Важным этапом процесса является оценка рисков ИБ и методов их снижения до приемлемого уровня. При этом необходимо руководствоваться направленностью бизнеса организации, ее организационной структурой, условиями эксплуатации систем, использующих ИТТ (далее для краткости систем ИТТ), а также специфическими вопросами и видами рисков ИБ, присущими каждой системе ИТТ, требующей ОИБ.
После оценки рисков ИБ для каждой системы ИТТ определяют соответствующие защитные меры, снижающие уровень рисков до приемлемого. Под защитными мерами здесь традиционно понимаются действия, процедуры и механизмы, способные обеспечить ИБ при возникновении угрозы ИБ, уменьшить уязвимость, ограничить воздействие инцидента ИБ, обнаружить инциденты и облегчить восстановление защищаемых систем ИТТ. Эти меры реализуются в соответствии с планом ОИБ ИТТ.
Данный этап сопровождается выполнением программ информирования и обучения использованию защитных мер, что является важным показателем эффективности принятых защитных мер.



4.7. Система управления ИБ организации

Процесс управления ИБ организации реализует СУИБ, включающая в себя помимо самого управляемого (защищаемого) объекта средства управления его состоянием, механизм сравнения текущего состояния с требуемым и средства формирования управляющих воздействий для локализации и предотвращения ущерба вследствие реализации угроз ИБ.
Критерием управления в данном случае целесообразно считать минимум ущерба для активов организации при минимальных затратах на обеспечение их ИБ, а целью управления – обеспечение требуемого состояния активов (управляемого объекта) в смысле защищенности.
Определим СУИБ (англ. information security management system) как часть общей системы управления организации, основанную на риск-ориентированном подходе (на оценке бизнес-рисков), предназначенную для разработки, внедрения, эксплуатации, постоянного контроля, анализа, поддержания и улучшения ИБ, и включающую организационную структуру, политику, планирование действий, обязанности, установившийся порядок, процедуры, процессы и ресурсы в области ИБ [6], [23].

Систематизируя представленные в различных источниках отрывочные сведения об отдельных элементах СУИБ, подчеркнем, что для выполнения перечисленных выше функций СУИБ конкретной организации должна включать в себя следующие важнейшие компоненты:

---

1) организационную структуру с поддерживающими ее подсистемами автоматизации функционирования СУИБ (документооборотом, обработкой, хранением и передачей данных и т.п.), организации управления и собственной защиты;

2) модель функционирования СУИБ (например, процессно-ролевая);

3) методики и методы управления ИБ (методика управления ИБ – общий свод правил, алгоритм, приемы управления ИБ; метод управления ИБ – путь практического осуществления деятельности по управлению ИБ, способ достижения определенной цели в рамках ОИБ);

4) документальное обеспечение функционирования СУИБ – Политика СУИБ, планы СУИБ, процедуры, регламенты и т.д.;

5) деятельность по планированию, реализации, проверке и совершенствованию СУИБ с соответствующими средствами выполнения конкретной деятельности;

6) ответственность всех участвующих в процессе управления ИБ, и тех, кто попадает в область действия СУИБ;

7) процессы управления ИБ, выполняемые на основе СУИБ;

8) средства управления ИБ;

9) необходимые ресурсы.
Средства управления ИБ организации, используемые в рамках СУИБ, выбираются на основе результата оценки рисков ИБ как части более общего процесса управления рисками ИБ и снижают риск до приемлемого уровня, при этом принимая во внимание и другие бизнес-риски организации.
Обязательно должны быть определены, документированы, реализованы и поддерживаемы в рабочем состоянии технические средства управления ИБ.
Со временем действие различных внутренних и внешних обстоятельств (например, изменение систем обработки информации, реконфигурирование функций защиты, изменения окружающей среды, появление новых атак) может негативно сказаться на эффективности используемых в организации средств управления ИБ и, в конечном счете, потребовать пересмотра стандартов ИБ организации. Поэтому так важно адекватно изменять средства управления ИБ, что делается на основе постоянного анализа и технической проверки (осуществляемой вручную или с использованием инструментальных средств) правильности их реализации и функционирования.

Как показывает накопленный в данной области мировой и отечественный опыт, эксплуатация СУИБ дает организации ряд бесспорных выгод от ее использования:

· обеспечение соответствия уровня ИБ законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса;

· доказательство стремления высшего руководства к ОИБ в необходимом объеме для всей организации в соответствии с установленными требованиями;

---

· повышение доверия партнеров, клиентов, заказчиков за счет демонстрации высокого уровня ОИБ всем заинтересованным сторонам;

· управляемое ОИБ и контролируемое управление ИБ (особенно в критичных ситуациях);

· систематизация процессов ОИБ;

· расстановка приоритетов в области ИБ;

· достижение «прозрачности» в ОИБ;

· обеспечение понятности защищаемых активов для руководства;

· выявление угроз ИБ для бизнес-процессов;

· достижение адекватности ОИБ существующим рискам;

· предупреждение возникновения инцидентов ИБ и снижение ущерба в случае их возникновения;

· повышение культуры ИБ в организации;

· интеграция защитных мер в бизнес-процессы;

· оптимизация (за счет формализации всех процессов ОИБ) и обоснование расходов на ИБ;

· снижение финансовых рисков и рисков прямых потерь;

· снижение операционных рисков за счет повышения экономической эффективности ОИБ;

· снижение рисков для инвесторов за счет повышения прозрачности процессов внутри организации;

· экономия времени, ресурсов и затрат на начальной стадии сбора информации при проведении любых аудитов ИБ;

· создание информации, порождаемой в процессе использования СУИБ, для всех заинтересованных сторон и т.д.

Поскольку внедрение СУИБ требует значительных ресурсов, все организации должны четко осознавать преимущества ее использования.
Различные организации имеют разные бизнес-стимулы для этого, включая нормативную и правовую базу, статус (крупный или малый бизнес, общественная или правительственная организация), географическое расположение, сферу деятельности (вид бизнеса) и предоставляемые ею услуги (или производимую продукцию) и т.п.
Область действия СУИБ (1)
Стандарты по управлению ИБ, в частности ГОСТ Р ИСО/МЭК 27001, оперируют понятием области действия СУИБ. Это область и границы применения СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий [6], [23].
Область действия СУИБ должна соответствовать как возможностям организации, так и ее ответственности за ОИБ в соответствии с требованиями, определенными в применимых к данной организации законодательных, нормативных и иных документах и соотнесенными с проведенной для нее оценкой рисков ИБ.
Установление области действия СУИБ полностью зависит от организации. Необходимо, чтобы она была правильно определена, была полной и реально применимой, учитывала все зависимости, например, требования по ОИБ, которые должны быть

---

выполнены при функционировании данной СУИБ, и интерфейсы с другими частями организации, находящимися вне области действия, а также другими системами, организациями, сторонними поставщиками. В этом случае другие части организации, которые необходимы СУИБ для повседневного функционирования (например, кадровые ресурсы, финансы, продажи и маркетинг или коммунальные службы), являются интерфейсами и зависимостями, в дополнение к любым другим существующим интерфейсам и зависимостям.
Как видно из определения, в область действия СУИБ организации включаются:
· бизнес-процессы;

· технологии;

· активы (кадры, финансовые (денежные) средства, средства вычислительной техники, телекоммуникационные средства, различные виды информации, процессы, продукты и услуги, предоставляемые всем заинтересованным сторонам – клиентам, партнерам и т.д.);

· расположение (ограниченная и определяемая независимо часть организации, то есть перечисление конкретных офисов, входящих в область действия, или вся организация в целом);

· обоснование выбора данной области действия.
Область действия СУИБ (2)
При выборе области действия СУИБ, в которой силами специально созданной рабочей группы будут внедряться процессы СУИБ, учитываются следующие факторы:

· деятельность и услуги (продукция), предоставляемые организацией своим партнерам и клиентам;

· целевая информация, ИБ которой должна быть обеспечена;

· бизнес-процессы, обеспечивающие обработку целевой информации;

· подразделения и сотрудники организации, задействованные в данных бизнес-процессах;

· программно-аппаратные и технические средства, обеспечивающие функционирование данных бизнес-процессов;

· территориальные площадки организации, в рамках которых происходят сбор, обработка и передача целевой информации.
В стандарте ISO/IEC 27003:2010 приведены примеры возможных целей управления ИБ, которые могут быть использованы в качестве входных данных для определения первоначальной области действия СУИБ [25]:

· содействие ОНБ и восстановлению после сбоев;

---

· повышение устойчивости к инцидентам ИБ;

· соответствие правовым требованиям и договорным обязательствам;

· создание условий для сертификации по стандартам ISO/IEC;

· создание благоприятных условий для эволюции организации и укрепления ее позиции;

· сокращение расходов на средства управления ИБ;

· защита активов, имеющих стратегическое значение;

· создание жизнеспособной и эффективной системы внутреннего контроля;

· обеспечение гарантий для заинтересованных сторон того, что информационные ресурсы защищены надлежащим образом.

Область действия СУИБ (3)
Хорошей практикой при определении области действия будущей СУИБ является выбор одного из ключевых бизнес-процессов организации. Это объясняется тем, что в рамках наиболее критичных бизнес-процессов можно наиболее полно ощутить преимущества построения СУИБ, так как основной из целей ее создания является обеспечение адекватных и соразмерных средств управления ИБ, которые защищают активы и обеспечивают конфиденциальность для всех заинтересованных сторон, включая владельцев бизнеса. Также появляется возможность постоянного мониторинга ОИБ в рамках выбранной области действия СУИБ, что позволяет своевременно принимать оперативные решения, затрагивающие все аспекты ОИБ, и повысить доверие к организации в целом.
Довольно часто в качестве области действия СУИБ выбирается процесс поддержки работоспособности какой-либо автоматизированной системы (АС). Обобщая имеющиеся лучшие практики разработки эффективных СУИБ, важно понимать, что для области действия СУИБ ключевыми (базовыми) понятиями являются процессы, а не АС (это одно из важнейших отличий существующих стандартов по СУИБ от требований по ОИБ АС, например, руководящих документов ФСТЭК). Тогда для построения СУИБ необходимо идентифицировать процессы, которые войдут в область действия СУИБ и в которых участвует АС.
В случае если существует необходимость охватить СУИБ более одного подразделения организации, то ее администрирование, управление и аудит все равно осуществляется централизованным образом – СУИБ подвергается анализу со стороны высшего руководства организации.
Особое внимание следует уделить тому, чтобы соответствующим образом определить интерфейсы и зависимости, учесть их при оценке рисков ИБ, а результаты этой оценки надлежащим образом отразить в системе реализуемых процессов управления ИБ. Но можно поступить иначе и для каждого подразделения построить разные СУИБ, которые будут управляться локально.

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx