Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Политика безопасности Введение в информационную безопасность (BS ISO/IEC 27002:2005 RU, раздел 0)
Protectiva Compliance Manager
Навигация
 

Введение в информационную безопасность (BS ISO/IEC 27002:2005 RU, раздел 0)

Операции с документом
Что такое информационная безопасность? Зачем необходима информационная безопасность? Как определить требования безопасности? Оценка рисков безопасности. Выбор механизмов контроля. Отправная точка информационной безопасности. Критические факторы успеха.

Что такое информационная безопасность?

Информация это ресурс, который, как и прочие бизнес ресурсы, имеет ценность для организации и, следовательно, нуждается в должной защите. Это особенно важно во все более взаимосвязанной бизнес среде. В результате усиления этих взаимосвязей информация теперь подвержена возрастающему количеству и более широкому разнообразию угроз и уязвимостей (см. также Руководство OECD по обеспечению безопасности информационных систем и сетей).

Информация может быть представлена в различных формах. Она может быть распечатана или записана на бумагу, сохранена в электронном виде, передана по почте или с использованием электронных средств, показана в фильмах, пересказана во время разговора. Какую бы форму не принимала информация, как бы она не хранилась или не передавалась, она должна быть соответствующим образом защищена.

Информационная безопасность – это защита информации от широкого спектра угроз с целью обеспечения непрерывности бизнеса, минимизации бизнес риска, максимизации прибыли на инвестированный капитал и возможностей для бизнеса.

Информационная безопасность достигается внедрением подходящего набора механизмов контроля, включая политики, процессы, процедуры, организационные структуры, а также функции программного и аппаратного обеспечения. Эти механизмы контроля должны быть установлены, внедрены, отслеживаться, пересматриваться и, в случае необходимости, совершенствоваться, чтобы обеспечить достижение конкретных целей организации в области безопасности и в бизнесе. Это необходимо делать наряду с другими процессами управления бизнесом.

Зачем необходима информационная безопасность?

Информация и поддерживающие ее процессы, системы и сети являются важными бизнес ресурсами. Определение, достижение, поддержание и совершенствование информационной безопасности могут являться существенными условиями для обеспечения конкурентоспособности, движения денежных потоков, прибыльности, соблюдения законодательства и поддержания деловой репутации.

Организации, их информационные системы и сети все чаще сталкиваются с широким спектром угроз безопасности, включающих компьютерное мошенничество, шпионаж, саботаж, вандализм, пожары или наводнения. Источники ущерба, такие как вредоносный код, взлом компьютерных систем или атаки на «отказ в обслуживании», получают все большее распространение, становясь более широкомасштабными и значительно более изощренными.

Информационная безопасность одинаково важна для общественных организаций и для частного сектора. В обоих секторах информационная безопасность будет использоваться для создания дополнительных возможностей, например, для создания электронного правительства или электронного бизнеса, а также для уменьшения или уклонения от соответствующих рисков. Объединение сетей общего доступа и частных  сетей, а также совместное использование информационных ресурсов усложняют контроль доступа. Переход к распределенной обработке данных также снизил эффективность централизованного контроля.

Многие информационные системы изначально не проектируются в защищенном исполнении. Безопасность, достигаемая при помощи технических средств, ограничена и должна поддерживаться соответствующим управлением и процедурами. Выбор механизмов контроля требует тщательного планирования и внимания к деталям. Управление информационной безопасностью, как минимум, нуждается в участии всех сотрудников организации. Для этого может также потребоваться участие акционеров, поставщиков, третьих сторон, клиентов или других внешних сторон. Также могут потребоваться советы специалистов из сторонних организаций.

Как определить требования безопасности?

Важно, чтобы организация определила свои требования к безопасности. Существует три основных источника требований.

  1. Первым источником является оценка рисков для организации, принимающая во внимание общую бизнес стратегию и цели организации. Посредством оценки рисков определяются угрозы в отношении ресурсов, оцениваются уязвимости и вероятность угроз, а также величина возможного ущерба.
  2. Вторым источником являются требования законодательства, подзаконных актов, нормативной базы и договоров, которые должна соблюдать организация, ее торговые партнеры, подрядчики и поставщики услуг, а также их социо-культурная среда.
  3. Третьим источником является индивидуальный набор принципов, целей и бизнес требований к обработке информации, разработанный организацией для обеспечения своей деятельности.

Оценка рисков безопасности

Требования безопасности определяются путем систематической оценки рисков безопасности. Расходы на механизмы контроля должны быть пропорциональны размеру вероятного ущерба, наносимого организации в результате нарушений безопасности.

Результаты оценки рисков помогут определить необходимые действия руководства и приоритеты для управления рисками информационной безопасности, а также внедрения механизмов контроля, выбранных для защиты от этих рисков.

Оценка рисков должна периодически повторяться для того, чтобы учитывать любые изменения, которые могут оказывать влияние на ее результаты.

Более подробная информация об оценке рисков безопасности может быть найдена в разделе 4.1 «Оценка рисков безопасности».

Выбор механизмов контроля

После того, как требования и риски безопасности были идентифицированы, а решения по обработке рисков приняты, должны быть выбраны и внедрены необходимые механизмы контроля, позволяющие снизить риски до приемлемого уровня. Механизмы контроля можно выбрать из этого стандарта или из других наборов механизмов контроля, или можно разработать новые механизмы контроля с учетом требуемой специфики. Выбор механизмов контроля зависит от решений, принимаемых в организации на основе критериев принятия рисков, способов обработки рисков, а также общего подхода к управлению рисками, применяемого в организации, и должен принимать во внимание все имеющие отношение к делу национальные и международные законодательные и нормативные акты.

Некоторые механизмы контроля, описанные в этом стандарте, могут рассматриваться в качестве руководящих принципов управления информационной безопасностью, пригодных для большинства организаций. Эти механизмы контроля далее рассматриваются более подробно под заголовком «Отправная точка информационной безопасности».

Более подробная информация о выборе механизмов контроля и других способов обработки рисков может быть найдена в разделе 4.2 «Обработка рисков безопасности».

Отправная точка информационной безопасности

Многие механизмы контроля могут рассматриваться в качестве хорошей отправной точки для реализации мер по обеспечению информационной безопасности. Они либо основаны на существенных требованиях законодательства, либо рассматриваются в качестве общепринятой практики обеспечения информационной безопасности.

Механизмы контроля, существенные для организации с юридической точки зрения, в зависимости от применяемого законодательства, включают в себя:

  • защиту данных и персональной информации;
  • защиту документации организации;
  • права интеллектуальной собственности.

Механизмы контроля, рассматриваемые в качестве общепринятой практики обеспечения информационной безопасности, включают в себя:

  • политику информационной безопасности;
  • распределение ответственности за обеспечение информационной безопасности;
  • повышение осведомленности, обучение и тренинги по информационной безопасности;
  • корректное выполнение приложений;
  • управление техническими уязвимостями;
  • управление непрерывностью бизнеса;
  • управление инцидентами и совершенствованием информационной безопасности.

Эти механизмы контроля применимы для большинства организаций и в большинстве окружений.

Необходимо отметить, что, не смотря на важность всех механизмов контроля, описанных в этом стандарте, необходимость любого механизма должна быть определена в свете конкретных рисков, которым подвержена организация. Таким образом, несмотря на то, что описанный подход может рассматриваться в качестве хорошей отправной точки, он не заменяет выбора механизмов контроля, основанного на оценке рисков.

Критические факторы успеха

Опыт показывает, что, зачастую, следующие факторы являются критическими для успешного внедрения информационной безопасности в организации:

  • политика информационной безопасности, задачи и мероприятия, отвечающие бизнес целям;
  • подход и система взглядов на внедрение, сопровождение, мониторинг и совершенствование информационной безопасности, которые соответствуют культуре организации;
  • ощутимая поддержка и приверженность со стороны всех уровней руководства;
  • хорошее понимание требований безопасности, вопросов оценки рисков и управления рисками;
  • эффективное доведение проблем безопасности до сведения всех руководителей, сотрудников и других сторон с целью повышения осведомленности;
  • распространение разъяснений к стандартам и политике информационной безопасности среди всех руководителей, сотрудников и других сторон;
  • финансирование деятельности по управлению информационной безопасностью;
  • проведение соответствующего обучения, тренингов и повышение осведомленности;
  • создание эффективного процесса управления инцидентами информационной безопасности;
  • внедрение системы измерения эффективности управления информационной безопасностью и обмена мнениями о способах ее дальнейшего совершенствования.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex