ЗНАЧИМОСТЬ СТАНДАРТА ISO / IEC 27000 ПРИ ВНЕДРЕНИИ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

АННОТАЦИЯ

Изложено перспективное направление обеспечения безопасности бизнеса - создание экономически обоснованных систем менеджмента информационной безопасности. Показано их место в общей структуре менеджмента организации. Приведена обобщенная структура и методология построения системы менеджмента информационной безопасности

Ключевые слова: бизнес, информационная безопасность, система менеджмента информационной безопасности.

Информационная безопасность — одна из важнейших, но не очень зримых областей в деятельности почти любой компании. Информационная безопасность – это защита активов организации (например, информации) от неавторизованного раскрытия или неавторизованного или случайного изменения, а также гарантия того, что информация готова к использованию в тот момент, когда она нужна. Высший приоритет она имеет в организациях, в которых информационные и нематериальные активы превалируют над материальными. Поскольку основной целью бизнеса является формирование положительных финансовых потоков, он обращает внимание на информационную безопасность (ИБ) только тогда, когда появляются реальные угрозы основной деятельности. При этом важно понимать, что без постоянного учета факторов риска эффективное развитие бизнеса не только сводится к нулю, но может нанести организации непоправимый ущерб – утрату репутации, нарушение непрерывности процессов, финансовые убытки, а в худшем случае – невозможность дальнейшего ведения бизнеса. Для современного менеджмента характерен проактивный подход, который в отличие от реактивного предполагает решение проблем не «по мере их поступления», когда бывает уже слишком поздно ими заниматься, а предусматривает заблаговременный анализ и упреждение возможных проблем, на основе оценки рисков, руководствуясь при этом соображениями экономической целесообразности. Оценка рисков нужна руководителям компаний и государства для принятия взвешенных управленческих решений - без этого в современных условиях могут произойти очень большие неприятности на личном, корпоративном, государственном и мировом уровне, не говоря уже просто о неэффективном расходовании средств на защиту. Насколько глобальными могут быть последствия недооценки рисков, видно на примере захлестнувшего весь цивилизованный мир финансового кризиса, основной причиной которого является отсутствие адекватного управления финансовыми рисками, а порой и самого осознания этих рисков [1]. Применительно к ИБ проактивный подход заключается в построении систем менеджмента информационной безопасности (СМИБ), которые призваны минимизировать информационные риски и повысить эффективность защиты информации. Методологической основой такого подхода являются международные стандарты класса «Good Practice», в первую очередь, серии ISO 27000 [2]. Несмотря на то, что ISO 27001:2005 носит необязательный характер, все больше компаний не только рассматривают его внедрение как высокоприоритетную задачу, но и тратят немалые средства на сертификацию, хотя нигде, кроме Японии, никто их этого делать не заставляет. Ведь, кроме этого стандарта, в мире имеется еще более 500 стандартов и нормативных документов в области ИБ, десятки из которых носят для организаций обязательный характер. Пример тому - Microsoft, безусловно имеющая одну из наиболее сильных систем менеджмента в мире, приняла решение о формализации своих процессов управления ИБ в соответствии с ISO 27001 вслед за Cisco, HP, IBM, Yahoo и другими гигантами IT - индустрии. Причина такого успеха ISO 27001 кроется, прежде всего, в полезных свойствах самого стандарта и универсальности принятого в нем процессного подхода к решению проблем ИБ, а именно:

• простота (небольшой по объему текст, нормально воспринимается даже неспециалистами);

• высокоуровневость, поскольку рассматриваются первичные организационные вопросы, без ответа на которые более низкоуровневые технологические вопросы утрачивают смысл;

• полнота - стандарт охватывает все аспекты обеспечения информационной безопасности, а не только IT;

• здравый смысл - все рекомендации стандарта легко находят обоснование при помощи здравого смысла, доступного практически любому человеку;

• экономическая обоснованность (стандарт рекомендует внедрять только те механизмы контроля, которые необходимы для уменьшения рисков до приемлемой величины и являются экономически обоснованными, при этом определяя основные подходы к оценке и обработки риска);

• универсальность, так как описанный в стандарте подход в равной степени актуален для любой организации.

Немаловажным фактором при этом, является и тот, что построенные на его основе ISO 27001 СМИБ органически вписываются в общую систему менеджмента организации, имеющую единые базовые понятия, процессный подход и структуру (рис. 1).

Рис. 1. Место СМИБ в общей системе менеджмента организации

Структура современной СМИБ представляет собой процессно - ориентированную систему управления, включающую организационный, документальный и программно-аппаратный компоненты. Можно выделить следующие разрезы СМИБ: процессный, документальный и зрелостный. Процессы СМИБ созданы в соответствии с требованиями стандарта ISO/IEC 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование. Процессы СМИБ интегрируются в существующую структуру бизнес-процессов организации для выполнения всех требований стандарта.

Для их автоматизации применяется специализированное программное обеспечение, использование которого позволяет существенно уменьшить трудоемкость эксплуатации СМИБ, повысить уровень зрелости процессов менеджмента и упростить процедуры внутреннего и внешнего сертификационного аудита. Документация СМИБ состоит из политик, документированных процедур, стандартов и записей и делится на две части: документация менеджмента СМИБ и эксплуатационная документация СМИБ. Документация менеджмента ИБ представлена Политиками ИБ и СМИБ, основной процедурой – "Менеджмент ИБ" и сопутствующими формами записей, процедурами "Внутренний аудит", "Управление документацией" и "Управление Записями". Зрелостная модель СМИБ определяет состав и детализацию разрабатываемой документации, последовательность построения СМИБ, детальность разрабатываемой документации и степень автоматизации процессов менеджмента и эксплуатации СМИБ. При оценке и планировании используется модель зрелости CobiT [3]. В Программе повышения зрелости СМИБ приводятся состав и сроки мероприятий по совершенствованию процессов менеджмента ИБ и управления эксплуатацией средств ИБ.

Вывод. Без управления рисками все еще, как и раньше, можно достигать определенных положительных результатов, однако стабильных результатов достигнуть уже сложнее. Поэтому компании, систематически управляющие рисками, по крайней мере, обладают важнейшим конкурентным преимуществом. Для бизнеса, в целом, можно выделить следующие преимущества, от внедрения СМИБ, особенно, если он сертифицирован по стандарту ISO/IEC 27001:2005:

• повышение управляемости и надежности;

• повышение защищенности ключевых бизнес-процессов;

• повышение доверия к организации со стороны контрагентов;

• подтверждение прозрачности;

• упрощение процедуры выхода на внешние рынки (при наличии сертификата);

• повышение авторитета организации, как на внутреннем, так и на внешних рынках;

• повышение доходности и капитализации.

Список литературы:

1. Тысячникова, Н.А. Организация внутреннего контроля за операционными рисками/ Н.А. Тысячникова. – (http://www.bankir.ru/technology/article/2194936).
2. Международные стандарты ISO/IEC: 27001:2005, 27002:2005, 27005:2008.
3. Control Objectives for Information and Related Technology (COBIT), доступен на сайте: www.isaca.org.