В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
В настоящее время практически ни одна организация не обходится без использования IT-технологий. Данные, обрабатываемые в информационных системах, могут иметь высокую ценность для компании. В таких случаях становится неприемлемым нарушение тех или иных характеристик безопасности (конфиденциальности, целостности и доступности) критичной информации, поскольку это может привести не только к серьезному ущербу, но и поставить под сомнение дальнейшее существование организации. В связи с этим появляется необходимость в обеспечении защиты информации, обрабатываемой компанией.
Каким же образом строить систему защиты информации? Безусловно, необходимо использовать комплексный подход, содержащий в себе как применение организационных мер, так и использование технических (в том числе программных и аппаратно-программных) средств защиты информации.
Помимо построения и сопровождения системы защиты, требуется грамотное управление ею. Этого можно достичь следующими способами:
Первый способ довольно эффективен, если работы планируется провести силами экспертов в области ИБ, имеющих высокую компетенцию. При таком подходе эксперты, несомненно, будут опираться на второй способ.
В рамках второго способа предполагается использование широко известного международного стандарта ISO 27001, в полной мере описывающего управление ИБ. В стандарте предусмотрены подходы к разработке, внедрению, обеспечению функционирования, мониторингу, анализу, поддержке и непрерывному улучшению документированной системы управления информационной безопасностью (СУИБ). Одной из ключевых идей СУИБ является ее построение на основе оценки рисков информационной безопасности. Стандарт ISO 27001 предполагает, что СУИБ должна постоянно улучшаться путем выполнения непрерывного цикла мероприятий на основе модели PDCA (Plan - Do - Check - Act, план - осуществление - проверка - действие).
Актуальность применения данного стандарта не вызывает никаких сомнений. На эту тему написано немало статей. Однако далеко не все компании внедрили СУИБ. Почему? Причин может быть много, перечислим некоторые из них:
В конечном итоге руководством компании решает, внедрять или нет СУИБ на основе стандарта ISO 27001, что зависит от различных параметров, например от поставленных организацией целей, критичности бизнеса компании к нарушению ИБ, зрелости процессов управления IT, развитости IT-инфраструктуры, сложности бизнес-процессов и др. Например, внедрение СУИБ предполагает высокий уровень зрелости процессов управления IT. Если уровень зрелости невысок, то вначале придется его повысить.
После внедрения СУИБ ее можно сертифицировать на соответствие стандарту ISO 27001. Сертификация носит добровольный характер. Это является формальным подтверждением выполнения требований стандарта и при прочих равных условиях дает компании дополнительные конкурентные преимущества.
Наша компания, имея богатый опыт выполнения проектов по информационной безопасности различного рода, рекомендует крупным компаниям всерьез задуматься о необходимости внедрения СУИБ, поскольку обычно организации такого рода имеют развитую IT-инфраструктуру, а также многообразие бизнес-процессов, которые не всегда являются оптимизированными. При таких условиях контроль защищенности критически важной информации представляет собой нетривиальную задачу.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2013