SlideShare a Scribd company logo

Principles for-info-sec-practitioners-poster [ru]

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Неофициальный перевод документа "Principles for Information Security Practitioners"

Technology
1 of 3
Download to read offline
Принципы практикующих специалистов по ИБ ПРИНЦИП ЗАДАЧА А. Оказывать поддержку деятельности организации (Support the business) А1. Сосредоточиться на работе организации Focus on the business Гарантировать, что меры информационной безопасности включены в основные рабочие процессы. To ensure that information security is integrated into essential business activities. A2. Обеспечивать качество и ценность своей работы для заинтересованных лиц Deliver quality and value to stakeholders Гарантировать, что информационная безопасность предоставляет ценность для бизнеса и соответствует его требованиям. To ensure that information security delivers value and meets business requirements. A3. Соблюдать соответствующие законодательные и нормативные требования Comply with relevant legal and regulatory requirements Гарантировать, что соблюдаются установленные законом требования, управляются ожидания заинтересованных лиц, избегаются риски гражданской и уголовной ответственности. To ensure that statutory obligations are met, stakeholder expectations are managed and civil or criminal penalties are avoided. A4. Своевременно предоставлять точную информацию о реализации мер информационной безопасности Provide timely and accurate information on security performance Соблюдать требования бизнеса и управлять рисками информационной безопасности. To support business requirements and manage information risks. A5. Оценивать текущие и будущие (возможные) угрозы информационной безопасности Evaluate current and future information threat Анализировать и оценивать возникающие угрозы информационной безопасности для того, чтобы можно было принять обоснованные и своевременные меры для снижения рисков. To analyse and assess emerging information security threats so that informed, timely action to mitigate risks can be taken. A6. Содействовать постоянному совершенствованию информационной безопасности Promote continuous improvement in information security Снижать расходы, повышать результативность и эффективность, поощрять культуру постоянного совершенствования информационной безопасности. To reduce costs, improve efficiency and effectiveness and promote a culture of continuous improvement in information security. B. Защищать организацию (Defend the business) B1. Использовать риск-ориентированный подход Adopt a risk-based approach Гарантировать, что управление рисками выполняется последовательно и эффективным образом. To ensure that risks are treated in a consistent and effective manner. B2. Защищать информацию ограниченного доступа Protect classified information Исключить раскрытие посторонним лицам информации ограниченного доступа (т.е. конфиденциальной или чувствительной). To prevent classified information (eg confidential or sensitive) being disclosed to unauthorised individuals. B3. Концентрироваться на критичных бизнес-приложениях Concentrate on critical business applications Определять приоритеты для ограниченных ресурсов информационной безопасности: в первую очередь обеспечить защиту тех бизнес-приложений, инциденты безопасности которых нанесут организации наибольший ущерб. To prioritise scarce information security resources by protecting the business applications where a security incident would have the greatest business impact. B4. Разрабатывать системы с учетом принципов безопасности Develop systems securely Создавать качественные, экономичные и надежные в работе системы (т.е. работающие стабильно, устойчиво, корректно и безотказно). To build quality, cost-effective systems upon which business people can rely (eg that are consistently robust, accurate and reliable). C. Содействовать формированию ответственного подхода к информационной безопасности (Promote responsible security behaviour) C1. Вести себя профессионально и этично Act in a professional and ethical manner Гарантировать, что действия, связанные с информационной безопасностью, выполняются заслуживающим доверия образом, ответственно и эффективно. To ensure that information security-related activities are performed in a reliable, responsible and effective manner. C2. Развивать культуру уважительного отношения к безопасности Foster a security-positive culture Добиваться положительного влияния информационной безопасности на поведение конечных пользователей, уменьшить вероятность и ущерб для организации от инцидентов информационной безопасности. To provide a positive security influence on the behaviour of end users, reduce the likelihood of security incidents occurring, and limit their potential business impact. «Принципы практикующих специалистов по информационной безопасности» (Principles for Information Security Practitioners) является неофициальным авторским переводом, подготовленным для блога «Жизнь 80 на 20» http://80na20.blogspot.ru . Публикуется для ознакомления. Ссылка на оригинал документа: - http://www.isaca.org/Knowledge-Center/Standards/Documents/Principles-for-Info-Sec-Practitioners-poster.pdf ISF - www.securityforum.org ISACA - www.isaca.org (ISC)² - www.isc2.org
Принципы практикующих специалистов по ИБ ПРИНЦИП ЗАДАЧА ОПИСАНИЕ А. Оказывать поддержку деятельности организации А1. Сосредоточиться на работе организации Гарантировать, что меры информационной безопасности включены в основные рабочие процессы. Специалистам служб информационной безопасности следует выстраивать отношения с руководством организации и показывать, чем информационная безопасность может быть полезна в важнейших процессах организации, в т.ч. процессах управления рисками. Им следует консультировать по вопросам информационной безопасности и тем самым помогать в реализации задач организации, выделяя ресурсы для различных программ и проектов. Для защиты информации и управления рисками ИБ— как в текущий момент, так и в будущем — нужны рекомендации, ориентированные на высшее руководство организации. A2. Обеспечивать качество и ценность своей работы для заинтересованных лиц Гарантировать, что информационная безопасность предоставляет ценность для бизнеса и соответствует его требованиям. Внутренние и внешние заинтересованные лица должны быть вовлечены в регулярный обмен информацией для того, чтобы их потребности в информационной безопасности всегда выполнялись. Показывая ценность информационной безопасности (в денежном или ином выражении), можно чаще получать поддержку своих решений, что в свою очередь позволяет лучше формировать понимание роли (видения) информационной безопасности. A3. Соблюдать соответствующие законодательные и нормативные требования Гарантировать, что соблюдаются установленные законом требования, управляются ожидания заинтересованных лиц, избегаются риски гражданской и уголовной ответственности. Следует определить все требования, которые необходимо соблюдать, преобразовать их в формат требований, характерный для информационной безопасности, и передать их соответствующим лицам. Необходимо четко понимать меры ответственности за несоблюдение требований. Следует постоянно наблюдать за контролируемыми мерами, анализировать их и приводить к актуальному состоянию для того, чтобы соответствовать новым (обновленным) законодательным и нормативным требованиям. A4.Своевременно предоставлять точную информацию о реализации мер информационной безопасности Соблюдать требования бизнеса и управлять рисками информационной безопасности. Следует определить требования к тому, как предоставлять информацию о результативности информационной безопасности, в их основе должны быть наиболее подходящие и точные метрики информационной безопасности (например, объем выполненных требований, количество инцидентов, состояние защитной меры, стоимость), а сами требования нужно сопоставлять с задачами организации. Чтобы обеспечить точность информации, необходимо собирать ее регулярно, последовательно и тщательно, а результаты предоставлять в виде, который отвечает требованиям соответствующих заинтересованных лиц. A5. Оценивать текущие и будущие (возможные) угрозы информационной безопасности Анализировать и оценивать возникающие угрозы информационной безопасности для того, чтобы можно было принять обоснованные и своевременные меры для снижения рисков. Следует систематизировать и свести все основные тенденции и отдельные угрозы информационной безопасности в комплексную, стандартизованную структуру. Такая структура должна наряду с техническими вопросами охватывать широкий круг тем, в т.ч. политического, законодательного, экономического и социокультурного характера. Сотрудникам следует сформировать базу знаний и обмениваться информацией о новых угрозах для того, чтобы устранять их причины, а не последствия. A6. Содействовать постоянному совершенствованию информационной безопасности Снижать расходы, повышать результативность и эффективность, поощрять культуру постоянного совершенствования информационной безопасности. Постоянные изменения в моделях работы организации и эволюция угроз вынуждают непрерывно адаптировать под них методы информационной безопасности и повышать их эффективность. Следует изучать новейшие методы информационной безопасности, анализируя инциденты и поддерживая контакты с независимыми исследовательскими организациями. B. Защищать организацию B1. Использовать риск- ориентированный подход Гарантировать, что управление рисками выполняется последовательно и эффективным образом. Варианты решения по управлению рисками должны пересматриваться так, чтобы принимались взвешенные, документально закрепленные решения. Под управлением рисками обычно подразумеваются какие-либо из следующих вариантов действий: — принятие риска (например, риск и его последствия принимаются под чью-либо ответственность, никаких дальнейших действий не требуется), — избегание риска (например, отказ от инициативы, несущей в себе риск), — передача риска (например, задача, несущая риск, передается на исполнение сторонней организации или риски страхуются), — снижение риска, как правило, посредством реализации соответствующих мер безопасности (например, меры контроля доступа, мониторинг сети, управление инцидентами). B2. Защищать информацию ограниченного доступа Исключить раскрытие посторонним лицам информации ограниченного доступа (т.е. конфиденциальной или чувствительной). Информация должна быть идентифицирована, а затем классифицирована в соответствии с ее уровнем конфиденциальности (например, грифы «строго конфиденциально», «для ограниченного использования», «для внутреннего использования», «для публичного использования»). Информация ограниченного доступа должна защищаться на всех стадиях ее жизненного цикла (от создания до уничтожения), с использованием надлежащих защитных мер, таких как, шифрование и строгое разграничение доступа.
ПРИНЦИП ЗАДАЧА ОПИСАНИЕ B3. Концентрироваться на критичных бизнес- приложениях Определять приоритеты для ограниченных ресурсов информационной безопасности: в первую очередь обеспечить защиту тех бизнес-приложений, инциденты безопасности которых нанесут организации наибольший ущерб. Понимание ущерба от нарушения целостности (например, полноты, точности или своевременности) или доступности важной информации, которая проходит через бизнес-приложения (т.е. обрабатывается, хранится или передается), поможет определить уровень ее критичности. Затем можно определить требования к ресурсам, необходимым для обеспечения безопасности, и приоритетность защиты тех приложений, которые наиболее критичны для успешной работы организации. B4. Разрабатывать системы с учетом принципов безопасности Создавать качественные, экономичные и надежные в работе системы (т.е. работающие стабильно, устойчиво, корректно и безотказно). Необходимо внедрять механизмы информационной безопасности на таких этапах жизненного цикла разработки систем (SDLC, System Development Life Cycle), как оценка, проектирование, построение и тестирование. Надежные методы информационной безопасности (например, тщательное тестирование на наличие уязвимостей, привлечение независимых экспертов для проверки на устойчивость к ошибкам, а также к исключительным и чрезвычайным условиям) должны играть ключевую роль на всех этапах процесса разработки. C. Содействовать формированию ответственного подхода к информационной безопасности C1. Вести себя профессионально и этично Гарантировать, что действия, связанные с информационной безопасностью, выполняются заслуживающим доверия образом, ответственно и эффективно. Информационная безопасность в значительной степени опирается на способность профильных специалистов выполнять свои служебные обязанности ответственно, с ясным пониманием того, насколько от их порядочности зависит судьба информации, которую им вверено защищать. Специалисты служб информационной безопасности должны быть привержены высоким стандартам качества своей работы, при этом они должны демонстрировать стойкое этическое поведение, уважать потребности организации и других сотрудников, соблюдать конфиденциальность (часто личной) информации. C2. Развивать культуру уважительного отношения к безопасности Добиваться положительного влияния информационной безопасности на поведение конечных пользователей, уменьшить вероятность и ущерб для организации от инцидентов информационной безопасности. Следует сосредоточить усилия на том, чтобы информационная безопасность воспринималась как важная часть обычной работы организации, необходимо повышать уровень осведомленность пользователей и обеспечить наличие у них навыков, необходимых для защиты критичной информации и систем. Сотрудники должны быть осведомлены о рисках для информации, за которую они отвечают, и иметь полномочия, чтобы принимать необходимые меры для ее защиты. «Принципы практикующих специалистов по информационной безопасности» (Principles for Information Security Practitioners) является неофициальным авторским переводом, подготовленным для блога «Жизнь 80 на 20» http://80na20.blogspot.ru . Публикуется для ознакомления. Ссылка на оригинал документа: - http://www.isaca.org/Knowledge-Center/Standards/Documents/Principles-for-Info-Sec-Practitioners-poster.pdf ISF - www.securityforum.org ISACA - www.isaca.org (ISC)² - www.isc2.org

Recommended

UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибпр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от ЯндексМониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от Яндексjido111222
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jetAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rusAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибпр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от ЯндексМониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от Яндексjido111222
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jetAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rusAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭКAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости DlpAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
тб Сертификаты по ИБ
тб Сертификаты по ИБтб Сертификаты по ИБ
тб Сертификаты по ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

More Related Content

What's hot

Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 

What's hot (20)

пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентов
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в России
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
 
тб Сертификаты по ИБ
тб Сертификаты по ИБтб Сертификаты по ИБ
тб Сертификаты по ИБ
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 

Viewers also liked

Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Viewers also liked (20)

Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
пр стандарты иб. Itsm
пр стандарты иб. Itsmпр стандарты иб. Itsm
пр стандарты иб. Itsm
 
mm CGEIT Best Practices and Concepts
mm CGEIT Best Practices and Conceptsmm CGEIT Best Practices and Concepts
mm CGEIT Best Practices and Concepts
 
mm РС БР ИББС 2.7
mm РС БР ИББС 2.7mm РС БР ИББС 2.7
mm РС БР ИББС 2.7
 
Mm обмен информацией с FinCERT
Mm обмен информацией с FinCERTMm обмен информацией с FinCERT
Mm обмен информацией с FinCERT
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
 
пр работа с информацией 2014 09
пр работа с информацией 2014 09пр работа с информацией 2014 09
пр работа с информацией 2014 09
 
2013 09 статья для lan
2013 09 статья для lan2013 09 статья для lan
2013 09 статья для lan
 
пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05пр Isaca про apt 2014 05-05
пр Isaca про apt 2014 05-05
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301
 
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
 
Презентация про майндкарты (Mm)
Презентация про майндкарты (Mm)Презентация про майндкарты (Mm)
Презентация про майндкарты (Mm)
 
Mm Access Management (ITIL)
Mm Access Management (ITIL)Mm Access Management (ITIL)
Mm Access Management (ITIL)
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
пр серия стандартов Iso 27k
пр серия стандартов Iso 27kпр серия стандартов Iso 27k
пр серия стандартов Iso 27k
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
 
пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)
 
пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности
 

Similar to Principles for-info-sec-practitioners-poster [ru]

КСИБ
КСИБКСИБ
КСИБpesrox
 
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...Cisco Russia
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
Архитектура и стратегия информационной безопасности Cisco
Архитектура и стратегия информационной безопасности CiscoАрхитектура и стратегия информационной безопасности Cisco
Архитектура и стратегия информационной безопасности CiscoCisco Russia
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйRISClubSPb
 
Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноАлексей Волков
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьDatamodel
 
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Cisco Russia
 
Защищенный сетевой доступ для персональных мобильных устройств
Защищенный сетевой доступ для персональных мобильных устройствЗащищенный сетевой доступ для персональных мобильных устройств
Защищенный сетевой доступ для персональных мобильных устройствCisco Russia
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 
Портфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОДПортфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОДCisco Russia
 
Брошюра о технологии "Активы при риске"
Брошюра о технологии "Активы при риске"Брошюра о технологии "Активы при риске"
Брошюра о технологии "Активы при риске"Yuri Bubnov
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Астерит: Концепция ИБ - от теории к практике
Астерит: Концепция ИБ - от теории к практикеАстерит: Концепция ИБ - от теории к практике
Астерит: Концепция ИБ - от теории к практикеExpolink
 
астерит код иб 1211
астерит код иб 1211астерит код иб 1211
астерит код иб 1211Expolink
 
Разработка курсов в области информационной безопасности. Инновационные и дист...
Разработка курсов в области информационной безопасности. Инновационные и дист...Разработка курсов в области информационной безопасности. Инновационные и дист...
Разработка курсов в области информационной безопасности. Инновационные и дист...Сообщество eLearning PRO
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиNick Turunov
 

Similar to Principles for-info-sec-practitioners-poster [ru] (20)

Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation Forum
 
КСИБ
КСИБКСИБ
КСИБ
 
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
 
презентация по услугам
презентация по услугампрезентация по услугам
презентация по услугам
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 
Архитектура и стратегия информационной безопасности Cisco
Архитектура и стратегия информационной безопасности CiscoАрхитектура и стратегия информационной безопасности Cisco
Архитектура и стратегия информационной безопасности Cisco
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир Безмалый
 
Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезно
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
 
Защищенный сетевой доступ для персональных мобильных устройств
Защищенный сетевой доступ для персональных мобильных устройствЗащищенный сетевой доступ для персональных мобильных устройств
Защищенный сетевой доступ для персональных мобильных устройств
 
Isa 99
Isa 99Isa 99
Isa 99
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
Портфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОДПортфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОД
 
Брошюра о технологии "Активы при риске"
Брошюра о технологии "Активы при риске"Брошюра о технологии "Активы при риске"
Брошюра о технологии "Активы при риске"
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Астерит: Концепция ИБ - от теории к практике
Астерит: Концепция ИБ - от теории к практикеАстерит: Концепция ИБ - от теории к практике
Астерит: Концепция ИБ - от теории к практике
 
астерит код иб 1211
астерит код иб 1211астерит код иб 1211
астерит код иб 1211
 
Разработка курсов в области информационной безопасности. Инновационные и дист...
Разработка курсов в области информационной безопасности. Инновационные и дист...Разработка курсов в области информационной безопасности. Инновационные и дист...
Разработка курсов в области информационной безопасности. Инновационные и дист...
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиями
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

Principles for-info-sec-practitioners-poster [ru]

  • 1. Принципы практикующих специалистов по ИБ ПРИНЦИП ЗАДАЧА А. Оказывать поддержку деятельности организации (Support the business) А1. Сосредоточиться на работе организации Focus on the business Гарантировать, что меры информационной безопасности включены в основные рабочие процессы. To ensure that information security is integrated into essential business activities. A2. Обеспечивать качество и ценность своей работы для заинтересованных лиц Deliver quality and value to stakeholders Гарантировать, что информационная безопасность предоставляет ценность для бизнеса и соответствует его требованиям. To ensure that information security delivers value and meets business requirements. A3. Соблюдать соответствующие законодательные и нормативные требования Comply with relevant legal and regulatory requirements Гарантировать, что соблюдаются установленные законом требования, управляются ожидания заинтересованных лиц, избегаются риски гражданской и уголовной ответственности. To ensure that statutory obligations are met, stakeholder expectations are managed and civil or criminal penalties are avoided. A4. Своевременно предоставлять точную информацию о реализации мер информационной безопасности Provide timely and accurate information on security performance Соблюдать требования бизнеса и управлять рисками информационной безопасности. To support business requirements and manage information risks. A5. Оценивать текущие и будущие (возможные) угрозы информационной безопасности Evaluate current and future information threat Анализировать и оценивать возникающие угрозы информационной безопасности для того, чтобы можно было принять обоснованные и своевременные меры для снижения рисков. To analyse and assess emerging information security threats so that informed, timely action to mitigate risks can be taken. A6. Содействовать постоянному совершенствованию информационной безопасности Promote continuous improvement in information security Снижать расходы, повышать результативность и эффективность, поощрять культуру постоянного совершенствования информационной безопасности. To reduce costs, improve efficiency and effectiveness and promote a culture of continuous improvement in information security. B. Защищать организацию (Defend the business) B1. Использовать риск-ориентированный подход Adopt a risk-based approach Гарантировать, что управление рисками выполняется последовательно и эффективным образом. To ensure that risks are treated in a consistent and effective manner. B2. Защищать информацию ограниченного доступа Protect classified information Исключить раскрытие посторонним лицам информации ограниченного доступа (т.е. конфиденциальной или чувствительной). To prevent classified information (eg confidential or sensitive) being disclosed to unauthorised individuals. B3. Концентрироваться на критичных бизнес-приложениях Concentrate on critical business applications Определять приоритеты для ограниченных ресурсов информационной безопасности: в первую очередь обеспечить защиту тех бизнес-приложений, инциденты безопасности которых нанесут организации наибольший ущерб. To prioritise scarce information security resources by protecting the business applications where a security incident would have the greatest business impact. B4. Разрабатывать системы с учетом принципов безопасности Develop systems securely Создавать качественные, экономичные и надежные в работе системы (т.е. работающие стабильно, устойчиво, корректно и безотказно). To build quality, cost-effective systems upon which business people can rely (eg that are consistently robust, accurate and reliable). C. Содействовать формированию ответственного подхода к информационной безопасности (Promote responsible security behaviour) C1. Вести себя профессионально и этично Act in a professional and ethical manner Гарантировать, что действия, связанные с информационной безопасностью, выполняются заслуживающим доверия образом, ответственно и эффективно. To ensure that information security-related activities are performed in a reliable, responsible and effective manner. C2. Развивать культуру уважительного отношения к безопасности Foster a security-positive culture Добиваться положительного влияния информационной безопасности на поведение конечных пользователей, уменьшить вероятность и ущерб для организации от инцидентов информационной безопасности. To provide a positive security influence on the behaviour of end users, reduce the likelihood of security incidents occurring, and limit their potential business impact. «Принципы практикующих специалистов по информационной безопасности» (Principles for Information Security Practitioners) является неофициальным авторским переводом, подготовленным для блога «Жизнь 80 на 20» http://80na20.blogspot.ru . Публикуется для ознакомления. Ссылка на оригинал документа: - http://www.isaca.org/Knowledge-Center/Standards/Documents/Principles-for-Info-Sec-Practitioners-poster.pdf ISF - www.securityforum.org ISACA - www.isaca.org (ISC)² - www.isc2.org
  • 2. Принципы практикующих специалистов по ИБ ПРИНЦИП ЗАДАЧА ОПИСАНИЕ А. Оказывать поддержку деятельности организации А1. Сосредоточиться на работе организации Гарантировать, что меры информационной безопасности включены в основные рабочие процессы. Специалистам служб информационной безопасности следует выстраивать отношения с руководством организации и показывать, чем информационная безопасность может быть полезна в важнейших процессах организации, в т.ч. процессах управления рисками. Им следует консультировать по вопросам информационной безопасности и тем самым помогать в реализации задач организации, выделяя ресурсы для различных программ и проектов. Для защиты информации и управления рисками ИБ— как в текущий момент, так и в будущем — нужны рекомендации, ориентированные на высшее руководство организации. A2. Обеспечивать качество и ценность своей работы для заинтересованных лиц Гарантировать, что информационная безопасность предоставляет ценность для бизнеса и соответствует его требованиям. Внутренние и внешние заинтересованные лица должны быть вовлечены в регулярный обмен информацией для того, чтобы их потребности в информационной безопасности всегда выполнялись. Показывая ценность информационной безопасности (в денежном или ином выражении), можно чаще получать поддержку своих решений, что в свою очередь позволяет лучше формировать понимание роли (видения) информационной безопасности. A3. Соблюдать соответствующие законодательные и нормативные требования Гарантировать, что соблюдаются установленные законом требования, управляются ожидания заинтересованных лиц, избегаются риски гражданской и уголовной ответственности. Следует определить все требования, которые необходимо соблюдать, преобразовать их в формат требований, характерный для информационной безопасности, и передать их соответствующим лицам. Необходимо четко понимать меры ответственности за несоблюдение требований. Следует постоянно наблюдать за контролируемыми мерами, анализировать их и приводить к актуальному состоянию для того, чтобы соответствовать новым (обновленным) законодательным и нормативным требованиям. A4.Своевременно предоставлять точную информацию о реализации мер информационной безопасности Соблюдать требования бизнеса и управлять рисками информационной безопасности. Следует определить требования к тому, как предоставлять информацию о результативности информационной безопасности, в их основе должны быть наиболее подходящие и точные метрики информационной безопасности (например, объем выполненных требований, количество инцидентов, состояние защитной меры, стоимость), а сами требования нужно сопоставлять с задачами организации. Чтобы обеспечить точность информации, необходимо собирать ее регулярно, последовательно и тщательно, а результаты предоставлять в виде, который отвечает требованиям соответствующих заинтересованных лиц. A5. Оценивать текущие и будущие (возможные) угрозы информационной безопасности Анализировать и оценивать возникающие угрозы информационной безопасности для того, чтобы можно было принять обоснованные и своевременные меры для снижения рисков. Следует систематизировать и свести все основные тенденции и отдельные угрозы информационной безопасности в комплексную, стандартизованную структуру. Такая структура должна наряду с техническими вопросами охватывать широкий круг тем, в т.ч. политического, законодательного, экономического и социокультурного характера. Сотрудникам следует сформировать базу знаний и обмениваться информацией о новых угрозах для того, чтобы устранять их причины, а не последствия. A6. Содействовать постоянному совершенствованию информационной безопасности Снижать расходы, повышать результативность и эффективность, поощрять культуру постоянного совершенствования информационной безопасности. Постоянные изменения в моделях работы организации и эволюция угроз вынуждают непрерывно адаптировать под них методы информационной безопасности и повышать их эффективность. Следует изучать новейшие методы информационной безопасности, анализируя инциденты и поддерживая контакты с независимыми исследовательскими организациями. B. Защищать организацию B1. Использовать риск- ориентированный подход Гарантировать, что управление рисками выполняется последовательно и эффективным образом. Варианты решения по управлению рисками должны пересматриваться так, чтобы принимались взвешенные, документально закрепленные решения. Под управлением рисками обычно подразумеваются какие-либо из следующих вариантов действий: — принятие риска (например, риск и его последствия принимаются под чью-либо ответственность, никаких дальнейших действий не требуется), — избегание риска (например, отказ от инициативы, несущей в себе риск), — передача риска (например, задача, несущая риск, передается на исполнение сторонней организации или риски страхуются), — снижение риска, как правило, посредством реализации соответствующих мер безопасности (например, меры контроля доступа, мониторинг сети, управление инцидентами). B2. Защищать информацию ограниченного доступа Исключить раскрытие посторонним лицам информации ограниченного доступа (т.е. конфиденциальной или чувствительной). Информация должна быть идентифицирована, а затем классифицирована в соответствии с ее уровнем конфиденциальности (например, грифы «строго конфиденциально», «для ограниченного использования», «для внутреннего использования», «для публичного использования»). Информация ограниченного доступа должна защищаться на всех стадиях ее жизненного цикла (от создания до уничтожения), с использованием надлежащих защитных мер, таких как, шифрование и строгое разграничение доступа.
  • 3. ПРИНЦИП ЗАДАЧА ОПИСАНИЕ B3. Концентрироваться на критичных бизнес- приложениях Определять приоритеты для ограниченных ресурсов информационной безопасности: в первую очередь обеспечить защиту тех бизнес-приложений, инциденты безопасности которых нанесут организации наибольший ущерб. Понимание ущерба от нарушения целостности (например, полноты, точности или своевременности) или доступности важной информации, которая проходит через бизнес-приложения (т.е. обрабатывается, хранится или передается), поможет определить уровень ее критичности. Затем можно определить требования к ресурсам, необходимым для обеспечения безопасности, и приоритетность защиты тех приложений, которые наиболее критичны для успешной работы организации. B4. Разрабатывать системы с учетом принципов безопасности Создавать качественные, экономичные и надежные в работе системы (т.е. работающие стабильно, устойчиво, корректно и безотказно). Необходимо внедрять механизмы информационной безопасности на таких этапах жизненного цикла разработки систем (SDLC, System Development Life Cycle), как оценка, проектирование, построение и тестирование. Надежные методы информационной безопасности (например, тщательное тестирование на наличие уязвимостей, привлечение независимых экспертов для проверки на устойчивость к ошибкам, а также к исключительным и чрезвычайным условиям) должны играть ключевую роль на всех этапах процесса разработки. C. Содействовать формированию ответственного подхода к информационной безопасности C1. Вести себя профессионально и этично Гарантировать, что действия, связанные с информационной безопасностью, выполняются заслуживающим доверия образом, ответственно и эффективно. Информационная безопасность в значительной степени опирается на способность профильных специалистов выполнять свои служебные обязанности ответственно, с ясным пониманием того, насколько от их порядочности зависит судьба информации, которую им вверено защищать. Специалисты служб информационной безопасности должны быть привержены высоким стандартам качества своей работы, при этом они должны демонстрировать стойкое этическое поведение, уважать потребности организации и других сотрудников, соблюдать конфиденциальность (часто личной) информации. C2. Развивать культуру уважительного отношения к безопасности Добиваться положительного влияния информационной безопасности на поведение конечных пользователей, уменьшить вероятность и ущерб для организации от инцидентов информационной безопасности. Следует сосредоточить усилия на том, чтобы информационная безопасность воспринималась как важная часть обычной работы организации, необходимо повышать уровень осведомленность пользователей и обеспечить наличие у них навыков, необходимых для защиты критичной информации и систем. Сотрудники должны быть осведомлены о рисках для информации, за которую они отвечают, и иметь полномочия, чтобы принимать необходимые меры для ее защиты. «Принципы практикующих специалистов по информационной безопасности» (Principles for Information Security Practitioners) является неофициальным авторским переводом, подготовленным для блога «Жизнь 80 на 20» http://80na20.blogspot.ru . Публикуется для ознакомления. Ссылка на оригинал документа: - http://www.isaca.org/Knowledge-Center/Standards/Documents/Principles-for-Info-Sec-Practitioners-poster.pdf ISF - www.securityforum.org ISACA - www.isaca.org (ISC)² - www.isc2.org