Как было определено в начале ЭОЕ, управление – это процесс. Такое понимание распространяется и на область ИБ, что уже было выше продемонстрировано на процессе ОИБ. Управление ИБ – тоже процесс, представляющий логически взаимосвязанную между собой и непрерывную во времени последовательность работ, направленную на достижение поставленной специфичной цели ОИБ [6], [23].
Перед тем, как сформулировать определение понятия «управление ИБ» необходимо отметить следующее.

1. В различных нормативных документах (например, национальных стандартах – аналогах международных) и публикациях можно встретить термины «управление ИБ» и «менеджмент ИБ», имеющих в основе одно и то же понятие. Для единообразия в дальнейшем мы будем пользоваться только термином «управление ИБ» как наиболее привычным для российских специалистов.

2. Более правильным представляется использование словосочетания «управление ОИБ», а не просто «управление ИБ», поскольку управлять состоянием защищенности (из непосредственного определения ИБ) можно лишь, осуществляя деятельность по ОИБ, которая реализуется посредством соответствующих процессов по обеспечению такого состояния. Для краткости далее будем использовать общепринятый термин «управление ИБ», подразумевая под ним управление ОИБ.

3. В настоящее время, к сожалению, не существует общепринятого определения управления ИБ. Этот термин чрезвычайно моден и используется многими: производителями и продавцами СЗИ, системными интеграторами, специалистами, представителями средств массовой информации (СМИ) и т.д. Например, первые две категории понимают под этим термином техническую составляющую процесса управления (обнаружение вторжений и вирусов, управление настройками СЗИ и т.д.). Многие пользователи понимают под управлением ИБ только управление программными или аппаратными СЗИ. Все эти взгляды слишком узконаправленны и ограниченны.

4. Управление ИБ организации – это не разовое мероприятие. Его следует рассматривать как непрерывную деятельность по постоянному поддержанию требуемого организацией уровня ИБ, т.к. правильно управляемая ИБ – инструмент успешного ведения бизнеса.

5. Более правильно рассматривать управление ИБ как совокупность целенаправленных действий, осуществляемых для обеспечения нормального функционирования основных процессов и, в конечном счете, достижения бизнес-целей организации посредством обеспечения защищенности ее информационной сферы.

---

Обобщим многие определения, приведенные в различных информационных источниках, и определим
Управление ИБ организации как циклический процесс, состоящий из совокупности целенаправленных действий, осуществляемых для достижения заявленных бизнес-целей организации посредством обеспечения защищенности ее информационной сферы, и включающий осознание необходимости ОИБ, постановку задачи по ОИБ, оценку текущей ситуации и состояния объекта управления, планирование мер по обработке рисков ИБ, реализацию, внедрение и оценку эффективности соответствующих защитных мероприятий и средств управления, распределение ролей и ответственности в области ОИБ, обучение и мотивацию сотрудников, выбор управляющих и корректирующих воздействий и их реализацию.
При этом:

· совокупность целенаправленных действий включает оценку ситуации и состояния объекта управления (например, оценку и управление рисками ИБ), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер и средств) и многое другое;

· информационная сфера представляет собой совокупность информации, информационной инфраструктуры (состоит из банков данных и знаний, систем связи и т.п.), субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений [9].
Такое толкование термина «управление ИБ» определение не только как процесс, но и дает перечень составляющих процесса управления ИБ:

· осознание необходимости ОИБ,

· постановка задачи по ОИБ,

· оценка текущей ситуации и состояния объекта управления,

· планирование мер по обработке рисков ИБ,

· реализация, внедрение и оценка эффективности соответствующих защитных мероприятий и средств управления,

· распределение ролей и ответственности в области ОИБ,

· обучение и мотивацию сотрудников,

· выбор управляющих и корректирующих воздействий и их реализацию.
В целом процесс управления ИБ организации, носящий циклический характер, заключается в следующем:

· описание объектов управления и защищаемых активов организации и сбор данных об их состоянии;

· выявление и формализация возможных угроз ИБ и анализ рисков ИБ;

· оценка защищенности объектов управления (с выявлением уязвимостей) и ее сравнение с требованиями по ОИБ организации, сформулированными в ПолИБ;

· формирование управляющих воздействий;

---

· оценка результирующей деятельности по управлению ИБ.
Основным предметом управления ИБ в организации являются следующие области деятельности:

· планирование работ по ОИБ, включая разработку и продвижение соответствующей документации;

· поддержка и участие в эксплуатации защитных мер;

· осуществление контроля за ОИБ и уровнем ИБ;

· совершенствование работ по ОИБ на основе собственного опыта и лучших практик.
Таким образом, управление ИБ в организации включает в себя две важнейшие составляющие:

· собственно сам процесс управления ИБ;

· СУИБ организации, которая детально рассмотрена далее.

---

4.4. Цель и задачи управления ИБ организации
Цель управления ИБ в организации заключается в гарантировании того, что соответствующие мероприятия по ОИБ осуществляются таким образом, что в текущий момент надлежащим образом:

1) снижены риски ИБ;

2) осуществляются инвестиции в ОИБ;

3) руководство ознакомлено со всеми осуществляемыми мероприятиями;

4) верно сформулированы критерии оценки эффективности ОИБ.
Развивая идеи, изложенные в [96], основные задачи управления применительно к ИБ можно сформулировать таким образом.
Целеполагание (определение требуемого состояния или поведения) – ОНБ и соответствующего уровня ИБ организации на основе риск-ориентированного подхода (подразумевает отсутствие недопустимого риска ИБ) и выполнения требований законодательных и нормативных документов по ОИБ.
Стабилизация (удержание в существующем состоянии в условиях возмущающих воздействий) – выбор и реализация таких управляющих воздействий по ОИБ (планирование, внедрение и обслуживание защитных мер), которые позволят сохранить требуемый организации уровень ИБ в течение длительного времени.
Выполнение программы (перевод в требуемое состояние в условиях, когда значения управляемых величин изменяются по известным законам) – соблюдение планов обработки инцидентов ИБ и рисков ИБ, проведения аудитов ИБ, корректирующих действий в отношении деятельности по ОИБ в соответствии с результатами аудитов ИБ и анализа данной деятельности со стороны руководства организации, ОНБ и многое другое, что запланировано и входит в разнообразную деятельность по ОИБ.
Слежение (удержание требуемого состояния или поведения в условиях, когда законы изменения управляемых величин неизвестны или изменяются) – оценка по установленным критериям уровня ИБ в условиях изменения угроз ИБ, появления новых атак и обнаружения новых уязвимостей (например, руководство и управление рисками нарушения ИБ; контроль за соблюдением ПолИБ, самооценка и внутренний аудит ИБ, анализ работы СОВ и САЗ и т.п.) и поддержание требуемого уровня ИБ за счет реализации постоянных корректирующих воздействий (например, оперативного изменения настроек СЗИ).
Оптимизация (удержание или перевод в состояние с экстремальными значениями характеристик при заданных условиях и ограничениях) – достижение экономической целесообразности в выборе защитных мер и поддержания всех процессов ОИБ.

---

4.5. Уровни и функциональная структура управления ИБ организации

Уровни управления ИБ представлены рисунке [97].
Самый верхний уровень – административный, на котором принимаются стратегические решения.
Ниже располагаются уровни тактического и оперативного управления ИБ.
Каждому уровню соответствует набор решаемых задач для достижения определенной цели (назначение уровня).



Особенность уровней управления ИБ поясняет рисунок.
Для оперативного управления ИБ на уровне тактического управления создается Центр управления ИБ.
Основными задачами данного уровня является формирование и контроль ПолИБ.
Нижний уровень реализует выполнение ПолИБ (на рисунке АС – автоматизированная система) [97].
Анализ состояния ИБ проводится на основе сопоставления определенной ПолИБ данным мониторинга и аудита ИБ уровня оперативного управления.
Создание Центра управления ИБ позволяет облегчить проведение анализа и


4.6. Управление ИБ информационно-телекоммуникационных технологий организации

Процесс управления ИБ ИТТ интегрируется в общий процесс управления ИТТ. Он основывается на изложенных в ГОСТ Р ИСО/МЭК 13335–1 принципах [10], [11] и может быть реализован в масштабе как всей организации, так и в конкретной ее части.
Исходя из этого, ГОСТ Р ИСО/МЭК ТО 13335-3 определяет этапы управления ИБ ИТТ следующим образом [30], [98]:

· анализ требований по ОИБ ИТТ;

· разработка плана выполнения этих требований;

· реализация положений выработанного плана;

· управление и административный контроль над процессом управления ИБ ИТТ.




Процесс управления ИБ ИТТ начинается с определения целей и стратегии, которые в целях ОИБ и разработки ПолИБ ИТТ устанавливает организация.
ПолИБ ИТТ – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее ИТТ управлять, защищать и распределять активы, в том числе критичную информацию.
ПолИБ ИТТ имеет подчиненное по отношению к ПолИБ организации положение. При ее создании также учитывается общая политика организации в сфере использования ИТТ в ее бизнесе.

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx