Подход к СУИБ
Методология
Описание системы управления информационной безопасностью (СУИБ), представленной в данных рекомендациях, а также в международных стандартах ISO 27000, ISO 27001 и ISO 27002, носят обобщённый характер и формулируют лишь общие рамочные требования. Такой подход оставляет значительную степень свободы для адаптации и интерпретации при практической реализации указанных требований в условиях конкретных организаций. Основная задача заключается в разработке и внедрении СУИБ, которая не только обеспечивает достижение установленных целей в области информационной безопасности (ИБ), но и остаётся экономически эффективной, учитывая ресурсные ограничения и специфику бизнес-процессов компании. Это требует тщательного анализа рисков, выбора оптимальных мер защиты и их интеграции в существующие процессы управления организацией.
Разработка концепции ИБ для компании представляет собой один из наиболее сложных и ответственных процессов. Ключевыми этапами создания такой концепции являются оценка рисков, выбор соответствующих мер защиты, а также контроль за реализацией этих мер. Особое внимание следует уделить выбору методологии анализа рисков, поскольку данный выбор напрямую влияет на трудоёмкость и эффективность разработки концепции.
Наши рекомендации предлагают универсальные подходы, которые подходят для большинства случаев и позволяют адаптировать процесс в зависимости от специфики компании. В зависимости от требуемого уровня обеспечения ИБ, в области, которую компания выбирает сама, вы можете постепенно и последовательно выстраивать у себя полноценную СУИБ. Этот поэтапный подход не просто позволяет экономить ресурсы, а в целом создавать эффективную и действительно нужную компании систему ИБ. Подробно об этом подходе можно прочитать в Методологии «Волга-27001», которая публикуется по платной подписке (sponsr.ru/volga27001).
В сравнении с традиционными количественными методами анализа рисков, предлагаемая методология является более экономичной и практико-ориентированной. Её ценность заключается не только в описании общих принципов внедрения СУИБ, но и в чётком указании на конкретные требования, которые подлежат именно практической реализации. Это позволяет минимизировать риски и обеспечить эффективный уровень обеспечения информационной безопасности для информационных активов компании.
Практические рекомендации по выполнению установленных, методологией «Волга-27001», требований в области ИБ доступны в соответствующих методических материалах, доступных по подписке.
Данные рекомендации охватывают различные подходы к организации ИБ и представляют особую ценность для малых и средних компаний. Они обеспечивают этапы внедрения ИБ и способствуют построению СУИБ. В рекомендациях по методологии построения СУИБ каждый этап подробно описывается, что позволяет организациям последовательно и эффективно выполнять требования.
Отдельно стоит отметить, что сертификат соответствия стандарту ГОСТ Р ИСО/МЭК 27001 в настоящее время не всегда гарантирует реальное выполнение требований. На практике его можно получить в кратчайшие сроки (например, за три дня) без проведения полноценной проверки. В таких случаях организациям просто предоставляется пакет документов, что не соответствует принципам прозрачности и достоверности. Не смотря на наличие сертификата, реальное положение дел в ИБ у компании оставляет желать лучшего.
В связи с этим ООО «ЦифраБез» предлагает собственную систему добровольной сертификации — «Волга-27001», которая подтверждает, что организация действительно выполняет требования рекомендаций для заявленного уровня обеспечения ИБ в определённой области применения. Наша система сертификации является прозрачной. Сертификат выдаётся сроком на три года с ежегодной дистанционной проверкой выполнения требований.
Система добровольной сертификации «Волга-27001», разработанная ООО «ЦифраБез», представляет собой комплексный механизм подтверждения соответствия организаций требованиям рекомендаций в области обеспечения ИБ для заявленных уровней обеспечения ИБ. Данная система сертификации обоснована следующими ключевыми аспектами:
- сертификат «Волга-27001» базируется на принципах, аналогичных стандартам ISO/IEC 27001, адаптированным под специфику российского регуляторного ландшафта и отраслевые потребности. Это обеспечивает гармонизацию с глобальными подходами к управлению ИБ, что способствует укреплению доверия со стороны партнёров и клиентов;
- все этапы оценки соответствия, включая аудит документированных процессов, технических решений и организационных мер, регламентированы внутренними положениями системы. Критерии оценки, методики проверки и требования к заявителям доступны по подписке, что исключает субъективность и обеспечивает равные условия для желающих;
- установленный период действия сертификата (3 года) соответствует оптимальному балансу между стабильностью статуса организации и необходимостью регулярного мониторинга актуальности внедрённых мер ИБ. Ежегодные дистанционные проверки позволяют оперативно выявлять отклонения от установленных требований, стимулируя непрерывное совершенствование системы защиты информации;
- система предусматривает гибкую оценку в зависимости от выбранного уровня обеспечения ИБ. Такой подход позволяет учитывать отраслевую специфику и масштаб рисков, что повышает практическую ценность сертификата для заказчиков и регуляторов, а также эффективно использовать имеющиеся финансовые и другие ресурсы своей компании;
- использование дистанционных инструментов проверки сокращает административную нагрузку на организации, снижает издержки и соответствует современным трендам цифровизации контрольных процедур. При этом обеспечивается достаточная глубина анализа за счёт предоставления электронных доказательств выполнения требований (лог-файлы, скриншоты, отчёты систем мониторинга и другое);
- наличие сертификата «Волга-27001» позволяет организациям демонстрировать соответствие актуальным стандартам ИБ, что усиливает их позиции на рынке, где наличие подтверждённых компетенций в области защиты информации является критически важным. Важно отметить, что сертификат, подтверждающий третий уровень обеспечения ИБ, свидетельствует о том, что данная область применения уже соответствует требованиям стандарта ISO 27001. Более того, организации, получившие сертификат такого уровня в системе сертификации «Волга-27001», могут успешно пройти сертификацию по ISO 27001 для соответствующей области применения.
Система добровольной сертификации «Волга-27001» обеспечивает объективную, технологичную и экономически эффективную модель подтверждения зрелости процессов ИБ. Её внедрение способствует формированию культуры ответственного отношения к защите информации, минимизирует репутационные и операционные риски организаций, а также соответствует стратегическим задачам развития цифровой экономики в части обеспечения киберустойчивости компаний.
Более подробная информация о нашей системе сертификации и условиях её получения представлена в соответствующем разделе методологии доступной по подписке.
Процесс обеспечения информационной безопасности после достижения определённого уровня обеспечения информационной безопасности в выбранной области применения
Анализ общепринятых методов, передовых практик и стандартов в области управления ИБ показывает, что они имеют схожие подходы к описанию основных процессов и обязанностей высшего руководства компании. Однако существенные различия наблюдаются в методологиях разработки концепции ИБ, особенно в части оценки рисков и выбора соответствующих защитных мер для выполнения требований.
Учитывая это, методология «Волга-27001» предлагает следующий базовый алгоритм создания концепции ИБ:
- принятие решения о разработке концепции и формирование рабочей группы с участием представителей ключевых подразделений компании;
- определение ролей и ответственности в области обеспечения ИБ;
- проведение анализа рисков ИБ, включающего идентификацию критичных информационных активов, оценку угроз и уязвимостей, а также потенциального ущерба;
- определение требований и целей ИБ на основе результатов анализа рисков и бизнес-потребностей компании;
- разработка стратегии и политики ИБ, определяющих принципы защиты и основные организационные и технические меры;
- выбор конкретных мер и средств защиты информации с учетом их экономической эффективности;
- разработка плана внедрения выбранных мер защиты и совершенствования системы управления ИБ;
- документирование концепции ИБ и её утверждение высшим руководством компании.
Данный подход позволяет учесть специфику организации и обеспечить системность в управлении ИБ.
Оценка рисков
Анализ рисков ИБ имеет существенные отличия от классических методов оценки рисков. Применение традиционных количественных методов анализа рисков в сфере ИБ зачастую затруднено или невозможно из-за отсутствия необходимых статистических и исторических данных. Даже в случаях, когда такие расчёты осуществимы, интерпретация полученных результатов может представлять значительные трудности.
Специфика анализа рисков в области ИБ обусловлена динамичностью и непредсказуемостью соответствующих угроз, а также сложностью количественной оценки ряда ключевых факторов, таких как вероятность реализации киберугроз, масштаб потенциального ущерба и эффективность применяемых средств защиты. В связи с этим в сфере ИБ все чаще применяются качественные методы анализа рисков, основанные на экспертных оценках и сценарном моделировании. Такое моделирование рекомендуется проводить только для систем с уровнем предназначенным для развивающегося малого или уже среднего бизнеса. До этих уровней стоит проводить оценку на количественном или качественном уровне не затрагивая бизнес-процессы и не проводя анализ воздействия на бизнес-деятельность компании. Такой подход позволяет учесть специфику ИБ и обеспечить более адекватную оценку рисков в условиях высокой неопределенности и динамичности угроз.
В рамках традиционного методологического подхода к анализу рисков, количественная оценка риска определяется как произведение потенциального ущерба на вероятность его возникновения. Рассмотрим два альтернативных сценария:
- Утечка конфиденциальных данных клиентов вследствие кибератаки, с оценочным ущербом в 5 миллионов рублей и статистической вероятностью наступления события один раз в 720 дней (приблизительно 1,97 года). В данном случае теоретическая величина риска составляет 6 944,44 рубля в день или 2 534 722,22 рубля в год.
- Временный сбой в работе корпоративной системы электронной почты, приводящий к снижению производительности труда, с ущербом в 5 000 рублей и статистической частотой инцидента один раз в 10 рабочих дней. Здесь теоретическая величина риска составляет 500 рублей в день или 182 500 рублей в год (при расчете на 365 дней).
Несмотря на значительную разницу в количественных показателях риска в денежном выражении, указанные сценарии по-прежнему требуют дифференцированных подходов в рамках комплексной системы управления рисками организации. При различных числовых значениях, практические последствия реализации рассматриваемых рисков и методы их минимизации существенно различаются.
В связи с этим, при разработке стратегии управления рисками необходимо учитывать не только количественные показатели, но и качественные характеристики потенциальных угроз, их влияние на непрерывность бизнес-процессов, репутационные аспекты и долгосрочные последствия для организации. Это позволит обеспечить более эффективное распределение ресурсов и разработку адекватных мер по снижению рисков в соответствии с их спецификой и потенциальным воздействием на деятельность организации, но только после того, как организация выстроит работающую систему ИБ в выбранной области применения.
Представленные рекомендации предусматривают применение как качественного подхода к оценке рисков, обеспечивающего получение релевантных данных для анализа инцидентов, способных оказать негативное воздействие на бизнес-процессы, так и количественное, а также сценарное, зависящее от выбираемого уровня обеспечения ИБ в выбранной области применения.
Рекомендации базируются на принципе, согласно которому обеспечение безопасной обработки информации, критически значимой для бизнеса, является обязательным требованием вне зависимости от отраслевой специфики и профиля деятельности организации. Но компании предоставляется полное право самой определять, что будет защищаться в первую очередь, затем во вторую, после в третью и так далее.
Ключевым преимуществом предлагаемой методологии является унификация подхода: организации применяющие данные рекомендации, получают единую нормативную базу для проведения оценочных процедур. Это способствует повышению прозрачности и согласованности процессов управления рисками, а также формирует доверительную среду для субъектов, стремящихся обеспечить эффективную защиту своего бизнеса от киберугроз и улучшить состояние ИБ в компании.
Настоящим уведомляем, что материалы, размещённые на данной странице, охраняются авторским правом в соответствии со статьей 1259 Гражданского кодекса Российской Федерации. Использование результатов интеллектуальной деятельности, представленных на данной странице, в том числе для создания средств обработки информации, без письменного согласия правообладателя — ООО «ЦифраБез» — запрещено.
Распространение данной информации допускается только при обязательном указании ссылки на источник (данную страницу).
Несанкционированное использование охраняемых авторским правом материалов является нарушением законодательства Российской Федерации и влечёт за собой ответственность, предусмотренную им.
Vkontakte
Twitter
Одноклассники
