Управление информационной безопасностью

Управление информационной безопасностью (англ.  Information security management, ISM) — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия[1].

История ISM

Проблема управления информационной безопасностью встала ещё во времена появления Windows NT и Интернета как массового продукта. Получившие доступ к новым технологиям хакеры начали активно их использовать для воровства данных кредитных карт и других видов мошенничества[2].

Британский институт стандартов (BSI) при участии коммерческих организаций, начал разработку стандарта управления информационной безопасностью. Результатом работы BSI в 1995 году, стало принятие национального британского стандарта BS 7799 управления информационной безопасностью организации. Стандарт состоял из двух частей: первая часть стандарта (BS 7799:1) носила рекомендательный характер, а вторая (BS 7799:2) — предназначалась для сертификации и содержала ряд обязательных требований, не входивших в первую часть.

В 1999 году в международной организации по стандартизации ISO было принято решение взять за основу стандарта в области информационной безопасности BS 7799:1. В результате вышел в свет стандарт ISO 17799, который базируется на стандарте BS 7799:1. Новейшей редакцией данного стандарта является ISO/IEC 17799:2005.

Стандарт ISO/IEC 17799:2005 объединяет лучший мировой опыт управления информационной безопасностью компании. Стандарт определяет принципы и является руководством по разработке, внедрению, сопровождению и улучшению системы управления информационной безопасностью. Он описывает механизмы установления целей по контролю и определению средств контроля в различных областях управления информационной безопасностью.

Изначально была предусмотрена только сертификация по стандарту BS 7799:2. Процедура сертификации по стандарту ISO появилась после выхода в 2005 году стандарта ISO 27001:2005.

Стандарт ISO/IEC 27001:2005 устанавливает требования к системе управления информационной безопасностью предприятия. Стандарт является руководством по определению, минимизации и управлению опасностями и угрозами, которым может подвергаться информация. Стандарт ISO/IEC 27001:2005 разработан для обеспечения помощи в выборе эффективных и адекватных средств и обеспечения уверенности потребителей и партнеров организации в том, что информация защищена должным образом.

Стандарт может применяться в большинстве организаций независимо от рода их деятельности.

Организация, использующая ISO/IEC 27001:2005 в качестве основы для системы управления информационной безопасностью, может быть зарегистрирована в Британском институте стандартов BSI (British Standards Institute), что продемонстрирует всем заинтересованным сторонам, что система управления информационной безопасностью предприятия компании отвечает всем требованиям международного стандарта[3].

С начала 2000-х, когда хакерство начало превращаться в прибыльный бизнес, от которого уже страдали государства и крупные международные корпорации, IT-компании начинают разрабатывать конкретные решения в области управления информационной безопасностью, которые включают в себя не только антивирусные программы, но и утилиты, занимающиеся мониторингом системных журналов (лог файлов).

После кибератаки на Sony США создали специализированное агентство по кибербезопаности, одной из задач которого стала разработка новых стандартов управления информационной безопасностью[4].

Системы управления информационной безопасностью (СУИБ)

Управление информационной безопасностью выходит далеко за рамки централизованного удаленного управления антивирусами и другими решениями, обеспечивающими защиту информации. Менеджмент ИБ — это не просто централизованный контроль над своевременным обновлением антивирусных баз, регулярным антивирусным сканированием и выполнением на клиентской стороне других задач, связанных с информационной безопасностью. Это важная часть менеджмента всей организации, обеспечивающая эффективность процессов и решающая не только тактические, но и стратегические задачи.

Основные функции систем управления информационной безопасностью (СУИБ) — это:

— выявление и анализ рисков информационной безопасности

— планирование и практическая реализация процессов, направленных на минимизацию рисков ИБ

— контролирование этих процессов

— внесение в процессы минимизации информационных рисков необходимых корректировок.

Качественное управление информационной безопасностью базируется на следующих принципах:

— комплексный подход — управление ИБ должно быть всеобъемлющим, охватывать все компоненты ИС и учитывать все актуальные рискообразующие факторы, действующие в информационной системе предприятия или госучреждения и за их пределами

— согласованность с задачами и стратегией организации

— высокий уровень управляемости

— адекватность используемой и генерируемой информации

— эффективность — оптимальный баланс между возможностями, производительностью и издержками СУИБ

— непрерывность управления

— процессный подход — связывание процессов управления в замкнутый цикл планирования, внедрения, проверки, аудита и корректировки, и поддержание неразрывной связи между этапами цикла, что позволяет сохранять и постоянно повышать качество СУИБ[5].

Значение ISM

Практики управления информационной безопасностью имеют большое значение в самых различных сферах: коммерческой, банковской, государственной, врачебной и т.д[6], поскольку в данных областях люди работают с тайной.

Для социума грамотное использование технологий управления информационной безопасностью означает должное обеспечение приватности и защиты идентичности каждого его члена.

См. также

Система менеджмента информационной безопасности

SIEM

Примечания

  1. Понятие системы управления информационной безопасностью — GlobalTrust Solutions. Дата обращения: 18 октября 2015. Архивировано 4 марта 2016 года.
  2. Краткая история хакерства. Рассказ от руководителя информационной безопасности Яндекса / Блог компании Яндекс / Хабрахабр. Дата обращения: 18 октября 2015. Архивировано 21 сентября 2015 года.
  3. Построение эффективной системы управления информационной безопасностью компании. Управление бизнес-процессами. Дата обращения: 18 октября 2015. Архивировано 4 марта 2016 года.
  4. US creates centralized cybersecurity agency following Sony attack | The Verge. Дата обращения: 18 октября 2015. Архивировано 5 сентября 2015 года.
  5. AR система управления информационной безопасностью ARinteg. Дата обращения: 18 октября 2015. Архивировано 4 марта 2016 года.
  6. НОУ ИНТУИТ | Лекция | Менеджмент информационной безопасности на уровне предприятия: основные направления и структура политики безопасности. Дата обращения: 18 октября 2015. Архивировано 4 марта 2016 года.