17 августа 2012, 16:17
Количество просмотров 503

Процессы информационной безопасности

В рамках своего партнерства с web-порталом PCIDSS.RU, запущенным компанией Digital Security и предназначенным для обмена опытом в области PCI Compliance...
Процессы информационной безопасности

В рамках своего партнерства с web-порталом PCIDSS.RU, запущенным компанией Digital Security и предназначенным для обмена опытом в области PCI Compliance Management, журнал «ПЛАС» продолжает новый цикл публикаций, посвященных практическим аспектам внедрения системы менеджмента информационной безопасности на пути к PCI Compliance*. В этот раз мы рассмотрим такой важный аспект, как процессы ИБ


Сергей Шустиков,


Информационная безопасность сложна? Разложим на простые составляющие!

В статье «С чего начинается безопасность?»*, описывающей подход к разработке и внедрению системы менеджмента информационной безопасности (СМИБ), было отмечено, что для достижения удобства управления непрерывным процессом под названием «обеспечение информационной безопасности» его следует разложить на составляющие процессы.

В самом деле, мы сталкиваемся с достаточно непростой задачей – управлением сложным многогранным процессом оценки и снижения информационных рисков, затрагивающим все сферы деятельности компании. Практика показывает, что декомпозиция сложной задачи на простые составляющие подчас является единственно возможным методом ее решения.

Для начала рассмотрим систему обеспечения информационной безопасности, существующую практически в каждой компании в формальном или неформальном виде, что не суть важно. Мы увидим, что даже на самом низком уровне зрелости подхода компании к решению вопросов защиты информации в системе обеспечения информационной безопасности присутствует управляющая составляющая (например, принятие IT-директором управленческого решения об установке антивирусной системы) и исполнительная составляющая (установка системным администратором антивируса на компьютеры и реагирование сисадмина на срабатывание данного антивируса). Первое – это зачаток управления рисками (неформальное осознание высокого уровня критичности рисков вирусной активности в сети и необходимости минимизации их вероятности). Второе – это неформальный процесс функционирования внедренного средства снижения риска.

Структура системы обеспечения информационной безопасности

Итак, нам стало очевидно, что система обеспечения информационной безопасности (СОИБ) состоит из двух частей – управляющей системы, принимающей решения о том, какие риски как обрабатывать, то есть системы менеджмента информационной безопасности (СМИБ), и объекта управления – непосредственно процессов обработки рисков, составляющих систему информационной безопасности (СИБ). Если мы взглянем на методологию, предлагаемую стандартом информационной безопасности Центрального Банка Российской Федерации (СТО БР ИББС-1.0-2008), то найдем в ней описание структуры системы обеспечения информационной безопасности организации, которая состоит из двух компонентов – системы менеджмента информационной безопасности и системы информационной безопасности. Структура системы обеспечения информационной безопасности представлена на рисунке.

В соответствии с описанной структурой мы рассмотрим два вида процессов – процессы системы менеджмента информационной безопасности и процессы системы информационной безопасности.

* Первую публикацию данного цикла – «С чего начинается безопасность?» – читайте в «ПЛАС» №10/2009.

Полный текст статьи читайте в журнале "ПЛАС"11 (151) ’2009 сс. 17 - 19 

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube