Обеспечение и управление ИБ » История » Редакция 11
Редакция 10 (С. Антошкин, 03.06.2026 11:42) → Редакция 11/18 (С. Антошкин, 03.06.2026 12:55)
{{>TOC}} {{TOC}} h1. Обеспечение и управление информационной безопасностью h2. Введение Когда говорят «информационная безопасность», разные люди имеют в виду разные вещи. Системный администратор думает о межсетевых экранах и антивирусах. Юрист - о соблюдении 152-ФЗ(Федеральный закон). Директор по ИТ - о политиках доступа. Генеральный директор - о рисках для бизнеса. Все они правы, но каждый видит только часть картины. Полная картина складывается из двух взаимосвязанных, но принципиально разных понятий: *обеспечение* информационной безопасности и *управление* информационной безопасностью. Путаница между ними - одна из самых распространённых причин того, почему компании тратят большие деньги на защиту, но всё равно оказываются уязвимы. bq. Этот курс посвящён именно управлению информационной безопасностью - дисциплине, которая объясняет не то, *какие* технические средства защиты существуют, а то, *как* принимаются решения об их применении, *как* выстраивается система защиты в масштабах организации и *как* она поддерживается в рабочем состоянии. --- h2. Два понятия: разграничение h3. Обеспечение информационной безопасности *Обеспечение информационной безопасности* - это состояние защищённости информации и информационных систем, при котором обеспечиваются их конфиденциальность, целостность и доступность. Обеспечение ИБ (Информационная безопасность) - это *результат*, *достигнутое состояние*. Оно отвечает на вопрос: *«что защищено?»* Конкретные примеры обеспечения ИБ: * данные клиентов зашифрованы и доступны только авторизованным сотрудникам * критические системы работают 99,9% времени согласно SLA(Service Level Agreement) * все попытки несанкционированного доступа фиксируются в журналах * программное обеспечение своевременно обновляется, уязвимости устраняются Состояние обеспечения ИБ можно измерить, оценить, зафиксировать. Именно о нём говорят, когда проводят аудит безопасности или сертификацию по стандартам. h3. Управление информационной безопасностью *Управление информационной безопасностью* (Information Security Management, ISM(Information Security Management)) --- это совокупность процессов, посредством которых организация планирует, реализует, контролирует и совершенствует обеспечение информационной безопасности. Управление ИБ --- это *процесс*, *деятельность*. Оно отвечает на вопрос: *«как мы этого достигаем и поддерживаем?»* Конкретные примеры управления ИБ: * оценка рисков --- определение того, что и от чего нужно защищать * разработка политики информационной безопасности и доведение её до сотрудников * выбор и внедрение технических и организационных контролей * регулярный аудит и пересмотр мер защиты * реагирование на инциденты и извлечение уроков из них !clipboard-202606031214-cwjln.png! h3. Аналогия: замок и управляющий домом Представьте жилой дом. *Обеспечение безопасности* - это надёжный замок на двери, решётки на окнах, сигнализация. Это физические объекты, создающие защищённое состояние. *Управление безопасностью* - это то, кто решает, какой замок нужен на этой конкретной двери; кому выдаются ключи и как они учитываются; что происходит, когда замок ломается или ключ теряется; как реагируют, если кто-то попытался вскрыть дверь. Можно купить самый дорогой замок в мире - и оставить ключ под ковриком. Тогда обеспечение безопасности есть, а управления нет. Результат предсказуем. Именно поэтому большинство крупных инцидентов информационной безопасности происходят не потому, что у организации не было технических средств защиты, а потому, что не было выстроено управление ими. --- h2. Структура понятий h3. Цель и средство Обеспечение ИБ - это *цель*, управление ИБ - это *средство* её достижения. Бизнес-требования к защите информации (законодательные, контрактные, репутационные) задают необходимый уровень обеспечения. Управление ИБ --- это система процессов, которая обеспечивает достижение и поддержание этого уровня. !clipboard-202606031214-tjaej.png! При этом достигнутый уровень обеспечения постоянно пересматривается: меняется среда угроз, появляются новые требования, изменяется бизнес. Это делает управление ИБ *непрерывным итеративным процессом*, а не разовым проектом. h3. Уровни рассмотрения Управление ИБ рассматривается на трёх уровнях: |_.Уровень|_.Фокус|_.Примеры решений| |*Стратегический*|Цели ИБ в контексте бизнес-стратегии|Принятие политики ИБ на уровне совета директоров; бюджет на ИБ; допустимый уровень риска| |*Тактический*|Программы и проекты по ИБ|Внедрение СУИБ(Система управления информационной безопасностью); выбор стандарта сертификации; план обработки рисков| |*Операционный*|Ежедневные процессы и контроли|Мониторинг инцидентов; управление доступом; установка патчей; обучение персонала| Слабость на любом из уровней разрушает систему в целом. Отличная техническая реализация без стратегической поддержки руководства не получит ни бюджета, ни полномочий. Правильная стратегия без операционной дисциплины остаётся на бумаге. --- h2. Место ISM в корпоративном управлении Управление информационной безопасностью - не изолированная функция. Оно является частью более широкой системы управления организацией. !clipboard-202606031215-9svwc.png! *Корпоративное управление* - система, посредством которой организации направляются и контролируются в интересах акционеров и заинтересованных сторон. Оно устанавливает общие цели, ценности и допустимый уровень риска. *Управление рисками предприятия* - процесс выявления, оценки и обработки всех рисков организации: финансовых, операционных, репутационных, правовых - и информационных в том числе. *Управление информационной безопасностью* - специализированная область внутри ERM, отвечающая за риски, связанные с информацией и информационными технологиями. Это означает, что ISM не может существовать в отрыве от бизнеса. Решения об уровне защиты, о допустимых рисках, о бюджете - всё это принимается в диалоге с бизнес-руководством, исходя из стратегических целей организации. bq. Специалист по ИБ, который умеет говорить только о технических угрозах, но не умеет объяснить руководству деловые последствия инцидентов - не управляет безопасностью, а обслуживает оборудование. --- h2. Из чего состоит управление ИБ Управление ИБ реализуется через *Систему управления информационной безопасностью* (СУИБ, или ISMS(Information Security Management System)) - совокупность политик, процессов, процедур, документов и ресурсов, обеспечивающих управление ИБ в организации. Основу СУИБ составляют четыре взаимосвязанных процесса, известных как цикл PDCA(Plan-Do-Check-Act): # *Plan (Планировать)* - установить контекст, оценить риски, определить цели и разработать меры управления. На этом этапе отвечают на вопрос: что именно и почему нужно защищать? # *Do (Выполнять)* - реализовать и внедрить выбранные меры управления: технические контроли, политики, обучение персонала. # *Check (Проверять)* - контролировать и измерять эффективность реализованных мер: аудиты, мониторинг инцидентов, метрики. # *Act (Действовать)* - принимать корректирующие и предупреждающие действия, непрерывно улучшать СУИБ на основе результатов проверки. Цикл PDCA повторяется непрерывно. Угрозы меняются, бизнес развивается, появляются новые технологии - СУИБ должна адаптироваться вместе с ними. Именно эта архитектура лежит в основе международного стандарта ISO 27001, который является практическим руководством по построению СУИБ и будет подробно рассмотрен в теме 4 курса. --- h2. Ключевые роли в управлении ИБ Управление ИБ требует чёткого распределения ответственности. Типовые роли: |_.Роль|_.Уровень|_.Ответственность| |*Совет директоров / руководство*|Стратегический|Утверждение политики ИБ; принятие остаточных рисков; выделение бюджета| |*CISO(Chief Information Security Officer)* (директор по ИБ)|Стратегический / тактический|Разработка стратегии ИБ; управление программой ИБ; отчётность перед руководством| |*Владелец информационного актива*|Тактический|Классификация и защита информации в своей зоне ответственности| |*ИТ-служба*|Операционный|Реализация технических контролей; управление инфраструктурой безопасности| |*Все сотрудники*|Операционный|Соблюдение политик ИБ; сообщение об инцидентах| Важнейший принцип: *информационная безопасность --- это ответственность всей организации*, а не только ИТ-отдела или службы безопасности. CISO не может в одиночку обеспечить безопасность, если сотрудники открывают фишинговые письма, а руководство не выделяет ресурсы. --- h2. Типичные заблуждения *«ИБ - это про технологии».* Технологии - лишь один из инструментов. Большинство серьёзных инцидентов происходит из-за организационных сбоев: неправильных процессов, недостаточного обучения, ошибок персонала. *«Если мы купили дорогие средства защиты, мы в безопасности».* Средства защиты без управления ими - деньги на ветер. Незакрытая уязвимость в системе с многомиллионным NGFW(Next Generation Firewall) остаётся уязвимостью. *«ИБ - это разовый проект».* Достижение сертификации по ISO 27001 - не финишная черта. Угрозы меняются каждый день. Управление ИБ - непрерывный процесс. *«За ИБ отвечает ИТ-отдел».* Владельцами информационных активов являются бизнес-подразделения. Именно они определяют, что критично и как долго организация может обойтись без тех или иных данных. ИТ-отдел - исполнитель, а не единственный владелец ответственности. *«Обеспечение ИБ = управление ИБ».* Именно это заблуждение данная тема призвана устранить. Замок - не то же самое, что управляющий домом. --- h2. Список литературы и стандартов * ISO/IEC 27000:2018 - Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь * ISO/IEC 27001:2022 - Требования к системам управления информационной безопасностью * ГОСТ Р ИСО/МЭК 27000-2021 - Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология * "Руководство ENISA по управлению ИБ":https://www.enisa.europa.eu/publications/info-security-management - European Union Agency for Cybersecurity * Anderson R. - Security Engineering: A Guide to Building Dependable Distributed Systems. 3rd ed. Wiley, 2020 * Whitman M., Mattord H. - Management of Information Security. 6th ed. Cengage, 2021