Кратко » История » Редакция 4
Редакция 3 (С. Антошкин, 05.12.2023 11:59) → Редакция 4/9 (С. Антошкин, 05.12.2023 12:08)
h1. Построение систем управления информационной безопасностью {{TOC}} --- h2. СУИБ Система управления информационной безопасностью (СУИБ) представляет собой часть общей системы менеджмента компании, основанную на риск-ориентированном подходе, предназначенную для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования информационной безопасности (ИБ) компании. Основными целями построения СУИБ являются: * обеспечение конфиденциальности, целостности и доступности информационных активов компании; * выполнение требований безопасности клиентов и партнеров; * соответствие требованиям регуляторов, законодательства и отраслевых нормативных документов. Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования и др. СУИБ включает: * процессы управления ИБ; * персонал, ответственный за обеспечение и организацию управления ИБ; * комплект документированных политик и процедур; * механизмы обеспечения ИБ. !clipboard-202312051322-ladjm.png(Процессы управления и обеспечения ИБ)! * Проведение обследования: ** уточнение области действия СУИБ; ** осуществление сбора и анализа исходных данных, проведение обследования бизнес-процессов компании, входящих в область действия СУИБ; ** инвентаризация активов (первичных и вторичных) компании, входящих в область действия СУИБ, определение владельцев и ценности активов; ** проведение предварительной оценки на предмет соответствия существующих механизмов управления и обеспечения ИБ в компании требованиям ISO/IEC 27001:2013; ** разработка документированных Области действия СУИБ и Политики ИБ в терминах характеристик бизнеса, компании, ее расположения, ресурсов и технологий. * Оценку рисков ИБ: ** проведение оценки рисков ИБ в компании в соответствии с положениями стандарта ISO/IEC 27005:2011; ** выбор целей и механизмов контроля для обработки рисков ИБ и оценка их применимости в компании; ** разработка плана обработки рисков, который определяет соответствующие действия руководства компании, ресурсы, ответственность и приоритеты по управлению рисками ИБ; ** разработка декларации о применимости механизмов контроля (SOA). * Создание СУИБ: ** документирование процессов управления ИБ (политики, процедуры, записи); ** техническое проектирование СОИБ (разработка технического задания на проектирование с учетом выявленных рисков ИБ, проработка технических решений). * Внедрение СУИБ: ** обучение и повышение осведомленности персонала; ** ввод в действие СУИБ; ** автоматизация процессов управления ИБ с помощью средств автоматизации (опционально). h2. Стандарты по ИБ Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам. Стандарты в области информационной безопасности выполняют следующие важнейшие функции: * выработка понятийного аппарата и терминологии в области информационной безопасности * формирование шкалы измерений уровня информационной безопасности * согласованная оценка продуктов, обеспечивающих информационную безопасность * повышение технической и информационной совместимости продуктов, обеспечивающих ИБ * накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем * функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения. Благодаря стандартам информационной безопасности: !clipboard-202312051507-ny7ro.png! Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются: * повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений; * обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг); * содействие соблюдению требований технических регламентов; * создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации. Основными областями стандартизации информационной безопасности являются: * аудит информационной безопасности * модели информационной безопасности * методы и механизмы обеспечения информационной безопасности * криптография * безопасность межсетевых взаимодействий * управление информационной безопасностью. !clipboard-202312051508-s4iho.png! Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения.