logo
0
подписчиков
Платный канал ООО "ЦифраБез"  Информация по созданию системы управления информационной безопасностью для организации любого уровня.
Публикации Уровни подписки Контакты О проекте Фильтры Метки Статистика RSS Контакты Поделиться
О проекте
Методология «Волга-27001» — это целостный подход к внедрению стандарта ISO 27001 и других лучших практик, разработанный ООО «ЦифраБез» для адаптации этого международного стандарта к специфике российских организаций.
Основные особенности этой методологии:
Комплексность: «Волга-27001» охватывает весь жизненный цикл внедрения стандарта — от предварительной оценки готовности организации до внедрения и поддержания системы управления информационной безопасностью (СУИБ);
Адаптация к российской специфике: методология учитывает требования российских законодательных и нормативных актов в области информационной безопасности;
Практическая направленность: акцент делается не на формальное соответствие стандарту, а на реальное повышение уровня информационной безопасности, в области, которую выбирает сама компания для своих информационных активов;
Встраивание в бизнес-процессы: СУИБ органично интегрируется в существующую систему управления организацией, минимизируя дополнительную нагрузку на персонал при проведении шоковой реформы в бизнес-процессах и управлении организацией;
Использование отечественных технологий: при внедрении СУИБ по методологии «Волга-27001» приоритет отдаётся решениям российских разработчиков, что обеспечивает независимость от иностранных поставщиков и делает вас независимыми от санкций и других сюрпризов «западных партнёров».
Прежде чем оформить платную подписку, внимательно изучите условия Публичной оферты!
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Безвозмездное пожертвование без возможности возврата. Этот взнос не предоставляет доступ к закрытому контенту.

Помочь проекту
Хочу всё знать! 7 000 ₽ месяц 63 000 ₽ год
(-25%)
При подписке на год для вас действует 25% скидка. 25% основная скидка и 0% доп. скидка за ваш уровень на проекте Платный канал ООО "ЦифраБез"
Доступны сообщения

Подписка позволяет получить доступ к закрытым материалам, которые не публикуются в открытом доступе.

Первыми получать доступ к публикуемым статьям (на месяц раньше), касающихся обучения.

Через личные сообщения получать консультационную помощь по вопросам информационной безопасности и защиты информации.

Давать предложения и замечания к статьям (материалам) для их совершенствования.

Доступна для любой организации и учреждения.

Оформить подписку
Фильтры
Статистика
Обновления проекта
Читать: 4+ мин
logo Платный канал ООО "ЦифраБез"

Непрерывное совершенствование концепции ИБ и сертификация СУИБ (часть 16)

Непрерывное ‎совершенствование‏ ‎концепции ‎ИБ

Регулярный ‎пересмотр ‎концепции ‎информационной‏ ‎безопасности ‎является‏ ‎необходимым‏ ‎условием ‎для ‎устранения‏ ‎выявленных ‎несоответствий‏ ‎и ‎уязвимостей, ‎а ‎также‏ ‎оптимизации‏ ‎мер ‎защиты‏ ‎реализованных ‎для‏ ‎исполнения ‎требований ‎с ‎точки ‎зрения‏ ‎их‏ ‎эффективности.

Особое ‎внимание‏ ‎следует ‎уделять‏ ‎повышению ‎практической ‎применимости ‎технических ‎средств‏ ‎и‏ ‎организационных‏ ‎процедур, ‎что‏ ‎позволит ‎повысить‏ ‎уровень ‎принятия‏ ‎мер‏ ‎защиты ‎персоналом.‏ ‎Кроме ‎того, ‎целесообразно ‎регулярно ‎анализировать‏ ‎формулировки ‎соответствующих‏ ‎мер‏ ‎защиты ‎на ‎предмет‏ ‎их ‎логичности‏ ‎и ‎однозначности ‎понимания, ‎внося‏ ‎при‏ ‎необходимости ‎соответствующие‏ ‎уточнения ‎и‏ ‎коррективы.

Ключевые ‎аспекты ‎непрерывного ‎совершенствования:

  • устранение ‎выявленных‏ ‎несоответствий‏ ‎и ‎уязвимостей;
  • оптимизация‏ ‎эффективности ‎мер‏ ‎защиты;
  • повышение ‎уровня ‎зрелости ‎мер ‎защиты;
  • повышение‏ ‎практической‏ ‎применимости‏ ‎и ‎приемлемости‏ ‎мер ‎защиты;
  • регулярный‏ ‎анализ ‎мер‏ ‎защиты‏ ‎и ‎уровней‏ ‎их ‎зрелости.

Сертификация ‎СУИБ

Построение ‎и ‎эксплуатация‏ ‎эффективной ‎СУИБ‏ ‎является‏ ‎сложной ‎и ‎трудоёмкой‏ ‎задачей. ‎Тем‏ ‎не ‎менее ‎при ‎успешной‏ ‎реализации‏ ‎такой ‎системы,‏ ‎её ‎наличие‏ ‎и ‎функционирование ‎может ‎быть ‎весьма‏ ‎полезным‏ ‎как ‎для‏ ‎внутренних, ‎так‏ ‎и ‎для ‎внешних ‎целей ‎компании.

Можно‏ ‎отметить‏ ‎следующее:

  • внутренние‏ ‎цели ‎включают‏ ‎прозрачное ‎документирование‏ ‎и ‎демонстрацию‏ ‎приверженности‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности. ‎Это ‎может ‎укрепить‏ ‎корпоративную ‎культуру‏ ‎и‏ ‎повысить ‎осведомлённость ‎сотрудников;
  • во‏ ‎внешнем ‎аспекте‏ ‎наличие ‎сертифицированной ‎СУИБ ‎может‏ ‎служить‏ ‎важным ‎сигналом‏ ‎качества ‎и‏ ‎надёжности ‎для ‎клиентов, ‎партнёров ‎и‏ ‎иных‏ ‎заинтересованных ‎сторон.‏ ‎Таким ‎образом,‏ ‎это ‎может ‎обеспечить ‎организации ‎определённое‏ ‎конкурентное‏ ‎преимущество.‏ ‎Сертификат, ‎который‏ ‎покупают ‎за‏ ‎три ‎дня,‏ ‎не‏ ‎является ‎тем‏ ‎сертификатом, ‎который ‎позволит ‎компании ‎гордиться‏ ‎своей ‎СУИБ;
  • кроме‏ ‎того,‏ ‎органы ‎государственной ‎власти‏ ‎могут ‎применять‏ ‎механизмы ‎сертификации ‎СУИБ ‎для‏ ‎повышения‏ ‎уровня ‎доверия‏ ‎граждан ‎к‏ ‎безопасности ‎электронных ‎государственных ‎услуг ‎и‏ ‎инфраструктуры.

Ещё‏ ‎одним ‎фактором,‏ ‎стимулирующим ‎компании‏ ‎к ‎сертификации ‎СУИБ, ‎является ‎необходимость‏ ‎соответствия‏ ‎нормативным‏ ‎требованиям ‎и‏ ‎законодательству ‎в‏ ‎области ‎информационной‏ ‎безопасности.

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27001 ‎(и ‎его ‎российский ‎аналог)‏ ‎является ‎основополагающим‏ ‎в‏ ‎области ‎сертификации ‎СУИБ.‏ ‎Процедура ‎сертификации‏ ‎предусматривает ‎проверку ‎и ‎аудит‏ ‎независимыми‏ ‎компетентными ‎органами.

Для‏ ‎обеспечения ‎повторяемости‏ ‎и ‎воспроизводимости ‎результатов ‎сертификационных ‎аудитов‏ ‎необходимы‏ ‎опытные ‎и‏ ‎квалифицированные ‎аудиторы.‏ ‎Следовательно, ‎аудиторы ‎должны ‎продемонстрировать ‎наличие‏ ‎требуемых‏ ‎профессиональных‏ ‎знаний, ‎а‏ ‎также ‎знание‏ ‎и ‎соблюдение‏ ‎установленных‏ ‎правил ‎и‏ ‎процедур. ‎Данный ‎процесс ‎основывается ‎на‏ ‎дополнительных ‎стандартах‏ ‎ISO,‏ ‎призванных ‎гарантировать ‎высокий‏ ‎уровень ‎качества‏ ‎и ‎прослеживаемость ‎сертификатов.

Общепринятая ‎защита‏ ‎ИТ‏ ‎— ‎инфраструктуры‏ ‎и ‎информации‏ ‎в ‎целом ‎базируется ‎на ‎требованиях‏ ‎ISO/IEC‏ ‎27001. ‎Следовательно,‏ ‎внедрение ‎комплекса‏ ‎мер ‎информационной ‎безопасности ‎в ‎соответствии‏ ‎с‏ ‎этим‏ ‎стандартом ‎также‏ ‎может ‎быть‏ ‎сертифицировано ‎в‏ ‎России‏ ‎посредством ‎создания‏ ‎СУИБ. ‎При ‎этом ‎качественные ‎органы‏ ‎по ‎сертификации‏ ‎информационной‏ ‎безопасности ‎не ‎просто‏ ‎проверяют, ‎но‏ ‎и ‎помогают ‎интегрировать ‎требования‏ ‎ISO/IEC‏ ‎27001 ‎в‏ ‎компании.

Выдача ‎сертификата‏ ‎ISO ‎27001 ‎по ‎основам ‎информационной‏ ‎безопасности‏ ‎предполагает ‎проведение‏ ‎аудита ‎внешним‏ ‎аудитором, ‎имеющим ‎соответствующую ‎аккредитацию. ‎По‏ ‎результатам‏ ‎аудита‏ ‎формируется ‎отчёт,‏ ‎представляемый ‎в‏ ‎орган ‎по‏ ‎сертификации‏ ‎для ‎принятия‏ ‎решения ‎о ‎выдаче ‎сертификата ‎сроком‏ ‎на ‎три‏ ‎года.

ООО‏ ‎«ЦифраБез» ‎оказывает ‎помощь‏ ‎и ‎поддержку‏ ‎для ‎создания ‎СУИБ ‎в‏ ‎компании,‏ ‎а ‎также‏ ‎подготовит ‎её‏ ‎к ‎сертификации. ‎Однако ‎на ‎уровне‏ ‎ОИБВОП‏ ‎до ‎«Официального»‏ ‎мы ‎не‏ ‎рекомендуем ‎проводить ‎сертификацию, ‎так ‎как‏ ‎это‏ ‎не‏ ‎является ‎целесообразным.‏ ‎Сертификацию ‎необходимо‏ ‎проводить ‎выше‏ ‎уровня‏ ‎ОИБВОП ‎«Официальный»,‏ ‎но ‎это ‎не ‎отменяет ‎само‏ ‎создание ‎СУИБ‏ ‎и‏ ‎внедрение ‎мер ‎защиты‏ ‎для ‎исполнения‏ ‎требований ‎выбранного ‎уровня ‎ОИБВОП‏ ‎и‏ ‎ниже.

Внимание! ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на ‎основании ‎статьи ‎1259‏ ‎ГК‏ ‎РФ.

Третьи ‎лица‏ ‎не ‎вправе‏ ‎использовать ‎с ‎целью ‎создания ‎каких-либо‏ ‎средств‏ ‎обработки‏ ‎представленной ‎информации‏ ‎и ‎размещённых‏ ‎на ‎данной‏ ‎странице‏ ‎результатов ‎интеллектуальной‏ ‎деятельности ‎каким-либо ‎образом ‎без ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез».‏ ‎Распространение ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на‏ ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое ‎использование ‎осуществляется ‎без‏ ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и ‎влечёт ‎ответственность, ‎установленную‏ ‎действующим‏ ‎законодательством‏ ‎РФ.

Читать: 3+ мин
logo Платный канал ООО "ЦифраБез"

Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 9)

Использование ‎доступных‏ ‎источников ‎информации

Обеспечение ‎информационной ‎безопасности ‎является‏ ‎сложной ‎комплексной‏ ‎темой,‏ ‎требующей ‎всестороннего ‎изучения‏ ‎и ‎глубокого‏ ‎понимания ‎со ‎стороны ‎ответственных‏ ‎специалистов.‏ ‎К ‎счастью,‏ ‎в ‎распоряжении‏ ‎исследователей ‎и ‎практиков ‎имеется ‎широкий‏ ‎спектр‏ ‎доступных ‎информационных‏ ‎ресурсов, ‎которые‏ ‎могут ‎быть ‎задействованы ‎для ‎углубления‏ ‎знаний‏ ‎в‏ ‎данной ‎предметной‏ ‎области. ‎Эти‏ ‎ресурсы ‎включают‏ ‎в‏ ‎себя ‎нормативно-правовые‏ ‎акты ‎и ‎отраслевые ‎стандарты, ‎материалы‏ ‎сети ‎Интернет,‏ ‎а‏ ‎также ‎специализированную ‎научную‏ ‎и ‎профессиональную‏ ‎литературу. ‎Кроме ‎того, ‎важную‏ ‎роль‏ ‎играет ‎сетевое‏ ‎взаимодействие ‎с‏ ‎профильными ‎ассоциациями, ‎партнёрскими ‎организациями, ‎экспертными‏ ‎сообществами,‏ ‎государственными ‎органами.‏ ‎Такое ‎сотрудничество‏ ‎позволяет ‎осуществлять ‎эффективный ‎обмен ‎передовым‏ ‎опытом‏ ‎и‏ ‎актуальной ‎информацией‏ ‎в ‎сфере‏ ‎обеспечения ‎информационной‏ ‎безопасности.

В‏ ‎компании ‎должна‏ ‎быть ‎создана ‎внутренняя ‎база ‎знаний‏ ‎для ‎специалистов‏ ‎по‏ ‎информационной ‎безопасности, ‎где‏ ‎указываются ‎доступные‏ ‎источники ‎и ‎собирается ‎нарабатываемый‏ ‎со‏ ‎временем ‎опыт.

Управленческий‏ ‎анализ

Руководство ‎компании‏ ‎должно ‎регулярно ‎проводить ‎управленческий ‎анализ‏ ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎При‏ ‎необходимости, ‎например, ‎при ‎участившихся ‎инцидентах‏ ‎или‏ ‎существенном‏ ‎изменении ‎внешних‏ ‎условий, ‎такие‏ ‎оценки ‎следует‏ ‎выполнять‏ ‎и ‎вне‏ ‎плановых ‎сроков. ‎Все ‎результаты ‎и‏ ‎принятые ‎решения‏ ‎подлежат‏ ‎документированию.

Ключевые ‎вопросы ‎для‏ ‎рассмотрения ‎в‏ ‎рамках ‎управленческого ‎анализа:

  • Изменились ‎ли‏ ‎факторы,‏ ‎определяющие ‎подход‏ ‎к ‎обеспечению‏ ‎информационной ‎безопасности?
  • Остаются ‎ли ‎цели ‎информационной‏ ‎безопасности‏ ‎актуальными ‎и‏ ‎адекватными?
  • Соответствует ‎ли‏ ‎политика ‎информационной ‎безопасности ‎современным ‎реалиям‏ ‎компании‏ ‎и‏ ‎законодательным ‎требованиям?

Акцент‏ ‎при ‎оценке‏ ‎эффективности ‎процесса‏ ‎информационной‏ ‎безопасности ‎делается‏ ‎не ‎на ‎проверке ‎отдельных ‎мер‏ ‎безопасности, ‎а‏ ‎на‏ ‎комплексном ‎анализе. ‎Например,‏ ‎безопасная ‎эксплуатация‏ ‎интернет-портала ‎может ‎оказаться ‎слишком‏ ‎затратной‏ ‎для ‎небольшой‏ ‎компании, ‎что‏ ‎может ‎послужить ‎основанием ‎для ‎передачи‏ ‎управления‏ ‎порталом ‎внешнему‏ ‎поставщику ‎услуг.

Кроме‏ ‎того, ‎целесообразно ‎проанализировать, ‎насколько ‎зарекомендовала‏ ‎себя‏ ‎организация‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎Если‏ ‎будет ‎установлено,‏ ‎что‏ ‎меры ‎безопасности‏ ‎неэффективны ‎или ‎чрезмерно ‎затраты, ‎это‏ ‎может ‎послужить‏ ‎основанием‏ ‎для ‎пересмотра ‎и‏ ‎адаптации ‎всей‏ ‎стратегии ‎информационной ‎безопасности ‎компании.‏ ‎При‏ ‎этом ‎руководству‏ ‎следует ‎ответить‏ ‎на ‎следующие ‎вопросы:

  • Является ‎ли ‎стратегия‏ ‎информационной‏ ‎безопасности ‎по-прежнему‏ ‎адекватной?
  • Соответствует ‎ли‏ ‎концепция ‎информационной ‎безопасности ‎целям ‎компании,‏ ‎в‏ ‎том‏ ‎числе ‎законодательным‏ ‎требованиям?
  • Обеспечивает ‎ли‏ ‎существующая ‎организация‏ ‎информационной‏ ‎безопасности ‎эффективную‏ ‎реализацию ‎целей?
  • Не ‎требуется ‎ли ‎усиление‏ ‎её ‎статуса‏ ‎или‏ ‎более ‎тесная ‎интеграция‏ ‎в ‎бизнес-процессы?
  • Являются‏ ‎ли ‎затраты ‎на ‎обеспечение‏ ‎информационной‏ ‎безопасности ‎оправданными‏ ‎и ‎соразмерными?

Корректирующие‏ ‎меры

Результаты ‎оценки ‎эффективности ‎должны ‎систематически‏ ‎применяться‏ ‎для ‎реализации‏ ‎соответствующих ‎корректирующих‏ ‎мер. ‎Это ‎может ‎подразумевать ‎необходимость‏ ‎модификации‏ ‎целей‏ ‎информационной ‎безопасности,‏ ‎стратегии ‎и/или‏ ‎концепции, ‎а‏ ‎также‏ ‎адаптации ‎организационной‏ ‎структуры ‎к ‎изменившимся ‎требованиям. ‎В‏ ‎ряде ‎случаев‏ ‎целесообразно‏ ‎осуществить ‎фундаментальные ‎изменения‏ ‎в ‎бизнес-процессах‏ ‎или ‎ИТ-инфраструктуре, ‎а ‎также‏ ‎отказаться‏ ‎от ‎определённых‏ ‎бизнес-процессов ‎или‏ ‎передать ‎их ‎на ‎аутсорсинг, ‎если‏ ‎их‏ ‎безопасное ‎функционирование‏ ‎более ‎не‏ ‎может ‎быть ‎гарантировано ‎имеющимися ‎ресурсами.‏ ‎При‏ ‎внедрении‏ ‎более ‎масштабных‏ ‎преобразований ‎и‏ ‎реализации ‎значительных‏ ‎улучшений‏ ‎цикл ‎управления‏ ‎замыкается ‎повторным ‎запуском ‎этапа ‎планирования.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на ‎основании‏ ‎статьи ‎1259‏ ‎ГК ‎РФ.

Читать: 6+ мин
logo Платный канал ООО "ЦифраБез"

Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 8)

Осведомлённость ‎и‏ ‎связь

На ‎всех ‎этапах ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎коммуникация‏ ‎является ‎ключевым ‎элементом‏ ‎для ‎достижения‏ ‎поставленных ‎целей. ‎Недопонимания ‎и‏ ‎пробелы‏ ‎в ‎знаниях‏ ‎являются ‎наиболее‏ ‎частыми ‎причинами ‎возникающих ‎проблем ‎с‏ ‎взаимодействием‏ ‎внутри ‎команды‏ ‎внедрения. ‎В‏ ‎связи ‎с ‎этим ‎на ‎всех‏ ‎уровнях‏ ‎и‏ ‎во ‎всех‏ ‎подразделениях ‎компании‏ ‎необходимо ‎обеспечить‏ ‎бесперебойный‏ ‎информационный ‎поток‏ ‎о ‎событиях ‎и ‎мерах ‎в‏ ‎области ‎информационной‏ ‎безопасности.‏ ‎Как ‎минимум ‎в‏ ‎компании ‎должно‏ ‎быть ‎обеспечено:

  • отчётность ‎перед ‎руководством.‏ ‎Руководству‏ ‎компании ‎необходимо‏ ‎периодически ‎предоставлять‏ ‎информацию ‎о ‎важных ‎проблемах, ‎результатах‏ ‎проверок‏ ‎и ‎аудитов,‏ ‎а ‎также‏ ‎о ‎новых ‎тенденциях, ‎изменяющихся ‎условиях‏ ‎или‏ ‎возможностях‏ ‎для ‎улучшения,‏ ‎чтобы ‎оно‏ ‎могло ‎надлежащим‏ ‎образом‏ ‎выполнять ‎свои‏ ‎управленческие ‎функции. ‎Для ‎принятия ‎верных‏ ‎решений ‎при‏ ‎управлении‏ ‎и ‎регулировании ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности ‎руководству ‎компании ‎требуются‏ ‎представлять‏ ‎ключевые ‎показатели‏ ‎состояния ‎информационной‏ ‎безопасности ‎(метрики). ‎Эти ‎показатели ‎должны‏ ‎быть‏ ‎представлены ‎в‏ ‎управленческих ‎отчётах,‏ ‎которые ‎подразделение ‎по ‎информационной ‎безопасности‏ ‎должно‏ ‎регулярно‏ ‎предоставлять ‎руководству‏ ‎в ‎соответствующей‏ ‎форме. ‎Руководство,‏ ‎ознакомившись‏ ‎с ‎управленческими‏ ‎отчётами, ‎при ‎необходимости, ‎предпримет ‎требуемые‏ ‎управленческие ‎действия.‏ ‎В‏ ‎компании ‎следует ‎создать‏ ‎комитет ‎по‏ ‎информационной ‎безопасности ‎и ‎его‏ ‎решения‏ ‎направлять ‎на‏ ‎утверждение ‎руководству‏ ‎компании;
  • информационный ‎поток. ‎Недостаточная ‎коммуникация ‎и‏ ‎отсутствие‏ ‎информации ‎могут‏ ‎приводить ‎как‏ ‎к ‎проблемам ‎информационной ‎безопасности, ‎так‏ ‎и‏ ‎к‏ ‎неправильным ‎решениям‏ ‎или ‎ненужным‏ ‎рабочим ‎шагам‏ ‎с‏ ‎потерей ‎драгоценного‏ ‎времени. ‎Сотрудников ‎нужно ‎информировать ‎о‏ ‎смысле ‎и‏ ‎цели‏ ‎мер ‎защиты, ‎особенно‏ ‎если ‎они‏ ‎влекут ‎за ‎собой ‎дополнительную‏ ‎нагрузку‏ ‎или ‎приводят‏ ‎к ‎дополнительным‏ ‎неудобствам. ‎Кроме ‎того, ‎сотрудники ‎должны‏ ‎быть‏ ‎осведомлены ‎о‏ ‎связанных ‎с‏ ‎их ‎работой ‎правовых ‎вопросах ‎информационной‏ ‎безопасности‏ ‎и‏ ‎защиты ‎данных.‏ ‎Сотрудников ‎также‏ ‎следует ‎включать‏ ‎в‏ ‎планирование ‎реализации‏ ‎мер, ‎чтобы ‎они ‎могли ‎вносить‏ ‎собственные ‎идеи‏ ‎и‏ ‎оценивать ‎их ‎практическую‏ ‎применимость, ‎имели‏ ‎возможность ‎давать ‎обратную ‎связь,‏ ‎обсуждать‏ ‎проекты ‎локальных‏ ‎актов ‎по‏ ‎информационной ‎безопасности. ‎Для ‎этого ‎в‏ ‎компании‏ ‎должен ‎быть‏ ‎создан ‎отдельный‏ ‎информационный ‎ресурс ‎по ‎информационной ‎безопасности;
  • классификация‏ ‎информации.‏ ‎Чтобы‏ ‎обеспечить ‎надлежащую‏ ‎защиту ‎информации,‏ ‎её ‎значимость‏ ‎для‏ ‎компании ‎должна‏ ‎быть ‎чётко ‎определена. ‎Для ‎более‏ ‎простого ‎обмена‏ ‎информацией‏ ‎о ‎ценности ‎различных‏ ‎видов ‎информации,‏ ‎как ‎внутри ‎компании, ‎так‏ ‎и‏ ‎с ‎другими‏ ‎организациями, ‎требуется‏ ‎схема ‎классификации ‎и ‎маркирования, ‎описывающая‏ ‎уровни‏ ‎конфиденциальности ‎(ценности).‏ ‎Для ‎этого‏ ‎в ‎компании ‎должен ‎быть ‎утверждён‏ ‎перечень‏ ‎защищаемой‏ ‎информации;
  • документирование. ‎Для‏ ‎обеспечения ‎непрерывности‏ ‎и ‎последовательности‏ ‎всего‏ ‎процесса ‎информационной‏ ‎безопасности ‎необходимо ‎его ‎постоянно ‎документировать.‏ ‎Только ‎так‏ ‎различные‏ ‎шаги ‎процесса ‎и‏ ‎принятые ‎решения‏ ‎становятся ‎контролируемые. ‎Кроме ‎того,‏ ‎полная‏ ‎документация ‎гарантирует,‏ ‎что ‎аналогичные‏ ‎работы ‎выполняются ‎должным ‎образом, ‎делая‏ ‎процессы‏ ‎измеримыми ‎и‏ ‎воспроизводимыми. ‎Документация‏ ‎также ‎помогает ‎выявлять ‎основные ‎слабости‏ ‎в‏ ‎процессе‏ ‎и ‎избегать‏ ‎повторения ‎ошибок.‏ ‎Необходимая ‎документация‏ ‎выполняет‏ ‎различные ‎функции‏ ‎в ‎различных ‎мероприятиях ‎по ‎информационной‏ ‎безопасности ‎и‏ ‎ориентирована‏ ‎на ‎разные ‎целевые‏ ‎аудитории. ‎Можно‏ ‎выделить ‎следующие ‎виды ‎документации:
  • Техническая‏ ‎документация‏ ‎и ‎документация‏ ‎рабочих ‎процессов‏ ‎(целевая ‎аудитория ‎— ‎эксперты, ‎техники).‏ ‎При‏ ‎сбоях ‎или‏ ‎инцидентах ‎должна‏ ‎быть ‎возможность ‎восстановить ‎желаемое ‎состояние‏ ‎бизнес-процессов‏ ‎и‏ ‎соответствующих ‎ИТ-систем.‏ ‎Технические ‎детали‏ ‎и ‎рабочие‏ ‎процессы‏ ‎должны ‎быть‏ ‎задокументированы ‎таким ‎образом, ‎чтобы ‎это‏ ‎можно ‎было‏ ‎сделать‏ ‎в ‎разумные ‎сроки‏ ‎и ‎как‏ ‎можно ‎с ‎наименьшей ‎квалификацией‏ ‎персонала,‏ ‎чтобы ‎даже‏ ‎уборщица, ‎в‏ ‎случае ‎необходимости ‎могла ‎восстановить ‎работоспособность;
  • Отчёты‏ ‎для‏ ‎руководства ‎(целевая‏ ‎аудитория ‎—‏ ‎высшее ‎руководство, ‎руководство ‎безопасностью). ‎Вся‏ ‎информация,‏ ‎необходимая‏ ‎руководству ‎для‏ ‎выполнения ‎своих‏ ‎управленческих ‎и‏ ‎контрольных‏ ‎функций, ‎должна‏ ‎фиксироваться ‎с ‎требуемой ‎степенью ‎детализации‏ ‎(например, ‎результаты‏ ‎аудитов,‏ ‎измерения ‎эффективности, ‎отчёты‏ ‎об ‎инцидентах‏ ‎безопасности);
  • Документирование ‎управленческих ‎решений ‎(целевая‏ ‎аудитория‏ ‎— ‎высшее‏ ‎руководство). ‎Высшее‏ ‎руководство ‎должно ‎документировать ‎и ‎обосновать‏ ‎выбранную‏ ‎стратегию ‎информационной‏ ‎безопасности. ‎Кроме‏ ‎того, ‎решения, ‎касающиеся ‎аспектов ‎безопасности,‏ ‎должны‏ ‎быть‏ ‎задокументированы ‎на‏ ‎всех ‎уровнях,‏ ‎чтобы ‎они‏ ‎были‏ ‎прослеживаемые, ‎контролируемые‏ ‎и ‎воспроизводимы ‎в ‎любое ‎время.

Формальные‏ ‎требования ‎к‏ ‎документации

Документация‏ ‎не ‎обязательно ‎должна‏ ‎вестись ‎исключительно‏ ‎в ‎бумажной ‎форме. ‎Выбор‏ ‎средства‏ ‎документирования ‎должен‏ ‎определяться ‎в‏ ‎соответствии ‎с ‎конкретными ‎потребностями. ‎Так,‏ ‎для‏ ‎нужд ‎кризисного‏ ‎управления ‎целесообразно‏ ‎использование ‎удалённого ‎программного ‎обеспечения ‎(защищённого‏ ‎облачного‏ ‎ресурса),‏ ‎позволяющего ‎заблаговременно‏ ‎фиксировать ‎все‏ ‎необходимые ‎мероприятия‏ ‎и‏ ‎контактные ‎лица,‏ ‎что ‎обеспечивает ‎его ‎мобильную ‎доступность‏ ‎в ‎чрезвычайных‏ ‎ситуациях,‏ ‎например, ‎на ‎переносном‏ ‎ноутбуке ‎с‏ ‎доступом ‎к ‎этому ‎ресурсу.‏ ‎Однако,‏ ‎в ‎зависимости‏ ‎от ‎характера‏ ‎кризисного ‎события, ‎предпочтительной ‎может ‎оказаться‏ ‎удобная‏ ‎бумажная ‎справочная‏ ‎документация.

Следует ‎учитывать‏ ‎законодательные ‎или ‎договорные ‎требования ‎к‏ ‎документированию,‏ ‎например,‏ ‎в ‎отношении‏ ‎сроков ‎хранения‏ ‎и ‎детализации‏ ‎содержания.‏ ‎Документация ‎выполняет‏ ‎свою ‎функцию ‎лишь ‎при ‎условии‏ ‎регулярного ‎составления‏ ‎и‏ ‎поддержания ‎её ‎актуальности.‏ ‎Кроме ‎того,‏ ‎она ‎должна ‎быть ‎структурирована‏ ‎и‏ ‎систематизирована ‎для‏ ‎обеспечения ‎доступности‏ ‎при ‎необходимости. ‎Авторство ‎и ‎даты‏ ‎создания‏ ‎различных ‎элементов‏ ‎документации ‎должны‏ ‎быть ‎видны. ‎При ‎наличии ‎ссылок‏ ‎на‏ ‎другие‏ ‎документы, ‎их‏ ‎источники ‎должны‏ ‎быть ‎явно‏ ‎указаны,‏ ‎а ‎сами‏ ‎документы ‎должны ‎быть ‎доступны.

Документация, ‎имеющая‏ ‎отношение ‎к‏ ‎вопросам‏ ‎информационной ‎безопасности, ‎может‏ ‎содержать ‎конфиденциальную‏ ‎информацию ‎и, ‎соответственно, ‎требует‏ ‎надлежащей‏ ‎защиты. ‎Помимо‏ ‎потребности ‎в‏ ‎защите, ‎должны ‎быть ‎установлены ‎регламенты‏ ‎хранения‏ ‎и ‎уничтожения.‏ ‎В ‎описаниях‏ ‎процессов ‎и ‎процедур ‎следует ‎определять‏ ‎необходимость‏ ‎анализа‏ ‎документации, ‎её‏ ‎пересмотра, ‎ответственных‏ ‎лиц, ‎а‏ ‎также‏ ‎круг ‎лиц,‏ ‎имеющих ‎доступ ‎к ‎ней. ‎Документация,‏ ‎содержащая ‎конфиденциальную‏ ‎информацию,‏ ‎не ‎может ‎располагаться‏ ‎на ‎внутреннем‏ ‎информационном ‎ресурсе ‎по ‎информационной‏ ‎безопасности‏ ‎компании, ‎а‏ ‎должна ‎храниться‏ ‎только ‎в ‎защищённых ‎местах.

Внимание! ‎Материал‏ ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании‏ ‎статьи ‎1259 ‎ГК ‎РФ.

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048