Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Менеджмент информационной безопасности ( ISM ) определяет и управляет средствами управления, которые организация должна внедрить, чтобы гарантировать, что она разумно защищает конфиденциальность , доступность и целостность активов от угроз и уязвимостей . Ядро ISM включает управление информационными рисками , процесс, который включает в себя оценку рисков, с которыми организация должна иметь дело при управлении и защите активов, а также распространение рисков среди всех соответствующих заинтересованных сторон . [1] Это требует надлежащей идентификации активов и этапов оценки, включая оценку ценности конфиденциальности., целостность , доступность и замена активов. [2] В рамках менеджмента информационной безопасности организация может внедрить систему менеджмента информационной безопасности и другие передовые методы, содержащиеся в стандартах ISO / IEC 27001 , ISO / IEC 27002 и ISO / IEC 27035 по информационной безопасности. [3] [4]

Управление рисками и их смягчение [ править ]

Управление информационной безопасностью, по сути, означает управление и смягчение различных угроз и уязвимостей для активов, в то же время балансируя усилия управления, затрачиваемые на потенциальные угрозы и уязвимости, путем измерения вероятности их фактического возникновения. [1] [5] [6] Метеорит, врезавшийся в серверную, безусловно, представляет собой угрозу, например, но офицер информационной безопасности, вероятно, приложит мало усилий для подготовки к такой угрозе.

После соответствующей идентификации и оценки активов [2] управление рисками и снижение рисков для этих активов включает анализ следующих вопросов: [5] [6] [7]

  • Угрозы: нежелательные события, которые могут привести к преднамеренной или случайной потере, повреждению или неправильному использованию информационных активов.
  • Уязвимости: насколько уязвимы информационные активы и связанные с ними средства управления одной или несколькими угрозами.
  • Воздействие и вероятность: величина потенциального ущерба информационным активам от угроз и уязвимостей и насколько серьезный риск они представляют для активов; анализ затрат и выгод также может быть частью оценки воздействия или отдельно от нее.
  • Смягчение : предлагаемые методы минимизации воздействия и вероятности потенциальных угроз и уязвимостей.

После того, как угроза и / или уязвимость идентифицированы и оценены как имеющие достаточное влияние / вероятность на информационные активы, можно принять план смягчения последствий. Выбранный метод смягчения последствий во многом зависит от того, в каком из семи доменов информационных технологий (ИТ) находится угроза и / или уязвимость. Угроза апатии пользователя к политикам безопасности (домен пользователя) потребует совершенно другого плана смягчения, чем тот, который использовался ранее. ограничить угрозу несанкционированного зондирования и сканирования сети (домен LAN-to-WAN). [7]

Система управления информационной безопасностью [ править ]

Система менеджмента информационной безопасности (СМИБ) представляет собой совокупность всех взаимосвязанных / взаимодействующих элементов информационной безопасности организации, чтобы гарантировать, что политики, процедуры и цели могут быть созданы, реализованы, переданы и оценены, чтобы лучше гарантировать общую информацию организации. безопасность. На эту систему обычно влияют потребности, цели, требования безопасности, размер и процессы организации. [8] СМИБ включает в себя и обеспечивает эффективные стратегии управления рисками и смягчения их последствий. Кроме того, внедрение СМИБ в организации в значительной степени указывает на то, что она систематически выявляет, оценивает и управляет рисками информационной безопасности и «сможет успешно обеспечивать конфиденциальность, целостность информации,и требования к доступности ".[9] Однако человеческий фактор, связанный с разработкой, внедрением и практикой СМИБ (домен пользователя [7] ), также необходимо учитывать, чтобы наилучшим образом гарантировать конечный успех СМИБ. [10]

Компоненты стратегии внедрения и обучения [ править ]

Внедрение эффективного управления информационной безопасностью (включая управление рисками и их смягчение) требует стратегии управления, которая учитывает следующее: [11]

  • Высшее руководство должно решительно поддерживать инициативы в области информационной безопасности, давая сотрудникам службы информационной безопасности возможность «получить ресурсы, необходимые для полноценной и эффективной образовательной программы» и, соответственно, системы управления информационной безопасностью.
  • Стратегия информационной безопасности и обучение должны быть интегрированы и распространены через стратегии отделов, чтобы гарантировать, что план информационной безопасности организации положительно повлияет на весь персонал.
  • Приватность подготовка и информирование « оценка риска » может помочь организации выявить критические пробелы в знаниях заинтересованных сторон и отношение к безопасности.
  • Надлежащие методы оценки для «измерения общей эффективности программы обучения и повышения осведомленности» гарантируют, что политика, процедуры и учебные материалы остаются актуальными.
  • Политика и процедуры, которые надлежащим образом разработаны, внедрены, доведены до сведения и соблюдаются, «снижают риск и обеспечивают не только снижение риска, но и постоянное соблюдение применимых законов, постановлений, стандартов и политик».
  • Вехи и сроки для всех аспектов управления информационной безопасностью помогают обеспечить успех в будущем.

Без достаточных бюджетных соображений для всего вышеперечисленного - в дополнение к деньгам, выделенным на стандартные вопросы регулирования, ИТ, конфиденциальности и безопасности - план / система управления информационной безопасностью не может быть полностью успешной.

Соответствующие стандарты [ править ]

Стандарты, которые доступны , чтобы помочь организациям с реализацией соответствующих программ и контроля для предотвращения угроз и уязвимостей включают ISO / IEC 27000 семейство стандартов, в основу ITIL , в основу COBIT , и O-ISM3 2.0 . Семейство ISO / IEC 27000 представляет собой одни из наиболее известных стандартов, регулирующих управление информационной безопасностью и СМИБ, и основано на мнении мировых экспертов. В них изложены требования для наилучшего «создания, внедрения, развертывания, мониторинга, анализа, обслуживания, обновления и улучшения систем управления информационной безопасностью». [3] [4]ITIL действует как собрание концепций, политик и передовых практик для эффективного управления инфраструктурой информационных технологий, услугами и безопасностью, отличаясь от ISO / IEC 27001 лишь несколькими способами. [12] [13] COBIT, разработанный ISACA , представляет собой основу, помогающую персоналу службы информационной безопасности разрабатывать и внедрять стратегии управления информацией и управления, сводя к минимуму негативные воздействия и контролируя информационную безопасность и управление рисками, [4] [12] [14] и O-ISM3 2.0 - технологически нейтральная модель информационной безопасности для предприятий Open Group . [15]

См. Также [ править ]

  • Сертифицированный специалист по безопасности информационных систем
  • Директор по информационной безопасности
  • Управление информацией о безопасности

Ссылки [ править ]

  1. ^ а б Кэмпбелл, Т. (2016). «Глава 1: Эволюция профессии». Практическое управление информационной безопасностью: полное руководство по планированию и внедрению . АПресс. С. 1–14. ISBN 9781484216859.
  2. ^ a b Типтон, ВЧ; Краузе, М. (2003). Справочник по управлению информационной безопасностью (5-е изд.). CRC Press. С. 810–11. ISBN 9780203325438.
  3. ^ a b Хамфрис, Э. (2016). «Глава 2: Семейство СМИБ ISO / IEC 27001». Внедрение стандарта СМИБ ISO / IEC 27001: 2013 . Артек Хаус. С. 11–26. ISBN 9781608079315.
  4. ^ а б в Кэмпбелл, Т. (2016). «Глава 6: Стандарты, основы, руководящие принципы и законодательство». Практическое управление информационной безопасностью: полное руководство по планированию и внедрению . АПресс. С. 71–94. ISBN 9781484216859.
  5. ^ a b Уоттс, С. (21 июня 2017 г.). «Уязвимость ИТ-безопасности против угрозы против риска: в чем разница?» . Блоги BMC . BMC Software, Inc . Проверено 16 июня 2018 .
  6. ^ а б Кэмпбелл, Т. (2016). «Глава 4: Организационная безопасность». Практическое управление информационной безопасностью: полное руководство по планированию и внедрению . АПресс. С. 43–61. ISBN 9781484216859.
  7. ^ a b c Ким, D .; Соломон, МГ (2016). «Глава 1: Безопасность информационных систем». Основы безопасности информационных систем . Джонс и Бартлетт Обучение. С. 2–46. ISBN 9781284128239.
  8. ^ Terroza, АКС (12 мая 2015). «Обзор системы управления информационной безопасностью (СМИБ)» (PDF) . Институт внутренних аудиторов. Архивировано 7 августа 2016 года из оригинального (PDF) . Проверено 16 июня 2018 .
  9. ^ «Потребность: потребность в СМИБ» . Управление угрозами и рисками . Агентство Европейского Союза по сетевой и информационной безопасности . Проверено 16 июня 2018 .
  10. ^ Alavi, R .; Ислам, С .; Муратидис, Х. (2014). «Концептуальные основы анализа человеческого фактора системы менеджмента информационной безопасности (СМИБ) в организациях». Труды Второй Международной конференции по человеческим аспектам информационной безопасности, конфиденциальности и доверия . 8533 : 297-305. DOI : 10.1007 / 978-3-319-07620-1_26 .
  11. ^ Типтон, ВЧ; Краузе, М. (2010). Справочник по управлению информационной безопасностью . 3 (6-е изд.). CRC Press. С. 100–02. ISBN 9781420090956.
  12. ^ а б Ким, D .; Соломон, МГ (2016). Основы безопасности информационных систем . Джонс и Бартлетт Обучение. п. 225. ISBN 9781284128239.
  13. Рианна Леал Р. (7 марта 2016 г.). «ISO 27001 и ITIL: сходства и различия» . Блог ISO 27001 и ISO 22301 . Advisera Expert Solutions Ltd . Проверено 16 июня 2018 .
  14. White, SK (22 декабря 2017 г.). «Что такое COBIT? Основа для согласования и управления» . ИТ-директор . IDG Communications, Inc . Проверено 16 июня 2018 .
  15. ^ «Открытая модель зрелости управления информационной безопасностью (O-ISM3), версия 2.0» . Открытая группа. 21 сентября 2017 . Проверено 16 июня 2018 .

Внешние ссылки [ править ]

  • ISACA
  • Открытая группа