Система информационной безопасности для малого и среднего бизнеса на основе методологии "Волга-27001".
Требования для уровней обеспечения информационной безопасности 0 и 1
ТРИ ПОДХОДА ПО ВЫСТРАИВАНИЮ ИБ В ОРГАНИЗАЦИИ
По нормативному соответствию (ссылка для ознакомления)
На основе анализа рисков (ссылка для ознакомления)
По методологии "Волга-27001" (ссылка для ознакомления)
МЕТОДОЛОГИЯ "ВОЛГА-27001"
Общие положения (открытая и бесплатная часть) (ссылка для ознакомления)
Методология и требования (ограниченный доступ) (ссылка для ознакомления)
Рекомендации по выполнению требований (ограниченный доступ) (ссылка для ознакомления)
Методология "Волга-27001"* простым языком
Шаг 1. Защита начинается с понимания ценности
Активы — это основа любой эффективной методологии информационной безопасности. Именно с них всё начинается. Но определять, какие активы требуют защиты, должна сама организация. Почему? Потому что только она знает, что действительно важно для её работы, развития и успеха. Методология помогает организациям видеть, оценивать и защищать то, что для них ценно.
Шаг 2. Определяем защищаемый информационный комплекс
Информационный комплекс — это совокупность взаимосвязанных активов (данных, систем, оборудования, персонала и других элементов), которые используются для решения определённой задачи или обеспечения конкретного бизнес-процесса.
Именно организация самостоятельно определяет, какой информационный комплекс считается важным и требует защиты. Только вы знаете, какие данные, процессы и системы критичны для вашей деятельности.
Защищаемый информационный комплекс — это та область, в отношении которой организация устанавливает уровни по обеспечению информационной безопасности и обязуется их достигать за стратегический цикл (не более трёх лет).
Правильно обозначить границы комплекса — ключевой шаг на пути к эффективной и экономически обоснованной системе защиты информации.
Шаг 3. Уровни обеспечения информационной безопасности
Разделение требований по уровням обеспечения информационной безопасности — это ключевой элемент методологии, который позволяет выстроить защиту системно и с учётом реальных возможностей организации.
Такой подход даёт ряд важных преимуществ: прозрачность и структурированность — организация видит чёткий путь развития системы информационной безопасности от базовых мер к стратегическим процессам; постепенное развитие — нет необходимости сразу внедрять сложные и дорогостоящие меры. Защита строится этапами, в соответствии с текущими целями и имеющимися у организации ресурсами; обоснованное распределение ресурсов — благодаря уровневому подходу можно точно определить, какие меры действительно нужны сейчас, а какие будут актуальны на следующих этапах; контроль соответствия требованиям — организация может оценить текущее состояние защиты и спланировать переход на более высокий уровень с пониманием целей и сроков; поддержка принятия решений — руководство получает инструмент для обоснования инвестиций в безопасность, повышения защищённости активов и демонстрации заинтересованным сторонам прогресса в области защиты информации.
Уровни обеспечивают не просто формальное соответствие стандартам — они становятся основой устойчивого развития системы информационной безопасности, адаптированной под реальные потребности именно вашей организации.
Шаг 4. Информационный комплекс: домены
Информационный комплекс представляет собой совокупность взаимосвязанных элементов, объединённых общей целью. Его структура строится на основе доменов — верхнего уровня, которые отражают ключевые направления безопасности для комплекса.
Домены делятся на два основных типа:
Процессные (основные) домены — это направления, связанные с управлением, разработкой нормативов и методик, организацией работы и другими аспектами, определяющими функционирование системы в целом.
Примеры: управление информационной безопасностью, политики и стандарты, организация взаимодействия и т. д.
Системные (вспомогательные) домены — обеспечивают техническое и инфраструктурное исполнение процессов. Они создают технологическую основу для реализации задач информационного комплекса.
Примеры: техническая инфраструктура, сети связи, информационные системы и базы данных и др.
Каждый домен состоит из отдельных блоков — функциональных или технологических компонентов, необходимых для достижения уровней обеспечения информационной безопасности.
Понимание структуры информационного комплекса позволяет выстроить защиту системно, охватывая как управленческие, так и технические аспекты.
Шаг 5. Информационный комплекс: блоки
Информационный комплекс строится из доменов, которые, в свою очередь, состоят из блоков .
Блок — это отдельный сегмент, соответствующий конкретному компоненту информационного комплекса. Именно на уровне блоков определяются и реализуются меры защиты информации.
Каждый блок связан с определённым типом актива — будь то сервер, рабочее место пользователя, система хранения данных или сетевое оборудование.
Требования по защите привязываются к блокам , и их строгость зависит от целевого уровня обеспечения информационной безопасности: чем выше уровень, тем сильнее меры защиты.
Примеры блоков: удалённое рабочее место, клиент Windows, сервер Linux, система резервного копирования, сеть передачи данных и т.д.
Правильная декомпозиция информационного комплекса на блоки позволяет точно определить, что и как нужно защищать, а также эффективно распределить ресурсы при построении системы информационной безопасности.
Шаг 6. Уровни зрелости по реализации требований
На этом этапе определяется, каким образом организация подходит к выполнению требований в области информационной безопасности — хаотично, формально или системно, или их совершенствует.
Уровни зрелости показывают, как именно организация реализует требования по информационной безопасности. Они отражают степень формализации процессов, их регулярности, измеримости и интеграции в общую систему управления.
Уровни зрелости не навязывают единый способ реализации требований, а помогают организации осознанно выбрать и обосновать свой подход к обеспечению информационной безопасности по своим ресурсным возможностям.
Шаг 7. Требования к защите
Требования — это конкретные меры защиты, которые необходимо реализовать, чтобы обеспечить безопасность информационных активов и минимизировать риски в рамках каждого блока информационного комплекса.
Особенность нашей методологии заключается в том, что требования не являются абстрактными или общими . Они формируются индивидуально для каждого блока , а значит — и для тех активов, к которым этот блок привязан.
Поскольку блоки связаны с типами активов, мы получаем чёткий набор требований для каждого конкретного актива — будь то сервер, рабочее место, система хранения данных или сетевое устройство. Это позволяет: чётко отслеживать выполнение требований на уровне каждого элемента инфраструктуры; обоснованно выделять средства на защиту — каждая мера будет привязана к конкретному объекту и цели; повышать эффективность системы обеспечения информационной безопасности за счёт точечного постепенного подхода.
Благодаря такой структуре вы всегда сможете видеть, что защищено, что требует внимания, и почему те или иные мероприятия по защите необходимы.
Развитие системы управления информационной безопасностью в организации
Методология «Волга-27001» — уникальное решение на российском рынке, позволяющее строить систему информационной безопасности сразу в трёх измерениях: вверх — поэтапное повышение уровня обеспечения информационной безопасности; в глубину — реализация требований с учётом зрелости организации к их внедрению, через уровни зрелости по реализации требований; вширь — расширение области применения системы управления информационной безопасностью.
Такой подход обеспечивает комплексную и гибкую защиту информационных активов без лишних затрат. С нашей методологией ваша организация получает эффективную и устойчивую систему информационной безопасности соответствующую современным стандартам, и позволяющую выстоять организации перед угрозам информационной безопасности - как минимум, минимизировав их.
Требования
Уровень - нулевой (0): отсутствие мер обеспечения ИБ
ТР.0.2.92.1
УРОВЕНЬ ОИБВОП:
Нулевой (0)
ДОМЕН:
Организация (2)
БЛОК:
Управление ИБ (92)
МИНИМАЛЬНЫЙ УРОВЕНЬ ЗРЕЛОСТИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЯ:
Неофициально (1)
ТРЕБОВАНИЕ:
Составьте перечень важных активов и проведите их первоначальную оценку.
ОПИСАНИЕ ТРЕБОВАНИЯ:
Перечислите всё, что критично для работы организации. Оцените каждый актив по отношению к свойствам информации: конфиденциальности, целостности и доступности. Разнесите критичность активов по их весу, округлив вес в большую сторону.
Уровень - начальный (1): осознание необходимости обеспечения ИБ
Хотите больше уровней? Или не знаете как выполнить требования - подписывайтесь на услугу "Виртуальный консультант по ИБ" и мы Вам поможем!
Если не хотите подписываться на услугу "Виртуальный консультант по ИБ", то можете заполнить анкету и мы с вами свяжемся в ближайшее время!
Замечания и предложения по методологии принимаются на электронную почту f1(собачка)cibez.ru. Тема письма: Волга-27001.
*Настоящим уведомляем, что материалы, размещённые на данной странице, охраняются авторским правом в соответствии со статьей 1259 Гражданского кодекса Российской Федерации. Третьи лица не вправе использовать с целью создания каких-либо средств обработки представленной информации и размещённых на данной странице результатов интеллектуальной деятельности каким-либо образом без письменного согласия ООО «ЦифраБез». Распространение настоящей информации возможно только при указании ссылки на данную страницу.
Несанкционированное использование охраняемых авторским правом материалов является нарушением законодательства Российской Федерации и влечёт за собой ответственность, предусмотренную им.
Мы не оказываем услуг связанных с установкой и настройкой технических средств защиты информации, так как это лицензируемый вид деятельности!
Но мы это можем сделать через наших партнёров, которые такие лицензии имеют.
Наши контактные данные
Приём обращений и вопросов 24/7/365. Ответ по рабочим дням в течение 12 часов. По выходным дням в течение 24 часов.
ООО "Цифровая Безопасность"
Мы помогаем Вам защищать ваши информационные активы!
ООО "ЦифраБез"
ИНН: 5258157679
КПП: 525801001
ОГРН: 1245200012617
Р/С: 40702810829050013459
БИК: 042202824
EMAIL:
Идентификатор абонента в системе ЭДО Saby (СБИС):
2BE089575c0ce1d4c9eaea2142259c94cf6
Ссылка на ключ: keys.openpgp.org (срок действия ключа 12.03.2028)
НАПИШИТЕ НАМ
Официальная электронная почта для направления документов:
docs@cibez.ru
Юридический адрес:
603135, НИЖЕГОРОДСКАЯ ОБЛАСТЬ, Г. НИЖНИЙ НОВГОРОД, УЛ СНЕЖНАЯ, Д. 23, К. 1, КВ. 24
Оставьте о нас отзыв на Яндекс
ООО "ЦифраБез"
2024, Все права защищены.
Официальный сайт ООО "Цифровая Безопасность"