Уровни (Этапы) зрелости СОИБ организации

GartnerGroup выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности:

0-й уровень:

• информационной безопасностью в компании никто не занимается, руководство компании не осознает важности проблем информационной безопасности;
• финансирование отсутствует;
• информационной безопасностью реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

1-й уровень:

• информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа (концепция информационной безопасности, политика) развития СОИБ компании;
• финансирование ведется в рамках общего ИТ-бюджета;
• информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (построения виртуальных частных сетей), т.е. традиционные средства защиты.

2-й уровень:

• информационная безопасность рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности информационной безопасности для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;
• финансирование ведется в рамках отдельного бюджета;
• информационная безопасность реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

3-й уровень:

• информационная безопасность является частью корпоративной культуры, назначен CISA (старший администратор по вопросам обеспечения информационной безопасности);
• финансирование ведется в рамках отдельного бюджета;
• информационная безопасность реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты нарушения информационной безопасности), SLA (соглашение об уровне сервиса).

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

1. Законодательная, нормативно-правовая и научная база.
2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
3. Организационно-технические и режимные меры и методы (Политики информационной безопасности).
4. Программно-технические способы и средства обеспечения информационной безопасности.

Поскольку потенциальные угрозы безопасности информации весьма многообразны, цели защиты информации могут быть достигнуты только путем создания комплексной системы защиты информации, под которой понимается совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в КС.