Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Эффективная защита информационных активов путем определения, создания, сопровождения и улучшения ИБ является необходимым условием для достижения организацией своих целей, а также поддержания и улучшения правового соответствия и репутации. Эти координированные действия, направленные на внедрение надлежащих мер защиты и обработку неприемлемых рисков ИБ, общеизвестны как элементы управления ИБ.
По мере изменения рисков ИБ и эффективности мер защиты в зависимости от меняющихся обстоятельств организации следует:
– контролировать и оценивать
– идентифицировать возникающие риски для обработки;
– выбирать, внедрять и улучшать соответствующие меры защиты надлежащим образом.
Для взаимосвязи и координации действий ИБ каждой организации следует сформировать политику и цели ИБ и эффективно достигать этих целей, используя систему управления.
3.2. Описание СУИБ
Описание СУИБ предусматривает следующие составляющие:
– положения и принципы;
– информация;
– информационная безопасность;
– управление;
– система управления;
– процессный подход;
– важность СУИБ.
Положения и принципы
СУИБ состоит из политик, процедур, руководств и соответствующих ресурсов и действий, коллективно управляемых организацией, для достижения защиты своих информационных активов. СУИБ определяет систематический подход к созданию, внедрению, обработке, контролю, пересмотру, сопровождению и улучшению ИБ организации для достижения бизнес-целей.
Она базируется на оценке риска и приемлемых уровнях риска организации, разработанных для эффективной обработки и управления рисками. Анализ требований защиты информационных активов и применение соответствующих мер защиты, чтобы обеспечить необходимую защиту этих активов, способствует успешной реализации СУИБ.
Следующие основные принципы способствуют успешной реализации СУИБ:
– понимание необходимости системы ИБ;
– назначение ответственности за ИБ;
– объединение обязательств руководства и интересов заинтересованных лиц;
– возрастание социальных ценностей;
– оценки риска, определяющие соответствующие меры защиты для достижения допустимых уровней риска;
– безопасность как неотъемлемый элемент ИС и сетей;
– активное предупреждение и выявление инцидентов ИБ;
– обеспечение комплексного подхода к УИБ;
– непрерывная переоценка и соответствующее улучшение ИБ.
Информация
Информация – это актив, который наряду с другими важными бизнес-активами важен для бизнеса организации и, следовательно, должен быть соответственно защищен. Информация может храниться в различных формах, включая такие как цифровая форма (например, файлы с данными, сохраненные на электронных или оптических носителях), материальная форма (например, на бумаге), а также в нематериальном виде в форме знаний сотрудников.
Информация может быть передана различными способами, включая курьера, электронную или голосовую коммуникацию. Независимо от того, в какой форме представлена информация и каким способом
передается, она должна быть должным образом защищена.Во многих организациях информация зависит от информационной и коммуникационной технологии. Эта технология является существенным элементом в любой организации и облегчает создание, обработку, хранение, передачу, защиту и уничтожение информации.
Информационная безопасность
ИБ включает в себя три основных измерения (свойства): конфиденциальность, доступность и целостность. ИБ предусматривает применение и управление соответствующими мерами безопасности, которые включают в себя рассмотрение широкого диапазона угроз, с целью обеспечения длительного успеха и непрерывности бизнеса и минимизации влияний инцидентов ИБ.
ИБ достигается применением соответствующего набора мер защиты, определенного с помощью процесса управления рисками и управляемого с использованием СУИБ, включая политики, процессы, процедуры, организационные структуры, программные и аппаратные средства, чтобы защитить идентифицированные информационные активы.
Эти меры защиты должны быть определены, реализованы, проконтролированы, проверены и при необходимости улучшены, чтобы гарантировать, что уровень ИБ соответствует бизнес-целям организации. Соответствующие меры и средства ИБ следует органично интегрировать в бизнес-процессы организации.
Управление
Управление включает в себя действия по руководству, контролю и непрерывному совершенствованию организации в рамках соответствующих структур. Управленческая деятельность включает в себя действия, методы или практику формирования, обработки, направления, наблюдения и контроля ресурсов. Величина управленческой структуры может варьироваться от одного человека в небольших организациях до управленческой иерархии в крупных организациях, состоящих из многих людей.
Относительно СУИБ управление включает в себя наблюдение и выработку решений, необходимых для достижения бизнес-целей посредством защиты информационных активов. Управление ИБ выражается через формулирование и использование политик ИБ, процедур и рекомендаций, которые затем применяются повсеместно в организации всеми лицами, связанными с ней.
Система управления
Система управления использует совокупность ресурсов для достижения целей организации. Система управления организации включает в себя структуру, политики, планирование, обязательства, методы, процедуры, процессы и ресурсы.
В части ИБ система управления позволяет организации:
– удовлетворять требования безопасности клиентов и других заинтересованных лиц;
– улучшать планы и деятельность организации;
– соответствовать целям ИБ организации;
– выполнять нормативы, законодательство и отраслевые приказы;
– организованно управлять информационными активами для содействия постоянному улучшению и коррекции текущих целей организации.
3.3. Процессный подход