Управление информационной безопасностью - Information security management

Управление информационной безопасностью (ISM) описывает средства управления, которые организация должна внедрить, чтобы гарантировать, что она разумно защищает конфиденциальность, доступность и целостность активы из угрозы и уязвимости. В расширении ISM включает управление информационными рисками, процесс, который включает в себя оценку рисков, с которыми организация должна иметь дело при управлении активами и их защите, а также распространение рисков среди всех соответствующих заинтересованные стороны.[1] Это требует надлежащей идентификации активов и этапов оценки, включая оценку стоимости конфиденциальность, честность, доступность, и замена активов.[2] В рамках управления информационной безопасностью организация может внедрить систему управления информационной безопасностью и другие передовые методы, найденные в ISO / IEC 27001, ISO / IEC 27002 и стандарты ISO / IEC 27035 по информационной безопасности.[3][4]

Управление рисками и снижение рисков

Управление информационной безопасностью, по сути, означает управление и смягчение различных угроз и уязвимостей для активов, в то же время балансируя усилия управления, затрачиваемые на потенциальные угрозы и уязвимости, путем измерения вероятности их фактического возникновения.[1][5][6] Метеорит врезался в серверная комната безусловно, представляет собой угрозу, но сотрудник службы информационной безопасности, вероятно, приложит мало усилий для подготовки к такой угрозе.

После соответствующей идентификации и оценки активов,[2] управление рисками и снижение рисков для этих активов включает анализ следующих вопросов:[5][6][7]

  • Угрозы: нежелательные события, которые могут привести к преднамеренной или случайной потере, повреждению или неправильному использованию информационных активов.
  • Уязвимости: насколько уязвимы информационные активы и связанные с ними средства управления одной или несколькими угрозами.
  • Влияние и вероятность: величина потенциального ущерба информационным активам от угроз и уязвимостей и насколько серьезный риск они представляют для активов; анализ выгоды и затрат также может быть частью оценки воздействия или отдельно от нее
  • Смягчение: Предлагаемый метод (ы) минимизации воздействия и вероятности потенциальных угроз и уязвимостей.

После того, как угроза и / или уязвимость идентифицированы и оценены как имеющие достаточное влияние / вероятность на информационные активы, можно принять план смягчения последствий. Выбранный метод смягчения последствий во многом зависит от того, в каком из семи доменов информационных технологий (ИТ) находится угроза и / или уязвимость. Угроза апатии пользователя к политикам безопасности (домен пользователя) потребует совершенно другого плана смягчения, чем тот, который использовался ранее. ограничить угрозу несанкционированного зондирования и сканирование сети (домен LAN-to-WAN).[7]

Система управления информационной безопасностью

Система менеджмента информационной безопасности (СМИБ) представляет собой совокупность всех взаимосвязанных / взаимодействующих элементов информационной безопасности организации, чтобы гарантировать, что политики, процедуры и цели могут быть созданы, реализованы, переданы и оценены, чтобы лучше гарантировать общую информацию организации. безопасность. На эту систему обычно влияют потребности, цели, требования безопасности, размер и процессы организации.[8] СМИБ включает в себя эффективные стратегии управления рисками и смягчения их последствий. Кроме того, внедрение СМИБ в организации в значительной степени указывает на то, что она систематически выявляет, оценивает и управляет рисками информационной безопасности и «будет способна успешно удовлетворять требования к конфиденциальности, целостности и доступности информации».[9] Однако человеческий фактор, связанный с разработкой, внедрением и практикой СМИБ (домен пользователя[7]) также необходимо учитывать, чтобы наилучшим образом гарантировать конечный успех СМИБ.[10]

Компоненты стратегии внедрения и обучения

Внедрение эффективного управления информационной безопасностью (включая управление рисками и их снижение) требует стратегии управления, которая принимает во внимание следующее:[11]

  • Руководство высшего уровня должно решительно поддерживать инициативы в области информационной безопасности, давая сотрудникам службы информационной безопасности возможность «получить ресурсы, необходимые для полноценной и эффективной образовательной программы» и, соответственно, систему управления информационной безопасностью.
  • Стратегия информационной безопасности и обучение должны быть интегрированы и распространены через стратегии отделов, чтобы гарантировать, что план информационной безопасности организации положительно повлияет на весь персонал.
  • А Конфиденциальность обучение и осведомленность "оценка рисков «может помочь организации выявить серьезные пробелы в знаниях заинтересованных сторон и их отношении к безопасности.
  • Надлежащие методы оценки для «измерения общей эффективности программы обучения и повышения осведомленности» обеспечивают актуальность политик, процедур и учебных материалов.
  • Политики и процедуры, которые надлежащим образом разработаны, внедрены, доведены до сведения и соблюдаются, «снижают риск и обеспечивают не только снижение риска, но и постоянное соблюдение применимых законов, постановлений, стандартов и политик».
  • Вехи и сроки для всех аспектов управления информационной безопасностью помогают обеспечить успех в будущем.

Без достаточных бюджетных соображений для всего вышеперечисленного - в дополнение к деньгам, выделенным на стандартные вопросы регулирования, ИТ, конфиденциальности и безопасности - план / система управления информационной безопасностью не может быть полностью успешной.

Соответствующие стандарты

Стандарты, которые доступны для помощи организациям во внедрении соответствующих программ и средств управления для снижения угроз и уязвимостей, включают: ISO / IEC 27000 семейство стандартов, Фреймворк ITIL, то Основа COBIT, и O-ISM3 2.0. Семейство ISO / IEC 27000 представляет собой одни из самых известных стандартов, регулирующих управление информационной безопасностью и СМИБ, и основано на мнениях мировых экспертов. В них изложены требования для наилучшего «создания, внедрения, развертывания, мониторинга, анализа, обслуживания, обновления и улучшения систем управления информационной безопасностью».[3][4] ITIL представляет собой набор концепций, политик и передовых практик для эффективного управления инфраструктурой информационных технологий, услугами и безопасностью, отличаясь от ISO / IEC 27001 лишь несколькими способами.[12][13] COBIT, разработчик ISACA, представляет собой основу, помогающую персоналу службы информационной безопасности разрабатывать и внедрять стратегии управления информацией и управления, минимизируя негативные воздействия и контролируя информационную безопасность и управление рисками,[4][12][14] и O-ISM3 2.0 это Открытая группа технологически нейтральная модель информационной безопасности для предприятий.[15]

Смотрите также

Рекомендации

  1. ^ а б Кэмпбелл, Т. (2016). «Глава 1: Эволюция профессии». Практическое управление информационной безопасностью: полное руководство по планированию и внедрению. АПресс. С. 1–14. ISBN  9781484216859.
  2. ^ а б Tipton, H.F .; Краузе, М. (2003). Справочник по управлению информационной безопасностью (5-е изд.). CRC Press. С. 810–11. ISBN  9780203325438.
  3. ^ а б Хамфрис, Э. (2016). «Глава 2: Семейство СМИБ ISO / IEC 27001». Внедрение стандарта ISO / IEC 27001: 2013 СМИБ. Артек Хаус. С. 11–26. ISBN  9781608079315.
  4. ^ а б c Кэмпбелл, Т. (2016). «Глава 6: Стандарты, основы, руководства и законодательство». Практическое управление информационной безопасностью: полное руководство по планированию и внедрению. АПресс. С. 71–94. ISBN  9781484216859.
  5. ^ а б Уоттс, С. (21 июня 2017 г.). «Уязвимость ИТ-безопасности против угрозы против риска: в чем разница?». Блоги BMC. BMC Software, Inc. Получено 16 июн 2018.
  6. ^ а б Кэмпбелл, Т. (2016). «Глава 4: Организационная безопасность». Практическое управление информационной безопасностью: полное руководство по планированию и внедрению. АПресс. С. 43–61. ISBN  9781484216859.
  7. ^ а б c Kim, D .; Соломон, М. (2016). «Глава 1: Безопасность информационных систем». Основы безопасности информационных систем. Джонс и Бартлетт Обучение. С. 2–46. ISBN  9781284128239.
  8. ^ Терроза, А. (12 мая 2015 г.). «Обзор системы управления информационной безопасностью (СМИБ)» (PDF). Институт внутренних аудиторов. Архивировано из оригинал (PDF) 7 августа 2016 г.. Получено 16 июн 2018.
  9. ^ «Потребность: потребность в СМИБ». Управление угрозами и рисками. Агентство Европейского Союза по сетевой и информационной безопасности. Получено 16 июн 2018.
  10. ^ Alavi, R .; Ислам, С .; Муратидис, Х. (2014). «Концептуальные основы анализа человеческого фактора системы менеджмента информационной безопасности (СМИБ) в организациях». Труды Второй Международной конференции по человеческим аспектам информационной безопасности, конфиденциальности и доверия. 8533: 297–305. Дои:10.1007/978-3-319-07620-1_26.
  11. ^ Tipton, H.F .; Краузе, М. (2010). Справочник по управлению информационной безопасностью. 3 (6-е изд.). CRC Press. С. 100–02. ISBN  9781420090956.
  12. ^ а б Kim, D .; Соломон, М. (2016). Основы безопасности информационных систем. Джонс и Бартлетт Обучение. п. 225. ISBN  9781284128239.
  13. ^ Леал, Р. (7 марта 2016 г.). «ISO 27001 и ITIL: сходства и различия». Блог ISO 27001 и ISO 22301. Advisera Expert Solutions Ltd. Получено 16 июн 2018.
  14. ^ Уайт, С. (22 декабря 2017 г.). «Что такое COBIT? Основа для согласования и управления». ИТ-директор. IDG Communications, Inc. Получено 16 июн 2018.
  15. ^ «Открытая модель зрелости управления информационной безопасностью (O-ISM3), версия 2.0». Открытая группа. 21 сентября 2017 г.. Получено 16 июн 2018.

внешняя ссылка