Будник М.Н.
Государственное высшее учебное заведение «Национальный горный университет», Украина
Система управления информационной безопасностью предприятия
В последние годы многие компании хорошо осознали необходимость
управления информационной безопасностью предприятия. Эффективное управление
вопросами информационной безопасности приобретает все большее значение для
компаний по мере их роста и продвижения на новые рынки товаров и услуг. Клиентам
важно знать, что соблюдается конфиденциальность их персональных и деловых
данных. Инвесторам необходима уверенность в том, что бизнес и информационные
активы компании защищены. Деловые партнеры ожидают, что компания будет
функционировать без сбоев, которые могут быть вызваны ошибками в работе
информационных систем, умышленными или неумышленными действиями персонала,
вредоносным программным обеспечением и другими факторами.
Чтобы надежно защитить важнейшую деловую
информацию, компаниям необходимо интегрировать вопросы физической и
информационной безопасности в единый для всей организации процесс – процесс
управления информационной безопасностью предприятия.
Система
управления информационной безопасностью - это часть общей системы
управления, базирующаяся на анализе рисков и предназначенная для
проектирования, реализации, контроля, сопровождения и совершенствования мер в
области информационной безопасности.
Наиболее значимой целью
большинства систем информационной безопасности является защита бизнеса и знаний
компании от уничтожения или утечки. Также одной из основных целей системы
информационной безопасности является гарантия имущественных прав и интересов
клиентов. В то же время меры по информационной безопасности не должны
ограничивать или затруднять процессы обмена знаниями в компании, поскольку это
может поставить под угрозу развитие организации.
Система управления
информационной безопасностью должна обеспечивать гарантию достижения
таких целей как обеспечение конфиденциальности критической информации,
обеспечение невозможности несанкционированного доступа к критической
информации, целостности информации и связанных с ней процессов (создания,
ввода, обработки и вывода) и ряда других целей.
Достижение заданных
целей возможно в ходе решения следующих основных задач, таких как определение
ответственных за информационную безопасность, разработка спектра рисков
информационной безопасности и проведение их экспертных оценок, разработка
политик и правил доступа к информационным ресурсам, разработка системы
управления рисками информационной безопасности, в том числе методы их оценки,
контроллинг информационной безопасности на предприятии.
Выделяется четыре стадии реализации системы управления информационной
безопасностью:
1. Формирование политики в области
рисков.
2. Анализ бизнес-процессов.
3. Анализ рисков.
4. Формирование целевой концепции.
и две стадии дальнейшего
управления рисками:
1. Отчеты по рискам.
2. Контроль рисков.
Формирование политики в области рисков
подразумевает определение принципов управления рисками для всей компании в
целом. Эти принципы базируются на целях компании, ее стратегии, а также на
требованиях, предъявляемых законом и стандартами в области информационной
безопасности. Одним и ключевых факторов успешности системы управления
информационной безопасностью предприятия - это построение ее на базе
международных стандартов.
Для противодействия угрозам и пресечения
нарушений на предприятии целесообразно организовать процесс управления рисками
компании. Данный процесс является ядром системы информационной безопасности
компании и включает такие подпроцессы как:
· сбора рисков;
· оценки угроз;
· оценки уязвимостей;
· оценки убытков;
· определение порога для
управления рисками;
· реализации мероприятий
информационной безопасности;
· оценки эффективности
полученных результатов (процесс аудита).
Хотелось бы отметить,
что мероприятия по информационной безопасности могут накладывать ограничения,
но надо четко представлять себе необходимость данных ограничений и пытаться
находить компромиссы.
Литература:
1. НД ТЗІ 3.3 -001-07
2. Зегжда, Д.П., Ивашко,
А.М. Основы безопасности информационных систем. - М.: Интуит, 2006