Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников
официально выраженное руководством;
– риск – эффект неопределенности в целях;
– угроза – возможная причина нежелательного инцидента, который может нанести ущерб;
– уязвимость – недостаток актива или меры защиты, которое может быть использовано одной или несколькими угрозами.
3. Системы управления ИБ
Раздел «СУИБ» состоит из следующих основных пунктов:
– описание СУИБ;
– внедрение, контроль, сопровождение и улучшение СУИБ;
– преимущества внедрения стандартов семейства СУИБ.
3.1. Введение
Организации всех типов и размеров:
– собирают, обрабатывают, хранят и передают информацию;
– осознают, что информация и связанные процессы, системы, сети и люди являются важными активами для достижения целей организации;
– сталкиваются с целым рядом рисков, которые могут повлиять на функционирование активов;
– устраняют предполагаемый риск посредством внедрения мер и средств ИБ.
Вся информация, хранимая и обрабатываемая организацией, является объектом для угроз атаки, ошибки, природы (например, пожар или наводнение) и т. п. и объектом уязвимостей, свойственных ее использованию.
Обычно понятие ИБ базируется на информации, которая рассматиривается как имеющий ценность актив и требует соответствующей защиты (например, от потери доступности, конфиденциальности и целостности). Возможность получить своевременный доступ уполномоченных лиц к точной и полной информации является катализатором бизнес-эффективности.
Эффективная защита информационных активов путем определения, создания, сопровождения и улучшения ИБ является необходимым условием для достижения организацией своих целей, а также поддержания и улучшения правового соответствия и репутации. Эти координированные действия, направленные на внедрение надлежащих мер защиты и обработку неприемлемых рисков ИБ, общеизвестны как элементы управления ИБ.
По мере изменения рисков ИБ и эффективности мер защиты в зависимости от меняющихся обстоятельств организации следует:
– контролировать и оценивать эффективность внедренных мер и процедур защиты;
– идентифицировать возникающие риски для обработки;
– выбирать, внедрять и улучшать соответствующие меры защиты надлежащим образом.
Для взаимосвязи и координации действий ИБ каждой организации следует сформировать политику и цели ИБ и эффективно достигать этих целей, используя систему управления.
3.2. Описание СУИБ
Описание СУИБ предусматривает следующие составляющие:
– положения и принципы;
– информация;
– информационная безопасность;
– управление;
– система управления;
– процессный подход;
– важность СУИБ.
Положения и принципы
СУИБ состоит из политик, процедур, руководств и соответствующих