Внедрение ‎политики‏ ‎информационной ‎безопасности

Для ‎достижения ‎установленных ‎целевых‏ ‎показателей ‎безопасности‏ ‎необходимо‏ ‎в ‎первую ‎очередь,‏ ‎разработать ‎концепцию‏ ‎обеспечения ‎информационной ‎безопасности ‎(свод‏ ‎правил‏ ‎и ‎документов).‏ ‎Ниже ‎подробно‏ ‎излагается, ‎каким ‎образом ‎планируется, ‎внедряется‏ ‎и‏ ‎поддерживается/совершенствуется ‎уровень‏ ‎ОИБВОП. ‎Результаты‏ ‎проверки ‎реализованных ‎требований ‎впоследствии ‎включаются‏ ‎в‏ ‎оценку‏ ‎эффективности ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности, ‎которая‏ ‎проводится‏ ‎на ‎уровне‏ ‎руководства ‎компании.

Поддержание ‎уровня ‎ОИБВОП

Обеспечение ‎информационной‏ ‎безопасности ‎представляет‏ ‎собой‏ ‎непрерывный ‎процесс, ‎а‏ ‎не ‎ограниченный‏ ‎во ‎времени. ‎Регулярная ‎оценка‏ ‎соответствия‏ ‎и ‎эффективности‏ ‎всех ‎элементов‏ ‎системы ‎управления ‎информационной ‎безопасностью ‎является‏ ‎ключевым‏ ‎аспектом ‎данного‏ ‎процесса.

Систематические ‎внутренние‏ ‎аудиты ‎позволяют ‎не ‎только ‎оценивать‏ ‎уровни‏ ‎зрелости‏ ‎реализованных ‎требований,‏ ‎но ‎и‏ ‎накапливать ‎опыт‏ ‎их‏ ‎практического ‎применения.‏ ‎Помимо ‎аудитов, ‎важную ‎роль ‎играют‏ ‎учения ‎и‏ ‎мероприятия‏ ‎по ‎повышению ‎осведомлённости‏ ‎персонала, ‎направленные‏ ‎на ‎верификацию ‎функционирования ‎установленных‏ ‎процедур‏ ‎и ‎моделей‏ ‎поведения ‎в‏ ‎критических ‎ситуациях. ‎Выявленные ‎в ‎ходе‏ ‎таких‏ ‎мероприятий ‎недостатки‏ ‎должны ‎инициировать‏ ‎соответствующие ‎корректирующие ‎действия ‎в ‎системе‏ ‎управления‏ ‎информационной‏ ‎безопасностью ‎компании.

Ключевым‏ ‎элементом ‎непрерывного‏ ‎совершенствования ‎информационной‏ ‎безопасности‏ ‎является ‎своевременная‏ ‎идентификация ‎перспективных ‎тенденций ‎в ‎используемых‏ ‎технологиях, ‎бизнес-процессах‏ ‎и‏ ‎структурах. ‎Это ‎позволяет‏ ‎заблаговременно ‎выявлять‏ ‎потенциальные ‎угрозы ‎и ‎разрабатывать‏ ‎упреждающие‏ ‎меры ‎по‏ ‎их ‎нейтрализации.‏ ‎При ‎этом ‎уполномоченный ‎по ‎информационной‏ ‎безопасности‏ ‎должен ‎играть‏ ‎проактивную ‎роль,‏ ‎активно ‎участвуя ‎в ‎процессах ‎управления‏ ‎изменениями‏ ‎в‏ ‎компании, ‎даже‏ ‎если ‎это‏ ‎напрямую ‎не‏ ‎предусмотрено‏ ‎соответствующими ‎внутренними‏ ‎регламентами.

При ‎проведении ‎аудитов ‎информационной ‎безопасности‏ ‎следует ‎избегать‏ ‎ситуаций,‏ ‎когда ‎аудит ‎осуществляется‏ ‎сотрудниками, ‎участвовавшими‏ ‎в ‎разработке ‎или ‎планировании‏ ‎соответствующих‏ ‎мер ‎защиты‏ ‎для ‎исполнения‏ ‎требований. ‎Данное ‎условие ‎обусловлено ‎сложностью‏ ‎для‏ ‎человека ‎объективно‏ ‎оценивать ‎собственную‏ ‎работу. ‎В ‎зависимости ‎от ‎масштабов‏ ‎компании‏ ‎может‏ ‎быть ‎целесообразным‏ ‎привлечение ‎внешних‏ ‎аудиторов ‎для‏ ‎проведения‏ ‎проверок, ‎что‏ ‎позволит ‎преодолеть ‎организационную ‎ангажированность ‎и‏ ‎предвзятость.

Поддержание ‎надлежащего‏ ‎уровня‏ ‎ОИБВОП ‎является ‎актуальной‏ ‎задачей ‎как‏ ‎для ‎крупных, ‎так ‎и‏ ‎для‏ ‎малых ‎и‏ ‎средних ‎компаний.‏ ‎Несмотря ‎на ‎то ‎что ‎объём‏ ‎и‏ ‎детализация ‎аудиторских‏ ‎мероприятий ‎в‏ ‎таких ‎компаниях ‎будет ‎менее ‎обширной‏ ‎по‏ ‎сравнению‏ ‎с ‎крупными‏ ‎структурами, ‎их‏ ‎регулярное ‎осуществление‏ ‎является‏ ‎обязательным ‎условием.

В‏ ‎рамках ‎ежегодного ‎анализа ‎со ‎стороны‏ ‎руководства ‎компании‏ ‎должна‏ ‎проводиться ‎проверка ‎наличия‏ ‎и ‎соблюдения‏ ‎новых ‎законодательных ‎требований ‎в‏ ‎сфере‏ ‎информационной ‎безопасности,‏ ‎а ‎также‏ ‎анализ ‎изменения ‎иных ‎значимых ‎внешних‏ ‎условий.‏ ‎Ежегодный ‎аудит‏ ‎проходит ‎по‏ ‎окончании ‎операционного ‎цикла ‎(в ‎один‏ ‎год).‏ ‎Операционный‏ ‎цикл ‎может‏ ‎быть ‎уменьшен‏ ‎решением ‎руководства‏ ‎компании.

Постоянное‏ ‎совершенствование ‎информационной‏ ‎безопасности

Анализ ‎процесса ‎обеспечения ‎информационной ‎безопасности‏ ‎в ‎конечном‏ ‎счёте‏ ‎направлен ‎на ‎его‏ ‎совершенствование. ‎Полученные‏ ‎результаты ‎следует ‎использовать ‎для‏ ‎оценки‏ ‎эффективности ‎и‏ ‎действенности ‎избранной‏ ‎стратегии ‎информационной ‎безопасности, ‎а ‎также‏ ‎для‏ ‎её ‎возможной‏ ‎корректировки. ‎Более‏ ‎того, ‎в ‎случае ‎изменения ‎целевых‏ ‎установок‏ ‎системы‏ ‎информационной ‎безопасности‏ ‎или ‎внешних‏ ‎условий, ‎данная‏ ‎стратегия‏ ‎также ‎подлежит‏ ‎пересмотру.

Ключевым ‎фактором ‎является ‎постоянное ‎стремление‏ ‎к ‎повышению‏ ‎результативности‏ ‎системы ‎обеспечения ‎информационной‏ ‎безопасности ‎путём‏ ‎анализа ‎её ‎текущих ‎характеристик‏ ‎и‏ ‎внесения ‎необходимых‏ ‎изменений. ‎Это‏ ‎позволяет ‎поддерживать ‎высокий ‎уровень ‎ОИБВОП‏ ‎в‏ ‎условиях ‎динамично‏ ‎меняющейся ‎среды.

Концепция‏ ‎информационной ‎безопасности ‎строится ‎на ‎соблюдении‏ ‎требований‏ ‎уровня‏ ‎ОИБВОП, ‎который‏ ‎закреплён ‎руководством‏ ‎компании ‎в‏ ‎Политике‏ ‎по ‎информационной‏ ‎безопасности ‎компании.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом ‎на‏ ‎основании‏ ‎статьи ‎1259 ‎ГК‏ ‎РФ.

Третьи ‎лица‏ ‎не ‎вправе ‎использовать ‎с‏ ‎целью‏ ‎создания ‎каких-либо‏ ‎средств ‎обработки‏ ‎представленной ‎информации ‎и ‎размещённых ‎на‏ ‎данной‏ ‎странице ‎результатов‏ ‎интеллектуальной ‎деятельности‏ ‎каким-либо ‎образом ‎без ‎письменного ‎согласия‏ ‎ООО‏ ‎«ЦифраБез».‏ ‎Распространение ‎настоящей‏ ‎информации ‎возможно‏ ‎только ‎при‏ ‎указании‏ ‎ссылки ‎на‏ ‎данную ‎страницу.

Использование ‎результатов ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое‏ ‎использование‏ ‎осуществляется ‎без ‎согласия‏ ‎ООО ‎«ЦифраБез»,‏ ‎является ‎незаконным ‎и ‎влечёт‏ ‎ответственность,‏ ‎установленную ‎действующим‏ ‎законодательством ‎РФ.

Процесс ‎обеспечения‏ ‎информационной ‎безопасности

Руководству ‎организации ‎следует ‎определять‏ ‎цели ‎обеспечения‏ ‎информационной‏ ‎безопасности ‎с ‎учётом‏ ‎всех ‎действующих‏ ‎нормативно-правовых ‎актов, ‎результатов ‎анализа‏ ‎внутренней‏ ‎и ‎внешней‏ ‎среды, ‎а‏ ‎также ‎ориентируясь ‎на ‎стратегические ‎бизнес-цели‏ ‎компании‏ ‎или ‎задачи‏ ‎государственного ‎учреждения.‏ ‎Руководство ‎также ‎должно ‎создавать ‎необходимые‏ ‎условия‏ ‎для‏ ‎реализации ‎данных‏ ‎целей. ‎Стратегия‏ ‎информационной ‎безопасности‏ ‎планирует‏ ‎методологию ‎внедрения‏ ‎непрерывного ‎процесса ‎управления ‎информационной ‎безопасностью.‏ ‎Эта ‎стратегия‏ ‎реализуется‏ ‎посредством ‎концепции ‎информационной‏ ‎безопасности ‎и‏ ‎организационной ‎структуры ‎управления ‎информационной‏ ‎безопасностью.‏ ‎В ‎дальнейшем‏ ‎для ‎каждой‏ ‎фазы ‎жизненного ‎цикла ‎будут ‎описаны‏ ‎соответствующие‏ ‎управленческие ‎шаги.

Планирование‏ ‎процесса

Определение ‎границ‏ ‎(рамок)

Обеспечение ‎информационной ‎безопасности ‎представляет ‎собой‏ ‎не‏ ‎самостоятельную‏ ‎цель, ‎а‏ ‎средство ‎для‏ ‎достижения ‎стратегических‏ ‎целей‏ ‎компании ‎и‏ ‎надёжного ‎выполнения ‎её ‎бизнес-процессов ‎или‏ ‎функциональных ‎задач.‏ ‎Для‏ ‎этого ‎руководству ‎организации‏ ‎необходимо ‎провести‏ ‎всесторонний ‎анализ ‎соответствующих ‎нормативно-правовых‏ ‎актов,‏ ‎сформулировать ‎и‏ ‎документально ‎закрепить‏ ‎цели ‎информационной ‎безопасности, ‎а ‎также‏ ‎разработать‏ ‎комплексную ‎стратегию‏ ‎их ‎достижения,‏ ‎и ‎реализовать ‎её ‎в ‎форме‏ ‎концепции‏ ‎(набора‏ ‎документов).

Процесс ‎определения‏ ‎нормативных ‎границ‏ ‎включает ‎в‏ ‎себя‏ ‎углублённый ‎анализ‏ ‎внешней ‎и ‎внутренней ‎среды ‎компании,‏ ‎выявление ‎и‏ ‎оценку‏ ‎требований ‎всех ‎заинтересованных‏ ‎сторон ‎—‏ ‎как ‎внутренних, ‎так ‎и‏ ‎внешних‏ ‎субъектов, ‎чьи‏ ‎интересы ‎связаны‏ ‎с ‎деятельностью ‎компании. ‎Данный ‎анализ‏ ‎призван‏ ‎учесть ‎их‏ ‎потребности ‎в‏ ‎области ‎информационной ‎безопасности, ‎потребности ‎к‏ ‎СУИБ,‏ ‎а‏ ‎также ‎законодательные‏ ‎и ‎регуляторные‏ ‎требования.

Определение ‎нормативно-правовых‏ ‎рамок‏ ‎является ‎ключевым‏ ‎исходным ‎этапом ‎для ‎дальнейшего ‎всестороннего‏ ‎анализа ‎и‏ ‎стратегического‏ ‎управления ‎информационной ‎безопасностью‏ ‎компании. ‎Данный‏ ‎процесс ‎позволяет ‎выявить ‎пробелы‏ ‎в‏ ‎защищаемой ‎информации,‏ ‎необходимой ‎для‏ ‎корректной ‎оценки ‎роли ‎информационной ‎безопасности‏ ‎для‏ ‎достижения ‎стратегических‏ ‎целей ‎компании.‏ ‎Кроме ‎того, ‎это ‎даёт ‎возможность‏ ‎провести‏ ‎первичное‏ ‎комплексное ‎самообследование‏ ‎(самоконтроль), ‎поскольку‏ ‎при ‎сборе‏ ‎сведений‏ ‎о ‎нормативно-правовых‏ ‎актах ‎уже ‎становится ‎очевидным, ‎где‏ ‎могут ‎возникать‏ ‎потенциальные‏ ‎противоречия ‎и ‎конфликты‏ ‎интересов, ‎а‏ ‎также ‎где, ‎возможно, ‎требуется‏ ‎принятие‏ ‎дополнительных ‎организационно-технических‏ ‎мер, ‎чтобы‏ ‎защитить ‎действительно ‎важную ‎информацию.

Таким ‎образом,‏ ‎определение‏ ‎нормативно-правовых ‎рамок‏ ‎является ‎важной‏ ‎основой ‎для ‎дальнейшей ‎разработки ‎и‏ ‎реализации‏ ‎комплексной‏ ‎системы ‎управления‏ ‎информационной ‎безопасностью‏ ‎в ‎соответствии‏ ‎со‏ ‎стратегическими ‎приоритетами‏ ‎компании ‎и ‎действующим ‎законодательством.

Формулирование ‎целей‏ ‎в ‎области‏ ‎информационной‏ ‎безопасности

Тщательная ‎постановка ‎целей‏ ‎информационной ‎безопасности‏ ‎является ‎краеугольным ‎камнем ‎при‏ ‎инициации‏ ‎любого ‎процесса‏ ‎её ‎обеспечения.‏ ‎Упущение ‎этого ‎ключевого ‎исходного ‎этапа‏ ‎сопряжено‏ ‎с ‎серьёзными‏ ‎рисками, ‎заключающимися‏ ‎в ‎разработке ‎стратегий ‎и ‎концепции‏ ‎информационной‏ ‎безопасности,‏ ‎не ‎отражающих‏ ‎действительных ‎требований‏ ‎и ‎приоритетов‏ ‎компании.

Концептуальное‏ ‎определение ‎и‏ ‎формулирование ‎целевых ‎ориентиров ‎информационной ‎безопасности‏ ‎на ‎начальном‏ ‎этапе‏ ‎имеет ‎принципиальное ‎значение,‏ ‎поскольку ‎позволяет‏ ‎обеспечить ‎точное ‎соответствие ‎и‏ ‎направленность‏ ‎последующих ‎мероприятий‏ ‎и ‎решений‏ ‎в ‎сфере ‎информационной ‎безопасности ‎реальным‏ ‎нуждам‏ ‎и ‎стратегическим‏ ‎задачам ‎компании.‏ ‎Отсутствие ‎такой ‎фундаментальной ‎основы ‎чревато‏ ‎опасностью‏ ‎игнорирования‏ ‎или ‎недооценки‏ ‎критически ‎важных‏ ‎аспектов ‎обеспечения‏ ‎информационной‏ ‎безопасности ‎в‏ ‎компании.

Следовательно, ‎исходя ‎из ‎фундаментальных ‎целей‏ ‎компании ‎и‏ ‎определённых‏ ‎границ, ‎необходимо ‎в‏ ‎первую ‎очередь‏ ‎сформулировать ‎общие ‎цели ‎информационной‏ ‎безопасности‏ ‎и ‎выработать‏ ‎стратегические ‎ориентиры‏ ‎относительно ‎путей ‎и ‎способов ‎реализации‏ ‎данных‏ ‎целей ‎в‏ ‎области ‎информационной‏ ‎безопасности. ‎При ‎разработке ‎стратегии ‎информационной‏ ‎безопасности‏ ‎должны‏ ‎быть ‎приняты‏ ‎во ‎внимание‏ ‎как ‎минимум‏ ‎следующие‏ ‎ключевые ‎направления:

• цели‏ ‎и ‎задачи ‎компании ‎либо ‎обязанности‏ ‎государственного ‎учреждения;
• законодательные‏ ‎требования‏ ‎и ‎нормативные ‎акты;
• требования‏ ‎клиентов ‎и‏ ‎существующие ‎договоры ‎(соглашения);
• внутренняя ‎структура‏ ‎и‏ ‎анализ ‎среды;
• имеющиеся‏ ‎бизнес-процессы ‎и‏ ‎задачи;
• глобальные ‎угрозы ‎для ‎бизнеса, ‎связанные‏ ‎с‏ ‎рисками ‎информационной‏ ‎безопасности ‎(анализы‏ ‎результатов ‎аудитов ‎и ‎оценок ‎рисков).

Основные‏ ‎положения‏ ‎стратегии‏ ‎безопасности ‎изложены‏ ‎в ‎Политике‏ ‎информационной ‎безопасности.‏ ‎Она‏ ‎должна ‎содержать‏ ‎как ‎минимум ‎утверждения ‎по ‎следующим‏ ‎вопросам:

• значимость ‎информационной‏ ‎безопасности‏ ‎и ‎важность ‎защищаемой‏ ‎информации, ‎бизнес-процессов‏ ‎и ‎ИТ-инфраструктуры ‎для ‎выполнения‏ ‎компанией‏ ‎своих ‎задач;
• взаимосвязь‏ ‎целей ‎информационной‏ ‎безопасности ‎с ‎бизнес-целями ‎или ‎задачами‏ ‎компании;
• цели‏ ‎безопасности ‎и‏ ‎ключевые ‎элементы‏ ‎стратегии ‎безопасности ‎для ‎бизнес-процессов ‎и‏ ‎используемых‏ ‎ИТ-систем;
• гарантия‏ ‎того, ‎что‏ ‎руководство ‎компании‏ ‎будет ‎обеспечивать‏ ‎реализацию‏ ‎Политики ‎информационной‏ ‎безопасности, ‎а ‎также ‎ключевые ‎положения‏ ‎относительно ‎контроля‏ ‎эффективности;
• описание‏ ‎организационной ‎структуры, ‎которая‏ ‎была ‎создана‏ ‎(должна ‎быть ‎создана) ‎для‏ ‎реализации‏ ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности.

Дополнительно‏ ‎в ‎стратегии ‎информационной ‎безопасности ‎могут‏ ‎быть‏ ‎включены ‎следующие‏ ‎ключевые ‎элементы:

• целесообразно‏ ‎провести ‎анализ ‎наиболее ‎значимых ‎угроз‏ ‎для‏ ‎критических‏ ‎бизнес-процессов ‎компании,‏ ‎а ‎также‏ ‎рассмотреть ‎ключевые‏ ‎нормативно-правовые‏ ‎требования ‎и‏ ‎другие ‎важные ‎регуляторные ‎рамки ‎(например,‏ ‎положения ‎договоров‏ ‎и‏ ‎соглашений);
• определение ‎основных ‎задач‏ ‎и ‎зон‏ ‎ответственности ‎в ‎процессе ‎управления‏ ‎информационной‏ ‎безопасностью. ‎В‏ ‎частности, ‎следует‏ ‎детально ‎проработать ‎роли ‎и ‎функциональные‏ ‎обязанности‏ ‎ИБ-менеджмента, ‎ИБ-ответственного,‏ ‎рядовых ‎сотрудников‏ ‎и ‎ИТ-подразделения, ‎опираясь ‎на ‎настоящие‏ ‎рекомендации.‏ ‎Кроме‏ ‎того, ‎необходимо‏ ‎определить ‎должностных‏ ‎лиц, ‎которые‏ ‎будут‏ ‎выступать ‎в‏ ‎качестве ‎точек ‎входа ‎по ‎вопросам‏ ‎информационной ‎безопасности;
• разработка‏ ‎комплексной‏ ‎программы ‎по ‎повышению‏ ‎осведомлённости ‎и‏ ‎обучению ‎персонала ‎в ‎области‏ ‎информационной‏ ‎безопасности. ‎Данный‏ ‎элемент ‎стратегии‏ ‎должен ‎основываться ‎на ‎современных ‎образовательных‏ ‎методиках‏ ‎и ‎передовом‏ ‎опыте;

Данный ‎подход‏ ‎позволит ‎сформировать ‎теоретически ‎обоснованную, ‎системную‏ ‎основу‏ ‎для‏ ‎эффективной ‎разработки‏ ‎и ‎внедрения‏ ‎стратегии ‎информационной‏ ‎безопасности‏ ‎компании.

Определение ‎адекватного‏ ‎уровня ‎обеспечения ‎информационной ‎безопасности ‎в‏ ‎выбранной ‎области‏ ‎применения

Для‏ ‎более ‎чёткого ‎определения‏ ‎целей ‎обеспечения‏ ‎информационной ‎безопасности ‎целесообразно ‎систематизировать‏ ‎требуемые‏ ‎уровни ‎защищённости‏ ‎отдельных, ‎наиболее‏ ‎значимых ‎бизнес-процессов ‎или ‎функциональных ‎областей‏ ‎компании‏ ‎в ‎разрезе‏ ‎ключевых ‎принципов‏ ‎информационной ‎безопасности ‎(конфиденциальности, ‎целостности, ‎доступности).‏ ‎Данный‏ ‎подход‏ ‎позволит ‎сформировать‏ ‎более ‎обоснованную‏ ‎основу ‎для‏ ‎последующей‏ ‎детальной ‎разработки‏ ‎концепции ‎информационной ‎безопасности.

Такая ‎детализация ‎ожидаемых‏ ‎показателей ‎информационной‏ ‎безопасности‏ ‎для ‎приоритетных ‎сфер‏ ‎деятельности ‎компании‏ ‎обеспечит ‎более ‎чёткое ‎понимание‏ ‎стратегических‏ ‎целей ‎информационной‏ ‎безопасности ‎всеми‏ ‎заинтересованными ‎сторонами. ‎Это, ‎в ‎свою‏ ‎очередь,‏ ‎повысит ‎эффективность‏ ‎процесса ‎формулирования‏ ‎комплексной ‎концепции ‎информационной ‎безопасности ‎и‏ ‎последующей‏ ‎её‏ ‎реализации.

Уровень ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎в ‎выбранной‏ ‎области‏ ‎применения ‎должен‏ ‎соответствовать ‎уровню, ‎который ‎компания ‎желает‏ ‎достигнуть ‎за‏ ‎период‏ ‎не ‎более ‎трёх‏ ‎лет ‎(стратегический‏ ‎цикл). ‎Этот ‎уровень ‎определяется‏ ‎в‏ ‎баллах ‎и‏ ‎он ‎обязательно‏ ‎декларируется ‎в ‎Политике ‎по ‎информационной‏ ‎безопасности‏ ‎компании.

Уровень ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎в ‎выбранной ‎области ‎применения ‎(уровень‏ ‎ОИБВОП)‏ ‎может‏ ‎быть ‎распространён‏ ‎на ‎всю‏ ‎организацию ‎в‏ ‎целом‏ ‎либо ‎на‏ ‎какой-то ‎конкретный ‎объект ‎информатизации, ‎информационную‏ ‎систему, ‎бизнес-процесс‏ ‎(в‏ ‎настоящих ‎рекомендациях ‎—‏ ‎информационный ‎комплекс).‏ ‎Информационный ‎комплекс ‎должен ‎быть‏ ‎документально‏ ‎зафиксирован ‎руководством‏ ‎компании, ‎особенно‏ ‎на ‎начальном ‎этапе ‎построения ‎СУИБ.‏ ‎Всё‏ ‎это ‎официально‏ ‎провозглашается ‎руководством‏ ‎компании ‎в ‎Политике ‎по ‎информационной‏ ‎безопасности‏ ‎организации.

Определение‏ ‎области ‎применения

Определение‏ ‎области ‎применения‏ ‎СУИБ ‎является‏ ‎ключевым‏ ‎этапом ‎её‏ ‎внедрения. ‎Данная ‎область ‎может ‎охватывать‏ ‎весь ‎спектр‏ ‎деятельности‏ ‎компании ‎либо ‎фокусироваться‏ ‎на ‎отдельных‏ ‎бизнес-процессах, ‎функциональных ‎задачах ‎или‏ ‎организационных‏ ‎подразделениях.

Важным ‎критерием‏ ‎при ‎выборе‏ ‎области ‎применения ‎является ‎её ‎целостность‏ ‎и‏ ‎завершённость. ‎Необходимо,‏ ‎чтобы ‎все‏ ‎существенные ‎компоненты ‎и ‎этапы ‎рассматриваемых‏ ‎бизнес-процессов‏ ‎находились‏ ‎в ‎пределах‏ ‎выбранной ‎области,‏ ‎без ‎«выпадения»‏ ‎значимых‏ ‎частей ‎за‏ ‎её ‎границы.

Область ‎применения ‎СУИБ ‎включает‏ ‎в ‎себя‏ ‎не‏ ‎только ‎информационные ‎активы,‏ ‎но ‎и‏ ‎всю ‎сопутствующую ‎инфраструктуру, ‎организационные‏ ‎аспекты,‏ ‎финансовые ‎и‏ ‎кадровые ‎ресурсы.

Для‏ ‎начального ‎и ‎базового ‎уровней ‎ОИБВОП,‏ ‎рекомендуется‏ ‎выбирать ‎область,‏ ‎которая ‎охватывает‏ ‎всю ‎организацию. ‎В ‎то ‎же‏ ‎время‏ ‎при‏ ‎обеспечении ‎защиты‏ ‎ключевых ‎(критических)‏ ‎объектов ‎внимание‏ ‎сосредотачивается‏ ‎на ‎наиболее‏ ‎критичных ‎с ‎точки ‎зрения ‎бизнеса‏ ‎активах ‎(«корпоративных‏ ‎ценностях»)‏ ‎и ‎для ‎таких‏ ‎активов ‎уровень‏ ‎ОИБВОП ‎должен ‎быть ‎выше‏ ‎как‏ ‎минимум ‎на‏ ‎один ‎уровень.

Для‏ ‎соответствия ‎требованиям ‎законодательства ‎в ‎области‏ ‎информационной‏ ‎безопасности ‎следует‏ ‎выбирать ‎не‏ ‎менее ‎третьего ‎уровня ‎ОИБВОП.

До ‎третьего‏ ‎уровня‏ ‎ОИБВОП‏ ‎в ‎организации‏ ‎СУИБ ‎строиться,‏ ‎а ‎после‏ ‎третьего‏ ‎— ‎совершенствуется.

Создание‏ ‎организационной ‎структуры

Планирование ‎и ‎внедрение ‎процесса‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎предполагает ‎определение ‎организационной‏ ‎структуры ‎(например,‏ ‎подразделений) ‎и ‎установление ‎ролей,‏ ‎функций.‏ ‎Персональная ‎конфигурация‏ ‎зависит ‎от‏ ‎масштаба ‎конкретной ‎компании ‎и ‎имеющихся‏ ‎у‏ ‎неё ‎ресурсов,‏ ‎а ‎также‏ ‎выбранного ‎уровня ‎ОИБВОП. ‎Планирование ‎ресурсов‏ ‎для‏ ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎должно ‎осуществляться‏ ‎таким ‎образом,‏ ‎чтобы‏ ‎обеспечивалось ‎достижение‏ ‎реализации ‎выбранных ‎требований.

Ключевые ‎аспекты ‎для‏ ‎определения ‎организационной‏ ‎структуры:

• определение‏ ‎организационных ‎структур, ‎ролей,‏ ‎функций;
• множественные ‎варианты‏ ‎организационной ‎структуры ‎управления ‎ИБ;
• персональная‏ ‎конфигурация‏ ‎зависит ‎от‏ ‎масштаба, ‎ресурсов‏ ‎и ‎целевого ‎уровня ‎ОИБВОП;
• планирование ‎ресурсов‏ ‎должно‏ ‎гарантировать ‎достижение‏ ‎согласованного ‎уровня‏ ‎ОИБВОП.

При ‎определении ‎роли ‎в ‎рамках‏ ‎системы‏ ‎управления‏ ‎информационной ‎безопасностью‏ ‎необходимо ‎руководствоваться‏ ‎следующими ‎базовыми‏ ‎принципами:

• общая‏ ‎ответственность ‎за‏ ‎обеспечение ‎информационной ‎безопасности ‎компании ‎и‏ ‎её ‎организацию‏ ‎сохраняется‏ ‎на ‎уровне ‎высшего‏ ‎руководства ‎(согласно‏ ‎положениям ‎учредительных ‎документов);
• обязательным ‎требованием‏ ‎является‏ ‎назначение ‎как‏ ‎минимум ‎одного‏ ‎лица, ‎на ‎которое ‎возлагается ‎задача‏ ‎по‏ ‎содействию ‎и‏ ‎координации ‎процессов‏ ‎обеспечения ‎информационной ‎безопасности, ‎зачастую ‎именуемого‏ ‎заместитель‏ ‎руководителя‏ ‎компании ‎по‏ ‎информационной ‎безопасности‏ ‎либо ‎директор‏ ‎по‏ ‎информационной ‎безопасности‏ ‎(в ‎настоящих ‎рекомендациях ‎— ‎уполномоченный‏ ‎по ‎информационной‏ ‎безопасности‏ ‎(УИБ));
• обязательно ‎за ‎внедрение‏ ‎и ‎исполнение‏ ‎каждого ‎требования ‎назначается ‎ответственное‏ ‎должностное‏ ‎лицо ‎и‏ ‎при ‎необходимости,‏ ‎дополнительно ‎другие ‎лица. ‎При ‎этом‏ ‎ответственность‏ ‎за ‎внедрение‏ ‎и ‎исполнение‏ ‎требования ‎остаётся ‎только ‎на ‎первом‏ ‎определённом‏ ‎должностном‏ ‎лице, ‎имеющем‏ ‎права ‎и‏ ‎полномочия ‎по‏ ‎распределению‏ ‎ресурсов ‎и‏ ‎принятию ‎управленческих ‎решений;
• каждый ‎в ‎компании‏ ‎в ‎равной‏ ‎степени‏ ‎несёт ‎ответственность ‎как‏ ‎за ‎выполнение‏ ‎своих ‎непосредственных ‎должностных ‎обязанностей,‏ ‎так‏ ‎и ‎за‏ ‎поддержание ‎надлежащего‏ ‎уровня ‎ОИБВОП, ‎уровня ‎защищённости ‎информационных‏ ‎активов,‏ ‎уровня ‎зрелости‏ ‎требований ‎на‏ ‎своём ‎рабочем ‎месте ‎и ‎в‏ ‎своём‏ ‎окружении;
• для‏ ‎обеспечения ‎прямого‏ ‎канала ‎коммуникации‏ ‎с ‎высшим‏ ‎руководством‏ ‎компании ‎целесообразно‏ ‎организовывать ‎позицию ‎УИБ ‎на ‎уровне‏ ‎руководства ‎компании‏ ‎либо‏ ‎как ‎минимум ‎подчинить‏ ‎напрямую ‎высшему‏ ‎руководству ‎компании. ‎На ‎уровне‏ ‎руководства,‏ ‎ответственность ‎за‏ ‎задачи ‎информационной‏ ‎безопасности ‎должна ‎быть ‎чётко ‎закреплена‏ ‎за‏ ‎конкретным ‎подразделением‏ ‎(отдельным ‎выделенным‏ ‎специалистом), ‎которое ‎подчиняется ‎УИБ.

Для ‎каждого‏ ‎требования‏ ‎уровня‏ ‎ОИБВОП ‎должно‏ ‎быть ‎назначено‏ ‎одно ‎основное‏ ‎ответственное‏ ‎должностное ‎лицо‏ ‎из ‎числа ‎руководителей ‎соответствующих ‎подразделений‏ ‎(либо ‎отдельный‏ ‎сотрудник).‏ ‎Наряду ‎с ‎основным‏ ‎ответственным ‎лицом,‏ ‎могут ‎быть ‎определены ‎дополнительные‏ ‎ответственные‏ ‎сотрудники ‎из‏ ‎других ‎профильных‏ ‎подразделений ‎(сотрудников).

В ‎случае, ‎если ‎для‏ ‎реализации‏ ‎конкретного ‎требования‏ ‎первостепенное ‎значение‏ ‎имеет ‎ответственность ‎сотрудника ‎из ‎одного‏ ‎дополнительного‏ ‎подразделения‏ ‎либо ‎подразделений,‏ ‎то ‎данное‏ ‎подразделение ‎следует‏ ‎сделать‏ ‎основным ‎ответственным‏ ‎лицом ‎за ‎такое ‎требование, ‎а‏ ‎остальных ‎—‏ ‎дополнительные‏ ‎ответственные ‎лица.

Использование ‎единственного‏ ‎или ‎множественного‏ ‎числа ‎при ‎описании ‎ответственных‏ ‎должностных‏ ‎лиц ‎не‏ ‎влияет ‎на‏ ‎количество ‎сотрудников, ‎осуществляющих ‎соответствующие ‎обязанности.‏ ‎Одно‏ ‎должностное ‎лицо‏ ‎может ‎быть‏ ‎закреплено ‎за ‎одним ‎или ‎несколькими‏ ‎исполнителями‏ ‎в‏ ‎зависимости ‎от‏ ‎организационной ‎структуры‏ ‎и ‎распределения‏ ‎функциональных‏ ‎обязанностей.

Внимание! ‎Материал‏ ‎охраняется ‎авторским ‎правом ‎на ‎основании‏ ‎статьи ‎1259‏ ‎ГК‏ ‎РФ.

Третьи ‎лица ‎не‏ ‎вправе ‎использовать‏ ‎с ‎целью ‎создания ‎каких-либо‏ ‎средств‏ ‎обработки ‎представленной‏ ‎информации ‎и‏ ‎размещённых ‎на ‎данной ‎странице ‎результатов‏ ‎интеллектуальной‏ ‎деятельности ‎каким-либо‏ ‎образом ‎без‏ ‎письменного ‎согласия ‎ООО ‎«ЦифраБез». ‎Распространение‏ ‎настоящей‏ ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании‏ ‎ссылки ‎на‏ ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной ‎деятельности, ‎если ‎такое ‎использование‏ ‎осуществляется ‎без‏ ‎согласия‏ ‎ООО ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и‏ ‎влечёт ‎ответственность, ‎установленную ‎действующим‏ ‎законодательством‏ ‎РФ.

Вовлечение ‎сотрудников

Обеспечение‏ ‎информационной ‎безопасности ‎является ‎всеобъемлющим ‎вопросом,‏ ‎затрагивающим ‎каждого‏ ‎сотрудника‏ ‎компании. ‎Ключевую ‎роль‏ ‎в ‎этом‏ ‎процессе ‎играет ‎индивидуальная ‎ответственность‏ ‎и‏ ‎компетентность ‎каждого‏ ‎сотрудника, ‎способного‏ ‎предотвратить ‎потенциальный ‎ущерб ‎и ‎способствовать‏ ‎достижению‏ ‎организационных ‎целей.‏ ‎Поэтому, ‎повышение‏ ‎осведомлённости ‎персонала ‎об ‎информационной ‎безопасности‏ ‎и‏ ‎проведение‏ ‎соответствующих ‎тренингов‏ ‎для ‎всех‏ ‎категорий ‎сотрудников,‏ ‎включая‏ ‎руководящий ‎состав,‏ ‎являются ‎фундаментальными ‎предпосылками ‎эффективного ‎управления‏ ‎информационной ‎безопасностью.‏ ‎Для‏ ‎успешной ‎реализации ‎мер‏ ‎безопасности ‎необходимо‏ ‎наличие ‎у ‎сотрудников ‎базовых‏ ‎знаний,‏ ‎включающих ‎не‏ ‎только ‎навыки‏ ‎использования ‎механизмов ‎защиты, ‎но ‎и‏ ‎понимание‏ ‎целесообразности ‎и‏ ‎назначения ‎применяемых‏ ‎средств ‎для ‎безопасности. ‎Более ‎того,‏ ‎организационный‏ ‎климат‏ ‎(внутренняя ‎среда‏ ‎в ‎компании),‏ ‎разделяемые ‎ценности‏ ‎и‏ ‎вовлечённость ‎персонала‏ ‎также ‎оказывают ‎решающее ‎влияние ‎на‏ ‎состояние ‎информационной‏ ‎безопасности‏ ‎компании ‎в ‎целом.

При‏ ‎приёме ‎на‏ ‎работу ‎новых ‎сотрудников ‎или‏ ‎при‏ ‎перераспределении ‎должностных‏ ‎обязанностей ‎персонала‏ ‎крайне ‎важно ‎обеспечить ‎всестороннее ‎ознакомление‏ ‎и,‏ ‎при ‎необходимости,‏ ‎надлежащую ‎подготовку.‏ ‎В ‎этом ‎процессе ‎следует ‎уделять‏ ‎особое‏ ‎внимание‏ ‎информированию ‎о‏ ‎ключевых ‎аспектах‏ ‎безопасности, ‎связанных‏ ‎с‏ ‎конкретным ‎рабочим‏ ‎местом. ‎Когда ‎сотрудники ‎покидают ‎компанию‏ ‎или ‎их‏ ‎функциональные‏ ‎обязанности ‎претерпевают ‎изменения,‏ ‎данный ‎переходный‏ ‎период ‎должен ‎сопровождаться ‎применением‏ ‎соответствующих‏ ‎мер ‎защиты,‏ ‎таких ‎как‏ ‎отзыв ‎полномочий ‎доступа, ‎возврат ‎ключей,‏ ‎пропусков,‏ ‎документов ‎и‏ ‎прочих ‎материальных‏ ‎ценностей.

Сотрудники ‎компании ‎должны ‎неукоснительно ‎соблюдать‏ ‎все‏ ‎законодательные‏ ‎требования, ‎нормативные‏ ‎акты ‎и‏ ‎правила, ‎действующие‏ ‎в‏ ‎соответствующей ‎сфере‏ ‎деятельности ‎компании. ‎Для ‎этого ‎необходимо‏ ‎тщательно ‎ознакомить‏ ‎персонал‏ ‎с ‎существующими ‎регламентами‏ ‎по ‎обеспечению‏ ‎информационной ‎безопасности ‎и ‎одновременно‏ ‎стимулировать‏ ‎мотивацию ‎к‏ ‎их ‎соблюдению.‏ ‎Кроме ‎того, ‎сотрудники ‎должны ‎быть‏ ‎оповещены,‏ ‎что ‎любой‏ ‎выявленный ‎(или‏ ‎предполагаемый) ‎инцидент, ‎связанный ‎с ‎нарушением‏ ‎безопасности,‏ ‎подлежит‏ ‎незамедлительному ‎информированию‏ ‎службы ‎безопасности,‏ ‎с ‎указанием‏ ‎установленного‏ ‎порядка ‎и‏ ‎адресатов ‎для ‎таких ‎сообщений. ‎Вся‏ ‎эта ‎информация‏ ‎должна‏ ‎быть ‎на ‎внутреннем‏ ‎информационном ‎ресурсе‏ ‎по ‎информационной ‎безопасности ‎в‏ ‎компании.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании ‎статьи ‎1259 ‎ГК‏ ‎РФ.

Третьи‏ ‎лица ‎не‏ ‎вправе ‎использовать‏ ‎с ‎целью ‎создания ‎каких-либо ‎средств‏ ‎обработки‏ ‎представленной‏ ‎информации ‎и‏ ‎размещённых ‎на‏ ‎данной ‎странице‏ ‎результатов‏ ‎интеллектуальной ‎деятельности‏ ‎каким-либо ‎образом ‎без ‎письменного ‎согласия‏ ‎ООО ‎«ЦифраБез».‏ ‎Распространение‏ ‎настоящей ‎информации ‎возможно‏ ‎только ‎при‏ ‎указании ‎ссылки ‎на ‎данную‏ ‎страницу.

Использование‏ ‎результатов ‎интеллектуальной‏ ‎деятельности, ‎если‏ ‎такое ‎использование ‎осуществляется ‎без ‎согласия‏ ‎ООО‏ ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и‏ ‎влечёт ‎ответственность, ‎установленную ‎действующим ‎законодательством‏ ‎РФ.

Обеспечение ‎ресурсами

Обеспечение‏ ‎требуемого ‎уровня ‎ОИБВОП ‎неизменно ‎сопряжено‏ ‎с ‎необходимостью‏ ‎выделения‏ ‎финансовых, ‎кадровых ‎и‏ ‎временных ‎ресурсов,‏ ‎которые ‎руководство ‎компании ‎должно‏ ‎предоставлять‏ ‎в ‎достаточном‏ ‎объёме. ‎В‏ ‎ситуации, ‎когда ‎поставленные ‎цели ‎не‏ ‎могут‏ ‎быть ‎достигнуты‏ ‎вследствие ‎нехватки‏ ‎необходимых ‎ресурсов, ‎ответственность ‎за ‎это‏ ‎лежит‏ ‎не‏ ‎на ‎исполнителях,‏ ‎а ‎на‏ ‎руководителях, ‎установивших‏ ‎нереалистичные‏ ‎цели ‎(задачи)‏ ‎или ‎не ‎обеспечивших ‎исполнителей ‎соответствующими‏ ‎ресурсами.

Во ‎избежание‏ ‎срыва‏ ‎намеченных ‎целей ‎крайне‏ ‎важно ‎уже‏ ‎на ‎этапе ‎их ‎планирования‏ ‎провести‏ ‎первичную ‎оценку‏ ‎предполагаемых ‎затрат‏ ‎и ‎ожидаемых ‎результатов. ‎На ‎протяжении‏ ‎всего‏ ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎данный ‎аспект ‎должен ‎оставаться ‎ключевым,‏ ‎с‏ ‎одной‏ ‎стороны, ‎для‏ ‎предотвращения ‎расточительного‏ ‎использования ‎ресурсов,‏ ‎с‏ ‎другой ‎—‏ ‎для ‎гарантии ‎осуществления ‎необходимых ‎инвестиций,‏ ‎направленных ‎на‏ ‎достижение‏ ‎соответствующего ‎уровня ‎ОИБВОП.

Техническое‏ ‎обеспечение ‎информационной‏ ‎безопасности ‎зачастую ‎рассматривается ‎в‏ ‎качестве‏ ‎единственного ‎и‏ ‎достаточного ‎решения.‏ ‎Однако ‎данный ‎подход ‎является ‎чрезмерно‏ ‎упрощённым.‏ ‎Представляется ‎целесообразным‏ ‎использование ‎более‏ ‎широкого ‎понятия ‎«информационная ‎безопасность» ‎вместо‏ ‎узкого‏ ‎термина‏ ‎«ИТ-безопасность ‎(кибербезопасность)».

Особенно‏ ‎важно ‎отметить,‏ ‎что ‎инвестиции‏ ‎в‏ ‎человеческие ‎ресурсы‏ ‎нередко ‎оказываются ‎более ‎эффективными, ‎нежели‏ ‎вложения ‎в‏ ‎технические‏ ‎средства ‎защиты. ‎Сама‏ ‎по ‎себе‏ ‎техника ‎не ‎в ‎состоянии‏ ‎решить‏ ‎проблемы ‎информационной‏ ‎безопасности, ‎она‏ ‎должна ‎быть ‎органично ‎интегрирована ‎в‏ ‎соответствующие‏ ‎организационные ‎процессы‏ ‎и ‎структуры.

Кроме‏ ‎того, ‎оценка ‎результативности ‎и ‎применимости‏ ‎мер‏ ‎информационной‏ ‎безопасности ‎также‏ ‎требует ‎выделения‏ ‎достаточного ‎объёма‏ ‎ресурсов.‏ ‎Таким ‎образом,‏ ‎для ‎обеспечения ‎эффективной ‎информационной ‎безопасности‏ ‎необходим ‎комплексный‏ ‎подход,‏ ‎сочетающий ‎технические, ‎организационные‏ ‎и ‎ресурсные‏ ‎компоненты.

Недостаток ‎временных ‎ресурсов ‎является‏ ‎распространённой‏ ‎проблемой ‎у‏ ‎штатных ‎специалистов‏ ‎по ‎информационной ‎безопасности ‎в ‎компаниях.‏ ‎Зачастую‏ ‎им ‎не‏ ‎хватает ‎времени‏ ‎для ‎всестороннего ‎анализа ‎всех ‎факторов,‏ ‎влияющих‏ ‎на‏ ‎информационную ‎безопасность,‏ ‎включая ‎нормативно-правовые‏ ‎требования ‎и‏ ‎решение‏ ‎технических ‎вопросов.‏ ‎Кроме ‎того, ‎у ‎них ‎могут‏ ‎отсутствовать ‎необходимые‏ ‎фундаментальные‏ ‎знания ‎в ‎данной‏ ‎области. ‎В‏ ‎таких ‎случаях ‎целесообразно ‎привлекать‏ ‎внешних‏ ‎экспертов ‎для‏ ‎решения ‎вопросов‏ ‎и ‎проблем, ‎которые ‎не ‎могут‏ ‎быть‏ ‎разрешены ‎внутренними‏ ‎ресурсами. ‎Данное‏ ‎решение ‎должно ‎быть ‎документировано ‎штатными‏ ‎специалистами,‏ ‎чтобы‏ ‎руководство ‎могло‏ ‎выделить ‎на‏ ‎это ‎соответствующие‏ ‎ресурсы‏ ‎и ‎принять‏ ‎грамотное ‎управленческое ‎решение.

Эффективное ‎функционирование ‎информационных‏ ‎систем ‎является‏ ‎базовым‏ ‎условием ‎для ‎обеспечения‏ ‎их ‎безопасности.‏ ‎Для ‎этого ‎необходимо ‎наличие‏ ‎достаточных‏ ‎ресурсов ‎чтобы‏ ‎грамотно ‎обеспечивать‏ ‎их ‎техническую ‎эксплуатацию. ‎Типичные ‎проблемы‏ ‎эксплуатации,‏ ‎такие ‎как‏ ‎нехватка ‎ресурсов,‏ ‎перегруженность ‎специалистов ‎или ‎неструктурированная ‎и‏ ‎плохо‏ ‎обслуживаемая‏ ‎ИТ-инфраструктура, ‎как‏ ‎правило, ‎должны‏ ‎быть ‎решены‏ ‎в‏ ‎первую ‎очередь,‏ ‎чтобы ‎меры ‎защиты ‎могли ‎быть‏ ‎эффективно ‎и‏ ‎результативно‏ ‎внедрены ‎и ‎полностью‏ ‎исполнили ‎то,‏ ‎ради ‎чего ‎они ‎были‏ ‎задуманы.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании ‎статьи ‎1259 ‎ГК‏ ‎РФ.

Использование ‎доступных‏ ‎источников ‎информации

Обеспечение ‎информационной ‎безопасности ‎является‏ ‎сложной ‎комплексной‏ ‎темой,‏ ‎требующей ‎всестороннего ‎изучения‏ ‎и ‎глубокого‏ ‎понимания ‎со ‎стороны ‎ответственных‏ ‎специалистов.‏ ‎К ‎счастью,‏ ‎в ‎распоряжении‏ ‎исследователей ‎и ‎практиков ‎имеется ‎широкий‏ ‎спектр‏ ‎доступных ‎информационных‏ ‎ресурсов, ‎которые‏ ‎могут ‎быть ‎задействованы ‎для ‎углубления‏ ‎знаний‏ ‎в‏ ‎данной ‎предметной‏ ‎области. ‎Эти‏ ‎ресурсы ‎включают‏ ‎в‏ ‎себя ‎нормативно-правовые‏ ‎акты ‎и ‎отраслевые ‎стандарты, ‎материалы‏ ‎сети ‎Интернет,‏ ‎а‏ ‎также ‎специализированную ‎научную‏ ‎и ‎профессиональную‏ ‎литературу. ‎Кроме ‎того, ‎важную‏ ‎роль‏ ‎играет ‎сетевое‏ ‎взаимодействие ‎с‏ ‎профильными ‎ассоциациями, ‎партнёрскими ‎организациями, ‎экспертными‏ ‎сообществами,‏ ‎государственными ‎органами.‏ ‎Такое ‎сотрудничество‏ ‎позволяет ‎осуществлять ‎эффективный ‎обмен ‎передовым‏ ‎опытом‏ ‎и‏ ‎актуальной ‎информацией‏ ‎в ‎сфере‏ ‎обеспечения ‎информационной‏ ‎безопасности.

В‏ ‎компании ‎должна‏ ‎быть ‎создана ‎внутренняя ‎база ‎знаний‏ ‎для ‎специалистов‏ ‎по‏ ‎информационной ‎безопасности, ‎где‏ ‎указываются ‎доступные‏ ‎источники ‎и ‎собирается ‎нарабатываемый‏ ‎со‏ ‎временем ‎опыт.

Управленческий‏ ‎анализ

Руководство ‎компании‏ ‎должно ‎регулярно ‎проводить ‎управленческий ‎анализ‏ ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎При‏ ‎необходимости, ‎например, ‎при ‎участившихся ‎инцидентах‏ ‎или‏ ‎существенном‏ ‎изменении ‎внешних‏ ‎условий, ‎такие‏ ‎оценки ‎следует‏ ‎выполнять‏ ‎и ‎вне‏ ‎плановых ‎сроков. ‎Все ‎результаты ‎и‏ ‎принятые ‎решения‏ ‎подлежат‏ ‎документированию.

Ключевые ‎вопросы ‎для‏ ‎рассмотрения ‎в‏ ‎рамках ‎управленческого ‎анализа:

• Изменились ‎ли‏ ‎факторы,‏ ‎определяющие ‎подход‏ ‎к ‎обеспечению‏ ‎информационной ‎безопасности?
• Остаются ‎ли ‎цели ‎информационной‏ ‎безопасности‏ ‎актуальными ‎и‏ ‎адекватными?
• Соответствует ‎ли‏ ‎политика ‎информационной ‎безопасности ‎современным ‎реалиям‏ ‎компании‏ ‎и‏ ‎законодательным ‎требованиям?

Акцент‏ ‎при ‎оценке‏ ‎эффективности ‎процесса‏ ‎информационной‏ ‎безопасности ‎делается‏ ‎не ‎на ‎проверке ‎отдельных ‎мер‏ ‎безопасности, ‎а‏ ‎на‏ ‎комплексном ‎анализе. ‎Например,‏ ‎безопасная ‎эксплуатация‏ ‎интернет-портала ‎может ‎оказаться ‎слишком‏ ‎затратной‏ ‎для ‎небольшой‏ ‎компании, ‎что‏ ‎может ‎послужить ‎основанием ‎для ‎передачи‏ ‎управления‏ ‎порталом ‎внешнему‏ ‎поставщику ‎услуг.

Кроме‏ ‎того, ‎целесообразно ‎проанализировать, ‎насколько ‎зарекомендовала‏ ‎себя‏ ‎организация‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎Если‏ ‎будет ‎установлено,‏ ‎что‏ ‎меры ‎безопасности‏ ‎неэффективны ‎или ‎чрезмерно ‎затраты, ‎это‏ ‎может ‎послужить‏ ‎основанием‏ ‎для ‎пересмотра ‎и‏ ‎адаптации ‎всей‏ ‎стратегии ‎информационной ‎безопасности ‎компании.‏ ‎При‏ ‎этом ‎руководству‏ ‎следует ‎ответить‏ ‎на ‎следующие ‎вопросы:

• Является ‎ли ‎стратегия‏ ‎информационной‏ ‎безопасности ‎по-прежнему‏ ‎адекватной?
• Соответствует ‎ли‏ ‎концепция ‎информационной ‎безопасности ‎целям ‎компании,‏ ‎в‏ ‎том‏ ‎числе ‎законодательным‏ ‎требованиям?
• Обеспечивает ‎ли‏ ‎существующая ‎организация‏ ‎информационной‏ ‎безопасности ‎эффективную‏ ‎реализацию ‎целей?
• Не ‎требуется ‎ли ‎усиление‏ ‎её ‎статуса‏ ‎или‏ ‎более ‎тесная ‎интеграция‏ ‎в ‎бизнес-процессы?
• Являются‏ ‎ли ‎затраты ‎на ‎обеспечение‏ ‎информационной‏ ‎безопасности ‎оправданными‏ ‎и ‎соразмерными?

Корректирующие‏ ‎меры

Результаты ‎оценки ‎эффективности ‎должны ‎систематически‏ ‎применяться‏ ‎для ‎реализации‏ ‎соответствующих ‎корректирующих‏ ‎мер. ‎Это ‎может ‎подразумевать ‎необходимость‏ ‎модификации‏ ‎целей‏ ‎информационной ‎безопасности,‏ ‎стратегии ‎и/или‏ ‎концепции, ‎а‏ ‎также‏ ‎адаптации ‎организационной‏ ‎структуры ‎к ‎изменившимся ‎требованиям. ‎В‏ ‎ряде ‎случаев‏ ‎целесообразно‏ ‎осуществить ‎фундаментальные ‎изменения‏ ‎в ‎бизнес-процессах‏ ‎или ‎ИТ-инфраструктуре, ‎а ‎также‏ ‎отказаться‏ ‎от ‎определённых‏ ‎бизнес-процессов ‎или‏ ‎передать ‎их ‎на ‎аутсорсинг, ‎если‏ ‎их‏ ‎безопасное ‎функционирование‏ ‎более ‎не‏ ‎может ‎быть ‎гарантировано ‎имеющимися ‎ресурсами.‏ ‎При‏ ‎внедрении‏ ‎более ‎масштабных‏ ‎преобразований ‎и‏ ‎реализации ‎значительных‏ ‎улучшений‏ ‎цикл ‎управления‏ ‎замыкается ‎повторным ‎запуском ‎этапа ‎планирования.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на ‎основании‏ ‎статьи ‎1259‏ ‎ГК ‎РФ.

Осведомлённость ‎и‏ ‎связь

На ‎всех ‎этапах ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎коммуникация‏ ‎является ‎ключевым ‎элементом‏ ‎для ‎достижения‏ ‎поставленных ‎целей. ‎Недопонимания ‎и‏ ‎пробелы‏ ‎в ‎знаниях‏ ‎являются ‎наиболее‏ ‎частыми ‎причинами ‎возникающих ‎проблем ‎с‏ ‎взаимодействием‏ ‎внутри ‎команды‏ ‎внедрения. ‎В‏ ‎связи ‎с ‎этим ‎на ‎всех‏ ‎уровнях‏ ‎и‏ ‎во ‎всех‏ ‎подразделениях ‎компании‏ ‎необходимо ‎обеспечить‏ ‎бесперебойный‏ ‎информационный ‎поток‏ ‎о ‎событиях ‎и ‎мерах ‎в‏ ‎области ‎информационной‏ ‎безопасности.‏ ‎Как ‎минимум ‎в‏ ‎компании ‎должно‏ ‎быть ‎обеспечено:

• отчётность ‎перед ‎руководством.‏ ‎Руководству‏ ‎компании ‎необходимо‏ ‎периодически ‎предоставлять‏ ‎информацию ‎о ‎важных ‎проблемах, ‎результатах‏ ‎проверок‏ ‎и ‎аудитов,‏ ‎а ‎также‏ ‎о ‎новых ‎тенденциях, ‎изменяющихся ‎условиях‏ ‎или‏ ‎возможностях‏ ‎для ‎улучшения,‏ ‎чтобы ‎оно‏ ‎могло ‎надлежащим‏ ‎образом‏ ‎выполнять ‎свои‏ ‎управленческие ‎функции. ‎Для ‎принятия ‎верных‏ ‎решений ‎при‏ ‎управлении‏ ‎и ‎регулировании ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности ‎руководству ‎компании ‎требуются‏ ‎представлять‏ ‎ключевые ‎показатели‏ ‎состояния ‎информационной‏ ‎безопасности ‎(метрики). ‎Эти ‎показатели ‎должны‏ ‎быть‏ ‎представлены ‎в‏ ‎управленческих ‎отчётах,‏ ‎которые ‎подразделение ‎по ‎информационной ‎безопасности‏ ‎должно‏ ‎регулярно‏ ‎предоставлять ‎руководству‏ ‎в ‎соответствующей‏ ‎форме. ‎Руководство,‏ ‎ознакомившись‏ ‎с ‎управленческими‏ ‎отчётами, ‎при ‎необходимости, ‎предпримет ‎требуемые‏ ‎управленческие ‎действия.‏ ‎В‏ ‎компании ‎следует ‎создать‏ ‎комитет ‎по‏ ‎информационной ‎безопасности ‎и ‎его‏ ‎решения‏ ‎направлять ‎на‏ ‎утверждение ‎руководству‏ ‎компании;
• информационный ‎поток. ‎Недостаточная ‎коммуникация ‎и‏ ‎отсутствие‏ ‎информации ‎могут‏ ‎приводить ‎как‏ ‎к ‎проблемам ‎информационной ‎безопасности, ‎так‏ ‎и‏ ‎к‏ ‎неправильным ‎решениям‏ ‎или ‎ненужным‏ ‎рабочим ‎шагам‏ ‎с‏ ‎потерей ‎драгоценного‏ ‎времени. ‎Сотрудников ‎нужно ‎информировать ‎о‏ ‎смысле ‎и‏ ‎цели‏ ‎мер ‎защиты, ‎особенно‏ ‎если ‎они‏ ‎влекут ‎за ‎собой ‎дополнительную‏ ‎нагрузку‏ ‎или ‎приводят‏ ‎к ‎дополнительным‏ ‎неудобствам. ‎Кроме ‎того, ‎сотрудники ‎должны‏ ‎быть‏ ‎осведомлены ‎о‏ ‎связанных ‎с‏ ‎их ‎работой ‎правовых ‎вопросах ‎информационной‏ ‎безопасности‏ ‎и‏ ‎защиты ‎данных.‏ ‎Сотрудников ‎также‏ ‎следует ‎включать‏ ‎в‏ ‎планирование ‎реализации‏ ‎мер, ‎чтобы ‎они ‎могли ‎вносить‏ ‎собственные ‎идеи‏ ‎и‏ ‎оценивать ‎их ‎практическую‏ ‎применимость, ‎имели‏ ‎возможность ‎давать ‎обратную ‎связь,‏ ‎обсуждать‏ ‎проекты ‎локальных‏ ‎актов ‎по‏ ‎информационной ‎безопасности. ‎Для ‎этого ‎в‏ ‎компании‏ ‎должен ‎быть‏ ‎создан ‎отдельный‏ ‎информационный ‎ресурс ‎по ‎информационной ‎безопасности;
• классификация‏ ‎информации.‏ ‎Чтобы‏ ‎обеспечить ‎надлежащую‏ ‎защиту ‎информации,‏ ‎её ‎значимость‏ ‎для‏ ‎компании ‎должна‏ ‎быть ‎чётко ‎определена. ‎Для ‎более‏ ‎простого ‎обмена‏ ‎информацией‏ ‎о ‎ценности ‎различных‏ ‎видов ‎информации,‏ ‎как ‎внутри ‎компании, ‎так‏ ‎и‏ ‎с ‎другими‏ ‎организациями, ‎требуется‏ ‎схема ‎классификации ‎и ‎маркирования, ‎описывающая‏ ‎уровни‏ ‎конфиденциальности ‎(ценности).‏ ‎Для ‎этого‏ ‎в ‎компании ‎должен ‎быть ‎утверждён‏ ‎перечень‏ ‎защищаемой‏ ‎информации;
• документирование. ‎Для‏ ‎обеспечения ‎непрерывности‏ ‎и ‎последовательности‏ ‎всего‏ ‎процесса ‎информационной‏ ‎безопасности ‎необходимо ‎его ‎постоянно ‎документировать.‏ ‎Только ‎так‏ ‎различные‏ ‎шаги ‎процесса ‎и‏ ‎принятые ‎решения‏ ‎становятся ‎контролируемые. ‎Кроме ‎того,‏ ‎полная‏ ‎документация ‎гарантирует,‏ ‎что ‎аналогичные‏ ‎работы ‎выполняются ‎должным ‎образом, ‎делая‏ ‎процессы‏ ‎измеримыми ‎и‏ ‎воспроизводимыми. ‎Документация‏ ‎также ‎помогает ‎выявлять ‎основные ‎слабости‏ ‎в‏ ‎процессе‏ ‎и ‎избегать‏ ‎повторения ‎ошибок.‏ ‎Необходимая ‎документация‏ ‎выполняет‏ ‎различные ‎функции‏ ‎в ‎различных ‎мероприятиях ‎по ‎информационной‏ ‎безопасности ‎и‏ ‎ориентирована‏ ‎на ‎разные ‎целевые‏ ‎аудитории. ‎Можно‏ ‎выделить ‎следующие ‎виды ‎документации:
• Техническая‏ ‎документация‏ ‎и ‎документация‏ ‎рабочих ‎процессов‏ ‎(целевая ‎аудитория ‎— ‎эксперты, ‎техники).‏ ‎При‏ ‎сбоях ‎или‏ ‎инцидентах ‎должна‏ ‎быть ‎возможность ‎восстановить ‎желаемое ‎состояние‏ ‎бизнес-процессов‏ ‎и‏ ‎соответствующих ‎ИТ-систем.‏ ‎Технические ‎детали‏ ‎и ‎рабочие‏ ‎процессы‏ ‎должны ‎быть‏ ‎задокументированы ‎таким ‎образом, ‎чтобы ‎это‏ ‎можно ‎было‏ ‎сделать‏ ‎в ‎разумные ‎сроки‏ ‎и ‎как‏ ‎можно ‎с ‎наименьшей ‎квалификацией‏ ‎персонала,‏ ‎чтобы ‎даже‏ ‎уборщица, ‎в‏ ‎случае ‎необходимости ‎могла ‎восстановить ‎работоспособность;
• Отчёты‏ ‎для‏ ‎руководства ‎(целевая‏ ‎аудитория ‎—‏ ‎высшее ‎руководство, ‎руководство ‎безопасностью). ‎Вся‏ ‎информация,‏ ‎необходимая‏ ‎руководству ‎для‏ ‎выполнения ‎своих‏ ‎управленческих ‎и‏ ‎контрольных‏ ‎функций, ‎должна‏ ‎фиксироваться ‎с ‎требуемой ‎степенью ‎детализации‏ ‎(например, ‎результаты‏ ‎аудитов,‏ ‎измерения ‎эффективности, ‎отчёты‏ ‎об ‎инцидентах‏ ‎безопасности);
• Документирование ‎управленческих ‎решений ‎(целевая‏ ‎аудитория‏ ‎— ‎высшее‏ ‎руководство). ‎Высшее‏ ‎руководство ‎должно ‎документировать ‎и ‎обосновать‏ ‎выбранную‏ ‎стратегию ‎информационной‏ ‎безопасности. ‎Кроме‏ ‎того, ‎решения, ‎касающиеся ‎аспектов ‎безопасности,‏ ‎должны‏ ‎быть‏ ‎задокументированы ‎на‏ ‎всех ‎уровнях,‏ ‎чтобы ‎они‏ ‎были‏ ‎прослеживаемые, ‎контролируемые‏ ‎и ‎воспроизводимы ‎в ‎любое ‎время.

Формальные‏ ‎требования ‎к‏ ‎документации

Документация‏ ‎не ‎обязательно ‎должна‏ ‎вестись ‎исключительно‏ ‎в ‎бумажной ‎форме. ‎Выбор‏ ‎средства‏ ‎документирования ‎должен‏ ‎определяться ‎в‏ ‎соответствии ‎с ‎конкретными ‎потребностями. ‎Так,‏ ‎для‏ ‎нужд ‎кризисного‏ ‎управления ‎целесообразно‏ ‎использование ‎удалённого ‎программного ‎обеспечения ‎(защищённого‏ ‎облачного‏ ‎ресурса),‏ ‎позволяющего ‎заблаговременно‏ ‎фиксировать ‎все‏ ‎необходимые ‎мероприятия‏ ‎и‏ ‎контактные ‎лица,‏ ‎что ‎обеспечивает ‎его ‎мобильную ‎доступность‏ ‎в ‎чрезвычайных‏ ‎ситуациях,‏ ‎например, ‎на ‎переносном‏ ‎ноутбуке ‎с‏ ‎доступом ‎к ‎этому ‎ресурсу.‏ ‎Однако,‏ ‎в ‎зависимости‏ ‎от ‎характера‏ ‎кризисного ‎события, ‎предпочтительной ‎может ‎оказаться‏ ‎удобная‏ ‎бумажная ‎справочная‏ ‎документация.

Следует ‎учитывать‏ ‎законодательные ‎или ‎договорные ‎требования ‎к‏ ‎документированию,‏ ‎например,‏ ‎в ‎отношении‏ ‎сроков ‎хранения‏ ‎и ‎детализации‏ ‎содержания.‏ ‎Документация ‎выполняет‏ ‎свою ‎функцию ‎лишь ‎при ‎условии‏ ‎регулярного ‎составления‏ ‎и‏ ‎поддержания ‎её ‎актуальности.‏ ‎Кроме ‎того,‏ ‎она ‎должна ‎быть ‎структурирована‏ ‎и‏ ‎систематизирована ‎для‏ ‎обеспечения ‎доступности‏ ‎при ‎необходимости. ‎Авторство ‎и ‎даты‏ ‎создания‏ ‎различных ‎элементов‏ ‎документации ‎должны‏ ‎быть ‎видны. ‎При ‎наличии ‎ссылок‏ ‎на‏ ‎другие‏ ‎документы, ‎их‏ ‎источники ‎должны‏ ‎быть ‎явно‏ ‎указаны,‏ ‎а ‎сами‏ ‎документы ‎должны ‎быть ‎доступны.

Документация, ‎имеющая‏ ‎отношение ‎к‏ ‎вопросам‏ ‎информационной ‎безопасности, ‎может‏ ‎содержать ‎конфиденциальную‏ ‎информацию ‎и, ‎соответственно, ‎требует‏ ‎надлежащей‏ ‎защиты. ‎Помимо‏ ‎потребности ‎в‏ ‎защите, ‎должны ‎быть ‎установлены ‎регламенты‏ ‎хранения‏ ‎и ‎уничтожения.‏ ‎В ‎описаниях‏ ‎процессов ‎и ‎процедур ‎следует ‎определять‏ ‎необходимость‏ ‎анализа‏ ‎документации, ‎её‏ ‎пересмотра, ‎ответственных‏ ‎лиц, ‎а‏ ‎также‏ ‎круг ‎лиц,‏ ‎имеющих ‎доступ ‎к ‎ней. ‎Документация,‏ ‎содержащая ‎конфиденциальную‏ ‎информацию,‏ ‎не ‎может ‎располагаться‏ ‎на ‎внутреннем‏ ‎информационном ‎ресурсе ‎по ‎информационной‏ ‎безопасности‏ ‎компании, ‎а‏ ‎должна ‎храниться‏ ‎только ‎в ‎защищённых ‎местах.

Внимание! ‎Материал‏ ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании‏ ‎статьи ‎1259 ‎ГК ‎РФ.

Принципы ‎управления

Интегрируйте‏ ‎информационную ‎безопасность ‎в ‎бизнес-процессы ‎компании

Информационная‏ ‎безопасность ‎представляет‏ ‎собой‏ ‎сквозную ‎(интегральную) ‎функцию,‏ ‎которая ‎должна‏ ‎быть ‎введена ‎во ‎все‏ ‎процессы‏ ‎и ‎проекты‏ ‎компании, ‎связанные‏ ‎с ‎обработкой ‎информации. ‎Данное ‎требование‏ ‎обусловлено‏ ‎ключевой ‎ролью‏ ‎информации ‎в‏ ‎современных ‎компаниях ‎и ‎необходимостью ‎обеспечения‏ ‎её‏ ‎надлежащей‏ ‎защиты.

В ‎частности,‏ ‎в ‎рамках‏ ‎управления ‎проектами‏ ‎уже‏ ‎на ‎этапе‏ ‎планирования ‎следует ‎оценивать ‎потребности ‎в‏ ‎защите ‎информации,‏ ‎которая‏ ‎будет ‎генерироваться ‎и‏ ‎обрабатываться ‎в‏ ‎ходе ‎реализации ‎проекта. ‎Результаты‏ ‎данной‏ ‎оценки ‎должны‏ ‎служить ‎основой‏ ‎для ‎планирования ‎и ‎внедрения ‎соответствующих‏ ‎мер‏ ‎защиты.

Аналогичным ‎образом,‏ ‎процессы ‎управления‏ ‎инцидентами ‎в ‎ИТ-среде ‎должны ‎быть‏ ‎тесно‏ ‎взаимоувязаны‏ ‎с ‎управлением‏ ‎инцидентами ‎по‏ ‎информационной ‎безопасности.‏ ‎Это‏ ‎позволит ‎обеспечить‏ ‎своевременное ‎выявление, ‎реагирование ‎и ‎устранение‏ ‎сбоев, ‎затрагивающих‏ ‎информационную‏ ‎безопасность ‎в ‎компании.

Таким‏ ‎образом, ‎эффективность‏ ‎системы ‎управления ‎информационной ‎безопасностью‏ ‎компании‏ ‎во ‎многом‏ ‎зависит ‎от‏ ‎уровня ‎интеграции ‎данной ‎функции ‎в‏ ‎ключевые‏ ‎управленческие ‎процессы.‏ ‎Отсутствие ‎или‏ ‎недостаточная ‎интегрированность ‎информационной ‎безопасности ‎может‏ ‎значительно‏ ‎снижать‏ ‎её ‎нужность‏ ‎для ‎защиты‏ ‎компании ‎от‏ ‎угроз‏ ‎в ‎области‏ ‎информационной ‎безопасности.

Достижимые ‎цели

Проекты ‎часто ‎терпят‏ ‎неудачу ‎из-за‏ ‎нереалистичных‏ ‎или ‎слишком ‎амбициозных‏ ‎целевых ‎показателей.‏ ‎Это ‎не ‎является ‎исключением‏ ‎и‏ ‎в ‎сфере‏ ‎информационной ‎безопасности.‏ ‎Для ‎достижения ‎адекватной ‎цели ‎информационной‏ ‎безопасности‏ ‎зачастую ‎более‏ ‎эффективными ‎могут‏ ‎быть ‎многочисленные ‎небольшие ‎шаги ‎и‏ ‎долгосрочный,‏ ‎непрерывный‏ ‎процесс ‎улучшения‏ ‎без ‎значительных‏ ‎первоначальных ‎инвестиционных‏ ‎затрат,‏ ‎нежели ‎масштабный‏ ‎проект.

Так, ‎может ‎быть ‎целесообразным ‎в‏ ‎первую ‎очередь‏ ‎внедрять‏ ‎необходимый ‎уровень ‎ЗИВОП‏ ‎только ‎в‏ ‎выбранных ‎направлениях ‎мер ‎защиты,‏ ‎применяя‏ ‎базовые ‎меры‏ ‎защиты, ‎и‏ ‎сосредотачиваться ‎на ‎достижении ‎уровня ‎зрелости‏ ‎для‏ ‎каждой ‎из‏ ‎них. ‎Такой‏ ‎поэтапный, ‎эволюционный ‎подход ‎позволяет ‎достичь‏ ‎требуемого‏ ‎уровня‏ ‎ЗИВОП ‎без‏ ‎чрезмерных ‎ресурсных‏ ‎затрат ‎на‏ ‎старте,‏ ‎одновременно ‎обеспечивая‏ ‎постепенное ‎наращивание ‎защитных ‎мер ‎и,‏ ‎соответственно, ‎рост‏ ‎уровня‏ ‎ЗИВОП. ‎В ‎отличие‏ ‎от ‎рискованных‏ ‎крупномасштабных ‎проектов, ‎данная ‎тактика‏ ‎является‏ ‎более ‎обоснованной‏ ‎и ‎управляемой.

Экономический‏ ‎эффект

Одной ‎из ‎наиболее ‎сложных ‎задач‏ ‎в‏ ‎сфере ‎управления‏ ‎информационной ‎безопасностью‏ ‎является ‎оптимальное ‎распределение ‎ограниченных ‎ресурсов‏ ‎(они‏ ‎ВСЕГДА‏ ‎ограничены) ‎между‏ ‎различными ‎защитными‏ ‎мероприятиями ‎с‏ ‎учётом‏ ‎их ‎эффективности‏ ‎и ‎соотношения ‎с ‎возможными ‎рисками.

Наиболее‏ ‎рациональным ‎подходом‏ ‎является‏ ‎приоритизация ‎выделения ‎ресурсов‏ ‎в ‎те‏ ‎меры, ‎которые ‎демонстрируют ‎наибольшую‏ ‎результативность‏ ‎либо ‎предотвращают‏ ‎наиболее ‎критически‏ ‎важные ‎риски. ‎При ‎этом ‎следует‏ ‎отметить,‏ ‎что ‎самые‏ ‎действенные ‎решения‏ ‎не ‎всегда ‎являются ‎и ‎наиболее‏ ‎затратными.

Фундаментальное‏ ‎значение‏ ‎в ‎данном‏ ‎контексте ‎приобретает‏ ‎глубокое ‎понимание‏ ‎зависимости‏ ‎ключевых ‎бизнес-процессов‏ ‎и ‎функциональных ‎задач ‎компании ‎от‏ ‎информационно-технологической ‎инфраструктуры.‏ ‎Это‏ ‎знание ‎позволяет ‎выстраивать‏ ‎сбалансированную ‎систему‏ ‎обеспечения ‎информационной ‎безопасности.

Эффективная ‎реализация‏ ‎мер‏ ‎защиты ‎предполагает‏ ‎комплексный ‎подход,‏ ‎включающий ‎как ‎технические, ‎так ‎и‏ ‎организационные,‏ ‎режимные ‎меры.‏ ‎Инвестиции ‎в‏ ‎технические ‎средства ‎защиты ‎требуют ‎прямых‏ ‎финансовых‏ ‎затрат,‏ ‎которые ‎могут‏ ‎быть ‎оправданы‏ ‎только ‎при‏ ‎условии‏ ‎максимально ‎эффективного‏ ‎использования ‎данных ‎решений, ‎их ‎интеграции‏ ‎в ‎целостную‏ ‎систему‏ ‎безопасности ‎и ‎обеспечения‏ ‎соответствующего ‎уровня‏ ‎подготовки ‎персонала. ‎В ‎свою‏ ‎очередь,‏ ‎организационные ‎и‏ ‎режимные ‎меры‏ ‎могут ‎выступать ‎в ‎качестве ‎альтернативы‏ ‎или‏ ‎дополнения ‎к‏ ‎техническим ‎решениям,‏ ‎однако ‎их ‎последовательное ‎внедрение ‎сопряжено‏ ‎со‏ ‎значительными‏ ‎управленческими ‎и‏ ‎ресурсными ‎сложностями,‏ ‎и ‎частым‏ ‎отторжением‏ ‎их ‎персоналом‏ ‎без ‎соответствующих ‎разъяснений ‎об ‎их‏ ‎внедрении ‎со‏ ‎стороны‏ ‎руководящего ‎звена ‎компании.

Будьте‏ ‎примером

Высшее ‎руководство‏ ‎компании ‎также ‎должно ‎выполнять‏ ‎функцию‏ ‎эталона ‎в‏ ‎сфере ‎информационной‏ ‎безопасности. ‎Данное ‎требование ‎включает ‎в‏ ‎себя,‏ ‎помимо ‎прочего,‏ ‎соблюдение ‎руководящим‏ ‎звеном ‎всех ‎установленных ‎норм ‎и‏ ‎правил‏ ‎информационной‏ ‎безопасности, ‎участие‏ ‎в ‎образовательных‏ ‎мероприятиях, ‎а‏ ‎также‏ ‎оказание ‎поддержки‏ ‎другим ‎руководителям ‎в ‎осуществлении ‎ими‏ ‎своей ‎эталонной‏ ‎роли.

Первостепенно,‏ ‎чтобы ‎высшее ‎руководство‏ ‎компании ‎служило‏ ‎образцом ‎в ‎вопросах ‎информационной‏ ‎безопасности.‏ ‎Им ‎необходимо‏ ‎не ‎только‏ ‎придерживаться ‎всех ‎предписанных ‎регламентов, ‎но‏ ‎и‏ ‎лично ‎вовлекаться‏ ‎в ‎тренинги‏ ‎и ‎обучающие ‎программы, ‎а ‎также‏ ‎содействовать‏ ‎другим‏ ‎управленцам ‎в‏ ‎надлежащем ‎выполнении‏ ‎аналогичных ‎обязанностей.‏ ‎Лишь‏ ‎при ‎таком‏ ‎условии ‎руководство ‎компании ‎сможет ‎эффективно‏ ‎культивировать ‎культуру‏ ‎информационной‏ ‎безопасности ‎во ‎всей‏ ‎своей ‎организационной‏ ‎структуре.

В ‎компании ‎должен ‎работать‏ ‎принцип:‏ ‎делаешь ‎ты,‏ ‎делают ‎другие.‏ ‎Если ‎ты ‎не ‎делаешь, ‎то‏ ‎и‏ ‎с ‎других‏ ‎не ‎можешь‏ ‎спрашивать.

Необходимо ‎осознавать, ‎что ‎руководство ‎компании‏ ‎является‏ ‎маяком‏ ‎и ‎целью‏ ‎в ‎поведении‏ ‎для ‎сотрудников.‏ ‎Если‏ ‎руководство ‎не‏ ‎исполняет ‎требования ‎по ‎информационной ‎безопасности,‏ ‎значит ‎и‏ ‎сотрудники‏ ‎их ‎не ‎будут‏ ‎исполнять. ‎А‏ ‎следовательно ‎сколько ‎бы ‎ресурсов,‏ ‎включая‏ ‎финансовых, ‎в‏ ‎информационною ‎безопасность‏ ‎не ‎было ‎бы ‎вложено, ‎эффекта‏ ‎от‏ ‎них ‎не‏ ‎будет ‎никакого.

Внимание!‏ ‎Материал ‎охраняется ‎авторским ‎правом ‎на‏ ‎основании‏ ‎статьи‏ ‎1259 ‎ГК‏ ‎РФ.

Принципы ‎управления

Управление‏ ‎информационной ‎безопасностью ‎представляет ‎собой ‎комплексную‏ ‎управленческую ‎деятельность,‏ ‎направленную‏ ‎на ‎планирование, ‎организацию,‏ ‎контроль ‎и‏ ‎координацию ‎мер ‎по ‎обеспечению‏ ‎защиты‏ ‎информационных ‎ресурсов‏ ‎и ‎систем.‏ ‎Данная ‎функция ‎предполагает ‎выполнение ‎и‏ ‎соблюдение‏ ‎соответствующих ‎законодательных‏ ‎и ‎нормативных‏ ‎требований.

В ‎профессиональной ‎литературе ‎описаны ‎различные‏ ‎концептуальные‏ ‎подходы‏ ‎к ‎эффективной‏ ‎организации ‎системы‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎и ‎соответствующих‏ ‎организационных ‎структур. ‎Несмотря ‎на ‎многообразие‏ ‎моделей, ‎существует‏ ‎ряд‏ ‎универсальных ‎управленческих ‎принципов,‏ ‎которые ‎следует‏ ‎учитывать ‎в ‎данной ‎сфере.

Некоторые‏ ‎из‏ ‎этих ‎принципов‏ ‎могут ‎показаться‏ ‎очевидными, ‎поскольку ‎они ‎являются ‎общепризнанными‏ ‎ценностями‏ ‎в ‎теории‏ ‎менеджмента. ‎Парадоксально,‏ ‎но ‎на ‎практике ‎зачастую ‎именно‏ ‎простые,‏ ‎но‏ ‎важные ‎аспекты,‏ ‎такие ‎как‏ ‎дисциплина, ‎терпение,‏ ‎принятие‏ ‎ответственности, ‎тщательное‏ ‎планирование ‎проектов, ‎упускаются ‎из ‎виду‏ ‎вовсе ‎или‏ ‎реализуются‏ ‎ненадлежащим ‎образом. ‎В‏ ‎то ‎же‏ ‎время ‎эффективные ‎меры, ‎как‏ ‎то:‏ ‎оптимизация ‎процессов,‏ ‎обучение ‎персонала,‏ ‎повышение ‎осведомлённости, ‎мотивация ‎сотрудников, ‎разработка‏ ‎понятной‏ ‎документации, ‎могут‏ ‎значительно ‎повысить‏ ‎уровня ‎ЗИВОП ‎от ‎угроз ‎информационной‏ ‎безопасности.

В‏ ‎противовес‏ ‎этому, ‎сложные‏ ‎и, ‎соответственно,‏ ‎дорогостоящие ‎технические‏ ‎решения,‏ ‎необоснованно ‎преподносятся‏ ‎как ‎более ‎эффективные, ‎что ‎способствует‏ ‎формированию ‎негативного‏ ‎восприятия‏ ‎мер ‎защиты ‎как‏ ‎«ускорителя ‎затрат».‏ ‎Поэтому ‎в ‎дальнейшем ‎будут‏ ‎рассмотрены‏ ‎ключевые ‎принципы‏ ‎управления ‎информационной‏ ‎безопасностью, ‎соблюдение ‎которых ‎способствует ‎успешной‏ ‎реализации‏ ‎данной ‎функции.

Обязанности‏ ‎руководства ‎компании

Задачи‏ ‎и ‎обязанности ‎руководящего ‎звена ‎в‏ ‎области‏ ‎информационной‏ ‎безопасности ‎можно‏ ‎обобщить ‎в‏ ‎следующих ‎обозначенных‏ ‎пунктах‏ ‎ниже.

Принятие ‎на‏ ‎себя ‎общей ‎ответственности ‎за ‎информационную‏ ‎безопасность

Вопросы ‎информационной‏ ‎безопасности‏ ‎компаний ‎находятся ‎в‏ ‎фокусе ‎внимания‏ ‎руководящих ‎структур ‎различного ‎типа‏ ‎и‏ ‎уровня. ‎Ответственность‏ ‎за ‎обеспечение‏ ‎целостности, ‎конфиденциальности ‎и ‎доступности ‎информационных‏ ‎активов‏ ‎лежит ‎на‏ ‎высшем ‎руководстве‏ ‎государственных ‎органов, ‎коммерческих ‎предприятий ‎и‏ ‎иных‏ ‎экономических‏ ‎субъектах.

Данная ‎ответственность‏ ‎может ‎иметь‏ ‎как ‎нормативно-правовую,‏ ‎так‏ ‎и ‎организационно-управленческую‏ ‎природу. ‎С ‎одной ‎стороны, ‎требования‏ ‎по ‎обеспечению‏ ‎информационной‏ ‎безопасности ‎могут ‎быть‏ ‎закреплены ‎в‏ ‎законодательстве, ‎подзаконных ‎актах, ‎стандартах‏ ‎и‏ ‎прочих ‎регулирующих‏ ‎документах ‎в‏ ‎зависимости ‎от ‎сферы ‎деятельности ‎компании‏ ‎(например,‏ ‎Указ ‎Президента‏ ‎РФ ‎от‏ ‎01.05.2022 ‎№ ‎250). С ‎другой ‎стороны,‏ ‎руководство‏ ‎должно‏ ‎принимать ‎целенаправленные‏ ‎меры ‎по‏ ‎внедрению ‎и‏ ‎поддержанию‏ ‎адекватных ‎механизмов‏ ‎информационной ‎безопасности ‎как ‎в ‎рамках‏ ‎внутренних ‎процессов,‏ ‎так‏ ‎и ‎во ‎внешнем‏ ‎взаимодействии.

Ключевым ‎аспектом‏ ‎является ‎публичная ‎демонстрация ‎приверженности‏ ‎руководства‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности.‏ ‎Топ-менеджеры ‎обязаны ‎открыто ‎заявлять ‎о‏ ‎своей‏ ‎ответственности ‎в‏ ‎данной ‎сфере‏ ‎и ‎доводить ‎её ‎критическую ‎важность‏ ‎до‏ ‎сведения‏ ‎всех ‎сотрудников‏ ‎компании. ‎Таким‏ ‎образом, ‎обеспечивается‏ ‎формирование‏ ‎соответствующей ‎организационной‏ ‎культуры ‎и ‎повышается ‎эффективность ‎практической‏ ‎реализации ‎мер‏ ‎защиты.

Инициировать‏ ‎процесс, ‎контролировать ‎исполнение‏ ‎и ‎наблюдать‏ ‎за ‎состоянием ‎информационной ‎безопасности‏ ‎в‏ ‎компании

Роль ‎высшего‏ ‎руководства ‎в‏ ‎обеспечении ‎информационной ‎безопасности ‎компании ‎является‏ ‎ключевой‏ ‎и ‎стратегической.‏ ‎Основные ‎функциональные‏ ‎задачи ‎руководства ‎компании ‎в ‎этой‏ ‎области‏ ‎включают‏ ‎следующие ‎направления:

• разработка‏ ‎и ‎утверждение‏ ‎единой ‎политики‏ ‎информационной‏ ‎безопасности, ‎непосредственно‏ ‎увязанной ‎с ‎общими ‎бизнес-целями ‎и‏ ‎функциональными ‎приоритетами‏ ‎компании.‏ ‎Данная ‎политика ‎должна‏ ‎содержать ‎чёткие‏ ‎целевые ‎ориентиры ‎и ‎показатели‏ ‎в‏ ‎сфере ‎информационной‏ ‎безопасности;
• систематический ‎анализ‏ ‎и ‎оценка ‎влияния ‎рисков ‎информационной‏ ‎безопасности‏ ‎на ‎ключевые‏ ‎операционные ‎и‏ ‎функциональные ‎процессы. ‎На ‎основе ‎данной‏ ‎оценки‏ ‎руководство‏ ‎принимает ‎обоснованные‏ ‎решения ‎относительно‏ ‎применяемых ‎методов‏ ‎управления‏ ‎этими ‎рисками,‏ ‎сохраняя ‎за ‎собой ‎конечную ‎ответственность‏ ‎за ‎состояние‏ ‎информационной‏ ‎безопасности ‎компании;
• создание ‎необходимых‏ ‎организационных ‎условий‏ ‎и ‎стимулов ‎для ‎эффективной‏ ‎реализации‏ ‎мер ‎информационной‏ ‎безопасности. ‎Сюда‏ ‎относится ‎определение ‎ответственности, ‎полномочий ‎и‏ ‎ресурсного‏ ‎обеспечения ‎соответствующих‏ ‎подразделений/должностных ‎лиц;
• формирование‏ ‎культуры ‎постоянного ‎совершенствования ‎практик ‎информационной‏ ‎безопасности‏ ‎путём‏ ‎регулярного ‎анализа,‏ ‎актуализации ‎политики‏ ‎и ‎информирования/обучения‏ ‎персонала.

Таким‏ ‎образом, ‎стратегическая‏ ‎роль ‎высшего ‎руководства ‎заключается ‎в‏ ‎комплексном ‎управлении‏ ‎рисками‏ ‎информационной ‎безопасности ‎компании‏ ‎в ‎соответствии‏ ‎с ‎её ‎ключевыми ‎бизнес-целями‏ ‎(деятельностью),‏ ‎а ‎также‏ ‎постоянным ‎ростом‏ ‎уровня ‎ЗИВОП ‎исходя ‎из ‎уровня‏ ‎информационной‏ ‎безопасности ‎и‏ ‎уровня ‎зрелости‏ ‎мер ‎защиты.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом‏ ‎на‏ ‎основании ‎ст.‏ ‎1259 ‎ГК‏ ‎РФ.

Описание ‎процесса‏ ‎и ‎модель ‎жизненного ‎цикла

Жизненный ‎цикл‏ ‎в ‎информационной‏ ‎безопасности

Информационная‏ ‎безопасность ‎в ‎современных‏ ‎компаниях ‎не‏ ‎является ‎статичным ‎состоянием, ‎которое‏ ‎достигается‏ ‎единожды ‎и‏ ‎остаётся ‎неизменным.‏ ‎Наоборот, ‎это ‎динамичный ‎процесс, ‎требующий‏ ‎постоянного‏ ‎внимания ‎и‏ ‎адаптации. ‎Любая‏ ‎компания ‎подвержена ‎непрерывным ‎изменениям, ‎затрагивающим‏ ‎не‏ ‎только‏ ‎бизнес-процессы, ‎функциональные‏ ‎задачи, ‎инфраструктуру,‏ ‎организационные ‎структуры‏ ‎и‏ ‎ИТ-среду, ‎но‏ ‎и ‎условия ‎в ‎которых ‎компания‏ ‎строит ‎информационную‏ ‎безопасность.

Помимо‏ ‎внутренних ‎организационных ‎изменений,‏ ‎внешние ‎факторы‏ ‎также ‎оказывают ‎влияние ‎—‏ ‎например,‏ ‎изменения ‎в‏ ‎законодательстве, ‎договорных‏ ‎требованиях, ‎а ‎также ‎доступных ‎и‏ ‎используемых‏ ‎информационных ‎и‏ ‎коммуникационных ‎технологиях.‏ ‎Кроме ‎того, ‎появление ‎новых ‎методов‏ ‎атак‏ ‎и‏ ‎уязвимостей ‎может‏ ‎частично ‎или‏ ‎полностью ‎обесценить‏ ‎ранее‏ ‎внедрённые ‎меры‏ ‎защиты. ‎Таким ‎образом, ‎активное ‎управление‏ ‎информационной ‎безопасностью‏ ‎является‏ ‎необходимым ‎условием ‎для‏ ‎поддержания ‎достигнутого‏ ‎уровня ‎ЗИВОП ‎и ‎его‏ ‎непрерывного‏ ‎совершенствования ‎(увеличения).

Недостаточно‏ ‎однократно ‎спланировать‏ ‎и ‎внедрить ‎бизнес-процессы, ‎ИТ-системы ‎и‏ ‎соответствующие‏ ‎меры ‎защиты.‏ ‎После ‎их‏ ‎внедрения ‎необходимо ‎регулярно ‎оценивать ‎эффективность‏ ‎и‏ ‎актуальность‏ ‎принятых ‎мер,‏ ‎выявлять ‎слабые‏ ‎места ‎и‏ ‎возможности‏ ‎для ‎улучшения.‏ ‎Это ‎влечёт ‎за ‎собой ‎планирование‏ ‎и ‎внедрение‏ ‎необходимых‏ ‎корректировок ‎и ‎изменений.‏ ‎Кроме ‎того,‏ ‎при ‎завершении ‎бизнес-процессов ‎или‏ ‎замене/выводе‏ ‎из ‎эксплуатации‏ ‎компонентов ‎и‏ ‎ИТ-систем ‎также ‎следует ‎учитывать ‎аспекты‏ ‎информационной‏ ‎безопасности, ‎такие‏ ‎как ‎отзыв‏ ‎разрешений ‎и ‎безопасное ‎удаление ‎наработанной‏ ‎ранее‏ ‎информации‏ ‎либо ‎её‏ ‎безопасная ‎передача‏ ‎на ‎хранение.

Выделяются‏ ‎следующие‏ ‎этапы ‎жизненного‏ ‎цикла ‎информационной ‎безопасности:

• планирование ‎(разработка ‎концепции‏ ‎и ‎подходов);
• закупки‏ ‎и‏ ‎(или) ‎выделение ‎(при‏ ‎необходимости) ‎оборудования‏ ‎и ‎необходимых ‎ресурсов;
• внедрение ‎разработанных‏ ‎концепций‏ ‎и ‎подходов;
• эксплуатация‏ ‎(включая ‎мониторинг‏ ‎и ‎контроль ‎эффективности);
• вывод ‎из ‎эксплуатации‏ ‎(при‏ ‎необходимости);
• аварийное ‎реагирование;
• постоянное‏ ‎совершенствование ‎на‏ ‎основе ‎собираемой ‎обратной ‎связи ‎(метрик).

Такой‏ ‎подход‏ ‎обеспечивает‏ ‎непрерывное ‎улучшение‏ ‎информационной ‎безопасности‏ ‎в ‎компании‏ ‎в‏ ‎соответствии ‎с‏ ‎изменяющимися ‎внутренними ‎и ‎внешними ‎условиями.

Описание‏ ‎процесса ‎информационной‏ ‎безопасности

Современные‏ ‎исследования ‎в ‎области‏ ‎управления ‎информационной‏ ‎безопасностью ‎компаний ‎демонстрируют, ‎что‏ ‎не‏ ‎только ‎бизнес-процессы‏ ‎и ‎информационные‏ ‎системы ‎подвержены ‎динамическим ‎изменениям ‎во‏ ‎времени,‏ ‎но ‎и‏ ‎весь ‎комплекс‏ ‎мероприятий ‎по ‎обеспечению ‎уровня ‎ЗИВОП‏ ‎также‏ ‎имеет‏ ‎свой ‎жизненный‏ ‎цикл.

В ‎профессиональной‏ ‎литературе ‎по‏ ‎управлению‏ ‎информационной ‎безопасностью‏ ‎принято ‎выделять ‎следующие ‎ключевые ‎фазы‏ ‎жизненного ‎цикла‏ ‎процесса‏ ‎обеспечения ‎информационной ‎безопасности:

• Планирование.‏ ‎На ‎данном‏ ‎этапе ‎проводится ‎анализ ‎текущего‏ ‎состояния,‏ ‎определяются ‎цели‏ ‎и ‎задачи‏ ‎системы ‎защиты, ‎разрабатывается ‎стратегия ‎обеспечения‏ ‎безопасности;
• Реализация.‏ ‎Происходит ‎внедрение‏ ‎и ‎развёртывание‏ ‎запланированных ‎мер, ‎механизмов ‎и ‎средств‏ ‎защиты‏ ‎информации;
• Мониторинг‏ ‎и ‎контроль.‏ ‎Осуществляется ‎постоянный‏ ‎контроль ‎эффективности‏ ‎функционирования‏ ‎системы ‎безопасности,‏ ‎выявление ‎отклонений ‎от ‎плановых ‎показателей;
• Оптимизация‏ ‎и ‎совершенствование.‏ ‎На‏ ‎основе ‎результатов ‎мониторинга‏ ‎(сбора ‎метрик)‏ ‎вносятся ‎необходимые ‎коррективы, ‎производится‏ ‎модернизация‏ ‎и ‎оптимизация‏ ‎компонентов ‎системы‏ ‎защиты.

Данная ‎модель ‎жизненного ‎цикла, ‎также‏ ‎известная‏ ‎как ‎цикл‏ ‎PDCA ‎(Plan-Do-Check-Act),‏ ‎применима ‎не ‎только ‎к ‎общему‏ ‎процессу‏ ‎обеспечения‏ ‎информационной ‎безопасности,‏ ‎но ‎и‏ ‎к ‎отдельным‏ ‎его‏ ‎элементам, ‎таким‏ ‎как ‎стратегия, ‎концепция, ‎организационная ‎структура.‏ ‎Непрерывное ‎повторение‏ ‎данного‏ ‎цикла ‎позволяет ‎поддерживать‏ ‎актуальность ‎и‏ ‎эффективность ‎системы ‎информационной ‎безопасности‏ ‎компании‏ ‎в ‎условиях‏ ‎постоянно ‎меняющихся‏ ‎внешних ‎и ‎внутренних ‎факторов.

Необходимо ‎отметить,‏ ‎что‏ ‎содержание ‎и‏ ‎трудоёмкость ‎каждой‏ ‎из ‎фаз ‎жизненного ‎цикла ‎будут‏ ‎существенно‏ ‎различаться‏ ‎в ‎зависимости‏ ‎от ‎специфики‏ ‎компании, ‎её‏ ‎размера,‏ ‎отраслевой ‎принадлежности,‏ ‎уровня ‎ЗИВОП ‎и ‎других ‎параметров.‏ ‎Тем ‎не‏ ‎менее‏ ‎базовая ‎логика ‎циклического‏ ‎процесса ‎остаётся‏ ‎универсальной.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом‏ ‎на ‎основании‏ ‎ст. ‎1259‏ ‎ГК ‎РФ.

Обзор ‎стандартов‏ ‎по ‎информационной ‎безопасности

В ‎сфере ‎информационной‏ ‎безопасности ‎сформировался‏ ‎ряд‏ ‎нормативных ‎документов ‎и‏ ‎стандартов, ‎ориентированных‏ ‎на ‎различные ‎целевые ‎группы‏ ‎и‏ ‎тематические ‎области.

Применение‏ ‎норм ‎и‏ ‎стандартов ‎информационной ‎безопасности ‎(их ‎ещё‏ ‎называют‏ ‎— ‎лучшие‏ ‎практики) ‎в‏ ‎компаниях ‎не ‎только ‎повышает ‎уровень‏ ‎ЗИК,‏ ‎но‏ ‎и ‎облегчает‏ ‎согласование ‎между‏ ‎различными ‎институтами‏ ‎относительно‏ ‎внедрения ‎конкретных‏ ‎мер ‎защиты.

Представленный ‎ниже ‎обзор ‎демонстрирует‏ ‎специфику ‎ключевых‏ ‎норм‏ ‎и ‎стандартов ‎в‏ ‎данной ‎сфере:

Стандарты‏ ‎информационной ‎безопасности ‎ISO

В ‎рамках‏ ‎деятельности‏ ‎международных ‎организаций‏ ‎по ‎стандартизации‏ ‎ISO ‎и ‎IEC, ‎нормативные ‎документы‏ ‎в‏ ‎сфере ‎информационной‏ ‎безопасности ‎унифицированы‏ ‎и ‎объединены ‎в ‎серию ‎стандартов‏ ‎2700x,‏ ‎которая‏ ‎постоянно ‎расширяется.‏ ‎На ‎глобальном‏ ‎уровне ‎данные‏ ‎нормы‏ ‎принято ‎обозначать‏ ‎как ‎международные ‎стандарты. ‎При ‎этом‏ ‎часть ‎этих‏ ‎международных‏ ‎стандартов ‎также ‎представлена‏ ‎в ‎виде‏ ‎переведённых ‎и ‎адаптированных ‎версий,‏ ‎выступающих‏ ‎в ‎качестве‏ ‎национальных ‎стандартов‏ ‎России ‎— ‎ГОСТ ‎Р ‎ИСО/МЭК.

Основной‏ ‎состав‏ ‎серии ‎стандартов‏ ‎ISO/IEC ‎27000x‏ ‎включает ‎следующие ‎ключевые ‎нормативные ‎документы:

ISO/IEC‏ ‎27000‏ ‎—‏ ‎Системы ‎менеджмента‏ ‎информационной ‎безопасности:‏ ‎Термины ‎и‏ ‎определения

Данный‏ ‎международный ‎стандарт‏ ‎предоставляет ‎концептуальный ‎обзор ‎систем ‎управления‏ ‎информационной ‎безопасностью‏ ‎(СУИБ)‏ ‎и ‎детально ‎рассматривает‏ ‎взаимосвязи ‎между‏ ‎различными ‎стандартами ‎серии ‎ISO/IEC‏ ‎27000.‏ ‎Помимо ‎этого,‏ ‎стандарт ‎содержит‏ ‎всеобъемлющий ‎глоссарий ‎ключевых ‎терминов ‎и‏ ‎определений,‏ ‎связанных ‎с‏ ‎управлением ‎информационной‏ ‎безопасностью.

ISO/IEC ‎27001 ‎— ‎Системы ‎управления‏ ‎информационной‏ ‎безопасности:‏ ‎Требования

Данный ‎международный‏ ‎стандарт ‎устанавливает‏ ‎нормативные ‎требования‏ ‎к‏ ‎внедрению, ‎функционированию‏ ‎и ‎постоянному ‎улучшению ‎документированной ‎системы‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎в ‎компаниях. ‎Стандарт‏ ‎состоит ‎примерно‏ ‎из ‎9 ‎страниц ‎требований‏ ‎и‏ ‎включает ‎нормативное‏ ‎приложение ‎с‏ ‎перечислением ‎более ‎100 ‎возможных ‎мер‏ ‎контроля,‏ ‎которые ‎должны‏ ‎быть ‎выбраны‏ ‎и ‎внедрены ‎с ‎учётом ‎соответствующих‏ ‎рисков‏ ‎информационной‏ ‎безопасности. ‎Необходимо‏ ‎отметить, ‎что‏ ‎ISO/IEC ‎27001‏ ‎не‏ ‎предоставляет ‎практические‏ ‎рекомендации ‎относительно ‎реализации ‎данных ‎требований.

Ранее‏ ‎структура ‎требований‏ ‎в‏ ‎ISO/IEC ‎27001 ‎была‏ ‎ориентирована ‎на‏ ‎модель ‎управленческого ‎цикла ‎PDCA‏ ‎(Plan-Do-Check-Act).‏ ‎Однако ‎при‏ ‎последнем ‎пересмотре‏ ‎стандарта ‎явное ‎упоминание ‎этого ‎цикла‏ ‎было‏ ‎исключено. ‎Это‏ ‎было ‎сделано‏ ‎с ‎целью ‎подчеркнуть, ‎что ‎порядок‏ ‎изложения‏ ‎отдельных‏ ‎требований ‎в‏ ‎стандарте ‎не‏ ‎отражает ‎их‏ ‎относительную‏ ‎важность ‎или‏ ‎рекомендуемую ‎последовательность ‎внедрения. ‎Тем ‎не‏ ‎менее ‎мероприятия‏ ‎по‏ ‎построению ‎и ‎функционированию‏ ‎СУИБ ‎по-прежнему‏ ‎могут ‎осуществляться ‎в ‎соответствии‏ ‎с‏ ‎циклом ‎PDCA.

ISO/IEC‏ ‎27002 ‎—‏ ‎Свод ‎правил ‎для ‎средств ‎управления‏ ‎информационной‏ ‎безопасностью

Данный ‎международный‏ ‎стандарт ‎оказывает‏ ‎практическую ‎поддержку ‎компаниям ‎в ‎выборе‏ ‎и‏ ‎внедрении‏ ‎мер ‎контроля,‏ ‎описанных ‎в‏ ‎ISO/IEC ‎27001,‏ ‎с‏ ‎целью ‎построения‏ ‎эффективно ‎функционирующей ‎системы ‎управления ‎информационной‏ ‎безопасностью ‎и‏ ‎её‏ ‎интеграции ‎в ‎общую‏ ‎систему ‎менеджмента‏ ‎компании. ‎Соответствующие ‎меры ‎безопасности‏ ‎описаны‏ ‎на ‎90‏ ‎страницах ‎стандарта‏ ‎ISO/IEC ‎27002. ‎Рекомендации ‎в ‎первую‏ ‎очередь‏ ‎ориентированы ‎на‏ ‎уровень ‎менеджмента‏ ‎и ‎содержат ‎минимум ‎технических ‎деталей.

ISO/IEC‏ ‎27004‏ ‎—‏ ‎Мониторинг, ‎измерение,‏ ‎анализ ‎и‏ ‎оценка

Международный ‎стандарт‏ ‎ISO/IEC‏ ‎27004 ‎посвящён‏ ‎методологическим ‎аспектам ‎мониторинга, ‎измерения, ‎анализа‏ ‎и ‎оценки‏ ‎эффективности‏ ‎внедрения ‎и ‎функционирования‏ ‎системы ‎управления‏ ‎информационной ‎безопасностью ‎в ‎компаниях.

Основное‏ ‎назначение‏ ‎данного ‎стандарта‏ ‎заключается ‎в‏ ‎регламентации ‎процедур ‎по ‎разработке ‎и‏ ‎реализации‏ ‎программы ‎мониторинга‏ ‎СУИБ, ‎которая‏ ‎должна ‎обеспечивать ‎поддержку ‎управленческих ‎решений‏ ‎и‏ ‎демонстрировать‏ ‎результативность ‎внедрённой‏ ‎системы ‎менеджмента.

В‏ ‎стандарте ‎рассматриваются‏ ‎вопросы‏ ‎определения ‎соответствующих‏ ‎метрик ‎и ‎ключевых ‎показателей ‎для‏ ‎оценки ‎эффективности‏ ‎мер‏ ‎контроля ‎информационной ‎безопасности‏ ‎и ‎общей‏ ‎результативности ‎СУИБ. ‎Особое ‎внимание‏ ‎уделяется‏ ‎методам ‎сбора,‏ ‎анализа ‎и‏ ‎интерпретации ‎данных, ‎полученных ‎в ‎ходе‏ ‎мониторинга,‏ ‎с ‎целью‏ ‎выявления ‎тенденций,‏ ‎областей ‎для ‎улучшения ‎и ‎обоснования‏ ‎достигнутого‏ ‎уровня‏ ‎ЗИК.

Применение ‎положений‏ ‎ISO/IEC ‎27004‏ ‎позволяет ‎компаниям‏ ‎обеспечивать‏ ‎объективную ‎оценку‏ ‎и ‎демонстрировать ‎заинтересованным ‎сторонам ‎эффективность‏ ‎функционирования ‎их‏ ‎системы‏ ‎менеджмента ‎информационной ‎безопасности‏ ‎на ‎постоянной‏ ‎основе.

ISO/IEC ‎27005 ‎— ‎Менеджмент‏ ‎рисков‏ ‎информационной ‎безопасности

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27005 ‎«Менеджмент ‎рисков ‎информационной ‎безопасности»‏ ‎содержит‏ ‎рекомендации ‎по‏ ‎разработке ‎структурированного‏ ‎подхода ‎к ‎управлению ‎рисками ‎в‏ ‎сфере‏ ‎информационной‏ ‎безопасности. ‎Данный‏ ‎стандарт, ‎в‏ ‎частности, ‎оказывает‏ ‎методологическую‏ ‎поддержку ‎при‏ ‎реализации ‎требований ‎стандарта ‎ISO/IEC ‎27001.‏ ‎Следует ‎отметить,‏ ‎что‏ ‎ISO/IEC ‎27005 ‎не‏ ‎предписывает ‎какую-либо‏ ‎конкретную ‎методику ‎управления ‎рисками.

Рассматриваемый‏ ‎стандарт‏ ‎во ‎многом‏ ‎базируется ‎на‏ ‎положениях ‎международного ‎стандарта ‎ISO/IEC ‎31000‏ ‎«Менеджмент‏ ‎рисков ‎—‏ ‎Принципы ‎и‏ ‎руководящие ‎указания». ‎Дополняющий ‎стандарт ‎ISO/IEC‏ ‎31010‏ ‎«Методы‏ ‎оценки ‎рисков»‏ ‎подробно ‎раскрывает‏ ‎вопросы ‎интеграции‏ ‎процедур‏ ‎оценки ‎рисков‏ ‎в ‎систему ‎риск-менеджмента, ‎а ‎также‏ ‎методологии ‎идентификации,‏ ‎анализа,‏ ‎оценки ‎и ‎обработки‏ ‎рисков. ‎Приложение‏ ‎B ‎стандарта ‎ISO/IEC ‎31010‏ ‎предоставляет‏ ‎всесторонний ‎обзор‏ ‎более ‎30‏ ‎различных ‎методов ‎оценки ‎рисков.

Комплексное ‎применение‏ ‎изложенных‏ ‎в ‎данных‏ ‎взаимосвязанных ‎стандартах‏ ‎подходов ‎позволяет ‎компаниям ‎формировать ‎эффективные‏ ‎системы‏ ‎менеджмента‏ ‎рисков ‎информационной‏ ‎безопасности ‎на‏ ‎основе ‎признанных‏ ‎международных‏ ‎методологий.

ISO/IEC ‎27006‏ ‎— ‎Требования ‎к ‎органам, ‎проводящим‏ ‎аудит ‎и‏ ‎сертификацию‏ ‎систем ‎управления ‎информационной‏ ‎безопасностью

Стандарт ‎ISO/IEC‏ ‎27006 ‎регламентирует ‎требования ‎к‏ ‎органам,‏ ‎осуществляющим ‎аудит‏ ‎и ‎сертификацию‏ ‎систем ‎управления ‎информационной ‎безопасностью. ‎Данный‏ ‎стандарт‏ ‎устанавливает ‎чёткие‏ ‎критерии ‎для‏ ‎аккредитации ‎органов ‎по ‎сертификации ‎СУИБ,‏ ‎а‏ ‎также‏ ‎подробно ‎рассматривает‏ ‎специфику ‎процессов‏ ‎сертификации ‎СУИБ.

ISO/IEC‏ ‎27009‏ ‎— ‎Отраслевое‏ ‎применение ‎ISO/IEC ‎27001 ‎— ‎Требования

Стандарт‏ ‎ISO/IEC ‎27009‏ ‎описывает‏ ‎механизмы ‎адаптации ‎стандарта‏ ‎ISO/IEC ‎27001‏ ‎к ‎особенностям ‎различных ‎секторов‏ ‎экономики.‏ ‎Он ‎регламентирует,‏ ‎каким ‎образом‏ ‎могут ‎быть ‎интегрированы ‎отраслевые ‎расширения‏ ‎(например,‏ ‎для ‎энергетики,‏ ‎облачных ‎вычислений,‏ ‎финансовой ‎сферы) ‎в ‎структуру ‎СУИБ,‏ ‎построенной‏ ‎на‏ ‎базе ‎ISO/IEC‏ ‎27001, ‎и‏ ‎учтены ‎в‏ ‎качестве‏ ‎дополнительных ‎требований.‏ ‎Для ‎этого ‎предусматривается ‎возможность ‎расширения‏ ‎или ‎дополнения‏ ‎отдельных‏ ‎мер ‎контроля, ‎содержащихся‏ ‎в ‎приложении‏ ‎к ‎ISO/IEC ‎27001.

Другие ‎стандарты‏ ‎серии‏ ‎ISO/IEC ‎27000,‏ ‎вероятно, ‎в‏ ‎долгосрочной ‎перспективе ‎будут ‎охватывать ‎диапазон‏ ‎номеров‏ ‎от ‎27000‏ ‎до ‎271xx.‏ ‎Все ‎эти ‎стандарты, ‎так ‎или‏ ‎иначе,‏ ‎связаны‏ ‎с ‎различными‏ ‎аспектами ‎управления‏ ‎информационной ‎безопасностью,‏ ‎и‏ ‎призваны ‎способствовать‏ ‎более ‎глубокому ‎пониманию ‎и ‎эффективному‏ ‎практическому ‎применению‏ ‎требований‏ ‎ISO/IEC ‎27001. ‎Среди‏ ‎таких ‎стандартов‏ ‎можно ‎выделить ‎документы, ‎посвящённые‏ ‎вопросам‏ ‎практической ‎реализации‏ ‎СУИБ ‎и‏ ‎обеспечения ‎непрерывности ‎бизнес-процессов.

Следует ‎отметить, ‎что‏ ‎отраслевые‏ ‎стандарты, ‎такие‏ ‎как ‎ISO/IEC‏ ‎27019 ‎для ‎энергетического ‎сектора, ‎также‏ ‎разрабатываются‏ ‎на‏ ‎основе ‎концепций,‏ ‎заложенных ‎в‏ ‎ISO/IEC ‎27009,‏ ‎что‏ ‎обеспечивает ‎их‏ ‎согласованность ‎с ‎базовыми ‎требованиями ‎информационной‏ ‎безопасности.

COBIT ‎5

COBIT‏ ‎5‏ ‎рассматривает ‎информационные ‎технологии‏ ‎как ‎ключевую‏ ‎основу ‎для ‎достижения ‎организационных‏ ‎целей‏ ‎бизнеса ‎и‏ ‎предписывает, ‎чтобы‏ ‎цели ‎ИТ, ‎а ‎следовательно ‎и‏ ‎информационной‏ ‎безопасности ‎проистекали‏ ‎из ‎бизнес-стратегии,‏ ‎а ‎предоставляемые ‎ИТ-услуги ‎отвечали ‎требованиям‏ ‎качества‏ ‎бизнес-процессов‏ ‎для ‎всей‏ ‎компании. ‎Аналогично‏ ‎методологии ‎ITIL,‏ ‎COBIT‏ ‎5 ‎ориентируются‏ ‎на ‎целенаправленные, ‎оптимизированные ‎ИТ-процессы. ‎Кроме‏ ‎того, ‎COBIT‏ ‎5‏ ‎вводит ‎концепцию ‎«потенциала‏ ‎процесса», ‎которая‏ ‎позволяет ‎оценить ‎способность ‎организации‏ ‎надёжно‏ ‎и ‎устойчиво‏ ‎достигать ‎требуемых‏ ‎целей. ‎Комплексная ‎оценка ‎зрелости ‎всех‏ ‎37‏ ‎процессных ‎областей,‏ ‎разделённых ‎на‏ ‎пять ‎доменов, ‎даёт ‎возможность ‎сделать‏ ‎выводы‏ ‎о‏ ‎профессионализме ‎поддерживающих‏ ‎ИТ-процессов ‎должностных‏ ‎лиц. ‎Документы‏ ‎COBIT‏ ‎издаются ‎Ассоциацией‏ ‎по ‎аудиту ‎и ‎контролю ‎информационных‏ ‎систем ‎(ISACA).‏ ‎При‏ ‎разработке ‎COBIT ‎авторы‏ ‎ориентировались ‎на‏ ‎существующие ‎международные ‎стандарты ‎в‏ ‎области‏ ‎управления ‎информационной‏ ‎безопасностью, ‎в‏ ‎частности, ‎на ‎стандарт ‎ISO/IEC ‎27002.

ITIL

Библиотека‏ ‎информационных‏ ‎технологий ‎и‏ ‎инфраструктуры ‎(Information‏ ‎Technology ‎Infrastructure ‎Library, ‎ITIL) ‎представляет‏ ‎собой‏ ‎комплекс‏ ‎взаимосвязанных ‎методических‏ ‎материалов, ‎посвящённых‏ ‎вопросам ‎управления‏ ‎ИТ-услугами.‏ ‎Данная ‎инициатива‏ ‎была ‎разработана ‎Офисом ‎правительственной ‎торговли‏ ‎(Office ‎of‏ ‎Government‏ ‎Commerce, ‎OGC) ‎соединённого‏ ‎королевства ‎Великобритании.

Основная‏ ‎цель ‎ITIL ‎заключается ‎в‏ ‎оптимизации‏ ‎качества ‎и‏ ‎эффективности ‎ИТ-услуг‏ ‎с ‎позиции ‎ИТ-провайдера, ‎будь ‎то‏ ‎внутреннее‏ ‎ИТ-подразделение ‎компании‏ ‎или ‎сторонний‏ ‎сервис-провайдер. ‎Особое ‎внимание ‎в ‎рамках‏ ‎данного‏ ‎методологического‏ ‎подхода ‎уделяется‏ ‎вопросам ‎информационной‏ ‎безопасности, ‎которые‏ ‎рассматриваются‏ ‎с ‎операционной‏ ‎точки ‎зрения ‎(операционной ‎деятельности). ‎В‏ ‎свою ‎очередь,‏ ‎надлежащее‏ ‎функционирование ‎ИТ-инфраструктуры ‎выступает‏ ‎ключевым ‎фактором‏ ‎эффективного ‎функционирования ‎системы ‎управления‏ ‎информационной‏ ‎безопасностью, ‎в‏ ‎результате ‎чего‏ ‎многие ‎дисциплины ‎ITIL ‎в ‎той‏ ‎или‏ ‎иной ‎мере‏ ‎коррелируют ‎с‏ ‎принципами ‎обеспечения ‎информационной ‎безопасности, ‎закреплёнными‏ ‎в‏ ‎соответствующих‏ ‎стандартах.

На ‎базе‏ ‎методологии ‎ITIL‏ ‎был ‎разработан‏ ‎международный‏ ‎стандарт ‎ISO/IEC‏ ‎20000, ‎который ‎устанавливает ‎требования ‎к‏ ‎системе ‎управления‏ ‎ИТ-услугами‏ ‎и ‎может ‎быть‏ ‎использован ‎в‏ ‎качестве ‎основы ‎для ‎сертификации.

PCI‏ ‎DSS

Стандарт‏ ‎безопасности ‎платёжных‏ ‎карт ‎(PCI‏ ‎DSS) ‎является ‎инструментом ‎для ‎обеспечения‏ ‎информационной‏ ‎безопасности ‎в‏ ‎сфере ‎платежей‏ ‎с ‎использованием ‎банковских ‎карт. ‎Он‏ ‎был‏ ‎разработан‏ ‎Советом ‎по‏ ‎стандартам ‎безопасности‏ ‎платёжных ‎карт,‏ ‎консорциумом‏ ‎ведущих ‎платёжных‏ ‎систем, ‎и ‎определяет ‎требования ‎к‏ ‎защите ‎данных‏ ‎держателей‏ ‎карт ‎для ‎всех‏ ‎компаний, ‎участвующих‏ ‎в ‎обработке, ‎хранении ‎или‏ ‎передаче‏ ‎этих ‎данных.‏ ‎Соблюдение ‎стандарта‏ ‎PCI ‎DSS ‎является ‎обязательным ‎для‏ ‎торговых‏ ‎предприятий, ‎принимающих‏ ‎платежи ‎по‏ ‎картам, ‎а ‎также ‎для ‎провайдеров‏ ‎услуг,‏ ‎оказывающих‏ ‎услуги ‎обработки‏ ‎таких ‎платежей.

NIST

Национальный‏ ‎институт ‎стандартов‏ ‎и‏ ‎технологий ‎(NIST)‏ ‎является ‎федеральным ‎агентством ‎США, ‎ответственным‏ ‎за ‎разработку‏ ‎официальных‏ ‎стандартов ‎и ‎руководств‏ ‎в ‎сфере‏ ‎информационной ‎безопасности. ‎Серия ‎специальных‏ ‎публикаций‏ ‎NIST ‎SP‏ ‎800 ‎содержит‏ ‎обширные ‎рекомендации ‎по ‎различным ‎аспектам‏ ‎информационной‏ ‎безопасности, ‎которые‏ ‎оказывают ‎значительное‏ ‎влияние ‎на ‎формирование ‎передовых ‎практик‏ ‎в‏ ‎этой‏ ‎области ‎на‏ ‎международном ‎уровне.‏ ‎В ‎частности,‏ ‎документ‏ ‎NIST ‎SP‏ ‎800-53 ‎представляет ‎собой ‎всеобъемлющий ‎свод‏ ‎средств ‎управления‏ ‎информационной‏ ‎безопасностью, ‎структурированный ‎по‏ ‎тематическим ‎областям.

ISF‏ ‎— ‎Стандарт ‎надлежащей ‎практики

Форум‏ ‎информационной‏ ‎безопасности ‎(ISF)‏ ‎является ‎независимой‏ ‎международной ‎организацией, ‎специализирующейся ‎на ‎информационной‏ ‎безопасности.‏ ‎ISF ‎публикует‏ ‎Стандарт ‎надлежащей‏ ‎практики ‎(SoGP) ‎— ‎практико-ориентированное ‎руководство‏ ‎по‏ ‎информационной‏ ‎безопасности, ‎основанное‏ ‎на ‎признанных‏ ‎передовых ‎практиках‏ ‎и‏ ‎охватывающее ‎требования‏ ‎ведущих ‎стандартов, ‎таких ‎как ‎ISO/IEC‏ ‎27002, ‎COBIT‏ ‎5,‏ ‎PCI ‎DSS ‎и‏ ‎NIST ‎SP‏ ‎800-53.

Настоящие ‎рекомендации ‎основаны ‎на‏ ‎ИСО‏ ‎27001, ‎а‏ ‎также ‎других‏ ‎стандартах ‎указанных ‎выше.

Внимание! ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на‏ ‎основании ‎ст.‏ ‎1259 ‎ГК ‎РФ.