Обеспечение требований законодательства
Как говорилось в начале статьи, актуальность услуг консалтинга в области ИБ в значительной степени связана с необходимостью приведения информационной безопасности в соответствие с требованиями законодательства.
Информационная безопасность – это, пожалуй, одна из тех областей, которая должна быть жестко регламентирована, поскольку применение непроверенных практикой и неформализованных норм чревато серьезными негативными последствиями для владельцев и пользователей информации.
Основным регулятором, контролирующим выполнение требований по обеспечению ИБ, является государство. Оно должно устанавливать отношения, связанные с обменом данных, поскольку, во-первых, взаимоотношения в информационной сфере находятся в области его прямых интересов, во-вторых, оно должно контролировать баланс интересов граждан, общества и государства.
Российское законодательство не отличается жесткостью регулирования отношений в области информационной безопасности. Серьезные требования по защите предъявляются лишь к сведениям, относящимся к государственной тайне. Что касается защиты, например, коммерческой и другой подобной информации, то государство и регулирующие органы отдают это на откуп самим коммерческим организациям, предоставляя им полную свободу выбора как методов, так и средств защиты данных, относящихся к коммерческой тайне.
Другая проблема российского законодательства заключается в том, что законодательные и регулирующие органы просто не успевают за изменениями, происходящими в сфере информационных технологий. Если законы в этой области издаются, то они, как правило, не работают в полном объеме из-за потери актуальности, поскольку принимались слишком долго, а ситуация уже изменилась. Примером может служить закон об электронно-цифровой подписи (далее ЭЦП), который должен был способствовать развитию российской информационной инфраструктуры и услуг, росту продаж в российском сегменте Интернета, ранее сдерживаемом отсутствием надежных процедур аутентификации. Однако этот закон ничем не облегчил применение ЭЦП в корпоративных системах и пока не привел к применению ее в системах общего пользования. Кроме того, требование обязательного использования в системах общего пользования только сертифицированных средств, т. е. отечественных криптоалгоритмов ЭЦП, существенно ограничило рамки этих систем.
Все же необходимо отметить положительные сдвиги в сфере нормативно-правового регулирования в области ИБ в России. Так, серьезные инциденты, связанные с кражами баз данных пользователей информационных систем, происходивших в России на протяжении последних лет, привели к необходимости принятия специальных требований, которые бы жестко регулировали обработку, хранение и передачу персональных данных пользователей. Так в 2006 году был создан закон о персональных данных.
- Практическое занятие № 4 Тема: Консалтинг в области информационной безопасности.
- План практического занятия
- Указания по проведению практического занятия
- 2. Основная часть Консалтинг в области информационной безопасности
- Определение консалтинга в области иб
- Актуальность услуг по консалтингу в области иб
- Виды консалтинга в области информационной безопасности
- Формы оказания услуг по консалтингу в области информационной безопасности
- Определение уровня информационной безопасности
- Обследование состояния информационной безопасности с разработкой рекомендаций
- Информационное обследование
- Анализ полученной информации
- Предложение компании «Инфосистемы Джет»: «Обследование состояния иб с разработкой рекомендаций по повышению уровня защищенности организации»
- Подготовка рекомендаций
- Анализ рисков информационной безопасности
- Идентификация и оценка критичности активов
- Разработка методики анализа рисков
- Предложения компании «Инфосистемы Джет»: «Внедрение процесса управления рисками иб»
- Идентификация рисков
- Оценка рисков
- Выбор мер противодействия рискам
- Результаты анализа рисков иб
- Обеспечение требований бизнеса к информационной безопасности
- Разработка стратегии информационной безопасности
- Обеспечение требований законодательства
- Требования к защите персональных данных
- Предложение Компании «Инфосистемы Джет» по приведению процессов обработки персональных данных в соответствии с требованиями Закона о персональных данных
- Отраслевые требования по информационной безопасности Стандарт Банка России по обеспечению иб
- Обеспечение соответствия безопасности платежных систем требованиям стандарта pci dss
- Предложение компании «Инфосистемы Джет»: «Консалтинг в области сто бр» Целевая аудитория
- Назначение услуги
- Состав работ:
- Оптимизация системы обеспечения иб Построение системы управления иб
- Предложение Компании «Инфосистемы Джет» по консалтингу в области pci dss
- Назначение услуги
- Задачи, решаемые в ходе проведения работ по данной услуге:
- Обследование, обнаружение и анализ соответствия требованиям стандарта iso/iec 27001:2005
- Создание суиб в соответствии с требованиями стандарта iso/iec 27001:2005
- Внедрение процессов суиб и подготовка суиб к сертификации
- Подход компании «Инфосистемы Джет» к построению суиб
- Внедрение процесса управления непрерывностью бизнеса
- Внедрение процесса управления инцидентами иб
- Выводы или Как не ошибиться с выбором консультанта?!