Тарифы Услуги Сим-карты
Развернуть
Главная

Система управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи. Система управления информационной безопасностью

Содействовать осведомленности сотрудников

Существенным фактором эффективного осуществления этих принципов является связующий цикл деятельности, гарантирующий, что управление информационной безопасностью постоянно нацелено на текущие риски. Важно, чтобы высший менеджмент организации признал наличие рисков нарушения бизнес-процессов, связанных с безопасностью информационных систем. Основанием для разработки и внедрения политик и выбора необходимых средств контроля является оценка рисков отдельных бизнес-приложений. Принятые шаги позволят увеличить осведомленность пользователей о рисках и соответствующих политиках. Эффективность средств контроля подлежит оценке путем различных исследований и аудиторских проверок. Полученные результаты обеспечивают подход к последующей оценке рисков и определяют необходимые изменения в политиках и средствах контроля. Все эти действия централизовано координируются службой безопасности или штатом специалистов, состоящем из консультантов, представителей бизнес-подразделений и менеджмента организации. Цикл управления рисками проиллюстрирован на рисунке.

Методы реализации программы информационной безопасности

Следующие шестнадцать методов, используемые для реализации пяти принципов управления рисками, выделенны на следующей иллюстрации. Эти методы являются ключевыми для эффективной реализации программы информационной безопасности организации.

Оценить риск и определить потребности

Оценка риска является первым шагом реализации программы обеспечения информационной безопасности. Безопасность не рассматривается сама по себе, но как набор политик и соответствующих средств контроля, предназначенных для обеспечения бизнес-процессов и уменьшения соответствующих рисков. Таким образом, определение бизнес-рисков, связанных с информационной безопасностью - отправная точка цикла управления риском (информационной безопасностью).

Признать информационные ресурсы в качестве существенных (неотъемлемых) активов организации

Признание рисков информационной безопасности менеджментом организации, а также набора мер, направленных на определение и управление этими рисками является важным фактором развития программы обеспечения информационной безопасности. Такой подход менеджмента позволит гарантировать, что информационная безопасность серьезно рассматривается и на более низких организационных уровнях организации, а специалисты информационной безопасности обеспечены ресурсами, необходимыми для эффективного осуществления программы.

Разработать практические процедуры оценки рисков, связывающие безопасность и требования бизнеса

Существуют различные методологии оценки риска, начиная от неформального обсуждения риска и заканчивая достаточно сложными методами, предусматривающими использование специализированных программных средств. Однако, мировой опыт успешных процедур управления рисками описывает относительно простой процесс, предусматривающий участие различных подразделений финансовых организаций с привлечением специалистов со знаниями бизнес-процессов, технических специалистов и специалистов в области защиты информации.

Стоит подчеркнуть, что понимание рисков не предусматривает их точного количественного определения, включая вероятность инцидента или стоимость ущерба. Такие данные недоступны, так как потери могут быть не обнаружены, а менеджмент не поставлен в известность. Кроме того, данные о полных затратах на устранение ущерба, вызванного слыбыми механизмами контроля безопасности, а также операционной стоимости этих механизмов (механизмов контроля) ограничены. Из-за потоянных изменений технологий, а также программных средств и инструментов, доступных злоумышленникам, применение статистических данных, собранных в предыдущие годы сомнительно. В результате, трудно, если это вообще возможно, точно сравнить стоимость средств контроля с риском потери чтобы определить какое средство контроля является наиболее рентабельным. В любом случае, менеджеры бизнес-подразделений и специалисты в области информационной безопасности должны пологаться на наиболее полную информацию, доступную им при принятии решения о выборе необходимых средств (методов) контроля.

Установить ответственность менеджеров бизнес-подразделений и менеджеров, участвующих в программе обеспечения безопасности

Менеджеры бизнес-подразделения должны нести первичную ответственность за определение уровня безопасности (конфиденциальности) информационных ресурсов, обеспечивающих бизнес-процессы. Именно менеджеры бизнес-подразделений в наибольшей степени способны определить, какой из информационных ресурсов является наиболее критичным, а также возможное влияние на бизнес, в случае нарушения его целостности, конфиденциальности или доступности. Кроме того, менеджеры бизнес-подразделений могут указать на средства (механизмы) контроля, способные нанести вред бизнес-процессам. Таким образом, привлекая их к выбору средств контроля можно гарантировать, что средства контроля удовлетворяют поставленным требованиям, и будут успешно внедрены.

Непрерывно управлять рисками

Информационной безопасности стоит уделять постоянное внимание, чтобы гарантировать адекватность и эффективность средств контроля. Как было отмечено ранее, современные информационные и смежные технологии, также как и факторы, относящиеся к информационной безопасности, постоянно изменяются. Такие факторы включают в себя угрозы, технологии и системные конфигурации, известные уязвимости в программном обеспечении, уровень надежности автоматизированных систем и электронных данных, критичность данных и операций.

Установить централизованное управление

Руководящая группа выступает, прежде всего, в роли советника или консультанта бизнес-подразделений, и не может навязывать методы (средства) информационной безопасности.

Определить руководящую группу для выполнения ключевых действий

В целом, руководящая группа должна являться (1) катализатором (ускорителем) процесса, гарантирующим, что риски информационной безопасности рассматриваются непрерывно; (2) центральным консультационным ресурсом для подразделений организаций; (3) средством доведения до руководства организации информации о состоянии информационной безопасности и принимаемых мерах. Кроме того, руководящая группа позволяет централизовано управлять поставленными задачами, в противном случае эти задачи могут дублироваться различными подразделениями организации.

Предоставить руководящей группе простой и независимый доступ к высшему менеджменту организации

Отметим необходимость обсуждения проблем информационной безопасности менеджерами руководящей группы с высшим менеджментом организации. Такой диалог позволит действовать эффективно и избежать разногласий. В противном случае возможны конфликтные ситуации с менеджерами бизнес-подразделений и разработчиками систем, желающими скорейшего внедрения новых программных продуктов, и, потому, оспаривающими применение средств контроля, которые могут препятствовать эффективности и комфортности работы с программным обеспечением. Таким образом, возможность обсуждения проблем информационной безопасности на высшем уровне сможет гарантировать полное понимание рисков и их допустимость до принятия окончательных решений.

Определить и выделить бюджет и персонал

Бюджет позволит планировать и устанавливать цели программы информационной безопасности. Как минимум, бюджет включает заработную плату сотрудников и затраты на обучение. Штатная численность руководящей группы (подразделения безопасности) может варьироваться и завистить как от поставленных целей, так и от проектов, находящихся на рассмотрении. Как было отмечено ранее, к работе в группе могут привлекаться как технические специалисты, так и сотрудники бизнес-подразделений.

Повышать профессионализм и технические знания сотрудников

Сотрудники организации должны участвовать в различных аспектах программы информационной безопасности и обладать соответствующими навыками и знаниями. Необходимый уровень профессионализма сотрудников может быть достигнут с помощью тренингов, проводить которые могут как специалисты организации, так и внешние консультанты.

Внедрить необходимые политики и соответствующие средства контроля

Политики в области информационной безопасности являются основанием принятия определенных процедур и выбора средств (механизмов) контроля (управления). Политика - первичный механизм, с помощью которого менеджмент доводит свое мнение и требования сотрудникам, клиентам и деловым партнерам. Для информационной безопасности, как и для других областей внутреннего контроля, требования политик напрямую зависят от результатов оценки уровня риска.

Установить взаимосвязь политик и бизнес-рисков

Всесторонний набор адекватных политик, доступных и понятных пользователям, является одним из первых шагов в установлении программы обеспечения информационной безопасности. Стоит подчеркнуть важность непрерывного сопровождения (корректировки) политик для своевременного реагирования на выявляемые риски и возможные разногласия.

Установить отличия между политиками и руководящими принципами

Общий подход к созданию политик информационной безопасности должен предусматривать (1) краткие (лаконичные) политики высокого уровня и (2) более детальную информацию, представленную в практических руководствах и стандартах. Политики предусматривают основные и обязательные требования, принятые высшим менеджментом. В то время как практические руководства не являются обязательными для всех бизнес-подразделений. Такой подход позволяет высшему менеджменту акцентировать внимание на наиболее важных элементах информационной безопасности, а также предоставить возможность маневрирования менеджерам бизнес-подразделений, сделать политики легкими для понимания сотрудников.

Обеспечить сопровождение политик руководящей группой

Руководящая группа должна быть ответственна за разработку политик информационной безопасности организации во взаимодействии с менеджерами бизнес-подразделений, внутренними аудиторами и юристами. Кроме того, руководящая группа должна обеспечить необходимые разъяснения и предоставить ответы на вопросы пользователей. Это поможет уладить и предотвратить недоразумения, а также принять необходимые меры, не предусмотренные политиками (руководящими принципами).

Политики стоит сделать доступными, так чтобы пользователи, при необходимости, могли получить доступ к их актуальным версиям. Пользователи должны расписываться в том, что они ознакомлены с политиками до предоставления им доступа к информационным ресурсам организации. Если пользователь будет вовлечен в инцидент безопасности, это соглашение послужит свидетельством того, что он или она были проинформированы о политике организации, как и о возможных санкциях, в случае ее нарушения.

Содействовать осведомленности

Компетентность пользователей является обязательным условием для успешного обеспечения информационной безопасности, а также позволяет гарантировать, что средства контроля работают должным образом. Пользователи не могут следовать политике, которую они не знают или не понимают. Не зная о рисках, связанных с информационными ресурсами организации, они не могут видеть необходимости исполнения политики, разработанной с целью уменьшения рисков.

Непрерывное обучение пользователей и других сотрудников на примере рисков и соответствующих политик

Руководящая группа должна обеспечить стратегию постоянного обучения сотрудников, так или иначе влияющих на информационную безопасность организации. Группа должна сосредоточить усилия на всеобщем понимании рисков, связанных с информацией, обрабатываемой в организации, а также политиках и методах (средствах) контроля, направленных на уменьшение этих рисков.

Использовать дружественный подход

Руководящая группа должна использовать разнообразные методы обучения и поощрения (стимулирования) чтобы сделать политику организации доступной и обучить пользователей. Стоит избегать встреч, проводимых раз в год со всеми сотрудниками организации, напротив обучение лучше проводить в небольших группах сотрудников.

Контролировать и оценивать эффективность политик и механизмов контроля

Как и любой вид деятельности, информационная безопасность подлежит контролю и периодической переоценке, чтобы гарантировать адекватность (соответствие) политик и средств (методов) контроля поставленным целям.

Контролировать факторы, влияющие на риски и указывающие на эффективность информационной безопасности

Контроль должен быть сосредоточен, прежде всего, на (1) наличии средств и методов контроля и их использования, направленного на уменьшение рисков и (2) оценке эффективности программы и политик информационной безопасности, улучшающих понимание пользователей и сокращающих количество инцидентов. Такие проверки предусматривают тестирование средств (методов) контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности, а также другие индикаторы эффективности программы информационной безопасности. Эффективность работы руководящей группы может быть оценена, основываясь, например, на следующих показателях (но, не ограничиваясь ими):

  • число проведенных тренингов и встреч;
  • число выполненных оценок риска (рисков);
  • число сертифицированных специалистов;
  • отсутствие инцидентов, затрудняющих работу сотрудников организации;
  • снижение числа новых проектов, внедренных с задержкой из-за проблем информационной безопасности;
  • полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований информационной безопасности;
  • снижение числа инцидентов, влекущих за собой несанкционированный доступ, потерю или искажение информации.

Использовать полученные результаты для координации будущих усилий и повышения ответственности менеджмента

Контроль, безусловно, позволяет привести организацию в соответствие с принятыми политикам информационной безопасности, однако полные выгоды от контроля не будут достигнуты, если полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистам в области информационной безопасности и менеджерам бизнес-подразделений средства (1) переоценки ранее идентифицированных рисков, (2) определения новых проблемных участков, (3) переоценки достаточности и уместности существующих средств и методов контроля (управления) и действий по обеспечению информационной безопасности, (4) определения потребностей в новых средствах и механизмах контроля, (5) переадресации контрольных усилий (контролирующих действий). Кроме того, результаты могут использоваться для оценки деятельности бизнес-менеджеров, ответственных за понимание и уменьшение рисков в бизнес-подразделениях.

Отслеживать новые методы и средства контроля

Важно гарантировать, что (1) специалисты в области информационной безопасности не отстают от разрабатываемых методов и инструментов (приложений) и располагают самой последней информацией об уязвимости информационных систем и приложений, (2) высший менеджмент гарантирует, что располагает для этого необходимыми ресурсами.

Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.

Информационная безопасность является одним из важнейших аспектов внедрения ИС. С одной стороны, информатизация менеджмента создает ее неоценимую поддержку, но с другой стороны менеджмент попадает в прямую зависимость от уровня информационной безопасности ИС.

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий (атак), чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Объектами посягательств могут быть сами технические средства, являющиеся материальными объектами, а также программное обеспечение и базы данных.

Управление информационной безопасностью – процесс комплексный, и включающий ряд технических, организационных и правовых мер, которые должны быть зафиксированы в корпоративной политике по безопасности.

К техническим мерам можно отнести:

· защиту от несанкционированного доступа к системе,

· резервирование особо важных обеспечивающих подсистем,

· организацию вычислительных сетей с возможностью распределения ресурсов в случае нарушения работоспособности отдельных звеньев,

· установку оборудования для обнаружения и тушения пожаров,

· использование конструкционные мер защиты от хищений, саботажа, диверсий, взрывов,

· установку резервных систем электропитания,

· оснащение помещений замками,

· физическое разграничение доступа персонала в помещения,

· установку систем сигнализации и т.д.

К организационным мерам относятся:

· охрана информационных систем,

· тщательный подбор персонала,

· исключение случаев ведения особо важных работ только одним человеком,

· наличие плана восстановления работоспособности системы после выхода ее из строя,

· организация и обслуживание предприятия информатики посторонними лицами, не заинтересованными в сокрытии фактов нарушения ее работы,

· универсальность средств защиты для всех пользователей (включая высшее руководство),

· разделение полномочий в области доступа к данным,

· возложение ответственности на лиц, которые должны обеспечить безопасность работы предприятия информатики.

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав, совершенствование законодательства в области информационных технологий.

Все большую известность при построении корпоративных систем управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», в соответствии с которыми компании могут формализовать и структурировать процессы управления ИБ по следующим направлениям:



· разработка политики и организация ИБ,

· организация управления внутренними активами и ресурсами компании, составляющими основу ее ключевых бизнес-процессов,

· защита персонала и снижение внутренних угроз компании,

· физическая безопасность в компании и безопасность окружающей среды,

· управление средствами связи и эксплуатацией оборудования,

· разработка и обслуживание аппаратно-программных систем,

· управление непрерывностью бизнес-процессов в компании,

· соблюдение правовых норм по безопасности.

Существует ряд общепризнанных методик, помогающих эффективно управлять информационной безопасностью. Известна и широко используется методология моделирования угроз (Microsoft Threat Modeling Methodology), методика оценки риска DREAD, модель деления угроз на категории STRIDE (http://msdn.microsoft.com/ru-ru/magazine/cc700352.aspx).

У компании IBM - это методология Method for Architecting Secure Solutions (MASS), которая помогает выявить проблемы защиты, создать прочную архитектуру и выработать надежную политику защиты (www.redbooks.ibm.com).

Из известных и популярных методик необходимо вспомнить подход компании ISS к информационной безопасности, получивший название ADDME и который включает в себя 5 этапов.

1 этап - оценка (assess). На этом этапе осуществляется идентификация и инвентаризация всех ресурсов организации. На данном этапе осуществляются анализ риска (risk assessment), а также поиск уязвимостей (vulnerability assessment), тестирование на проникновение (penetration assessment) и оценка угроз (threat assessment).

2 этап - проектирование (design). На этом этапе разрабатывается политика безопасности организации и вырабатываются принципы оценки эффективности, предлагаемых в ней мер (законодательных, организационных, программно-технических). При этом учитываются собранные на первом этапе данные о пользователях, имеющихся сетевых устройствах, расположении критических информационных ресурсов и т.п.

3 этап - развертывание (deploy). В рамках данного этапа осуществляются работы по установке средств защиты, их интеграции и тестированию в принятой технологии обработки информации, по обучению пользователей требованиям политики безопасности и правилам эксплуатации установленных защитных средств.

4 этап - эксплуатация (manage and support). На этом этапе оценивается эффективность принятых мер и их соответствие положениям разработанной политики безопасности. В случае возникновения инцидентов, связанных с ее нарушением, реализуется разработанный на втором этапе план реагирования на инциденты и, как следствие, осуществляется пересмотр некоторых положений политики безопасности. Изменение технологии обработки информации, появление новых технологий защиты и т.п. также являются толчком к пересмотру разработанных документов.

5 этап - обучение (education). Обучение - это постоянный процесс, осуществляемый на всех этапах построения комплексной системы информационной безопасности. В нем участвуют все сотрудники организации: операторы, администраторы, руководители и т.д.

В идеальной компании процесс управления информационной безопасностью является проактивным (превентивным и постоянным).

Общее руководство информационной безопасностью в Банке осуществляет Председатель Правления Банка исходя из представленных в Концепции задач, принципов организации и функционирования системы обеспечения информационной безопасности, основных угроз.

Определяются следующие направления деятельности Банка по управлению информационной безопасностью:

  • - организация управления информационной безопасностью в автоматизированных системах и сетях;
  • - организация защиты речевой информации;
  • - обеспечение физической защиты объектов Банка, на которых обрабатывается и хранится информация, составляющая коммерческую тайну;
  • - участие в организации общего делового документооборота;
  • - организация и защита оборота конфиденциальных документов.

Управление средствами защиты, установление полномочий пользователям и контроль должны осуществляться централизованно, с учетом особенностей обработки и передачи информации в конкретных системах и участках сети. Работы по обеспечению информационной безопасности в системах и сетях непосредственно осуществляют:

  • - Отдел информационной безопасности;
  • - администраторы систем и сетей;
  • - лица, ответственные за информационную безопасность в подразделениях Банка;
  • - Отдел режима Управления экономической безопасности.

Отдел информационной безопасности является основой централизованного управления и контроля информационной безопасности в системах и сетях Банка. Основной задачей Отдела информационной безопасности, является организация непрерывной, плановой и целенаправленной работы по обеспечению информационной безопасности и контроль выполнения нормативных документов банка по информационной безопасности.

Администраторами систем и сетей назначаются сотрудники Департамента информационных технологий Банка, которые отвечают за обеспечение работоспособности систем и сетей, выполнение Плана безотказной работы и восстановления систем и сетей. Основные задачи администраторов:

  • 1. Непосредственное управление системами и сетями, контроль целостности систем и сетей;
  • 2. Обеспечение безотказной работы и восстановление работоспособности систем при сбоях и отказах.

Ответственными за информационную безопасность в подразделениях являются сотрудники структурных подразделений Банка. Основная их задача - контроль выполнения сотрудниками, подразделения правил работы в автоматизированных системах и сетях банка.

Основной задачей Отделов режима филиалов в части обеспечения информационной безопасности является организация и проведение всего комплекса мероприятий по защите информации в филиале.

Организацию, планирование и проведение мероприятий по защите речевой информации осуществляет Управление экономической безопасности. Основными задачами защиты речевой информации являются:

  • 1. Контроль соблюдения сотрудниками Банка порядка и правил обращения с конфиденциальной информацией и недопущение ее разглашения;
  • 2. Выявление и пресечение возможных каналов утечки речевой информации;
  • 3. Методическое руководство по защите речевой информации в подразделениях Банка.

Общий контроль за обеспечением защиты речевой информации осуществляет Управление экономической безопасности.

Организацию и обеспечение физической защиты объектов Банка (включая дополнительные офисы и филиалы), на которых осуществляется обработка и хранение сведений конфиденциального характера, осуществляет Управление экономической безопасности Банка. Основными задачами физической защиты являются:

  • 1. Организация защиты зданий, служебных помещений и прилегающих к ним территорий от возможного проникновения и посягательств со стороны посторонних лиц и исключение возможного хищения, искажения и уничтожения ими сведений конфиденциального характера;
  • 2. Обеспечение соблюдения сотрудниками и посетителями Банка порядка и правил прохода и поведения на территории Банка;
  • 3. Офизической безопасности материальных носителей информации при их хранении и транспортировке.

Организация защиты конфиденциальных документов в подразделениях Банка возлагается на:

  • - Заместителей Председателя Правления Банка - в курируемых департаментах и управлениях;
  • - Руководителей департаментов (Начальников управлений) -- в департаментах (управлениях);
  • - Начальников отделов -- в отделах;
  • - Управляющих филиалов (директоров дополнительных офисов) - в филиалах (дополнительных офисах).

Организация учета материальных носителей, содержащих сведения, составляющие коммерческую тайну (конфиденциального делопроизводства), возлагается на Административно-кадровый отдел Банка и Управление экономической безопасности, в филиалах (отделениях) - на специально выделенных для этих целей сотрудников, назначаемых приказом по филиалу (отделению).

Для учета и хранения парольно-ключевых и криптографических материалов шифровальных средств, используемых в Банке, в рамках Отдела информационной безопасности организуется самостоятельный участок конфиденциального делопроизводства. Основными задачами организации системы конфиденциального делопроизводства являются:

  • - подбор и расстановка кадров на участке конфиденциального делопроизводства;
  • - организация конфиденциального документооборота в Банке;
  • - осуществление закрытой переписки;
  • - организация учета и контроля конфиденциальных документов;
  • - организация и осуществление разрешительной системы допуска исполнителей к работе с конфиденциальными документами.

Текущий контроль за выполнением требований по защите информации на материальных носителях возлагается на Управление экономической безопасности Банка.

Ответственность

Ответственность за разглашение сведений, составляющих коммерческую тайну Банка, и утрату документов, изделий и магнитных носителей, содержащих такие сведения, устанавливается в соответствии с действующим законодательством Российской Федерации.

Ответственность за разглашение и утрату сведений, содержащих коммерческую тайну, несет персонально каждый сотрудник Банка, имеющий доступ к ним.

Для информационной безопасности, чтобы быть эффективной, она должна быть тесно связана с безопасностью бизнеса и потребностями бизнеса.
Каждый процесс в рамках ИТ-организации должен включать вопросы безопасности. Безопасность это не автономная деятельность; это нить, проходящая через все процессы поставщика услуг.
Управление организации несет полную ответственность за организацию информации. Руководство несет ответственность за ответы на все вопросы, которые влияют на защиту информации. Совет директоров, должен сделать информационную безопасность неотъемлемой частью корпоративного управления.
Разрешения

Процесс и рамки управления информационной безопасностью, как правило, включают в себя:
- Политика информационной безопасности, при поддержке подмножества политик, касающихся аспектов из стратегии, контроля и регулирования
- Система управления информационной безопасностью
- всеобъемлющей стратегия безопасности, тесно связанная с бизнес-целями, стратегиями и
планами

Модель безопасности также должна включать в себя эффективную организационную структуру.
Безопасность не является обязанностью одного человека, необходимо рассматривать в профилях роли на всех уровнях организации.
Управления безопасностью необходимо, чтобы поддерживать политику, и управлять рисками безопасности.
Наконец, структура безопасности должна учитывать и включать в себя:
- Мониторинг процесса для обеспечения соблюдения и обеспечения обратной связи по эффективности
- Стратегию и план для безопасности, связанные с коммуникациями
- Подготовку и стратегию и планы по обеспечению всех сотрудников знаниями по их обязанностям.

Политика информационной безопасности

Деятельность по управлению информационной безопасностью должна быть направлена на и управление Политикой информационной безопасности.
Политика информационной безопасности должна иметь полную поддержку топ-менеджеров в управлении ИТ, а в идеале поддержка и приверженность высшего исполнительного управления бизнесом.
Эта политика должна охватывать все сферы безопасности, быть адекватными и удовлетворять потребности бизнеса.
Политика информационной безопасности должна быть широко доступна для всех клиентов и пользователей.
Эта политика должна быть санкционирована высшим руководством бизнеса и ИТ.

Все политики безопасности должны быть пересмотрены по крайней мере ежегодно, и в случае необходимости.

Система управления информационной безопасностью

Система управления информационной безопасностью это рамки политик, процессов, стандартов, руководящих принципов и инструментов, что гарантирует организации достижение своих целей в Управлении информационной безопасностью.

Система менеджмента информационной безопасности обеспечивает основу для развития экономически эффективных программ информационной безопасности, которые поддерживают бизнес цели.
Система должна учитывать не только технологии.

Методики 4П (люди, процессы, продукты и партнеры) можно использовать, чтобы убедиться, в высоком уровне безопасности во всех областях.

ISO 27001 является формальным стандартом, который может обеспечить независимую сертификацию Системы управления информационной безопасности. Организации могут добиваться сертификации, чтобы доказать их соответствия требованиям безопасности.

Система управления информационной безопасностью включает в себя организационную структуру для разработки, внедрения, управления, поддержания и обеспечения соблюдения процессов обеспечения безопасности информацией и управления систематически и последовательно в рамках всей организации.

Приведенная ниже диаграмма показывает подход к управлению информационной безопасностью
Системы. Такой подход широко используется, и базируется на советах и рекомендациях, описанных в источниках, включая ISO 27001.

Контроль

Контроль информационной безопасности является первым подпроцессом Управления Информационной Безопасностью, и относится к организации и Управлению Процессом. Этот вид деятельности включает в себя структурированный подход Управления Информационной Безопасностью, который описывает следующие подпроцессы: формулирование Планов по безопасности, их реализация, оценка реализации и включение оценки в годовые Планы по безопасности (планы действий). Также описываются отчеты, предоставляемые заказчику через Процесс Управления Уровнем Сервиса.
Этот вид деятельности определяет подпроцессы, функции безопасности, роли и ответственности. Он также описывает организационную структуру, систему отчетности и потоки управления (кто кого инструктирует, кто что делает, как производится доклад о выполнении). Следующие меры из сборника практических рекомендаций по Управлению Информационной Безопасностью реализуются в рамках этого вида деятельности.

Внутренние правила работы (политика):
- разработка и реализация внутренних правил работы (политики), связи с другими правилами;
- цели, общие принципы и значимость;
- описание подпроцессов;
- распределение функций и ответственностей по подпроцессам;
- связи с другими процессами ITIL и их управлением;
- общая ответственность персонала;
- обработка инцидентов, связанных с безопасностью.

Организация информационной безопасности:
- структурная схема управления;
- структура управления (организационная структура);
- более детальное распределение ответственностей;
- учреждение Руководящего комитета по информационной безопасности;
- координация информационной безопасности;
- согласование инструментальных средств (например, для анализа риска и улучшения осведомленности);
- описание процесса авторизации средств ИТ в консультации с заказчиком;
- консультации специалистов;
- сотрудничество между организациями, внутреннее и внешнее взаимодействие;
- независимый аудит информационных систем;
- принципы безопасности при доступе к информации третьих сторон;
- информационная безопасность в договорах с третьими сторонами.

Планирование

Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопросам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятельности, связанной с вопросами безопасности, проводимой в рамках Внешних Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План по безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети.

Входной информацией для подпроцесса планирования являются не только положения соглашения SLA, но и принципы политики безопасности поставщика услуг (из подпроцесса контроля). Примерами этих принципов: "Каждый пользователь должен быть идентифицирован уникальным образом"; "Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков".

Операционные Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по безопасности) разрабатываются и реализуются с помощью обычных процедур. Это означает, что если эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все необходимые изменения ИТ-инфраструктуры проводятся Процессом Управления Изменениями с использованием входной информации, предоставляемой Процессом Управления Информационной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса.
Подпроцесс планирования координируется с Процессом Управления Уровнем Сервиса по вопросам определения содержания раздела по безопасности соглашения SLA, его обновления и обеспечения соответствия его положениям. За эту координацию отвечает руководитель Процесса Управления Уровнем Сервиса.

Требования по безопасности должны определяться в соглашении SLA, по возможности в измеримых показателях. Раздел по безопасности соглашения SLA должен гарантировать, что достижение всех требований и стандартов безопасности заказчика может быть проконтролировано.

Реализация

Задачей подпроцесса реализации (внедрения) является выполнение всех мероприятий, определенных в планах. Этот подпроцесс может поддерживаться следующим контрольным списком действий.

Классификация и Управление ИТ-ресурсами:
- предоставление входных данных для поддержки Конфигурационных Единиц (CI) в базе CMDB;
- классификация ИТ-ресурсов в соответствии с согласованными принципами.

Безопасность персонала:
- задачи и ответственности в описании работ;
- отбор персонала;
- соглашения о конфиденциальности для персонала;
- обучение персонала;
- руководства для персонала по разрешению инцидентов, связанных с безопасностью, и устранению обнаруженных дефектов защиты;
- дисциплинарные меры;
- улучшение осведомленности по вопросам безопасности.

Управление Безопасностью :
- внедрение видов ответственности и распределение обязанностей;
- письменные рабочие инструкции;
- внутренние правила;
- меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руководства по безопасности для разработки систем, их тестирования, приемки, операционного использования, обслуживания и выведения из операционной среды;
- отделение среды разработки и тестирования от операционной (рабочей) среды;
- процедуры обработки инцидентов (осуществляемые Процессом Управления Инцидентами);
- использование средств восстановления;
- предоставление входной информации для Процесса Управления Изменениями;
- внедрение мер защиты от вирусов;
- внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг;
- правильное обращение с носителями данных и их защита.

Контроль доступа:
- внедрение политики доступа и контроля доступа;
- поддержка привилегий доступа пользователей и приложений к сетям, сетевым услугам, компьютерам и приложениям;
- поддержка барьеров сетевой защиты (фаервол, услуги доступа по телефонной линии, мосты и маршрутизаторы);
- внедрение методов идентификации и авторизации компьютерных систем, рабочих станций и ПК в сети

Оценка

Существенное значение имеет независимая оценка реализации запланированных мероприятий. Такая оценка необходима для определения эффективности, ее выполнение также требуют заказчики и третьи стороны. Результаты подпроцесса оценки могут использоваться для корректировки согласованных с заказчиком мер, а также для их реализации. По результатам оценки могут быть предложены изменения, в случае чего формулируется Запрос на изменения (RFC), направляемый в Процесс Управления Изменениями.
Существует три вида оценки:
- самостоятельная оценка: проводится в первую очередь линейными подразделениями организации;
- внутренний аудит: проводится внутренними ИТ-аудиторами;
- внешний аудит: проводится внешними ИТ-аудиторами.
В отличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в других подпроцессах. Это необходимо для обеспечения разделения ответственностей. Аудит может проводиться отделом внутреннего аудита.
Оценка также проводится как ответное действие в случае возникновения инцидентов.
Основными видами деятельности являются:
- проверка соответствия политике безопасности и реализация Планов по безопасности;
- проведение аудита безопасности ИТ-систем;
- определение и принятие мер несоответствующего использования ИТ-ресурсов;
- проверка аспектов безопасности в других видах ИТ-аудита.

Поддержка

В связи с изменением рисков при изменениях в ИТ-инфраструктуре, в компании и в бизнес-процессах необходимо обеспечить должную поддержку мер безопасности. Поддержка мер безопасности включает поддержку соответствующих разделов по безопасности соглашений SLA и поддержку подробных Планов по безопасности (на Уровне Операционных Соглашений об Уровне Услуг).
Поддержание эффективного функционирования системы безопасности проводится на основе результатов подпроцесса Оценки и анализа изменений рисков. Предложения могут быть внедрены или в подпроцессе планирования, или в ходе обеспечения поддержки всего соглашения SLA. В любом случае внесенные предложения могут привести ко включению дополнительных инициатив в годовой План по безопасности. Любые изменения подлежат обработке в рамках обычного Процесса Управления Изменениями.

Целями поддержки являются улучшение договоренности по вопросам безопасности, как
указано в соглашениях об уровне обслуживания и соглашений оперативном уровне, и
улучшение реализации мер безопасности и контроля.

Обслуживание должно быть достигнуто с помощью Plan-Do-Check-Act цикла, который является
формальным подходом, предложенным ISO 27001 для установления Информационной системы управления безопасностью. Это подробно описано в CSI.

Когда процесс правильно реализован, управление информационной безопасностью должен иметь шесть основных результатов. Ниже приведен полный список результатов и связанных с ними данных.

Стратегическое выравнивание:
о Требования безопасности должны определяться корпоративными требованими
о Решения безопасности должны соответствовать процессам предприятия
о инвестиций в области информационной безопасности должны быть согласованы со стратегией предприятия и согласованными рисками

Доставка Значение:
о Стандартный набор методов безопасности, то есть требований Baseline Security соблюдении правил
о Правильно распределенные приоритеты и усилия для областей с наибольшей отдачей и бизнес- выгод
о Институционализированные и массовые решения
о Комплексные решения, охватывающие организацию и процесс, а также технологии о культуре постоянного улучшения

Управление рисками:
о Согласованный профиль риска
о Понимание подверженности риску
о Осознание приоритетов управления рисками
о Снижение риска
о Риск принятия / уважение

Управление производительностью:
о Определен, согласован набор метрик
о Определен процесс измерения, который поможет выявить недостатки и обеспечить обратную связь о ходе решения вопросов
о Независимое обеспечение

Управление ресурсами:
о Знание собраны и доступны
о документированы процессы и практики безопасности
о Разработано архитектура безопасности для эффективного использования ресурсов инфраструктуры
- обеспечение бизнес-процессов.



Не нашли ответ на свой вопрос? Посмотрите здесь
Чёрный майнинг: как зарабатывают деньги через чужие компьютеры Скрипт майнинга криптовалюты как его удалитьЧёрный майнинг: как зарабатывают деньги через чужие компьютеры Скрипт майнинга криптовалюты как его удалить
Picodi: Все скидки в одном местеPicodi: Все скидки в одном месте
Как открыть BIOS на ноутбукеКак открыть BIOS на ноутбуке