Построение комплексной системы информационной безопасности организации

 

Информационная безопасность – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности

Цель информационной безопасности - обеспечить непрерывность бизнеса организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности

Управление информационной безопасностью позволяет эффективно использовать данные, одновременно обеспечивая их защиту и защиту вычислительных ресурсов.

 

2.1. ПОДХОДЫ К ПОСТРОЕНИЮ КОМПЛЕКСНЫХ СИСТЕМ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ:

 

• COBIT 5 for Information Security

• ITIL

• ISO/IEC 27001

• ISO/IEC 27002

• ISO/IEC 27003

Управление информационной безопасностью позволяет эффективно использовать данные, одновременно обеспечивая их защиту и защиту вычислительных ресурсов.

Стандарт ISO/IEC 27001:2005 описывает модель системы менеджмента информационной безопасности (СМИБ) и предлагает набор требований к организации ИБ на предприятии

Система менеджмента информационной безопасности (СМИБ) - часть общей системы управления организации, основанная на анализе рисков, по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности

Риск информационной безопасности: потенциальная возможность того, что угроза будет использовать уязвимость актива или группы активов, причиняя таким образом ущерб организации.

Цель информационной безопасности - обеспечить непрерывность бизнеса организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности

Рисунок 1. - Подход управления ИБ на основе анализа и управления рисками

 

ISO 27001:2005 устанавливает требования к:

· Разработке,

· Внедрению,

· Ведению документации СМИБ

 

СМИБ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ISO/IEC 2700х

 

Основная задача CISO - это оценка и управление технологическими, производственными и информационными рисками компании.

Основные функции CISO:

- Разработка Концепции и Политики информационной безопасности компании, включая разработку регламентов, корпоративных стандартов, руководств и должностных инструкций

- Выработка принципов классификации информационных активов компании и оценки их защищенности

- Оценка и управление информационными рисками

- Обучение сотрудников компании вопросам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения ПБ сотрудниками компании

- Консультирование менеджеров компании по вопросам управления информационными рисками

- Согласование частных политик и регламентов безопасности среди подразделений компании

- Контроль работы служб качества и автоматизации компании с правом проверки и утверждения внутренних отчетов и документов

- Работа совместно со службой физической безопасности в части, касающейся их обоих, например, обеспечение конфиденциальности (НИОКР) или обеспечения контрольно-пропускного режима

- Работа со службой персонала компании для проверки личных данных сотрудников при найме на работу

- В случае возникновения нештатных ситуаций или чрезвычайных происшествий в области защиты информации руководство работами по их устранению

- Информационное обеспечение руководства компании регулярными обзорами и аналитическими справками о текущем состоянии информационной безопасности компании, выдержками о результатах проверки выполнения политики безопасности

- Обеспечение менеджеров компании информационной поддержкой по вопросам ИБ, в частности об изменениях в законодательстве и нормативной базе в области защиты информации, технических новинках и пр.