# Бесплатная экспертная база знаний по управлению ИТ

Никакого пересказа ITIL, COBIT, ISO 20000, PRINCE2, TOGAF и прочего. Только сведения от консультантов и тренеров Cleverics. Включает ответы на **несколько тысяч вопросов** из **сотен источников**, а также детальный глоссарий с примерами, объяснениями и нюансами

# Управление информационной безопасностью

[Процесс](https://cleverics.ru/digital/kb-glossary/process/), обеспечивающий [конфиденциальность](https://cleverics.ru/digital/kb-glossary/confidentiality/), [целостность](https://cleverics.ru/digital/kb-glossary/integrity/) и [доступность](https://cleverics.ru/digital/kb-glossary/availability/)[активов](https://cleverics.ru/digital/kb-glossary/asset/), информации, данных и [ИТ-услуг](https://cleverics.ru/digital/kb-glossary/it-service/)[организации](https://cleverics.ru/digital/kb-glossary/organization/). [Управление информационной безопасностью](https://cleverics.ru/digital/kb-glossary/information-security-management-practice/) обычно является частью организационного подхода к управлению безопасностью, который имеет более широкий охват, чем [поставщик услуги](https://cleverics.ru/digital/kb-glossary/service-provider/), и включает, например, [обращение](https://cleverics.ru/digital/kb-glossary/call/) с бумажными [документами](https://cleverics.ru/digital/kb-glossary/document/), доступ в здания, телефонные звонки и т. д. для всей организации.

## Оригинальный английский термин

information security management

## Подробности

Управление информационной безопасностью — это управленческий процесс, который обеспечивает защиту информации как актива и делает эту защиту воспроизводимой и контролируемой на уровне всей организации. В [ITSM](https://cleverics.ru/digital/kb-glossary/it-service-management/) этот процесс важен потому, что [ценность](https://cleverics.ru/digital/kb-glossary/value/) ИТ-услуги напрямую зависит от доверия к ней: [заказчик](https://cleverics.ru/digital/kb-glossary/customer/) ожидает, что данные останутся конфиденциальными, не будут искажены и будут доступны тогда, когда это нужно. На [практике управление информационной безопасностью](https://cleverics.ru/digital/kb-glossary/information-security-management-practice/) устанавливает требования и контрольные меры, встраивает их в [проектирование](https://cleverics.ru/digital/kb-glossary/design/)[услуг](https://cleverics.ru/digital/kb-glossary/service/), [изменение](https://cleverics.ru/digital/kb-glossary/change/) и [развёртывание](https://cleverics.ru/digital/kb-glossary/deployment/), а также в повседневное [предоставление и поддержку](https://cleverics.ru/digital/kb-glossary/deliver-and-support/). Оно задаёт рамки для [управления доступами](https://cleverics.ru/digital/kb-glossary/access-management/), обработки [уязвимостей](https://cleverics.ru/digital/kb-glossary/vulnerability/), [классификации](https://cleverics.ru/digital/kb-glossary/classification/) и хранения данных, журналирования и [мониторинга](https://cleverics.ru/digital/kb-glossary/monitoring/), реагирования на [инциденты](https://cleverics.ru/digital/kb-glossary/incident/) безопасности и [восстановления](https://cleverics.ru/digital/kb-glossary/recovery/), включая цели по доступности. При этом термин шире чисто «ИТ-защиты»: он включает организационные меры, работу с бумажными носителями, физический доступ и коммуникации, если они влияют на безопасность информации. Вне охвата термина находятся, например, вопросы общей ИТ-архитектуры, [производительности](https://cleverics.ru/digital/kb-glossary/performance/) или [планирования мощностей](https://cleverics.ru/digital/kb-glossary/capacity-planning/), если они не связаны с конфиденциальностью, целостностью или доступностью.## Нюансы

Частая [ошибка](https://cleverics.ru/digital/kb-glossary/error/) — сводить управление информационной безопасностью только к техническим средствам (антивирус, межсетевой экран, шифрование). Это прежде всего управляемый процесс, который задаёт правила и [контроль](https://cleverics.ru/digital/kb-glossary/control/), распределяет ответственность и обеспечивает измеримость. Его также путают с [политикой](https://cleverics.ru/digital/kb-glossary/policy/): [политика информационной безопасности](https://cleverics.ru/digital/kb-glossary/information-security-policy/) — это документированный набор намерений и принципов, а управление информационной безопасностью обеспечивает их применение и проверяемое соблюдение. Ещё одна путаница возникает с [управлением рисками](https://cleverics.ru/digital/kb-glossary/risk-management-practice/): [оценка риска](https://cleverics.ru/digital/kb-glossary/risk-assessment/) и управление [рисками](https://cleverics.ru/digital/kb-glossary/risk/) помогают определить, какие [угрозы](https://cleverics.ru/digital/kb-glossary/threat/) и последствия допустимы, но управление информационной безопасностью реализует и поддерживает контрольные меры, чтобы держать риски на приемлемом уровне. Нельзя ограничиваться только периметром [поставщика](https://cleverics.ru/digital/kb-glossary/supplier/) услуги: в определении подчёркнут организационный масштаб, поэтому утечки через бумажные документы, звонки в [сервис-деск](https://cleverics.ru/digital/kb-glossary/service-desk/) с социальным инжинирингом или неконтролируемый доступ в помещения — такие же объекты управления, как и [ИТ-инфраструктура](https://cleverics.ru/digital/kb-glossary/it-infrastructure/). Также важно не смешивать инцидент и [проблему](https://cleverics.ru/digital/kb-glossary/problem/): инцидент безопасности требует быстрого восстановления приемлемого уровня защищённости и доступности, тогда как устойчивое устранение причины и предотвращение повторов относится к [управлению проблемами](https://cleverics.ru/digital/kb-glossary/problem-management-practice/) и [контролю ошибок](https://cleverics.ru/digital/kb-glossary/error-control/).## Примеры

- Внедрение многофакторной аутентификации и регулярный пересмотр прав доступа пользователей к ИТ-услуге с контролем конфиденциальности данных
- Организация процесса классификации информации и правил хранения: запрет передачи персональных данных по незащищённым каналам и контроль целостности архивов
- Настройка мониторинга и корреляции событий безопасности с последующим реагированием на попытки подбора пароля к корпоративной почте
- Регламентация обработки бумажных документов: хранение в сейфах, журнал выдачи, уничтожение по правилам, чтобы сохранить конфиденциальность и целостность
- Подготовка и проверка планов восстановления после катастрофы для критичной ИТ-услуги, чтобы обеспечить целевые показатели доступности

## Рекомендуемые продукты по этой теме

- [ITSM. Основы управления ИТ-услугами](https://edu.cleverics.ru/itsm-foundation?utm_source=knowledgebase&utm_medium=article&utm_content=banner&utm_term=ITFO4) — Учебный курс: интенсив с тренером. Самый популярный тренинг по управлению ИТ
- [Apollo 13 — ITSM на практике](https://edu.cleverics.ru/apollo?utm_source=knowledgebase&utm_medium=article&utm_content=banner&utm_term=APOLLO) — Деловая игра. Service Desk, управление инцидентами, проблемами, изменениями
- [Altevics](https://cleverics.ru/solutions/altevics?utm_source=knowledgebase&utm_medium=article&utm_content=banner&utm_term=altevics) — Современная ITSM/ESM-система