Управление информационной безопасностью

Контролирует требования организации для ИТ-безопасности.

Управление информационной безопасностью ( ISM ) определяет и управляет средствами контроля, которые организация должна внедрить, чтобы обеспечить разумную защиту конфиденциальности , доступности и целостности активов от угроз и уязвимостей . Ядро ISM включает в себя управление информационными рисками — процесс, который включает в себя оценку рисков, с которыми организация должна иметь дело при управлении и защите активов, а также распространение рисков среди всех соответствующих заинтересованных сторон . ^[1] Для этого необходимы надлежащие шаги по идентификации и оценке активов, включая оценку ценности конфиденциальности , целостности , доступности и замены активов. ^[2] В рамках управления информационной безопасностью организация может внедрить систему управления информационной безопасностью и другие передовые методы, указанные в стандартах ISO/IEC 27001 , ISO/IEC 27002 и ISO/IEC 27035 по информационной безопасности . ^{[3] [4]}

Управление рисками и их смягчение

Управление информационной безопасностью, по сути, означает управление и смягчение различных угроз и уязвимостей активов, в то же время балансируя управленческие усилия, затрачиваемые на потенциальные угрозы и уязвимости, путем оценки вероятности их фактического возникновения. ^{[1] [5] [6]} Например , падение метеорита в серверную комнату , безусловно, представляет собой угрозу, но офицер информационной безопасности, скорее всего, не приложит особых усилий для подготовки к такой угрозе. Точно так же, как людям не обязательно начинать готовиться к концу света только из-за существования глобального банка семян . ^[7]

После соответствующей идентификации и оценки активов ^[2] управление рисками и снижение рисков для этих активов включает анализ следующих вопросов: ^{[5] [6] [8]}

• Угрозы: нежелательные события, которые могут привести к преднамеренной или случайной потере, повреждению или неправильному использованию информационных активов.
• Уязвимости: насколько восприимчивы информационные активы и связанные с ними элементы управления к использованию одной или несколькими угрозами.
• Влияние и вероятность: Величина потенциального ущерба информационным активам от угроз и уязвимостей, а также насколько серьезный риск они представляют для активов; анализ затрат и выгод также может быть частью оценки воздействия или отдельным от нее.
• Смягчение : предлагаемый метод(ы) для минимизации воздействия и вероятности потенциальных угроз и уязвимостей.

После того как угроза и/или уязвимость идентифицированы и оценены как имеющие достаточное влияние/вероятность на информационные активы, можно принять план смягчения последствий. Выбор метода смягчения во многом зависит от того, в каком из семи доменов информационных технологий (ИТ) находится угроза и/или уязвимость. Угроза апатии пользователей к политикам безопасности (домен пользователя) потребует совершенно другого плана смягчения, чем тот, который используется для ограничения угрозы несанкционированного зондирования и сканирования сети (домен LAN-WAN). ^[8]

Система управления информационной безопасностью

Система управления информационной безопасностью (СУИБ) представляет собой совокупность всех взаимосвязанных/взаимодействующих элементов информационной безопасности организации, чтобы гарантировать, что политики, процедуры и цели могут быть созданы, реализованы, переданы и оценены, чтобы лучше гарантировать общую информацию организации. безопасность. На эту систему обычно влияют потребности, цели, требования безопасности, размер и процессы организации. ^[9] СУИБ включает в себя и обеспечивает стратегии управления рисками и их смягчения. Кроме того, принятие организацией СМИБ указывает на то, что она систематически выявляет, оценивает и управляет рисками информационной безопасности и «будет способна успешно выполнять требования конфиденциальности, целостности и доступности информации». ^[10] Однако необходимо также учитывать человеческий фактор, связанный с разработкой, внедрением и практикой СМИБ (область пользователя ^[8] ), чтобы наилучшим образом обеспечить окончательный успех СМИБ. ^[11]

Компоненты стратегии внедрения и обучения

Внедрение эффективного управления информационной безопасностью (включая управление рисками и их смягчение) требует стратегии управления, которая учитывает следующее: ^[12]

• Руководство высшего звена должно решительно поддерживать инициативы по информационной безопасности, предоставляя сотрудникам информационной безопасности возможность «получить ресурсы, необходимые для создания полнофункциональной и эффективной образовательной программы» и, как следствие, системы управления информационной безопасностью.
• Стратегия и обучение информационной безопасности должны быть интегрированы в стратегии департамента и доведены до них, чтобы обеспечить положительное влияние плана информационной безопасности организации на весь персонал.
• Обучение конфиденциальности и повышение осведомленности « оценка рисков » могут помочь организации выявить критические пробелы в знаниях заинтересованных сторон и их отношении к безопасности.
• Надлежащие методы оценки для «измерения общей эффективности программы обучения и повышения осведомленности» гарантируют, что политика, процедуры и учебные материалы остаются актуальными.
• Политики и процедуры, которые надлежащим образом разработаны, внедрены, доведены до сведения и внедрены, «смягчают риск и обеспечивают не только снижение риска, но и постоянное соблюдение применимых законов, правил, стандартов и политик».
• Основные этапы и сроки реализации всех аспектов управления информационной безопасностью помогают обеспечить успех в будущем.

Без достаточных бюджетных соображений для всего вышеперечисленного — в дополнение к деньгам, выделяемым на стандартные нормативные вопросы, вопросы ИТ, конфиденциальности и безопасности — план/система управления информационной безопасностью не может быть полностью успешным.

Соответствующие стандарты

Стандарты, доступные для помощи организациям во внедрении соответствующих программ и средств контроля для снижения угроз и уязвимостей, включают семейство стандартов ISO/IEC 27000 , структуру ITIL , структуру COBIT и O-ISM3 2.0 . Семейство ISO/IEC 27000 представляет собой одни из наиболее известных стандартов, регулирующих управление информационной безопасностью, а их СМИБ основаны на мнении мировых экспертов. Они излагают требования к лучшему «созданию, внедрению, развертыванию, мониторингу, проверке, обслуживанию, обновлению и совершенствованию систем управления информационной безопасностью». ^{[3] [4]} ITIL действует как совокупность концепций, политик и лучших практик для эффективного управления инфраструктурой, услугами и безопасностью информационных технологий, отличаясь от ISO/IEC 27001 лишь в нескольких аспектах. ^{[13] [14]} COBIT, разработанный ISACA , представляет собой основу, помогающую персоналу информационной безопасности разрабатывать и реализовывать стратегии управления информацией и руководства при минимизации негативных воздействий и контроле информационной безопасности и управлении рисками, ^{[4] [13] [15]} O-ISM3 2.0 — это технологически нейтральная модель информационной безопасности для предприятий компании Open Group . ^[16]

Смотрите также

• Сертифицированный специалист по безопасности информационных систем
• Главный специалист по информационной безопасности
• Управление информацией безопасности

Рекомендации

1. Кэмпбелл, Т. (2016). «Глава 1: Эволюция профессии». Практическое управление информационной безопасностью: полное руководство по планированию и реализации. Пресс. стр. 1–14. ISBN 9781484216859.
2. Типтон, HF; Краузе, М. (2003). Справочник по управлению информационной безопасностью (5-е изд.). ЦРК Пресс. стр. 810–11. ISBN 9780203325438.
3. Хамфрис, Э. (2016). «Глава 2: Семейство СМИБ ISO / IEC 27001». Внедрение стандарта СМИБ ISO/IEC 27001:2013. Артех Хаус. стр. 11–26. ISBN 9781608079315.
4. Кэмпбелл, Т. (2016). «Глава 6: Стандарты, рамки, рекомендации и законодательство». Практическое управление информационной безопасностью: полное руководство по планированию и реализации. Пресс. стр. 71–94. ISBN 9781484216859.
5. Уоттс, С. (21 июня 2017 г.). «Уязвимость ИТ-безопасности, угроза и риск: в чем разница?». Блоги BMC . БМК Программное обеспечение, Inc. Проверено 16 июня 2018 г.
6. Кэмпбелл, Т. (2016). «Глава 4: Организационная безопасность». Практическое управление информационной безопасностью: полное руководство по планированию и реализации. Пресс. стр. 43–61. ISBN 9781484216859.
7. Лундгрен, Бьорн; Мёллер, Никлас (2019). «Определение информационной безопасности». Наука и инженерная этика . 25 (2): 419–441. дои : 10.1007/s11948-017-9992-1. ISSN  1353-3452. ПМК 6450831 . ПМИД  29143269. 
8. Ким, Д.; Соломон, М.Г. (2016). «Глава 1: Безопасность информационных систем». Основы безопасности информационных систем. Джонс и Бартлетт Обучение. стр. 2–46. ISBN 9781284128239.
9. Терроза, АКС (12 мая 2015 г.). «Обзор системы управления информационной безопасностью (СУИБ)» (PDF) . Институт внутренних аудиторов. Архивировано из оригинала (PDF) 7 августа 2016 года . Проверено 16 июня 2018 г.
10. «Потребность: потребность в СМИБ» . Управление угрозами и рисками . Агентство Европейского Союза по сетевой и информационной безопасности . Проверено 16 июня 2018 г.
11. Алави, Р.; Ислам, С.; Муратидис, Х. (2014). «Концептуальная основа анализа человеческого фактора системы управления информационной безопасностью (СУИБ) в организациях». Материалы Второй международной конференции по человеческим аспектам информационной безопасности, конфиденциальности и доверия . 8533 : 297–305. дои : 10.1007/978-3-319-07620-1_26 .
12. Типтон, ХФ; Краузе, М. (2010). Справочник по управлению информационной безопасностью. Том. 3 (6-е изд.). ЦРК Пресс. стр. 100–02. ISBN 9781420090956.
13. Ким, Д.; Соломон, М.Г. (2016). Основы безопасности информационных систем. Джонс и Бартлетт Обучение. п. 225. ИСБН 9781284128239.
14. Лил, Р. (7 марта 2016 г.). «ISO 27001 против ITIL: сходства и различия». Блог по ISO 27001 и ISO 22301 . ООО «Адвисера Экспертные решения» . Проверено 16 июня 2018 г.
15. Уайт, СК (22 декабря 2017 г.). «Что такое COBIT? Основа согласования и управления». ИТ-директор . ИДГ Коммуникейшнс, Инк . Проверено 16 июня 2018 г.
16. «Открытая модель зрелости управления информационной безопасностью (O-ISM3), версия 2.0» . Открытая группа. 21 сентября 2017 года . Проверено 16 июня 2018 г.

Внешние ссылки

• ИСАКА
• Открытая группа