Читаем Ценность ваших данных полностью

В соответствии с рекомендациями стандарта, СМИБ включает в себя полный комплекс направлений деятельности по обеспечению информационной безопасности, в том числе организацию деятельности и управление рисками, а также непосредственное применение мер защиты информации. Выбирать те или иные способы защиты информации следует на основе оценки рисков ИБ: размера возможного ущерба от реализации угроз конфиденциальности, целостности и доступности информации. А также исходя из необходимости выполнения нормативных обязательств перед государством, партнерами и другими заинтересованными сторонами.

Таким образом, предлагаемый подход позволяет применять стандарт для реализации СМИБ в организациях любого масштаба и уровня нормативного регулирования.

Важно, что ИСO/МЭК 27001 совместим с другими стандартами систем менеджмента, такими как ИСO 9001, ИСO 14000, ИСO 31000, ИСO/МЭК 38500, ИСO/МЭК 20000, ИСO/МЭК 22301. Это позволяет использовать единый подход и принципы, общую терминологию, реализовать интегрированные процессы по направлениям контроля качества выпускаемой продукции, охраны окружающей среды, стратегического управления и управления ИТ-сервисами, обеспечения непрерывности деятельности организации, и, наконец, информационной безопасности. Что, в свою очередь, дает возможность построить структурированную и прозрачную систему менеджмента организации и повысить общую эффективность соответствующих процессов[499].

15.1.4. Система менеджмента информационной безопасности

Система менеджмента информационной безопасности (СМИБ) включает в себя политику, процедуры, руководящие принципы и связанные с ними ресурсы, мероприятия, коллективно управляемые организацией в целях защиты ее информационных активов.

Эта система обеспечивает системный подход к созданию, внедрению, функционированию, мониторингу, анализу, поддержке и усилению ИБ организации для достижения бизнес-целей. Она основывается на оценке рисков и уровнях принятия рисков организацией, предназначенных для эффективной обработки рисков и управления ими. Анализ требований по защите информационных активов и применение соответствующих мер, обеспечивающих необходимую защиту этих активов, способствуют успешному внедрению СМИБ.

Для успешного внедрения СМИБ организации должны соблюдать следующие основные принципы[500]:

● понимание необходимости использования СМИБ;

● назначение ответственности за обеспечение ИБ;

● обеспечение баланса между обязательствами руководства и потребностями заинтересованных сторон;

● повышение социальной значимости;

● оценивание рисков, чтобы применять необходимые меры обеспечения ИБ для достижения допустимых уровней рисков;

● обеспечение безопасности неотъемлемых элементов информационных сетей и систем;

● активное предупреждение и выявление инцидентов ИБ;

● применение комплексного подхода к менеджменту ИБ;

● регулярную переоценку уровня ИБ и внесение соответствующих изменений.

15.1.5. Разработка и сопровождение СМИБ

Организация должна предпринимать следующие шаги по разработке, мониторингу, поддержке и улучшению своей СМИБ:

1) определение информационных активов и связанных с ними требований ИБ;

1) оценка рисков ИБ и их обработка;

2) выбор и внедрение соответствующих мер обеспечения ИБ в отношении неприемлемых рисков;

3) мониторинг, поддержка и повышение эффективности мер обеспечения информационной безопасности, связанных с информационными активами организации.

Для гарантии эффективной непрерывной зашиты информационных активов организации с помощью СМИБ необходимо постоянно повторять шаги 1–4, чтобы выявлять изменения в рисках, стратегии организации или бизнес-целях[501].

1. Определение информационных активов и связанных с ними требований ИБ

В рамках общей стратегии и бизнес-целей организации, ее размера и географического расположения требования ИБ можно сформулировать на основе анализа следующих факторов:

● идентифицированные информационные активы и их ценность;

● потребности бизнеса в обработке, обмене и хранении информации;

● юридические, нормативные и договорные требования.

Проведение систематической оценки рисков, связанных с информационными активами организации, включает в себя анализ угроз, уязвимостей, анализ потенциального воздействия любого инцидента ИБ и вероятности возникновения угрозы информационным активам, а также анализ потенциального воздействия любого инцидента ИБ на информационные активы. Расходы на соответствующие меры обеспечения ИБ будут пропорциональны предполагаемому влиянию риска на бизнес.

2. Оценка рисков ИБ и их обработка

Менеджмент риска ИБ требует должной оценки риска и метода его обработки. Это в свою очередь предполагает оценку затрат и преимуществ, законных требований, социальных, экономических и экологических аспектов, переменных, проблем заинтересованных сторон, приоритетов и других входных данных.