Информационная безопасность и риск-менеджмент
Процесс начинается с оценки рисков и определения нужд компании, которые следуют из оценки текущего состояния ИБ в компании, из планов развития ИТ-систем и компании и из существующих способов решения проблем ИБ.
Далее следует повышение осведомленности сотрудников (на всех уровнях) в вопросах ИБ, каждый сотрудник в итоге должен четко понимать - зачем необходимы меры по улучшению ИБ и к чему они приведут.
Последний шаг - внедрение компонентов защиты (контролей - данные компоненты будут "контролировать" риск равным минимуму и не повышать его).
Затем цикл повторяется.
Процесс находится в постоянном развитии, происходит постоянная оценка уровня ИБ компании, что позволяет компании адаптироваться и откликаться на все появляющиеся и существующие проблемы и нужды, которые в будущем могли бы привести к серьезным потерям.Менеджмент ИБ постоянно меняется, потому что меняются компоненты сетей, компьютеры, приложения, способны хранения и использования информации.
Те способы хранения информации, которые использовались в компаниях 10-15 лет назад, в настоящее время считаются архаичными, многие компании используют распределенные сети хранения данных - информационная база одной компании может храниться в тысяче точек находящихся друг от друга на расстоянии в тысячи километров.
Интернет, екстрасети и интранет не только делают технологию безопасности сложной комплексной задачей, они делают безопасность более критичной.
Территориальная распределенность ядра ИТ-систем повышает количество потенциальных рисков ИБ в разы, но в то же время добавляет больше функциональности пользователям и позволяет использовать более гибкие сервисы компаниям.Сегодня большинство компаний понимают, что их данные - это актив, который должен быть защищен не меньше, чем их офисные и производственные помещения, оборудование и другие физические активы.
Безопасность сегодня - это намного больше, чем просто защищённый периметр, брандмауэр или списки доступа.
Система менеджмента ИБ должна управлять и быть управляемой.
И одной из наиболее важных задач в управлении ИБ, является управление действиями пользователей компании.