СУИБ включает в себя идентификацию имеющихся мер защиты и требует тщательного планирования и внимания к деталям. Например, меры разграничения доступа, которые могут быть техническими (логическими), физическими, административными (управленческими), или их комбинацией, гарантируют, что доступ к информационным активам санкционируется и ограничивается на основании требований бизнеса и ИБ.
Успешное применение СУИБ важно для защиты информационных активов, поскольку позволяет:
– повысить гарантии того, что информационные активы адекватно защищены на непрерывной основе от угроз ИБ;
– поддерживать структурированную и всестороннюю систему оценки угроз ИБ, выбора и применения соответствующих мер защиты, измерения и улучшения их эффективности;
– постоянно улучшать среду управления организации;
– эффективно соответствовать правовым и нормативным требованиям.
3.5. Внедрение, контроль, сопровождение и улучшение СУИБ
Внедрение, контроль, сопровождение и улучшение СУИБ являются оперативными этапами развития СУИБ.
Оперативные этапы СУИБ определяют следующие составляющие:
– общие положения;
– требования ИБ;
– решающие факторы успеха СУИБ.
Оперативные этапы СУИБ обеспечивают следующие мероприятия:
– оценка рисков ИБ;
– обработка рисков ИБ;
– выбор и внедрение мер защиты;
– контроль и сопровождение СУИБ;
– постоянное улучшение.
Общие положения
Организация должна предпринимать следующие шаги по внедрению, контролю, сопровождению и улучшению ее СУИБ:
– определение информационных активов и связанных с ними требований ИБ;
– оценка и обработка рисков ИБ;
– выбор и внедрение соответствующих мер защиты для управления неприемлемыми рисками;
– контроль, сопровождение и повышение эффективности мер защиты, связанных с информационными активами организации.
Для гарантии того, что СУИБ эффективно защищает информационные активы организации на постоянной основе, необходимо постоянно повторять все шаги, чтобы выявлять изменения рисков или стратегии организации или бизнес-целей.
Требования ИБ
В пределах общей стратегии и бизнес-целей организации, ее размера и географического распространения требования ИБ могут быть определены в результате понимания:
– информационных активов и их ценности;
– бизнес-потребностей в работе с информацией;
– правовых, нормативных и договорных требований.
Проведение методической оценки рисков, связанных с информационными активами организации, включает в себя анализ:
– угроз активам;
– уязвимостей