Обеспечение и управление ИБ » История » Редакция 14
Редакция 13 (С. Антошкин, 03.06.2026 12:57) → Редакция 14/18 (С. Антошкин, 03.06.2026 13:38)
{{>TOC}}
h1. Обеспечение и управление информационной безопасностью
h2. Введение
Когда говорят «информационная безопасность», разные люди имеют в виду разные вещи.
Системный администратор думает о межсетевых экранах и антивирусах.
Юрист — - о соблюдении 152-ФЗ.
152-ФЗ(Федеральный закон). Директор по ИТ — - о политиках доступа.
Генеральный директор — - о рисках для бизнеса.
Все они правы, но каждый видит только часть картины.
Полная картина складывается из двух взаимосвязанных, но принципиально разных понятий:
*обеспечение* информационной безопасности и *управление* информационной безопасностью.
Путаница между ними — - одна из самых распространённых причин того, почему компании тратят большие деньги на защиту, но всё равно оказываются уязвимы.
bq. Этот курс посвящён именно *управлению* управлению информационной безопасностью — - дисциплине, которая объясняет не то, *какие* технические средства защиты существуют, а то, *как* принимаются решения об их применении, *как* выстраивается система защиты в масштабах организации и *как* она поддерживается в рабочем состоянии.
---
h2. Два понятия: разграничение
h3. Обеспечение информационной безопасности
*Обеспечение информационной безопасности* — - это состояние защищённости информации и информационных систем, при котором обеспечиваются их конфиденциальность,
целостность и доступность.
Обеспечение ИБ — (Информационная безопасность) - это *результат*, *достигнутое состояние*.
Оно отвечает на вопрос: *«что защищено?»*
Конкретные примеры обеспечения ИБ:
* данные клиентов зашифрованы и доступны только авторизованным сотрудникам; сотрудникам
* критические системы работают 99,9% времени согласно SLA; SLA(Service Level Agreement)
* все попытки несанкционированного доступа фиксируются в журналах; журналах
* программное обеспечение своевременно обновляется, уязвимости устраняются. устраняются
Состояние обеспечения ИБ можно измерить, оценить, зафиксировать.
Именно о нём говорят, когда проводят аудит безопасности или сертификацию по стандартам.
h3. Управление информационной безопасностью
*Управление информационной безопасностью*(ISM(Information безопасностью* (ISM(Information Security Management)) — - это совокупность процессов, посредством которых организация планирует, реализует, контролирует и совершенствует обеспечение информационной безопасности.
Управление ИБ — - это *процесс*, *деятельность*.
Оно отвечает на вопрос: *«как мы этого достигаем и поддерживаем?»*
Конкретные примеры управления ИБ:
* оценка рисков — - определение того, что и от чего нужно защищать; защищать
* разработка политики информационной безопасности и доведение её до сотрудников; сотрудников
* выбор и внедрение технических и организационных контролей; контролей
* регулярный аудит и пересмотр мер защиты; защиты
* реагирование на инциденты и извлечение уроков из них. них
!clipboard-202606031214-cwjln.png!
h3. Аналогия: замок и управляющий домом
Представьте жилой дом.
*Обеспечение безопасности* — - это надёжный замок на двери, решётки на окнах, сигнализация. Это физические объекты, создающие защищённое *состояние*. состояние.
*Управление безопасностью* — - это то, кто решает, какой замок нужен на этой конкретной двери; кому выдаются ключи и как они учитываются; что происходит, когда замок ломается или ключ теряется; как реагируют, если кто-то попытался вскрыть дверь.
Можно купить самый дорогой замок в мире — - и оставить ключ под ковриком.
Тогда обеспечение безопасности есть, а управления нет. Результат предсказуем.
bq. Именно поэтому большинство крупных инцидентов информационной безопасности происходят не потому, что у организации не было технических средств защиты, а потому, что не было выстроено *управление* управление ими.
---
h2. Структура понятий
h3. Цель и средство
Обеспечение ИБ — - это *цель*, управление ИБ — - это *средство* её достижения.
Бизнес-требования к защите информации (законодательные, контрактные, репутационные) задают необходимый уровень обеспечения. Управление ИБ — - это система процессов, которая обеспечивает достижение и *поддержание* поддержание этого уровня.
!clipboard-202606031214-tjaej.png!
При этом достигнутый уровень обеспечения постоянно пересматривается:
меняется среда угроз, появляются новые требования, изменяется бизнес.
Это делает управление ИБ *непрерывным итеративным процессом*, а не разовым проектом.
h3. Уровни рассмотрения
Управление ИБ рассматривается на трёх уровнях:
|_.Уровень|_.Фокус|_.Примеры решений|
|*Стратегический*|Цели ИБ в контексте бизнес-стратегии|Принятие политики ИБ на уровне совета директоров; бюджет на ИБ; допустимый уровень риска|
|*Тактический*|Программы и проекты по ИБ|Внедрение СУИБ; СУИБ(Система управления информационной безопасностью); выбор стандарта сертификации; план обработки рисков|
|*Операционный*|Ежедневные процессы и контроли|Мониторинг инцидентов; управление доступом; установка патчей; обучение персонала|
Слабость на любом из уровней разрушает систему в целом. Отличная техническая
реализация без стратегической поддержки руководства не получит ни бюджета,
ни полномочий. Правильная стратегия без операционной дисциплины остаётся на бумаге.
---
h2. Место ISM в корпоративном управлении
Управление информационной безопасностью — - не изолированная функция.
Оно является частью более широкой системы управления организацией.
!clipboard-202606031215-9svwc.png!
*Корпоративное управление* — - система, посредством которой организация направляется организации направляются и контролируется контролируются в интересах акционеров и заинтересованных сторон.
Устанавливает Оно устанавливает общие цели, ценности и допустимый уровень риска.
*Управление рисками предприятия* — - процесс выявления, оценки и обработки всех рисков организации: финансовых, операционных, репутационных, правовых — - и информационных в том числе.
*Управление информационной безопасностью* — - специализированная область внутри ERM, отвечающая за риски, связанные с информацией и информационными технологиями.
Это означает, что ISM не может существовать в отрыве от бизнеса. Решения об уровне защиты, о допустимых рисках, о бюджете — - всё это принимается в диалоге с бизнес-руководством, исходя из стратегических целей организации.
bq. Специалист по ИБ, который умеет говорить только о технических угрозах, но не умеет объяснить руководству деловые последствия инцидентов — - не управляет безопасностью, а обслуживает оборудование.
---
h2. Из чего состоит управление ИБ
Управление ИБ реализуется через *Систему управления информационной безопасностью*— безопасностью* (СУИБ, или ISMS(Information Security Management System)) - совокупность политик, процессов, процедур, документов и ресурсов, обеспечивающих управление ИБ в организации.
Основу СУИБ составляют четыре взаимосвязанных процесса, известных как цикл *PDCA*: PDCA(Plan-Do-Check-Act):
|_.Этап|_.Название|_.Содержание применительно к ИБ|
|*Plan*|Планировать|Установить # *Plan (Планировать)* - установить контекст, оценить риски, определить цели и разработать меры управления. Что На этом этапе отвечают на вопрос: что именно и почему нужно защищать?| защищать?
|*Do*|Выполнять|Реализовать # *Do (Выполнять)* - реализовать и внедрить выбранные меры: меры управления: технические контроли, политики, обучение персонала.| персонала.
|*Check*|Проверять|Контролировать # *Check (Проверять)* - контролировать и измерять эффективность реализованных мер: аудиты, мониторинг инцидентов, метрики.| метрики.
|*Act*|Действовать|Принимать # *Act (Действовать)* - принимать корректирующие и предупреждающие действия, непрерывно улучшать СУИБ на основе результатов проверки.| проверки.
Цикл PDCA повторяется непрерывно. Угрозы меняются, бизнес развивается,появляются развивается, появляются новые технологии — - СУИБ должна адаптироваться вместе с ними.
bq. Практическое построение Именно эта архитектура лежит в основе международного стандарта ISO 27001, который является практическим руководством по построению СУИБ на основе цикла PDCA и будет подробно рассмотрено
рассмотрен в теме [[6. Создание СУИБ]]. Нормативная основа — стандарт ISO 27001 —
в теме [[4. Стандарты управления]]. 4 курса.
---
h2. Ключевые роли в управлении ИБ
Управление ИБ требует чёткого распределения ответственности. Типовые роли:
|_.Роль|_.Уровень|_.Ответственность|
|*Совет директоров / руководство*|Стратегический|Утверждение политики ИБ; принятие остаточных рисков; выделение бюджета|
|*CISO* |*CISO(Chief Information Security Officer)* (директор по ИБ)|Стратегический / тактический|Разработка стратегии ИБ; управление программой ИБ; отчётность перед руководством|
|*Владелец информационного актива*|Тактический|Классификация и защита информации в своей зоне ответственности|
|*ИТ-служба*|Операционный|Реализация технических контролей; управление инфраструктурой безопасности|
|*Все сотрудники*|Операционный|Соблюдение политик ИБ; сообщение об инцидентах|
bq. *Важнейший принцип:* информационная Важнейший принцип: *информационная безопасность — --- это ответственность *всей всей организации*, а не только ИТ-отдела или службы безопасности.
CISO не может в одиночку обеспечить безопасность, если сотрудники открывают фишинговые письма, а руководство не выделяет ресурсы.
---
h2. Что дальше Типичные заблуждения
Разобравшись с разграничением понятий, перейдём к фундаменту *«ИБ - это про технологии».* Технологии - лишь один из инструментов. Большинство серьёзных инцидентов происходит из-за организационных сбоев: неправильных процессов, недостаточного обучения, ошибок персонала.
*«Если мы купили дорогие средства защиты, мы в безопасности».* Средства защиты без управления ИБ —
базовым концепциям и терминологии, без которых невозможно работать
ни ими - деньги на ветер. Незакрытая уязвимость в системе с рисками, ни со стандартами, ни с практическими мерами защиты. многомиллионным NGFW(Next Generation Firewall) остаётся уязвимостью.
* *Следующая тема:* [[Основные_понятия_информационной_безопасности| 1. Основные понятия]] — триада КДЦ, активы, угрозы, уязвимости, риски и их взаимосвязь
* *Если интересует сразу практика:* [[Управление_рисками_информационной_безопасности|5. *«ИБ - это разовый проект».* Достижение сертификации по ISO 27001 - не финишная черта. Угрозы меняются каждый день. Управление рисками информационной безопасности]] — как принимаются решения о том, ИБ - непрерывный процесс.
*«За ИБ отвечает ИТ-отдел».* Владельцами информационных активов являются бизнес-подразделения. Именно они определяют, что критично и как защищать
* *Нормативная база:* [[Стандарты_управления_информационной_безопасностью|4. Стандарты управления]] — ISO 27001 как практическое руководство по построению СУИБ долго организация может обойтись без тех или иных данных. ИТ-отдел - исполнитель, а не единственный владелец ответственности.
*«Обеспечение ИБ = управление ИБ».* Именно это заблуждение данная тема призвана устранить. Замок - не то же самое, что управляющий домом.
---
h2. Список литературы и стандартов
* "ISO/IEC 27000:2018":https://www.iso.org/standard/73906.html — ISO/IEC 27000:2018 - Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. информационной безопасности. Обзор и словарь
* "ISO/IEC 27001:2022":https://www.iso.org/standard/27001 — ISO/IEC 27001:2022 - Требования к системам управления информационной безопасностью
* ГОСТ Р ИСО/МЭК 27000-2021 — - Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. информационной безопасности. Общий обзор и терминология
* "Руководство ENISA по управлению ИБ":https://www.enisa.europa.eu/publications/info-security-management — - European Union Agency for Cybersecurity
* Anderson R. — - Security Engineering: A Guide to Building Dependable Distributed Systems. 3rd ed. Wiley, 2020
* Whitman M., Mattord H. — - Management of Information Security. 6th ed. Cengage, 2021