Системы управления информационной безопасностью. Управление конфигурациями и изменениями. Получение оценок субъективной вероятности. Моделирование процессов создания и оценки эффективности систем защиты информации

Система Управления ИБ (СУИБ)

            В конце 2005 года вышел в свет новый м/у народный стандарт в области ИБ BS-ISO/IEC 2701:2005 (27000-группа стандартов ИБ ещё не принята в РФ).

            В этом документе сформулированы требования к СУИБ, включая общую методологию создания, внедрение и оценки эффективности составляющих её механизмов систем управления (СУ).

            В настоящее время наблюдается повышенный интерес к этому стандарту со стороны компаний работающих в различных областях.

            Соответствие этому стандарту становится важным фактом коммерческого успеха организации благодаря целому ряду преимуществ:

1.  Конкурентное преимущество

2.  Повышение положения компании в м/у народных рейтингах для привлечения иностранных инвестиций и выхода на иностранные рынки

3.  Повышение стоимости акций компании

4.  Демонстрация партнерам и клиентам высокого уровня своей надежности за счет адекватной ЗИ, включая И клиентов и партнеров.

5.  Снижение рисков связанных с возможными ущербами для активов компании

6.  Повышение прозрачности процессов управления в ИБ в организации за счет:

·  Четкого разделения полномочий и ответственности за обеспечением ИБ

·  Формирования критериев оценки эффективности выполняемых мероприятий по защите ИБ. Критерии оценки д/б изображены на основе метрик, т.е д/б представлены в числовых показателях

·  Обоснование затрат на ИБ (любое решение в защите ИБ д/б подтверждено экономически)

Перечисленные преимущества приобретаются в результате получения сертификата соответствия СУИБ организации требованиям стандарта, который выдается независимым органом по сертификации, при успешном прохождении сертификационного аудита.

Самым трудоемким и сложным этапом на пути к сертификации является СУИБ и внедрение её механизмов в компании.

BS-ISO/IEC Стандарт – представляет собой модель системы менеджмента в области ИБ, как и любая другая современная система менеджмента, СУИБ это прежде всего набор организационных мероприятий и процедур управления. (Поэтому он не является техническим, он направлен на методы и средства управления).

В основе стандарта лежит процессный подход к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ компании. Он заключается в создании и применении системы  процессов управления, которые взаимоувязаны в непрерывный цикл:

1.  Планирования

2.  Внедрения

3.  Проверки

4.  Улучшения СУИБ

Внутренний аудит – Непрерывный контроль за всеми составляющими.

Внешний аудит – Сертификат, который получен в результате проведения проверочных мероприятий .

Дополнительно в стандарте приведен перечень механизмов ЗИ программно-технического уровня, который может использоваться в тех или иных случаях (Взят из стандарта 17799).

Т.о. СУИБ построенное в соответствии с требованиями стандарта представляет собой комплексную систему, включающую механизмы управления и защиты.

Механизмы управления – документы различного уровня (политики, процедуры, стандарты, руководства, другая нормативно-распорядительная документация