Обеспечение и управление ИБ » История » Редакция 3
« Предыдущее |
Редакция 3/18
(Разница(diff))
| Следующее »
С. Антошкин, 03.06.2026 09:16
- Содержание
- Обеспечение и управление информационной безопасностью
Обеспечение и управление информационной безопасностью¶
Введение¶
Когда говорят «информационная безопасность», разные люди имеют в виду разные вещи. Системный администратор думает о межсетевых экранах и антивирусах. Юрист - о соблюдении 152-ФЗ(Федеральный закон). Директор по ИТ - о политиках доступа. Генеральный директор - о рисках для бизнеса.
Все они правы, но каждый видит только часть картины.
Полная картина складывается из двух взаимосвязанных, но принципиально разных понятий: обеспечение информационной безопасности и управление информационной безопасностью. Путаница между ними - одна из самых распространённых причин того, почему компании тратят большие деньги на защиту, но всё равно оказываются уязвимы.
Этот курс посвящён именно управлению информационной безопасностью - дисциплине, которая объясняет не то, какие технические средства защиты существуют, а то, как принимаются решения об их применении, как выстраивается система защиты в масштабах организации и как она поддерживается в рабочем состоянии.
Два понятия: разграничение¶
Обеспечение информационной безопасности¶
Обеспечение информационной безопасности - это состояние защищённости информации и информационных систем, при котором обеспечиваются их конфиденциальность, целостность и доступность.
Обеспечение ИБ (Информационная безопасность) - это результат, достигнутое состояние. Оно отвечает на вопрос: «что защищено?»
Конкретные примеры обеспечения ИБ:- данные клиентов зашифрованы и доступны только авторизованным сотрудникам
- критические системы работают 99,9% времени согласно SLA
- все попытки несанкционированного доступа фиксируются в журналах
- программное обеспечение своевременно обновляется, уязвимости устраняются
Состояние обеспечения ИБ можно измерить, оценить, зафиксировать. Именно о нём говорят, когда проводят аудит безопасности или сертификацию по стандартам.
Управление информационной безопасностью¶
Управление информационной безопасностью (Information Security Management, ISM) --- это совокупность процессов, посредством которых организация планирует, реализует, контролирует и совершенствует обеспечение информационной безопасности.
Управление ИБ --- это процесс, деятельность. Оно отвечает на вопрос: «как мы этого достигаем и поддерживаем?»
Конкретные примеры управления ИБ:- оценка рисков --- определение того, что и от чего нужно защищать
- разработка политики информационной безопасности и доведение её до сотрудников
- выбор и внедрение технических и организационных контролей
- регулярный аудит и пересмотр мер защиты
- реагирование на инциденты и извлечение уроков из них
Аналогия: замок и управляющий домом¶
Представьте жилой дом. Обеспечение безопасности --- это надёжный замок на двери, решётки на окнах, сигнализация. Это физические объекты, создающие защищённое состояние.
Управление безопасностью --- это то, кто решает, какой замок нужен на этой конкретной двери; кому выдаются ключи и как они учитываются; что происходит, когда замок ломается или ключ теряется; как реагируют, если кто-то попытался вскрыть дверь.
Можно купить самый дорогой замок в мире --- и оставить ключ под ковриком. Тогда обеспечение безопасности есть, а управления нет. Результат предсказуем.
Именно поэтому большинство крупных инцидентов информационной безопасности происходят не потому, что у организации не было технических средств защиты, а потому, что не было выстроено управление ими.
Структура понятий¶
Цель и средство¶
Обеспечение ИБ --- это цель, управление ИБ --- это средство её достижения. Бизнес-требования к защите информации (законодательные, контрактные, репутационные) задают необходимый уровень обеспечения. Управление ИБ --- это система процессов, которая обеспечивает достижение и поддержание этого уровня.
При этом достигнутый уровень обеспечения постоянно пересматривается: меняется среда угроз, появляются новые требования, изменяется бизнес. Это делает управление ИБ непрерывным итеративным процессом, а не разовым проектом.
Уровни рассмотрения¶
Управление ИБ рассматривается на трёх уровнях:
| Уровень | Фокус | Примеры решений |
|---|---|---|
| Стратегический | Цели ИБ в контексте бизнес-стратегии | Принятие политики ИБ на уровне совета директоров; бюджет на ИБ; допустимый уровень риска |
| Тактический | Программы и проекты по ИБ | Внедрение СУИБ(Система управления информационной безопасностью); выбор стандарта сертификации; план обработки рисков |
| Операционный | Ежедневные процессы и контроли | Мониторинг инцидентов; управление доступом; установка патчей; обучение персонала |
Слабость на любом из уровней разрушает систему в целом. Отличная техническая реализация без стратегической поддержки руководства не получит ни бюджета, ни полномочий. Правильная стратегия без операционной дисциплины остаётся на бумаге.
Место ISM в корпоративном управлении¶
Управление информационной безопасностью --- не изолированная функция. Оно является частью более широкой системы управления организацией.
Корпоративное управление (Corporate Governance) --- система, посредством которой организации направляются и контролируются в интересах акционеров и заинтересованных сторон. Оно устанавливает общие цели, ценности и допустимый уровень риска.
Управление рисками предприятия (Enterprise Risk Management, ERM) --- процесс выявления, оценки и обработки всех рисков организации: финансовых, операционных, репутационных, правовых --- и информационных в том числе.
Управление информационной безопасностью --- специализированная область внутри ERM, отвечающая за риски, связанные с информацией и информационными технологиями.
Это означает, что ISM не может существовать в отрыве от бизнеса. Решения об уровне защиты, о допустимых рисках, о бюджете --- всё это принимается в диалоге с бизнес-руководством, исходя из стратегических целей организации.
Специалист по ИБ, который умеет говорить только о технических угрозах, но не умеет объяснить руководству деловые последствия инцидентов --- не управляет безопасностью, а обслуживает оборудование.
Из чего состоит управление ИБ¶
Управление ИБ реализуется через Систему управления информационной безопасностью (СУИБ, или ISMS --- Information Security Management System) --- совокупность политик, процессов, процедур, документов и ресурсов, обеспечивающих управление ИБ в организации.
Основу СУИБ составляют четыре взаимосвязанных процесса, известных как цикл PDCA:
- Plan (Планировать) --- установить контекст, оценить риски, определить цели и разработать меры управления. На этом этапе отвечают на вопрос: что именно и почему нужно защищать?
- Do (Выполнять) --- реализовать и внедрить выбранные меры управления: технические контроли, политики, обучение персонала.
- Check (Проверять) --- контролировать и измерять эффективность реализованных мер: аудиты, мониторинг инцидентов, метрики.
- Act (Действовать) --- принимать корректирующие и предупреждающие действия, непрерывно улучшать СУИБ на основе результатов проверки.
Цикл PDCA повторяется непрерывно. Угрозы меняются, бизнес развивается, появляются новые технологии --- СУИБ должна адаптироваться вместе с ними.
Именно эта архитектура лежит в основе международного стандарта ISO 27001, который является практическим руководством по построению СУИБ и будет подробно рассмотрен в теме 4 курса.
Ключевые роли в управлении ИБ¶
Управление ИБ требует чёткого распределения ответственности. Типовые роли:
| Роль | Уровень | Ответственность |
|---|---|---|
| Совет директоров / руководство | Стратегический | Утверждение политики ИБ; принятие остаточных рисков; выделение бюджета |
| CISO (директор по ИБ) | Стратегический / тактический | Разработка стратегии ИБ; управление программой ИБ; отчётность перед руководством |
| Владелец информационного актива | Тактический | Классификация и защита информации в своей зоне ответственности |
| ИТ-служба | Операционный | Реализация технических контролей; управление инфраструктурой безопасности |
| Все сотрудники | Операционный | Соблюдение политик ИБ; сообщение об инцидентах |
Важнейший принцип: информационная безопасность --- это ответственность всей организации, а не только ИТ-отдела или службы безопасности. CISO не может в одиночку обеспечить безопасность, если сотрудники открывают фишинговые письма, а руководство не выделяет ресурсы.
Типичные заблуждения¶
«ИБ --- это про технологии». Технологии --- лишь один из инструментов. Большинство серьёзных инцидентов происходит из-за организационных сбоев: неправильных процессов, недостаточного обучения, ошибок персонала.
«Если мы купили дорогие средства защиты, мы в безопасности». Средства защиты без управления ими --- деньги на ветер. Незакрытая уязвимость в системе с многомиллионным NGFW остаётся уязвимостью.
«ИБ --- это разовый проект». Достижение сертификации по ISO 27001 --- не финишная черта. Угрозы меняются каждый день. Управление ИБ --- непрерывный процесс.
«За ИБ отвечает ИТ-отдел». Владельцами информационных активов являются бизнес-подразделения. Именно они определяют, что критично и как долго организация может обойтись без тех или иных данных. ИТ-отдел --- исполнитель, а не единственный владелец ответственности.
«Обеспечение ИБ = управление ИБ». Именно это заблуждение данная тема призвана устранить. Замок --- не то же самое, что управляющий домом.
Список литературы и стандартов¶
- ISO/IEC 27000:2018 --- Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь
- ISO/IEC 27001:2022 --- Требования к системам управления информационной безопасностью
- ГОСТ Р ИСО/МЭК 27000-2021 --- Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
- Руководство ENISA по управлению ИБ --- European Union Agency for Cybersecurity
- Anderson R. --- Security Engineering: A Guide to Building Dependable Distributed Systems. 3rd ed. Wiley, 2020
- Whitman M., Mattord H. --- Management of Information Security. 6th ed. Cengage, 2021
Обновлено С. Антошкин 1 день назад · 18 изменени(я, ий)