Управление информационной безопасностью

Средства управления, необходимые организации для обеспечения ИТ-безопасности

Управление информационной безопасностью ( ISM ) определяет и управляет элементами управления, которые организация должна внедрить, чтобы гарантировать, что она разумно защищает конфиденциальность , доступность и целостность активов от угроз и уязвимостей . Ядро ISM включает управление информационными рисками , процесс, который включает оценку рисков, с которыми организация должна иметь дело при управлении и защите активов, а также распространение рисков среди всех соответствующих заинтересованных сторон . ^[1] Это требует надлежащих шагов идентификации и оценки активов, включая оценку ценности конфиденциальности , целостности , доступности и замены активов. ^[2] В рамках управления информационной безопасностью организация может внедрить систему управления информационной безопасностью и другие передовые практики, изложенные в стандартах ISO/IEC 27001 , ISO/IEC 27002 и ISO/IEC 27035 по информационной безопасности . ^{[3] [4]}

Управление рисками и их снижение

Управление информационной безопасностью по сути означает управление и смягчение различных угроз и уязвимостей активов, в то же время балансируя усилия по управлению, затрачиваемые на потенциальные угрозы и уязвимости, путем оценки вероятности их фактического возникновения. ^{[1] [5] [6]} Например, падение метеорита в серверную комнату, безусловно, является угрозой, но сотрудник по информационной безопасности, скорее всего, приложит мало усилий для подготовки к такой угрозе. Так же, как людям не нужно начинать готовиться к концу света только из-за существования глобального банка семян . ^[7]

После того, как была проведена соответствующая идентификация и оценка активов, ^[2] управление рисками и снижение рисков для этих активов включает анализ следующих вопросов: ^{[5] [6] [8]}

• Угрозы: Нежелательные события, которые могут привести к преднамеренной или случайной потере, повреждению или нецелевому использованию информационных активов.
• Уязвимости: насколько уязвимы информационные активы и связанные с ними элементы управления к использованию одной или несколькими угрозами.
• Влияние и вероятность: масштаб потенциального ущерба информационным активам от угроз и уязвимостей и насколько серьезен риск, который они представляют для активов; анализ затрат и выгод может также быть частью оценки влияния или проводиться отдельно от нее.
• Смягчение : предлагаемый(е) метод(ы) минимизации воздействия и вероятности потенциальных угроз и уязвимостей.

После того, как угроза и/или уязвимость были идентифицированы и оценены как имеющие достаточное воздействие/вероятность на информационные активы, может быть принят план смягчения. Выбор метода смягчения во многом зависит от того, в каком из семи доменов информационных технологий (ИТ) находится угроза и/или уязвимость. Угроза апатии пользователя к политикам безопасности (домен пользователя) потребует совершенно иного плана смягчения, чем тот, который используется для ограничения угрозы несанкционированного зондирования и сканирования сети (домен LAN-to-WAN). ^[8]

Система управления информационной безопасностью

Система управления информационной безопасностью (СУИБ) представляет собой совокупность всех взаимосвязанных/взаимодействующих элементов информационной безопасности организации, чтобы гарантировать, что политики, процедуры и цели могут быть созданы, внедрены, сообщены и оценены для лучшей гарантии общей информационной безопасности организации. Эта система, как правило, зависит от потребностей, целей, требований безопасности, размера и процессов организации. ^[9] СУИБ включает и предоставляет стратегии управления рисками и смягчения. Кроме того, принятие организацией СУИБ указывает на то, что она систематически выявляет, оценивает и управляет рисками информационной безопасности и «будет способна успешно решать вопросы конфиденциальности, целостности и доступности информации». ^[10] Однако человеческие факторы, связанные с разработкой, внедрением и практикой СУИБ (домен пользователя ^[8] ), также должны быть рассмотрены для наилучшего обеспечения окончательного успеха СУИБ. ^[11]

Компоненты стратегии внедрения и обучения

Внедрение эффективного управления информационной безопасностью (включая управление рисками и их смягчение) требует стратегии управления, которая учитывает следующее: ^[12]

• Высшее руководство должно активно поддерживать инициативы в области информационной безопасности, предоставляя сотрудникам по информационной безопасности возможность «получить ресурсы, необходимые для создания полностью функциональной и эффективной образовательной программы» и, как следствие, системы управления информационной безопасностью.
• Стратегия и обучение в области информационной безопасности должны быть интегрированы в стратегии подразделений и доведены до сведения персонала с целью обеспечения того, чтобы план информационной безопасности организации оказывал положительное влияние на весь персонал.
• Обучение конфиденциальности и повышение осведомленности о рисках могут помочь организации выявить критические пробелы в знаниях заинтересованных сторон и их отношении к безопасности.
• Правильные методы оценки для «измерения общей эффективности программы обучения и повышения осведомленности» гарантируют, что политики, процедуры и учебные материалы остаются актуальными.
• Политики и процедуры, которые надлежащим образом разработаны, внедрены, доведены до сведения и применяются, «уменьшают риск и обеспечивают не только его снижение, но и постоянное соблюдение применимых законов, правил, стандартов и политик».
• Основные этапы и сроки для всех аспектов управления информационной безопасностью помогают обеспечить будущий успех.

Без достаточных бюджетных средств на все вышеперечисленное — в дополнение к деньгам, выделяемым на стандартные вопросы регулирования, ИТ, конфиденциальности и безопасности — план/система управления информационной безопасностью не может быть полностью успешным.

Соответствующие стандарты

Стандарты, которые доступны для помощи организациям в реализации соответствующих программ и средств контроля для смягчения угроз и уязвимостей, включают семейство стандартов ISO/IEC 27000 , структуру ITIL , структуру COBIT и O-ISM3 2.0 . Семейство стандартов ISO/IEC 27000 представляет собой некоторые из наиболее известных стандартов, регулирующих управление информационной безопасностью, а их ISMS основана на мировом экспертном мнении. Они излагают требования для лучшего «установления, внедрения, развертывания, мониторинга, обзора, обслуживания, обновления и улучшения систем управления информационной безопасностью». ^{[3] [4]} ITIL действует как набор концепций, политик и передовых методов для эффективного управления инфраструктурой, обслуживанием и безопасностью информационных технологий, отличаясь от ISO/IEC 27001 лишь несколькими способами. ^{[13] [14]} COBIT, разработанный ISACA , представляет собой структуру, помогающую персоналу по информационной безопасности разрабатывать и внедрять стратегии управления информацией и руководства, минимизируя при этом негативные последствия и контролируя информационную безопасность и управление рисками, ^{[4] [13] [15]} а O-ISM3 2.0 — это технологически нейтральная модель информационной безопасности для предприятий от The Open Group . ^[16]

Смотрите также

• Сертифицированный специалист по безопасности информационных систем
• Главный специалист по информационной безопасности
• Управление информацией о безопасности
• Управление безопасностью
• Управление рисками

Ссылки

1. Campbell, T. (2016). "Глава 1: Эволюция профессии". Практическое управление информационной безопасностью: Полное руководство по планированию и внедрению. APress. С. 1–14. ISBN 9781484216859.
2. Tipton, HF; Krause, M. (2003). Справочник по управлению информационной безопасностью (5-е изд.). CRC Press. С. 810–11. ISBN 9780203325438.
3. Humphreys, E. (2016). "Глава 2: Семейство систем управления безопасностью ISO/IEC 27001". Внедрение стандарта управления безопасностью ISO/IEC 27001:2013 . Artech House. стр. 11–26. ISBN 9781608079315.
4. Campbell, T. (2016). "Глава 6: Стандарты, рамки, руководства и законодательство". Практическое управление информационной безопасностью: полное руководство по планированию и внедрению. APress. стр. 71–94. ISBN 9781484216859.
5. Watts, S. (21 июня 2017 г.). «Уязвимость ИТ-безопасности против угроз против рисков: в чем разница?». Блоги BMC . BMC Software, Inc. Получено 16 июня 2018 г.
6. Campbell, T. (2016). "Глава 4: Организационная безопасность". Практическое управление информационной безопасностью: полное руководство по планированию и внедрению. APress. стр. 43–61. ISBN 9781484216859.
7. Лундгрен, Бьёрн; Мёллер, Никлас (2019). «Определение информационной безопасности». Научная и инженерная этика . 25 (2): 419–441. doi :10.1007/s11948-017-9992-1. ISSN  1353-3452. PMC 6450831. PMID 29143269  . 
8. Ким, Д.; Соломон, М. Г. (2016). "Глава 1: Безопасность информационных систем". Основы безопасности информационных систем . Jones & Bartlett Learning. стр. 2–46. ISBN 9781284128239.
9. Terroza, AKS (12 мая 2015 г.). "Обзор системы управления информационной безопасностью (ISMS)" (PDF) . Институт внутренних аудиторов. Архивировано из оригинала (PDF) 7 августа 2016 г. . Получено 16 июня 2018 г. .
10. "Need: The Need for ISMS". Управление угрозами и рисками . Агентство Европейского Союза по сетевой и информационной безопасности . Получено 16 июня 2018 г.
11. Алави, Р.; Ислам, С.; Муратидис, Х. (2014). «Концептуальная основа для анализа человеческих факторов системы управления информационной безопасностью (СУИБ) в организациях». Человеческие аспекты информационной безопасности, конфиденциальности и доверия . Конспект лекций по информатике. Том 8533. С. 297–305. doi : 10.1007/978-3-319-07620-1_26 . ISBN 978-3-319-07619-5. {{cite book}}: |journal=проигнорировано ( помощь )
12. Типтон, Х. Ф.; Краузе, М. (2010). Справочник по управлению информационной безопасностью. Том 3 (6-е изд.). CRC Press. С. 100–02. ISBN 9781420090956.
13. Kim, D.; Solomon, MG (2016). Основы безопасности информационных систем. Jones & Bartlett Learning. стр. 225. ISBN 9781284128239.
14. Лил, Р. (7 марта 2016 г.). "ISO 27001 против ITIL: сходства и различия". Блог ISO 27001 и ISO 22301. Advisera Expert Solutions Ltd. Получено 16 июня 2018 г.
15. Уайт, SK (22 декабря 2017 г.). «Что такое COBIT? Структура для согласования и управления». CIO . IDG Communications, Inc . Получено 16 июня 2018 г. .
16. "Open Information Security Management Maturity Model (O-ISM3), Version 2.0". The Open Group. 21 сентября 2017 г. Получено 16 июня 2018 г.

Внешние ссылки

• ИСАКА
• Открытая Группа