Построение систем управления информационной безопасностью¶

• Содержание
• Построение систем управления информационной безопасностью
  • СУИБ
  • Стандарты по ИБ

---

СУИБ¶

Система управления информационной безопасностью (СУИБ) представляет собой часть общей системы менеджмента компании, основанную на риск-ориентированном подходе, предназначенную для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования информационной безопасности (ИБ) компании.

Основными целями построения СУИБ являются:

• обеспечение конфиденциальности, целостности и доступности информационных активов компании;
• выполнение требований безопасности клиентов и партнеров;
• соответствие требованиям регуляторов, законодательства и отраслевых нормативных документов.

Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования и др.

СУИБ включает:

• процессы управления ИБ;
• персонал, ответственный за обеспечение и организацию управления ИБ;
• комплект документированных политик и процедур;
• механизмы обеспечения ИБ.

• Проведение обследования:
  • уточнение области действия СУИБ;
  • осуществление сбора и анализа исходных данных, проведение обследования бизнес-процессов компании, входящих в область действия СУИБ;
  • инвентаризация активов (первичных и вторичных) компании, входящих в область действия СУИБ, определение владельцев и ценности активов;
  • проведение предварительной оценки на предмет соответствия существующих механизмов управления и обеспечения ИБ в компании требованиям ISO/IEC 27001:2013;
  • разработка документированных Области действия СУИБ и Политики ИБ в терминах характеристик бизнеса, компании, ее расположения, ресурсов и технологий.
• Оценку рисков ИБ:
  • проведение оценки рисков ИБ в компании в соответствии с положениями стандарта ISO/IEC 27005:2011;
  • выбор целей и механизмов контроля для обработки рисков ИБ и оценка их применимости в компании;
  • разработка плана обработки рисков, который определяет соответствующие действия руководства компании, ресурсы, ответственность и приоритеты по управлению рисками ИБ;
  • разработка декларации о применимости механизмов контроля (SOA).
• Создание СУИБ:
  • документирование процессов управления ИБ (политики, процедуры, записи);
  • техническое проектирование СОИБ (разработка технического задания на проектирование с учетом выявленных рисков ИБ, проработка технических решений).
• Внедрение СУИБ:
  • обучение и повышение осведомленности персонала;
  • ввод в действие СУИБ;
  • автоматизация процессов управления ИБ с помощью средств автоматизации (опционально).

Стандарты по ИБ¶

Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Стандарты в области информационной безопасности выполняют следующие важнейшие функции:

• выработка понятийного аппарата и терминологии в области информационной безопасности
• формирование шкалы измерений уровня информационной безопасности
• согласованная оценка продуктов, обеспечивающих информационную безопасность
• повышение технической и информационной совместимости продуктов, обеспечивающих ИБ
• накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем
• функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

Благодаря стандартам информационной безопасности:

Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:

• повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
• обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);
• содействие соблюдению требований технических регламентов;
• создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.

Основными областями стандартизации информационной безопасности являются:

• аудит информационной безопасности
• модели информационной безопасности
• методы и механизмы обеспечения информационной безопасности
• криптография
• безопасность межсетевых взаимодействий
• управление информационной безопасностью.

Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения.