Ответ на вопрос. Ответ на вопрос (СМИБ). Политика информационной безопасности, цели и действия, ориентированные на достижение целей (1)
 Скачать 16.33 Kb.
|
|
В главе 3.6 Стандарта ГОСТ Р ИСО/МЭК 27000-2012 перечислены критерии успеха СМИБ в Компании, а именно: Для успешной реализации СМИБ, позволяющей организации достичь своих деловых целей, имеет значение большое количество факторов. Примеры критических факторов успеха включают в себя следующие: - политика информационной безопасности, цели и действия, ориентированные на достижение целей (1); - ….. - видимая поддержка и обязательства со стороны всех уровней управления, особенно высшего руководства (2); - …… - эффективное информирование об информационной безопасности, обучение и образовательная программа, доводящая до сведения всех служащих и других причастных сторон их обязательства по информационной безопасности, сформулированные в политике информационной безопасности, стандартах и т.д., а также их мотивирование к соответствующим действиям(3); - эффективный процесс менеджмента инцидентов информационной безопасности (4); - ….. - система измерения, которая используется для оценки управления информационной безопасностью, и предложения по улучшению, поступающие по цепочке обратной связи (5). По каждому из 5 пунктов необходимо развернуто ответить, почему каждый из пунктов является важным для успеха СМИБ, и почему при отсутствии каждого из пунктов создаются условия для неблагополучного внедрения/поддержания СМИБ. В первую очередь, дадим определение понятию СМИБ: Системой менеджмента информационной безопасности (СМИБ) называют скоординированные действия, выполняемые с целью повышения и поддержания на требуемом уровне информационной безопасности организации. Система менеджмента информационной безопасности (СМИБ) организации основывается на подходе бизнес-риска и предназначенадля создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности. Также необходимо сказать, что ГОСТ Р ИСО/МЭК 27000-2012 - это серия международных стандартов, включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Соответственно, ИСО/МЭК 27000-2012 является моделью для налаживания и функционирования системы менеджмента. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области. Проанализируем 5 критериев успеха, перечисленные в главе 3.6 данного ГОСТа: 1) политика информационной безопасности, цели и действия, ориентированные на достижение целей (1). Данный критерий успеха является важным для успеха СМИБ, так как СМИБ стремится достичь, той самой информационной безопасности. В любой компании должны определяться основные подходы к обеспечению информационной безопасности и должны содержаться модели управления и принципы, обеспечивающие его управляемость. Все это позволяет сделать политика информационной безопасности. Соответственно, политика информационной безопасности определяет, что хочет защитить компания и что она ожидает. Для того, чтобы разработать политику информационной безопасности нужно четко определить цели и действия информационной безопасности. В случае отсутствия данного пункта, создаются условия для утечки конфиденциальной информации и взломов, что отражает невыполнение функций СМИБ и его неблагополучное функционирование. 2) видимая поддержка и обязательства со стороны всех уровней управления, особенно высшего руководства (2). Данный критерий обуславливает успешность для СМИБ, так как без поддержки высшего руководства практически невозможно внедрить в компании методику работы по обеспечению информационной безопасности. Высшее руководство определяет политику информационной безопасности , включающую цели и обязательства выполнять все требования. При этом важна поддержка всех уровней управления, потому что СМИБ не должна противоречить законодательству и должна учитывать все требования. Любой орган, осуществляющий сертификацию СМИБ, должен соответствовать требованиям, содержащимся в настоящем стандарте, на основе компетентности и надежности аккредитованного лица, а содержащиеся в стандарте руководящие указания - обеспечивать дополнительную интерпретацию этих требований к органу, осуществляющему сертификацию СМИБ. Соответственно, в случае отсутствия данного пункта, не будет возможности внедрить СМИБ и его поддерживать. 3) эффективное информирование об информационной безопасности, обучение и образовательная программа, доводящая до сведения всех служащих и других причастных сторон их обязательства по информационной безопасности, сформулированные в политике информационной безопасности, стандартах и т.д., а также их мотивирование к соответствующим действиям(3). Данный критерий обозначает, что служащие - сотрудники подразделений безопасности обязаны обеспечивать безопасность, для чего разрабатывают политики безопасности, которые должны соблюдаться работниками организации, от которых в некоторой степени зависит безопасность. Задача эффективного информирования об информационной безопасности достигается путем внедрения программы повышения осведомленности персонала в области безопасности и их обучение. Можно привести следующие принципы информирования: 1. Не заставлять работников, которые не являются специалистами в сфере безопасности, мыслить и оперировать чуждыми им терминами и категориями, то есть перевести сухой язык политик и регламентов безопасности на человеческий язык. 2. Облечь простой текст в привлекательную, логичную и доступную для восприятия форму. 3. Заняться активной пропагандой безопасности в компании, то есть говорить о том, как это важно, везде и всегда. Под мотивированием к соответствующим действиям понимается реагирование и порядок решения проблемы при нарушении информационной безопасности. Без данного критерия, СМИБ функционировать не сможет, так как от знаний сотрудников в области информационной безопасности будет зависеть успех поддержания СМИБ. 4) эффективный процесс менеджмента инцидентов информационной безопасности (4). Данный критерий предполагает управление инцидентами и событиями информационной безопасности, которые призваны помочь в создании процесса эффективного реагирования на инциденты информационной безопасности , и, как следствие, позволяющие снижать потери и оперативно восстанавливать работоспособность в условиях динамично изменяющейся ИТ-инфраструктуры и ландшафта угроз информационной безопасности. Без данного критерия невозможно поддерживать СМИБ на должном уровне, так как от оперативности реагирования на инциденты будет зависеть работа компании. 5) система измерения, которая используется для оценки управления информационной безопасностью, и предложения по улучшению, поступающие по цепочке обратной связи. Данный критерий говорит о том, что организация должна поддерживать работоспособность и улучшать СМИБ посредством контроля и оценки деятельности, направленной против политики и целей организации, и сообщения о результатах менеджменту для анализа. Этот анализ СМИБ позволит наглядно показать правильность и отслеживаемость корректирующих, профилактических действий и действий по усовершенствованию, основанных на этих результатах, включая контроль средств управления информационной безопасностью. Данный критерий очень важен для поддержания СМИБ, так как он помогает понять плюсы и минусы управления информационной безопасностью в организации, а также помогает внедрить улучшения. Таким образом, все критерии успешности являются очень важными и нужными для обеспечения СМИБ, а также каждый критерий успешности дополняет следующий. |