Для обеспечения информационной безопасности Corporate Security Group использует подход по управлению информационными рисками (рис. 2.4). Под управлением рисками здесь понимается процесс определения, оценки и уменьшения рисков на постоянной основе. Управление рисками безопасности позволяет найти разумный баланс между стоимостью средств и мер защиты и требованиями бизнеса. Модель управления рисками Corporate Security Group представляет собой комбинацию различных подходов, таких, как количественный анализ рисков, анализ возврата инвестиций в безопасность, качественный анализ рисков, а также подходы лучших практик.

...

Инвестирование в процесс управления рисками – с цельной структурой и определенными ролями и обязанностями – готовит организацию к определению приоритетов, планированию уменьшения угрозы и переходу к парированию или нейтрализации следующей угрозы или уязвимости. Для наилучшего управления рисками Corporate Security Group следует традиционному подходу по управлению рисками, состоящему из четырех этапов:

•  оценка информационных рисков – выполнение методологии оценки риска для определения его величины;

•  разработка политики безопасности – разработка политики безопасности по уменьшению, уклонению и предупреждению рисков;

•  внедрение средств защиты – объединение сотрудников, процессов и технологий для уменьшения рисков, связанных с анализом соотношения «цена – качество»;

•  аудит безопасности и измерение текущей защищенности – мониторинг, аудит безопасности и измерение защищенности информационных систем компании.

Как видно из рис. 2.5, разработка политики является одним из этапов по управлению информационными рисками.

Методология, используемая при разработке политики, базируется на стандарте ISO 17799:2005 (BS 7799).

Рекомендуемая компанией Microsoft политика безопасности включает в себя:

• определение целей безопасности;

...

• определение требуемого уровня безопасности;

• стандарты безопасности, включая стратегии их мониторинга и аудита;

• роли и ответственность по обеспечению безопасности;

• цели и задачи офицера по безопасности;

• определение процессов по защите индивидуальных компонентов архитектуры;

• определение программ обучения вопросам безопасности.

Примерами декларируемых целей безопасности являются:

• достижение максимально возможного уровня качества, надежности и конфиденциальности информации;

• сохранение репутации компании;

• недопущение повреждения или утери информации, процессов, собственности компании и обеспечение таким образом непрерывной работы компании;

Для разработки целей безопасности создается комитет по информационной безопасности. Комитет состоит из сотрудников с опытом работы в области безопасности, технических сотрудников и представителей других подразделений под руководством офицера по безопасности. Комитет решает следующие задачи:

• разработка и управление жизненным циклом политики безопасности;

• создание процессов, обеспечивающих достижение целей безопасности;

• создание процессов и планов по реализации стандартов, описанных в политике;

• помощь в организации программ ознакомления с вопросами безопасности;

• консультирование персонала по вопросам безопасности;

2.5. Подход компании Symantec

Руководящие документы в области безопасности (политики, стандарты, процедуры и метрики безопасности), как полагают в Symatec, являются основой любой успешной программы обеспечения информационной безопасности компании (см. рис. 2.6).

...