УИБ / учебный курс

{{>TOC}}

h1. Обеспечение и управление информационной безопасностью

h2. Введение

Когда говорят «информационная безопасность», разные люди имеют в виду разные вещи. 

Системный администратор думает о межсетевых экранах и антивирусах. 

Юрист — о соблюдении 152-ФЗ. 

Директор по ИТ — о политиках доступа. 

Генеральный директор — о рисках для бизнеса.

Все они правы, но каждый видит только часть картины.

Полная картина складывается из двух взаимосвязанных, но принципиально разных понятий: 

*обеспечение* информационной безопасности и *управление* информационной безопасностью. 

Путаница между ними — одна из самых распространённых причин того, почему компании тратят большие деньги на защиту, но всё равно оказываются уязвимы.

bq. Этот курс посвящён именно *управлению* информационной безопасностью — дисциплине, которая объясняет не то, *какие* технические средства защиты существуют, а то, *как* принимаются решения об их применении, *как* выстраивается система защиты  в масштабах организации и *как* она поддерживается в рабочем состоянии.

---

h2. Два понятия: разграничение

h3. Обеспечение информационной безопасности

*Обеспечение информационной безопасности* — это состояние защищённости информации  и информационных систем, при котором обеспечиваются их конфиденциальность, 

целостность и доступность.

Обеспечение ИБ — это *результат*, *достигнутое состояние*. 

Оно отвечает на вопрос: *«что защищено?»*

Конкретные примеры обеспечения ИБ:

* данные клиентов зашифрованы и доступны только авторизованным сотрудникам;

* критические системы работают 99,9% времени согласно SLA;

* все попытки несанкционированного доступа фиксируются в журналах;

* программное обеспечение своевременно обновляется, уязвимости устраняются.

Состояние обеспечения ИБ можно измерить, оценить, зафиксировать. 

Именно о нём говорят, когда проводят аудит безопасности или сертификацию по стандартам.

h3. Управление информационной безопасностью

*Управление информационной безопасностью*(ISM(Information Security Management)) — это совокупность процессов, посредством которых организация планирует, реализует, контролирует и совершенствует обеспечение информационной безопасности.

Управление ИБ — это *процесс*, *деятельность*. 

Оно отвечает на вопрос: *«как мы этого достигаем и поддерживаем?»*

Конкретные примеры управления ИБ:

* оценка рисков — определение того, что и от чего нужно защищать;

* разработка политики информационной безопасности и доведение её до сотрудников;

* выбор и внедрение технических и организационных контролей;

* регулярный аудит и пересмотр мер защиты;

* реагирование на инциденты и извлечение уроков из них.

!clipboard-202606031214-cwjln.png!

h3. Аналогия: замок и управляющий домом

Представьте жилой дом. 

*Обеспечение безопасности* — это надёжный замок на двери, решётки на окнах, сигнализация. Это физические объекты, создающие защищённое *состояние*.

*Управление безопасностью* — это то, кто решает, какой замок нужен на этой конкретной двери; кому выдаются ключи и как они учитываются; что происходит, когда замок ломается или ключ теряется; как реагируют, если кто-то попытался вскрыть дверь.

Можно купить самый дорогой замок в мире — и оставить ключ под ковриком. 

Тогда обеспечение безопасности есть, а управления нет. Результат предсказуем.

bq. Именно поэтому большинство крупных инцидентов информационной безопасности происходят не потому, что у организации не было технических средств защиты, а потому, что не было выстроено *управление* ими.

---

h2. Структура понятий

h3. Цель и средство

Обеспечение ИБ — это *цель*, управление ИБ — это *средство* её достижения. 

Бизнес-требования к защите информации (законодательные, контрактные, репутационные) задают необходимый уровень обеспечения. Управление ИБ — это система процессов, которая обеспечивает достижение и *поддержание* этого уровня.

!clipboard-202606031214-tjaej.png!

При этом достигнутый уровень обеспечения постоянно пересматривается: 

меняется среда угроз, появляются новые требования, изменяется бизнес. 

Это делает управление ИБ *непрерывным итеративным процессом*, а не разовым проектом.

h3. Уровни рассмотрения

Управление ИБ рассматривается на трёх уровнях:

|_.Уровень|_.Фокус|_.Примеры решений|

|*Стратегический*|Цели ИБ в контексте бизнес-стратегии|Принятие политики ИБ на уровне совета директоров; бюджет на ИБ; допустимый уровень риска|

|*Тактический*|Программы и проекты по ИБ|Внедрение СУИБ; выбор стандарта сертификации; план обработки рисков|

|*Операционный*|Ежедневные процессы и контроли|Мониторинг инцидентов; управление доступом; установка патчей; обучение персонала|

Слабость на любом из уровней разрушает систему в целом. Отличная техническая 

реализация без стратегической поддержки руководства не получит ни бюджета, 

ни полномочий. Правильная стратегия без операционной дисциплины остаётся на бумаге.

---

h2. Место ISM в корпоративном управлении

Управление информационной безопасностью — не изолированная функция. 

Оно является частью более широкой системы управления организацией.

!clipboard-202606031215-9svwc.png!

*Корпоративное управление* — система, посредством которой организация направляется и контролируется в интересах акционеров и заинтересованных сторон. 

Устанавливает общие цели, ценности и допустимый уровень риска.

*Управление рисками предприятия* — процесс выявления, оценки и обработки всех рисков организации: финансовых, операционных, репутационных, правовых — и информационных в том числе.

*Управление информационной безопасностью* — специализированная область внутри ERM, отвечающая за риски, связанные с информацией и информационными технологиями.

Это означает, что ISM не может существовать в отрыве от бизнеса. Решения об уровне защиты, о допустимых рисках, о бюджете — всё это принимается в диалоге с бизнес-руководством, исходя из стратегических целей организации.

bq. Специалист по ИБ, который умеет говорить только о технических угрозах, но не умеет объяснить руководству деловые последствия инцидентов — не управляет безопасностью, а обслуживает оборудование.

---

h2. Из чего состоит управление ИБ

Управление ИБ реализуется через *Систему управления информационной безопасностью*— совокупность политик,  процессов, процедур, документов и ресурсов, обеспечивающих управление ИБ  в организации.

Основу СУИБ составляют четыре взаимосвязанных процесса, известных как цикл *PDCA*:

|_.Этап|_.Название|_.Содержание применительно к ИБ|

|*Plan*|Планировать|Установить контекст, оценить риски, определить цели и разработать меры управления. Что именно и почему нужно защищать?|

|*Do*|Выполнять|Реализовать и внедрить выбранные меры: технические контроли, политики, обучение персонала.|

|*Check*|Проверять|Контролировать и измерять эффективность реализованных мер: аудиты, мониторинг инцидентов, метрики.|

|*Act*|Действовать|Принимать корректирующие и предупреждающие действия, непрерывно улучшать СУИБ на основе результатов проверки.|

Цикл PDCA повторяется непрерывно. Угрозы меняются, бизнес развивается,появляются новые технологии — СУИБ должна адаптироваться вместе с ними.

bq. Практическое построение СУИБ на основе цикла PDCA подробно рассмотрено 

в теме [[6. Создание СУИБ]]. Нормативная основа — стандарт ISO 27001 — 

в теме [[4. Стандарты управления]].

---

h2. Ключевые роли в управлении ИБ

Управление ИБ требует чёткого распределения ответственности. Типовые роли:

|_.Роль|_.Уровень|_.Ответственность|

|*Совет директоров / руководство*|Стратегический|Утверждение политики ИБ; принятие остаточных рисков; выделение бюджета|

|*CISO* (директор по ИБ)|Стратегический / тактический|Разработка стратегии ИБ; управление программой ИБ; отчётность перед руководством|

|*Владелец информационного актива*|Тактический|Классификация и защита информации в своей зоне ответственности|

|*ИТ-служба*|Операционный|Реализация технических контролей; управление инфраструктурой безопасности|

|*Все сотрудники*|Операционный|Соблюдение политик ИБ; сообщение об инцидентах|

bq. *Важнейший принцип:* информационная безопасность — это ответственность *всей организации*, а не только ИТ-отдела или службы безопасности. 

CISO не может в одиночку обеспечить безопасность, если сотрудники открывают фишинговые письма, а руководство не выделяет ресурсы.

---

h2. Что дальше

Разобравшись с разграничением понятий, перейдём к фундаменту управления ИБ — 

базовым концепциям и терминологии, без которых невозможно работать 

ни с рисками, ни со стандартами, ни с практическими мерами защиты.

* *Следующая тема:* [[Основные_понятия_информационной_безопасности| 1. Основные понятия]] — триада КДЦ, активы, угрозы, уязвимости, риски и их взаимосвязь

* *Если интересует сразу практика:* [[Управление_рисками_информационной_безопасности|5. Управление рисками информационной безопасности]] — как принимаются решения о том, что и как защищать

* *Нормативная база:*  [[Стандарты_управления_информационной_безопасностью|4. Стандарты управления]] — ISO 27001 как  практическое руководство по построению СУИБ

---

h2. Список литературы и стандартов

* "ISO/IEC 27000:2018":https://www.iso.org/standard/73906.html — Информационные технологии. Системы менеджмента ИБ. Обзор и словарь

* "ISO/IEC 27001:2022":https://www.iso.org/standard/27001 — Требования к системам управления информационной безопасностью

* ГОСТ Р ИСО/МЭК 27000-2021 — Информационные технологии. Системы менеджмента ИБ. Общий обзор и терминология

* "Руководство ENISA по управлению ИБ":https://www.enisa.europa.eu/publications/info-security-management — European Union Agency for Cybersecurity

* Anderson R. — Security Engineering: A Guide to Building Dependable Distributed Systems. 3rd ed. Wiley, 2020

* Whitman M., Mattord H. — Management of Information Security. 6th ed. Cengage, 2021