В. Андрианов - Обеспечение информационной безопасности бизнеса
- Название:Обеспечение информационной безопасности бизнеса
- Автор:
- Жанр:
- Издательство:ООО «Центр исследований платежных систем и расчетов», «Альпина»
- Год:2011
- Город:Москва
- ISBN:978-5-9614-1364-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
В. Андрианов - Обеспечение информационной безопасности бизнеса краткое содержание
Данную книгу можно назвать практической энциклопедией. В ней дан максимальный охват проблематики обеспечения информационной безопасности, начиная с современных подходов, обзора нормативного обеспечения в мире и в России и заканчивая рассмотрением конкретных направлений обеспечения информационной безопасности (обеспечение ИБ периметра, противодействие атакам, мониторинг ИБ, виртуальные частные сети и многие другие), конкретных аппаратно-программных решений в данной области. Книга будет полезна бизнес-руководителям компаний и тем, в чью компетенцию входит решение технических вопросов обеспечения информационной безопасности.
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу lib@alpinabook.ru.
Обеспечение информационной безопасности бизнеса - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
— Документы, определяющие порядок действий конкретного должностного лица в рамках реализации своей роли в конкретном процессе. Это уже документы исполнителей ролей в рамках процессов деятельности. К ним относятся различного рода инструкции, маршрутные карты и т. п. Кроме порядка действий исполнителя определенной роли в таком документе могут быть определены и требования, которые данное должностное лицо должно выполнять в процессе своей деятельности.
К документам четвертого уровня, относятся свидетельства выполненной деятельности по обеспечению ИБ. Данные документы отражают результаты (промежуточные и окончательные) реализации процессов деятельности. Обычно к ним относятся различные журналы (бумажные и электронные), отчеты, протоколы и т. д. Данные документы необходимы в основном для осуществления контрольной деятельности, а также для обеспечения условий для восстановления хода работ в рамках расследования и иных случаях. С точки зрения контрольных органов отсутствие подобных свидетельств, даже при наличии регламентирующих деятельность документов, может означать, что регламентированная деятельность либо реализуется произвольным образом, в том числе и с нарушениями, либо не реализуется вовсе.
Не редки случаи, когда в организациях придается слабое значение вопросам обеспечения ИБ, включая нормативное обеспечение данного направления деятельности. В таких ситуациях отсутствие документов «верхнего» уровня, определяющих цели и задачи обеспечения ИБ организации, как показано на рис. 2, означает, что руководство организации не ощущает потребности в ИБ и не будет потребителем результатов этой деятельности. В таких условиях работа службы обеспечения информационной безопасности организации не востребована и не ясна для руководства организации и подразделений бизнеса. В результате руководство организации воспринимает риски ИБ как риски бизнеса и реагирует на них не методами улучшения качества и стабилизации информационных процессов, а через экономические, финансовые, юридические, организационные, контрольные и иные механизмы. В отдельных случаях это может эффективным (перенос рисков на клиентов/контрагентов и т. п.), но чаще подобные меры более сложны, чем меры реагирования ИБ на риски в информационной сфере.
Отсутствие же документов «нижнего» уровня, как показано на рис. 3, означает, что не регламентированы процессы операционной деятельности по обеспечению ИБ организации. Но это может и не означать, что необходимая деятельность не реализуется. Деятельность может осуществляться, только она может иметь существенную вариативность и непредсказуемость по результатам, быть затруднительной для контроля и анализа. Такая ситуация наиболее типична для небольших и малых организаций. В этом случае руководство организации опирается на опыт и знания специалистов высокой квалификации. Таким образом, процессы могут быть организованы должным образом и будут на нижнем уровне успешно реализовываться, документироваться, но отсутствие заранее определенного интерфейса приведет к тому, что отчетные данные процессов обеспечения ИБ на верхнем уровне не смогут быть эффективно использованы. Подобная ситуация также чревата тем, что с уходом специалистов (смена работы, длительные командировки и т. п.) идет потеря операционной технологии (утрата «носителя» знаний). В отдельных случаях такие потери могут быть крайне чувствительными.
Анализ международной и российской практики, отраженной в международных и национальных стандартах, позволяет сформулировать следующий примерный перечень областей ИБ, которые могут быть охвачены положениями внутренних документов обеспечения ИБ организации:
— назначение и распределения ролей ИБ;
— обеспечение доверия к персоналу;
— менеджмент рисков ИБ;
— менеджмент инцидентов ИБ;
— обеспечения ИБ на стадиях жизненного цикла автоматизированных систем;
— управление доступом;
— защита от вредоносных программ;
— обеспечение ИБ при использования ресурсов электронной почты и сети Интернет;
— криптографическая защита информации;
— обеспечение «чистых столов» и «чистых экранов»;
— самооценка состояния ИБ;
— аудит ИБ.
В конкретной организации состав областей ИБ и перечень технологий обеспечения ИБ, в отношении которых формируется система документов, может отличаться от приведенного выше перечня.
Необходимо отметить, что не для каждой области ИБ может оказаться возможным построение полной (идеальной) пирамиды нормативных документов. В качестве примера можно привести правило (политику) так называемых «чистых столов». Обычно подобные правила отражают в частной политике или в инструкциях персонала. Таким образом, разработка документов по обеспечению ИБ требует взвешенного подхода и во многом зависит от сложившихся в организации принципов управления и контроля.
Далее на примере деятельности по менеджменту инцидентов ИБ (рис. 4) рассмотрим примерную (возможную) структуру нормативно-методического обеспечения для этого вида деятельности.
В данном примере мы исходим из предположения того, что руководством организации в основополагающем документе «Политика информационной безопасности организации» определены и утверждены высокоуровневые цели, содержание и основные направления деятельности по менеджменту инцидентов ИБ. В этом случае «частная» политика менеджмента инцидентов ИБ определяет требования к процессам: мониторинга инцидентов ИБ; сбора информации об инцидентах ИБ; анализа и обработки инцидентов ИБ.
В примерной структуре не показаны документы, составляющие свидетельства выполненной деятельности, так как их состав напрямую зависит от реализуемых технологий и состава используемых продуктов и систем обеспечения ИБ.
При разработке внутренних нормативных документов в области обеспечения ИБ необходимо обеспечить, чтобы разрабатываемые документы:
— носили не рекомендательный, а обязательный характер;
— были выполнимыми и контролируемыми, не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;
— были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;
Читать дальшеИнтервал:
Закладка:
