# Бесплатная экспертная база знаний по управлению ИТ

Никакого пересказа ITIL, COBIT, ISO 20000, PRINCE2, TOGAF и прочего. Только сведения от консультантов и тренеров Cleverics. Включает ответы на **несколько тысяч вопросов** из **сотен источников**, а также детальный глоссарий с примерами, объяснениями и нюансами

# Практика управления информационной безопасностью

[Практика](https://cleverics.ru/digital/kb-glossary/practice/) по защите [организации](https://cleverics.ru/digital/kb-glossary/organization/) путём понимания и [управления рисками](https://cleverics.ru/digital/kb-glossary/risk-management-practice/), связанными с [конфиденциальностью](https://cleverics.ru/digital/kb-glossary/confidentiality/), [целостностью](https://cleverics.ru/digital/kb-glossary/integrity/) и [доступностью](https://cleverics.ru/digital/kb-glossary/availability/) информации

Синонимы: управление информационной безопасностью, управление ИБ

## Оригинальный английский термин

information security management practice

## Подробности

[Практика управления информационной безопасностью](https://cleverics.ru/digital/kb-glossary/information-security-management-practice/) фокусируется на том, чтобы обеспечить приемлемый уровень защиты информации и информационных [сервисов](https://cleverics.ru/digital/kb-glossary/service/) в контексте целей и обязанностей организации. Её смысл не в «запрете всего», а в осознанном балансе между [ценностью](https://cleverics.ru/digital/kb-glossary/value/), удобством работы и [риском](https://cleverics.ru/digital/kb-glossary/risk/): организация должна понимать, какие [угрозы](https://cleverics.ru/digital/kb-glossary/threat/) и [уязвимости](https://cleverics.ru/digital/kb-glossary/vulnerability/) наиболее существенны, и управлять риском для конфиденциальности, целостности и доступности информации. На практике это выражается в формировании и поддержании [политики](https://cleverics.ru/digital/kb-glossary/policy/), требований и [контролей](https://cleverics.ru/digital/kb-glossary/control/), в [оценке риска](https://cleverics.ru/digital/kb-glossary/risk-assessment/) при внедрении [изменений](https://cleverics.ru/digital/kb-glossary/change/), в работе с [поставщиками](https://cleverics.ru/digital/kb-glossary/supplier/) и [третьими сторонами](https://cleverics.ru/digital/kb-glossary/third-party/), в [управлении доступами](https://cleverics.ru/digital/kb-glossary/access-management/), криптографией, журналированием и [мониторингом](https://cleverics.ru/digital/kb-glossary/monitoring/), а также в повышении осведомлённости [пользователей](https://cleverics.ru/digital/kb-glossary/user/). В [ITSM](https://cleverics.ru/digital/kb-glossary/it-service-management/) эта практика тесно связана с [проектированием](https://cleverics.ru/digital/kb-glossary/design/)[услуг](https://cleverics.ru/digital/kb-glossary/service/), [управлением изменениями](https://cleverics.ru/digital/kb-glossary/change-management/), [управлением инцидентами](https://cleverics.ru/digital/kb-glossary/incident-management/) и управлением рисками, чтобы требования безопасности не оставались «на бумаге», а были встроены в [поток создания ценности](https://cleverics.ru/digital/kb-glossary/value-stream/) и реальные способы [предоставления услуги](https://cleverics.ru/digital/kb-glossary/service-provision/). Вне её прямого охвата находятся общие вопросы физической безопасности объектов, корпоративная безопасность персонала и юридические расследования, хотя они часто координируются со смежными функциями и могут влиять на требования к [ИТ-услугам](https://cleverics.ru/digital/kb-glossary/it-service/).## Нюансы

Частая [ошибка](https://cleverics.ru/digital/kb-glossary/error/) — сводить практику [управления информационной безопасностью](https://cleverics.ru/digital/kb-glossary/information-security-management-practice/) к набору технических средств (антивирус, фаервол, DLP) или к формальному [соответствию требованиям](https://cleverics.ru/digital/kb-glossary/compliance/). Технические меры — лишь часть контроля; ключевое здесь — управление риском и проверяемая [способность](https://cleverics.ru/digital/kb-glossary/capability/) организации поддерживать конфиденциальность, целостность и доступность информации в рамках предоставления услуги. Ещё одно заблуждение — считать, что информационная безопасность отвечает «за всё», включая любые [сбои](https://cleverics.ru/digital/kb-glossary/failure/) доступности. Доступность относится и к [надёжности](https://cleverics.ru/digital/kb-glossary/reliability/)[ИТ-инфраструктуры](https://cleverics.ru/digital/kb-glossary/it-infrastructure/), и к операционным [процедурам](https://cleverics.ru/digital/kb-glossary/procedure/); практика управления информационной безопасностью обеспечивает, чтобы меры защиты не снижали доступность неприемлемо и чтобы риски, связанные с атаками и злоупотреблениями, были учтены. Практику также путают с управлением [инцидентами](https://cleverics.ru/digital/kb-glossary/incident/): инцидент — это [восстановление](https://cleverics.ru/digital/kb-glossary/recovery/) услуги и минимизация [влияния](https://cleverics.ru/digital/kb-glossary/impact/), тогда как безопасность включает профилактику, требования к изменениям и расследование причин, а также работу с [известной ошибкой](https://cleverics.ru/digital/kb-glossary/known-error/) и [обходным решением](https://cleverics.ru/digital/kb-glossary/workaround/), если они связаны с уязвимостью. Опасна и чрезмерно буквальная трактовка «конфиденциальности»: она не означает запрет обмена данными как такового, а требует управляемых каналов, [классификации](https://cleverics.ru/digital/kb-glossary/classification/) и обоснованных прав доступа. Наконец, нередко упускают риски у поставщиков: даже при [аутсорсинге](https://cleverics.ru/digital/kb-glossary/outsourcing/) ответственность за риск для информации остаётся у организации.## Примеры

- Перед выпуском нового релиза для ИТ-услуги проводится оценка риска утечки персональных данных и вводятся дополнительные контроли доступа и журналирование действий администраторов
- Для критичной услуги настраиваются требования к гарантии по доступности и план восстановления после катастрофы с учётом сценариев кибератаки и компрометации учётных записей
- При подключении третьей стороны к рабочей среде вводятся ограничения сетевого доступа, MFA и условия в договоре с поставщиком, чтобы снизить риск для конфиденциальности информации
- После инцидента с фишингом пересматриваются права пользователей, усиливается мониторинг и обновляется политика, чтобы предотвратить повторение и сохранить целостность данных

## Рекомендуемые продукты по этой теме

- [ITSM. Основы управления ИТ-услугами](https://edu.cleverics.ru/itsm-foundation?utm_source=knowledgebase&utm_medium=article&utm_content=banner&utm_term=ITFO4) — Учебный курс: интенсив с тренером. Самый популярный тренинг по управлению ИТ
- [Apollo 13 — ITSM на практике](https://edu.cleverics.ru/apollo?utm_source=knowledgebase&utm_medium=article&utm_content=banner&utm_term=APOLLO) — Деловая игра. Service Desk, управление инцидентами, проблемами, изменениями
- [Altevics](https://cleverics.ru/solutions/altevics?utm_source=knowledgebase&utm_medium=article&utm_content=banner&utm_term=altevics) — Современная ITSM/ESM-система