| Перейти к полной базе знаний Перейти к полному глоссарию | |
Практика управления информационной безопасностью | |
Практика по защите организации путём понимания и управления рисками, связанными с конфиденциальностью, целостностью и доступностью информации | |
Синонимы управление информационной безопасностью, управление ИБ | |
 | Оригинальный английский термин information security management practice |
 | Подробности Практика управления информационной безопасностью фокусируется на том, чтобы обеспечить приемлемый уровень защиты информации и информационных сервисов в контексте целей и обязанностей организации. Её смысл не в «запрете всего», а в осознанном балансе между ценностью, удобством работы и риском: организация должна понимать, какие угрозы и уязвимости наиболее существенны, и управлять риском для конфиденциальности, целостности и доступности информации. На практике это выражается в формировании и поддержании политики, требований и контролей, в оценке риска при внедрении изменений, в работе с поставщиками и третьими сторонами, в управлении доступами, криптографией, журналированием и мониторингом, а также в повышении осведомлённости пользователей. В ITSM эта практика тесно связана с проектированием услуг, управлением изменениями, управлением инцидентами и управлением рисками, чтобы требования безопасности не оставались «на бумаге», а были встроены в поток создания ценности и реальные способы предоставления услуги. Вне её прямого охвата находятся общие вопросы физической безопасности объектов, корпоративная безопасность персонала и юридические расследования, хотя они часто координируются со смежными функциями и могут влиять на требования к ИТ-услугам. |
 | Нюансы Частая ошибка — сводить практику управления информационной безопасностью к набору технических средств (антивирус, фаервол, DLP) или к формальному соответствию требованиям. Технические меры — лишь часть контроля; ключевое здесь — управление риском и проверяемая способность организации поддерживать конфиденциальность, целостность и доступность информации в рамках предоставления услуги. Ещё одно заблуждение — считать, что информационная безопасность отвечает «за всё», включая любые сбои доступности. Доступность относится и к надёжности ИТ-инфраструктуры, и к операционным процедурам; практика управления информационной безопасностью обеспечивает, чтобы меры защиты не снижали доступность неприемлемо и чтобы риски, связанные с атаками и злоупотреблениями, были учтены. Практику также путают с управлением инцидентами: инцидент — это восстановление услуги и минимизация влияния, тогда как безопасность включает профилактику, требования к изменениям и расследование причин, а также работу с известной ошибкой и обходным решением, если они связаны с уязвимостью. Опасна и чрезмерно буквальная трактовка «конфиденциальности»: она не означает запрет обмена данными как такового, а требует управляемых каналов, классификации и обоснованных прав доступа. Наконец, нередко упускают риски у поставщиков: даже при аутсорсинге ответственность за риск для информации остаётся у организации. |
 | Примеры
|
 | Рекомендуемые продукты по этой теме |
Что такое практика управления информационной безопасностью в ITIL и ITSM? Смотрите в глоссарии по управлению ИТ, входящим в бесплатную экспертную базу знаний по управлению ИТ от компании Cleverics. | |
