В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Сердюк В.А., кандидат технических наук, генеральный директор ЗАО "ДиалогНаука"
НА СЕГОДНЯШНИЙ день ИБ является одним из наиболее динамично развивающихся направлений в области ИТ. Это обусловлено тем, что все большее количество компаний уделяют внимание вопросам защиты информационных ресурсов, от которых зависит стабильность функционирования бизнес-процессов предприятия.
Один из основных недостатков в существующих подходах обеспечения безопасности заключается в том, что защита информации в компаниях воспринимается как разовая задача, которая обычно сводится к установке и настройке типового набора средств защиты, таких как антивирусы, межсетевые экраны, системы разграничения доступа и др. Однако с учетом того, что угрозы постоянно эволюционируют, то рано или поздно применение такого подхода приведет к тому, что текущий уровень безопасности организации окажется недостаточным для эффективного противодействия внешним и внутренним атакам злоумышленников. И чтобы избежать этой ситуации, информационная безопасность должна восприниматься как "непрерывный процесс", интегрированный в корпоративную модель управления компанией. Для реализации данного подхода может использоваться международный стандарт ISO/IEC 27001, последняя редакция которого была принята в 2005 г.
Стандарт ISO/IEC 27001 определяет требования для разработки, реализации, эксплуатации, мониторинга, ревизии, поддержания и совершенствования системы управления информационной безопасностью (СУИБ). Требования этого стандарта в определенной степени абстрактны и не привязаны к специфике какой-либо области деятельности организации. Они могут применяться любой организацией вне зависимости от ее типа, размеров и характера бизнеса. Еще одной особенностью стандарта является тот факт, что он носит не технический, а управленческий характер и направлен на внедрение процессов, позволяющих обеспечить должный уровень информационной безопасности компании. СУИБ базируется на процедуре оценки и анализа рисков, интегральных показателей защищенности ключевых информационных активов и выборе мер по минимизации рисков до приемлемого остаточного уровня.
Используя ISO/IEC 27001 в качестве основы для построения системы управления ИБ, организация может пройти процедуру сертификации специализированными органами, имеющими аккредитацию UKAS (United Kingdom Accreditation Service). Получение сертификата международного образца может позволить увеличить капитализацию компании, а также повысить уровень доверия клиентов и партнеров. Необходимо отметить, что срок действия сертификата составляет три года, по истечении которого необходимо проходить ресертификационный аудит.
Касаясь практического применения ISO/IEC 27001, необходимо отметить, что все работы по разработке системы управления И Б можно разбить на следующие основные этапы:
При выборе области деятельности, в которой силами специально созданной рабочей группы будут внедряться механизмы СУИБ, должны учитываться следующие факторы:
Одним из основных требований стандарта ISO 27001 является разработка политики ИБ в виде внутрикорпоративного нормативного документа, который утверждается на уровне руководства компании. Все положения носят долгосрочный характер и действуют в течение нескольких лет с момента ее официального утверждения. Основная ее цель заключается в создании нормативной базы для обеспечения комплексной защиты от угроз. Политика должна дополняться регламентами, инструкциями, положениями и другими документами, позволяющими формализовать процессы защиты информации в компании.
Внедрение СУИБ на основе стандарта ISO 27001 позволяет реализовать процессный подход к обеспечению ИБ, что существенным образом позволяет более системно и комплексно решить проблему защиты компании от возможных внешних и внутренних угроз.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2007