Кратко о системе информационной безопасности.
Сегодня система обеспечения безопасности информации в том или ином виде представлена в каждой крупной компании, в формальном или же неформальном виде. Даже на самом минимальном уровне подхода к решению вопросов обеспечения защиты информации, в системе защиты наличествует некоторая административная управляющая сила и исполнительная сила. В качестве первой может выступить начальник с решением о перестановке антивируса, а в качестве второй выступит системный администратор, который и произведёт установку.
Под системой информационной безопасности понимают такую систему, которая постоянно, каждый день и час обеспечивает конфиденциальность данных, их целостность, а также доступность авторизированным пользователям. Сама система чаще всего состоит из множества процессов, которые направлены на обработку отдельных рисков. Примерами подобных процессов могут стать системы управления доступом, инцидентами или изменениями. Если вы хотите больше узнать про обеспечение информационной безопасности банков, то предлагаем вам посетить indeed-id.ru.
Каждый упомянутый процесс может быть неформальным (в том смысле, что не будет регламентироваться никаким документом), но даже не смотря на это он будет исполнять свою роль и снижать общий риск. С другой стороны, если процесс полностью неуправляем, то оценить его эффективность и полноту не представляется возможным.
Процесс обеспечения безопасности управляется на двух уровнях. На первом уровне, тактическом, к процессу предъявляют определённые требования, которые документально зафиксированы в частных политиках низшего уровня, которые нередко также называют регламентами процесса. Таким образом, регламент второго уровня можно назвать сборником требований к тому или иному процессу. В этот сборник входят требования безопасности, законодательства, национальных и международных стандартов, требования бизнеса и регуляторов.
Документы второго уровня оговаривают рамки, в который процесс должен будет работать. Этот документ не должен содержать в себе описаний реализации самого процесса или же отдельных его процедур. В процессе адаптации под различные бизнес-системы и технологии, реализация процесса станет меняться от одной системы к другой. Ход процесса будет описываться в документированных процедурах второго уровня базы нормативных документов. Примером может служить процедура предоставления отдельному пользователю прав на доступ к тем или иным данным. Главным условием становится то, что процедура в любом случае должна оставаться в рамках, которые определены для неё регламентом процесса.