Управление финансами Получите консультацию:
8 (800) 600-76-83

Бесплатный звонок по России

документы

1. Введение продуктовых карточек для малоимущих в 2021 году
2. Как использовать материнский капитал на инвестиции
3. Налоговый вычет по НДФЛ онлайн с 2021 года
4. Упрощенный порядок получения пособия на детей от 3 до 7 лет в 2021 году
5. Выплата пособий по уходу за ребенком до 1,5 лет по новому в 2021 году
6. Продление льготной ипотеки до 1 июля 2021 года
7. Новая льготная ипотека на частные дома в 2021 году
8. Защита социальных выплат от взысканий в 2021 году
9. Банкротство пенсионной системы неизбежно
10. Выплата пенсионных накоплений тем, кто родился до 1966 года и после
11. Семейный бюджет россиян в 2021 году

О проекте О проекте    Контакты Контакты    Загадки Загадки    Психологические тесты Интересные тесты
папка Главная » Менеджеру » Управление информационной безопасностью

Управление информационной безопасностью

Статью подготовил категорийный менеджер по работе с ключевыми клиентами Умберг Эмиль Дмитриевич. Связаться с автором

Информационное управление

Вернуться назад на Информационное управление
Не забываем поделиться:


Управление информационной безопасностью (Information Security Management или ISM) - процесс, который обеспечивает конфиденциальность, целостность и доступность активов, информации, данных и услуг организации. Управление информационной безопасностью обычно является частью Организационного подхода к Управлению безопасностью, который имеет более широкую область охвата, чем поставщик услуг, и включает обработку бумажных документов, доступ в здания, телефонные звонки и т.п., для всей организации.

Основной целью ISM является обеспечение эффективного управления информационной безопасностью всех услуг и деятельностей в рамках Управления услуг.

Информационная безопасность предназначена для защиты от нарушения конфиденциальности, доступности и целостности информации, информационных систем и коммуникаций:

1. Конфиденциальность - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
2. Целостность - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
3. Доступность - состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Цель обеспечения информационной безопасности достигнута, если:

1. Информация доступна тогда, когда это требуется, а информационные системы устойчивы к атакам, могут избегать их или быстро восстанавливаться.
2. Информация доступна только тем, кто имеет соответствующие права.
3. Информация корректна, полна и защищена от неавторизованных изменений.
4. Обмен информацией с партнерами и другими организациями надежно защищен.

Бизнес определяет, что и как должно быть защищено. При этом для эффективности и целостности обеспечения информационной безопасности необходимо рассматривать бизнес процессы от начала до конца, так как слабое место может сделать уязвимой всю систему.

Процесс ISM должен включать в себя:
Самое читаемое за неделю

документ Введение ковидных паспортов в 2021 году
документ Должен знать каждый: Сильное повышение штрафов с 2021 года за нарушение ПДД
документ Введение продуктовых карточек для малоимущих в 2021 году
документ Доллар по 100 рублей в 2021 году
документ Новая льготная ипотека на частные дома в 2021 году
документ Продление льготной ипотеки до 1 июля 2021 года
документ 35 банков обанкротятся в 2021 году


Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!

Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!

• формирование, управление, распространение и соблюдение Политики информационной безопасности и других вспомогательных политик, которые имеют отношение к информационной безопасности. Политика информационной безопасности (Security Policy) - политика, определяющая подход организации к управлению информационной безопасностью;
• понимание согласованных текущих и будущих требований бизнеса к безопасности;
• использование контролей безопасности для выполнения Политики информационной безопасности и управления рисками, связанными с доступом к информации, системам и услугам. Термин "контроль безопасности" является заимствованным из английского языка и в данном контексте означает набор контрмер и мер предосторожности, применяемых для аннулирования, уменьшения рисков и противостояния им. То есть контроль безопасности состоит из проактивных и реактивных действий;
• документирование перечня контролей безопасности, действий по их эксплуатации и управлению, а также всех связанных с ними рисков;
• управление поставщиками и контрактами, требующими доступа к системам и услугам. Осуществляется при взаимодействии с процессом Управления поставщиками;
• контроль всех "брешей" безопасности и инцидентов, связанных с системами и услугами;
• проактивное улучшение контролей безопасности и уменьшение рисков нарушения информационной безопасности;
• интеграция аспектов информационной безопасности во все процессы Управления услуг.

Политика информационной безопасности должна включать в себя следующее:

• реализация аспектов Политики информационной безопасности;
• возможные злоупотребления аспектами Политики информационной безопасности;
• политика контроля доступа;
• политика использования паролей;
• политика электронной почты;
• политика интернета;
• политика антивирусной защиты;
• политика классификации информации;
• политика классификации документов;
• политика удаленного доступа;
• политика доступа поставщиков к услугам, информации и компонентам;
• политика размещения активов.

Перечисленные политики должны быть доступны пользователям и заказчикам, которые в свою очередь обязаны письменно подтвердить свое согласие с ними.

Политики утверждаются руководством бизнеса и IT и пересматриваются в зависимости от обстоятельств.

Чтобы обеспечивать информационную безопасность и управлять ею, необходимо поддерживать Систему управления информационной безопасностью. Система управления информационной безопасностью (Information Security Management System или ISMS) - система политик, процессов, стандартов, руководящих документов и средств, которые обеспечивают организации достижение целей управления информационной безопасностью.

1. Контроль.

Цели контроля:

- формирование системы управления информационной безопасностью в рамках организации;
- формирование организационной структуры для подготовки, утверждения и реализации Политики информационной безопасности;
- распределение ответственностей;
- формирование документации по контролю.

2. Планирование. Цель планирования - разработать и рекомендовать подходящие метрики и способы измерения информационной безопасности. В первую очередь планирование должно учитывать требования и особенности конкретной организации. Источниками информации для формирования требований к информационной безопасности являются бизнес, риски, планы, стратегия, соглашения ( в первую очередь OLA и SLA). При этом важно учитывать моральную, законодательную и этическую ответственности в контексте информационной безопасности.

3. Реализация. Цель реализации - обеспечение подходящих процедур, инструментов и контролей безопасности для поддержки Политики информационной безопасности.

В рамках реализации проводятся следующие мероприятия:
интересное на портале
документ Тест "На сколько вы активны"
документ Тест "Подходит ли Вам ваше место работы"
документ Тест "На сколько важны деньги в Вашей жизни"
документ Тест "Есть ли у вас задатки лидера"
документ Тест "Способны ли Вы решать проблемы"
документ Тест "Для начинающего миллионера"
документ Тест который вас удивит
документ Семейный тест "Какие вы родители"
документ Тест "Определяем свой творческий потенциал"
документ Психологический тест "Вы терпеливый человек?"


- идентификация активов - совместно с Управлением конфигурациями;
- классификация информации - информация и информационные хранилища должны быть классифицированы в соответствии с их чувствительностью и значимостью по отношению к трем аспектам информационной безопасности (конфиденциальности, целостности, доступности).

4. Оценка. Цель оценки в рамках ISMS:

- проверка соответствия политики информационной безопасности требованиям к информационной безопасности из SLA и OLA;
- проведение регулярных проверок технической составляющей информационной безопасности для IT систем;
- предоставление информации для регуляторов и внешних аудиторов при необходимости;

5. Поддержка. Цели поддержки ISMS:

- улучшение соглашений в отношении информационной безопасности, например, SLA и OLA;
- совершенствование средств и контролей информационной безопасности.

Ключевые деятельности в рамках ISM:

1. формирование, пересмотр и корректирование Политики информационной безопасности и набора поддерживающих ее вспомогательных политик;
2. реализация и соблюдение политик информационной безопасности, а также обеспечение взаимодействия между ними;
3. оценка и классификация всех информационных активов и документов;
4. использование, пересмотр и корректирование набора контролей безопасности, мер по оценке рисков и ответных действий;
5. мониторинг и управление "брешами" безопасности и инцидентами;
6. анализ, ведение отчетности и уменьшение влияния "брешей" в безопасности и инцидентов;
7. составление расписания и проведение аудитов, тестирования и обзоров.

Для обеспечения и поддержки Политики информационной безопасности необходимо сформировать и использовать набор контролей безопасности. Для предотвращения инцидентов и правильного реагирования в случае их возникновения используют меры безопасности.

Первая стадия - возникновение угрозы. Угрозой является все, что может негативно повлиять на бизнес-процесс или прерывать его. Инцидент - это реализованная угроза. Инцидент является отправной точкой для применения контролей безопасности. В результате инцидента появляется ущерб. Для управления или устранения рисков также применяются контроли безопасности.

Для каждой стадии необходимо подобрать подходящие меры обеспечения информационной безопасности:

1. превентивные - меры безопасности, которые предотвращают появление инцидента информационной безопасности. Например, распределение прав доступа.
2. восстановительные - меры безопасности, направленные на уменьшение потенциального ущерба в случае инцидента. Например, резервное копирование.
3. обнаруживающие - меры безопасности, направленные на обнаружение инцидентов. Например, антивирусная защита или система обнаружения вторжений.
4. подавляющие - меры безопасности, которые противодействуют попыткам реализации угрозы, то есть инцидентам. Например, банкомат забирает у клиента карту после определенного количества неправильных вводов PIN-кода.
5. корректирующие - меры безопасности, направленные на восстановления после инцидента. Например, восстановление резервных копий, откат на предыдущее рабочее состояние и т.п.

Входами процесса ISM являются:

1. информация от бизнеса - стратегии, планы, бюджет бизнеса, а также его текущие и будущие требования;
2. политики безопасности бизнеса, планы безопасности, Анализ рисков;
3. информация от IT - стратегия, планы и бюджет IT;
4. информация об услугах - информация от SLM, в частности Портфеля услуг и Каталога услуг, SLA/SLR;
5. отчеты процессов и анализа рисков от ISM, Управления доступностью и Управления непрерывностью услуг;
6. детальная информация обо всех инцидентах информационной безопасности и "брешах" в ней;
7. информация об изменениях - информация от процесса Управления изменениями, в частности расписание изменений и их влияние на планы, политики и контроли информационной безопасности;
8. информация о взаимоотношениях бизнеса с услугами, вспомогательными услугами и технологиями;
9. информация о доступе партнеров и поставщиков к услугам и системам, предоставляемая процессами Управления поставщиками и Управления доступностью.

Выходами ISM являются:

1. всеобъемлющая Политика информационной безопасности и другие вспомогательные политики, которые имеют отношение к информационной безопасности;
2. Система управления информационной безопасностью (ISMS), которая содержит всю информацию, необходимую для обеспечения ISM;
3. результаты переоценки рисков и ревизии отчетов;
4. набор контролей безопасности, описание их эксплуатации и управления, а также всех связанных с ними рисков;
5. аудиты информационной безопасности и отчеты;
6. расписание тестирования планов информационной безопасности;
7. классификация информационных активов;
8. отчеты о существующих "брешах" в информационной безопасности и инцидентах;
9. политики, процессы и процедуры для управления доступом поставщиков и партнеров к услугам и системам.

В качестве ключевых показателей производительности процесса Управления информационной безопасностью можно использовать множество метрик, например:

1. защищенность бизнеса от нарушений информационной безопасности:

- процентное уменьшение сообщений о "брешах" в Сервис-деск;
- процентное уменьшение негативного влияния на бизнес со стороны "брешей" и инцидентов;
- процентное увеличение пунктов, касающихся информационной безопасности, в SLA;

2. формирование четкой и согласованной политики информационной безопасности, учитывающей потребности бизнеса, то есть уменьшение количества несовпадений между процессами ISM и процессами и политиками информационной безопасности бизнеса;

3. процедуры по обеспечению безопасности, которые оправданы, согласованы и утверждены руководством организации:

- увеличение согласованности и пригодности процедур обеспечения безопасности;
- увеличение поддержки со стороны руководства;

4. механизмы улучшения:

- количество предложенных улучшений в отношении контролей и процедур;
- уменьшение количества несовпадений, обнаруженных в процессе тестирования и аудита;

5. информационная безопасность является неотъемлемой частью услуг и процессов ITSM, то есть увеличение количества услуг и процессов, в которых предусмотрены меры безопасности.

ISM сталкивается со множеством трудностей и рисков на пути обеспечения информационной безопасности. К сожалению, на практике достаточно часто бизнес считает, что вопросами информационной безопасности должна заниматься только IT. Еще хуже, когда бизнес не понимает, зачем вообще нужно уделять внимание информационной безопасности. Создание эффективной системы защиты информации влечет за собой большие затраты, которые должны быть понятны руководству, так как именно оно принимает решение о финансировании. При этом важно соблюдать баланс - обеспечение информационной безопасности не должно стоить больше самой защищаемой информации.

темы

документ Интенсификация управления
документ Психология управления
документ Стили управления
документ Стратегическое управление
документ Управление активами
документ Управление качеством
документ Управление рисками

Получите консультацию: 8 (800) 600-76-83
Звонок по России бесплатный!

Не забываем поделиться:


Загадки

Зеленое, в пятнах, прыгает...

посмотреть ответ


назад Назад | | вверх Вверх

Загадки

Как сдвинуть с места бетонную плиту размером 50 метров в высоту, 100 метров в длину и весом 202 тонны, не применяя никаких механизмов и приспособлений?

посмотреть ответ
важное

Новая помощь малому бизнесу
Изменения по вопросам ИП

НДФЛ в 2023 г
Увеличение вычетов по НДФЛ
Планирование отпусков сотрудников в небольших компаниях в 2024 году
Аудит отчетности за 2023 год
За что и как можно лишить работника премии
Как правильно переводить и перемещать работников компании в 2024 году
Что должен знать бухгалтер о сдельной заработной плате в 2024 году
Как рассчитать и выплатить аванс в 2024 г
Как правильно использовать наличные в бизнесе в 2024 г.
Сложные вопросы работы с удаленными сотрудниками
Анализ денежных потоков в бизнесе в 2024 г
Что будет с налогом на прибыль в 2025 году
Как бизнесу правильно нанимать иностранцев в 2024 г
Можно ли устанавливать разную заработную плату сотрудникам на одной должности
Как укрепить трудовую дисциплину в компании в 2024 г
Как выбрать подрядчика по рекламе
Как небольшому бизнесу решить проблему дефицита кадров в 2024 году
Профайлинг – полезен ли он для небольшой компании?
Пени по налогам бизнеса в 2024 и 2025 годах
Удержания по исполнительным листам в 2025 году
Что изменится с 2025г. у предпринимателей на УСН
Самые важные изменения для бухгалтеров с 2025 г
Новые тренды в оценке и подборе персонала в 2024



©2009-2023 Центр управления финансами.