Ніколаєв Олександр Юрійович
Державний
ВУЗ "Національний гірничий університет", Україна
Системы управления информационной
безопасностью
ВСТУП
Інформація є одним із самих
головних ділових ресурсів, який забезпечує організації додану вартість, і
внаслідок цього потребує захисту. Слабкі місця в захисті інформації можуть
призвести до фінансових втрат, і нанести збиток комерційним операція. Тому в
наш час питання розробки системи управління інформаційною безпекою та її
впровадження в організації є концептуальною.
Стандарт ISO 27001 визначає інформаційну безпеку як: «збереження
конфіденційності, цілісності та доступності інформації.
ISO 27001:2005 являє собою перелік
вимог до системи менеджменту інформаційної безпеки, обов'язкових для
сертифікації, а стандарт ISO 17799:2005 виступає в якості керівництва по
впровадженню, яке може використовуватися при проектуванні механізмів контролю,
вибираних організацією для зменшення ризиків інформаційної безпеки.
Стандарт ISO 27001 визначає процеси,
що представляють можливість бізнесу встановлювати, застосовувати, переглядати,
контролювати і підтримувати ефективну систему менеджменту інформаційної
безпеки; встановлює вимоги до розробки, впровадження, функціонуванню,
моніторингу, аналізу, підтримки та вдосконалення документованої системи
менеджменту інформаційної безпеки в контексте існуючих бізнес ризиків
організації [3].
Можливості
Системи управління інформаційною БЕЗПЕКОЮ
Система управління інформаційною
безпекою на основі стандарту ISO 27001 дозволяє:
-Зробити більшість інформаційних
активів найбільш зрозумілими для менеджменту компанії;
-Виявляти основні загрози
безпеки для існуючих бізнес-процесів;
-Розраховувати ризики і
приймати рішення на основі бізнес цілей компанії;
-Забезпечити ефективне
управління системою в критичних ситуаціях;
-Проводити процес виконання
політики безпеки (знаходити і виправляти слабкі місця в системі інформаційної
безпеки);
-Чітко визначити особисту
відповідальність;
-Досягти зниження і оптимізації
вартості підтримки системи безпеки;
-Полегшити інтеграцію
підсистеми безпеки в бізнес-процеси і інтеграцію з ISO 9001:2000;
-Продемонструвати клієнтам,
партнерам, власникам бізнесу свою прихильність до інформаційної безпеки;
-Отримати міжнародне визнання і
підвищення авторитету компанії, як на внутрішньому ринку, так і на зовнішніх
ринках;
-Підкреслити прозорість і чистоту
бізнесу перед законом завдяки відповідності стандарту [1].
Поряд з елементами управління для
комп'ютерів і комп'ютерних мереж, стандарт приділяє велику увагу питанням
розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання,
звільнення з роботи), забезпечення безперервності виробничого процесу, юридичним
вимогам.
Вимоги цього стандарту мають
загальний характер і можуть бути використані широким колом організацій - малих,
середніх і великих - комерційних і промислових секторів ринку: фінансовому та
страховому, у сфері телекомунікацій, комунальних послуг, у секторах роздрібної
торгівлі і виробництва, різних галузях сервісу, транспортній сфері, органах
влади та багатьох інших.
Стандарт ISO 27001 гармонізовано
зі стандартами систем менеджменту якості ISO 9001:2000 та ISO 14001:2004 і
базується на основних принципах. Більш того, обов'язкові процедури стандарту
ISO 9001 потрібні і стандартом ISO 27001. Структура документації по вимогам ISO
27001 аналогічна структурі за вимогам ISO 9001. Велика частина документації,
потрібна по ISO 27001, вже могла бути розроблена, і могла використовуватися в
рамках ISO 9001. Таким чином, якщо організація вже має систему менеджменту
відповідно, наприклад, з ISO 9001 та ISO 14001), то краще забезпечувати
виконання вимоги стандарту ISO 27001 в рамках вже існуючих систем, що
передбачає значне зниження внутрішніх витрат підприємства та вартості робіт
щодо впровадження та сертифікації [2].
За стандартом ISO 27001:2005
проводиться офіційна сертифікація системи управління інформаційною безпекою.
Сертифікація на відповідність
стандарту дозволяє наочно показати діловим партнерам, інвесторам і клієнтам, що
в компанії захист інформації поставлена на високий рівень і налагоджено
ефективне управління інформаційною безпекою.
ВИСНОВКИ
СУІБ і сертифікації на
відповідність стандарту ISO 27001 дає компанії такі переваги як управління
інформаційною безпекою компанії в рамках єдиної корпоративної політики,
управління ризиками та їх своєчасне виявлення, зниження ризиків від зовнішніх і
внутрішніх загроз, систематизація процесів забезпечення ІБ, встановлення
пріоритетів компанії в області ІБ. У свою чергу це забезпечує компанії
конкурентну перевагу, демонструючи здатність керувати інформаційними ризиками,
при цьому також збільшується капіталізація компанії.
ПЕРЕЛІК ЛІТЕРАТУРИ:
1. ISO 27001:2005 «Информационные
технологии - Методы обеспечения безопасности - Системы управления
информационной безопасностью - Требования».
2. Ярочкин В.І. Безпека
інформаційних систем. - М.: вид. "Вісь-89", 2006.
3. Ярочкин В.І. Система безпеки
фірми. - М.: вид. "Вісь-89", 2008.