| Перейти к полной базе знаний Перейти к полному глоссарию | |
Управление информационной безопасностью | |
Процесс, обеспечивающий конфиденциальность, целостность и доступность активов, информации, данных и ИТ-услуг организации. Управление информационной безопасностью обычно является частью организационного подхода к управлению безопасностью, который имеет более широкий охват, чем поставщик услуги, и включает, например, обращение с бумажными документами, доступ в здания, телефонные звонки и т. д. для всей организации. | |
 | Оригинальный английский термин information security management |
 | Подробности Управление информационной безопасностью — это управленческий процесс, который обеспечивает защиту информации как актива и делает эту защиту воспроизводимой и контролируемой на уровне всей организации. В ITSM этот процесс важен потому, что ценность ИТ-услуги напрямую зависит от доверия к ней: заказчик ожидает, что данные останутся конфиденциальными, не будут искажены и будут доступны тогда, когда это нужно. На практике управление информационной безопасностью устанавливает требования и контрольные меры, встраивает их в проектирование услуг, изменение и развёртывание, а также в повседневное предоставление и поддержку. Оно задаёт рамки для управления доступами, обработки уязвимостей, классификации и хранения данных, журналирования и мониторинга, реагирования на инциденты безопасности и восстановления, включая цели по доступности. При этом термин шире чисто «ИТ-защиты»: он включает организационные меры, работу с бумажными носителями, физический доступ и коммуникации, если они влияют на безопасность информации. Вне охвата термина находятся, например, вопросы общей ИТ-архитектуры, производительности или планирования мощностей, если они не связаны с конфиденциальностью, целостностью или доступностью. |
 | Нюансы Частая ошибка — сводить управление информационной безопасностью только к техническим средствам (антивирус, межсетевой экран, шифрование). Это прежде всего управляемый процесс, который задаёт правила и контроль, распределяет ответственность и обеспечивает измеримость. Его также путают с политикой: политика информационной безопасности — это документированный набор намерений и принципов, а управление информационной безопасностью обеспечивает их применение и проверяемое соблюдение. Ещё одна путаница возникает с управлением рисками: оценка риска и управление рисками помогают определить, какие угрозы и последствия допустимы, но управление информационной безопасностью реализует и поддерживает контрольные меры, чтобы держать риски на приемлемом уровне. Нельзя ограничиваться только периметром поставщика услуги: в определении подчёркнут организационный масштаб, поэтому утечки через бумажные документы, звонки в сервис-деск с социальным инжинирингом или неконтролируемый доступ в помещения — такие же объекты управления, как и ИТ-инфраструктура. Также важно не смешивать инцидент и проблему: инцидент безопасности требует быстрого восстановления приемлемого уровня защищённости и доступности, тогда как устойчивое устранение причины и предотвращение повторов относится к управлению проблемами и контролю ошибок. |
 | Примеры
|
 | Рекомендуемые продукты по этой теме |
Что такое управление информационной безопасностью в ITIL и ITSM? Смотрите в глоссарии по управлению ИТ, входящим в бесплатную экспертную базу знаний по управлению ИТ от компании Cleverics. | |
