Управление информационной безопасностью (англ. Information security management, ISM) — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия[1].
История ISM
Проблема управления информационной безопасностью встала ещё во времена появления Windows NT и Интернета как массового продукта. Получившие доступ к новым технологиям хакеры начали активно их использовать для воровства данных кредитных карт и других видов мошенничества[2].
Британский институт стандартов (BSI) при участии коммерческих организаций, начал разработку стандарта управления информационной безопасностью. Результатом работы BSI в 1995 году, стало принятие национального британского стандарта BS 7799 управления информационной безопасностью организации. Стандарт состоял из двух частей: первая часть стандарта (BS 7799:1) носила рекомендательный характер, а вторая (BS 7799:2) — предназначалась для сертификации и содержала ряд обязательных требований, не входивших в первую часть.
В 1999 году в международной организации по стандартизации ISO было принято решение взять за основу стандарта в области информационной безопасности BS 7799:1. В результате вышел в свет стандарт ISO 17799, который базируется на стандарте BS 7799:1. Новейшей редакцией данного стандарта является ISO/IEC 17799:2005.
Стандарт ISO/IEC 17799:2005 объединяет лучший мировой опыт управления информационной безопасностью компании. Стандарт определяет принципы и является руководством по разработке, внедрению, сопровождению и улучшению системы управления информационной безопасностью. Он описывает механизмы установления целей по контролю и определению средств контроля в различных областях управления информационной безопасностью.
Изначально была предусмотрена только сертификация по стандарту BS 7799:2. Процедура сертификации по стандарту ISO появилась после выхода в 2005 году стандарта ISO 27001:2005.
Стандарт ISO/IEC 27001:2005 устанавливает требования к системе управления информационной безопасностью предприятия. Стандарт является руководством по определению, минимизации и управлению опасностями и угрозами, которым может подвергаться информация. Стандарт ISO/IEC 27001:2005 разработан для обеспечения помощи в выборе эффективных и адекватных средств и обеспечения уверенности потребителей и партнеров организации в том, что информация защищена должным образом.
Стандарт может применяться в большинстве организаций независимо от рода их деятельности.
Организация, использующая ISO/IEC 27001:2005 в качестве основы для системы управления информационной безопасностью, может быть зарегистрирована в Британском институте стандартов BSI (British Standards Institute), что продемонстрирует всем заинтересованным сторонам, что система управления информационной безопасностью предприятия компании отвечает всем требованиям международного стандарта[3].
С начала 2000-х, когда хакерство начало превращаться в прибыльный бизнес, от которого уже страдали государства и крупные международные корпорации, IT-компании начинают разрабатывать конкретные решения в области управления информационной безопасностью, которые включают в себя не только антивирусные программы, но и утилиты, занимающиеся мониторингом системных журналов (лог файлов).
После кибератаки на Sony США создали специализированное агентство по кибербезопаности, одной из задач которого стала разработка новых стандартов управления информационной безопасностью[4].
Системы управления информационной безопасностью (СУИБ)
Управление информационной безопасностью выходит далеко за рамки централизованного удаленного управления антивирусами и другими решениями, обеспечивающими защиту информации. Менеджмент ИБ — это не просто централизованный контроль над своевременным обновлением антивирусных баз, регулярным антивирусным сканированием и выполнением на клиентской стороне других задач, связанных с информационной безопасностью. Это важная часть менеджмента всей организации, обеспечивающая эффективность процессов и решающая не только тактические, но и стратегические задачи.
Основные функции систем управления информационной безопасностью (СУИБ) — это:
— выявление и анализ рисков информационной безопасности
— планирование и практическая реализация процессов, направленных на минимизацию рисков ИБ
— контролирование этих процессов
— внесение в процессы минимизации информационных рисков необходимых корректировок.
Качественное управление информационной безопасностью базируется на следующих принципах:
— комплексный подход — управление ИБ должно быть всеобъемлющим, охватывать все компоненты ИС и учитывать все актуальные рискообразующие факторы, действующие в информационной системе предприятия или госучреждения и за их пределами
— согласованность с задачами и стратегией организации
— высокий уровень управляемости
— адекватность используемой и генерируемой информации
— эффективность — оптимальный баланс между возможностями, производительностью и издержками СУИБ
— непрерывность управления
— процессный подход — связывание процессов управления в замкнутый цикл планирования, внедрения, проверки, аудита и корректировки, и поддержание неразрывной связи между этапами цикла, что позволяет сохранять и постоянно повышать качество СУИБ[5].
Значение ISM
Практики управления информационной безопасностью имеют большое значение в самых различных сферах: коммерческой, банковской, государственной, врачебной и т.д[6], поскольку в данных областях люди работают с тайной.
Для социума грамотное использование технологий управления информационной безопасностью означает должное обеспечение приватности и защиты идентичности каждого его члена.
См. также
Система менеджмента информационной безопасности
SIEM
Примечания