• Содержание
• Обеспечение и управление информационной безопасностью
  • Введение
  • Два понятия: разграничение
    • Обеспечение информационной безопасности
    • Управление информационной безопасностью
    • Аналогия: замок и управляющий домом
  • Структура понятий
    • Цель и средство
    • Уровни рассмотрения
  • Место ISM в корпоративном управлении
  • Из чего состоит управление ИБ
  • Ключевые роли в управлении ИБ
  • Что дальше
  • Список литературы и стандартов

Обеспечение и управление информационной безопасностью¶

Введение¶

Когда говорят «информационная безопасность», разные люди имеют в виду разные вещи.
Системный администратор думает о межсетевых экранах и антивирусах.
Юрист — о соблюдении 152-ФЗ.
Директор по ИТ — о политиках доступа.
Генеральный директор — о рисках для бизнеса.

Все они правы, но каждый видит только часть картины.

Полная картина складывается из двух взаимосвязанных, но принципиально разных понятий:
обеспечение информационной безопасности и управление информационной безопасностью.
Путаница между ними — одна из самых распространённых причин того, почему компании тратят большие деньги на защиту, но всё равно оказываются уязвимы.

Этот курс посвящён именно управлению информационной безопасностью — дисциплине, которая объясняет не то, какие технические средства защиты существуют, а то, как принимаются решения об их применении, как выстраивается система защиты в масштабах организации и как она поддерживается в рабочем состоянии.

---

Два понятия: разграничение¶

Обеспечение информационной безопасности¶

Обеспечение информационной безопасности — это состояние защищённости информации и информационных систем, при котором обеспечиваются их конфиденциальность, целостность и доступность.

Обеспечение ИБ — это результат, достигнутое состояние.
Оно отвечает на вопрос: «что защищено?»

Конкретные примеры обеспечения ИБ:

• данные клиентов зашифрованы и доступны только авторизованным сотрудникам;
• критические системы работают 99,9% времени согласно SLA;
• все попытки несанкционированного доступа фиксируются в журналах;
• программное обеспечение своевременно обновляется, уязвимости устраняются.

Состояние обеспечения ИБ можно измерить, оценить, зафиксировать.
Именно о нём говорят, когда проводят аудит безопасности или сертификацию по стандартам.

Управление информационной безопасностью¶

Управление информационной безопасностью(ISM) — это совокупность процессов, посредством которых организация планирует, реализует, контролирует и совершенствует обеспечение информационной безопасности.

Управление ИБ — это процесс, деятельность.
Оно отвечает на вопрос: «как мы этого достигаем и поддерживаем?»

Конкретные примеры управления ИБ:

• оценка рисков — определение того, что и от чего нужно защищать;
• разработка политики информационной безопасности и доведение её до сотрудников;
• выбор и внедрение технических и организационных контролей;
• регулярный аудит и пересмотр мер защиты;
• реагирование на инциденты и извлечение уроков из них.

Аналогия: замок и управляющий домом¶

Представьте жилой дом.

Обеспечение безопасности — это надёжный замок на двери, решётки на окнах, сигнализация. Это физические объекты, создающие защищённое состояние.

Управление безопасностью — это то, кто решает, какой замок нужен на этой конкретной двери; кому выдаются ключи и как они учитываются; что происходит, когда замок ломается или ключ теряется; как реагируют, если кто-то попытался вскрыть дверь.

Можно купить самый дорогой замок в мире — и оставить ключ под ковриком.
Тогда обеспечение безопасности есть, а управления нет. Результат предсказуем.

Именно поэтому большинство крупных инцидентов информационной безопасности происходят не потому, что у организации не было технических средств защиты, а потому, что не было выстроено управление ими.

---

Структура понятий¶

Цель и средство¶

Обеспечение ИБ — это цель, управление ИБ — это средство её достижения.

Бизнес-требования к защите информации (законодательные, контрактные, репутационные) задают необходимый уровень обеспечения. Управление ИБ — это система процессов, которая обеспечивает достижение и поддержание этого уровня.

При этом достигнутый уровень обеспечения постоянно пересматривается:
меняется среда угроз, появляются новые требования, изменяется бизнес.
Это делает управление ИБ непрерывным итеративным процессом, а не разовым проектом.

Уровни рассмотрения¶

Управление ИБ рассматривается на трёх уровнях:

Уровень	Фокус	Примеры решений
Стратегический	Цели ИБ в контексте бизнес-стратегии	Принятие политики ИБ на уровне совета директоров; бюджет на ИБ; допустимый уровень риска
Тактический	Программы и проекты по ИБ	Внедрение СУИБ; выбор стандарта сертификации; план обработки рисков
Операционный	Ежедневные процессы и контроли	Мониторинг инцидентов; управление доступом; установка патчей; обучение персонала

Слабость на любом из уровней разрушает систему в целом. Отличная техническая реализация без стратегической поддержки руководства не получит ни бюджета, ни полномочий. Правильная стратегия без операционной дисциплины остаётся на бумаге.

---

Место ISM в корпоративном управлении¶

Управление информационной безопасностью — не изолированная функция.
Оно является частью более широкой системы управления организацией.

Корпоративное управление — система, посредством которой организация направляется и контролируется в интересах акционеров и заинтересованных сторон.
Устанавливает общие цели, ценности и допустимый уровень риска.

Управление рисками предприятия — процесс выявления, оценки и обработки всех рисков организации: финансовых, операционных, репутационных, правовых — и информационных в том числе.

Управление информационной безопасностью — специализированная область внутри ERM, отвечающая за риски, связанные с информацией и информационными технологиями.

Это означает, что ISM не может существовать в отрыве от бизнеса. Решения об уровне защиты, о допустимых рисках, о бюджете — всё это принимается в диалоге с бизнес-руководством, исходя из стратегических целей организации.

Специалист по ИБ, который умеет говорить только о технических угрозах, но не умеет объяснить руководству деловые последствия инцидентов — не управляет безопасностью, а обслуживает оборудование.

---

Из чего состоит управление ИБ¶

Управление ИБ реализуется через Систему управления информационной безопасностью— совокупность политик, процессов, процедур, документов и ресурсов, обеспечивающих управление ИБ в организации.

Основу СУИБ составляют четыре взаимосвязанных процесса, известных как цикл PDCA:

Этап	Название	Содержание применительно к ИБ
Plan	Планировать	Установить контекст, оценить риски, определить цели и разработать меры управления. Что именно и почему нужно защищать?
Do	Выполнять	Реализовать и внедрить выбранные меры: технические контроли, политики, обучение персонала.
Check	Проверять	Контролировать и измерять эффективность реализованных мер: аудиты, мониторинг инцидентов, метрики.
Act	Действовать	Принимать корректирующие и предупреждающие действия, непрерывно улучшать СУИБ на основе результатов проверки.

Цикл PDCA повторяется непрерывно. Угрозы меняются, бизнес развивается,появляются новые технологии — СУИБ должна адаптироваться вместе с ними.

Практическое построение СУИБ на основе цикла PDCA подробно рассмотрено
в теме 6. Создание СУИБ. Нормативная основа — стандарт ISO 27001 —
в теме 4. Стандарты управления.

---

Ключевые роли в управлении ИБ¶

Управление ИБ требует чёткого распределения ответственности. Типовые роли:

Роль	Уровень	Ответственность
Совет директоров / руководство	Стратегический	Утверждение политики ИБ; принятие остаточных рисков; выделение бюджета
CISO (директор по ИБ)	Стратегический / тактический	Разработка стратегии ИБ; управление программой ИБ; отчётность перед руководством
Владелец информационного актива	Тактический	Классификация и защита информации в своей зоне ответственности
ИТ-служба	Операционный	Реализация технических контролей; управление инфраструктурой безопасности
Все сотрудники	Операционный	Соблюдение политик ИБ; сообщение об инцидентах

Важнейший принцип: информационная безопасность — это ответственность всей организации, а не только ИТ-отдела или службы безопасности.
CISO не может в одиночку обеспечить безопасность, если сотрудники открывают фишинговые письма, а руководство не выделяет ресурсы.

---

Что дальше¶

Разобравшись с разграничением понятий, перейдём к фундаменту управления ИБ — базовым концепциям и терминологии, без которых невозможно работать ни с рисками, ни со стандартами, ни с практическими мерами защиты.

• Следующая тема: 1. Основные понятия — триада КДЦ, активы, угрозы, уязвимости, риски и их взаимосвязь
• Если интересует сразу практика: 5. Управление рисками информационной безопасности — как принимаются решения о том, что и как защищать
• Нормативная база: 4. Стандарты управления — ISO 27001 как практическое руководство по построению СУИБ

---

Список литературы и стандартов¶

• ISO/IEC 27000:2018 — Информационные технологии. Системы менеджмента ИБ. Обзор и словарь
• ISO/IEC 27001:2022 — Требования к системам управления информационной безопасностью
• ГОСТ Р ИСО/МЭК 27000-2021 — Информационные технологии. Системы менеджмента ИБ. Общий обзор и терминология
• Руководство ENISA по управлению ИБ — European Union Agency for Cybersecurity
• Anderson R. — Security Engineering: A Guide to Building Dependable Distributed Systems. 3rd ed. Wiley, 2020
• Whitman M., Mattord H. — Management of Information Security. 6th ed. Cengage, 2021