Процесс управления ИБ компании реализуется СУИБ, которая состоит из: (кроме самого управляемого (защищаемого) объекта), его среды управления состоянием, механизмом сравнения нынешнего состояния с требуемым и средства формирования управляющих воздействий для локализации и предупреждения ущерба в результате реализации угроз ИБ. При этом, критерием управления является учет минимального ущерба имуществу организации при минимально возможных затратах на обеспечение ИБ, а цель управления — обеспечение знаний об имуществе (управляемом объекте), необходимых ей в смысле безопасности.
СУИБ в организации выполняет следующие важнейшие функции:
- осуществляет целенаправленный, системный и комплексный подход к управлению ИБ защищаемых объектов, что приводит к повышению нынешнего состояния их защищенности;
- связывает все защитные и организационные меры, применяемые в компании, в единый, адекватный реальным угрозам управляемый комплекс, позволяющий достигать целей ОИС на уровне всей фирмы;
- позволяет четко установить взаимосвязь процессов и подсистем ОИБ.
- проводит процесс выполнения ПолИБ и позволяет найти и устранить недостатки в ОИБ;
- Охватывает людей, процессы и ИТ-структуру компании.
Классифицируя фрагментарную информацию, представленную в различных источниках об отдельных элементах СУИБ, подчеркнем, что для выполнения вышеперечисленных функций СУИБ конкретной организации должна включать в себя следующие важнейшие компоненты:
- соответствующая организационная структура с поддерживающими подсистемами для автоматизации работы СУИБ (документооборот, обработка, хранение и передача данных и др.) управляющей организации и ее собственной защиты)
- модель функционирования СУИБ (например, процесс-роль)
- методология управления ИБ; общая система правил ИБ, алгоритмов, методов управления ИБ, т.е. способ практической реализации управленческой деятельности ИБ, способ достижения конкретной цели в рамках ИБ;
- документальное обеспечение функционирования СУИБ-политика, планы СУИБ, процедуры, регламенты и т.д.;
- мероприятия по планированию, внедрению, проверке и улучшению СУИБ с использованием соответствующих средств для осуществления конкретных мероприятий;
- ответственность всех лиц, участвующих в управлении ИБ, и тех, кто подпадает под сферу действия СУИБ;
- процессы управления ИБ осуществляются на основе СУИБ;
- средства управления;
- необходимые ресурсы.
Инструменты управления ИБ организации, используемые в рамках СУИБ, выбираются основываясь на оценке рисков ИБ в рамках более общего процесса управления рисками ИБ и снижают опасность до приемлемого уровня с учетом других бизнес-рисков организации. Обязательно должны быть определены, документированы, внедрены и поддерживаться в рабочем состоянии технические средства управления информационной безопасностью. Но со временем, действие различных внутренних и внешних обстоятельств (например, изменение ИБ, перенастройка функций защиты, изменение внешней среды и возникновение новых атак) может негативно сказаться на эффективности используемых в организации инструментов управления ИБ и, в конечном счете, потребовать пересмотра стандартов ИБ организации. Поэтому так важно адекватно менять именно инструменты управления, что делается на основе непрерывного анализа и технической проверки (проводимой вручную или с помощью инструментов) правильности их внедрения и функционирования.
Процессы ОИБ поддерживаются ПолИБ и концепцией ОИБ, которая формулирует задачи и стратегии ОИБ, а также организацию самих процессов ОИБ. Поэтому СУИБ является неотъемлемой частью СОИБ.
Сфера применения СУИБ, ее администрирование и ресурсы зависят от размера фирмы и ее защищенных активов.
Чтобы быть действительно полезными для организации, СУИБ должны быть эффективными. Правильно разработанная, правильно внедренная и применяемая СУИБ позволяет не только вернуть потраченные на нее средства, но и внесет положительный вклад в успех бизнеса организации.
Как показывает международный и отечественный опыт, накопленный в этой сфере, функционирование СУИБ дает организации ряд неоспоримых преимуществ от ее применения:
- обеспечение соответствия уровня ИБ законодательным, отраслевым, договорным, внутрикорпоративным требованиям и целям бизнеса;
- подтверждение желания высшего руководства к ОИБ в необходимом объеме для всей компании в соответствии с установленными правилами.
- увеличение доверия партнеров, клиентов, заказчиков путем показа высокого уровня информационной безопасности для всех заинтересованных сторон;
- координируемое управление ИБ (особенно в критических ситуациях);
- упорядочивание процессов обеспечения информационной безопасности;
- определение важных аспектов в сфере информационной безопасности;
- достижение «прозрачности» в ОИБ;
- обеспечение ясности руководства защищенными активами;
- выявление угроз ИБ бизнес-процессам;
- достижение адекватности ОИБ существующим рискам;
- предотвращение возникновения инцидентов ИБ и уменьшение ущерба в случае их появления;
- увеличение культуры информационной безопасности в организации;
- объединение защитных мер в бизнес-процессы;
- оптимизация (за счет формализации всех процессов ОИБ) и обоснование затрат на ИБ;
- снижение финансовых и прямых убытков;
- снижение операционных рисков за счет повышения экономической эффективности ОИБ;
- снижение рисков для инвесторов за счет повышения прозрачности процессов внутри организации;
- экономия времени, ресурсов и затрат на начальном этапе, сбор информации в ходе любых аудитов ИБ;
- создание информации, генерируемой в процессе применения СУИБ, полезной для всех заинтересованных сторон и т.д.
Так как внедрение СУИБ требует больших ресурсов, компания должна четко осознавать преимущества ее использования. Ранее уже подчеркивалось, что внедрение СУИБ должно являться стратегическим решением руководства организации. На его разработку и использование влияют потребности и цели, требования к ОИБ, применяемые процессы, а также размер и структура организации. Все эти элементы и поддерживающие их системы меняются с течением времени. Поэтому СУИБ также будет меняться в зависимости от потребностей организации. Бизнес-обоснование введение СУИБ должно быть четко задокументировано и содержать подробную информацию о предполагаемых затратах в сравнении с выгодами, которые могут быть получены от расширения возможностей управления ИБ. СУИБ не следует создаваться изолированно, она должна учитывать все бизнес-риски и общие бизнес-стратегии фирмы.