Управление системой обеспечения информационной безопасности⚓︎

ГОСТ 53114⚓︎

Управление заключается в целенаправленном воздействии на объект управления с целью достижения им цели своего функционирования

Объект управления – совокупность подсистем и элементов СОИБ, целенаправленное воздействие на которые обеспечит выполнение задач информационной безопасности

Управление информационной безопасностью организации – скоординированные действия по руководству и управлению организацией в части обеспечения её информационной безопасности в соответствии с изменяющимися условиями внутренней и внешней среды организации

Система управления информационной безопасностью – часть общей системы менеджмента организации (предприятия), основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Процессы и подход для СОИБ⚓︎

Процесс PDCA⚓︎

План — Осуществление — Проверка — Действие

План⚓︎

Постановка целей и разработка планов (провести анализ ситуации в организации, наметить общие цели, поставить задачи и разработать планы для их достижения)

Осуществление⚓︎

Реализация планов (выполнить то, что было запланировано)

Проверка⚓︎

Проверка результатов (измерение/контроль степени соответствия достигнутых результатов плану)

Действие⚓︎

Коррекция и улучшение работы (учиться на ошибках, чтобы улучшить работу и достичь лучших результатов)

Задачи управления СОИБ⚓︎

1. Количественная оценка текущего уровня информационной безопасности компании. Выполнение этой задачи основано на оценке рисков ИБ на организационно-правовом, экономическом, инженерно-техническом и других уровнях обеспечения защиты информации.
2. Разработка и реализация комплексного плана совершенствования СОИБ хозяйствующего субъекта для достижения приемлемого уровня защищенности его информационных активов. Для решения этой задачи необходимо:
   • Обосновать и произвести расчёт финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения
   • Выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы
   • Определить функциональное отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании
   • Создать необходимый пакет организационно-распорядительной документации
   • Разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий
   • Обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты

Объективные факторы, влияющие на модель СОИБ⚓︎

Угрозы информационной безопасности характеризующиеся вероятностью возникновения и вероятностью реализации

Угроза ИБ⚓︎

Потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам

Атака⚓︎

Попытка реализации угрозы

Классификация угроз ИБ⚓︎

Можно выполнить по нескольким критериям:

• По аспекту ИБ (доступность, целостность, конфиденциальность)
• По компонентам ИС, на которые угрозы нацелены (данные, программа, аппаратура, поддерживающая инфраструктура)
• По способу осуществления (случайные или преднамеренные действия природного или техногенного характера)
• По расположению источника угроз (внутри или вне рассматриваемой ИС)

Уязвимости ИС⚓︎

Уязвимости информационной системы или системы контрмер (СИБ), влияющие на вероятность реализации угрозы

Уязвимость [ИБ], брешь — свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации

• Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе - Если уязвимость соответствует угрозе, то существует риск

ИС — система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д.), которые обеспечивают и распространяют информацию (ISO/IEC 2382:

2015)

Величины рисков⚓︎

Величины рисков‚ отражающих возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования. Риск удобнее всего представлять в виде вероятных финансовых потерь объекта — прямых или косвенных

Модель управления СОИБ⚓︎

Объективные факторы, влияющие на модель СОИБ

• Угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации
• Уязвимости информационной системы или системы контрмер (СИБ), влияющие на вероятность реализации угрозы
• Величины рисков, отражающих возможный ущерб организации в результате реализации угрозы ИБ: утечки информации и её неправомерного использования. Риск удобнее всего представлять в виде вероятных финансовых потерь объекта – прямых и косвенных

Последовательность моделирования СОИБ⚓︎

• Для основных информационных ресурсов объекта определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации, дезорганизации деятельности организации и нематериального ущерба от разглашения конфиденциальной информации и др.
• Описываются взаимосвязи ресурсов
• Определяются угрозы информационной безопасности и оцениваются вероятности их реализации
• На основе построенной модели проводится выбор системы контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью