СУИБ. Определение и описание процесса
Компоненты системы управления информационной безопасностью
Термин «управление» (менеджмент) используется в двух значениях: во-первых, он обозначает руководящий уровень компании, т. е. совокупность руководителей компании, а во-вторых, в более общем смысле — деятельность по руководству и организации работы компании.
Для разграничения этих двух значений, в дальнейшем группа ответственных руководителей будет именоваться «руководством компании» либо «руководящим звеном» в тех случаях, когда речь идёт непосредственно о руководителях, во избежание смешения с «управлением» (менеджментом) как видом деятельности (руководство, координация, планирование).
Система управления компанией представляет собой совокупность правил, процедур и механизмов, направленных на эффективное функционирование и достижение её целей. В свою очередь, система управления информационной безопасностью (СУИБ) является неотъемлемой частью общей системы управления и отвечает за планирование, внедрение, контроль и совершенствование мер, обеспечивающих защиту информационных ресурсов.
Ключевыми компонентами СУИБ являются:
- принципы управления информационной безопасностью — базовые установки и подходы, лежащие в основе деятельности по обеспечению информационной безопасности;
- ресурсное обеспечение — совокупность материальных, финансовых, кадровых и иных средств, необходимых для функционирования СУИБ;
- организационная структура и кадровое обеспечение — распределение полномочий, ответственности и квалификация сотрудников, вовлечённых в процессы управления информационной безопасностью.
Принципы управления включают:
- политику информационной безопасности — документ, определяющий цели, задачи и стратегию обеспечения безопасности информации;
- концепцию информационной безопасности — комплексный документ (набор документов), описывающий систему мер защиты информационных активов;
- организационную структуру управления информационной безопасностью в компании.
Таким образом, СУИБ представляет собой упорядоченную совокупность взаимосвязанных элементов, обеспечивающих управление процессами информационной безопасности в компании.
Стратегия информационной безопасности выступает в качестве ориентира для планирования и реализации дальнейших мероприятий, направленных на достижение установленных целей в сфере обеспечения безопасности компании. Данная стратегия формируется руководящим звеном компании и базируется на её бизнес-целях или задачах государственного учреждения.
Ключевые аспекты стратегии безопасности находят своё отражение в нормативном документе — политике по информационной безопасности компании. Указанный документ имеет принципиальное значение, поскольку содержит открытое заявление руководства компании относительно её стратегических приоритетов в сфере обеспечения информационной безопасности.
Внимание! Материал охраняется авторским правом на основании статьи 1259 ГК РФ.
Третьи лица не вправе использовать с целью создания каких-либо средств обработки представленной информации и размещённых на данной странице результатов интеллектуальной деятельности каким-либо образом без письменного согласия ООО «ЦифраБез». Распространение настоящей информации возможно только при указании ссылки на данную страницу.
Использование результатов интеллектуальной деятельности, если такое использование осуществляется без согласия ООО «ЦифраБез», является незаконным и влечёт ответственность, установленную действующим законодательством РФ.
Ссылки на наши ресурсы:
База знаний по ИБ (https://bzib.cibez.ru/)
ВК (https://vk.com/cibez)
Тенчат (https://tenchat.ru/cibez_nn)
Телеграм (https://t.me/cibez_nn)
Методология "Волга-27001" (https://sponsr.ru/volga27001/)
Материалы по обучению (https://dzen.ru/suite/638438cb-5ba9-432f-a9f2-5dc096208b2c)
Законодательство по ИБ (https://dzen.ru/suite/4342da24-f6b5-4d8f-aade-2a7e8f82af8f)