МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СООТВЕТСТВИИ С ЛУЧШИМИ МЕЖДУНАРОДНО-ПРИЗНАННЫМИ ПРАКТИКАМИ
Суп с вермишелью, чай
Дмитриев Александр Анатольевич Эксперт по системам информационной безопасности ТЮФ Норд Украина ________________________________________________ Украина, 86086, Донецк,ул. Ф.Зайцева, 46а Факс: (062) 382-61-35 МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СООТВЕТСТВИИ С ЛУЧШИМИ МЕЖДУНАРОДНО-ПРИЗНАННЫМИ ПРАКТИКАМИ Работу предприятий в 21 веке трудно представить без информационных и коммуникационных технологий. Информация - неотъемлемый компонент всех сфер деятельности предприятия, средство, без которого невозможно решать множество усложняющихся задач, стоящих сегодня перед предприятием. Информация обретает в современном обществе все большую власть, предприятие все больше зависит от нее. Информация обладает несколькими свойствами. Важнейшим свойством информации является безопасность. Информационная безопасность напрямую влияет на функционирование бизнеса, конкурентоспособность и имидж на рынке и, в конечном итоге, на финансовые показатели. Лучшей мировой практикой в области управления информационной безопасностью признан международный стандарт на системы менеджмента информационной безопасности ISO/IEC 27001:2005 (ISO 27001). ISO 27001 устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы. Во всеобщем понимании информационная безопасность связана с ограничением доступа третьих лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью. Данный Стандарт определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации».
Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба. Чтобы понять суть информационной безопасности необходимо наглядно увидеть всю цепочку, в которую входят: информация, информационные потоки, свойства информационных потоков, информационные проблемы. Только после этого можно реально осознать роль информационной безопасности. Начнем с ключевого элемента жизнеобеспечения предприятия – информации. Информация где-то возникает, где-то накапливается, куда-то передается, кем-то используется на протяжении определенного времени и в конце концов становится ненужной. Таким образом формируется цикл жизни определенной информации. Каждый из этапов цикла жизни информации или набор этих этапов можно рассматривать как информационный поток. Информация на предприятии находится в постоянном движении. Примеры информационных потоков предприятия: Информация, необходимая для принятия управленческих решений:экономические показатели собственного предприятия и конкурентов, данные о функционировании бизнес-процессов, данные о поставщиках, о рынке сбыта. Информация, необходимая для выполнения оперативных бизнес-целей:результаты управленческих решений, оперативные задания и корректировки, информация о сырье и материалах, требования заказчиков. Информация, необходимая для обеспечения работы бизнес-процессов:описания процессов и их взаимосвязи, методическая документация, административная документация.
Можно выделить следующие свойства информационных потоков: § краткосрочность - информация важна в определенный момент времени, § открытость - информация предприятия представляет интерес для третьих лиц (клиентов, поставщиков, конкурентов), § склонной к росту - объем информации на предприятии велик и постоянно растет, § изменчивость - информационные потоки на предприятии находятся в постоянном движении.
Электронная информация обладает дополнительными свойствами. Положительными: § электронную информацию можно оперативно доставить в любую точку мира, § электронные документы позволяют оперативно создавать новые документы на базе существующих, § электронная информация позволяет накапливать большие объемы, при этом предоставляя удобный и оперативный доступ к необходимой ее части. Отрицательными: § электронную информацию легко повредить или уничтожить, § электронная информация легко может попасть в руки конкурента.
Положительные, и отрицательные свойства информации порождают проблемы, связанные с безопасностью. На каждом из этапов жизненного цикла информации действуют различные факторы, стремящиеся нарушить естественное, то есть бесконфликтное течение информационных потоков. Обобщающим для различных факторов такого рода (объективных и субъективных) является понятие угроз информационной безопасности. Угрозы не возникают просто так. Возникновение угроз связано с наличием уязвимостей в информационных системах предприятий.
Примеры информационных угроз и уязвимостей, приводящих к возникновению угроз: § попадание коммерческой информации к конкурентам (слабая система контроля доступа к информационным ресурсам сторонних лиц). § частичная или полная потеря информации по разработке нового продукта (пожар в архиве, уход с работы ключевого сотрудника) § несвоевременность получения информации (отсутствие четких правил по предоставлению информации, сбой в работе компьютерного оборудования) § некорректность полученной информации для выполнения оперативных бизнес-целей, (ошибка оператора из-за недостаточной квалификации или недостаточного уровня контроля ввода данных)
Основной задачей СМИБ по требованиям ISO 27001 является предотвращение происшествий, причиняющих ущерб бизнесу, путем эффективного ограничения внутренних и внешних умышленных и неумышленных угроз и уязвимостей. Для того, чтобы быть уверенным в состоятельности стандарта, познакомимся с историей его развития.
|
