Кратко » История » Версия 4
С. Антошкин, 05.12.2023 12:08
| 1 | 2 | С. Антошкин | h1. Построение систем управления информационной безопасностью |
|---|---|---|---|
| 2 | 4 | С. Антошкин | |
| 3 | 3 | С. Антошкин | {{TOC}} |
| 4 | 1 | С. Антошкин | |
| 5 | 3 | С. Антошкин | |
| 6 | --- |
||
| 7 | |||
| 8 | h2. СУИБ |
||
| 9 | |||
| 10 | 2 | С. Антошкин | Система управления информационной безопасностью (СУИБ) представляет собой часть общей системы менеджмента компании, основанную на риск-ориентированном подходе, предназначенную для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования информационной безопасности (ИБ) компании. |
| 11 | 1 | С. Антошкин | |
| 12 | 2 | С. Антошкин | Основными целями построения СУИБ являются: |
| 13 | * обеспечение конфиденциальности, целостности и доступности информационных активов компании; |
||
| 14 | * выполнение требований безопасности клиентов и партнеров; |
||
| 15 | * соответствие требованиям регуляторов, законодательства и отраслевых нормативных документов. |
||
| 16 | 1 | С. Антошкин | |
| 17 | 2 | С. Антошкин | Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования и др. |
| 18 | |||
| 19 | СУИБ включает: |
||
| 20 | * процессы управления ИБ; |
||
| 21 | 1 | С. Антошкин | * персонал, ответственный за обеспечение и организацию управления ИБ; |
| 22 | * комплект документированных политик и процедур; |
||
| 23 | 3 | С. Антошкин | * механизмы обеспечения ИБ. |
| 24 | |||
| 25 | 2 | С. Антошкин | !clipboard-202312051322-ladjm.png(Процессы управления и обеспечения ИБ)! |
| 26 | * Проведение обследования: |
||
| 27 | ** уточнение области действия СУИБ; |
||
| 28 | ** осуществление сбора и анализа исходных данных, проведение обследования бизнес-процессов компании, входящих в область действия СУИБ; |
||
| 29 | ** инвентаризация активов (первичных и вторичных) компании, входящих в область действия СУИБ, определение владельцев и ценности активов; |
||
| 30 | ** проведение предварительной оценки на предмет соответствия существующих механизмов управления и обеспечения ИБ в компании требованиям ISO/IEC 27001:2013; |
||
| 31 | ** разработка документированных Области действия СУИБ и Политики ИБ в терминах характеристик бизнеса, компании, ее расположения, ресурсов и технологий. |
||
| 32 | * Оценку рисков ИБ: |
||
| 33 | ** проведение оценки рисков ИБ в компании в соответствии с положениями стандарта ISO/IEC 27005:2011; |
||
| 34 | ** выбор целей и механизмов контроля для обработки рисков ИБ и оценка их применимости в компании; |
||
| 35 | ** разработка плана обработки рисков, который определяет соответствующие действия руководства компании, ресурсы, ответственность и приоритеты по управлению рисками ИБ; |
||
| 36 | ** разработка декларации о применимости механизмов контроля (SOA). |
||
| 37 | * Создание СУИБ: |
||
| 38 | ** документирование процессов управления ИБ (политики, процедуры, записи); |
||
| 39 | ** техническое проектирование СОИБ (разработка технического задания на проектирование с учетом выявленных рисков ИБ, проработка технических решений). |
||
| 40 | * Внедрение СУИБ: |
||
| 41 | ** обучение и повышение осведомленности персонала; |
||
| 42 | ** ввод в действие СУИБ; |
||
| 43 | ** автоматизация процессов управления ИБ с помощью средств автоматизации (опционально). |
||
| 44 | 4 | С. Антошкин | |
| 45 | |||
| 46 | h2. Стандарты по ИБ |
||
| 47 | |||
| 48 | Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам. |
||
| 49 | Стандарты в области информационной безопасности выполняют следующие важнейшие функции: |
||
| 50 | * выработка понятийного аппарата и терминологии в области информационной безопасности |
||
| 51 | * формирование шкалы измерений уровня информационной безопасности |
||
| 52 | * согласованная оценка продуктов, обеспечивающих информационную безопасность |
||
| 53 | * повышение технической и информационной совместимости продуктов, обеспечивающих ИБ |
||
| 54 | * накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем |
||
| 55 | * функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения. |
||
| 56 | |||
| 57 | Благодаря стандартам информационной безопасности: |
||
| 58 | |||
| 59 | !clipboard-202312051507-ny7ro.png! |
||
| 60 | |||
| 61 | |||
| 62 | Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются: |
||
| 63 | * повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений; |
||
| 64 | * обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг); |
||
| 65 | * содействие соблюдению требований технических регламентов; |
||
| 66 | * создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации. |
||
| 67 | |||
| 68 | Основными областями стандартизации информационной безопасности являются: |
||
| 69 | * аудит информационной безопасности |
||
| 70 | * модели информационной безопасности |
||
| 71 | * методы и механизмы обеспечения информационной безопасности |
||
| 72 | * криптография |
||
| 73 | * безопасность межсетевых взаимодействий |
||
| 74 | * управление информационной безопасностью. |
||
| 75 | |||
| 76 | !clipboard-202312051508-s4iho.png! |
||
| 77 | |||
| 78 | Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения. |