Концепция ‎информационной‏ ‎безопасности

Контроль ‎и ‎мониторинг ‎концепции

Для ‎поддержания‏ ‎надлежащего ‎уровня‏ ‎ОИБВОП‏ ‎необходимо, ‎во-первых, ‎корректно‏ ‎применять ‎соответствующие‏ ‎меры ‎защиты, ‎а ‎во-вторых,‏ ‎постоянно‏ ‎актуализировать ‎концепцию.‏ ‎Кроме ‎того,‏ ‎важно ‎своевременно ‎обнаруживать ‎инциденты, ‎связанные‏ ‎с‏ ‎нарушением ‎информационной‏ ‎безопасности, ‎и‏ ‎оперативно, ‎адекватно ‎на ‎них ‎реагировать.‏ ‎Регулярная‏ ‎оценка‏ ‎эффективности ‎концепции‏ ‎является ‎необходимым‏ ‎условием. ‎Анализ‏ ‎результативности‏ ‎и ‎эффективности‏ ‎реализованных ‎мер ‎должен ‎осуществляться ‎в‏ ‎рамках ‎внутренних‏ ‎аудитов.‏ ‎Если ‎недостаток ‎ресурсов‏ ‎не ‎позволяет‏ ‎провести ‎такие ‎аудиты ‎силами‏ ‎опытных‏ ‎внутренних ‎сотрудников,‏ ‎следует ‎привлекать‏ ‎внешних ‎экспертов ‎для ‎проведения ‎контрольных‏ ‎мероприятий‏ ‎и ‎оценки‏ ‎метрик.

В ‎связи‏ ‎с ‎тем, ‎что ‎объём ‎трудозатрат‏ ‎при‏ ‎проведении‏ ‎аудитов ‎зависит‏ ‎от ‎сложности‏ ‎и ‎масштабов‏ ‎информационной‏ ‎инфраструктуры, ‎предъявляемые‏ ‎требования ‎к ‎проверкам ‎для ‎малых‏ ‎компаний ‎существенно‏ ‎ниже‏ ‎по ‎сравнению ‎с‏ ‎крупными ‎и‏ ‎сложными ‎организациями, ‎что, ‎как‏ ‎правило,‏ ‎значительно ‎облегчает‏ ‎работу ‎по‏ ‎проведению ‎аудита. ‎Для ‎них ‎могут‏ ‎быть‏ ‎достаточными ‎такие‏ ‎мероприятия, ‎как‏ ‎ежегодный ‎технический ‎контроль ‎ИТ-систем, ‎проверка‏ ‎имеющейся‏ ‎документации‏ ‎с ‎целью‏ ‎оценки ‎её‏ ‎актуальности, ‎а‏ ‎также‏ ‎проведение ‎рабочего‏ ‎совещания ‎для ‎обсуждения ‎проблем ‎и‏ ‎накопленного ‎опыта‏ ‎в‏ ‎рамках ‎реализации ‎концепции‏ ‎информационной ‎безопасности.

В‏ ‎рамках ‎рассматриваемого ‎контекста ‎необходимо‏ ‎осуществление‏ ‎следующих ‎мероприятий:

• Реагирование‏ ‎на ‎изменения‏ ‎в ‎текущей ‎операционной ‎деятельности:

1. При ‎возникновении‏ ‎изменений‏ ‎в ‎текущей‏ ‎операционной ‎деятельности‏ ‎(например, ‎внедрение ‎новых ‎бизнес-процессов, ‎организационные‏ ‎изменения‏ ‎или‏ ‎ввод ‎в‏ ‎эксплуатацию ‎новых‏ ‎информационных ‎систем)‏ ‎требуется‏ ‎актуализация ‎концепции‏ ‎информационной ‎безопасности, ‎а ‎также ‎сопутствующей‏ ‎документации ‎(например,‏ ‎матрица‏ ‎ответственности ‎или ‎перечень‏ ‎информационных ‎систем,‏ ‎техническое ‎описание ‎либо ‎паспорт).

Данный‏ ‎процесс‏ ‎предполагает ‎регулярный‏ ‎пересмотр ‎и‏ ‎обновление ‎всех ‎необходимых ‎документов ‎по‏ ‎информационной‏ ‎безопасности ‎с‏ ‎целью ‎обеспечения‏ ‎их ‎соответствия ‎актуальным ‎изменениям ‎в‏ ‎бизнес-процессах,‏ ‎организационной‏ ‎структуре ‎и‏ ‎информационно-технологическом ‎ландшафте.‏ ‎Крайне ‎важно‏ ‎поддерживать‏ ‎согласованность ‎между‏ ‎концепцией ‎информационной ‎безопасности ‎и ‎фактическим‏ ‎положением ‎дел‏ ‎в‏ ‎компании.

• Выявление ‎инцидентов ‎информационной‏ ‎безопасности:

1. Для ‎предотвращения,‏ ‎минимизации ‎последствий ‎или ‎своевременного‏ ‎обнаружения‏ ‎ошибок ‎в‏ ‎обработке ‎информации,‏ ‎которые ‎могут ‎нарушить ‎конфиденциальность, ‎целостность‏ ‎или‏ ‎доступность ‎данных,‏ ‎а ‎также‏ ‎выявления ‎критически ‎важных ‎ошибок ‎персонала‏ ‎и‏ ‎инцидентов‏ ‎безопасности, ‎необходимо‏ ‎реализовать ‎определённые‏ ‎требования. ‎Порядок‏ ‎обработки‏ ‎ошибок ‎должен‏ ‎быть ‎задокументирован. ‎Это ‎предполагает ‎фиксацию‏ ‎предпринятых ‎действий,‏ ‎их‏ ‎последствий ‎и ‎возможных‏ ‎дальнейших ‎шагов.‏ ‎Для ‎раннего ‎выявления ‎проблем‏ ‎информационной‏ ‎безопасности ‎могут‏ ‎применяться ‎такие‏ ‎средства, ‎как ‎мониторинг ‎систем ‎и‏ ‎сетей,‏ ‎проверки ‎целостности,‏ ‎регистрация ‎доступа,‏ ‎действий ‎или ‎ошибок, ‎контроль ‎физического‏ ‎доступа‏ ‎в‏ ‎здания ‎и‏ ‎помещения, ‎а‏ ‎также ‎различные‏ ‎датчики‏ ‎(пожарные, ‎водные,‏ ‎климатические);
2. Записи ‎и ‎протоколы ‎мероприятий ‎по‏ ‎обнаружению ‎инцидентов‏ ‎подлежат‏ ‎регулярному ‎анализу.

• Проверка ‎соблюдения‏ ‎требований:

1. Необходимо ‎осуществлять‏ ‎регулярную ‎проверку ‎с ‎целью‏ ‎подтверждения‏ ‎того, ‎что‏ ‎все ‎предусмотренные‏ ‎в ‎концепции ‎информационной ‎безопасности ‎меры‏ ‎защиты‏ ‎в ‎полной‏ ‎мере ‎применяются‏ ‎и ‎реализуются ‎для ‎исполнения ‎требований.‏ ‎При‏ ‎этом‏ ‎следует ‎контролировать‏ ‎соблюдение ‎как‏ ‎технических ‎средств‏ ‎защиты‏ ‎информации, ‎так‏ ‎и ‎организационных ‎регламентов ‎(документов). ‎Также‏ ‎должна ‎проводиться‏ ‎оценка‏ ‎наличия ‎необходимых ‎ресурсов‏ ‎для ‎надлежащей‏ ‎реализации ‎требований, ‎том ‎числе‏ ‎по‏ ‎выполнению ‎обязательств‏ ‎всеми ‎сотрудниками‏ ‎и ‎внешними ‎лицами, ‎которым ‎назначены‏ ‎определённые‏ ‎роли ‎по‏ ‎претворению ‎требований‏ ‎в ‎жизнь.

• Оценка ‎пригодности ‎и ‎эффективности‏ ‎мер‏ ‎защиты:

1. Регулярная‏ ‎ревизия ‎соответствия‏ ‎выбранных ‎мер‏ ‎защиты ‎для‏ ‎реализации‏ ‎требований ‎установленным‏ ‎целям ‎имеет ‎большое ‎значение. ‎Для‏ ‎оценки ‎их‏ ‎пригодности‏ ‎могут ‎быть ‎использованы‏ ‎различные ‎методы,‏ ‎такие ‎как ‎анализ ‎прошлых‏ ‎инцидентов‏ ‎информационной ‎безопасности,‏ ‎опросы ‎персонала‏ ‎или ‎проведение ‎тестов ‎на ‎проникновение;
2. Важно‏ ‎отслеживать‏ ‎изменения ‎в‏ ‎контексте ‎бизнес-процессов‏ ‎и ‎функциональных ‎задач ‎компании. ‎Например,‏ ‎могут‏ ‎измениться‏ ‎технические ‎или‏ ‎нормативные ‎условия.‏ ‎Ответственные ‎лица‏ ‎за‏ ‎информационную ‎безопасность‏ ‎должны ‎обращаться ‎к ‎внешним ‎источникам‏ ‎знаний, ‎участвовать‏ ‎в‏ ‎профильных ‎конференциях, ‎а‏ ‎также ‎изучать‏ ‎соответствующие ‎стандарты, ‎специализированную ‎литературу‏ ‎и‏ ‎интернет-ресурсы. ‎При‏ ‎отсутствии ‎внутренних‏ ‎компетенций ‎или ‎времени ‎стоит ‎привлекать‏ ‎внешних‏ ‎экспертов.

В ‎этом‏ ‎контексте ‎также‏ ‎целесообразно ‎критически ‎оценивать ‎эффективность ‎применяемых‏ ‎мер‏ ‎защиты‏ ‎и ‎рассматривать‏ ‎возможность ‎достижения‏ ‎целей ‎информационной‏ ‎безопасности‏ ‎более ‎экономичными‏ ‎способами, ‎которые ‎позволяют ‎исполнить ‎требование‏ ‎либо ‎признать‏ ‎его‏ ‎неприменимым ‎и ‎перекрыть‏ ‎другим ‎требованием.‏ ‎При ‎этом ‎следует ‎анализировать‏ ‎практичность‏ ‎и ‎результативность‏ ‎существующих ‎процессов‏ ‎и ‎организационных ‎правил, ‎что ‎зачастую‏ ‎создаёт‏ ‎возможности ‎для‏ ‎необходимых ‎организационных‏ ‎улучшений ‎и ‎совершенствования ‎процессов.

• Оценка ‎высшего‏ ‎руководства:

1. Высшее‏ ‎руководство‏ ‎должно ‎регулярно‏ ‎получать ‎соответствующие‏ ‎результаты ‎проверок‏ ‎от‏ ‎ответственного ‎лица‏ ‎за ‎информационную ‎безопасность ‎в ‎организации.‏ ‎При ‎этом‏ ‎необходимо‏ ‎отражать ‎выявленные ‎проблемы,‏ ‎достигнутые ‎успехи‏ ‎и ‎возможные ‎пути ‎улучшения;
2. Отчёты‏ ‎для‏ ‎руководства ‎должны‏ ‎содержать ‎всю‏ ‎необходимую ‎для ‎высшего ‎руководства ‎информацию‏ ‎с‏ ‎целью ‎эффективного‏ ‎управления ‎процессом‏ ‎обеспечения ‎информационной ‎безопасности, ‎с ‎минимальным‏ ‎количеством‏ ‎технической‏ ‎и ‎профессиональной‏ ‎информации.

Отчёты ‎должны‏ ‎включать ‎в‏ ‎себя:

1. Обзор‏ ‎текущего ‎состояния‏ ‎процесса ‎обеспечения ‎информационной ‎безопасности;
2. Оценку ‎последующих‏ ‎корректирующих ‎мероприятий‏ ‎по‏ ‎результатам ‎предыдущих ‎обзоров‏ ‎руководства;
3. Обратную ‎связь‏ ‎от ‎клиентов ‎и ‎сотрудников;
4. Обзор‏ ‎вновь‏ ‎выявленных ‎угроз‏ ‎и ‎уязвимостей‏ ‎информационной ‎безопасности.

Высшее ‎руководство ‎рассматривает ‎представленные‏ ‎отчёты‏ ‎и ‎принимает‏ ‎необходимые ‎решения,‏ ‎такие ‎как ‎совершенствование ‎процесса ‎обеспечения‏ ‎информационной‏ ‎безопасности,‏ ‎выделение ‎требуемых‏ ‎ресурсов, ‎а‏ ‎также ‎утверждение‏ ‎результатов‏ ‎анализа ‎информационной‏ ‎безопасности ‎(например, ‎снижение ‎или ‎принятие‏ ‎рисков).

Внимание! ‎Материал‏ ‎охраняется‏ ‎авторским ‎правом ‎на‏ ‎основании ‎статьи‏ ‎1259 ‎ГК ‎РФ.

Третьи ‎лица‏ ‎не‏ ‎вправе ‎использовать‏ ‎с ‎целью‏ ‎создания ‎каких-либо ‎средств ‎обработки ‎представленной‏ ‎информации‏ ‎и ‎размещённых‏ ‎на ‎данной‏ ‎странице ‎результатов ‎интеллектуальной ‎деятельности ‎каким-либо‏ ‎образом‏ ‎без‏ ‎письменного ‎согласия‏ ‎ООО ‎«ЦифраБез».‏ ‎Распространение ‎настоящей‏ ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной‏ ‎деятельности, ‎если ‎такое‏ ‎использование ‎осуществляется‏ ‎без ‎письменного ‎согласия ‎ООО‏ ‎«ЦифраБез»,‏ ‎является ‎незаконным‏ ‎и ‎влечёт‏ ‎ответственность, ‎установленную ‎действующим ‎законодательством ‎РФ.

Концепция ‎информационной‏ ‎безопасности

Разработка ‎концепции

Чтобы ‎достичь ‎целей ‎информационной‏ ‎безопасности ‎и‏ ‎желаемого‏ ‎уровня ‎ОИБВОП, ‎необходимо,‏ ‎прежде ‎всего,‏ ‎исследовать ‎взаимосвязь ‎между ‎выполнением‏ ‎задач,‏ ‎бизнес-процессов ‎и‏ ‎такими ‎свойствами‏ ‎информации, ‎как: ‎конфиденциальность, ‎целостность ‎и‏ ‎доступность.‏ ‎Кроме ‎того,‏ ‎следует ‎рассмотреть‏ ‎возможные ‎источники ‎угроз ‎(стихийные ‎бедствия,‏ ‎организационные‏ ‎недостатки,‏ ‎человеческий ‎фактор‏ ‎или ‎кибератаки),‏ ‎которые ‎могут‏ ‎повлиять‏ ‎на ‎эти‏ ‎бизнес-процессы.

Далее ‎требуется ‎принять ‎решение ‎относительно‏ ‎методов ‎управления‏ ‎выявленными‏ ‎рисками. ‎Для ‎этого‏ ‎необходимо ‎последовательно‏ ‎выполнить ‎следующие ‎шаги:

• идентификация ‎наиболее‏ ‎критичных,‏ ‎с ‎точки‏ ‎зрения ‎информационной‏ ‎безопасности, ‎информационных ‎активов ‎и ‎бизнес-процессов;
• определение‏ ‎негативных‏ ‎последствий, ‎которые‏ ‎могут ‎привести‏ ‎к ‎воздействию ‎на ‎информационные ‎активы‏ ‎и‏ ‎бизнес-процессы;
• оценка‏ ‎возможных ‎угроз‏ ‎и ‎связанных‏ ‎с ‎ними‏ ‎рисков‏ ‎для ‎выявленных‏ ‎критических ‎направлений ‎деятельности ‎компании;
• разработка ‎и‏ ‎внедрение ‎соответствующих‏ ‎мер‏ ‎защиты ‎и ‎контрмер‏ ‎для ‎снижения‏ ‎или ‎устранения ‎определённых ‎рисков;
• регулярный‏ ‎пересмотр‏ ‎и ‎актуализация‏ ‎принятых ‎мер‏ ‎в ‎соответствии ‎с ‎изменяющимися ‎условиями.

Только‏ ‎комплексный,‏ ‎систематический ‎подход‏ ‎к ‎управлению‏ ‎рисками ‎информационной ‎безопасности ‎позволит ‎достичь‏ ‎требуемого‏ ‎уровня‏ ‎ОИБВОП ‎и‏ ‎грамотно ‎подходить‏ ‎к ‎расходу‏ ‎имеющихся‏ ‎ресурсов.

Рекомендуется ‎изначально‏ ‎брать ‎самый ‎низкий ‎уровень ‎ОИБВОП‏ ‎для ‎его‏ ‎внедрения,‏ ‎повышая ‎его ‎по‏ ‎мере ‎роста‏ ‎уровней ‎зрелости ‎мер ‎защиты.‏ ‎Средний‏ ‎срок ‎достижения‏ ‎уровня ‎ОИБВОП‏ ‎составляет ‎полтора ‎года, ‎максимальный ‎—‏ ‎три.‏ ‎Этот ‎срок‏ ‎необходимо ‎прописывать‏ ‎в ‎Политике ‎по ‎информационной ‎безопасности‏ ‎компании.

Выбор‏ ‎метода‏ ‎анализа ‎рисков

Необходимо‏ ‎осуществлять ‎анализ‏ ‎рисков, ‎связанных‏ ‎с‏ ‎возможным ‎ущербом‏ ‎для ‎бизнес-процессов ‎и ‎деятельности ‎компании‏ ‎в ‎результате‏ ‎инцидентов‏ ‎информационной ‎безопасности ‎и‏ ‎реализации ‎вероятных‏ ‎угроз. ‎Соответственно, ‎методология ‎анализа‏ ‎рисков‏ ‎является ‎неотъемлемым‏ ‎элементом ‎любой‏ ‎СУИБ. ‎Для ‎определения ‎уровня ‎риска‏ ‎требуется‏ ‎выявление ‎потенциальных‏ ‎угроз, ‎оценка‏ ‎их ‎разрушительного ‎потенциала ‎и ‎вероятности‏ ‎реализации,‏ ‎а‏ ‎также ‎сопоставление‏ ‎полученных ‎данных‏ ‎с ‎допустимым‏ ‎для‏ ‎компании ‎уровнем‏ ‎принятия ‎рисков. ‎В ‎зависимости ‎от‏ ‎специфики ‎применения,‏ ‎организационных‏ ‎условий, ‎отраслевой ‎принадлежности,‏ ‎а ‎также‏ ‎целевого ‎уровня ‎ОИБВОП, ‎могут‏ ‎использоваться‏ ‎различные ‎методики‏ ‎анализа ‎рисков.‏ ‎Компания ‎должна ‎выбрать ‎методологию, ‎соответствующую‏ ‎масштабу‏ ‎и ‎её‏ ‎характеристикам. ‎Выбор‏ ‎используемого ‎метода ‎анализа ‎рисков ‎оказывает‏ ‎существенное‏ ‎влияние‏ ‎на ‎трудоёмкость‏ ‎разработки ‎концепции‏ ‎информационной ‎безопасности‏ ‎(дорожной‏ ‎карты ‎по‏ ‎защите ‎компании ‎от ‎угроз ‎информационной‏ ‎безопасности ‎в‏ ‎рамках‏ ‎набора ‎документов).

Компания ‎должна‏ ‎определить ‎какие‏ ‎риски ‎она ‎будет ‎обрабатывать‏ ‎в‏ ‎первую ‎очередь,‏ ‎а ‎какие‏ ‎можно ‎отложить ‎или ‎полностью ‎пропустить.‏ ‎Риски‏ ‎которые ‎компания‏ ‎пропускает, ‎считаются‏ ‎принятыми ‎рисками, ‎с ‎которыми ‎компания‏ ‎согласилась.‏ ‎Риски‏ ‎которые ‎нужно‏ ‎обработать, ‎должны‏ ‎быть ‎включены‏ ‎в‏ ‎реестр ‎актуальных‏ ‎рисков ‎компании ‎по ‎информационной ‎безопасности.

Рекомендуется‏ ‎обрабатывать ‎в‏ ‎первую‏ ‎очередь ‎наивысшие ‎риски‏ ‎и ‎по‏ ‎мере ‎выделения ‎ресурсов, ‎опускаться‏ ‎к‏ ‎наиболее ‎низким‏ ‎рискам. ‎Поэтому‏ ‎первостепенным ‎значением ‎для ‎определения ‎мер‏ ‎защиты‏ ‎и ‎проведения‏ ‎защитных ‎мероприятий,‏ ‎компания ‎должна ‎определить ‎свои ‎риски.

Различные‏ ‎методы‏ ‎оценки‏ ‎рисков ‎описаны‏ ‎в ‎стандартах‏ ‎ISO/IEC ‎31010‏ ‎и‏ ‎ISO/IEC ‎27005‏ ‎и ‎их ‎российских ‎аналогах. ‎Для‏ ‎«продвинутых» ‎компаний‏ ‎рекомендуется‏ ‎добавить ‎к ‎этим‏ ‎стандартам ‎ещё‏ ‎ISO/TS ‎22317, ‎который ‎позволяет‏ ‎провести‏ ‎оценку, ‎привязав‏ ‎риски ‎к‏ ‎непрерывности ‎деятельности ‎компании. ‎В ‎планах‏ ‎ООО‏ ‎«ЦифраБез» ‎разработать‏ ‎рекомендации ‎по‏ ‎анализу ‎рисков ‎и ‎оценки ‎рисков,‏ ‎а‏ ‎также‏ ‎по ‎непрерывности‏ ‎бизнес-деятельности.

Реализация ‎концепции

После‏ ‎выбора ‎мер‏ ‎защиты‏ ‎следует ‎разработать‏ ‎план ‎их ‎реализации ‎и ‎строго‏ ‎следовать ‎ему.‏ ‎Ключевыми‏ ‎этапами ‎данного ‎процесса‏ ‎являются:

• обучение ‎персонала.‏ ‎Проведение ‎необходимого ‎обучения ‎сотрудников‏ ‎для‏ ‎корректного ‎применения‏ ‎внедряемых ‎мер‏ ‎защиты;
• соблюдение ‎указанной ‎последовательности ‎действий ‎позволит‏ ‎обеспечить‏ ‎качественную ‎и‏ ‎планомерную ‎реализацию‏ ‎мер ‎защиты;
• назначение ‎ответственных ‎лиц ‎и‏ ‎распределение‏ ‎обязанностей.‏ ‎Необходимо ‎закрепить‏ ‎за ‎конкретными‏ ‎сотрудниками ‎выполнение‏ ‎отдельных‏ ‎задач ‎по‏ ‎реализации, ‎чётко ‎определив ‎их ‎функции‏ ‎и ‎полномочия;
• обеспечение‏ ‎требуемых‏ ‎ресурсов. ‎Следует ‎предусмотреть‏ ‎и ‎выделить‏ ‎все ‎необходимые ‎ресурсы: ‎трудовые,‏ ‎материальные,‏ ‎финансовые ‎и‏ ‎прочие;
• установление ‎сроков‏ ‎и ‎графика ‎выполнения. ‎Разработка ‎детального‏ ‎календарного‏ ‎плана ‎реализации‏ ‎мероприятий ‎с‏ ‎фиксацией ‎контрольных ‎точек;
• мониторинг ‎и ‎контроль‏ ‎над‏ ‎ходом‏ ‎выполнения. ‎Регулярное‏ ‎отслеживание ‎реализации‏ ‎для ‎своевременного‏ ‎выявления‏ ‎и ‎устранения‏ ‎возникающих ‎проблем;
• документирование ‎процесса ‎внедрения. ‎Ведение‏ ‎подробной ‎документации‏ ‎по‏ ‎принимаемым ‎решениям, ‎возникающим‏ ‎сложностям ‎и‏ ‎способам ‎их ‎преодоления ‎(наполнение‏ ‎внутренней‏ ‎базы ‎знаний).

Соблюдение‏ ‎указанной ‎последовательности‏ ‎действий ‎позволит ‎обеспечить ‎качественную ‎и‏ ‎планомерную‏ ‎реализацию ‎мер‏ ‎защиты ‎согласно‏ ‎требованиям ‎настоящей ‎методологии.

План ‎реализации ‎мер‏ ‎защиты

Реализационный‏ ‎план‏ ‎должен ‎охватывать‏ ‎следующие ‎ключевые‏ ‎направления:

• определение ‎приоритетных‏ ‎направлений‏ ‎и ‎последовательности‏ ‎внедрения ‎мероприятий;
• закрепление ‎ответственности ‎за ‎инициацию‏ ‎реализации;
• обеспечение ‎необходимыми‏ ‎ресурсами‏ ‎со ‎стороны ‎руководства‏ ‎компании;
• детальное ‎планирование‏ ‎реализации ‎отдельных ‎мер ‎защиты‏ ‎(установление‏ ‎сроков ‎и‏ ‎бюджетов, ‎назначение‏ ‎ответственных ‎за ‎внедрение, ‎а ‎также‏ ‎за‏ ‎контроль ‎исполнения‏ ‎и ‎оценку‏ ‎эффективности).

Таким ‎образом, ‎план ‎реализации ‎должен‏ ‎чётко‏ ‎распределять‏ ‎обязанности ‎и‏ ‎временные ‎рамки,‏ ‎при ‎этом‏ ‎предусматривая‏ ‎адекватное ‎ресурсное‏ ‎обеспечение ‎со ‎стороны ‎руководящего ‎звена‏ ‎для ‎успешного‏ ‎воплощения‏ ‎концепции ‎информационной ‎безопасности‏ ‎в ‎жизнь.‏ ‎Крайне ‎важно ‎не ‎только‏ ‎определить‏ ‎перечень ‎необходимых‏ ‎мероприятий, ‎но‏ ‎и ‎закрепить ‎ответственность ‎за ‎их‏ ‎практическое‏ ‎внедрение ‎и‏ ‎последующий ‎мониторинг‏ ‎достигаемых ‎результатов.

Внедрение ‎мер ‎защиты

Запланированные ‎меры‏ ‎защиты‏ ‎должны‏ ‎быть ‎внедрены‏ ‎в ‎соответствии‏ ‎с ‎планом‏ ‎реализации.‏ ‎При ‎этом‏ ‎информационную ‎безопасность ‎необходимо ‎интегрировать ‎в‏ ‎общеорганизационные ‎и‏ ‎рабочие‏ ‎процессы.

Если ‎в ‎ходе‏ ‎внедрения ‎возникают‏ ‎трудности, ‎следует ‎незамедлительно ‎информировать‏ ‎об‏ ‎этом ‎руководящее‏ ‎звено, ‎чтобы‏ ‎можно ‎было ‎принять ‎решение ‎для‏ ‎их‏ ‎устранения. ‎В‏ ‎качестве ‎типичных‏ ‎решений ‎могут ‎рассматриваться ‎как ‎модификация‏ ‎коммуникационных‏ ‎каналов‏ ‎или ‎распределения‏ ‎прав ‎доступа,‏ ‎так ‎и‏ ‎адаптация‏ ‎технологических ‎процедур.

Управление‏ ‎и ‎контроль

Необходимо ‎регулярно ‎оценивать ‎степень‏ ‎достижения ‎установленных‏ ‎целевых‏ ‎показателей. ‎В ‎случае‏ ‎если ‎достижение‏ ‎целевых ‎ориентиров ‎представляется ‎невозможным,‏ ‎данная‏ ‎информация ‎должна‏ ‎быть ‎доведена‏ ‎до ‎сведения ‎руководящего ‎звена, ‎отвечающего‏ ‎за‏ ‎вопросы ‎информационной‏ ‎безопасности, ‎с‏ ‎целью ‎своевременного ‎принятия ‎необходимых ‎мер‏ ‎реагирования.

Внимание!‏ ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на‏ ‎основании ‎статьи‏ ‎1259‏ ‎ГК ‎РФ.

Третьи‏ ‎лица ‎не ‎вправе ‎использовать ‎с‏ ‎целью ‎создания‏ ‎каких-либо‏ ‎средств ‎обработки ‎представленной‏ ‎информации ‎и‏ ‎размещённых ‎на ‎данной ‎странице‏ ‎результатов‏ ‎интеллектуальной ‎деятельности‏ ‎каким-либо ‎образом‏ ‎без ‎письменного ‎согласия ‎ООО ‎«ЦифраБез».‏ ‎Распространение‏ ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на ‎данную‏ ‎страницу.

Использование‏ ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое‏ ‎использование ‎осуществляется‏ ‎без‏ ‎письменного ‎согласия‏ ‎ООО ‎«ЦифраБез», ‎является ‎незаконным ‎и‏ ‎влечёт ‎ответственность,‏ ‎установленную‏ ‎действующим ‎законодательством ‎РФ.

Осведомлённость ‎и‏ ‎связь

На ‎всех ‎этапах ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎коммуникация‏ ‎является ‎ключевым ‎элементом‏ ‎для ‎достижения‏ ‎поставленных ‎целей. ‎Недопонимания ‎и‏ ‎пробелы‏ ‎в ‎знаниях‏ ‎являются ‎наиболее‏ ‎частыми ‎причинами ‎возникающих ‎проблем ‎с‏ ‎взаимодействием‏ ‎внутри ‎команды‏ ‎внедрения. ‎В‏ ‎связи ‎с ‎этим ‎на ‎всех‏ ‎уровнях‏ ‎и‏ ‎во ‎всех‏ ‎подразделениях ‎компании‏ ‎необходимо ‎обеспечить‏ ‎бесперебойный‏ ‎информационный ‎поток‏ ‎о ‎событиях ‎и ‎мерах ‎в‏ ‎области ‎информационной‏ ‎безопасности.‏ ‎Как ‎минимум ‎в‏ ‎компании ‎должно‏ ‎быть ‎обеспечено:

• отчётность ‎перед ‎руководством.‏ ‎Руководству‏ ‎компании ‎необходимо‏ ‎периодически ‎предоставлять‏ ‎информацию ‎о ‎важных ‎проблемах, ‎результатах‏ ‎проверок‏ ‎и ‎аудитов,‏ ‎а ‎также‏ ‎о ‎новых ‎тенденциях, ‎изменяющихся ‎условиях‏ ‎или‏ ‎возможностях‏ ‎для ‎улучшения,‏ ‎чтобы ‎оно‏ ‎могло ‎надлежащим‏ ‎образом‏ ‎выполнять ‎свои‏ ‎управленческие ‎функции. ‎Для ‎принятия ‎верных‏ ‎решений ‎при‏ ‎управлении‏ ‎и ‎регулировании ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности ‎руководству ‎компании ‎требуются‏ ‎представлять‏ ‎ключевые ‎показатели‏ ‎состояния ‎информационной‏ ‎безопасности ‎(метрики). ‎Эти ‎показатели ‎должны‏ ‎быть‏ ‎представлены ‎в‏ ‎управленческих ‎отчётах,‏ ‎которые ‎подразделение ‎по ‎информационной ‎безопасности‏ ‎должно‏ ‎регулярно‏ ‎предоставлять ‎руководству‏ ‎в ‎соответствующей‏ ‎форме. ‎Руководство,‏ ‎ознакомившись‏ ‎с ‎управленческими‏ ‎отчётами, ‎при ‎необходимости, ‎предпримет ‎требуемые‏ ‎управленческие ‎действия.‏ ‎В‏ ‎компании ‎следует ‎создать‏ ‎комитет ‎по‏ ‎информационной ‎безопасности ‎и ‎его‏ ‎решения‏ ‎направлять ‎на‏ ‎утверждение ‎руководству‏ ‎компании;
• информационный ‎поток. ‎Недостаточная ‎коммуникация ‎и‏ ‎отсутствие‏ ‎информации ‎могут‏ ‎приводить ‎как‏ ‎к ‎проблемам ‎информационной ‎безопасности, ‎так‏ ‎и‏ ‎к‏ ‎неправильным ‎решениям‏ ‎или ‎ненужным‏ ‎рабочим ‎шагам‏ ‎с‏ ‎потерей ‎драгоценного‏ ‎времени. ‎Сотрудников ‎нужно ‎информировать ‎о‏ ‎смысле ‎и‏ ‎цели‏ ‎мер ‎защиты, ‎особенно‏ ‎если ‎они‏ ‎влекут ‎за ‎собой ‎дополнительную‏ ‎нагрузку‏ ‎или ‎приводят‏ ‎к ‎дополнительным‏ ‎неудобствам. ‎Кроме ‎того, ‎сотрудники ‎должны‏ ‎быть‏ ‎осведомлены ‎о‏ ‎связанных ‎с‏ ‎их ‎работой ‎правовых ‎вопросах ‎информационной‏ ‎безопасности‏ ‎и‏ ‎защиты ‎данных.‏ ‎Сотрудников ‎также‏ ‎следует ‎включать‏ ‎в‏ ‎планирование ‎реализации‏ ‎мер, ‎чтобы ‎они ‎могли ‎вносить‏ ‎собственные ‎идеи‏ ‎и‏ ‎оценивать ‎их ‎практическую‏ ‎применимость, ‎имели‏ ‎возможность ‎давать ‎обратную ‎связь,‏ ‎обсуждать‏ ‎проекты ‎локальных‏ ‎актов ‎по‏ ‎информационной ‎безопасности. ‎Для ‎этого ‎в‏ ‎компании‏ ‎должен ‎быть‏ ‎создан ‎отдельный‏ ‎информационный ‎ресурс ‎по ‎информационной ‎безопасности;
• классификация‏ ‎информации.‏ ‎Чтобы‏ ‎обеспечить ‎надлежащую‏ ‎защиту ‎информации,‏ ‎её ‎значимость‏ ‎для‏ ‎компании ‎должна‏ ‎быть ‎чётко ‎определена. ‎Для ‎более‏ ‎простого ‎обмена‏ ‎информацией‏ ‎о ‎ценности ‎различных‏ ‎видов ‎информации,‏ ‎как ‎внутри ‎компании, ‎так‏ ‎и‏ ‎с ‎другими‏ ‎организациями, ‎требуется‏ ‎схема ‎классификации ‎и ‎маркирования, ‎описывающая‏ ‎уровни‏ ‎конфиденциальности ‎(ценности).‏ ‎Для ‎этого‏ ‎в ‎компании ‎должен ‎быть ‎утверждён‏ ‎перечень‏ ‎защищаемой‏ ‎информации;
• документирование. ‎Для‏ ‎обеспечения ‎непрерывности‏ ‎и ‎последовательности‏ ‎всего‏ ‎процесса ‎информационной‏ ‎безопасности ‎необходимо ‎его ‎постоянно ‎документировать.‏ ‎Только ‎так‏ ‎различные‏ ‎шаги ‎процесса ‎и‏ ‎принятые ‎решения‏ ‎становятся ‎контролируемые. ‎Кроме ‎того,‏ ‎полная‏ ‎документация ‎гарантирует,‏ ‎что ‎аналогичные‏ ‎работы ‎выполняются ‎должным ‎образом, ‎делая‏ ‎процессы‏ ‎измеримыми ‎и‏ ‎воспроизводимыми. ‎Документация‏ ‎также ‎помогает ‎выявлять ‎основные ‎слабости‏ ‎в‏ ‎процессе‏ ‎и ‎избегать‏ ‎повторения ‎ошибок.‏ ‎Необходимая ‎документация‏ ‎выполняет‏ ‎различные ‎функции‏ ‎в ‎различных ‎мероприятиях ‎по ‎информационной‏ ‎безопасности ‎и‏ ‎ориентирована‏ ‎на ‎разные ‎целевые‏ ‎аудитории. ‎Можно‏ ‎выделить ‎следующие ‎виды ‎документации:
• Техническая‏ ‎документация‏ ‎и ‎документация‏ ‎рабочих ‎процессов‏ ‎(целевая ‎аудитория ‎— ‎эксперты, ‎техники).‏ ‎При‏ ‎сбоях ‎или‏ ‎инцидентах ‎должна‏ ‎быть ‎возможность ‎восстановить ‎желаемое ‎состояние‏ ‎бизнес-процессов‏ ‎и‏ ‎соответствующих ‎ИТ-систем.‏ ‎Технические ‎детали‏ ‎и ‎рабочие‏ ‎процессы‏ ‎должны ‎быть‏ ‎задокументированы ‎таким ‎образом, ‎чтобы ‎это‏ ‎можно ‎было‏ ‎сделать‏ ‎в ‎разумные ‎сроки‏ ‎и ‎как‏ ‎можно ‎с ‎наименьшей ‎квалификацией‏ ‎персонала,‏ ‎чтобы ‎даже‏ ‎уборщица, ‎в‏ ‎случае ‎необходимости ‎могла ‎восстановить ‎работоспособность;
• Отчёты‏ ‎для‏ ‎руководства ‎(целевая‏ ‎аудитория ‎—‏ ‎высшее ‎руководство, ‎руководство ‎безопасностью). ‎Вся‏ ‎информация,‏ ‎необходимая‏ ‎руководству ‎для‏ ‎выполнения ‎своих‏ ‎управленческих ‎и‏ ‎контрольных‏ ‎функций, ‎должна‏ ‎фиксироваться ‎с ‎требуемой ‎степенью ‎детализации‏ ‎(например, ‎результаты‏ ‎аудитов,‏ ‎измерения ‎эффективности, ‎отчёты‏ ‎об ‎инцидентах‏ ‎безопасности);
• Документирование ‎управленческих ‎решений ‎(целевая‏ ‎аудитория‏ ‎— ‎высшее‏ ‎руководство). ‎Высшее‏ ‎руководство ‎должно ‎документировать ‎и ‎обосновать‏ ‎выбранную‏ ‎стратегию ‎информационной‏ ‎безопасности. ‎Кроме‏ ‎того, ‎решения, ‎касающиеся ‎аспектов ‎безопасности,‏ ‎должны‏ ‎быть‏ ‎задокументированы ‎на‏ ‎всех ‎уровнях,‏ ‎чтобы ‎они‏ ‎были‏ ‎прослеживаемые, ‎контролируемые‏ ‎и ‎воспроизводимы ‎в ‎любое ‎время.

Формальные‏ ‎требования ‎к‏ ‎документации

Документация‏ ‎не ‎обязательно ‎должна‏ ‎вестись ‎исключительно‏ ‎в ‎бумажной ‎форме. ‎Выбор‏ ‎средства‏ ‎документирования ‎должен‏ ‎определяться ‎в‏ ‎соответствии ‎с ‎конкретными ‎потребностями. ‎Так,‏ ‎для‏ ‎нужд ‎кризисного‏ ‎управления ‎целесообразно‏ ‎использование ‎удалённого ‎программного ‎обеспечения ‎(защищённого‏ ‎облачного‏ ‎ресурса),‏ ‎позволяющего ‎заблаговременно‏ ‎фиксировать ‎все‏ ‎необходимые ‎мероприятия‏ ‎и‏ ‎контактные ‎лица,‏ ‎что ‎обеспечивает ‎его ‎мобильную ‎доступность‏ ‎в ‎чрезвычайных‏ ‎ситуациях,‏ ‎например, ‎на ‎переносном‏ ‎ноутбуке ‎с‏ ‎доступом ‎к ‎этому ‎ресурсу.‏ ‎Однако,‏ ‎в ‎зависимости‏ ‎от ‎характера‏ ‎кризисного ‎события, ‎предпочтительной ‎может ‎оказаться‏ ‎удобная‏ ‎бумажная ‎справочная‏ ‎документация.

Следует ‎учитывать‏ ‎законодательные ‎или ‎договорные ‎требования ‎к‏ ‎документированию,‏ ‎например,‏ ‎в ‎отношении‏ ‎сроков ‎хранения‏ ‎и ‎детализации‏ ‎содержания.‏ ‎Документация ‎выполняет‏ ‎свою ‎функцию ‎лишь ‎при ‎условии‏ ‎регулярного ‎составления‏ ‎и‏ ‎поддержания ‎её ‎актуальности.‏ ‎Кроме ‎того,‏ ‎она ‎должна ‎быть ‎структурирована‏ ‎и‏ ‎систематизирована ‎для‏ ‎обеспечения ‎доступности‏ ‎при ‎необходимости. ‎Авторство ‎и ‎даты‏ ‎создания‏ ‎различных ‎элементов‏ ‎документации ‎должны‏ ‎быть ‎видны. ‎При ‎наличии ‎ссылок‏ ‎на‏ ‎другие‏ ‎документы, ‎их‏ ‎источники ‎должны‏ ‎быть ‎явно‏ ‎указаны,‏ ‎а ‎сами‏ ‎документы ‎должны ‎быть ‎доступны.

Документация, ‎имеющая‏ ‎отношение ‎к‏ ‎вопросам‏ ‎информационной ‎безопасности, ‎может‏ ‎содержать ‎конфиденциальную‏ ‎информацию ‎и, ‎соответственно, ‎требует‏ ‎надлежащей‏ ‎защиты. ‎Помимо‏ ‎потребности ‎в‏ ‎защите, ‎должны ‎быть ‎установлены ‎регламенты‏ ‎хранения‏ ‎и ‎уничтожения.‏ ‎В ‎описаниях‏ ‎процессов ‎и ‎процедур ‎следует ‎определять‏ ‎необходимость‏ ‎анализа‏ ‎документации, ‎её‏ ‎пересмотра, ‎ответственных‏ ‎лиц, ‎а‏ ‎также‏ ‎круг ‎лиц,‏ ‎имеющих ‎доступ ‎к ‎ней. ‎Документация,‏ ‎содержащая ‎конфиденциальную‏ ‎информацию,‏ ‎не ‎может ‎располагаться‏ ‎на ‎внутреннем‏ ‎информационном ‎ресурсе ‎по ‎информационной‏ ‎безопасности‏ ‎компании, ‎а‏ ‎должна ‎храниться‏ ‎только ‎в ‎защищённых ‎местах.

Внимание! ‎Материал‏ ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании‏ ‎статьи ‎1259 ‎ГК ‎РФ.