Управление информационной безопасностью

Проблема управления информационной безопасностью встала ещё во времена появления Windows NT и Интернета как массового продукта. Получившие доступ к новым технологиям хакеры начали активно их использовать для воровства данных кредитных карт и других видов мошенничества^[2].

Британский институт стандартов (BSI) при участии коммерческих организаций начал разработку стандарта управления информационной безопасностью. Результатом работы BSI в 1995 году стало принятие национального британского стандарта BS 7799 по управлению информационной безопасностью организаций. Стандарт состоял из двух частей: первая часть стандарта (BS 7799:1) носила рекомендательный характер, а вторая (BS 7799:2) предназначалась для сертификации и содержала ряд обязательных требований, не входивших в первую часть.

В 1999 году в Международной организации по стандартизации (ISO) было принято решение взять за основу стандарта в области информационной безопасности BS 7799:1. В результате был принят стандарт ISO 17799, который базируется на стандарте BS 7799:1. Новейшей редакцией данного стандарта является ISO/IEC 17799:2005.

Стандарт ISO/IEC 17799:2005 объединяет лучший мировой опыт управления информационной безопасностью компании. Стандарт определяет принципы и является руководством по разработке, внедрению, сопровождению и совершенствованию системы управления информационной безопасностью. Он описывает механизмы постановки целей по контролю и определению средств контроля в различных областях управления информационной безопасностью.

Изначально была предусмотрена только сертификация по стандарту BS 7799:2. Процедура сертификации по стандарту ISO появилась после выхода в 2005 году стандарта ISO 27001:2005.

Стандарт ISO/IEC 27001:2005 устанавливает требования к системе управления информационной безопасностью предприятия. Он служит руководством по определению, снижению и управлению опасностями и угрозами, которым может подвергаться информация. Стандарт ISO/IEC 27001:2005 разработан для помощи в выборе эффективных и адекватных средств и для создания уверенности у потребителей и партнёров организации в том, что информация защищена должным образом.

Стандарт может применяться в большинстве организаций независимо от их типа деятельности.

Организация, использующая ISO/IEC 27001:2005 в качестве основы для системы управления информационной безопасностью, может быть зарегистрирована в Британском институте стандартов (British Standards Institute, BSI), что продемонстрирует всем заинтересованным сторонам соответствие системы управления информационной безопасностью предприятия международному стандарту^[3].

С начала 2000-х годов, когда хакерство превратилось в прибыльный бизнес, которым стали страдать государства и крупные международные корпорации, ИТ-компании начали разрабатывать конкретные решения в области управления информационной безопасностью, включающие не только антивирусные программы, но и утилиты, занимающиеся мониторингом системных журналов (лог-файлов).

После кибератаки на Sony в США было создано специализированное агентство по кибербезопасности, одной из задач которого стала разработка новых стандартов управления информационной безопасностью^[4].

Управление информационной безопасностью выходит за рамки централизованного удалённого управления антивирусами и другими решениями, обеспечивающими защиту информации. Менеджмент информационной безопасности — это не только централизованный контроль над своевременным обновлением антивирусных баз, регулярным антивирусным сканированием и выполнением на клиентской стороне других задач, связанных с защитой информации. Это важная часть управления всей организации, обеспечивающая эффективность процессов и решающая как тактические, так и стратегические задачи.

Основные функции систем управления информационной безопасностью (СУИБ):

— выявление и анализ рисков информационной безопасности;

— планирование и практическая реализация процессов, направленных на минимизацию рисков информационной безопасности;

— контроль этих процессов;

— внесение необходимых корректировок в процессы минимизации информационных рисков.

Качественное управление информационной безопасностью основывается на следующих принципах:

— комплексный подход — управление информационной безопасностью должно быть всеобъемлющим, охватывать все компоненты информационной системы и учитывать все актуальные рискообразующие факторы, действующие в информационной системе предприятия или государственного учреждения и за их пределами;

— согласование с задачами и стратегией организации;

— высокий уровень управляемости;

— адекватность используемой и генерируемой информации;

— эффективность — оптимальный баланс между возможностями, производительностью и издержками СУИБ;

— непрерывность управления;

— процессный подход — связывание процессов управления в замкнутый цикл планирования, внедрения, проверки, аудита и корректировки и поддержание неразрывной связи между этапами цикла, что позволяет сохранять и постоянно повышать качество СУИБ^[5].

Практики управления информационной безопасностью имеют большое значение в самых различных сферах: коммерческой, банковской, государственной, медицинской и других^[6], так как в этих областях люди имеют дело с тайной информацией.

Для общества грамотное использование технологий управления информационной безопасностью означает обеспечение приватности и защиты идентичности каждого члена.