Информационная безопасность на основе международного стандарта исо 27001

Ержанова Дина Ерболатовна, КГКП «Павлодарский колледж транспорта и коммуникаций», г. Павлодар,

преподаватель специальных дисциплин

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ НА ОСНОВЕ МЕЖДУНАРОДНОГО СТАНДАРТА ИСО 27001

Международный стандарт ISO/IEC 27001:2013 «Информационные технологии — Методы обеспечения безопасности — Системы менеджмента информационной безопасности — Требования».

Устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

ВЫГОДЫ ВНЕДРЕНИЯ СТАНДАРТА

Система управления информационной безопасностью на основе стандарта ISO 27001 позволит: 

Сделать большинство информационных активов наиболее понятными для менеджмента компании

Выявлять основные угрозы безопасности для существующих бизнес-процессов

Рассчитывать риски и принимать решения на основе бизнес-целей компании

Обеспечить эффективное управление системой в критичных ситуациях

Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)

Четко определить личную ответственность

Достигнуть снижения и оптимизации стоимости поддержки системы безопасности

Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001

Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности

Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках

Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту

Основа стандарта ISO 27001 – система управление рисками, связанными с информацией.

Система управления рисками позволяет получать ответы на следующие вопросы:

- На каком направлении информационной безопасности требуется сосредоточить внимание?

- Сколько времени и средств можно потратить на данное техническое решение для защиты информации? 

Данный Стандарт определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Основной задачей информационной безопасности является защита информационных ресурсов компании от внутренних и внешних умышленных и неумышленных угроз (подделка, вандализм, кража, пожар, системный сбой и др.).

Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба.

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

В Казахстане уже несколько организаций внедрили или внедряют систему менеджмента информационной безопасности на основе международного стандарта ИСО 27001. Это объясняется не столько популярностью стандартов ИСО, сколько насущной потребностью организаций в защите их нематериальных активов. Принято считать XXI век — информационным веком. Это, прежде всего, связано с революционными изменениями в методах деятельности — в переходе от медленных процессов обработки информации к компьютерам и Интернету. В наше время колоссальный объем информации можно уместить на небольших портативных устройствах, а многоядерные микропроцессоры способны обработать такой ранее немыслимый информационный поток, как видео в формате высокого разрешения. А мобильная связь стала повсеместна и общедоступна даже для малообеспеченных слоев общества.

Но, в то же время, вместе с новыми информационными технологиями появились новые проблемы и новые виды преступности, т.е. новые угрозы информационной безопасности. Это компьютерные вирусы, «трояны», хакеры, промышленный шпионаж, кража информации, воровство ноу-хау, террор, шантаж и т.п. Источниками этих угроз могут быть информационные сети и системы, сотрудники, поставщики, потребители, финансовые организации и государственные учреждения. Слабая защита также является постоянным источником угроз по безопасности. В результате возможна потеря ценного конкурентного преимущества, утечка информации личного характера, кража клиентской базы данных и прямые финансовые потери. Кроме того, компания теряет свой имидж из-за неспособности защитить конфиденциальную информацию, предоставленную ему клиентом. В наихудшем случае возможна и утечка государственных секретов. Очевидно, что задача по обеспечению информационной безопасности является одной из приоритетных для современной организации. От успешного решения этой задачи зависит устойчивость и конкурентоспособность организации, а также ее репутация. Необходимо заметить, что обеспечение информационной безопасности не может быть частичной, т.е. оставляющей «дырки» в своей защите. Наличие даже небольшой бреши в защите означает только одно — ее отсутствие. Чтобы реально обеспечить информационную безопасность без брешей в защите, нужен СИСТЕМНЫЙ ПОДХОД.

Применение стандарта ИСО/МЭК 27001 позволяет получить следующий ряд преимуществ:

-  демонстрация посредством сертификации на соответствие ИСО/МЭК 27001 того, что си-

стемы и процессы организации в достаточной степени обеспечивают безопасное обращение и пересылку информации;

- обеспечение информационной безопасности для клиентов, что жизненно важно для ведения организацией успешного бизнеса, в частности, для получения преимуществ в тендерах и конкурсах;

-  передача на аутсорсинг процессов без ущерба для информационной безопасности как организации, так и ее клиентов;

- снижение рисков организации, связанных с вопросами информационной безопасности,

что в целом способствует устойчивому развитию.

Организации, прошедшие сертификацию по ИСО/МЭК 27001, прежде всего, видят пользу

от этой сертификации в расширении портфеля сертификатов, что непосредственно влияет на имидж организации как преуспевающей и современной. ИСО/МЭК 27001 применим для любых видов деятельности, для любых типов и размеров организаций. Наибольшей популярностью стандарт ИСО/МЭК 27001 пользуется в следующих отраслях:

— телекоммуникация;

— банковская деятельность и финансы;

— страхование;

— информационные технологии;

— здравоохранение;

— государственные услуги;

— коммунальные услуги;

— розничная торговля;

— образование;

— службы по чрезвычайным ситуациям;

— силовые структуры;

— производство;

— транспортные компании и

— поставщики услуг.

ИСО/МЭК 27001 является документом, в котором сконцентрирована лучшая международная

практика, достигнутая в области информационной безопасности. Как это принято в ИСО (международная организация по стандартизации) и МЭК (международный электротехнический комитет), в разработку новых международных стандартов привлекается широкий круг заинтересованных организаций и экспертов посредством технических комитетов. Данный стандарт был разработан в ОТК 1 (объединенный технический комитет) «Информационные технологии».

ИСО/МЭК 27001 интегрируют в себе оба метода — PDCA и риск менеджмент. Это позволяет построить максимально результативную систему менеджмента. Методы риск менеджмента непосредственно встроены в цикл PDCA, с целью их применения при разработке, мониторинге, поддержании и постоянном улучшении СМИБ. ИСО/МЭК 27001 предоставляет рабочую структуру для применения лучшей международной практики в области СМИБ, т.е. для понимания того, где те или иные средства по информационной безопасности могут быть применены.Кроме того, руководителям организаций следует признать, что информационная безопасность будет результативной и эффективной при условии вовлечения всех структурных подразделений и всех работников в обеспечение информационной безопасности. Этот подход, основанный на общих организационных рисках, отражен в другом стандарте серии ИСО/МЭК 27002:2005 «Информационные технологии — Методы обеспечения безопасности — Практические правила управления информационной безопасностью» (прежний шифр ИСО/МЭК 17799, переименованный в апреле 2007 года). Новейшие принципы безопасности OECD (Организация по экономическому сотрудничеству и развитию) требуют создания «культуры безопасности» внутри организации. Далее, ИСО/МЭК 27001 предоставляет средства для внедрения результативной СМИБ, соответствующей организационным целям и потребностям бизнеса. Ядро СМИБ должно также соответствовать существующим и потенциальным угрозам безопасности, техническим и технологическим требованиям, возможностям информационных систем и бизнес процессов, законодательным, нормативным и контрактным требованиям.

К работе по разработке серии стандартов информационной безопасности подключился МСЭ (ITU) — Международный союз электросвязи.

По всей видимости, стандарты серии ИСО/МЭК 27000 станут не только мощными инструментами, но и будут обладать широкой международной поддержкой авторитетных технических организаций и крупных компаний.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

http://zerde.gov.kz АО «Холдинг Зерде»

http://www.success.kz Ербол Есмуханов, кандидат технических наук, аудитор IRCA

Адрес публикации: https://www.prodlenka.org/metodicheskie-razrabotki/182420-informacionnaja-bezopasnost-na-osnove-mezhdun