Система менеджмента (управления) информационной безопасности (смиб)

Главная — Информационная безопасность — Основы ИБ — Основные аспекты информационной безопасности — Система менеджмента (управления) информационной безопасности (смиб)

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Управление государственным или частным предприятием невозможно без разработки и внедрения комплексной системы менеджмента. Однако многие предприниматели не осознают масштаб этой задачи. В систему менеджмента входит не только управление персоналом, но и контроль за всеми стратегическими процессами, в том числе – за информационной безопасностью предприятия. Этот элемент системы управления называется системой менеджмента информационной безопасности.

Понятие и принципы управления информационной безопасностью

Система менеджмента информационной безопасности (СМИБ) – это комплекс мероприятий по планированию, разработке, внедрению и контролю системы информационной безопасности на предприятии. Она является неотъемлемой частью общей системы управления предприятием. Поэтому при ее разработке определяются параметры, которые можно интегрировать в общую систему управления организацией. Проще говоря, управление безопасностью информационных активов предприятия не должно идти вразрез с другими функциями менеджмента.

Одним из наиболее важных факторов, влияющих на систему информационной безопасности, является ее надежность. Чтобы обеспечить эффективную защиту информационных активов предприятия, менеджеры используют все возможные методы и средства обеспечения информационной безопасности. К ним относятся компьютерные программы, специальное оборудование, охранные комплексы и другие способы защиты информации.

Разрабатывая систему информационной безопасности, ответственные лица рассчитывают соотношение ее стоимости, эффективности и масштаба возможного ущерба. Если утечка данных приведет к незначительным потерям, то установка дорогостоящих средств защиты будет нецелесообразной.

Исходя из вышесказанного можно сформулировать три основных принципа создания системы безопасности в сфере защиты информационных активов:

совместимость;
эффективность;
экономичность.

Руководствуясь этими принципами, менеджеры государственных и частных предприятий разрабатывают СМИБ.

Законодательная база

Создание, внедрение и использование СМИБ определяется государственным стандартом ISO/IEC 27001:2013, IDT. Это международный стандарт, которым руководствуются все крупные корпорации. В нем изложены все нюансы, которые следует учитывать в процессе создания и пользования системами управления защиты информации.

Кроме международных стандартов менеджмент российских предприятий предусматривает использование национального стандарта ГОСТ Р ИСО/МЭК 27001-2006. Его критерии приближены к международным стандартам, но адаптированы под российские реалии. Отдельным преимуществом ГОСТ Р ИСО/МЭК 27001-2006 является то, что его регулярно пересматривают и переиздают, внося коррективы и делая максимально актуальным.

Порядок создания СМИБ

Чтобы обеспечить информационную безопасность предприятия, необходимо соблюдать четкий алгоритм действий. Его поэтапное выполнение позволит создать эффективную систему защиты данных.

Первый этап работы – анализ деятельности предприятия.

Менеджер должен ответить на вопросы:

Насколько важными сведениями оперируют сотрудники компании?
Каким оборудованием и технологиями пользуются работники организации для создания, обработки и передачи данных?
Чем грозит разглашение информации на электронных и бумажных носителях предприятия?
Исходя из собранных сведений необходимо определить масштаб и границы защиты конфиденциальной информации.

Второй этап работы – формирование политики предприятия относительно соблюдения режима конфиденциальности. Для этого менеджмент компании создает внутреннюю документацию, в которой излагает основные положения режима. Это необходимо для того, чтобы обеспечить комплексную защиту данных, которая будет соответствовать требованиям российского законодательства.

В отношении режима конфиденциальности существует важный нюанс. Если политика предприятия не сформулирована в виде определенного пакета документов, то меры противодействия утечкам информации могут быть названы незаконными.

Это легко объяснить на примере. Представим ситуацию, в которой сотрудник случайно или намеренно разгласил конфиденциальную информацию. Уволить его или привлечь к ответственности будет возможно только в том случае, если сотрудники предприятия в установленном законом порядке были оповещены о введении режима конфиденциальности.

Поэтому формирование политики предприятия относительно мер и способов защиты информации является важным этапом работы руководства компании.

Третий этап работы – выявление и оценка рисков. На этом этапе менеджер оценивает надежность и лояльность персонала предприятия, используемые технологии и оборудование, степень опасности информации для служебного пользования. Кроме этого он выявляет уязвимые места в существующем комплексе защиты данных.

Выявив и оценив риски, руководитель определяет их приемлемость. Если риски незначительные, то и изменений в существующей политике предприятия делать не нужно. При выявлении серьезных рисков следует переходить к следующему этапу работы.

Четвертый этап работы – сравнение и выбор возможных способов защиты информации. К ним относятся различные программные, аппаратные и управленческие инструменты работы с рисками. Сравнивая разные способы защиты информации, важно оценить все преимущества и недостатки: эффективность, стоимость, функциональность, удобство. Из них нужно выбрать те, которые лучше всего подойдут для предприятия. Если на предприятии нет специалиста, способного адекватно оценить и сравнить способы защиты информации, следует привлечь посредников. К ним относятся организации, которые разрабатывают индивидуальные комплексы защиты под заказ.

Пятый и заключительный этап работы – создание эффективного комплекса защиты информации:

доработка и утверждение документов, регламентирующих политику предприятия относительно режима конфиденциальности;
приобретение и установка оборудования, аппаратуры, программного обеспечения, необходимых для защиты информации;
обучение сотрудников предприятия использованию средств защиты информации;
назначение лиц, ответственных за соблюдение режима конфиденциальности.

Выполнив перечисленные этапы работы руководство компании может переходить к внедрению и использованию разработанной СМИБ.

Как обеспечить эффективное управление комплексом информационной безопасности?

Прежде чем начать разрабатывать и внедрять СМИБ, следует объективно оценить необходимость такой защиты, а главное – реальную возможность ее использования. Данные статистических исследований показывают, что даже самые эффективные меры защиты не помогают, если персонал предприятия не соблюдает режим конфиденциальности. Поэтому для обеспечения эффективности планируемых методик защиты важно правильно подойти к разработке политики кадрового менеджмента.

Вторым условием успеха внедренной методики защиты является ее постоянное обновление и совершенствование. Информационные технологии постоянно развиваются, а вместе с ними развиваются способы промышленного шпионажа. Уровень киберпреступности тоже растет. В связи с этим методы защиты данных должны быть актуальными.

Третьим фактором эффективного обеспечения информационной безопасности является постоянный контроль и мониторинг работы комплекса защиты данных. В этом состоит главная задача руководства предприятия – наладить процессы управления и контролировать их.

20.05.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.