Какие меры должен в себя включать комплексный подход к обеспечению информационной безопасности

Обновлено: 02.07.2024

Комплексный подход к защите от информационных предусматривает согласованное применение правовых, организационных и программно-технических мер, перекрывающих в совокупности все основные каналы реализации вирусных угроз. В соответствии с этим подходом в организации должен быть реализован следующий комплекс мер:

· меры по выявлению и устранению уязвимостей, на основе которых реализуются угрозы. Это позволит исключить причины возможного возникновения информационных атак;

· меры, направленные на своевременное обнаружение и блокирование информационных атак;

· меры, обеспечивающие выявление и ликвидацию последствий атак. Данный класс мер защиты направлен на минимизацию ущерба, нанесённого в результате реализации угроз безопасности.

Важно понимать, что эффективная реализация вышеперечисленных мер на предприятии возможна только при условии наличия нормативно-методического, технологического и кадрового обеспечения информационной безопасности (рис. 4).

Рис. 4. Основные направления обеспечения информационной безопасности

Нормативно-методическое обеспечение информационной безопасности предполагает создание сбалансированной правовой базы в области защиты от угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы информационной безопасности. Состав таких документов во многом зависит от размеров самой организации, уровня сложности АС, количества объектов защиты и т.д. Так, например, для крупных организаций основополагающим нормативным документом в области защиты информации должна быть концепция или политика безопасности.

В рамках кадрового обеспечения информационной безопасности в компании должен быть организован процесс обучения сотрудников по вопросам противодействия информационным атакам. В процессе обучения должны рассматриваться как теоретические, так и практические аспекты информационной защиты. При этом программа обучения может составляться в зависимости от должностных обязанностей сотрудника, а также от того к каким информационным ресурсам он имеет доступ.

[1] Первое поколение ЭВМ (1950-е гг.) было построено на базе электронных ламп и представлено моделями: ЭНИАК, "МЭСМ", "БЭСМ-1", "М-20", "Урал-1", "Минск-1". Все эти машины имели большие размеры, потребляли большое количество электроэнергии, имели малое быстродействие, малый объем памяти и невысокую надежность. В экономических расчетах они не использовались.

Второе поколение ЭВМ (1960-е гг.) было на основе полупроводников и транзисторов: "БЭСМ-6", "Урал-14", "Минск-32". Использование транзисторных элементов в качестве элементной базы позволило сократить потребление электроэнергии, уменьшить размеры отдельных элементов ЭВМ и всей машины, вырос объем памяти, появились первые дисплеи и др. Эти ЭВМ уже использовались на вычислительных центрах (ВЦ) специалистами, однако, пользователь только представлял исходные данные для их обработки на ВЦ и обычно спустя месяц получал результат сведения.

Третье поколение ЭВМ (1970-е гг.) было на малых интегральных схемах. Его представители – IBM 360 (США), ряд ЭВМ единой системы (ЕС ЭВМ), машины семейства малых ЭВМ с СМ I по СМ IV. С помощью интегральных схем удалось уменьшить размеры ЭВМ, повысить их надежность и быстродействие. В АИС появились терминалы – устройства ввода-вывода данных (пишущие машинки и/или дисплеи, соединенные с ЭВМ), что позволило пользователю непосредственно общаться с ЭВМ.

Четвертое поколение ЭВМ (1980-е гг.) было на больших интегральных схемах (БИС) и было представлено IBM 370 (США), ЕС-1045, ЕС-1065 и пр. Они представляли собой ряд программно-совместимых машин на единой элементной базе, единой конструкторско-технической основе, с единой структурой, единой системой программного обеспечения, единым унифицированным набором универсальных устройств. Широкое распространение получили персональные (ПЭВМ), которые начали появляться с 1976 г. в США (An Apple). Они не требовали специальных помещений, установки систем программирования, использовали языки высокого уровня и общались с пользователем в диалоговом режиме.

В настоящее время строятся ЭВМ на основе сверхбольших интегральных схем (СБИС). Они обладают огромными вычислительными мощностями и имеют относительно низкую стоимость. Их можно представить не как одну машину, а как вычислительную систему, связывающую ядро системы, которое представлено в виде супер-ЭВМ, и ПЭВМ на периферии. Это позволяет существенно сократить затраты человеческого труда и эффективно использовать машины.

[2] Интерфейс – определенные стандартом правила взаимодействия пользователей, устройств, программ

[3] К известным методикам и стандартам, касающимся организации жизненного цикла ИС, можно отнести: методику Oracle CDM (Custom Development Method) по разработке прикладных ИС под заказ; международный стандарт ISO/IEC 12207 по организации жизненного цикла продуктов программного обеспечения; отечественный стандарт ГОСТ 34.003-90.

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Разъяснения Банка России от 17 сентября 2021 г. № 716-Р-2021/38 "Об управлении риском информационной безопасности (часть 2)"

Обзор документа

Разъяснения Банка России от 17 сентября 2021 г. № 716-Р-2021/38 "Об управлении риском информационной безопасности (часть 2)"

1. Какие квалификационные и иные требования должны быть предъявлены к должностному лицу, ответственному за функционирование системы обеспечения информационной безопасности, который должен быть назначен в соответствии с Положением Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П)?

2. Могут ли быть возложены на одного работника кредитной организации (головной кредитной организация банковской группы) (далее - кредитная организация) функции куратора службы информационной безопасности, назначаемого в соответствии со Стандартом Банка России ИББС-1.2-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" и функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, назначаемого в соответствии с Положением N 716-П?

3. В соответствии с требованиями Положения N 716-П могут ли служба информационной безопасности и служба информационных систем иметь общего руководителя или входить в состав друг друга?

4. Какие должностные обязанности должны быт возложены на должностное лицо, ответственное за функционирование системы обеспечения информационной безопасности, назначаемое в соответствии с Положением N 716-П?

5. Может ли таким должностным лицом, ответственным за функционирование системы обеспечения информационной безопасности, быть представитель Службы управления рисками при условии прямого подчинения лицу, осуществляющему функции единоличного исполнительного органа кредитной организации?

1. В соответствии с абзацем десятым пункта 7.7 Положения N 716-П в целях управления риском информационной безопасности кредитная организация обеспечивает организацию ресурсного (кадрового и финансового) обеспечения, включая установление требований к квалификации работников кредитной организации, в том числе должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности.

Таким образом, кредитная организация самостоятельно определяет требования к квалификации должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, с учетом того, что данное должностное лицо должно обладать достаточными знаниями, компетенцией, полномочиями в целях обеспечения его независимости в части принятия решений по вопросам обеспечения информационной безопасности.

2. В соответствии с абзацем пятым пункта 7.7 Положения N 716-П кредитная организация в целях управления риском информационной безопасности обеспечивает определение должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, или его заместителю) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем.

Стандарты Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" и СТО БР ИББС-1.2-2014 "Обеспечение информационной безопасности организации банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" (далее при совместном упоминании - стандарты Банка России) содержат положения относительно назначения куратора службы информационной безопасности из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.

На основании вышеизложенного не усматриваем противоречия между функциями куратора службы информационной безопасности и должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, и полагаем возможным совмещение данных функций одним лицом при условии одновременного соблюдения требований Положения N 716-П и положений стандартов Банка России.

3. Положение N 716-П не содержит норм, предусматривающих объединение подразделения, ответственного за организацию и контроль обеспечения защиты информации, и подразделения, ответственного за обеспечение функционирования информационных систем.

Одновременно, обращаем внимание, что стандарты Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" и СТО БР ИББС-1.2-2014 "Обеспечение информационной безопасности организации банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" содержат положения относительно назначения куратора службы информационной безопасности из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.

4. Кредитная организация, исходя из характера и масштаба деятельности, самостоятельно определяет во внутренних документах функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, или его заместителю) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем.

5. В соответствии с подпунктом 8.2.1 пункта 8.2 Стандарта Банка России СТО БР ИББС 1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" для целей реализации, эксплуатации, контроля и поддержания на должном уровне системы обеспечения информационной безопасности кредитной организации следует сформировать службу информационной безопасности.

Функции, которые должны быть возложены на службу информационной безопасности, указаны в пункте 7.9 Положения N 716-П. Полагаем, что функции по обеспечению информационной безопасности, указанные в подпункте 7.9.1 пункта 7.9 Положения N 716-П, целесообразно относить только к компетенции службы информационной безопасности или отдельного структурного подразделения, ответственного за обеспечение информационной безопасности. В то же время, функции по управлению риском информационной безопасности, указанные в подпункте 7.9.2 пункта 7.9 Положения N 716-П, по усмотрению кредитной организации могут относиться как к компетенции службы информационной безопасности, так и к компетенции службы управления рисками. Дополнительные комментарии Банка России по вопросу возможности возложения функций должностного лица, ответственного за функционирования системы обеспечения информационной безопасности, на руководителя службы информационной безопасности размещены на официальном сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "Об управлении риском информационной безопасности", вопрос от 29.10.2020 N 2.

Обзор документа

Кредитная организация самостоятельно определяет требования к квалификации ответственного за функционирование системы обеспечения информационной безопасности. Им может быть куратор службы информатизации.

Не предусмотрено объединение подразделения, ответственного за организацию и контроль обеспечения защиты информации, и подразделения, ответственного за обеспечение функционирования информационных систем. При этом куратор службы информационной безопасности может быть назначен из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Читайте также:

  
• Подари жизнь благотворительный фонд кто учредитель
  
• Как изъять оружие у алкоголика
  
• Укажите чем обозначены наименования строк на рабочем листе
  
• Какие услуги предоставляются гражданам бесплатно
  
• Как узнать дату регистрации на сайте госуслуги