Расширенный поиск
Тел.: +7 (925) 203-9511
Факс: +7 (495) 967-7600
E-mail: shop@globaltrust.ru
ICQ: 195623651

Не смогли дозвониться? Мы позвоним сами!
   Главная    Каталог    Ваши вопросы    Новинки    Словарь терминов     Статьи 

                      ВАША КОРЗИНА
    Товаров: 0 шт., 
    Сумма: 0 у.е.
  
    Оформить заказ

      Каталог
  Русские редакции стандартов
  Типовые документы и политики безопасности
  Программные средства менеджмента информационной безопасности
  Антивирусные программы для защиты от вредоносного ПО
  Программные средства управления доступом и идентификационной информацией
  ПО для мониторинга событий безопасности
  ПО для мониторинга действий пользователей
  СЗИ от НСД к информации. Комплексная защита конечных точек
  Средства контроля защищенности и сканеры безопасности
  Средства аутентификации и управление ключевой инфраструктурой
  Программные межсетевые экраны
  Средства предотвращения утечки информации (DLP-системы)
  Криптографические средства (шифрование, дешифрование, электронная подпись, восстановление паролей)
  Средства резервного копирования и восстановления данных
  Операционные системы и приложения
  Универсальные программно-аппаратные комплексы (UTM) для защиты периметра корпоративной сети
  Программно-аппаратные межсетевые экраны
  Системы предотвращения вторжений (IDS/IPS)
  Серверы защищенного удаленного доступа, VPN-шлюзы, SSL-VPN шлюзы
  Антивирусные шлюзы и котентные фильтры
  Аппаратные идентификаторы, токены, смарт-карты, генераторы одноразовых паролей, защищенные флэшки
  Учебные курсы
  Услуги по анализу защищенности корпоративной сети
  Услуги по обеспечению соответствия ФЗ-152 О персональных данных
  Услуги по разработке и внедрению Системы Управления Информационной Безопасностью
  Стандарты и руководства на английском
  Инструментальные комплекты (на английском)
  Книги по информационной безопасности и защите информации

      Разделы
  Оплата и доставка
  О магазине
  Контакты
  Партнерская программа
  Поставщики
  Бонусная программа
  Политика возврата платежа
  Обратная связь
  Партнерам

      Покупателям
  Логин:
     Пароль:
  

  
  Забыли пароль?
  Зарегистрироваться



 Статьи, Практика управления информационной безопасностью
  • Антивирусная защита
    Безопасность от Microsoft: шаг к обновленному миру?
    Выбор оптимального антивирусного решения для малого и среднего бизнеса
  • Аппаратные и программные файрволлы
    Актуальные тенденции: средства сетевой защиты
    Шесть советов от Stonesoft
    Как защитить удаленный банкинг?
    Защита по-крупному. Воплощение стандарта XTM для large-сегмента
    Практические преимущества Fireware® XTM
    Использование сервиса WatchGuard's Gateway Antivirus для защиты электронной почты
    Когда брандмауэры конфликтуют
  • Аудит информационной безопасности
    Фарминг DNS. Кто-то отравил источник!
    COBIT для ИТ аудиторов
    Аудит безопасности информационных систем
    Анализ защищенности корпоративных автоматизированных систем
  • Защита конечных пользователей
    Как защищать персональные данные в интернете
    Информационный бронежилет для простых пользователей
    Мы уверенны в безопасности мобильных устройств, утверждают пользователи
    Пользователи и безопасность
    Новые вопросы, старые ответы
  • Защита от инсайдеров
    WikiLeaks, нормы и глобальная конкурентоспособность. Причины для пересмотра вашей стратегии предотвращения утери данных (DLP)
    Внутренние угрозы: новый вызов корпоративным службам ИБ
    Шифрование мобильных устройств
    Новый подход к защите ПК от Symantec
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Как защищаться от инсайдера?
  • Кибератаки и кибертерроризм
    Черный DDOS
    Атака c воздуха
    Остерегайтесь обратных каналов
    Хаки, фрики и черви: события, которые изменили безопасность Интернет
    Свобода киберпространства
    Самые успешные проекты американского правительства в области информационной безопасности
    Реалии и мифы кибертерроризма
    Особенности обеспечения информационной безопасности промышленных систем
  • Мнения
    Нужен ли пользователю интернет-паспорт?
    Facebook и бесконечные разговоры о тайне частной жизни
    Боб Мур знает, как не быть уволенным
    Что мешает развитию ИБ в России?
    InfoSecurity Europe 2006: свежие впечатления
    Почему ВУЗ не способен подготовить специалиста по информационной безопасности?
  • Новинки программного обеспечения
    Microsoft Windows Server 2008. Обзор новых возможностей и некоторые практические заметки.
  • Стандарты информационной безопасности
    Увлекательное путешествие по страницам российского банковского стандарта информационной безопасности – Часть первая
    Введение в COBIT
    Международный опыт управления информационной безопасностью для российских компаний
    История стандарта BS 7799
    BSI и BS 7799 – Видение разработчиков
  • Управление информационной безопасностью
    Как управлять рисками информационной безопасности?
    Как построить и сертифицировать систему управления информационной безопасностью?
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Разработка и внедрение эффективных политик информационной безопасности
    Практика управления информационной безопасностью
  • Управление событиями, изменениями и инцидентами
    Программные средства аудита изменений компании NetWrix для обеспечения соответствия нормативным требованиям в области информационной безопасности
  •  Статья   Практика управления информационной безопасностью

    Невский А.Г.
    (по материалам публикации U.S. General Accounting Office Executive Guide. Information Security Management. Learning From Leading Organizations)

    Предисловие

    Полагаю, нет необходимости в очередной раз пространно и долго рассуждать о широком применении в деятельности современных финансовых организаций информационных и автоматизированных систем, о необходимости обеспечения доступности, целостности, а также конфиденциальности обрабатываемой информации, рисках, способных существенно затруднить достижение миссии организации. Тем не менее, несмотря на огромную зависимость от электронной информации и систем, многие продолжают сталкиваться с серьезными проблемами обеспечения информационной безопасности.

    Эта статья основана на публикации Главного Счетного Управления США (GAO) "Executive Guide. Information Security Management. Learning From Leading Organizations". Цель работы состояла в том, чтобы определить методы успешного управления информационной безопасностью ведущих мировых компаний. В результате GAO был предложен набор решений (принципов), позволяющих построить эффективную систему управления информационной безопасностью. Вместе с тем, стоит отметить, что эти принципы являются всего лишь одним из аспектов стратегии управления информационными технологиями (далее – ИТ) организации. Невозможно успешно управлять информационной безопасностью, при неудовлетворительном ИТ менеджменте.

    Цели обеспечения информационной безопасности

    Организации, изученные GAO, должны были обеспечить целостность, конфиденциальность и доступность своих информационных ресурсов. Так как деятельность финансовых организаций нацелена на получение прибыли, информационная безопасность была направлена на предоставление безопасных, эффективных и заслуживающих доверия продуктов и услуг клиентам и бизнес-партнерам, предотвращение мошенничества и разглашения конфиденциальной информации, обеспечение соответствия законам и регулирующим актам.

    Основные принципы управления рисками информационной безопасности

    Несмотря на разные операции, продукты и услуги, организации использовали пять принципов управления рисками информационной безопасности.

    • Оценить риск и определить потребности
    • Установить централизованное управление
    • Внедрить необходимые политики и соответствующие средства контроля
    • Содействовать осведомленности сотрудников
    • Контролировать и оценивать эффективность политик и механизмов контроля
    Существенным фактором эффективного осуществления этих принципов является связующий цикл деятельности, гарантирующий, что управление информационной безопасностью постоянно нацелено на текущие риски. Важно, чтобы высший менеджмент организации признал наличие рисков нарушения бизнес-процессов, связанных с безопасностью информационных систем. Основанием для разработки и внедрения политик и выбора необходимых средств контроля является оценка рисков отдельных бизнес-приложений. Принятые шаги позволят увеличить осведомленность пользователей о рисках и соответствующих политиках. Эффективность средств контроля подлежит оценке путем различных исследований и аудиторских проверок. Полученные результаты обеспечивают подход к последующей оценке рисков и определяют необходимые изменения в политиках и средствах контроля. Все эти действия централизовано координируются службой безопасности или штатом специалистов, состоящем из консультантов, представителей бизнес-подразделений и менеджмента организации.

    Методы реализации программы информационной безопасности

    Следующие шестнадцать методов, используемые для реализации пяти принципов управления рисками, выделенны на следующей иллюстрации. Эти методы являются ключевыми для эффективной реализации программы информационной безопасности организации.

    Оценить риск и определить потребности

    Оценка риска является первым шагом реализации программы обеспечения информационной безопасности. Безопасность не рассматривается "сама по себе", но как набор политик и соответствующих средств контроля, предназначенных для обеспечения бизнес-процессов и уменьшения соответствующих рисков. Таким образом, определение бизнес-рисков, связанных с информационной безопасностью – отправная точка цикла управления риском (информационной безопасностью).

    Признать информационные ресурсы в качестве существенных (неотъемлемых) активов организации

    Признание рисков информационной безопасности менеджментом организации, а также набора мер, направленных на определение и управление этими рисками является важным фактором развития программы обеспечения информационной безопасности. Такой подход менеджмента позволит гарантировать, что информационная безопасность серьезно рассматривается и на более низких организационных уровнях организации, а специалисты информационной безопасности обеспечены ресурсами, необходимыми для эффективного осуществления программы.

    Разработать практические процедуры оценки рисков, связывающие безопасность и требования бизнеса

    Существуют различные методологии оценки риска, начиная от неформального обсуждения риска и заканчивая достаточно сложными методами, предусматривающими использование специализированных программных средств. Однако, мировой опыт успешных процедур управления рисками описывает относительно простой процесс, предусматривающий участие различных подразделений финансовых организаций с привлечением специалистов со знаниями бизнес-процессов, технических специалистов и специалистов в области защиты информации.

    Стоит подчеркнуть, что понимание рисков не предусматривает их точного количественного определения, включая вероятность инцидента или стоимость ущерба. Такие данные недоступны, так как потери могут быть не обнаружены, а менеджмент не поставлен в известность. Кроме того, данные о полных затратах на устранение ущерба, вызванного слыбыми механизмами контроля безопасности, а также операционной стоимости этих механизмов (механизмов контроля) ограничены. Из-за потоянных изменений технологий, а также программных средств и инструментов, доступных злоумышленникам, применение статистических данных, собранных в предыдущие годы сомнительно. В результате, трудно, если это вообще возможно, точно сравнить стоимость средств контроля с риском потери чтобы определить какое средство контроля является наиболее рентабельным. В любом случае, менеджеры бизнес-подразделений и специалисты в области информационной безопасности должны пологаться на наиболее полную информацию, доступную им при принятии решения о выборе необходимых средств (методов) контроля.

    Установить ответственность менеджеров бизнес-подразделений и менеджеров, участвующих в программе обеспечения безопасности

    Менеджеры бизнес-подразделения должны нести первичную ответственность за определение уровня безопасности (конфиденциальности) информационных ресурсов, обеспечивающих бизнес-процессы. Именно менеджеры бизнес-подразделений в наибольшей степени способны определить, какой из информационных ресурсов является наиболее критичным, а также возможное влияние на бизнес, в случае нарушения его целостности, конфиденциальности или доступности. Кроме того, менеджеры бизнес-подразделений могут указать на средства (механизмы) контроля, способные нанести вред бизнес-процессам. Таким образом, привлекая их к выбору средств контроля можно гарантировать, что средства контроля удовлетворяют поставленным требованиям, и будут успешно внедрены.

    Непрерывно управлять рисками

    Информационной безопасности стоит уделять постоянное внимание, чтобы гарантировать адекватность и эффективность средств контроля. Как было отмечено ранее, современные информационные и смежные технологии, также как и факторы, относящиеся к информационной безопасности, постоянно изменяются. Такие факторы включают в себя угрозы, технологии и системные конфигурации, известные уязвимости в программном обеспечении, уровень надежности автоматизированных систем и электронных данных, критичность данных и операций.

    Установить централизованное управление

    Руководящая группа выступает, прежде всего, в роли советника или консультанта бизнес-подразделений, и не может навязывать методы (средства) информационной безопасности.

    Определить руководящую группу для выполнения ключевых действий

    В целом, руководящая группа должна являться (1) катализатором (ускорителем) процесса, гарантирующим, что риски информационной безопасности рассматриваются непрерывно; (2) центральным консультационным ресурсом для подразделений организаций; (3) средством доведения до руководства организации информации о состоянии информационной безопасности и принимаемых мерах. Кроме того, руководящая группа позволяет централизовано управлять поставленными задачами, в противном случае эти задачи могут дублироваться различными подразделениями организации.

    Предоставить руководящей группе простой и независимый доступ к высшему менеджменту организации

    Отметим необходимость обсуждения проблем информационной безопасности менеджерами руководящей группы с высшим менеджментом организации. Такой диалог позволит действовать эффективно и избежать разногласий. В противном случае возможны конфликтные ситуации с менеджерами бизнес-подразделений и разработчиками систем, желающими скорейшего внедрения новых программных продуктов, и, потому, оспаривающими применение средств контроля, которые могут препятствовать эффективности и "комфортности" работы с программным обеспечением. Таким образом, возможность обсуждения проблем информационной безопасности на высшем уровне сможет гарантировать полное понимание рисков и их допустимость до принятия окончательных решений.

    Определить и выделить бюджет и персонал

    Бюджет позволит планировать и устанавливать цели программы информационной безопасности. Как минимум, бюджет включает заработную плату сотрудников и затраты на обучение. Штатная численность руководящей группы (подразделения безопасности) может варьироваться и завистить как от поставленных целей, так и от проектов, находящихся на рассмотрении. Как было отмечено ранее, к работе в группе могут привлекаться как технические специалисты, так и сотрудники бизнес-подразделений.

    Повышать профессионализм и технические знания сотрудников

    Сотрудники организации должны участвовать в различных аспектах программы информационной безопасности и обладать соответствующими навыками и знаниями. Необходимый уровень профессионализма сотрудников может быть достигнут с помощью тренингов, проводить которые могут как специалисты организации, так и внешние консультанты.

    Внедрить необходимые политики и соответствующие средства контроля

    Политики в области информационной безопасности являются основанием принятия определенных процедур и выбора средств (механизмов) контроля (управления). Политика – первичный механизм, с помощью которого менеджмент доводит свое мнение и требования сотрудникам, клиентам и деловым партнерам. Для информационной безопасности, как и для других областей внутреннего контроля, требования политик напрямую зависят от результатов оценки уровня риска.

    Установить взаимосвязь политик и бизнес-рисков

    Всесторонний набор адекватных политик, доступных и понятных пользователям, является одним из первых шагов в установлении программы обеспечения информационной безопасности. Стоит подчеркнуть важность непрерывного сопровождения (корректировки) политик для своевременного реагирования на выявляемые риски и возможные разногласия.

    Установить отличия между политиками и руководящими принципами

    Общий подход к созданию политик информационной безопасности должен предусматривать (1) краткие (лаконичные) политики высокого уровня и (2) более детальную информацию, представленную в практических руководствах и стандартах. Политики предусматривают основные и обязательные требования, принятые высшим менеджментом. В то время как практические руководства не являются обязательными для всех бизнес-подразделений. Такой подход позволяет высшему менеджменту акцентировать внимание на наиболее важных элементах информационной безопасности, а также предоставить возможность маневрирования менеджерам бизнес-подразделений, сделать политики легкими для понимания сотрудников.

    Обеспечить сопровождение политик руководящей группой

    Руководящая группа должна быть ответственна за разработку политик информационной безопасности организации во взаимодействии с менеджерами бизнес-подразделений, внутренними аудиторами и юристами. Кроме того, руководящая группа должна обеспечить необходимые разъяснения и предоставить ответы на вопросы пользователей. Это поможет уладить и предотвратить недоразумения, а также принять необходимые меры, не предусмотренные политиками (руководящими принципами).

    Политики стоит сделать доступными, так чтобы пользователи, при необходимости, могли получить доступ к их актуальным версиям. Пользователи должны расписываться в том, что они ознакомлены с политиками до предоставления им доступа к информационным ресурсам организации. Если пользователь будет вовлечен в инцидент безопасности, это соглашение послужит свидетельством того, что он или она были проинформированы о политике организации, как и о возможных санкциях, в случае ее нарушения.

    Содействовать осведомленности

    Компетентность пользователей является обязательным условием для успешного обеспечения информационной безопасности, а также позволяет гарантировать, что средства контроля работают должным образом. Пользователи не могут следовать политике, которую они не знают или не понимают. Не зная о рисках, связанных с информационными ресурсами организации, они не могут видеть необходимости исполнения политики, разработанной с целью уменьшения рисков.

    Непрерывное обучение пользователей и других сотрудников на примере рисков и соответствующих политик

    Руководящая группа должна обеспечить стратегию постоянного обучения сотрудников, так или иначе влияющих на информационную безопасность организации. Группа должна сосредоточить усилия на всеобщем понимании рисков, связанных с информацией, обрабатываемой в организации, а также политиках и методах (средствах) контроля, направленных на уменьшение этих рисков.

    Использовать дружественный подход

    Руководящая группа должна использовать разнообразные методы обучения и поощрения (стимулирования) чтобы сделать политику организации доступной и обучить пользователей. Стоит избегать встреч, проводимых раз в год со всеми сотрудниками организации, напротив обучение лучше проводить в небольших группах сотрудников.

    Контролировать и оценивать эффективность политик и механизмов контроля

    Как и любой вид деятельности, информационная безопасность подлежит контролю и периодической переоценке, чтобы гарантировать адекватность (соответствие) политик и средств (методов) контроля поставленным целям.

    Контролировать факторы, влияющие на риски и указывающие на эффективность информационной безопасности

    Контроль должен быть сосредоточен, прежде всего, на (1) наличии средств и методов контроля и их использования, направленного на уменьшение рисков и (2) оценке эффективности программы и политик информационной безопасности, улучшающих понимание пользователей и сокращающих количество инцидентов. Такие проверки предусматривают тестирование средств (методов) контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности, а также другие индикаторы эффективности программы информационной безопасности. Эффективность работы руководящей группы может быть оценена, основываясь, например, на следующих показателях (но, не ограничиваясь ими):

    • число проведенных тренингов и встреч;
    • число выполненных оценок риска (рисков);
    • число сертифицированных специалистов;
    • отсутствие инцидентов, затрудняющих работу сотрудников организации;
    • снижение числа новых проектов, внедренных с задержкой из-за проблем информационной безопасности;
    • полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований информационной безопасности;
    • снижение числа инцидентов, влекущих за собой несанкционированный доступ, потерю или искажение информации.
    Использовать полученные результаты для координации будущих усилий и повышения ответственности менеджмента

    Контроль, безусловно, позволяет привести организацию в соответствие с принятыми политикам информационной безопасности, однако полные выгоды от контроля не будут достигнуты, если полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистам в области информационной безопасности и менеджерам бизнес-подразделений средства (1) переоценки ранее идентифицированных рисков, (2) определения новых проблемных участков, (3) переоценки достаточности и уместности существующих средств и методов контроля (управления) и действий по обеспечению информационной безопасности, (4) определения потребностей в новых средствах и механизмах контроля, (5) переадресации контрольных усилий (контролирующих действий). Кроме того, результаты могут использоваться для оценки деятельности бизнес-менеджеров, ответственных за понимание и уменьшение рисков в бизнес-подразделениях.

    Отслеживать новые методы и средства контроля

    Важно гарантировать, что (1) специалисты в области информационной безопасности не "отстают" от разрабатываемых методов и инструментов (приложений) и располагают самой последней информацией об уязвимости информационных систем и приложений, (2) высший менеджмент гарантирует, что располагает для этого необходимыми ресурсами.

    Заключение

    Развитие программы информационной безопасности, соответствующей основным принципам, описанным в этом документе – первый и основной шаг организации на пути построения эффективной системы информационной безопасности. Таким образом, организация должна непрерывно (1) исследовать и оценивать риски информационной безопасности, влияющие на бизнес-процессы, (2) установить централизованное управление информационной безопасностью, (3) установить политики, стандарты, и средства (механизмы) контроля (управления), направленные на уменьшение этих рисков, (4) содействовать осведомленности и пониманию, описанной проблемы среди сотрудников, и (5) оценивать соответствие и повышать эффективность.

    Комментарий автора:

    В документе не зря упомянута "руководящая группа". Это в России практикуется подход направленный на создание подразделения (зачастую очень большого), решающего вопросы ИБ. Как показывает практика эти люди дублируют функции сотрудников ИТ подразделений, в любом случае, выполняющих функции ИБ. За рубежом, напротив, работу координирует менеджер (офицер безопасности) - административный и методологический центр управления ИБ. За риски отвечают менеджеры подразделений, они же делигируют функции управления ИБ подразделениям ИТ. В результате - эффективная и понятная система, с ясными ответственностью и обязанностями, и, что немаловажно - экономия денег.

    Оригинал статьи на GlobalTrust.ru: http://www.globaltrust.ru/security/Pubs/Pub3_NAG_ISMG.htm

    Все статьи  



    Каталог по брендам    
       8man
       Acronis
       ActivIdentity
       Aladdin
       BSI
       CA
       Check Point
       Digital Security
       DrWeb
       eEye
       ElcomSoft
       eScan
       ESET
       Falcongaze
       Fortinet
       GFI
       GlobalTrust
       Handy Backup
       Imperva
       InfoGov
       Information Shield
       IronKey
       IT Governance
       Juniper
       Kaspersky
       Kerio
       KTE Labs
       Lumension Security
       McAfee
       Microsoft
       MobileIron
       NetworkProfi
       NetWrix
       Outpost24
       Panda
       PineApp
       Positive Technologies
       Q1 Labs
       SearchInform
       SonicWALL
       Sourcefire
       SpectorSoft
       Stonesoft
       Strohl Systems
       Symantec
       Trend Micro
       WatchGuard
       Websense
       Zecurion
       АлтэксСофт
       Аналитические бизнес решения
       АтомПарк
       Газинформсервис
       Код Безопасности
       Конфидент
       Цифровые Технологии

    Новости    
    01.07.2015 GFI LanGuard получил награду «Лучший инструмент для управления уязвимостями»
    30.06.2015 GlobalTrust присвоен статус золотого партнера компании GFI
    23.07.2014 Специальная акция: VIP-клиент GFI Software
    17.07.2014 Fortinet: сертифицированные ФСТЭК решения
    17.06.2014 Продукты линеек eToken ГОСТ и JaCarta ГОСТ от "Аладдин Р.Д." сертифицированы ФСБ России в соответствии с требованиями 63-ФЗ "Об электронной подписи"
    05.06.2014 Stonesoft, McAfee Group Company, объявляет о получении продленного сертификата ФСТЭК России на систему предотвращения вторжений с функцией межсетевого экрана StoneGate IPS
    Архив новостей  

    Товары дня    
    SpectorSoft Spector 360 Recon

    SpectorSoft Spector 360 Recon
     Купить0 руб.
    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской

    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской
     Купить245850 руб.
    SPS 53102 SpectorSoft Spector 360 для сетей, 1 лицензия (при покупке 50-99 корпоративных лицензий)

    SPS 53102 SpectorSoft Spector 360 v.8,1 лицензия (при покупке 100-249 лицензий)
     Купить5300 руб.

      Copyright 2006-2012 © GTrust.ru Создание интернет магазина: BORNET.ru  
    Тел.: +7 (925) 203-9511 Факс: (495) 967-7600
    E-mail: shop@globaltrust.ru; ICQ: 195623651