Выбор мероприятий по управлению информационной безопасностью

 

После того, как определены требования к информационной безопасности, следует выбрать и внедрить такие мероприятия по управлению информационной безопасностью, которые обеспечат снижение рисков до приемлемого уровня. Эти мероприятия могут быть выбраны из настоящего стандарта, других источников, а также могут быть разработаны собственные мероприятия по управлению информационной безопасностью, удовлетворяющие специфическим потребностям организации. Имеется множество различных подходов к управлению рисками; в настоящем стандарте приводятся примеры наиболее распространенных методов. Однако следует отметить, что некоторые из мероприятий по управлению информационной безопасностью неприменимы к отдельным информационным системам и средам и могут оказаться неприемлемыми для конкретных организаций. Например, в 8.1.4 приводится описание того, как могут быть распределены должностные обязанности, чтобы предотвратить ошибки и мошенничество. В небольших организациях может оказаться невозможным разделение всех должностных обязанностей; тогда для достижения той же цели может быть необходимо принятие альтернативных мероприятий по управлению информационной безопасностью. В качестве другого примера можно привести 9.7 и 12.1 - осуществление мониторинга использования системы и сбора доказательств. Указанные мероприятия по управлению информационной безопасностью, такие, как регистрация событий в системе, могут вступать в конфликт с законодательством, действующим, например, в отношении защиты от вторжения в личную жизнь клиентов или сотрудников.

 

Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации к эффекту от снижения рисков и возможным убыткам в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации.

 

Некоторые мероприятия по управлению информационной безопасностью, приведенные в настоящем стандарте, могут рассматриваться как руководящие принципы для управления информационной безопасностью и применяться для большинства организаций. Более подробно такие мероприятия рассматриваются ниже.

 

Отправная точка для внедрения информационной безопасности

 

Отдельные мероприятия по управлению информационной безопасностью могут рассматриваться как руководящие принципы для управления информационной безопасностью и служить отправной точкой для ее внедрения. Такие мероприятия либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая практика в области информационной безопасности.

 

Ключевыми мерами контроля с точки зрения законодательства являются:

 

- обеспечение конфиденциальности персональных данных (12.1.4);

 

- защита учетных данных организации (12.1.3);

 

- права на интеллектуальную собственность (12.1.2).

 

Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:

 

- наличие документа, описывающего политику информационной безопасности (3.1);

 

- распределение обязанностей по обеспечению информационной безопасности (4.1.3);

 

- обучение вопросам информационной безопасности (6.2.1);

 

- информирование об инцидентах, связанных с информационной безопасностью (6.3.1);

 

- управление непрерывностью бизнеса (11.1).

 

Перечисленные мероприятия применимы для большинства организаций и информационных сред. Следует отметить, что, хотя все приведенные в настоящем стандарте мероприятия являются важными, уместность какой-либо меры должна определяться в свете конкретных рисков, с которыми сталкивается организация. Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка для внедрения мероприятий по обеспечению информационной безопасности, он не заменяет выбор мероприятий по управлению информационной безопасностью, основанный на оценке рисков.

 

Важнейшие факторы успеха

 

Практика показывает, что для успешного внедрения информационной безопасности в организации решающими являются следующие факторы:

 

- соответствие целей, политик и процедур информационной безопасности целям бизнеса;

 

- согласованность подхода к внедрению системы безопасности с корпоративной культурой;

 

- видимая поддержка и заинтересованность со стороны руководства;

 

- четкое понимание требований безопасности, оценка рисков и управление рисками;

 

- обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации;

 

- передача инструкций в отношении политики информационной безопасности и соответствующих стандартов всем сотрудникам и контрагентам;

 

- обеспечение необходимого обучения и подготовки;

 

- всесторонняя и сбалансированная система измеряемых показателей, используемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.