Уровни зрелости СОИБ организации

Службы, организующие защиту информации на уровне предприятия

· Служба экономической безопасности;

· Служба безопасности персонала (Режимный отдел);

· Отдел кадров;

· Служба информационной безопасности.

Лекция 2-3 «Понятие информационной безопасности»

Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности:

0-й уровень:

· информационной безопасностью в компании никто не занимается, руководство компании не осознает важности проблем информационной безопасности;

· финансирование отсутствует;

· информационной безопасностью реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

1-й уровень:

· информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа (концепция информационной безопасности, политика) развития СОИБ компании;

· финансирование ведется в рамках общего ИТ-бюджета;

· информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (построения виртуальных частных сетей), т.е. традиционные средства защиты.

2-й уровень:

· информационная безопасность рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности информационной безопасности для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;

· финансирование ведется в рамках отдельного бюджета;

· информационная безопасность реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

3-й уровень:

· информационная безопасность является частью корпоративной культуры, назначен CISA (старший администратор по вопросам обеспечения информационной безопасности);

· финансирование ведется в рамках отдельного бюджета;

· информационная безопасность реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты нарушения информационной безопасности), SLA (соглашение об уровне сервиса).

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

1. Законодательная, нормативно-правовая и научная база.

2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.

3. Организационно-технические и режимные меры и методы (Политики информационной безопасности).

4. Программно-технические способы и средства обеспечения информационной безопасности.