Актуальность системы управления ИБОсновные проблемы создания

Руслан Мамедов
Системный аналитик компании "Открытые Технологии"

В настоящее время практически ни одна организация не обходится без использования IT-технологий. Данные, обрабатываемые в информационных системах, могут иметь высокую ценность для компании. В таких случаях становится неприемлемым нарушение тех или иных характеристик безопасности (конфиденциальности, целостности и доступности) критичной информации, поскольку это может привести не только к серьезному ущербу, но и поставить под сомнение дальнейшее существование организации. В связи с этим появляется необходимость в обеспечении защиты информации, обрабатываемой компанией.

Каким же образом строить систему защиты информации? Безусловно, необходимо использовать комплексный подход, содержащий в себе как применение организационных мер, так и использование технических (в том числе программных и аппаратно-программных) средств защиты информации.

Помимо построения и сопровождения системы защиты, требуется грамотное управление ею. Этого можно достичь следующими способами:

1. на основе самостоятельной разработки подхода к управлению ИБ с учетом собственного опыта;
2. на основе использования лучших мировых практик в этой области.

Первый способ довольно эффективен, если работы планируется провести силами экспертов в области ИБ, имеющих высокую компетенцию. При таком подходе эксперты, несомненно, будут опираться на второй способ.

В рамках второго способа предполагается использование широко известного международного стандарта ISO 27001, в полной мере описывающего управление ИБ. В стандарте предусмотрены подходы к разработке, внедрению, обеспечению функционирования, мониторингу, анализу, поддержке и непрерывному улучшению документированной системы управления информационной безопасностью (СУИБ). Одной из ключевых идей СУИБ является ее построение на основе оценки рисков информационной безопасности. Стандарт ISO 27001 предполагает, что СУИБ должна постоянно улучшаться путем выполнения непрерывного цикла мероприятий на основе модели PDCA (Plan - Do - Check - Act, план - осуществление - проверка - действие).

Какие выгоды получат компании после внедрения СУИБ?

• значительно повышается уровень защищенности важной для компании информации;
• расходы на ИБ соответствуют реальным потребностям (в частности, закупаются только необходимые средства защиты), то есть оптимизируются затраты на И Б;
• уровень ИБ соответствует как законодательным требованиям, так и требованиям бизнеса;
• возрастает доверие инвесторов, клиентов и партнеров к данной компании.

Сомнения есть всегда

Актуальность применения данного стандарта не вызывает никаких сомнений. На эту тему написано немало статей. Однако далеко не все компании внедрили СУИБ. Почему? Причин может быть много, перечислим некоторые из них:

• отсутствие базовых знаний об И Б (и тем более о данном стандарте);
• сомнения в необходимости внедрения СУИБ;
• простота IT-инфраструктуры и бизнес-процессов компании, где вся деятельность прозрачна. Как правило, данные характеристики справедливы для небольших компаний;
• наличие дополнительных расходов, связанных с разработкой и внедрением СУИБ, а также с ее поддержкой и необходимой модернизацией во времени;
• игнорирование проблем ИБ (при понимании возможных негативных последствий) в надежде, что ничего не случится.

Внедрять или не внедрять?

В конечном итоге руководством компании решает, внедрять или нет СУИБ на основе стандарта ISO 27001, что зависит от различных параметров, например от поставленных организацией целей, критичности бизнеса компании к нарушению ИБ, зрелости процессов управления IT, развитости IT-инфраструктуры, сложности бизнес-процессов и др. Например, внедрение СУИБ предполагает высокий уровень зрелости процессов управления IT. Если уровень зрелости невысок, то вначале придется его повысить.

После внедрения СУИБ ее можно сертифицировать на соответствие стандарту ISO 27001. Сертификация носит добровольный характер. Это является формальным подтверждением выполнения требований стандарта и при прочих равных условиях дает компании дополнительные конкурентные преимущества.

Рекомендации экспертов

Наша компания, имея богатый опыт выполнения проектов по информационной безопасности различного рода, рекомендует крупным компаниям всерьез задуматься о необходимости внедрения СУИБ, поскольку обычно организации такого рода имеют развитую IT-инфраструктуру, а также многообразие бизнес-процессов, которые не всегда являются оптимизированными. При таких условиях контроль защищенности критически важной информации представляет собой нетривиальную задачу.