Jump to content

Управление информационной безопасностью

Управление информационной безопасностью ( ISM ) определяет и управляет средствами контроля, которые организация должна внедрить, чтобы обеспечить разумную защиту конфиденциальности , доступности и целостности активов от угроз и уязвимостей . Ядро ISM включает управление информационными рисками — процесс, который включает в себя оценку рисков, с которыми организация должна иметь дело при управлении и защите активов, а также распространение рисков среди всех соответствующих заинтересованных сторон . [1] Это требует правильной идентификации и оценки активов, включая оценку ценности конфиденциальности , целостности , доступности и замены активов. [2] В рамках управления информационной безопасностью организация может внедрить систему управления информационной безопасностью и другие передовые методы, содержащиеся в стандартах ISO/IEC 27001 , ISO/IEC 27002 и ISO/IEC 27035 по информационной безопасности . [3] [4]

Управление рисками и их смягчение [ править ]

Управление информационной безопасностью, по сути, означает управление и смягчение различных угроз и уязвимостей активов, в то же время балансируя управленческие усилия, затрачиваемые на потенциальные угрозы и уязвимости, путем оценки вероятности их фактического возникновения. [1] [5] [6] Например, падение метеорита в серверную комнату, безусловно, представляет собой угрозу, но офицер информационной безопасности, скорее всего, не приложит особых усилий для подготовки к такой угрозе. Точно так же, как людям не обязательно начинать готовиться к концу света только из-за существования глобального банка семян . [7]

После проведения соответствующей идентификации и оценки активов, [2] Управление рисками и снижение рисков для этих активов включает анализ следующих вопросов: [5] [6] [8]

  • Угрозы: нежелательные события, которые могут привести к преднамеренной или случайной потере, повреждению или неправильному использованию информационных активов.
  • Уязвимости: Насколько восприимчивы информационные активы и связанные с ними средства контроля к использованию одной или несколькими угрозами.
  • Влияние и вероятность: Величина потенциального ущерба информационным активам от угроз и уязвимостей, а также насколько серьезный риск они представляют для активов; анализ затрат и выгод также может быть частью оценки воздействия или отдельным от нее.
  • Смягчение : предлагаемый метод(ы) для минимизации воздействия и вероятности потенциальных угроз и уязвимостей.

После того как угроза и/или уязвимость идентифицированы и оценены как имеющие достаточное влияние/вероятность на информационные активы, можно принять план смягчения последствий. Выбор метода смягчения во многом зависит от того, в каком из семи доменов информационных технологий (ИТ) находится угроза и/или уязвимость. Угроза апатии пользователя к политикам безопасности (пользовательский домен) потребует совершенно другого плана смягчения, чем тот, который используется для ограничения угрозы несанкционированного зондирования и сканирования сети (домен LAN-WAN). [8]

Система управления информационной безопасностью [ править ]

Система управления информационной безопасностью (СУИБ) представляет собой совокупность всех взаимосвязанных/взаимодействующих элементов информационной безопасности организации, чтобы гарантировать, что политики, процедуры и цели могут быть созданы, реализованы, переданы и оценены, чтобы лучше гарантировать общую информацию организации. безопасность. На эту систему обычно влияют потребности, цели, требования безопасности, размер и процессы организации. [9] СУИБ включает в себя и обеспечивает стратегии управления рисками и их смягчения. Кроме того, принятие организацией СМИБ указывает на то, что она систематически выявляет, оценивает и управляет рисками информационной безопасности и «будет способна успешно выполнять требования к конфиденциальности, целостности и доступности информации». [10] Однако человеческий фактор, связанный с разработкой, внедрением и практикой СМИБ (область пользователя [8] ) также следует рассматривать как наилучшее обеспечение конечного успеха СМИБ. [11]

Компоненты стратегии внедрения и обучения [ править ]

Внедрение эффективного управления информационной безопасностью (включая управление рисками и их смягчение) требует стратегии управления, которая учитывает следующее: [12]

  • Руководство высшего звена должно решительно поддерживать инициативы по информационной безопасности, предоставляя сотрудникам информационной безопасности возможность «получить ресурсы, необходимые для создания полнофункциональной и эффективной образовательной программы» и, как следствие, системы управления информационной безопасностью.
  • Стратегия и обучение информационной безопасности должны быть интегрированы в стратегии департамента и доведены до них, чтобы обеспечить положительное влияние плана информационной безопасности организации на весь персонал.
  • Обучение конфиденциальности и повышение осведомленности « оценка рисков » могут помочь организации выявить критические пробелы в знаниях заинтересованных сторон и их отношении к безопасности.
  • Надлежащие методы оценки для «измерения общей эффективности программы обучения и повышения осведомленности» гарантируют, что политика, процедуры и учебные материалы остаются актуальными.
  • Политики и процедуры, которые надлежащим образом разработаны, внедрены, доведены до сведения и внедрены, «смягчают риск и обеспечивают не только снижение риска, но и постоянное соблюдение применимых законов, правил, стандартов и политик».
  • Основные этапы и сроки реализации всех аспектов управления информационной безопасностью помогают обеспечить успех в будущем.

Без достаточных бюджетных соображений для всего вышеперечисленного — в дополнение к деньгам, выделяемым на стандартные нормативные вопросы, вопросы ИТ, конфиденциальности и безопасности — план/система управления информационной безопасностью не может быть полностью успешным.

Соответствующие стандарты [ править ]

Стандарты, доступные для помощи организациям во внедрении соответствующих программ и средств контроля для снижения угроз и уязвимостей, включают ISO/IEC 27000 семейство стандартов , структуру ITIL , структуру COBIT и O-ISM3 2.0 . Семейство ISO/IEC 27000 представляет собой одни из самых известных стандартов, регулирующих управление информационной безопасностью, а их СМИБ основаны на мнении мировых экспертов. Они излагают требования к лучшему «созданию, внедрению, развертыванию, мониторингу, проверке, обслуживанию, обновлению и совершенствованию систем управления информационной безопасностью». [3] [4] ITIL представляет собой набор концепций, политик и лучших практик для эффективного управления инфраструктурой, услугами и безопасностью информационных технологий, отличаясь от ISO/IEC 27001 лишь в нескольких аспектах. [13] [14] COBIT, разработанный ISACA , представляет собой основу, помогающую персоналу информационной безопасности разрабатывать и реализовывать стратегии управления информацией и руководства, минимизируя при этом негативное воздействие и контролируя информационную безопасность и управление рисками. [4] [13] [15] O -ISM3 2.0 — это Open Group . технологически нейтральная модель информационной безопасности для предприятий компании [16]

См. также [ править ]

Ссылки [ править ]

  1. Перейти обратно: Перейти обратно: а б Кэмпбелл, Т. (2016). «Глава 1: Эволюция профессии». Практическое управление информационной безопасностью: Полное руководство по планированию и реализации . Пресс. стр. 1–14. ISBN  9781484216859 .
  2. Перейти обратно: Перейти обратно: а б Типтон, ХФ; Краузе, М. (2003). Справочник по управлению информационной безопасностью (5-е изд.). ЦРК Пресс. стр. 810–11. ISBN  9780203325438 .
  3. Перейти обратно: Перейти обратно: а б Хамфрис, Э. (2016). «Глава 2: Семейство СМИБ ISO/IEC 27001» . Внедрение стандарта СМИБ ISO/IEC 27001:2013 . Артех Хаус. стр. 11–26. ISBN  9781608079315 .
  4. Перейти обратно: Перейти обратно: а б с Кэмпбелл, Т. (2016). «Глава 6: Стандарты, рамки, рекомендации и законодательство». Практическое управление информационной безопасностью: Полное руководство по планированию и реализации . Пресс. стр. 71–94. ISBN  9781484216859 .
  5. Перейти обратно: Перейти обратно: а б Уоттс, С. (21 июня 2017 г.). «Уязвимость ИТ-безопасности, угроза и риск: в чем разница?» . Блоги BMC . БМК Программное обеспечение, Inc. Проверено 16 июня 2018 г.
  6. Перейти обратно: Перейти обратно: а б Кэмпбелл, Т. (2016). «Глава 4: Организационная безопасность». Практическое управление информационной безопасностью: Полное руководство по планированию и реализации . Пресс. стр. 43–61. ISBN  9781484216859 .
  7. ^ Лундгрен, Бьёрн; Мёллер, Никлас (2019). «Определение информационной безопасности» . Наука и инженерная этика . 25 (2): 419–441. дои : 10.1007/s11948-017-9992-1 . ISSN   1353-3452 . ПМК   6450831 . ПМИД   29143269 .
  8. Перейти обратно: Перейти обратно: а б с Ким, Д.; Соломон, М.Г. (2016). «Глава 1: Безопасность информационных систем» . Основы безопасности информационных систем . Джонс и Бартлетт Обучение. стр. 2–46. ISBN  9781284128239 .
  9. ^ Терроза, АКС (12 мая 2015 г.). «Обзор системы управления информационной безопасностью (СУИБ)» (PDF) . Институт внутренних аудиторов. Архивировано из оригинала (PDF) 7 августа 2016 года . Проверено 16 июня 2018 г.
  10. ^ «Потребность: потребность в СМИБ» . Управление угрозами и рисками . Агентство Европейского Союза по сетевой и информационной безопасности . Проверено 16 июня 2018 г.
  11. ^ Алави, Р.; Ислам, С.; Муратидис, Х. (2014). «Концептуальная основа анализа человеческого фактора системы управления информационной безопасностью (СУИБ) в организациях». Человеческие аспекты информационной безопасности, конфиденциальности и доверия . Конспекты лекций по информатике. Том. 8533. стр. 297–305. дои : 10.1007/978-3-319-07620-1_26 . ISBN  978-3-319-07619-5 . {{cite book}}: |journal= игнорируется ( помогите )
  12. ^ Типтон, ХФ; Краузе, М. (2010). Справочник по управлению информационной безопасностью . Том. 3 (6-е изд.). ЦРК Пресс. стр. 100–02. ISBN  9781420090956 .
  13. Перейти обратно: Перейти обратно: а б Ким, Д.; Соломон, М.Г. (2016). Основы безопасности информационных систем . Джонс и Бартлетт Обучение. п. 225. ИСБН  9781284128239 .
  14. ^ Лил, Р. (7 марта 2016 г.). «ISO 27001 против ITIL: сходства и различия» . Блог по ISO 27001 и ISO 22301 . ООО «Адвисера Экспертные решения» . Проверено 16 июня 2018 г.
  15. ^ Уайт, Словакия (22 декабря 2017 г.). «Что такое COBIT? Основа согласования и управления» . ИТ-директор . ИДГ Коммуникейшнс, Инк . Проверено 16 июня 2018 г.
  16. ^ «Открытая модель зрелости управления информационной безопасностью (O-ISM3), версия 2.0» . Открытая группа. 21 сентября 2017 года . Проверено 16 июня 2018 г.

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Information_security_management&oldid=1229070245"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 38ad2f3894c0c4d4a7a410971a382b2d__1718377020
URL1:https://arc.ask3.ru/arc/aa/38/2d/38ad2f3894c0c4d4a7a410971a382b2d.html
Заголовок, (Title) документа по адресу, URL1:
Information security management - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)