GartnerGroup выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности:
0-й уровень:
- информационной безопасностью в компании никто не занимается, руководство компании не осознает важности проблем информационной безопасности;
- финансирование отсутствует;
- информационной безопасностью реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).
1-й уровень:
- информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа (концепция информационной безопасности, политика) развития СОИБ компании;
- финансирование ведется в рамках общего ИТ-бюджета;
- информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (построения виртуальных частных сетей), т.е. традиционные средства защиты.
2-й уровень:
|
|
- информационная безопасность рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности информационной безопасности для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;
- финансирование ведется в рамках отдельного бюджета;
- информационная безопасность реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).
3-й уровень:
- информационная безопасность является частью корпоративной культуры, назначен CISA (старший администратор по вопросам обеспечения информационной безопасности);
- финансирование ведется в рамках отдельного бюджета;
- информационная безопасность реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты нарушения информационной безопасности), SLA (соглашение об уровне сервиса).
Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:
- Законодательная, нормативно-правовая и научная база.
- Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
- Организационно-технические и режимные меры и методы (Политики информационной безопасности).
- Программно-технические способы и средства обеспечения информационной безопасности.
Поскольку потенциальные угрозы безопасности информации весьма многообразны, цели защиты информации могут быть достигнуты только путем создания комплексной системы защиты информации, под которой понимается совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в КС.
|
|