎на ‎три‏ ‎года.

ООО‏ ‎«ЦифраБез» ‎оказывает ‎помощь‏ ‎и ‎поддержку‏ ‎для ‎создания ‎СУИБ ‎в‏ ‎компании,‏ ‎а ‎также‏ ‎подготовит ‎её‏ ‎к ‎сертификации. ‎Однако ‎на ‎уровне‏ ‎ОИБВОП‏ ‎до ‎«Официального»‏ ‎мы ‎не‏ ‎рекомендуем ‎проводить ‎сертификацию, ‎так ‎как‏ ‎это‏ ‎не‏ ‎является ‎целесообразным.‏ ‎Сертификацию ‎необходимо‏ ‎проводить ‎выше‏ ‎уровня‏ ‎ОИБВОП ‎«Официальный»,‏ ‎но ‎это ‎не ‎отменяет ‎само‏ ‎создание ‎СУИБ‏ ‎и‏ ‎внедрение ‎мер ‎защиты‏ ‎для ‎исполнения‏ ‎требований ‎выбранного ‎уровня ‎ОИБВОП‏ ‎и‏ ‎ниже.

Внимание! ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на ‎основании ‎статьи ‎1259‏ ‎ГК‏ ‎РФ.

Третьи ‎лица‏ ‎не ‎вправе‏ ‎использовать ‎с ‎целью ‎создания ‎каких-либо‏ ‎средств‏ ‎обработки‏ ‎представленной ‎информации‏ ‎и ‎размещённых‏ ‎на ‎данной‏ ‎странице‏ ‎результатов ‎интеллектуальной‏ ‎деятельности ‎каким-либо ‎образом ‎без ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез».‏ ‎Распространение ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на‏ ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое ‎использование ‎осуществляется ‎без‏ ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и ‎влечёт ‎ответственность, ‎установленную‏ ‎действующим‏ ‎законодательством‏ ‎РФ.

Концепция ‎информационной‏ ‎безопасности

Разработка ‎концепции

Чтобы ‎достичь ‎целей ‎информационной‏ ‎безопасности ‎и‏ ‎желаемого‏ ‎уровня ‎ОИБВОП, ‎необходимо,‏ ‎прежде ‎всего,‏ ‎исследовать ‎взаимосвязь ‎между ‎выполнением‏ ‎задач,‏ ‎бизнес-процессов ‎и‏ ‎такими ‎свойствами‏ ‎информации, ‎как: ‎конфиденциальность, ‎целостность ‎и‏ ‎доступность.‏ ‎Кроме ‎того,‏ ‎следует ‎рассмотреть‏ ‎возможные ‎источники ‎угроз ‎(стихийные ‎бедствия,‏ ‎организационные‏ ‎недостатки,‏ ‎человеческий ‎фактор‏ ‎или ‎кибератаки),‏ ‎которые ‎могут‏ ‎повлиять‏ ‎на ‎эти‏ ‎бизнес-процессы.

Далее ‎требуется ‎принять ‎решение ‎относительно‏ ‎методов ‎управления‏ ‎выявленными‏ ‎рисками. ‎Для ‎этого‏ ‎необходимо ‎последовательно‏ ‎выполнить ‎следующие ‎шаги:

• идентификация ‎наиболее‏ ‎критичных,‏ ‎с ‎точки‏ ‎зрения ‎информационной‏ ‎безопасности, ‎информационных ‎активов ‎и ‎бизнес-процессов;
• определение‏ ‎негативных‏ ‎последствий, ‎которые‏ ‎могут ‎привести‏ ‎к ‎воздействию ‎на ‎информационные ‎активы‏ ‎и‏ ‎бизнес-процессы;
• оценка‏ ‎возможных ‎угроз‏ ‎и ‎связанных‏ ‎с ‎ними‏ ‎рисков‏ ‎для ‎выявленных‏ ‎критических ‎направлений ‎деятельности ‎компании;
• разработка ‎и‏ ‎внедрение ‎соответствующих‏ ‎мер‏ ‎защиты ‎и ‎контрмер‏ ‎для ‎снижения‏ ‎или ‎устранения ‎определённых ‎рисков;
• регулярный‏ ‎пересмотр‏ ‎и ‎актуализация‏ ‎принятых ‎мер‏ ‎в ‎соответствии ‎с ‎изменяющимися ‎условиями.

Только‏ ‎комплексный,‏ ‎систематический ‎подход‏ ‎к ‎управлению‏ ‎рисками ‎информационной ‎безопасности ‎позволит ‎достичь‏ ‎требуемого‏ ‎уровня‏ ‎ОИБВОП ‎и‏ ‎грамотно ‎подходить‏ ‎к ‎расходу‏ ‎имеющихся‏ ‎ресурсов.

Рекомендуется ‎изначально‏ ‎брать ‎самый ‎низкий ‎уровень ‎ОИБВОП‏ ‎для ‎его‏ ‎внедрения,‏ ‎повышая ‎его ‎по‏ ‎мере ‎роста‏ ‎уровней ‎зрелости ‎мер ‎защиты.‏ ‎Средний‏ ‎срок ‎достижения‏ ‎уровня ‎ОИБВОП‏ ‎составляет ‎полтора ‎года, ‎максимальный ‎—‏ ‎три.‏ ‎Этот ‎срок‏ ‎необходимо ‎прописывать‏ ‎в ‎Политике ‎по ‎информационной ‎безопасности‏ ‎компании.

Выбор‏ ‎метода‏ ‎анализа ‎рисков

Необходимо‏ ‎осуществлять ‎анализ‏ ‎рисков, ‎связанных‏ ‎с‏ ‎возможным ‎ущербом‏ ‎для ‎бизнес-процессов ‎и ‎деятельности ‎компании‏ ‎в ‎результате‏ ‎инцидентов‏ ‎информационной ‎безопасности ‎и‏ ‎реализации ‎вероятных‏ ‎угроз. ‎Соответственно, ‎методология ‎анализа‏ ‎рисков‏ ‎является ‎неотъемлемым‏ ‎элементом ‎любой‏ ‎СУИБ. ‎Для ‎определения ‎уровня ‎риска‏ ‎требуется‏ ‎выявление ‎потенциальных‏ ‎угроз, ‎оценка‏ ‎их ‎разрушительного ‎потенциала ‎и ‎вероятности‏ ‎реализации,‏ ‎а‏ ‎также ‎сопоставление‏ ‎полученных ‎данных‏ ‎с ‎допустимым‏ ‎для‏ ‎компании ‎уровнем‏ ‎принятия ‎рисков. ‎В ‎зависимости ‎от‏ ‎специфики ‎применения,‏ ‎организационных‏ ‎условий, ‎отраслевой ‎принадлежности,‏ ‎а ‎также‏ ‎целевого ‎уровня ‎ОИБВОП, ‎могут‏ ‎использоваться‏ ‎различные ‎методики‏ ‎анализа ‎рисков.‏ ‎Компания ‎должна ‎выбрать ‎методологию, ‎соответствующую‏ ‎масштабу‏ ‎и ‎её‏ ‎характеристикам. ‎Выбор‏ ‎используемого ‎метода ‎анализа ‎рисков ‎оказывает‏ ‎существенное‏ ‎влияние‏ ‎на ‎трудоёмкость‏ ‎разработки ‎концепции‏ ‎информационной ‎безопасности‏ ‎(дорожной‏ ‎карты ‎по‏ ‎защите ‎компании ‎от ‎угроз ‎информационной‏ ‎безопасности ‎в‏ ‎рамках‏ ‎набора ‎документов).

Компания ‎должна‏ ‎определить ‎какие‏ ‎риски ‎она ‎будет ‎обрабатывать‏ ‎в‏ ‎первую ‎очередь,‏ ‎а ‎какие‏ ‎можно ‎отложить ‎или ‎полностью ‎пропустить.‏ ‎Риски‏ ‎которые ‎компания‏ ‎пропускает, ‎считаются‏ ‎принятыми ‎рисками, ‎с ‎которыми ‎компания‏ ‎согласилась.‏ ‎Риски‏ ‎которые ‎нужно‏ ‎обработать, ‎должны‏ ‎быть ‎включены‏ ‎в‏ ‎реестр ‎актуальных‏ ‎рисков ‎компании ‎по ‎информационной ‎безопасности.

Рекомендуется‏ ‎обрабатывать ‎в‏ ‎первую‏ ‎очередь ‎наивысшие ‎риски‏ ‎и ‎по‏ ‎мере ‎выделения ‎ресурсов, ‎опускаться‏ ‎к‏ ‎наиболее ‎низким‏ ‎рискам. ‎Поэтому‏ ‎первостепенным ‎значением ‎для ‎определения ‎мер‏ ‎защиты‏ ‎и ‎проведения‏ ‎защитных ‎мероприятий,‏ ‎компания ‎должна ‎определить ‎свои ‎риски.

Различные‏ ‎методы‏ ‎оценки‏ ‎рисков ‎описаны‏ ‎в ‎стандартах‏ ‎ISO/IEC ‎31010‏ ‎и‏ ‎ISO/IEC ‎27005‏ ‎и ‎их ‎российских ‎аналогах. ‎Для‏ ‎«продвинутых» ‎компаний‏ ‎рекомендуется‏ ‎добавить ‎к ‎этим‏ ‎стандартам ‎ещё‏ ‎ISO/TS ‎22317, ‎который ‎позволяет‏ ‎провести‏ ‎оценку, ‎привязав‏ ‎риски ‎к‏ ‎непрерывности ‎деятельности ‎компании. ‎В ‎планах‏ ‎ООО‏ ‎«ЦифраБез» ‎разработать‏ ‎рекомендации ‎по‏ ‎анализу ‎рисков ‎и ‎оценки ‎рисков,‏ ‎а‏ ‎также‏ ‎по ‎непрерывности‏ ‎бизнес-деятельности.

Реализация ‎концепции

После‏ ‎выбора ‎мер‏ ‎защиты‏ ‎следует ‎разработать‏ ‎план ‎их ‎реализации ‎и ‎строго‏ ‎следовать ‎ему.‏ ‎Ключевыми‏ ‎этапами ‎данного ‎процесса‏ ‎являются:

• обучение ‎персонала.‏ ‎Проведение ‎необходимого ‎обучения ‎сотрудников‏ ‎для‏ ‎корректного ‎применения‏ ‎внедряемых ‎мер‏ ‎защиты;
• соблюдение ‎указанной ‎последовательности ‎действий ‎позволит‏ ‎обеспечить‏ ‎качественную ‎и‏ ‎планомерную ‎реализацию‏ ‎мер ‎защиты;
• назначение ‎ответственных ‎лиц ‎и‏ ‎распределение‏ ‎обязанностей.‏ ‎Необходимо ‎закрепить‏ ‎за ‎конкретными‏ ‎сотрудниками ‎выполнение‏ ‎отдельных‏ ‎задач ‎по‏ ‎реализации, ‎чётко ‎определив ‎их ‎функции‏ ‎и ‎полномочия;
• обеспечение‏ ‎требуемых‏ ‎ресурсов. ‎Следует ‎предусмотреть‏ ‎и ‎выделить‏ ‎все ‎необходимые ‎ресурсы: ‎трудовые,‏ ‎материальные,‏ ‎финансовые ‎и‏ ‎прочие;
• установление ‎сроков‏ ‎и ‎графика ‎выполнения. ‎Разработка ‎детального‏ ‎календарного‏ ‎плана ‎реализации‏ ‎мероприятий ‎с‏ ‎фиксацией ‎контрольных ‎точек;
• мониторинг ‎и ‎контроль‏ ‎над‏ ‎ходом‏ ‎выполнения. ‎Регулярное‏ ‎отслеживание ‎реализации‏ ‎для ‎своевременного‏ ‎выявления‏ ‎и ‎устранения‏ ‎возникающих ‎проблем;
• документирование ‎процесса ‎внедрения. ‎Ведение‏ ‎подробной ‎документации‏ ‎по‏ ‎принимаемым ‎решениям, ‎возникающим‏ ‎сложностям ‎и‏ ‎способам ‎их ‎преодоления ‎(наполнение‏ ‎внутренней‏ ‎базы ‎знаний).

Соблюдение‏ ‎указанной ‎последовательности‏ ‎действий ‎позволит ‎обеспечить ‎качественную ‎и‏ ‎планомерную‏ ‎реализацию ‎мер‏ ‎защиты ‎согласно‏ ‎требованиям ‎настоящей ‎методологии.

План ‎реализации ‎мер‏ ‎защиты

Реализационный‏ ‎план‏ ‎должен ‎охватывать‏ ‎следующие ‎ключевые‏ ‎направления:

• определение ‎приоритетных‏ ‎направлений‏ ‎и ‎последовательности‏ ‎внедрения ‎мероприятий;
• закрепление ‎ответственности ‎за ‎инициацию‏ ‎реализации;
• обеспечение ‎необходимыми‏ ‎ресурсами‏ ‎со ‎стороны ‎руководства‏ ‎компании;
• детальное ‎планирование‏ ‎реализации ‎отдельных ‎мер ‎защиты‏ ‎(установление‏ ‎сроков ‎и‏ ‎бюджетов, ‎назначение‏ ‎ответственных ‎за ‎внедрение, ‎а ‎также‏ ‎за‏ ‎контроль ‎исполнения‏ ‎и ‎оценку‏ ‎эффективности).

Таким ‎образом, ‎план ‎реализации ‎должен‏ ‎чётко‏ ‎распределять‏ ‎обязанности ‎и‏ ‎временные ‎рамки,‏ ‎при ‎этом‏ ‎предусматривая‏ ‎адекватное ‎ресурсное‏ ‎обеспечение ‎со ‎стороны ‎руководящего ‎звена‏ ‎для ‎успешного‏ ‎воплощения‏ ‎концепции ‎информационной ‎безопасности‏ ‎в ‎жизнь.‏ ‎Крайне ‎важно ‎не ‎только‏ ‎определить‏ ‎перечень ‎необходимых‏ ‎мероприятий, ‎но‏ ‎и ‎закрепить ‎ответственность ‎за ‎их‏ ‎практическое‏ ‎внедрение ‎и‏ ‎последующий ‎мониторинг‏ ‎достигаемых ‎результатов.

Внедрение ‎мер ‎защиты

Запланированные ‎меры‏ ‎защиты‏ ‎должны‏ ‎быть ‎внедрены‏ ‎в ‎соответствии‏ ‎с ‎планом‏ ‎реализации.‏ ‎При ‎этом‏ ‎информационную ‎безопасность ‎необходимо ‎интегрировать ‎в‏ ‎общеорганизационные ‎и‏ ‎рабочие‏ ‎процессы.

Если ‎в ‎ходе‏ ‎внедрения ‎возникают‏ ‎трудности, ‎следует ‎незамедлительно ‎информировать‏ ‎об‏ ‎этом ‎руководящее‏ ‎звено, ‎чтобы‏ ‎можно ‎было ‎принять ‎решение ‎для‏ ‎их‏ ‎устранения. ‎В‏ ‎качестве ‎типичных‏ ‎решений ‎могут ‎рассматриваться ‎как ‎модификация‏ ‎коммуникационных‏ ‎каналов‏ ‎или ‎распределения‏ ‎прав ‎доступа,‏ ‎так ‎и‏ ‎адаптация‏ ‎технологических ‎процедур.

Управление‏ ‎и ‎контроль

Необходимо ‎регулярно ‎оценивать ‎степень‏ ‎достижения ‎установленных‏ ‎целевых‏ ‎показателей. ‎В ‎случае‏ ‎если ‎достижение‏ ‎целевых ‎ориентиров ‎представляется ‎невозможным,‏ ‎данная‏ ‎информация ‎должна‏ ‎быть ‎доведена‏ ‎до ‎сведения ‎руководящего ‎звена, ‎отвечающего‏ ‎за‏ ‎вопросы ‎информационной‏ ‎безопасности, ‎с‏ ‎целью ‎своевременного ‎принятия ‎необходимых ‎мер‏ ‎реагирования.

Внимание!‏ ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на‏ ‎основании ‎статьи‏ ‎1259‏ ‎ГК ‎РФ.

Третьи‏ ‎лица ‎не ‎вправе ‎использовать ‎с‏ ‎целью ‎создания‏ ‎каких-либо‏ ‎средств ‎обработки ‎представленной‏ ‎информации ‎и‏ ‎размещённых ‎на ‎данной ‎странице‏ ‎результатов‏ ‎интеллектуальной ‎деятельности‏ ‎каким-либо ‎образом‏ ‎без ‎письменного ‎согласия ‎ООО ‎«ЦифраБез».‏ ‎Распространение‏ ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на ‎данную‏ ‎страницу.

Использование‏ ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое‏ ‎использование ‎осуществляется‏ ‎без‏ ‎письменного ‎согласия‏ ‎ООО ‎«ЦифраБез», ‎является ‎незаконным ‎и‏ ‎влечёт ‎ответственность,‏ ‎установленную‏ ‎действующим ‎законодательством ‎РФ.