Лебідь Оксана
Олегівна
Державний
ВУЗ "Національний гірничий університет", Україна
система управління інформаційною
безпекою за стандартам ISO 27001
ВСТУП
Інформація є одним із самих
головних ділових ресурсів, який забезпечує організації додану вартість, і
внаслідок цього потребує захисту. Слабкі місця в захисті інформації можуть
призвести до фінансових втрат, і нанести збиток комерційним операція. Тому в
наш час питання розробки системи управління інформаційною безпекою та її
впровадження в організації є концептуальною.
Стандарт ISO 27001 визначає інформаційну безпеку як: «збереження
конфіденційності, цілісності та доступності інформації.
Можливості
Системи управління інформаційною БЕЗПЕКОЮ
Система управління інформаційною
безпекою на основі стандарту ISO 27001 дозволяє:
-Зробити більшість інформаційних активів найбільш зрозумілими
для менеджменту компанії;
-Виявляти основні загрози безпеки для існуючих
бізнес-процесів;
-Розраховувати ризики і приймати рішення на основі цілей
компанії;
-Забезпечити ефективне управління системою в критичних
ситуаціях;
-Проводити процес виконання політики безпеки (знаходити і
виправляти слабкі місця в системі інформаційної безпеки);
-Чітко визначити особисту відповідальність;
-Досягти зниження і оптимізації вартості підтримки системи
безпеки;
-Полегшити інтеграцію підсистеми безпеки в бізнес-процеси і
інтеграцію з ISO 9001:2000;
-Продемонструвати клієнтам, партнерам, власникам бізнесу свою
прихильність до інформаційної безпеки;
-Отримати міжнародне визнання і підвищення авторитету компанії,
як на внутрішньому ринку, так і на зовнішніх ринках;
-Підкреслити прозорість і чистоту бізнесу перед законом завдяки
відповідності стандарту [1].
Етапи
розробки і впровадження системи управління ІБ
Можна виділити наступні основні
етапи розробки системи управління ІБ:
-Інвентаризація активів;
-Категорювання активів;
-Оцінка захищеності інформаційної
системи;
-Оцінка інформаційних ризиків;
-Обробка інформаційних ризиків (у
тому числі визначення конкретних заходів для захисту цінних активів);
-Впровадження вибраних заходів
обробки ризиків;
-Контроль виконання та
ефективностью вибраних заходів;
-Роль керівництва компанії в
системі управління ІБ [1].
Одним з основних умов ефективного
функціонування системи управління ІБ є залучення керівництва компанії в процес
управління ІБ. Всі співробітники повинні розуміти, що, по-перше, вся діяльність
по забезпеченню ІБ ініційована керівництвом і обов'язкова для виконання,
по-друге, керівництво компанії особисто контролює функціонування системи
управління ІБ, по-третє, саме керівництво виконує ті ж правила по забезпеченню
ІБ, що і всі співробітники.
ВИСНОВОК
СУІБ і сертифікації на
відповідність стандарту ISO 27001 дає компанії такі переваги як управління
інформаційною безпекою компанії в рамках єдиної корпоративної політики,
управління ризиками та їх своєчасне виявлення, зниження ризиків від зовнішніх і
внутрішніх загроз, систематизація процесів забезпечення ІБ, встановлення
пріоритетів компанії в області ІБ. У свою чергу це забезпечує перевагу,
демонструючи здатність керувати інформаційними ризиками, при цьому також
збільшується капіталізація компанії.
ПЕРЕЛІК ЛІТЕРАТУРИ:
1. ISO 27001:2005 «Информационные
технологии - Методы обеспечения безопасности - Системы управления
информационной безопасностью [1]
2. Ярочкин В.І. Безпека
інформаційних систем. - М.: вид. "Вісь-89", 2006.[2]