Концепция ‎информационной‏ ‎безопасности

В ‎соответствии ‎с ‎установленными ‎рекомендациями,‏ ‎процесс ‎разработки‏ ‎концепции‏ ‎информационной ‎безопасности ‎предусматривает‏ ‎последовательное ‎выполнение‏ ‎следующих ‎этапов:

• определение ‎информационного ‎контура‏ ‎защищаемого‏ ‎объекта ‎и‏ ‎установление ‎области‏ ‎применения ‎концепции: ‎На ‎данном ‎этапе‏ ‎осуществляется‏ ‎четкое ‎обозначение‏ ‎границ ‎информационного‏ ‎контура ‎— ‎той ‎части ‎организации‏ ‎(информационной‏ ‎системы,‏ ‎сети, ‎процесса‏ ‎и ‎тому‏ ‎подобного), ‎для‏ ‎которой‏ ‎будет ‎разработана‏ ‎и ‎впоследствии ‎реализована ‎концепция ‎информационной‏ ‎безопасности. ‎В‏ ‎рамках‏ ‎Методологии ‎«Волга-27001» ‎этот‏ ‎информационный ‎контур‏ ‎носит ‎название ‎— ‎информационный‏ ‎комплекс.‏ ‎Все ‎компоненты,‏ ‎входящие ‎в‏ ‎рассматриваемый ‎информационный ‎контур, ‎подлежат ‎защите‏ ‎посредством‏ ‎применения ‎соответствующих‏ ‎мер ‎защиты‏ ‎на ‎основе ‎выполнения ‎определённых ‎требований;
• проведение‏ ‎структурного‏ ‎анализа‏ ‎с ‎целью‏ ‎определения ‎объектов‏ ‎защиты ‎в‏ ‎информационном‏ ‎контуре: ‎в‏ ‎рамках ‎структурного ‎анализа ‎производится ‎идентификация‏ ‎ключевых ‎объектов‏ ‎защиты‏ ‎для ‎определённого ‎информационного‏ ‎контура. ‎К‏ ‎таковым ‎могут ‎относиться: ‎информационные‏ ‎активы,‏ ‎прикладные ‎системы,‏ ‎ИТ-инфраструктура, ‎системы‏ ‎промышленной ‎автоматизации, ‎устройства ‎Интернета ‎вещей,‏ ‎сетевые‏ ‎устройства ‎и‏ ‎компоненты, ‎помещения‏ ‎и ‎здания, ‎а ‎также ‎ответственный‏ ‎за‏ ‎это‏ ‎персонал. ‎Помимо‏ ‎этого, ‎осуществляется‏ ‎анализ ‎взаимосвязей‏ ‎и‏ ‎зависимостей ‎между‏ ‎вышеуказанными ‎объектами. ‎Выявление ‎подобных ‎зависимостей‏ ‎позволяет ‎провести‏ ‎оценку‏ ‎потенциальных ‎последствий ‎инцидентов‏ ‎информационной ‎безопасности‏ ‎для ‎деятельности ‎организации ‎и‏ ‎разработать‏ ‎адекватные ‎меры‏ ‎защиты;
• оценка ‎потребностей‏ ‎в ‎защите: ‎анализ ‎воздействия ‎инцидентов‏ ‎на‏ ‎исследуемые ‎бизнес-процессы.‏ ‎Для ‎каждого‏ ‎значения, ‎выявленного ‎в ‎ходе ‎структурного‏ ‎анализа,‏ ‎определяется‏ ‎уровень ‎необходимой‏ ‎защиты, ‎то‏ ‎есть ‎уровень‏ ‎обеспечения‏ ‎информационной ‎безопасности.

Для‏ ‎определения ‎необходимого ‎уровня ‎обеспечения ‎информационной‏ ‎безопасности ‎следует‏ ‎провести‏ ‎комплексную ‎оценку ‎потребности‏ ‎в ‎защите‏ ‎этих ‎процессов. ‎На ‎основании‏ ‎полученных‏ ‎результатов ‎устанавливается‏ ‎требуемый ‎уровень‏ ‎защиты ‎для ‎приложений, ‎выявленных ‎в‏ ‎ходе‏ ‎структурного ‎анализа,‏ ‎с ‎учетом‏ ‎характера ‎обрабатываемой ‎информации. ‎Далее ‎проводится‏ ‎анализ‏ ‎используемых‏ ‎ИТ-систем ‎и‏ ‎мест ‎обработки‏ ‎соответствующей ‎информации.‏ ‎Уровень‏ ‎обеспечения ‎информационной‏ ‎безопасности ‎бизнес-процессов ‎транслируется ‎на ‎обеспечивающие‏ ‎их ‎функционирование‏ ‎ИТ-системы.‏ ‎Уровень ‎защищенности ‎помещений‏ ‎определяется ‎исходя‏ ‎из ‎требований ‎к ‎защите‏ ‎бизнес-процессов‏ ‎и ‎ИТ-систем,‏ ‎размещенных ‎в‏ ‎данных ‎помещениях ‎и ‎обрабатывающих ‎защищаемую‏ ‎информацию.

Методология‏ ‎основана ‎на‏ ‎реализации ‎требований‏ ‎для ‎нейтрализации ‎угроз ‎или ‎сведения‏ ‎их‏ ‎появления‏ ‎к ‎минимальному‏ ‎и ‎допустимому‏ ‎уровню, ‎который‏ ‎для‏ ‎организации ‎приемлем.‏ ‎Меры ‎защиты ‎имеют ‎уровни ‎зрелости,‏ ‎характеризующие ‎степень‏ ‎их‏ ‎реализации. ‎Методология ‎предполагает‏ ‎обязательное ‎выполнение‏ ‎требований, ‎в ‎том ‎числе‏ ‎и‏ ‎через ‎реализацию‏ ‎мер ‎защиты,‏ ‎при ‎этом ‎допускает ‎вариативность ‎способов‏ ‎реализации,‏ ‎определяющих ‎уровень‏ ‎зрелости ‎конкретной‏ ‎меры. ‎Методология ‎предусматривает ‎минимально ‎допустимый‏ ‎уровень‏ ‎зрелости‏ ‎для ‎каждого‏ ‎требования.

В ‎случае,‏ ‎если ‎сбой‏ ‎в‏ ‎работе ‎ИТ-системы‏ ‎может ‎привести ‎к ‎значительному ‎ущербу‏ ‎с ‎высокой‏ ‎оценочной‏ ‎стоимостью ‎инцидента, ‎это‏ ‎указывает ‎на‏ ‎необходимость ‎установления ‎более ‎высокого‏ ‎уровня‏ ‎обеспечения ‎информационной‏ ‎безопасности.

Методология ‎«Волга-27001»‏ ‎представляет ‎собой ‎комплексный ‎подход ‎к‏ ‎обеспечению‏ ‎информационной ‎безопасности,‏ ‎основанный ‎на‏ ‎требованиях ‎стандарта ‎ISO ‎27001 ‎и‏ ‎дополненный‏ ‎лучшими‏ ‎международными ‎практиками.‏ ‎Ключевые ‎особенности‏ ‎методологии ‎включают:

• модульную‏ ‎структуру‏ ‎требований, ‎охватывающую‏ ‎все ‎направления ‎стандарта ‎ISO ‎27001‏ ‎и ‎дополнительные‏ ‎аспекты‏ ‎безопасности ‎для ‎каждого‏ ‎модуля;
• градацию ‎уровней‏ ‎обеспечения ‎информационной ‎безопасности, ‎влияющую‏ ‎на‏ ‎объем ‎и‏ ‎глубину ‎реализуемых‏ ‎требований. ‎Более ‎высокий ‎уровень ‎предполагает‏ ‎внедрение‏ ‎большего ‎количества‏ ‎требований, ‎включая‏ ‎требования ‎для ‎более ‎низких ‎уровней;
• возможность‏ ‎поэтапного‏ ‎повышения‏ ‎уровня ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎в ‎зависимости‏ ‎от‏ ‎ресурсов ‎и‏ ‎потребностей ‎самой ‎организации;
• последовательный ‎подход ‎к‏ ‎наращиванию ‎уровня‏ ‎защищённости‏ ‎всей ‎организации, ‎не‏ ‎допускающий ‎пропуска‏ ‎промежуточных ‎этапов;
• непрерывное ‎совершенствование ‎методологии‏ ‎на‏ ‎основе ‎российского‏ ‎и ‎международного‏ ‎опыта, ‎а ‎также ‎обратной ‎связи‏ ‎от‏ ‎пользователей ‎(для‏ ‎тех, ‎кто‏ ‎оформит ‎подписку ‎уровня ‎который ‎разрешает‏ ‎личное‏ ‎общение).

Методология‏ ‎«Волга-27001» ‎предоставляет‏ ‎организациям ‎инструментарий‏ ‎для ‎выбора‏ ‎оптимального‏ ‎уровня ‎обеспечения‏ ‎информационной ‎безопасности ‎с ‎учётом ‎имеющихся‏ ‎ресурсов ‎и‏ ‎специфики‏ ‎деятельности. ‎При ‎этом‏ ‎важно ‎отметить,‏ ‎что ‎полная ‎минимизация ‎угроз‏ ‎возможна‏ ‎только ‎на‏ ‎уровне, ‎когда‏ ‎система ‎управления ‎информационной ‎безопасность ‎построена‏ ‎и‏ ‎начала ‎своё‏ ‎совершенствование, ‎в‏ ‎то ‎время ‎как ‎более ‎низкие‏ ‎уровни‏ ‎позволяют‏ ‎только ‎начать‏ ‎строительство ‎такой‏ ‎системы, ‎а‏ ‎соответственно‏ ‎не ‎могут‏ ‎обеспечивать ‎адекватную ‎защиту ‎от ‎угроз.

Доступ‏ ‎к ‎Методологии‏ ‎осуществляется‏ ‎на ‎основе ‎платной‏ ‎подписки. ‎ООО‏ ‎«ЦифраБез» ‎приглашает ‎специалистов ‎по‏ ‎информационной‏ ‎безопасности ‎и‏ ‎организации-пользователей ‎к‏ ‎участию ‎в ‎её ‎дальнейшем ‎развитии‏ ‎и‏ ‎совершенствовании. ‎У‏ ‎нашей ‎Методологии‏ ‎есть ‎все ‎шансы ‎стать ‎лучшей‏ ‎российской‏ ‎практикой‏ ‎для ‎бизнеса.

Настоящим‏ ‎уведомляем, ‎что‏ ‎материалы, ‎размещённые‏ ‎на‏ ‎данной ‎странице,‏ ‎охраняются ‎авторским ‎правом ‎в ‎соответствии‏ ‎со ‎статьей‏ ‎1259‏ ‎Гражданского ‎кодекса ‎Российской‏ ‎Федерации. ‎Третьи‏ ‎лица ‎не ‎вправе ‎использовать‏ ‎с‏ ‎целью ‎создания‏ ‎каких-либо ‎средств‏ ‎обработки ‎представленной ‎информации ‎и ‎размещённых‏ ‎на‏ ‎данной ‎странице‏ ‎результатов ‎интеллектуальной‏ ‎деятельности ‎каким-либо ‎образом ‎без ‎письменного‏ ‎согласия‏ ‎ООО‏ ‎«ЦифраБез». ‎Распространение‏ ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при‏ ‎указании ‎ссылки‏ ‎на ‎данную ‎страницу.

Несанкционированное ‎использование ‎охраняемых‏ ‎авторским ‎правом‏ ‎материалов‏ ‎является ‎нарушением ‎законодательства‏ ‎Российской ‎Федерации‏ ‎и ‎влечёт ‎за ‎собой‏ ‎ответственность,‏ ‎предусмотренную ‎им.

Подход ‎к‏ ‎СУИБ

Методология

Описание ‎системы ‎управления ‎информационной ‎безопасностью‏ ‎(СУИБ), ‎представленной‏ ‎в‏ ‎данных ‎рекомендациях, ‎а‏ ‎также ‎в‏ ‎международных ‎стандартах ‎ISO ‎27000,‏ ‎ISO‏ ‎27001 ‎и‏ ‎ISO ‎27002,‏ ‎носят ‎обобщённый ‎характер ‎и ‎формулируют‏ ‎лишь‏ ‎общие ‎рамочные‏ ‎требования. ‎Такой‏ ‎подход ‎оставляет ‎значительную ‎степень ‎свободы‏ ‎для‏ ‎адаптации‏ ‎и ‎интерпретации‏ ‎при ‎практической‏ ‎реализации ‎указанных‏ ‎требований‏ ‎в ‎условиях‏ ‎конкретных ‎организаций. ‎Основная ‎задача ‎заключается‏ ‎в ‎разработке‏ ‎и‏ ‎внедрении ‎СУИБ, ‎которая‏ ‎не ‎только‏ ‎обеспечивает ‎достижение ‎установленных ‎целей‏ ‎в‏ ‎области ‎информационной‏ ‎безопасности ‎(ИБ),‏ ‎но ‎и ‎остаётся ‎экономически ‎эффективной,‏ ‎учитывая‏ ‎ресурсные ‎ограничения‏ ‎и ‎специфику‏ ‎бизнес-процессов ‎компании. ‎Это ‎требует ‎тщательного‏ ‎анализа‏ ‎рисков,‏ ‎выбора ‎оптимальных‏ ‎мер ‎защиты‏ ‎и ‎их‏ ‎интеграции‏ ‎в ‎существующие‏ ‎процессы ‎управления ‎организацией.

Разработка ‎концепции ‎ИБ‏ ‎для ‎компании‏ ‎представляет‏ ‎собой ‎один ‎из‏ ‎наиболее ‎сложных‏ ‎и ‎ответственных ‎процессов. ‎Ключевыми‏ ‎этапами‏ ‎создания ‎такой‏ ‎концепции ‎являются‏ ‎оценка ‎рисков, ‎выбор ‎соответствующих ‎мер‏ ‎защиты,‏ ‎а ‎также‏ ‎контроль ‎за‏ ‎реализацией ‎этих ‎мер. ‎Особое ‎внимание‏ ‎следует‏ ‎уделить‏ ‎выбору ‎методологии‏ ‎анализа ‎рисков,‏ ‎поскольку ‎данный‏ ‎выбор‏ ‎напрямую ‎влияет‏ ‎на ‎трудоёмкость ‎и ‎эффективность ‎разработки‏ ‎концепции.

Наши ‎рекомендации‏ ‎предлагают‏ ‎универсальные ‎подходы, ‎которые‏ ‎подходят ‎для‏ ‎большинства ‎случаев ‎и ‎позволяют‏ ‎адаптировать‏ ‎процесс ‎в‏ ‎зависимости ‎от‏ ‎специфики ‎компании. ‎В ‎зависимости ‎от‏ ‎требуемого‏ ‎уровня ‎обеспечения‏ ‎ИБ, ‎в‏ ‎области, ‎которую ‎компания ‎выбирает ‎сама,‏ ‎вы‏ ‎можете‏ ‎постепенно ‎и‏ ‎последовательно ‎выстраивать‏ ‎у ‎себя‏ ‎полноценную‏ ‎СУИБ. ‎Этот‏ ‎поэтапный ‎подход ‎не ‎просто ‎позволяет‏ ‎экономить ‎ресурсы,‏ ‎а‏ ‎в ‎целом ‎создавать‏ ‎эффективную ‎и‏ ‎действительно ‎нужную ‎компании ‎систему‏ ‎ИБ.‏ ‎Подробно ‎об‏ ‎этом ‎подходе‏ ‎можно ‎прочитать ‎в ‎Методологии ‎«Волга-27001»,‏ ‎которая‏ ‎публикуется ‎по‏ ‎платной ‎подписке‏ ‎(sponsr.ru/volga27001).

В ‎сравнении ‎с ‎традиционными ‎количественными‏ ‎методами‏ ‎анализа‏ ‎рисков, ‎предлагаемая‏ ‎методология ‎является‏ ‎более ‎экономичной‏ ‎и‏ ‎практико-ориентированной. ‎Её‏ ‎ценность ‎заключается ‎не ‎только ‎в‏ ‎описании ‎общих‏ ‎принципов‏ ‎внедрения ‎СУИБ, ‎но‏ ‎и ‎в‏ ‎чётком ‎указании ‎на ‎конкретные‏ ‎требования,‏ ‎которые ‎подлежат‏ ‎именно ‎практической‏ ‎реализации. ‎Это ‎позволяет ‎минимизировать ‎риски‏ ‎и‏ ‎обеспечить ‎эффективный‏ ‎уровень ‎обеспечения‏ ‎информационной ‎безопасности ‎для ‎информационных ‎активов‏ ‎компании.

Практические‏ ‎рекомендации‏ ‎по ‎выполнению‏ ‎установленных, ‎методологией‏ ‎«Волга-27001», ‎требований‏ ‎в‏ ‎области ‎ИБ‏ ‎доступны ‎в ‎соответствующих ‎методических ‎материалах,‏ ‎доступных ‎по‏ ‎подписке.

Данные‏ ‎рекомендации ‎охватывают ‎различные‏ ‎подходы ‎к‏ ‎организации ‎ИБ ‎и ‎представляют‏ ‎особую‏ ‎ценность ‎для‏ ‎малых ‎и‏ ‎средних ‎компаний. ‎Они ‎обеспечивают ‎этапы‏ ‎внедрения‏ ‎ИБ ‎и‏ ‎способствуют ‎построению‏ ‎СУИБ. ‎В ‎рекомендациях ‎по ‎методологии‏ ‎построения‏ ‎СУИБ‏ ‎каждый ‎этап‏ ‎подробно ‎описывается,‏ ‎что ‎позволяет‏ ‎организациям‏ ‎последовательно ‎и‏ ‎эффективно ‎выполнять ‎требования.

Отдельно ‎стоит ‎отметить,‏ ‎что ‎сертификат‏ ‎соответствия‏ ‎стандарту ‎ГОСТ ‎Р‏ ‎ИСО/МЭК ‎27001‏ ‎в ‎настоящее ‎время ‎не‏ ‎всегда‏ ‎гарантирует ‎реальное‏ ‎выполнение ‎требований.‏ ‎На ‎практике ‎его ‎можно ‎получить‏ ‎в‏ ‎кратчайшие ‎сроки‏ ‎(например, ‎за‏ ‎три ‎дня) ‎без ‎проведения ‎полноценной‏ ‎проверки.‏ ‎В‏ ‎таких ‎случаях‏ ‎организациям ‎просто‏ ‎предоставляется ‎пакет‏ ‎документов,‏ ‎что ‎не‏ ‎соответствует ‎принципам ‎прозрачности ‎и ‎достоверности.‏ ‎Не ‎смотря‏ ‎на‏ ‎наличие ‎сертификата, ‎реальное‏ ‎положение ‎дел‏ ‎в ‎ИБ ‎у ‎компании‏ ‎оставляет‏ ‎желать ‎лучшего.

В‏ ‎связи ‎с‏ ‎этим ‎ООО ‎«ЦифраБез» ‎предлагает ‎собственную‏ ‎систему‏ ‎добровольной ‎сертификации‏ ‎— ‎«Волга-27001»,‏ ‎которая ‎подтверждает, ‎что ‎организация ‎действительно‏ ‎выполняет‏ ‎требования‏ ‎рекомендаций ‎для‏ ‎заявленного ‎уровня‏ ‎обеспечения ‎ИБ‏ ‎в‏ ‎определённой ‎области‏ ‎применения. ‎Наша ‎система ‎сертификации ‎является‏ ‎прозрачной. ‎Сертификат‏ ‎выдаётся‏ ‎сроком ‎на ‎три‏ ‎года ‎с‏ ‎ежегодной ‎дистанционной ‎проверкой ‎выполнения‏ ‎требований.

Система‏ ‎добровольной ‎сертификации‏ ‎«Волга-27001», ‎разработанная‏ ‎ООО ‎«ЦифраБез», ‎представляет ‎собой ‎комплексный‏ ‎механизм‏ ‎подтверждения ‎соответствия‏ ‎организаций ‎требованиям‏ ‎рекомендаций ‎в ‎области ‎обеспечения ‎ИБ‏ ‎для‏ ‎заявленных‏ ‎уровней ‎обеспечения‏ ‎ИБ. ‎Данная‏ ‎система ‎сертификации‏ ‎обоснована‏ ‎следующими ‎ключевыми‏ ‎аспектами:

• сертификат ‎«Волга-27001» ‎базируется ‎на ‎принципах,‏ ‎аналогичных ‎стандартам‏ ‎ISO/IEC‏ ‎27001, ‎адаптированным ‎под‏ ‎специфику ‎российского‏ ‎регуляторного ‎ландшафта ‎и ‎отраслевые‏ ‎потребности.‏ ‎Это ‎обеспечивает‏ ‎гармонизацию ‎с‏ ‎глобальными ‎подходами ‎к ‎управлению ‎ИБ,‏ ‎что‏ ‎способствует ‎укреплению‏ ‎доверия ‎со‏ ‎стороны ‎партнёров ‎и ‎клиентов;
• все ‎этапы‏ ‎оценки‏ ‎соответствия,‏ ‎включая ‎аудит‏ ‎документированных ‎процессов,‏ ‎технических ‎решений‏ ‎и‏ ‎организационных ‎мер,‏ ‎регламентированы ‎внутренними ‎положениями ‎системы. ‎Критерии‏ ‎оценки, ‎методики‏ ‎проверки‏ ‎и ‎требования ‎к‏ ‎заявителям ‎доступны‏ ‎по ‎подписке, ‎что ‎исключает‏ ‎субъективность‏ ‎и ‎обеспечивает‏ ‎равные ‎условия‏ ‎для ‎желающих;
• установленный ‎период ‎действия ‎сертификата‏ ‎(3‏ ‎года) ‎соответствует‏ ‎оптимальному ‎балансу‏ ‎между ‎стабильностью ‎статуса ‎организации ‎и‏ ‎необходимостью‏ ‎регулярного‏ ‎мониторинга ‎актуальности‏ ‎внедрённых ‎мер‏ ‎ИБ. ‎Ежегодные‏ ‎дистанционные‏ ‎проверки ‎позволяют‏ ‎оперативно ‎выявлять ‎отклонения ‎от ‎установленных‏ ‎требований, ‎стимулируя‏ ‎непрерывное‏ ‎совершенствование ‎системы ‎защиты‏ ‎информации;
• система ‎предусматривает‏ ‎гибкую ‎оценку ‎в ‎зависимости‏ ‎от‏ ‎выбранного ‎уровня‏ ‎обеспечения ‎ИБ.‏ ‎Такой ‎подход ‎позволяет ‎учитывать ‎отраслевую‏ ‎специфику‏ ‎и ‎масштаб‏ ‎рисков, ‎что‏ ‎повышает ‎практическую ‎ценность ‎сертификата ‎для‏ ‎заказчиков‏ ‎и‏ ‎регуляторов, ‎а‏ ‎также ‎эффективно‏ ‎использовать ‎имеющиеся‏ ‎финансовые‏ ‎и ‎другие‏ ‎ресурсы ‎своей ‎компании;
• использование ‎дистанционных ‎инструментов‏ ‎проверки ‎сокращает‏ ‎административную‏ ‎нагрузку ‎на ‎организации,‏ ‎снижает ‎издержки‏ ‎и ‎соответствует ‎современным ‎трендам‏ ‎цифровизации‏ ‎контрольных ‎процедур.‏ ‎При ‎этом‏ ‎обеспечивается ‎достаточная ‎глубина ‎анализа ‎за‏ ‎счёт‏ ‎предоставления ‎электронных‏ ‎доказательств ‎выполнения‏ ‎требований ‎(лог-файлы, ‎скриншоты, ‎отчёты ‎систем‏ ‎мониторинга‏ ‎и‏ ‎другое);
• наличие ‎сертификата‏ ‎«Волга-27001» ‎позволяет‏ ‎организациям ‎демонстрировать‏ ‎соответствие‏ ‎актуальным ‎стандартам‏ ‎ИБ, ‎что ‎усиливает ‎их ‎позиции‏ ‎на ‎рынке,‏ ‎где‏ ‎наличие ‎подтверждённых ‎компетенций‏ ‎в ‎области‏ ‎защиты ‎информации ‎является ‎критически‏ ‎важным.‏ ‎Важно ‎отметить,‏ ‎что ‎сертификат,‏ ‎подтверждающий ‎третий ‎уровень ‎обеспечения ‎ИБ,‏ ‎свидетельствует‏ ‎о ‎том,‏ ‎что ‎данная‏ ‎область ‎применения ‎уже ‎соответствует ‎требованиям‏ ‎стандарта‏ ‎ISO‏ ‎27001. ‎Более‏ ‎того, ‎организации,‏ ‎получившие ‎сертификат‏ ‎такого‏ ‎уровня ‎в‏ ‎системе ‎сертификации ‎«Волга-27001», ‎могут ‎успешно‏ ‎пройти ‎сертификацию‏ ‎по‏ ‎ISO ‎27001 ‎для‏ ‎соответствующей ‎области‏ ‎применения.

Система ‎добровольной ‎сертификации ‎«Волга-27001»‏ ‎обеспечивает‏ ‎объективную, ‎технологичную‏ ‎и ‎экономически‏ ‎эффективную ‎модель ‎подтверждения ‎зрелости ‎процессов‏ ‎ИБ.‏ ‎Её ‎внедрение‏ ‎способствует ‎формированию‏ ‎культуры ‎ответственного ‎отношения ‎к ‎защите‏ ‎информации,‏ ‎минимизирует‏ ‎репутационные ‎и‏ ‎операционные ‎риски‏ ‎организаций, ‎а‏ ‎также‏ ‎соответствует ‎стратегическим‏ ‎задачам ‎развития ‎цифровой ‎экономики ‎в‏ ‎части ‎обеспечения‏ ‎киберустойчивости‏ ‎компаний.

Более ‎подробная ‎информация‏ ‎о ‎нашей‏ ‎системе ‎сертификации ‎и ‎условиях‏ ‎её‏ ‎получения ‎представлена‏ ‎в ‎соответствующем‏ ‎разделе ‎методологии ‎доступной ‎по ‎подписке.

Процесс‏ ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎после ‎достижения‏ ‎определённого ‎уровня ‎обеспечения ‎информационной ‎безопасности‏ ‎в‏ ‎выбранной‏ ‎области ‎применения

Анализ‏ ‎общепринятых ‎методов,‏ ‎передовых ‎практик‏ ‎и‏ ‎стандартов ‎в‏ ‎области ‎управления ‎ИБ ‎показывает, ‎что‏ ‎они ‎имеют‏ ‎схожие‏ ‎подходы ‎к ‎описанию‏ ‎основных ‎процессов‏ ‎и ‎обязанностей ‎высшего ‎руководства‏ ‎компании.‏ ‎Однако ‎существенные‏ ‎различия ‎наблюдаются‏ ‎в ‎методологиях ‎разработки ‎концепции ‎ИБ,‏ ‎особенно‏ ‎в ‎части‏ ‎оценки ‎рисков‏ ‎и ‎выбора ‎соответствующих ‎защитных ‎мер‏ ‎для‏ ‎выполнения‏ ‎требований.

Учитывая ‎это,‏ ‎методология ‎«Волга-27001»‏ ‎предлагает ‎следующий‏ ‎базовый‏ ‎алгоритм ‎создания‏ ‎концепции ‎ИБ:

• принятие ‎решения ‎о ‎разработке‏ ‎концепции ‎и‏ ‎формирование‏ ‎рабочей ‎группы ‎с‏ ‎участием ‎представителей‏ ‎ключевых ‎подразделений ‎компании;
• определение ‎ролей‏ ‎и‏ ‎ответственности ‎в‏ ‎области ‎обеспечения‏ ‎ИБ;
• проведение ‎анализа ‎рисков ‎ИБ, ‎включающего‏ ‎идентификацию‏ ‎критичных ‎информационных‏ ‎активов, ‎оценку‏ ‎угроз ‎и ‎уязвимостей, ‎а ‎также‏ ‎потенциального‏ ‎ущерба;
• определение‏ ‎требований ‎и‏ ‎целей ‎ИБ‏ ‎на ‎основе‏ ‎результатов‏ ‎анализа ‎рисков‏ ‎и ‎бизнес-потребностей ‎компании;
• разработка ‎стратегии ‎и‏ ‎политики ‎ИБ,‏ ‎определяющих‏ ‎принципы ‎защиты ‎и‏ ‎основные ‎организационные‏ ‎и ‎технические ‎меры;
• выбор ‎конкретных‏ ‎мер‏ ‎и ‎средств‏ ‎защиты ‎информации‏ ‎с ‎учетом ‎их ‎экономической ‎эффективности;
• разработка‏ ‎плана‏ ‎внедрения ‎выбранных‏ ‎мер ‎защиты‏ ‎и ‎совершенствования ‎системы ‎управления ‎ИБ;
• документирование‏ ‎концепции‏ ‎ИБ‏ ‎и ‎её‏ ‎утверждение ‎высшим‏ ‎руководством ‎компании.

Данный‏ ‎подход‏ ‎позволяет ‎учесть‏ ‎специфику ‎организации ‎и ‎обеспечить ‎системность‏ ‎в ‎управлении‏ ‎ИБ.

Оценка‏ ‎рисков

Анализ ‎рисков ‎ИБ‏ ‎имеет ‎существенные‏ ‎отличия ‎от ‎классических ‎методов‏ ‎оценки‏ ‎рисков. ‎Применение‏ ‎традиционных ‎количественных‏ ‎методов ‎анализа ‎рисков ‎в ‎сфере‏ ‎ИБ‏ ‎зачастую ‎затруднено‏ ‎или ‎невозможно‏ ‎из-за ‎отсутствия ‎необходимых ‎статистических ‎и‏ ‎исторических‏ ‎данных.‏ ‎Даже ‎в‏ ‎случаях, ‎когда‏ ‎такие ‎расчёты‏ ‎осуществимы,‏ ‎интерпретация ‎полученных‏ ‎результатов ‎может ‎представлять ‎значительные ‎трудности.

Специфика‏ ‎анализа ‎рисков‏ ‎в‏ ‎области ‎ИБ ‎обусловлена‏ ‎динамичностью ‎и‏ ‎непредсказуемостью ‎соответствующих ‎угроз, ‎а‏ ‎также‏ ‎сложностью ‎количественной‏ ‎оценки ‎ряда‏ ‎ключевых ‎факторов, ‎таких ‎как ‎вероятность‏ ‎реализации‏ ‎киберугроз, ‎масштаб‏ ‎потенциального ‎ущерба‏ ‎и ‎эффективность ‎применяемых ‎средств ‎защиты.‏ ‎В‏ ‎связи‏ ‎с ‎этим‏ ‎в ‎сфере‏ ‎ИБ ‎все‏ ‎чаще‏ ‎применяются ‎качественные‏ ‎методы ‎анализа ‎рисков, ‎основанные ‎на‏ ‎экспертных ‎оценках‏ ‎и‏ ‎сценарном ‎моделировании. ‎Такое‏ ‎моделирование ‎рекомендуется‏ ‎проводить ‎только ‎для ‎систем‏ ‎с‏ ‎уровнем ‎предназначенным‏ ‎для ‎развивающегося‏ ‎малого ‎или ‎уже ‎среднего ‎бизнеса.‏ ‎До‏ ‎этих ‎уровней‏ ‎стоит ‎проводить‏ ‎оценку ‎на ‎количественном ‎или ‎качественном‏ ‎уровне‏ ‎не‏ ‎затрагивая ‎бизнес-процессы‏ ‎и ‎не‏ ‎проводя ‎анализ‏ ‎воздействия‏ ‎на ‎бизнес-деятельность‏ ‎компании. ‎Такой ‎подход ‎позволяет ‎учесть‏ ‎специфику ‎ИБ‏ ‎и‏ ‎обеспечить ‎более ‎адекватную‏ ‎оценку ‎рисков‏ ‎в ‎условиях ‎высокой ‎неопределенности‏ ‎и‏ ‎динамичности ‎угроз.

В‏ ‎рамках ‎традиционного‏ ‎методологического ‎подхода ‎к ‎анализу ‎рисков,‏ ‎количественная‏ ‎оценка ‎риска‏ ‎определяется ‎как‏ ‎произведение ‎потенциального ‎ущерба ‎на ‎вероятность‏ ‎его‏ ‎возникновения.‏ ‎Рассмотрим ‎два‏ ‎альтернативных ‎сценария:

1. Утечка‏ ‎конфиденциальных ‎данных‏ ‎клиентов‏ ‎вследствие ‎кибератаки,‏ ‎с ‎оценочным ‎ущербом ‎в ‎5‏ ‎миллионов ‎рублей‏ ‎и‏ ‎статистической ‎вероятностью ‎наступления‏ ‎события ‎один‏ ‎раз ‎в ‎720 ‎дней‏ ‎(приблизительно‏ ‎1,97 ‎года).‏ ‎В ‎данном‏ ‎случае ‎теоретическая ‎величина ‎риска ‎составляет‏ ‎6‏ ‎944,44 ‎рубля‏ ‎в ‎день‏ ‎или ‎2 ‎534 ‎722,22 ‎рубля‏ ‎в‏ ‎год.
2. Временный‏ ‎сбой ‎в‏ ‎работе ‎корпоративной‏ ‎системы ‎электронной‏ ‎почты,‏ ‎приводящий ‎к‏ ‎снижению ‎производительности ‎труда, ‎с ‎ущербом‏ ‎в ‎5‏ ‎000‏ ‎рублей ‎и ‎статистической‏ ‎частотой ‎инцидента‏ ‎один ‎раз ‎в ‎10‏ ‎рабочих‏ ‎дней. ‎Здесь‏ ‎теоретическая ‎величина‏ ‎риска ‎составляет ‎500 ‎рублей ‎в‏ ‎день‏ ‎или ‎182‏ ‎500 ‎рублей‏ ‎в ‎год ‎(при ‎расчете ‎на‏ ‎365‏ ‎дней).

Несмотря‏ ‎на ‎значительную‏ ‎разницу ‎в‏ ‎количественных ‎показателях‏ ‎риска‏ ‎в ‎денежном‏ ‎выражении, ‎указанные ‎сценарии ‎по-прежнему ‎требуют‏ ‎дифференцированных ‎подходов‏ ‎в‏ ‎рамках ‎комплексной ‎системы‏ ‎управления ‎рисками‏ ‎организации. ‎При ‎различных ‎числовых‏ ‎значениях,‏ ‎практические ‎последствия‏ ‎реализации ‎рассматриваемых‏ ‎рисков ‎и ‎методы ‎их ‎минимизации‏ ‎существенно‏ ‎различаются.

В ‎связи‏ ‎с ‎этим,‏ ‎при ‎разработке ‎стратегии ‎управления ‎рисками‏ ‎необходимо‏ ‎учитывать‏ ‎не ‎только‏ ‎количественные ‎показатели,‏ ‎но ‎и‏ ‎качественные‏ ‎характеристики ‎потенциальных‏ ‎угроз, ‎их ‎влияние ‎на ‎непрерывность‏ ‎бизнес-процессов, ‎репутационные‏ ‎аспекты‏ ‎и ‎долгосрочные ‎последствия‏ ‎для ‎организации.‏ ‎Это ‎позволит ‎обеспечить ‎более‏ ‎эффективное‏ ‎распределение ‎ресурсов‏ ‎и ‎разработку‏ ‎адекватных ‎мер ‎по ‎снижению ‎рисков‏ ‎в‏ ‎соответствии ‎с‏ ‎их ‎спецификой‏ ‎и ‎потенциальным ‎воздействием ‎на ‎деятельность‏ ‎организации,‏ ‎но‏ ‎только ‎после‏ ‎того, ‎как‏ ‎организация ‎выстроит‏ ‎работающую‏ ‎систему ‎ИБ‏ ‎в ‎выбранной ‎области ‎применения.

Представленные ‎рекомендации‏ ‎предусматривают ‎применение‏ ‎как‏ ‎качественного ‎подхода ‎к‏ ‎оценке ‎рисков,‏ ‎обеспечивающего ‎получение ‎релевантных ‎данных‏ ‎для‏ ‎анализа ‎инцидентов,‏ ‎способных ‎оказать‏ ‎негативное ‎воздействие ‎на ‎бизнес-процессы, ‎так‏ ‎и‏ ‎количественное, ‎а‏ ‎также ‎сценарное,‏ ‎зависящее ‎от ‎выбираемого ‎уровня ‎обеспечения‏ ‎ИБ‏ ‎в‏ ‎выбранной ‎области‏ ‎применения.

Рекомендации ‎базируются‏ ‎на ‎принципе,‏ ‎согласно‏ ‎которому ‎обеспечение‏ ‎безопасной ‎обработки ‎информации, ‎критически ‎значимой‏ ‎для ‎бизнеса,‏ ‎является‏ ‎обязательным ‎требованием ‎вне‏ ‎зависимости ‎от‏ ‎отраслевой ‎специфики ‎и ‎профиля‏ ‎деятельности‏ ‎организации.  ‎Но‏ ‎компании ‎предоставляется‏ ‎полное ‎право ‎самой ‎определять, ‎что‏ ‎будет‏ ‎защищаться ‎в‏ ‎первую ‎очередь,‏ ‎затем ‎во ‎вторую, ‎после ‎в‏ ‎третью‏ ‎и‏ ‎так ‎далее.

Ключевым‏ ‎преимуществом ‎предлагаемой‏ ‎методологии ‎является‏ ‎унификация‏ ‎подхода: ‎организации‏ ‎применяющие ‎данные ‎рекомендации, ‎получают ‎единую‏ ‎нормативную ‎базу‏ ‎для‏ ‎проведения ‎оценочных ‎процедур.‏ ‎Это ‎способствует‏ ‎повышению ‎прозрачности ‎и ‎согласованности‏ ‎процессов‏ ‎управления ‎рисками,‏ ‎а ‎также‏ ‎формирует ‎доверительную ‎среду ‎для ‎субъектов,‏ ‎стремящихся‏ ‎обеспечить ‎эффективную‏ ‎защиту ‎своего‏ ‎бизнеса ‎от ‎киберугроз ‎и ‎улучшить‏ ‎состояние‏ ‎ИБ‏ ‎в ‎компании.

Настоящим‏ ‎уведомляем, ‎что‏ ‎материалы, ‎размещённые‏ ‎на‏ ‎данной ‎странице,‏ ‎охраняются ‎авторским ‎правом ‎в ‎соответствии‏ ‎со ‎статьей‏ ‎1259‏ ‎Гражданского ‎кодекса ‎Российской‏ ‎Федерации. ‎Использование‏ ‎результатов ‎интеллектуальной ‎деятельности, ‎представленных‏ ‎на‏ ‎данной ‎странице,‏ ‎в ‎том‏ ‎числе ‎для ‎создания ‎средств ‎обработки‏ ‎информации,‏ ‎без ‎письменного‏ ‎согласия ‎правообладателя‏ ‎— ‎ООО ‎«ЦифраБез» ‎— ‎запрещено.

Распространение‏ ‎данной‏ ‎информации‏ ‎допускается ‎только‏ ‎при ‎обязательном‏ ‎указании ‎ссылки‏ ‎на‏ ‎источник ‎(данную‏ ‎страницу).

Несанкционированное ‎использование ‎охраняемых ‎авторским ‎правом‏ ‎материалов ‎является‏ ‎нарушением‏ ‎законодательства ‎Российской ‎Федерации‏ ‎и ‎влечёт‏ ‎за ‎собой ‎ответственность, ‎предусмотренную‏ ‎им.

Непрерывное ‎совершенствование‏ ‎концепции ‎ИБ

Регулярный ‎пересмотр ‎концепции ‎информационной‏ ‎безопасности ‎является‏ ‎необходимым‏ ‎условием ‎для ‎устранения‏ ‎выявленных ‎несоответствий‏ ‎и ‎уязвимостей, ‎а ‎также‏ ‎оптимизации‏ ‎мер ‎защиты‏ ‎реализованных ‎для‏ ‎исполнения ‎требований ‎с ‎точки ‎зрения‏ ‎их‏ ‎эффективности.

Особое ‎внимание‏ ‎следует ‎уделять‏ ‎повышению ‎практической ‎применимости ‎технических ‎средств‏ ‎и‏ ‎организационных‏ ‎процедур, ‎что‏ ‎позволит ‎повысить‏ ‎уровень ‎принятия‏ ‎мер‏ ‎защиты ‎персоналом.‏ ‎Кроме ‎того, ‎целесообразно ‎регулярно ‎анализировать‏ ‎формулировки ‎соответствующих‏ ‎мер‏ ‎защиты ‎на ‎предмет‏ ‎их ‎логичности‏ ‎и ‎однозначности ‎понимания, ‎внося‏ ‎при‏ ‎необходимости ‎соответствующие‏ ‎уточнения ‎и‏ ‎коррективы.

Ключевые ‎аспекты ‎непрерывного ‎совершенствования:

• устранение ‎выявленных‏ ‎несоответствий‏ ‎и ‎уязвимостей;
• оптимизация‏ ‎эффективности ‎мер‏ ‎защиты;
• повышение ‎уровня ‎зрелости ‎мер ‎защиты;
• повышение‏ ‎практической‏ ‎применимости‏ ‎и ‎приемлемости‏ ‎мер ‎защиты;
• регулярный‏ ‎анализ ‎мер‏ ‎защиты‏ ‎и ‎уровней‏ ‎их ‎зрелости.

Сертификация ‎СУИБ

Построение ‎и ‎эксплуатация‏ ‎эффективной ‎СУИБ‏ ‎является‏ ‎сложной ‎и ‎трудоёмкой‏ ‎задачей. ‎Тем‏ ‎не ‎менее ‎при ‎успешной‏ ‎реализации‏ ‎такой ‎системы,‏ ‎её ‎наличие‏ ‎и ‎функционирование ‎может ‎быть ‎весьма‏ ‎полезным‏ ‎как ‎для‏ ‎внутренних, ‎так‏ ‎и ‎для ‎внешних ‎целей ‎компании.

Можно‏ ‎отметить‏ ‎следующее:

• внутренние‏ ‎цели ‎включают‏ ‎прозрачное ‎документирование‏ ‎и ‎демонстрацию‏ ‎приверженности‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности. ‎Это ‎может ‎укрепить‏ ‎корпоративную ‎культуру‏ ‎и‏ ‎повысить ‎осведомлённость ‎сотрудников;
• во‏ ‎внешнем ‎аспекте‏ ‎наличие ‎сертифицированной ‎СУИБ ‎может‏ ‎служить‏ ‎важным ‎сигналом‏ ‎качества ‎и‏ ‎надёжности ‎для ‎клиентов, ‎партнёров ‎и‏ ‎иных‏ ‎заинтересованных ‎сторон.‏ ‎Таким ‎образом,‏ ‎это ‎может ‎обеспечить ‎организации ‎определённое‏ ‎конкурентное‏ ‎преимущество.‏ ‎Сертификат, ‎который‏ ‎покупают ‎за‏ ‎три ‎дня,‏ ‎не‏ ‎является ‎тем‏ ‎сертификатом, ‎который ‎позволит ‎компании ‎гордиться‏ ‎своей ‎СУИБ;
• кроме‏ ‎того,‏ ‎органы ‎государственной ‎власти‏ ‎могут ‎применять‏ ‎механизмы ‎сертификации ‎СУИБ ‎для‏ ‎повышения‏ ‎уровня ‎доверия‏ ‎граждан ‎к‏ ‎безопасности ‎электронных ‎государственных ‎услуг ‎и‏ ‎инфраструктуры.

Ещё‏ ‎одним ‎фактором,‏ ‎стимулирующим ‎компании‏ ‎к ‎сертификации ‎СУИБ, ‎является ‎необходимость‏ ‎соответствия‏ ‎нормативным‏ ‎требованиям ‎и‏ ‎законодательству ‎в‏ ‎области ‎информационной‏ ‎безопасности.

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27001 ‎(и ‎его ‎российский ‎аналог)‏ ‎является ‎основополагающим‏ ‎в‏ ‎области ‎сертификации ‎СУИБ.‏ ‎Процедура ‎сертификации‏ ‎предусматривает ‎проверку ‎и ‎аудит‏ ‎независимыми‏ ‎компетентными ‎органами.

Для‏ ‎обеспечения ‎повторяемости‏ ‎и ‎воспроизводимости ‎результатов ‎сертификационных ‎аудитов‏ ‎необходимы‏ ‎опытные ‎и‏ ‎квалифицированные ‎аудиторы.‏ ‎Следовательно, ‎аудиторы ‎должны ‎продемонстрировать ‎наличие‏ ‎требуемых‏ ‎профессиональных‏ ‎знаний, ‎а‏ ‎также ‎знание‏ ‎и ‎соблюдение‏ ‎установленных‏ ‎правил ‎и‏ ‎процедур. ‎Данный ‎процесс ‎основывается ‎на‏ ‎дополнительных ‎стандартах‏ ‎ISO,‏ ‎призванных ‎гарантировать ‎высокий‏ ‎уровень ‎качества‏ ‎и ‎прослеживаемость ‎сертификатов.

Общепринятая ‎защита‏ ‎ИТ‏ ‎— ‎инфраструктуры‏ ‎и ‎информации‏ ‎в ‎целом ‎базируется ‎на ‎требованиях‏ ‎ISO/IEC‏ ‎27001. ‎Следовательно,‏ ‎внедрение ‎комплекса‏ ‎мер ‎информационной ‎безопасности ‎в ‎соответствии‏ ‎с‏ ‎этим‏ ‎стандартом ‎также‏ ‎может ‎быть‏ ‎сертифицировано ‎в‏ ‎России‏ ‎посредством ‎создания‏ ‎СУИБ. ‎При ‎этом ‎качественные ‎органы‏ ‎по ‎сертификации‏ ‎информационной‏ ‎безопасности ‎не ‎просто‏ ‎проверяют, ‎но‏ ‎и ‎помогают ‎интегрировать ‎требования‏ ‎ISO/IEC‏ ‎27001 ‎в‏ ‎компании.

Выдача ‎сертификата‏ ‎ISO ‎27001 ‎по ‎основам ‎информационной‏ ‎безопасности‏ ‎предполагает ‎проведение‏ ‎аудита ‎внешним‏ ‎аудитором, ‎имеющим ‎соответствующую ‎аккредитацию. ‎По‏ ‎результатам‏ ‎аудита‏ ‎формируется ‎отчёт,‏ ‎представляемый ‎в‏ ‎орган ‎по‏ ‎сертификации‏ ‎для ‎принятия‏ ‎решения ‎о ‎выдаче ‎сертификата ‎сроком‏ ‎на ‎три‏ ‎года.

ООО‏ ‎«ЦифраБез» ‎оказывает ‎помощь‏ ‎и ‎поддержку‏ ‎для ‎создания ‎СУИБ ‎в‏ ‎компании,‏ ‎а ‎также‏ ‎подготовит ‎её‏ ‎к ‎сертификации. ‎Однако ‎на ‎уровне‏ ‎ОИБВОП‏ ‎до ‎«Официального»‏ ‎мы ‎не‏ ‎рекомендуем ‎проводить ‎сертификацию, ‎так ‎как‏ ‎это‏ ‎не‏ ‎является ‎целесообразным.‏ ‎Сертификацию ‎необходимо‏ ‎проводить ‎выше‏ ‎уровня‏ ‎ОИБВОП ‎«Официальный»,‏ ‎но ‎это ‎не ‎отменяет ‎само‏ ‎создание ‎СУИБ‏ ‎и‏ ‎внедрение ‎мер ‎защиты‏ ‎для ‎исполнения‏ ‎требований ‎выбранного ‎уровня ‎ОИБВОП‏ ‎и‏ ‎ниже.

Внимание! ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на ‎основании ‎статьи ‎1259‏ ‎ГК‏ ‎РФ.

Третьи ‎лица‏ ‎не ‎вправе‏ ‎использовать ‎с ‎целью ‎создания ‎каких-либо‏ ‎средств‏ ‎обработки‏ ‎представленной ‎информации‏ ‎и ‎размещённых‏ ‎на ‎данной‏ ‎странице‏ ‎результатов ‎интеллектуальной‏ ‎деятельности ‎каким-либо ‎образом ‎без ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез».‏ ‎Распространение ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на‏ ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое ‎использование ‎осуществляется ‎без‏ ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и ‎влечёт ‎ответственность, ‎установленную‏ ‎действующим‏ ‎законодательством‏ ‎РФ.

Концепция ‎информационной‏ ‎безопасности

Разработка ‎концепции

Чтобы ‎достичь ‎целей ‎информационной‏ ‎безопасности ‎и‏ ‎желаемого‏ ‎уровня ‎ОИБВОП, ‎необходимо,‏ ‎прежде ‎всего,‏ ‎исследовать ‎взаимосвязь ‎между ‎выполнением‏ ‎задач,‏ ‎бизнес-процессов ‎и‏ ‎такими ‎свойствами‏ ‎информации, ‎как: ‎конфиденциальность, ‎целостность ‎и‏ ‎доступность.‏ ‎Кроме ‎того,‏ ‎следует ‎рассмотреть‏ ‎возможные ‎источники ‎угроз ‎(стихийные ‎бедствия,‏ ‎организационные‏ ‎недостатки,‏ ‎человеческий ‎фактор‏ ‎или ‎кибератаки),‏ ‎которые ‎могут‏ ‎повлиять‏ ‎на ‎эти‏ ‎бизнес-процессы.

Далее ‎требуется ‎принять ‎решение ‎относительно‏ ‎методов ‎управления‏ ‎выявленными‏ ‎рисками. ‎Для ‎этого‏ ‎необходимо ‎последовательно‏ ‎выполнить ‎следующие ‎шаги:

• идентификация ‎наиболее‏ ‎критичных,‏ ‎с ‎точки‏ ‎зрения ‎информационной‏ ‎безопасности, ‎информационных ‎активов ‎и ‎бизнес-процессов;
• определение‏ ‎негативных‏ ‎последствий, ‎которые‏ ‎могут ‎привести‏ ‎к ‎воздействию ‎на ‎информационные ‎активы‏ ‎и‏ ‎бизнес-процессы;
• оценка‏ ‎возможных ‎угроз‏ ‎и ‎связанных‏ ‎с ‎ними‏ ‎рисков‏ ‎для ‎выявленных‏ ‎критических ‎направлений ‎деятельности ‎компании;
• разработка ‎и‏ ‎внедрение ‎соответствующих‏ ‎мер‏ ‎защиты ‎и ‎контрмер‏ ‎для ‎снижения‏ ‎или ‎устранения ‎определённых ‎рисков;
• регулярный‏ ‎пересмотр‏ ‎и ‎актуализация‏ ‎принятых ‎мер‏ ‎в ‎соответствии ‎с ‎изменяющимися ‎условиями.

Только‏ ‎комплексный,‏ ‎систематический ‎подход‏ ‎к ‎управлению‏ ‎рисками ‎информационной ‎безопасности ‎позволит ‎достичь‏ ‎требуемого‏ ‎уровня‏ ‎ОИБВОП ‎и‏ ‎грамотно ‎подходить‏ ‎к ‎расходу‏ ‎имеющихся‏ ‎ресурсов.

Рекомендуется ‎изначально‏ ‎брать ‎самый ‎низкий ‎уровень ‎ОИБВОП‏ ‎для ‎его‏ ‎внедрения,‏ ‎повышая ‎его ‎по‏ ‎мере ‎роста‏ ‎уровней ‎зрелости ‎мер ‎защиты.‏ ‎Средний‏ ‎срок ‎достижения‏ ‎уровня ‎ОИБВОП‏ ‎составляет ‎полтора ‎года, ‎максимальный ‎—‏ ‎три.‏ ‎Этот ‎срок‏ ‎необходимо ‎прописывать‏ ‎в ‎Политике ‎по ‎информационной ‎безопасности‏ ‎компании.

Выбор‏ ‎метода‏ ‎анализа ‎рисков

Необходимо‏ ‎осуществлять ‎анализ‏ ‎рисков, ‎связанных‏ ‎с‏ ‎возможным ‎ущербом‏ ‎для ‎бизнес-процессов ‎и ‎деятельности ‎компании‏ ‎в ‎результате‏ ‎инцидентов‏ ‎информационной ‎безопасности ‎и‏ ‎реализации ‎вероятных‏ ‎угроз. ‎Соответственно, ‎методология ‎анализа‏ ‎рисков‏ ‎является ‎неотъемлемым‏ ‎элементом ‎любой‏ ‎СУИБ. ‎Для ‎определения ‎уровня ‎риска‏ ‎требуется‏ ‎выявление ‎потенциальных‏ ‎угроз, ‎оценка‏ ‎их ‎разрушительного ‎потенциала ‎и ‎вероятности‏ ‎реализации,‏ ‎а‏ ‎также ‎сопоставление‏ ‎полученных ‎данных‏ ‎с ‎допустимым‏ ‎для‏ ‎компании ‎уровнем‏ ‎принятия ‎рисков. ‎В ‎зависимости ‎от‏ ‎специфики ‎применения,‏ ‎организационных‏ ‎условий, ‎отраслевой ‎принадлежности,‏ ‎а ‎также‏ ‎целевого ‎уровня ‎ОИБВОП, ‎могут‏ ‎использоваться‏ ‎различные ‎методики‏ ‎анализа ‎рисков.‏ ‎Компания ‎должна ‎выбрать ‎методологию, ‎соответствующую‏ ‎масштабу‏ ‎и ‎её‏ ‎характеристикам. ‎Выбор‏ ‎используемого ‎метода ‎анализа ‎рисков ‎оказывает‏ ‎существенное‏ ‎влияние‏ ‎на ‎трудоёмкость‏ ‎разработки ‎концепции‏ ‎информационной ‎безопасности‏ ‎(дорожной‏ ‎карты ‎по‏ ‎защите ‎компании ‎от ‎угроз ‎информационной‏ ‎безопасности ‎в‏ ‎рамках‏ ‎набора ‎документов).

Компания ‎должна‏ ‎определить ‎какие‏ ‎риски ‎она ‎будет ‎обрабатывать‏ ‎в‏ ‎первую ‎очередь,‏ ‎а ‎какие‏ ‎можно ‎отложить ‎или ‎полностью ‎пропустить.‏ ‎Риски‏ ‎которые ‎компания‏ ‎пропускает, ‎считаются‏ ‎принятыми ‎рисками, ‎с ‎которыми ‎компания‏ ‎согласилась.‏ ‎Риски‏ ‎которые ‎нужно‏ ‎обработать, ‎должны‏ ‎быть ‎включены‏ ‎в‏ ‎реестр ‎актуальных‏ ‎рисков ‎компании ‎по ‎информационной ‎безопасности.

Рекомендуется‏ ‎обрабатывать ‎в‏ ‎первую‏ ‎очередь ‎наивысшие ‎риски‏ ‎и ‎по‏ ‎мере ‎выделения ‎ресурсов, ‎опускаться‏ ‎к‏ ‎наиболее ‎низким‏ ‎рискам. ‎Поэтому‏ ‎первостепенным ‎значением ‎для ‎определения ‎мер‏ ‎защиты‏ ‎и ‎проведения‏ ‎защитных ‎мероприятий,‏ ‎компания ‎должна ‎определить ‎свои ‎риски.

Различные‏ ‎методы‏ ‎оценки‏ ‎рисков ‎описаны‏ ‎в ‎стандартах‏ ‎ISO/IEC ‎31010‏ ‎и‏ ‎ISO/IEC ‎27005‏ ‎и ‎их ‎российских ‎аналогах. ‎Для‏ ‎«продвинутых» ‎компаний‏ ‎рекомендуется‏ ‎добавить ‎к ‎этим‏ ‎стандартам ‎ещё‏ ‎ISO/TS ‎22317, ‎который ‎позволяет‏ ‎провести‏ ‎оценку, ‎привязав‏ ‎риски ‎к‏ ‎непрерывности ‎деятельности ‎компании. ‎В ‎планах‏ ‎ООО‏ ‎«ЦифраБез» ‎разработать‏ ‎рекомендации ‎по‏ ‎анализу ‎рисков ‎и ‎оценки ‎рисков,‏ ‎а‏ ‎также‏ ‎по ‎непрерывности‏ ‎бизнес-деятельности.

Реализация ‎концепции

После‏ ‎выбора ‎мер‏ ‎защиты‏ ‎следует ‎разработать‏ ‎план ‎их ‎реализации ‎и ‎строго‏ ‎следовать ‎ему.‏ ‎Ключевыми‏ ‎этапами ‎данного ‎процесса‏ ‎являются:

• обучение ‎персонала.‏ ‎Проведение ‎необходимого ‎обучения ‎сотрудников‏ ‎для‏ ‎корректного ‎применения‏ ‎внедряемых ‎мер‏ ‎защиты;
• соблюдение ‎указанной ‎последовательности ‎действий ‎позволит‏ ‎обеспечить‏ ‎качественную ‎и‏ ‎планомерную ‎реализацию‏ ‎мер ‎защиты;
• назначение ‎ответственных ‎лиц ‎и‏ ‎распределение‏ ‎обязанностей.‏ ‎Необходимо ‎закрепить‏ ‎за ‎конкретными‏ ‎сотрудниками ‎выполнение‏ ‎отдельных‏ ‎задач ‎по‏ ‎реализации, ‎чётко ‎определив ‎их ‎функции‏ ‎и ‎полномочия;
• обеспечение‏ ‎требуемых‏ ‎ресурсов. ‎Следует ‎предусмотреть‏ ‎и ‎выделить‏ ‎все ‎необходимые ‎ресурсы: ‎трудовые,‏ ‎материальные,‏ ‎финансовые ‎и‏ ‎прочие;
• установление ‎сроков‏ ‎и ‎графика ‎выполнения. ‎Разработка ‎детального‏ ‎календарного‏ ‎плана ‎реализации‏ ‎мероприятий ‎с‏ ‎фиксацией ‎контрольных ‎точек;
• мониторинг ‎и ‎контроль‏ ‎над‏ ‎ходом‏ ‎выполнения. ‎Регулярное‏ ‎отслеживание ‎реализации‏ ‎для ‎своевременного‏ ‎выявления‏ ‎и ‎устранения‏ ‎возникающих ‎проблем;
• документирование ‎процесса ‎внедрения. ‎Ведение‏ ‎подробной ‎документации‏ ‎по‏ ‎принимаемым ‎решениям, ‎возникающим‏ ‎сложностям ‎и‏ ‎способам ‎их ‎преодоления ‎(наполнение‏ ‎внутренней‏ ‎базы ‎знаний).

Соблюдение‏ ‎указанной ‎последовательности‏ ‎действий ‎позволит ‎обеспечить ‎качественную ‎и‏ ‎планомерную‏ ‎реализацию ‎мер‏ ‎защиты ‎согласно‏ ‎требованиям ‎настоящей ‎методологии.

План ‎реализации ‎мер‏ ‎защиты

Реализационный‏ ‎план‏ ‎должен ‎охватывать‏ ‎следующие ‎ключевые‏ ‎направления:

• определение ‎приоритетных‏ ‎направлений‏ ‎и ‎последовательности‏ ‎внедрения ‎мероприятий;
• закрепление ‎ответственности ‎за ‎инициацию‏ ‎реализации;
• обеспечение ‎необходимыми‏ ‎ресурсами‏ ‎со ‎стороны ‎руководства‏ ‎компании;
• детальное ‎планирование‏ ‎реализации ‎отдельных ‎мер ‎защиты‏ ‎(установление‏ ‎сроков ‎и‏ ‎бюджетов, ‎назначение‏ ‎ответственных ‎за ‎внедрение, ‎а ‎также‏ ‎за‏ ‎контроль ‎исполнения‏ ‎и ‎оценку‏ ‎эффективности).

Таким ‎образом, ‎план ‎реализации ‎должен‏ ‎чётко‏ ‎распределять‏ ‎обязанности ‎и‏ ‎временные ‎рамки,‏ ‎при ‎этом‏ ‎предусматривая‏ ‎адекватное ‎ресурсное‏ ‎обеспечение ‎со ‎стороны ‎руководящего ‎звена‏ ‎для ‎успешного‏ ‎воплощения‏ ‎концепции ‎информационной ‎безопасности‏ ‎в ‎жизнь.‏ ‎Крайне ‎важно ‎не ‎только‏ ‎определить‏ ‎перечень ‎необходимых‏ ‎мероприятий, ‎но‏ ‎и ‎закрепить ‎ответственность ‎за ‎их‏ ‎практическое‏ ‎внедрение ‎и‏ ‎последующий ‎мониторинг‏ ‎достигаемых ‎результатов.

Внедрение ‎мер ‎защиты

Запланированные ‎меры‏ ‎защиты‏ ‎должны‏ ‎быть ‎внедрены‏ ‎в ‎соответствии‏ ‎с ‎планом‏ ‎реализации.‏ ‎При ‎этом‏ ‎информационную ‎безопасность ‎необходимо ‎интегрировать ‎в‏ ‎общеорганизационные ‎и‏ ‎рабочие‏ ‎процессы.

Если ‎в ‎ходе‏ ‎внедрения ‎возникают‏ ‎трудности, ‎следует ‎незамедлительно ‎информировать‏ ‎об‏ ‎этом ‎руководящее‏ ‎звено, ‎чтобы‏ ‎можно ‎было ‎принять ‎решение ‎для‏ ‎их‏ ‎устранения. ‎В‏ ‎качестве ‎типичных‏ ‎решений ‎могут ‎рассматриваться ‎как ‎модификация‏ ‎коммуникационных‏ ‎каналов‏ ‎или ‎распределения‏ ‎прав ‎доступа,‏ ‎так ‎и‏ ‎адаптация‏ ‎технологических ‎процедур.

Управление‏ ‎и ‎контроль

Необходимо ‎регулярно ‎оценивать ‎степень‏ ‎достижения ‎установленных‏ ‎целевых‏ ‎показателей. ‎В ‎случае‏ ‎если ‎достижение‏ ‎целевых ‎ориентиров ‎представляется ‎невозможным,‏ ‎данная‏ ‎информация ‎должна‏ ‎быть ‎доведена‏ ‎до ‎сведения ‎руководящего ‎звена, ‎отвечающего‏ ‎за‏ ‎вопросы ‎информационной‏ ‎безопасности, ‎с‏ ‎целью ‎своевременного ‎принятия ‎необходимых ‎мер‏ ‎реагирования.

Внимание!‏ ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на‏ ‎основании ‎статьи‏ ‎1259‏ ‎ГК ‎РФ.

Третьи‏ ‎лица ‎не ‎вправе ‎использовать ‎с‏ ‎целью ‎создания‏ ‎каких-либо‏ ‎средств ‎обработки ‎представленной‏ ‎информации ‎и‏ ‎размещённых ‎на ‎данной ‎странице‏ ‎результатов‏ ‎интеллектуальной ‎деятельности‏ ‎каким-либо ‎образом‏ ‎без ‎письменного ‎согласия ‎ООО ‎«ЦифраБез».‏ ‎Распространение‏ ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на ‎данную‏ ‎страницу.

Использование‏ ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое‏ ‎использование ‎осуществляется‏ ‎без‏ ‎письменного ‎согласия‏ ‎ООО ‎«ЦифраБез», ‎является ‎незаконным ‎и‏ ‎влечёт ‎ответственность,‏ ‎установленную‏ ‎действующим ‎законодательством ‎РФ.

Обеспечение ‎ресурсами

Обеспечение‏ ‎требуемого ‎уровня ‎ОИБВОП ‎неизменно ‎сопряжено‏ ‎с ‎необходимостью‏ ‎выделения‏ ‎финансовых, ‎кадровых ‎и‏ ‎временных ‎ресурсов,‏ ‎которые ‎руководство ‎компании ‎должно‏ ‎предоставлять‏ ‎в ‎достаточном‏ ‎объёме. ‎В‏ ‎ситуации, ‎когда ‎поставленные ‎цели ‎не‏ ‎могут‏ ‎быть ‎достигнуты‏ ‎вследствие ‎нехватки‏ ‎необходимых ‎ресурсов, ‎ответственность ‎за ‎это‏ ‎лежит‏ ‎не‏ ‎на ‎исполнителях,‏ ‎а ‎на‏ ‎руководителях, ‎установивших‏ ‎нереалистичные‏ ‎цели ‎(задачи)‏ ‎или ‎не ‎обеспечивших ‎исполнителей ‎соответствующими‏ ‎ресурсами.

Во ‎избежание‏ ‎срыва‏ ‎намеченных ‎целей ‎крайне‏ ‎важно ‎уже‏ ‎на ‎этапе ‎их ‎планирования‏ ‎провести‏ ‎первичную ‎оценку‏ ‎предполагаемых ‎затрат‏ ‎и ‎ожидаемых ‎результатов. ‎На ‎протяжении‏ ‎всего‏ ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎данный ‎аспект ‎должен ‎оставаться ‎ключевым,‏ ‎с‏ ‎одной‏ ‎стороны, ‎для‏ ‎предотвращения ‎расточительного‏ ‎использования ‎ресурсов,‏ ‎с‏ ‎другой ‎—‏ ‎для ‎гарантии ‎осуществления ‎необходимых ‎инвестиций,‏ ‎направленных ‎на‏ ‎достижение‏ ‎соответствующего ‎уровня ‎ОИБВОП.

Техническое‏ ‎обеспечение ‎информационной‏ ‎безопасности ‎зачастую ‎рассматривается ‎в‏ ‎качестве‏ ‎единственного ‎и‏ ‎достаточного ‎решения.‏ ‎Однако ‎данный ‎подход ‎является ‎чрезмерно‏ ‎упрощённым.‏ ‎Представляется ‎целесообразным‏ ‎использование ‎более‏ ‎широкого ‎понятия ‎«информационная ‎безопасность» ‎вместо‏ ‎узкого‏ ‎термина‏ ‎«ИТ-безопасность ‎(кибербезопасность)».

Особенно‏ ‎важно ‎отметить,‏ ‎что ‎инвестиции‏ ‎в‏ ‎человеческие ‎ресурсы‏ ‎нередко ‎оказываются ‎более ‎эффективными, ‎нежели‏ ‎вложения ‎в‏ ‎технические‏ ‎средства ‎защиты. ‎Сама‏ ‎по ‎себе‏ ‎техника ‎не ‎в ‎состоянии‏ ‎решить‏ ‎проблемы ‎информационной‏ ‎безопасности, ‎она‏ ‎должна ‎быть ‎органично ‎интегрирована ‎в‏ ‎соответствующие‏ ‎организационные ‎процессы‏ ‎и ‎структуры.

Кроме‏ ‎того, ‎оценка ‎результативности ‎и ‎применимости‏ ‎мер‏ ‎информационной‏ ‎безопасности ‎также‏ ‎требует ‎выделения‏ ‎достаточного ‎объёма‏ ‎ресурсов.‏ ‎Таким ‎образом,‏ ‎для ‎обеспечения ‎эффективной ‎информационной ‎безопасности‏ ‎необходим ‎комплексный‏ ‎подход,‏ ‎сочетающий ‎технические, ‎организационные‏ ‎и ‎ресурсные‏ ‎компоненты.

Недостаток ‎временных ‎ресурсов ‎является‏ ‎распространённой‏ ‎проблемой ‎у‏ ‎штатных ‎специалистов‏ ‎по ‎информационной ‎безопасности ‎в ‎компаниях.‏ ‎Зачастую‏ ‎им ‎не‏ ‎хватает ‎времени‏ ‎для ‎всестороннего ‎анализа ‎всех ‎факторов,‏ ‎влияющих‏ ‎на‏ ‎информационную ‎безопасность,‏ ‎включая ‎нормативно-правовые‏ ‎требования ‎и‏ ‎решение‏ ‎технических ‎вопросов.‏ ‎Кроме ‎того, ‎у ‎них ‎могут‏ ‎отсутствовать ‎необходимые‏ ‎фундаментальные‏ ‎знания ‎в ‎данной‏ ‎области. ‎В‏ ‎таких ‎случаях ‎целесообразно ‎привлекать‏ ‎внешних‏ ‎экспертов ‎для‏ ‎решения ‎вопросов‏ ‎и ‎проблем, ‎которые ‎не ‎могут‏ ‎быть‏ ‎разрешены ‎внутренними‏ ‎ресурсами. ‎Данное‏ ‎решение ‎должно ‎быть ‎документировано ‎штатными‏ ‎специалистами,‏ ‎чтобы‏ ‎руководство ‎могло‏ ‎выделить ‎на‏ ‎это ‎соответствующие‏ ‎ресурсы‏ ‎и ‎принять‏ ‎грамотное ‎управленческое ‎решение.

Эффективное ‎функционирование ‎информационных‏ ‎систем ‎является‏ ‎базовым‏ ‎условием ‎для ‎обеспечения‏ ‎их ‎безопасности.‏ ‎Для ‎этого ‎необходимо ‎наличие‏ ‎достаточных‏ ‎ресурсов ‎чтобы‏ ‎грамотно ‎обеспечивать‏ ‎их ‎техническую ‎эксплуатацию. ‎Типичные ‎проблемы‏ ‎эксплуатации,‏ ‎такие ‎как‏ ‎нехватка ‎ресурсов,‏ ‎перегруженность ‎специалистов ‎или ‎неструктурированная ‎и‏ ‎плохо‏ ‎обслуживаемая‏ ‎ИТ-инфраструктура, ‎как‏ ‎правило, ‎должны‏ ‎быть ‎решены‏ ‎в‏ ‎первую ‎очередь,‏ ‎чтобы ‎меры ‎защиты ‎могли ‎быть‏ ‎эффективно ‎и‏ ‎результативно‏ ‎внедрены ‎и ‎полностью‏ ‎исполнили ‎то,‏ ‎ради ‎чего ‎они ‎были‏ ‎задуманы.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании ‎статьи ‎1259 ‎ГК‏ ‎РФ.

Использование ‎доступных‏ ‎источников ‎информации

Обеспечение ‎информационной ‎безопасности ‎является‏ ‎сложной ‎комплексной‏ ‎темой,‏ ‎требующей ‎всестороннего ‎изучения‏ ‎и ‎глубокого‏ ‎понимания ‎со ‎стороны ‎ответственных‏ ‎специалистов.‏ ‎К ‎счастью,‏ ‎в ‎распоряжении‏ ‎исследователей ‎и ‎практиков ‎имеется ‎широкий‏ ‎спектр‏ ‎доступных ‎информационных‏ ‎ресурсов, ‎которые‏ ‎могут ‎быть ‎задействованы ‎для ‎углубления‏ ‎знаний‏ ‎в‏ ‎данной ‎предметной‏ ‎области. ‎Эти‏ ‎ресурсы ‎включают‏ ‎в‏ ‎себя ‎нормативно-правовые‏ ‎акты ‎и ‎отраслевые ‎стандарты, ‎материалы‏ ‎сети ‎Интернет,‏ ‎а‏ ‎также ‎специализированную ‎научную‏ ‎и ‎профессиональную‏ ‎литературу. ‎Кроме ‎того, ‎важную‏ ‎роль‏ ‎играет ‎сетевое‏ ‎взаимодействие ‎с‏ ‎профильными ‎ассоциациями, ‎партнёрскими ‎организациями, ‎экспертными‏ ‎сообществами,‏ ‎государственными ‎органами.‏ ‎Такое ‎сотрудничество‏ ‎позволяет ‎осуществлять ‎эффективный ‎обмен ‎передовым‏ ‎опытом‏ ‎и‏ ‎актуальной ‎информацией‏ ‎в ‎сфере‏ ‎обеспечения ‎информационной‏ ‎безопасности.

В‏ ‎компании ‎должна‏ ‎быть ‎создана ‎внутренняя ‎база ‎знаний‏ ‎для ‎специалистов‏ ‎по‏ ‎информационной ‎безопасности, ‎где‏ ‎указываются ‎доступные‏ ‎источники ‎и ‎собирается ‎нарабатываемый‏ ‎со‏ ‎временем ‎опыт.

Управленческий‏ ‎анализ

Руководство ‎компании‏ ‎должно ‎регулярно ‎проводить ‎управленческий ‎анализ‏ ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎При‏ ‎необходимости, ‎например, ‎при ‎участившихся ‎инцидентах‏ ‎или‏ ‎существенном‏ ‎изменении ‎внешних‏ ‎условий, ‎такие‏ ‎оценки ‎следует‏ ‎выполнять‏ ‎и ‎вне‏ ‎плановых ‎сроков. ‎Все ‎результаты ‎и‏ ‎принятые ‎решения‏ ‎подлежат‏ ‎документированию.

Ключевые ‎вопросы ‎для‏ ‎рассмотрения ‎в‏ ‎рамках ‎управленческого ‎анализа:

• Изменились ‎ли‏ ‎факторы,‏ ‎определяющие ‎подход‏ ‎к ‎обеспечению‏ ‎информационной ‎безопасности?
• Остаются ‎ли ‎цели ‎информационной‏ ‎безопасности‏ ‎актуальными ‎и‏ ‎адекватными?
• Соответствует ‎ли‏ ‎политика ‎информационной ‎безопасности ‎современным ‎реалиям‏ ‎компании‏ ‎и‏ ‎законодательным ‎требованиям?

Акцент‏ ‎при ‎оценке‏ ‎эффективности ‎процесса‏ ‎информационной‏ ‎безопасности ‎делается‏ ‎не ‎на ‎проверке ‎отдельных ‎мер‏ ‎безопасности, ‎а‏ ‎на‏ ‎комплексном ‎анализе. ‎Например,‏ ‎безопасная ‎эксплуатация‏ ‎интернет-портала ‎может ‎оказаться ‎слишком‏ ‎затратной‏ ‎для ‎небольшой‏ ‎компании, ‎что‏ ‎может ‎послужить ‎основанием ‎для ‎передачи‏ ‎управления‏ ‎порталом ‎внешнему‏ ‎поставщику ‎услуг.

Кроме‏ ‎того, ‎целесообразно ‎проанализировать, ‎насколько ‎зарекомендовала‏ ‎себя‏ ‎организация‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎Если‏ ‎будет ‎установлено,‏ ‎что‏ ‎меры ‎безопасности‏ ‎неэффективны ‎или ‎чрезмерно ‎затраты, ‎это‏ ‎может ‎послужить‏ ‎основанием‏ ‎для ‎пересмотра ‎и‏ ‎адаптации ‎всей‏ ‎стратегии ‎информационной ‎безопасности ‎компании.‏ ‎При‏ ‎этом ‎руководству‏ ‎следует ‎ответить‏ ‎на ‎следующие ‎вопросы:

• Является ‎ли ‎стратегия‏ ‎информационной‏ ‎безопасности ‎по-прежнему‏ ‎адекватной?
• Соответствует ‎ли‏ ‎концепция ‎информационной ‎безопасности ‎целям ‎компании,‏ ‎в‏ ‎том‏ ‎числе ‎законодательным‏ ‎требованиям?
• Обеспечивает ‎ли‏ ‎существующая ‎организация‏ ‎информационной‏ ‎безопасности ‎эффективную‏ ‎реализацию ‎целей?
• Не ‎требуется ‎ли ‎усиление‏ ‎её ‎статуса‏ ‎или‏ ‎более ‎тесная ‎интеграция‏ ‎в ‎бизнес-процессы?
• Являются‏ ‎ли ‎затраты ‎на ‎обеспечение‏ ‎информационной‏ ‎безопасности ‎оправданными‏ ‎и ‎соразмерными?

Корректирующие‏ ‎меры

Результаты ‎оценки ‎эффективности ‎должны ‎систематически‏ ‎применяться‏ ‎для ‎реализации‏ ‎соответствующих ‎корректирующих‏ ‎мер. ‎Это ‎может ‎подразумевать ‎необходимость‏ ‎модификации‏ ‎целей‏ ‎информационной ‎безопасности,‏ ‎стратегии ‎и/или‏ ‎концепции, ‎а‏ ‎также‏ ‎адаптации ‎организационной‏ ‎структуры ‎к ‎изменившимся ‎требованиям. ‎В‏ ‎ряде ‎случаев‏ ‎целесообразно‏ ‎осуществить ‎фундаментальные ‎изменения‏ ‎в ‎бизнес-процессах‏ ‎или ‎ИТ-инфраструктуре, ‎а ‎также‏ ‎отказаться‏ ‎от ‎определённых‏ ‎бизнес-процессов ‎или‏ ‎передать ‎их ‎на ‎аутсорсинг, ‎если‏ ‎их‏ ‎безопасное ‎функционирование‏ ‎более ‎не‏ ‎может ‎быть ‎гарантировано ‎имеющимися ‎ресурсами.‏ ‎При‏ ‎внедрении‏ ‎более ‎масштабных‏ ‎преобразований ‎и‏ ‎реализации ‎значительных‏ ‎улучшений‏ ‎цикл ‎управления‏ ‎замыкается ‎повторным ‎запуском ‎этапа ‎планирования.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на ‎основании‏ ‎статьи ‎1259‏ ‎ГК ‎РФ.

Принципы ‎управления

Интегрируйте‏ ‎информационную ‎безопасность ‎в ‎бизнес-процессы ‎компании

Информационная‏ ‎безопасность ‎представляет‏ ‎собой‏ ‎сквозную ‎(интегральную) ‎функцию,‏ ‎которая ‎должна‏ ‎быть ‎введена ‎во ‎все‏ ‎процессы‏ ‎и ‎проекты‏ ‎компании, ‎связанные‏ ‎с ‎обработкой ‎информации. ‎Данное ‎требование‏ ‎обусловлено‏ ‎ключевой ‎ролью‏ ‎информации ‎в‏ ‎современных ‎компаниях ‎и ‎необходимостью ‎обеспечения‏ ‎её‏ ‎надлежащей‏ ‎защиты.

В ‎частности,‏ ‎в ‎рамках‏ ‎управления ‎проектами‏ ‎уже‏ ‎на ‎этапе‏ ‎планирования ‎следует ‎оценивать ‎потребности ‎в‏ ‎защите ‎информации,‏ ‎которая‏ ‎будет ‎генерироваться ‎и‏ ‎обрабатываться ‎в‏ ‎ходе ‎реализации ‎проекта. ‎Результаты‏ ‎данной‏ ‎оценки ‎должны‏ ‎служить ‎основой‏ ‎для ‎планирования ‎и ‎внедрения ‎соответствующих‏ ‎мер‏ ‎защиты.

Аналогичным ‎образом,‏ ‎процессы ‎управления‏ ‎инцидентами ‎в ‎ИТ-среде ‎должны ‎быть‏ ‎тесно‏ ‎взаимоувязаны‏ ‎с ‎управлением‏ ‎инцидентами ‎по‏ ‎информационной ‎безопасности.‏ ‎Это‏ ‎позволит ‎обеспечить‏ ‎своевременное ‎выявление, ‎реагирование ‎и ‎устранение‏ ‎сбоев, ‎затрагивающих‏ ‎информационную‏ ‎безопасность ‎в ‎компании.

Таким‏ ‎образом, ‎эффективность‏ ‎системы ‎управления ‎информационной ‎безопасностью‏ ‎компании‏ ‎во ‎многом‏ ‎зависит ‎от‏ ‎уровня ‎интеграции ‎данной ‎функции ‎в‏ ‎ключевые‏ ‎управленческие ‎процессы.‏ ‎Отсутствие ‎или‏ ‎недостаточная ‎интегрированность ‎информационной ‎безопасности ‎может‏ ‎значительно‏ ‎снижать‏ ‎её ‎нужность‏ ‎для ‎защиты‏ ‎компании ‎от‏ ‎угроз‏ ‎в ‎области‏ ‎информационной ‎безопасности.

Достижимые ‎цели

Проекты ‎часто ‎терпят‏ ‎неудачу ‎из-за‏ ‎нереалистичных‏ ‎или ‎слишком ‎амбициозных‏ ‎целевых ‎показателей.‏ ‎Это ‎не ‎является ‎исключением‏ ‎и‏ ‎в ‎сфере‏ ‎информационной ‎безопасности.‏ ‎Для ‎достижения ‎адекватной ‎цели ‎информационной‏ ‎безопасности‏ ‎зачастую ‎более‏ ‎эффективными ‎могут‏ ‎быть ‎многочисленные ‎небольшие ‎шаги ‎и‏ ‎долгосрочный,‏ ‎непрерывный‏ ‎процесс ‎улучшения‏ ‎без ‎значительных‏ ‎первоначальных ‎инвестиционных‏ ‎затрат,‏ ‎нежели ‎масштабный‏ ‎проект.

Так, ‎может ‎быть ‎целесообразным ‎в‏ ‎первую ‎очередь‏ ‎внедрять‏ ‎необходимый ‎уровень ‎ЗИВОП‏ ‎только ‎в‏ ‎выбранных ‎направлениях ‎мер ‎защиты,‏ ‎применяя‏ ‎базовые ‎меры‏ ‎защиты, ‎и‏ ‎сосредотачиваться ‎на ‎достижении ‎уровня ‎зрелости‏ ‎для‏ ‎каждой ‎из‏ ‎них. ‎Такой‏ ‎поэтапный, ‎эволюционный ‎подход ‎позволяет ‎достичь‏ ‎требуемого‏ ‎уровня‏ ‎ЗИВОП ‎без‏ ‎чрезмерных ‎ресурсных‏ ‎затрат ‎на‏ ‎старте,‏ ‎одновременно ‎обеспечивая‏ ‎постепенное ‎наращивание ‎защитных ‎мер ‎и,‏ ‎соответственно, ‎рост‏ ‎уровня‏ ‎ЗИВОП. ‎В ‎отличие‏ ‎от ‎рискованных‏ ‎крупномасштабных ‎проектов, ‎данная ‎тактика‏ ‎является‏ ‎более ‎обоснованной‏ ‎и ‎управляемой.

Экономический‏ ‎эффект

Одной ‎из ‎наиболее ‎сложных ‎задач‏ ‎в‏ ‎сфере ‎управления‏ ‎информационной ‎безопасностью‏ ‎является ‎оптимальное ‎распределение ‎ограниченных ‎ресурсов‏ ‎(они‏ ‎ВСЕГДА‏ ‎ограничены) ‎между‏ ‎различными ‎защитными‏ ‎мероприятиями ‎с‏ ‎учётом‏ ‎их ‎эффективности‏ ‎и ‎соотношения ‎с ‎возможными ‎рисками.

Наиболее‏ ‎рациональным ‎подходом‏ ‎является‏ ‎приоритизация ‎выделения ‎ресурсов‏ ‎в ‎те‏ ‎меры, ‎которые ‎демонстрируют ‎наибольшую‏ ‎результативность‏ ‎либо ‎предотвращают‏ ‎наиболее ‎критически‏ ‎важные ‎риски. ‎При ‎этом ‎следует‏ ‎отметить,‏ ‎что ‎самые‏ ‎действенные ‎решения‏ ‎не ‎всегда ‎являются ‎и ‎наиболее‏ ‎затратными.

Фундаментальное‏ ‎значение‏ ‎в ‎данном‏ ‎контексте ‎приобретает‏ ‎глубокое ‎понимание‏ ‎зависимости‏ ‎ключевых ‎бизнес-процессов‏ ‎и ‎функциональных ‎задач ‎компании ‎от‏ ‎информационно-технологической ‎инфраструктуры.‏ ‎Это‏ ‎знание ‎позволяет ‎выстраивать‏ ‎сбалансированную ‎систему‏ ‎обеспечения ‎информационной ‎безопасности.

Эффективная ‎реализация‏ ‎мер‏ ‎защиты ‎предполагает‏ ‎комплексный ‎подход,‏ ‎включающий ‎как ‎технические, ‎так ‎и‏ ‎организационные,‏ ‎режимные ‎меры.‏ ‎Инвестиции ‎в‏ ‎технические ‎средства ‎защиты ‎требуют ‎прямых‏ ‎финансовых‏ ‎затрат,‏ ‎которые ‎могут‏ ‎быть ‎оправданы‏ ‎только ‎при‏ ‎условии‏ ‎максимально ‎эффективного‏ ‎использования ‎данных ‎решений, ‎их ‎интеграции‏ ‎в ‎целостную‏ ‎систему‏ ‎безопасности ‎и ‎обеспечения‏ ‎соответствующего ‎уровня‏ ‎подготовки ‎персонала. ‎В ‎свою‏ ‎очередь,‏ ‎организационные ‎и‏ ‎режимные ‎меры‏ ‎могут ‎выступать ‎в ‎качестве ‎альтернативы‏ ‎или‏ ‎дополнения ‎к‏ ‎техническим ‎решениям,‏ ‎однако ‎их ‎последовательное ‎внедрение ‎сопряжено‏ ‎со‏ ‎значительными‏ ‎управленческими ‎и‏ ‎ресурсными ‎сложностями,‏ ‎и ‎частым‏ ‎отторжением‏ ‎их ‎персоналом‏ ‎без ‎соответствующих ‎разъяснений ‎об ‎их‏ ‎внедрении ‎со‏ ‎стороны‏ ‎руководящего ‎звена ‎компании.

Будьте‏ ‎примером

Высшее ‎руководство‏ ‎компании ‎также ‎должно ‎выполнять‏ ‎функцию‏ ‎эталона ‎в‏ ‎сфере ‎информационной‏ ‎безопасности. ‎Данное ‎требование ‎включает ‎в‏ ‎себя,‏ ‎помимо ‎прочего,‏ ‎соблюдение ‎руководящим‏ ‎звеном ‎всех ‎установленных ‎норм ‎и‏ ‎правил‏ ‎информационной‏ ‎безопасности, ‎участие‏ ‎в ‎образовательных‏ ‎мероприятиях, ‎а‏ ‎также‏ ‎оказание ‎поддержки‏ ‎другим ‎руководителям ‎в ‎осуществлении ‎ими‏ ‎своей ‎эталонной‏ ‎роли.

Первостепенно,‏ ‎чтобы ‎высшее ‎руководство‏ ‎компании ‎служило‏ ‎образцом ‎в ‎вопросах ‎информационной‏ ‎безопасности.‏ ‎Им ‎необходимо‏ ‎не ‎только‏ ‎придерживаться ‎всех ‎предписанных ‎регламентов, ‎но‏ ‎и‏ ‎лично ‎вовлекаться‏ ‎в ‎тренинги‏ ‎и ‎обучающие ‎программы, ‎а ‎также‏ ‎содействовать‏ ‎другим‏ ‎управленцам ‎в‏ ‎надлежащем ‎выполнении‏ ‎аналогичных ‎обязанностей.‏ ‎Лишь‏ ‎при ‎таком‏ ‎условии ‎руководство ‎компании ‎сможет ‎эффективно‏ ‎культивировать ‎культуру‏ ‎информационной‏ ‎безопасности ‎во ‎всей‏ ‎своей ‎организационной‏ ‎структуре.

В ‎компании ‎должен ‎работать‏ ‎принцип:‏ ‎делаешь ‎ты,‏ ‎делают ‎другие.‏ ‎Если ‎ты ‎не ‎делаешь, ‎то‏ ‎и‏ ‎с ‎других‏ ‎не ‎можешь‏ ‎спрашивать.

Необходимо ‎осознавать, ‎что ‎руководство ‎компании‏ ‎является‏ ‎маяком‏ ‎и ‎целью‏ ‎в ‎поведении‏ ‎для ‎сотрудников.‏ ‎Если‏ ‎руководство ‎не‏ ‎исполняет ‎требования ‎по ‎информационной ‎безопасности,‏ ‎значит ‎и‏ ‎сотрудники‏ ‎их ‎не ‎будут‏ ‎исполнять. ‎А‏ ‎следовательно ‎сколько ‎бы ‎ресурсов,‏ ‎включая‏ ‎финансовых, ‎в‏ ‎информационною ‎безопасность‏ ‎не ‎было ‎бы ‎вложено, ‎эффекта‏ ‎от‏ ‎них ‎не‏ ‎будет ‎никакого.

Внимание!‏ ‎Материал ‎охраняется ‎авторским ‎правом ‎на‏ ‎основании‏ ‎статьи‏ ‎1259 ‎ГК‏ ‎РФ.

Принципы ‎управления

Управление‏ ‎информационной ‎безопасностью ‎представляет ‎собой ‎комплексную‏ ‎управленческую ‎деятельность,‏ ‎направленную‏ ‎на ‎планирование, ‎организацию,‏ ‎контроль ‎и‏ ‎координацию ‎мер ‎по ‎обеспечению‏ ‎защиты‏ ‎информационных ‎ресурсов‏ ‎и ‎систем.‏ ‎Данная ‎функция ‎предполагает ‎выполнение ‎и‏ ‎соблюдение‏ ‎соответствующих ‎законодательных‏ ‎и ‎нормативных‏ ‎требований.

В ‎профессиональной ‎литературе ‎описаны ‎различные‏ ‎концептуальные‏ ‎подходы‏ ‎к ‎эффективной‏ ‎организации ‎системы‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎и ‎соответствующих‏ ‎организационных ‎структур. ‎Несмотря ‎на ‎многообразие‏ ‎моделей, ‎существует‏ ‎ряд‏ ‎универсальных ‎управленческих ‎принципов,‏ ‎которые ‎следует‏ ‎учитывать ‎в ‎данной ‎сфере.

Некоторые‏ ‎из‏ ‎этих ‎принципов‏ ‎могут ‎показаться‏ ‎очевидными, ‎поскольку ‎они ‎являются ‎общепризнанными‏ ‎ценностями‏ ‎в ‎теории‏ ‎менеджмента. ‎Парадоксально,‏ ‎но ‎на ‎практике ‎зачастую ‎именно‏ ‎простые,‏ ‎но‏ ‎важные ‎аспекты,‏ ‎такие ‎как‏ ‎дисциплина, ‎терпение,‏ ‎принятие‏ ‎ответственности, ‎тщательное‏ ‎планирование ‎проектов, ‎упускаются ‎из ‎виду‏ ‎вовсе ‎или‏ ‎реализуются‏ ‎ненадлежащим ‎образом. ‎В‏ ‎то ‎же‏ ‎время ‎эффективные ‎меры, ‎как‏ ‎то:‏ ‎оптимизация ‎процессов,‏ ‎обучение ‎персонала,‏ ‎повышение ‎осведомлённости, ‎мотивация ‎сотрудников, ‎разработка‏ ‎понятной‏ ‎документации, ‎могут‏ ‎значительно ‎повысить‏ ‎уровня ‎ЗИВОП ‎от ‎угроз ‎информационной‏ ‎безопасности.

В‏ ‎противовес‏ ‎этому, ‎сложные‏ ‎и, ‎соответственно,‏ ‎дорогостоящие ‎технические‏ ‎решения,‏ ‎необоснованно ‎преподносятся‏ ‎как ‎более ‎эффективные, ‎что ‎способствует‏ ‎формированию ‎негативного‏ ‎восприятия‏ ‎мер ‎защиты ‎как‏ ‎«ускорителя ‎затрат».‏ ‎Поэтому ‎в ‎дальнейшем ‎будут‏ ‎рассмотрены‏ ‎ключевые ‎принципы‏ ‎управления ‎информационной‏ ‎безопасностью, ‎соблюдение ‎которых ‎способствует ‎успешной‏ ‎реализации‏ ‎данной ‎функции.

Обязанности‏ ‎руководства ‎компании

Задачи‏ ‎и ‎обязанности ‎руководящего ‎звена ‎в‏ ‎области‏ ‎информационной‏ ‎безопасности ‎можно‏ ‎обобщить ‎в‏ ‎следующих ‎обозначенных‏ ‎пунктах‏ ‎ниже.

Принятие ‎на‏ ‎себя ‎общей ‎ответственности ‎за ‎информационную‏ ‎безопасность

Вопросы ‎информационной‏ ‎безопасности‏ ‎компаний ‎находятся ‎в‏ ‎фокусе ‎внимания‏ ‎руководящих ‎структур ‎различного ‎типа‏ ‎и‏ ‎уровня. ‎Ответственность‏ ‎за ‎обеспечение‏ ‎целостности, ‎конфиденциальности ‎и ‎доступности ‎информационных‏ ‎активов‏ ‎лежит ‎на‏ ‎высшем ‎руководстве‏ ‎государственных ‎органов, ‎коммерческих ‎предприятий ‎и‏ ‎иных‏ ‎экономических‏ ‎субъектах.

Данная ‎ответственность‏ ‎может ‎иметь‏ ‎как ‎нормативно-правовую,‏ ‎так‏ ‎и ‎организационно-управленческую‏ ‎природу. ‎С ‎одной ‎стороны, ‎требования‏ ‎по ‎обеспечению‏ ‎информационной‏ ‎безопасности ‎могут ‎быть‏ ‎закреплены ‎в‏ ‎законодательстве, ‎подзаконных ‎актах, ‎стандартах‏ ‎и‏ ‎прочих ‎регулирующих‏ ‎документах ‎в‏ ‎зависимости ‎от ‎сферы ‎деятельности ‎компании‏ ‎(например,‏ ‎Указ ‎Президента‏ ‎РФ ‎от‏ ‎01.05.2022 ‎№ ‎250). С ‎другой ‎стороны,‏ ‎руководство‏ ‎должно‏ ‎принимать ‎целенаправленные‏ ‎меры ‎по‏ ‎внедрению ‎и‏ ‎поддержанию‏ ‎адекватных ‎механизмов‏ ‎информационной ‎безопасности ‎как ‎в ‎рамках‏ ‎внутренних ‎процессов,‏ ‎так‏ ‎и ‎во ‎внешнем‏ ‎взаимодействии.

Ключевым ‎аспектом‏ ‎является ‎публичная ‎демонстрация ‎приверженности‏ ‎руководства‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности.‏ ‎Топ-менеджеры ‎обязаны ‎открыто ‎заявлять ‎о‏ ‎своей‏ ‎ответственности ‎в‏ ‎данной ‎сфере‏ ‎и ‎доводить ‎её ‎критическую ‎важность‏ ‎до‏ ‎сведения‏ ‎всех ‎сотрудников‏ ‎компании. ‎Таким‏ ‎образом, ‎обеспечивается‏ ‎формирование‏ ‎соответствующей ‎организационной‏ ‎культуры ‎и ‎повышается ‎эффективность ‎практической‏ ‎реализации ‎мер‏ ‎защиты.

Инициировать‏ ‎процесс, ‎контролировать ‎исполнение‏ ‎и ‎наблюдать‏ ‎за ‎состоянием ‎информационной ‎безопасности‏ ‎в‏ ‎компании

Роль ‎высшего‏ ‎руководства ‎в‏ ‎обеспечении ‎информационной ‎безопасности ‎компании ‎является‏ ‎ключевой‏ ‎и ‎стратегической.‏ ‎Основные ‎функциональные‏ ‎задачи ‎руководства ‎компании ‎в ‎этой‏ ‎области‏ ‎включают‏ ‎следующие ‎направления:

• разработка‏ ‎и ‎утверждение‏ ‎единой ‎политики‏ ‎информационной‏ ‎безопасности, ‎непосредственно‏ ‎увязанной ‎с ‎общими ‎бизнес-целями ‎и‏ ‎функциональными ‎приоритетами‏ ‎компании.‏ ‎Данная ‎политика ‎должна‏ ‎содержать ‎чёткие‏ ‎целевые ‎ориентиры ‎и ‎показатели‏ ‎в‏ ‎сфере ‎информационной‏ ‎безопасности;
• систематический ‎анализ‏ ‎и ‎оценка ‎влияния ‎рисков ‎информационной‏ ‎безопасности‏ ‎на ‎ключевые‏ ‎операционные ‎и‏ ‎функциональные ‎процессы. ‎На ‎основе ‎данной‏ ‎оценки‏ ‎руководство‏ ‎принимает ‎обоснованные‏ ‎решения ‎относительно‏ ‎применяемых ‎методов‏ ‎управления‏ ‎этими ‎рисками,‏ ‎сохраняя ‎за ‎собой ‎конечную ‎ответственность‏ ‎за ‎состояние‏ ‎информационной‏ ‎безопасности ‎компании;
• создание ‎необходимых‏ ‎организационных ‎условий‏ ‎и ‎стимулов ‎для ‎эффективной‏ ‎реализации‏ ‎мер ‎информационной‏ ‎безопасности. ‎Сюда‏ ‎относится ‎определение ‎ответственности, ‎полномочий ‎и‏ ‎ресурсного‏ ‎обеспечения ‎соответствующих‏ ‎подразделений/должностных ‎лиц;
• формирование‏ ‎культуры ‎постоянного ‎совершенствования ‎практик ‎информационной‏ ‎безопасности‏ ‎путём‏ ‎регулярного ‎анализа,‏ ‎актуализации ‎политики‏ ‎и ‎информирования/обучения‏ ‎персонала.

Таким‏ ‎образом, ‎стратегическая‏ ‎роль ‎высшего ‎руководства ‎заключается ‎в‏ ‎комплексном ‎управлении‏ ‎рисками‏ ‎информационной ‎безопасности ‎компании‏ ‎в ‎соответствии‏ ‎с ‎её ‎ключевыми ‎бизнес-целями‏ ‎(деятельностью),‏ ‎а ‎также‏ ‎постоянным ‎ростом‏ ‎уровня ‎ЗИВОП ‎исходя ‎из ‎уровня‏ ‎информационной‏ ‎безопасности ‎и‏ ‎уровня ‎зрелости‏ ‎мер ‎защиты.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом‏ ‎на‏ ‎основании ‎ст.‏ ‎1259 ‎ГК‏ ‎РФ.

Описание ‎процесса‏ ‎и ‎модель ‎жизненного ‎цикла

Жизненный ‎цикл‏ ‎в ‎информационной‏ ‎безопасности

Информационная‏ ‎безопасность ‎в ‎современных‏ ‎компаниях ‎не‏ ‎является ‎статичным ‎состоянием, ‎которое‏ ‎достигается‏ ‎единожды ‎и‏ ‎остаётся ‎неизменным.‏ ‎Наоборот, ‎это ‎динамичный ‎процесс, ‎требующий‏ ‎постоянного‏ ‎внимания ‎и‏ ‎адаптации. ‎Любая‏ ‎компания ‎подвержена ‎непрерывным ‎изменениям, ‎затрагивающим‏ ‎не‏ ‎только‏ ‎бизнес-процессы, ‎функциональные‏ ‎задачи, ‎инфраструктуру,‏ ‎организационные ‎структуры‏ ‎и‏ ‎ИТ-среду, ‎но‏ ‎и ‎условия ‎в ‎которых ‎компания‏ ‎строит ‎информационную‏ ‎безопасность.

Помимо‏ ‎внутренних ‎организационных ‎изменений,‏ ‎внешние ‎факторы‏ ‎также ‎оказывают ‎влияние ‎—‏ ‎например,‏ ‎изменения ‎в‏ ‎законодательстве, ‎договорных‏ ‎требованиях, ‎а ‎также ‎доступных ‎и‏ ‎используемых‏ ‎информационных ‎и‏ ‎коммуникационных ‎технологиях.‏ ‎Кроме ‎того, ‎появление ‎новых ‎методов‏ ‎атак‏ ‎и‏ ‎уязвимостей ‎может‏ ‎частично ‎или‏ ‎полностью ‎обесценить‏ ‎ранее‏ ‎внедрённые ‎меры‏ ‎защиты. ‎Таким ‎образом, ‎активное ‎управление‏ ‎информационной ‎безопасностью‏ ‎является‏ ‎необходимым ‎условием ‎для‏ ‎поддержания ‎достигнутого‏ ‎уровня ‎ЗИВОП ‎и ‎его‏ ‎непрерывного‏ ‎совершенствования ‎(увеличения).

Недостаточно‏ ‎однократно ‎спланировать‏ ‎и ‎внедрить ‎бизнес-процессы, ‎ИТ-системы ‎и‏ ‎соответствующие‏ ‎меры ‎защиты.‏ ‎После ‎их‏ ‎внедрения ‎необходимо ‎регулярно ‎оценивать ‎эффективность‏ ‎и‏ ‎актуальность‏ ‎принятых ‎мер,‏ ‎выявлять ‎слабые‏ ‎места ‎и‏ ‎возможности‏ ‎для ‎улучшения.‏ ‎Это ‎влечёт ‎за ‎собой ‎планирование‏ ‎и ‎внедрение‏ ‎необходимых‏ ‎корректировок ‎и ‎изменений.‏ ‎Кроме ‎того,‏ ‎при ‎завершении ‎бизнес-процессов ‎или‏ ‎замене/выводе‏ ‎из ‎эксплуатации‏ ‎компонентов ‎и‏ ‎ИТ-систем ‎также ‎следует ‎учитывать ‎аспекты‏ ‎информационной‏ ‎безопасности, ‎такие‏ ‎как ‎отзыв‏ ‎разрешений ‎и ‎безопасное ‎удаление ‎наработанной‏ ‎ранее‏ ‎информации‏ ‎либо ‎её‏ ‎безопасная ‎передача‏ ‎на ‎хранение.

Выделяются‏ ‎следующие‏ ‎этапы ‎жизненного‏ ‎цикла ‎информационной ‎безопасности:

• планирование ‎(разработка ‎концепции‏ ‎и ‎подходов);
• закупки‏ ‎и‏ ‎(или) ‎выделение ‎(при‏ ‎необходимости) ‎оборудования‏ ‎и ‎необходимых ‎ресурсов;
• внедрение ‎разработанных‏ ‎концепций‏ ‎и ‎подходов;
• эксплуатация‏ ‎(включая ‎мониторинг‏ ‎и ‎контроль ‎эффективности);
• вывод ‎из ‎эксплуатации‏ ‎(при‏ ‎необходимости);
• аварийное ‎реагирование;
• постоянное‏ ‎совершенствование ‎на‏ ‎основе ‎собираемой ‎обратной ‎связи ‎(метрик).

Такой‏ ‎подход‏ ‎обеспечивает‏ ‎непрерывное ‎улучшение‏ ‎информационной ‎безопасности‏ ‎в ‎компании‏ ‎в‏ ‎соответствии ‎с‏ ‎изменяющимися ‎внутренними ‎и ‎внешними ‎условиями.

Описание‏ ‎процесса ‎информационной‏ ‎безопасности

Современные‏ ‎исследования ‎в ‎области‏ ‎управления ‎информационной‏ ‎безопасностью ‎компаний ‎демонстрируют, ‎что‏ ‎не‏ ‎только ‎бизнес-процессы‏ ‎и ‎информационные‏ ‎системы ‎подвержены ‎динамическим ‎изменениям ‎во‏ ‎времени,‏ ‎но ‎и‏ ‎весь ‎комплекс‏ ‎мероприятий ‎по ‎обеспечению ‎уровня ‎ЗИВОП‏ ‎также‏ ‎имеет‏ ‎свой ‎жизненный‏ ‎цикл.

В ‎профессиональной‏ ‎литературе ‎по‏ ‎управлению‏ ‎информационной ‎безопасностью‏ ‎принято ‎выделять ‎следующие ‎ключевые ‎фазы‏ ‎жизненного ‎цикла‏ ‎процесса‏ ‎обеспечения ‎информационной ‎безопасности:

• Планирование.‏ ‎На ‎данном‏ ‎этапе ‎проводится ‎анализ ‎текущего‏ ‎состояния,‏ ‎определяются ‎цели‏ ‎и ‎задачи‏ ‎системы ‎защиты, ‎разрабатывается ‎стратегия ‎обеспечения‏ ‎безопасности;
• Реализация.‏ ‎Происходит ‎внедрение‏ ‎и ‎развёртывание‏ ‎запланированных ‎мер, ‎механизмов ‎и ‎средств‏ ‎защиты‏ ‎информации;
• Мониторинг‏ ‎и ‎контроль.‏ ‎Осуществляется ‎постоянный‏ ‎контроль ‎эффективности‏ ‎функционирования‏ ‎системы ‎безопасности,‏ ‎выявление ‎отклонений ‎от ‎плановых ‎показателей;
• Оптимизация‏ ‎и ‎совершенствование.‏ ‎На‏ ‎основе ‎результатов ‎мониторинга‏ ‎(сбора ‎метрик)‏ ‎вносятся ‎необходимые ‎коррективы, ‎производится‏ ‎модернизация‏ ‎и ‎оптимизация‏ ‎компонентов ‎системы‏ ‎защиты.

Данная ‎модель ‎жизненного ‎цикла, ‎также‏ ‎известная‏ ‎как ‎цикл‏ ‎PDCA ‎(Plan-Do-Check-Act),‏ ‎применима ‎не ‎только ‎к ‎общему‏ ‎процессу‏ ‎обеспечения‏ ‎информационной ‎безопасности,‏ ‎но ‎и‏ ‎к ‎отдельным‏ ‎его‏ ‎элементам, ‎таким‏ ‎как ‎стратегия, ‎концепция, ‎организационная ‎структура.‏ ‎Непрерывное ‎повторение‏ ‎данного‏ ‎цикла ‎позволяет ‎поддерживать‏ ‎актуальность ‎и‏ ‎эффективность ‎системы ‎информационной ‎безопасности‏ ‎компании‏ ‎в ‎условиях‏ ‎постоянно ‎меняющихся‏ ‎внешних ‎и ‎внутренних ‎факторов.

Необходимо ‎отметить,‏ ‎что‏ ‎содержание ‎и‏ ‎трудоёмкость ‎каждой‏ ‎из ‎фаз ‎жизненного ‎цикла ‎будут‏ ‎существенно‏ ‎различаться‏ ‎в ‎зависимости‏ ‎от ‎специфики‏ ‎компании, ‎её‏ ‎размера,‏ ‎отраслевой ‎принадлежности,‏ ‎уровня ‎ЗИВОП ‎и ‎других ‎параметров.‏ ‎Тем ‎не‏ ‎менее‏ ‎базовая ‎логика ‎циклического‏ ‎процесса ‎остаётся‏ ‎универсальной.

Внимание! ‎Материал ‎охраняется ‎авторским‏ ‎правом‏ ‎на ‎основании‏ ‎ст. ‎1259‏ ‎ГК ‎РФ.

СУИБ. ‎Определение‏ ‎и ‎описание ‎процесса

Компоненты ‎системы ‎управления‏ ‎информационной ‎безопасностью

Термин‏ ‎«управление»‏ ‎(менеджмент) ‎используется ‎в‏ ‎двух ‎значениях:‏ ‎во-первых, ‎он ‎обозначает ‎руководящий‏ ‎уровень‏ ‎компании, ‎т.‏ ‎е. ‎совокупность‏ ‎руководителей ‎компании, ‎а ‎во-вторых, ‎в‏ ‎более‏ ‎общем ‎смысле‏ ‎— ‎деятельность‏ ‎по ‎руководству ‎и ‎организации ‎работы‏ ‎компании.

Для‏ ‎разграничения‏ ‎этих ‎двух‏ ‎значений, ‎в‏ ‎дальнейшем ‎группа‏ ‎ответственных‏ ‎руководителей ‎будет‏ ‎именоваться ‎«руководством ‎компании» ‎либо ‎«руководящим‏ ‎звеном» ‎в‏ ‎тех‏ ‎случаях, ‎когда ‎речь‏ ‎идёт ‎непосредственно‏ ‎о ‎руководителях, ‎во ‎избежание‏ ‎смешения‏ ‎с ‎«управлением»‏ ‎(менеджментом) ‎как‏ ‎видом ‎деятельности ‎(руководство, ‎координация, ‎планирование).

Система‏ ‎управления‏ ‎компанией ‎представляет‏ ‎собой ‎совокупность‏ ‎правил, ‎процедур ‎и ‎механизмов, ‎направленных‏ ‎на‏ ‎эффективное‏ ‎функционирование ‎и‏ ‎достижение ‎её‏ ‎целей. ‎В‏ ‎свою‏ ‎очередь, ‎система‏ ‎управления ‎информационной ‎безопасностью ‎(СУИБ) ‎является‏ ‎неотъемлемой ‎частью‏ ‎общей‏ ‎системы ‎управления ‎и‏ ‎отвечает ‎за‏ ‎планирование, ‎внедрение, ‎контроль ‎и‏ ‎совершенствование‏ ‎мер, ‎обеспечивающих‏ ‎защиту ‎информационных‏ ‎ресурсов.

Ключевыми ‎компонентами ‎СУИБ ‎являются:

• принципы ‎управления‏ ‎информационной‏ ‎безопасностью ‎—‏ ‎базовые ‎установки‏ ‎и ‎подходы, ‎лежащие ‎в ‎основе‏ ‎деятельности‏ ‎по‏ ‎обеспечению ‎информационной‏ ‎безопасности;
• ресурсное ‎обеспечение‏ ‎— ‎совокупность‏ ‎материальных,‏ ‎финансовых, ‎кадровых‏ ‎и ‎иных ‎средств, ‎необходимых ‎для‏ ‎функционирования ‎СУИБ;
• организационная‏ ‎структура‏ ‎и ‎кадровое ‎обеспечение‏ ‎— ‎распределение‏ ‎полномочий, ‎ответственности ‎и ‎квалификация‏ ‎сотрудников,‏ ‎вовлечённых ‎в‏ ‎процессы ‎управления‏ ‎информационной ‎безопасностью.

Принципы ‎управления ‎включают:

• политику ‎информационной‏ ‎безопасности‏ ‎— ‎документ,‏ ‎определяющий ‎цели,‏ ‎задачи ‎и ‎стратегию ‎обеспечения ‎безопасности‏ ‎информации;
• концепцию‏ ‎информационной‏ ‎безопасности ‎—‏ ‎комплексный ‎документ‏ ‎(набор ‎документов),‏ ‎описывающий‏ ‎систему ‎мер‏ ‎защиты ‎информационных ‎активов;
• организационную ‎структуру ‎управления‏ ‎информационной ‎безопасностью‏ ‎в‏ ‎компании.

Таким ‎образом, ‎СУИБ‏ ‎представляет ‎собой‏ ‎упорядоченную ‎совокупность ‎взаимосвязанных ‎элементов,‏ ‎обеспечивающих‏ ‎управление ‎процессами‏ ‎информационной ‎безопасности‏ ‎в ‎компании.

Стратегия ‎информационной ‎безопасности ‎выступает‏ ‎в‏ ‎качестве ‎ориентира‏ ‎для ‎планирования‏ ‎и ‎реализации ‎дальнейших ‎мероприятий, ‎направленных‏ ‎на‏ ‎достижение‏ ‎установленных ‎целей‏ ‎в ‎сфере‏ ‎обеспечения ‎безопасности‏ ‎компании.‏ ‎Данная ‎стратегия‏ ‎формируется ‎руководящим ‎звеном ‎компании ‎и‏ ‎базируется ‎на‏ ‎её‏ ‎бизнес-целях ‎или ‎задачах‏ ‎государственного ‎учреждения.

Ключевые‏ ‎аспекты ‎стратегии ‎безопасности ‎находят‏ ‎своё‏ ‎отражение ‎в‏ ‎нормативном ‎документе‏ ‎— ‎политике ‎по ‎информационной ‎безопасности‏ ‎компании.‏ ‎Указанный ‎документ‏ ‎имеет ‎принципиальное‏ ‎значение, ‎поскольку ‎содержит ‎открытое ‎заявление‏ ‎руководства‏ ‎компании‏ ‎относительно ‎её‏ ‎стратегических ‎приоритетов‏ ‎в ‎сфере‏ ‎обеспечения‏ ‎информационной ‎безопасности.

Внимание!‏ ‎Материал ‎охраняется ‎авторским ‎правом ‎на‏ ‎основании ‎ст.‏ ‎1259‏ ‎ГК ‎РФ.

Обзор ‎стандартов‏ ‎по ‎информационной ‎безопасности

В ‎сфере ‎информационной‏ ‎безопасности ‎сформировался‏ ‎ряд‏ ‎нормативных ‎документов ‎и‏ ‎стандартов, ‎ориентированных‏ ‎на ‎различные ‎целевые ‎группы‏ ‎и‏ ‎тематические ‎области.

Применение‏ ‎норм ‎и‏ ‎стандартов ‎информационной ‎безопасности ‎(их ‎ещё‏ ‎называют‏ ‎— ‎лучшие‏ ‎практики) ‎в‏ ‎компаниях ‎не ‎только ‎повышает ‎уровень‏ ‎ЗИК,‏ ‎но‏ ‎и ‎облегчает‏ ‎согласование ‎между‏ ‎различными ‎институтами‏ ‎относительно‏ ‎внедрения ‎конкретных‏ ‎мер ‎защиты.

Представленный ‎ниже ‎обзор ‎демонстрирует‏ ‎специфику ‎ключевых‏ ‎норм‏ ‎и ‎стандартов ‎в‏ ‎данной ‎сфере:

Стандарты‏ ‎информационной ‎безопасности ‎ISO

В ‎рамках‏ ‎деятельности‏ ‎международных ‎организаций‏ ‎по ‎стандартизации‏ ‎ISO ‎и ‎IEC, ‎нормативные ‎документы‏ ‎в‏ ‎сфере ‎информационной‏ ‎безопасности ‎унифицированы‏ ‎и ‎объединены ‎в ‎серию ‎стандартов‏ ‎2700x,‏ ‎которая‏ ‎постоянно ‎расширяется.‏ ‎На ‎глобальном‏ ‎уровне ‎данные‏ ‎нормы‏ ‎принято ‎обозначать‏ ‎как ‎международные ‎стандарты. ‎При ‎этом‏ ‎часть ‎этих‏ ‎международных‏ ‎стандартов ‎также ‎представлена‏ ‎в ‎виде‏ ‎переведённых ‎и ‎адаптированных ‎версий,‏ ‎выступающих‏ ‎в ‎качестве‏ ‎национальных ‎стандартов‏ ‎России ‎— ‎ГОСТ ‎Р ‎ИСО/МЭК.

Основной‏ ‎состав‏ ‎серии ‎стандартов‏ ‎ISO/IEC ‎27000x‏ ‎включает ‎следующие ‎ключевые ‎нормативные ‎документы:

ISO/IEC‏ ‎27000‏ ‎—‏ ‎Системы ‎менеджмента‏ ‎информационной ‎безопасности:‏ ‎Термины ‎и‏ ‎определения

Данный‏ ‎международный ‎стандарт‏ ‎предоставляет ‎концептуальный ‎обзор ‎систем ‎управления‏ ‎информационной ‎безопасностью‏ ‎(СУИБ)‏ ‎и ‎детально ‎рассматривает‏ ‎взаимосвязи ‎между‏ ‎различными ‎стандартами ‎серии ‎ISO/IEC‏ ‎27000.‏ ‎Помимо ‎этого,‏ ‎стандарт ‎содержит‏ ‎всеобъемлющий ‎глоссарий ‎ключевых ‎терминов ‎и‏ ‎определений,‏ ‎связанных ‎с‏ ‎управлением ‎информационной‏ ‎безопасностью.

ISO/IEC ‎27001 ‎— ‎Системы ‎управления‏ ‎информационной‏ ‎безопасности:‏ ‎Требования

Данный ‎международный‏ ‎стандарт ‎устанавливает‏ ‎нормативные ‎требования‏ ‎к‏ ‎внедрению, ‎функционированию‏ ‎и ‎постоянному ‎улучшению ‎документированной ‎системы‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎в ‎компаниях. ‎Стандарт‏ ‎состоит ‎примерно‏ ‎из ‎9 ‎страниц ‎требований‏ ‎и‏ ‎включает ‎нормативное‏ ‎приложение ‎с‏ ‎перечислением ‎более ‎100 ‎возможных ‎мер‏ ‎контроля,‏ ‎которые ‎должны‏ ‎быть ‎выбраны‏ ‎и ‎внедрены ‎с ‎учётом ‎соответствующих‏ ‎рисков‏ ‎информационной‏ ‎безопасности. ‎Необходимо‏ ‎отметить, ‎что‏ ‎ISO/IEC ‎27001‏ ‎не‏ ‎предоставляет ‎практические‏ ‎рекомендации ‎относительно ‎реализации ‎данных ‎требований.

Ранее‏ ‎структура ‎требований‏ ‎в‏ ‎ISO/IEC ‎27001 ‎была‏ ‎ориентирована ‎на‏ ‎модель ‎управленческого ‎цикла ‎PDCA‏ ‎(Plan-Do-Check-Act).‏ ‎Однако ‎при‏ ‎последнем ‎пересмотре‏ ‎стандарта ‎явное ‎упоминание ‎этого ‎цикла‏ ‎было‏ ‎исключено. ‎Это‏ ‎было ‎сделано‏ ‎с ‎целью ‎подчеркнуть, ‎что ‎порядок‏ ‎изложения‏ ‎отдельных‏ ‎требований ‎в‏ ‎стандарте ‎не‏ ‎отражает ‎их‏ ‎относительную‏ ‎важность ‎или‏ ‎рекомендуемую ‎последовательность ‎внедрения. ‎Тем ‎не‏ ‎менее ‎мероприятия‏ ‎по‏ ‎построению ‎и ‎функционированию‏ ‎СУИБ ‎по-прежнему‏ ‎могут ‎осуществляться ‎в ‎соответствии‏ ‎с‏ ‎циклом ‎PDCA.

ISO/IEC‏ ‎27002 ‎—‏ ‎Свод ‎правил ‎для ‎средств ‎управления‏ ‎информационной‏ ‎безопасностью

Данный ‎международный‏ ‎стандарт ‎оказывает‏ ‎практическую ‎поддержку ‎компаниям ‎в ‎выборе‏ ‎и‏ ‎внедрении‏ ‎мер ‎контроля,‏ ‎описанных ‎в‏ ‎ISO/IEC ‎27001,‏ ‎с‏ ‎целью ‎построения‏ ‎эффективно ‎функционирующей ‎системы ‎управления ‎информационной‏ ‎безопасностью ‎и‏ ‎её‏ ‎интеграции ‎в ‎общую‏ ‎систему ‎менеджмента‏ ‎компании. ‎Соответствующие ‎меры ‎безопасности‏ ‎описаны‏ ‎на ‎90‏ ‎страницах ‎стандарта‏ ‎ISO/IEC ‎27002. ‎Рекомендации ‎в ‎первую‏ ‎очередь‏ ‎ориентированы ‎на‏ ‎уровень ‎менеджмента‏ ‎и ‎содержат ‎минимум ‎технических ‎деталей.

ISO/IEC‏ ‎27004‏ ‎—‏ ‎Мониторинг, ‎измерение,‏ ‎анализ ‎и‏ ‎оценка

Международный ‎стандарт‏ ‎ISO/IEC‏ ‎27004 ‎посвящён‏ ‎методологическим ‎аспектам ‎мониторинга, ‎измерения, ‎анализа‏ ‎и ‎оценки‏ ‎эффективности‏ ‎внедрения ‎и ‎функционирования‏ ‎системы ‎управления‏ ‎информационной ‎безопасностью ‎в ‎компаниях.

Основное‏ ‎назначение‏ ‎данного ‎стандарта‏ ‎заключается ‎в‏ ‎регламентации ‎процедур ‎по ‎разработке ‎и‏ ‎реализации‏ ‎программы ‎мониторинга‏ ‎СУИБ, ‎которая‏ ‎должна ‎обеспечивать ‎поддержку ‎управленческих ‎решений‏ ‎и‏ ‎демонстрировать‏ ‎результативность ‎внедрённой‏ ‎системы ‎менеджмента.

В‏ ‎стандарте ‎рассматриваются‏ ‎вопросы‏ ‎определения ‎соответствующих‏ ‎метрик ‎и ‎ключевых ‎показателей ‎для‏ ‎оценки ‎эффективности‏ ‎мер‏ ‎контроля ‎информационной ‎безопасности‏ ‎и ‎общей‏ ‎результативности ‎СУИБ. ‎Особое ‎внимание‏ ‎уделяется‏ ‎методам ‎сбора,‏ ‎анализа ‎и‏ ‎интерпретации ‎данных, ‎полученных ‎в ‎ходе‏ ‎мониторинга,‏ ‎с ‎целью‏ ‎выявления ‎тенденций,‏ ‎областей ‎для ‎улучшения ‎и ‎обоснования‏ ‎достигнутого‏ ‎уровня‏ ‎ЗИК.

Применение ‎положений‏ ‎ISO/IEC ‎27004‏ ‎позволяет ‎компаниям‏ ‎обеспечивать‏ ‎объективную ‎оценку‏ ‎и ‎демонстрировать ‎заинтересованным ‎сторонам ‎эффективность‏ ‎функционирования ‎их‏ ‎системы‏ ‎менеджмента ‎информационной ‎безопасности‏ ‎на ‎постоянной‏ ‎основе.

ISO/IEC ‎27005 ‎— ‎Менеджмент‏ ‎рисков‏ ‎информационной ‎безопасности

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27005 ‎«Менеджмент ‎рисков ‎информационной ‎безопасности»‏ ‎содержит‏ ‎рекомендации ‎по‏ ‎разработке ‎структурированного‏ ‎подхода ‎к ‎управлению ‎рисками ‎в‏ ‎сфере‏ ‎информационной‏ ‎безопасности. ‎Данный‏ ‎стандарт, ‎в‏ ‎частности, ‎оказывает‏ ‎методологическую‏ ‎поддержку ‎при‏ ‎реализации ‎требований ‎стандарта ‎ISO/IEC ‎27001.‏ ‎Следует ‎отметить,‏ ‎что‏ ‎ISO/IEC ‎27005 ‎не‏ ‎предписывает ‎какую-либо‏ ‎конкретную ‎методику ‎управления ‎рисками.

Рассматриваемый‏ ‎стандарт‏ ‎во ‎многом‏ ‎базируется ‎на‏ ‎положениях ‎международного ‎стандарта ‎ISO/IEC ‎31000‏ ‎«Менеджмент‏ ‎рисков ‎—‏ ‎Принципы ‎и‏ ‎руководящие ‎указания». ‎Дополняющий ‎стандарт ‎ISO/IEC‏ ‎31010‏ ‎«Методы‏ ‎оценки ‎рисков»‏ ‎подробно ‎раскрывает‏ ‎вопросы ‎интеграции‏ ‎процедур‏ ‎оценки ‎рисков‏ ‎в ‎систему ‎риск-менеджмента, ‎а ‎также‏ ‎методологии ‎идентификации,‏ ‎анализа,‏ ‎оценки ‎и ‎обработки‏ ‎рисков. ‎Приложение‏ ‎B ‎стандарта ‎ISO/IEC ‎31010‏ ‎предоставляет‏ ‎всесторонний ‎обзор‏ ‎более ‎30‏ ‎различных ‎методов ‎оценки ‎рисков.

Комплексное ‎применение‏ ‎изложенных‏ ‎в ‎данных‏ ‎взаимосвязанных ‎стандартах‏ ‎подходов ‎позволяет ‎компаниям ‎формировать ‎эффективные‏ ‎системы‏ ‎менеджмента‏ ‎рисков ‎информационной‏ ‎безопасности ‎на‏ ‎основе ‎признанных‏ ‎международных‏ ‎методологий.

ISO/IEC ‎27006‏ ‎— ‎Требования ‎к ‎органам, ‎проводящим‏ ‎аудит ‎и‏ ‎сертификацию‏ ‎систем ‎управления ‎информационной‏ ‎безопасностью

Стандарт ‎ISO/IEC‏ ‎27006 ‎регламентирует ‎требования ‎к‏ ‎органам,‏ ‎осуществляющим ‎аудит‏ ‎и ‎сертификацию‏ ‎систем ‎управления ‎информационной ‎безопасностью. ‎Данный‏ ‎стандарт‏ ‎устанавливает ‎чёткие‏ ‎критерии ‎для‏ ‎аккредитации ‎органов ‎по ‎сертификации ‎СУИБ,‏ ‎а‏ ‎также‏ ‎подробно ‎рассматривает‏ ‎специфику ‎процессов‏ ‎сертификации ‎СУИБ.

ISO/IEC‏ ‎27009‏ ‎— ‎Отраслевое‏ ‎применение ‎ISO/IEC ‎27001 ‎— ‎Требования

Стандарт‏ ‎ISO/IEC ‎27009‏ ‎описывает‏ ‎механизмы ‎адаптации ‎стандарта‏ ‎ISO/IEC ‎27001‏ ‎к ‎особенностям ‎различных ‎секторов‏ ‎экономики.‏ ‎Он ‎регламентирует,‏ ‎каким ‎образом‏ ‎могут ‎быть ‎интегрированы ‎отраслевые ‎расширения‏ ‎(например,‏ ‎для ‎энергетики,‏ ‎облачных ‎вычислений,‏ ‎финансовой ‎сферы) ‎в ‎структуру ‎СУИБ,‏ ‎построенной‏ ‎на‏ ‎базе ‎ISO/IEC‏ ‎27001, ‎и‏ ‎учтены ‎в‏ ‎качестве‏ ‎дополнительных ‎требований.‏ ‎Для ‎этого ‎предусматривается ‎возможность ‎расширения‏ ‎или ‎дополнения‏ ‎отдельных‏ ‎мер ‎контроля, ‎содержащихся‏ ‎в ‎приложении‏ ‎к ‎ISO/IEC ‎27001.

Другие ‎стандарты‏ ‎серии‏ ‎ISO/IEC ‎27000,‏ ‎вероятно, ‎в‏ ‎долгосрочной ‎перспективе ‎будут ‎охватывать ‎диапазон‏ ‎номеров‏ ‎от ‎27000‏ ‎до ‎271xx.‏ ‎Все ‎эти ‎стандарты, ‎так ‎или‏ ‎иначе,‏ ‎связаны‏ ‎с ‎различными‏ ‎аспектами ‎управления‏ ‎информационной ‎безопасностью,‏ ‎и‏ ‎призваны ‎способствовать‏ ‎более ‎глубокому ‎пониманию ‎и ‎эффективному‏ ‎практическому ‎применению‏ ‎требований‏ ‎ISO/IEC ‎27001. ‎Среди‏ ‎таких ‎стандартов‏ ‎можно ‎выделить ‎документы, ‎посвящённые‏ ‎вопросам‏ ‎практической ‎реализации‏ ‎СУИБ ‎и‏ ‎обеспечения ‎непрерывности ‎бизнес-процессов.

Следует ‎отметить, ‎что‏ ‎отраслевые‏ ‎стандарты, ‎такие‏ ‎как ‎ISO/IEC‏ ‎27019 ‎для ‎энергетического ‎сектора, ‎также‏ ‎разрабатываются‏ ‎на‏ ‎основе ‎концепций,‏ ‎заложенных ‎в‏ ‎ISO/IEC ‎27009,‏ ‎что‏ ‎обеспечивает ‎их‏ ‎согласованность ‎с ‎базовыми ‎требованиями ‎информационной‏ ‎безопасности.

COBIT ‎5

COBIT‏ ‎5‏ ‎рассматривает ‎информационные ‎технологии‏ ‎как ‎ключевую‏ ‎основу ‎для ‎достижения ‎организационных‏ ‎целей‏ ‎бизнеса ‎и‏ ‎предписывает, ‎чтобы‏ ‎цели ‎ИТ, ‎а ‎следовательно ‎и‏ ‎информационной‏ ‎безопасности ‎проистекали‏ ‎из ‎бизнес-стратегии,‏ ‎а ‎предоставляемые ‎ИТ-услуги ‎отвечали ‎требованиям‏ ‎качества‏ ‎бизнес-процессов‏ ‎для ‎всей‏ ‎компании. ‎Аналогично‏ ‎методологии ‎ITIL,‏ ‎COBIT‏ ‎5 ‎ориентируются‏ ‎на ‎целенаправленные, ‎оптимизированные ‎ИТ-процессы. ‎Кроме‏ ‎того, ‎COBIT‏ ‎5‏ ‎вводит ‎концепцию ‎«потенциала‏ ‎процесса», ‎которая‏ ‎позволяет ‎оценить ‎способность ‎организации‏ ‎надёжно‏ ‎и ‎устойчиво‏ ‎достигать ‎требуемых‏ ‎целей. ‎Комплексная ‎оценка ‎зрелости ‎всех‏ ‎37‏ ‎процессных ‎областей,‏ ‎разделённых ‎на‏ ‎пять ‎доменов, ‎даёт ‎возможность ‎сделать‏ ‎выводы‏ ‎о‏ ‎профессионализме ‎поддерживающих‏ ‎ИТ-процессов ‎должностных‏ ‎лиц. ‎Документы‏ ‎COBIT‏ ‎издаются ‎Ассоциацией‏ ‎по ‎аудиту ‎и ‎контролю ‎информационных‏ ‎систем ‎(ISACA).‏ ‎При‏ ‎разработке ‎COBIT ‎авторы‏ ‎ориентировались ‎на‏ ‎существующие ‎международные ‎стандарты ‎в‏ ‎области‏ ‎управления ‎информационной‏ ‎безопасностью, ‎в‏ ‎частности, ‎на ‎стандарт ‎ISO/IEC ‎27002.

ITIL

Библиотека‏ ‎информационных‏ ‎технологий ‎и‏ ‎инфраструктуры ‎(Information‏ ‎Technology ‎Infrastructure ‎Library, ‎ITIL) ‎представляет‏ ‎собой‏ ‎комплекс‏ ‎взаимосвязанных ‎методических‏ ‎материалов, ‎посвящённых‏ ‎вопросам ‎управления‏ ‎ИТ-услугами.‏ ‎Данная ‎инициатива‏ ‎была ‎разработана ‎Офисом ‎правительственной ‎торговли‏ ‎(Office ‎of‏ ‎Government‏ ‎Commerce, ‎OGC) ‎соединённого‏ ‎королевства ‎Великобритании.

Основная‏ ‎цель ‎ITIL ‎заключается ‎в‏ ‎оптимизации‏ ‎качества ‎и‏ ‎эффективности ‎ИТ-услуг‏ ‎с ‎позиции ‎ИТ-провайдера, ‎будь ‎то‏ ‎внутреннее‏ ‎ИТ-подразделение ‎компании‏ ‎или ‎сторонний‏ ‎сервис-провайдер. ‎Особое ‎внимание ‎в ‎рамках‏ ‎данного‏ ‎методологического‏ ‎подхода ‎уделяется‏ ‎вопросам ‎информационной‏ ‎безопасности, ‎которые‏ ‎рассматриваются‏ ‎с ‎операционной‏ ‎точки ‎зрения ‎(операционной ‎деятельности). ‎В‏ ‎свою ‎очередь,‏ ‎надлежащее‏ ‎функционирование ‎ИТ-инфраструктуры ‎выступает‏ ‎ключевым ‎фактором‏ ‎эффективного ‎функционирования ‎системы ‎управления‏ ‎информационной‏ ‎безопасностью, ‎в‏ ‎результате ‎чего‏ ‎многие ‎дисциплины ‎ITIL ‎в ‎той‏ ‎или‏ ‎иной ‎мере‏ ‎коррелируют ‎с‏ ‎принципами ‎обеспечения ‎информационной ‎безопасности, ‎закреплёнными‏ ‎в‏ ‎соответствующих‏ ‎стандартах.

На ‎базе‏ ‎методологии ‎ITIL‏ ‎был ‎разработан‏ ‎международный‏ ‎стандарт ‎ISO/IEC‏ ‎20000, ‎который ‎устанавливает ‎требования ‎к‏ ‎системе ‎управления‏ ‎ИТ-услугами‏ ‎и ‎может ‎быть‏ ‎использован ‎в‏ ‎качестве ‎основы ‎для ‎сертификации.

PCI‏ ‎DSS

Стандарт‏ ‎безопасности ‎платёжных‏ ‎карт ‎(PCI‏ ‎DSS) ‎является ‎инструментом ‎для ‎обеспечения‏ ‎информационной‏ ‎безопасности ‎в‏ ‎сфере ‎платежей‏ ‎с ‎использованием ‎банковских ‎карт. ‎Он‏ ‎был‏ ‎разработан‏ ‎Советом ‎по‏ ‎стандартам ‎безопасности‏ ‎платёжных ‎карт,‏ ‎консорциумом‏ ‎ведущих ‎платёжных‏ ‎систем, ‎и ‎определяет ‎требования ‎к‏ ‎защите ‎данных‏ ‎держателей‏ ‎карт ‎для ‎всех‏ ‎компаний, ‎участвующих‏ ‎в ‎обработке, ‎хранении ‎или‏ ‎передаче‏ ‎этих ‎данных.‏ ‎Соблюдение ‎стандарта‏ ‎PCI ‎DSS ‎является ‎обязательным ‎для‏ ‎торговых‏ ‎предприятий, ‎принимающих‏ ‎платежи ‎по‏ ‎картам, ‎а ‎также ‎для ‎провайдеров‏ ‎услуг,‏ ‎оказывающих‏ ‎услуги ‎обработки‏ ‎таких ‎платежей.

NIST

Национальный‏ ‎институт ‎стандартов‏ ‎и‏ ‎технологий ‎(NIST)‏ ‎является ‎федеральным ‎агентством ‎США, ‎ответственным‏ ‎за ‎разработку‏ ‎официальных‏ ‎стандартов ‎и ‎руководств‏ ‎в ‎сфере‏ ‎информационной ‎безопасности. ‎Серия ‎специальных‏ ‎публикаций‏ ‎NIST ‎SP‏ ‎800 ‎содержит‏ ‎обширные ‎рекомендации ‎по ‎различным ‎аспектам‏ ‎информационной‏ ‎безопасности, ‎которые‏ ‎оказывают ‎значительное‏ ‎влияние ‎на ‎формирование ‎передовых ‎практик‏ ‎в‏ ‎этой‏ ‎области ‎на‏ ‎международном ‎уровне.‏ ‎В ‎частности,‏ ‎документ‏ ‎NIST ‎SP‏ ‎800-53 ‎представляет ‎собой ‎всеобъемлющий ‎свод‏ ‎средств ‎управления‏ ‎информационной‏ ‎безопасностью, ‎структурированный ‎по‏ ‎тематическим ‎областям.

ISF‏ ‎— ‎Стандарт ‎надлежащей ‎практики

Форум‏ ‎информационной‏ ‎безопасности ‎(ISF)‏ ‎является ‎независимой‏ ‎международной ‎организацией, ‎специализирующейся ‎на ‎информационной‏ ‎безопасности.‏ ‎ISF ‎публикует‏ ‎Стандарт ‎надлежащей‏ ‎практики ‎(SoGP) ‎— ‎практико-ориентированное ‎руководство‏ ‎по‏ ‎информационной‏ ‎безопасности, ‎основанное‏ ‎на ‎признанных‏ ‎передовых ‎практиках‏ ‎и‏ ‎охватывающее ‎требования‏ ‎ведущих ‎стандартов, ‎таких ‎как ‎ISO/IEC‏ ‎27002, ‎COBIT‏ ‎5,‏ ‎PCI ‎DSS ‎и‏ ‎NIST ‎SP‏ ‎800-53.

Настоящие ‎рекомендации ‎основаны ‎на‏ ‎ИСО‏ ‎27001, ‎а‏ ‎также ‎других‏ ‎стандартах ‎указанных ‎выше.

Внимание! ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на‏ ‎основании ‎ст.‏ ‎1259 ‎ГК ‎РФ.