Документ описывает принципы работы специалистов по информационной безопасности, акцентируя внимание на поддержке бизнеса, защите информации и формировании ответственного подхода. Основные задачи включают интеграцию мер безопасности в бизнес-процессы, соблюдение законодательных норм и развитие культуры уважения к безопасности среди сотрудников. Настоящий материал служит основой для повышения эффективности работы информационной безопасности в организациях.

1. Принципы практикующих специалистов по ИБ
ПРИНЦИП ЗАДАЧА
А. Оказывать поддержку деятельности организации (Support the business)
А1. Сосредоточиться на работе организации
Focus on the business
Гарантировать, что меры информационной безопасности включены в основные рабочие
процессы.
To ensure that information security is integrated into essential business activities.
A2. Обеспечивать качество и ценность
своей работы для заинтересованных лиц
Deliver quality and value to stakeholders
Гарантировать, что информационная безопасность предоставляет ценность для бизнеса и
соответствует его требованиям.
To ensure that information security delivers value and meets business requirements.
A3. Соблюдать соответствующие
законодательные и нормативные требования
Comply with relevant legal and regulatory
requirements
Гарантировать, что соблюдаются установленные законом требования, управляются
ожидания заинтересованных лиц, избегаются риски гражданской и уголовной
ответственности.
To ensure that statutory obligations are met, stakeholder expectations are managed and civil or
criminal penalties are avoided.
A4. Своевременно предоставлять точную
информацию о реализации мер
информационной безопасности
Provide timely and accurate information on security
performance
Соблюдать требования бизнеса и управлять рисками информационной
безопасности.
To support business requirements and manage information risks.
A5. Оценивать текущие и будущие
(возможные) угрозы информационной
безопасности
Evaluate current and future information threat
Анализировать и оценивать возникающие угрозы информационной безопасности для того,
чтобы можно было принять обоснованные и своевременные меры для снижения рисков.
To analyse and assess emerging information security threats so that informed, timely action to
mitigate risks can be taken.
A6. Содействовать постоянному
совершенствованию информационной
безопасности
Promote continuous improvement in
information security
Снижать расходы, повышать результативность и эффективность, поощрять культуру
постоянного совершенствования информационной безопасности.
To reduce costs, improve efficiency and effectiveness and promote a culture of continuous
improvement in information security.
B. Защищать организацию (Defend the business)
B1. Использовать риск-ориентированный
подход
Adopt a risk-based approach
Гарантировать, что управление рисками выполняется последовательно и эффективным
образом.
To ensure that risks are treated in a consistent and effective manner.
B2. Защищать информацию ограниченного
доступа
Protect classified information
Исключить раскрытие посторонним лицам информации ограниченного доступа (т.е.
конфиденциальной или чувствительной).
To prevent classified information (eg confidential or sensitive) being disclosed to unauthorised
individuals.
B3. Концентрироваться на критичных
бизнес-приложениях
Concentrate on critical business applications
Определять приоритеты для ограниченных ресурсов информационной безопасности: в
первую очередь обеспечить защиту тех бизнес-приложений, инциденты безопасности
которых нанесут организации наибольший ущерб.
To prioritise scarce information security resources by protecting the business applications where a
security incident would have the greatest business impact.
B4. Разрабатывать системы с учетом принципов
безопасности
Develop systems securely
Создавать качественные, экономичные и надежные в работе системы (т.е.
работающие стабильно, устойчиво, корректно и безотказно).
To build quality, cost-effective systems upon which business people can rely (eg that are consistently
robust, accurate and reliable).
C. Содействовать формированию ответственного подхода к информационной безопасности (Promote responsible
security behaviour)
C1. Вести себя профессионально и этично
Act in a professional and ethical manner
Гарантировать, что действия, связанные с информационной безопасностью,
выполняются заслуживающим доверия образом, ответственно и эффективно.
To ensure that information security-related activities are performed in a reliable, responsible and
effective manner.
C2. Развивать культуру уважительного
отношения к безопасности
Foster a security-positive culture
Добиваться положительного влияния информационной безопасности на поведение
конечных пользователей, уменьшить вероятность и ущерб для организации от инцидентов
информационной безопасности.
To provide a positive security influence on the behaviour of end users, reduce the likelihood of
security incidents occurring, and limit their potential business impact.
«Принципы практикующих специалистов по информационной безопасности» (Principles for Information Security Practitioners) является неофициальным авторским переводом,
подготовленным для блога «Жизнь 80 на 20» http://80na20.blogspot.ru . Публикуется для ознакомления.
Ссылка на оригинал документа: - http://www.isaca.org/Knowledge-Center/Standards/Documents/Principles-for-Info-Sec-Practitioners-poster.pdf
ISF - www.securityforum.org ISACA - www.isaca.org (ISC)² - www.isc2.org

2. Принципы практикующих специалистов по ИБ
ПРИНЦИП ЗАДАЧА ОПИСАНИЕ
А. Оказывать поддержку деятельности организации
А1. Сосредоточиться на
работе организации
Гарантировать, что меры
информационной безопасности
включены в основные рабочие
процессы.
Специалистам служб информационной безопасности следует выстраивать
отношения с руководством организации и показывать, чем информационная
безопасность может быть полезна в важнейших процессах организации, в т.ч.
процессах управления рисками. Им следует консультировать по вопросам
информационной безопасности и тем самым помогать в реализации задач
организации, выделяя ресурсы для различных программ и проектов. Для защиты
информации и управления рисками ИБ— как в текущий момент, так и в будущем
— нужны рекомендации, ориентированные на высшее руководство организации.
A2. Обеспечивать
качество и ценность
своей работы для
заинтересованных лиц
Гарантировать, что
информационная безопасность
предоставляет ценность для
бизнеса и соответствует его
требованиям.
Внутренние и внешние заинтересованные лица должны быть вовлечены в
регулярный обмен информацией для того, чтобы их потребности в
информационной безопасности всегда выполнялись. Показывая ценность
информационной безопасности (в денежном или ином выражении), можно чаще
получать поддержку своих решений, что в свою очередь позволяет лучше
формировать понимание роли (видения) информационной безопасности.
A3. Соблюдать
соответствующие
законодательные и
нормативные
требования
Гарантировать, что соблюдаются
установленные законом
требования, управляются
ожидания заинтересованных лиц,
избегаются риски гражданской и
уголовной ответственности.
Следует определить все требования, которые необходимо соблюдать,
преобразовать их в формат требований, характерный для информационной
безопасности, и передать их соответствующим лицам. Необходимо четко
понимать меры ответственности за несоблюдение требований. Следует постоянно
наблюдать за контролируемыми мерами, анализировать их и приводить к
актуальному состоянию для того, чтобы соответствовать новым (обновленным)
законодательным и нормативным требованиям.
A4.Своевременно
предоставлять точную
информацию о
реализации мер
информационной
безопасности
Соблюдать требования бизнеса и
управлять рисками
информационной безопасности.
Следует определить требования к тому, как предоставлять информацию о
результативности информационной безопасности, в их основе должны быть
наиболее подходящие и точные метрики информационной безопасности
(например, объем выполненных требований, количество инцидентов, состояние
защитной меры, стоимость), а сами требования нужно сопоставлять с задачами
организации. Чтобы обеспечить точность информации, необходимо собирать ее
регулярно, последовательно и тщательно, а результаты предоставлять в виде,
который отвечает требованиям соответствующих заинтересованных лиц.
A5. Оценивать текущие
и будущие
(возможные) угрозы
информационной
безопасности
Анализировать и оценивать
возникающие угрозы
информационной безопасности
для того, чтобы можно было
принять обоснованные и
своевременные меры для
снижения рисков.
Следует систематизировать и свести все основные тенденции и отдельные угрозы
информационной безопасности в комплексную, стандартизованную структуру.
Такая структура должна наряду с техническими вопросами охватывать широкий
круг тем, в т.ч. политического, законодательного, экономического и
социокультурного характера. Сотрудникам следует сформировать базу знаний и
обмениваться информацией о новых угрозах для того, чтобы устранять их
причины, а не последствия.
A6. Содействовать
постоянному
совершенствованию
информационной
безопасности
Снижать расходы, повышать
результативность и
эффективность, поощрять
культуру постоянного
совершенствования
информационной безопасности.
Постоянные изменения в моделях работы организации и эволюция угроз
вынуждают непрерывно адаптировать под них методы информационной
безопасности и повышать их эффективность. Следует изучать новейшие методы
информационной безопасности, анализируя инциденты и поддерживая контакты с
независимыми исследовательскими организациями.
B. Защищать организацию
B1. Использовать риск-
ориентированный
подход
Гарантировать, что управление
рисками выполняется
последовательно и эффективным
образом.
Варианты решения по управлению рисками должны пересматриваться так, чтобы
принимались взвешенные, документально закрепленные решения. Под
управлением рисками обычно подразумеваются какие-либо из следующих
вариантов действий:
— принятие риска (например, риск и его последствия принимаются под чью-либо
ответственность, никаких дальнейших действий не требуется),
— избегание риска (например, отказ от инициативы, несущей в себе риск),
— передача риска (например, задача, несущая риск, передается на исполнение
сторонней организации или риски страхуются),
— снижение риска, как правило, посредством реализации соответствующих мер
безопасности (например, меры контроля доступа, мониторинг сети, управление
инцидентами).
B2. Защищать
информацию
ограниченного доступа
Исключить раскрытие
посторонним лицам информации
ограниченного доступа (т.е.
конфиденциальной или
чувствительной).
Информация должна быть идентифицирована, а затем классифицирована в
соответствии с ее уровнем конфиденциальности (например, грифы «строго
конфиденциально», «для ограниченного использования», «для внутреннего
использования», «для публичного использования»). Информация ограниченного
доступа должна защищаться на всех стадиях ее жизненного цикла (от создания до
уничтожения), с использованием надлежащих защитных мер, таких как,
шифрование и строгое разграничение доступа.

3. ПРИНЦИП ЗАДАЧА ОПИСАНИЕ
B3. Концентрироваться
на критичных бизнес-
приложениях
Определять приоритеты для
ограниченных ресурсов
информационной безопасности:
в первую очередь обеспечить
защиту тех бизнес-приложений,
инциденты безопасности которых
нанесут организации
наибольший ущерб.
Понимание ущерба от нарушения целостности (например, полноты, точности или
своевременности) или доступности важной информации, которая проходит через
бизнес-приложения (т.е. обрабатывается, хранится или передается), поможет
определить уровень ее критичности. Затем можно определить требования к
ресурсам, необходимым для обеспечения безопасности, и приоритетность защиты
тех приложений, которые наиболее критичны для успешной работы организации.
B4. Разрабатывать
системы с учетом
принципов
безопасности
Создавать качественные,
экономичные и надежные в
работе системы (т.е. работающие
стабильно, устойчиво, корректно
и безотказно).
Необходимо внедрять механизмы информационной безопасности на таких этапах
жизненного цикла разработки систем (SDLC, System Development Life Cycle), как
оценка, проектирование, построение и тестирование. Надежные методы
информационной безопасности (например, тщательное тестирование на наличие
уязвимостей, привлечение независимых экспертов для проверки на устойчивость к
ошибкам, а также к исключительным и чрезвычайным условиям) должны играть
ключевую роль на всех этапах процесса разработки.
C. Содействовать формированию ответственного подхода к информационной безопасности
C1. Вести себя
профессионально и
этично
Гарантировать, что действия,
связанные с информационной
безопасностью, выполняются
заслуживающим доверия
образом, ответственно и
эффективно.
Информационная безопасность в значительной степени опирается на способность
профильных специалистов выполнять свои служебные обязанности ответственно,
с ясным пониманием того, насколько от их порядочности зависит судьба
информации, которую им вверено защищать. Специалисты служб
информационной безопасности должны быть привержены высоким стандартам
качества своей работы, при этом они должны демонстрировать стойкое этическое
поведение, уважать потребности организации и других сотрудников, соблюдать
конфиденциальность (часто личной) информации.
C2. Развивать культуру
уважительного
отношения к
безопасности
Добиваться положительного
влияния информационной
безопасности на поведение
конечных пользователей,
уменьшить вероятность и ущерб
для организации от инцидентов
информационной безопасности.
Следует сосредоточить усилия на том, чтобы информационная безопасность
воспринималась как важная часть обычной работы организации, необходимо
повышать уровень осведомленность пользователей и обеспечить наличие у них
навыков, необходимых для защиты критичной информации и систем. Сотрудники
должны быть осведомлены о рисках для информации, за которую они отвечают, и
иметь полномочия, чтобы принимать необходимые меры для ее защиты.
«Принципы практикующих специалистов по информационной безопасности» (Principles for Information Security Practitioners) является неофициальным авторским переводом,
подготовленным для блога «Жизнь 80 на 20» http://80na20.blogspot.ru . Публикуется для ознакомления.
Ссылка на оригинал документа: - http://www.isaca.org/Knowledge-Center/Standards/Documents/Principles-for-Info-Sec-Practitioners-poster.pdf
ISF - www.securityforum.org ISACA - www.isaca.org (ISC)² - www.isc2.org