Система управления безопасности информационными
технологиями в
предприятиях
Кокшетауский университет имени Абая Мырзахметова
Рысбаев Ербол
Магистрант 2 курса
научно-педагогического направления
специальности «Информационные
системы»
Информационные
технологии (ИТ, а также информационно-коммуни-кационные
технологии) — процессы, методы поиска, сбора, хранения, обработки,
предоставления и распространения информации, приёмы, способы и методы применения средств вычислительной
техники при
выполнении функций сбора, хранения, обработки, передачи и использования данных;
ресурсы, необходимые для сбора, обработки, хранения и распространения
информации. В широком понимании ИТ охватывают все области создания, передачи,
хранения и восприятия информации и не только компьютерные технологии. При
этом ИТ часто ассоциируют именно с компьютерными технологиями, и это не
случайно: появление компьютеров вывело ИТ на новый уровень, как когда-то телевидение, или же ранее печатное
дело.
В последние годы многие организации
и компании
хорошо осознали необходимость управления информационной безопасностью
предприятия. Эффективное управление вопросами информационной безопасности
приобретает все большее значение для компаний по мере их роста и продвижения на
новые рынки товаров и услуг. Клиентам важно знать, что соблюдается
конфиденциальность их персональных и деловых данных. Инвесторам необходима
уверенность в том, что бизнес и информационные активы компании защищены.
Деловые партнеры ожидают, что компания будет функционировать без сбоев, которые
могут быть вызваны ошибками в работе информационных систем, умышленными или
неумышленными действиями персонала, вредоносным программным обеспечением и
другими факторами.
Как правило, главными препятствиями на пути
обеспечения информационной безопасности являются ее невысокая приоритетность
при распределении ресурсов и бюджетные ограничения. Компании нередко выделяют
единый бюджет на удовлетворение всех потребностей по информационным системам
(аппаратное и программное обеспечение, зарплата, консультанты и т.п.), что
способствует развитию тенденции выделять основную часть средств на повышение
производительности. При этом нередко вопросы информационной безопасности
остаются без внимания.
Выборочная
и бессистемная реализация средств безопасности не сможет обеспечить
необходимого уровня защиты. Чтобы надежно защитить важнейшую деловую
информацию, компаниям необходимо интегрировать вопросы физической и информационной
безопасности в единый для всей организации процесс – процесс управления
информационной безопасностью предприятия.
Система управления
информационной безопасностью - это часть общей системы управления, базирующаяся на
анализе рисков и предназначенная для проектирования, реализации, контроля,
сопровождения и совершенствования мер в области информационной безопасности.
Эту систему составляют организационные структуры, политика, действия по
планированию, обязанности, процедуры, процессы и ресурсы.
Наиболее значимой целью большинства систем
информационной безопасности является защита бизнеса и знаний компании от
уничтожения или утечки. Также одной из основных целей системы информационной
безопасности является гарантия имущественных прав и интересов клиентов. В то же
время меры по информационной безопасности не должны ограничивать или затруднять
процессы обмена знаниями в компании, поскольку это может поставить под угрозу
развитие предприятия.
Система управления информационной безопасностью
должна обеспечивать гарантию достижения таких целей как обеспечение
конфиденциальности критической информации, обеспечение невозможности
несанкционированного доступа к критической информации, целостности информации и
связанных с ней процессов (создания, ввода, обработки и вывода) и ряда других
целей.
Достижение заданных целей возможно в ходе
решения следующих основных задач, таких как определение ответственных за
информационную безопасность, разработка спектра рисков информационной
безопасности и проведение их экспертных оценок, разработка политик и правил
доступа к информационным ресурсам, разработка системы управления рисками
информационной безопасности, в том числе методы их оценки, контроли
информационной безопасности на предприятии. Выделяется четыре этапа
реализации системы управления информационной безопасностью:
1. Формирование
политики в области рисков.
2. Анализ
бизнес-процессов.
3. Анализ
рисков.
4. Формирование
целевой концепции.
Формирование политики в области рисков
подразумевает определение принципов управления рисками для всей компании в
целом. Эти принципы базируются на целях компании, ее стратегии, а также на
требованиях, предъявляемых законом и стандартами в области информационной
безопасности. Одним и ключевых факторов успешности системы управления
информационной безопасностью предприятия - это построение ее на базе
международных стандартов ISO/IEC 17799:2005 и ISO/IEC 27001:2005
История стандартов в области информационной
безопасности началась в середине 90-х годов. Британский институт стандартов
(BSI) при участии коммерческих организаций, начал разработку стандарта
управления информационной безопасностью. Результатом работы BSI в 1995 году,
стало принятие национального британского стандарта BS 7799 управления
информационной безопасностью организации. Стандарт состоял из двух частей:
первая часть стандарта (BS 7799:1) носила рекомендательный характер, а вторая
(BS 7799:2) - предназначалась для сертификации и содержала ряд обязательных
требований, не входивших в первую часть.
В 1999 году в международной организации по
стандартизации ISO было принято решение взять за основу стандарта в области
информационной безопасности BS 7799:1. В результате вышел в свет стандарт ISO
17799, который базируется на стандарте BS 7799:1. Новейшей редакцией данного
стандарта является ISO/IEC 17799:2005.
Стандарт ISO/IEC 17799:2005 объединяет лучший
мировой опыт управления информационной безопасностью компании. Стандарт
определяет принципы и является руководством по разработке, внедрению,
сопровождению и улучшению системы управления информационной безопасностью. Он
описывает механизмы установления целей по контролю и определению средств
контроля в различных областях управления информационной безопасностью.
Изначально была предусмотрена только сертификация
по стандарту BS 7799:2. Процедура сертификации по стандарту ISO появилась после
выхода в 2005 году стандарта ISO 27001:2005.
Стандарт ISO/IEC 27001:2005 устанавливает
требования к системе управления информационной безопасностью предприятия.
Стандарт является руководством по определению, минимизации и управлению
опасностями и угрозами, которым может подвергаться информация. Стандарт ISO/IEC
27001:2005 разработан для обеспечения помощи в выборе эффективных и адекватных
средств и обеспечения уверенности потребителей и партнеров организации в том,
что информация защищена должным образом.
Стандарт может применяться в большинстве
организаций независимо от рода их деятельности. Организация,
использующая ISO/IEC 27001:2005 в качестве основы для системы управления
информационной безопасностью, может быть зарегистрирована в Британском
институте стандартов BSI (British Standards Institute), что продемонстрирует
всем заинтересованным сторонам, что система управления информационной
безопасностью предприятия компании отвечает всем требованиям международного
стандарта.
Построение эффективной системы
информационной безопасности в организациях – это сложный и непрерывный процесс,
от внимания к которому зависит жизнеспособность бизнеса. Для грамотного
построения такоц системы необходимо привлекать к участию в их создании
топ-менеджмент предприятия, ИТ-специалистов, консультантов по данной тематике,
технических специалистов.