Защита информационных ресурсов компании на основе международного стандарта ISO/IEC 27001:2013

«Кто владеет информацией — тот владеет миром»

На сегодняшний день наибольшее число финансовых потерь от инцидентов, связанных с информационной безопасностью, компании несут вследствие финансового мошенничества. При этом практически не уделяется внимание безопасности непосредственно бизнес-процессов и поддерживающих их приложений.

Роль информационной безопасности

Не секрет, что деятельность любой коммерческой организации направлена в первую очередь на получение прибыли. На достижении этой основной цели сфокусированы основные бизнес-процессы организации (например, производство, продажи, логистика). Также существует ряд поддерживающих процессов, к которым относятся, в том числе, информационные технологии и информационная безопасность (ИБ), направленные на обеспечение инфраструктуры для функционирования основных процессов. Логично предположить, что руководство практически любой организации заинтересовано в том, чтобы процессы внутри организации были подконтрольны, функционировали так, как были задуманы, а количество ошибок или злонамеренных действий со стороны сотрудников организации, бизнес-партнеров, а также других сторон, вовлеченных в бизнес-процессы организации, было минимальным.

Роль, которую играют меры и средства информационной безопасности в процессе внутреннего контроля, нельзя недооценивать. Например, такие аспекты, как разграничение полномочий в информационных системах в соответствии с должностными обязанностями пользователей этих систем, функциональность, не позволяющая совершать определенные   транзакции   (например, превышающие определенный лимит) без утверждения ответственных лиц, проверка целостности данных при передаче между системами и прочие подобные средства контроля, напрямую относятся к информационной безопасности, поскольку непосредственно влияют на обеспечение конфиденциальности, целостности и доступности данных в рамках бизнес-процессов компании.

Безопасность бизнес-процессов

Достаточно давно ведутся разговоры о связи ИТ и бизнеса, существуют соответствующие стандарты и методологии, определяющие соответствие между целями бизнеса и целями ИТ, дающие конкретные рекомендации по управлению ИТ, предоставляющие соответствующие метрики.

 Однако когда речь заходит об информационной безопасности, подобная связь бизнес-целей компаний с соответствующими мерами и средствами в данной области не столь очевидна, что подтверждается результатами различных исследований. Особенно остро эта проблема наблюдается среди специалистов, непосредственно отвечающих за обеспечение информационной безопасности в организациях. Порой можно наблюдать ситуацию, когда подразделение информационной безопасности компании живет своей жизнью, отдельной от деятельности организации в целом, занимаясь, например, исключительно защитой сетевого периметра и не обращая внимание на безопасность бизнес-приложений, используемых в компании.

 Какие же цели бизнеса могут на деле служить движущими факторами информационной безопасности?

 Таких целей может быть три:

– повышение управляемости бизнес-процессов за счет внедрения средств внутреннего контроля;

– обеспечение соответствия деятельности организации применимому законодательству;

– обеспечение непрерывности бизнеса и восстановления после сбоев за счет повышения надежности и восстанавливаемости ИТ.

Непрерывность бизнеса:

 Другой насущной проблемой для организаций в настоящее время является обеспечение непрерывности бизнеса. Так как вовлечение организаций в электронный бизнес все больше возрастает, а в некоторых отраслях, например в банковской и телекоммуникационной, ведение бизнеса без использования ИТ вообще не представляется возможным,   потери даже от незначительных простоев могут быть катастрофическими.

В целом задача обеспечения непрерывности бизнеса – комплексная, которая должна инициироваться непосредственно самим бизнесом и включать в себя многие составляющие, зачастую не имеющие отношения к ИТ и ИБ. Однако многие вопросы, рассматриваемые в рамках данной дисциплины, являются прямой обязанностью службы ИБ, в частности:

– классификация данных и информационных систем;

– определение требований к процессам резервного копирования и восстановления данных;

– управление доступностью систем;

– управление инцидентами.

При этом важно отметить, что внедрение технических мер не способно закрыть все вопросы, связанные с непрерывностью бизнеса и восстановлением после сбоев. Необходима тщательная проработка организационных мер, связанных с действиями в кризисных ситуациях, формированием команд восстановления, введением альтернативных процедур функционирования бизнес-процессов, внутренними и внешними коммуникациями и т.д.

Весь процесс планирования непрерывности бизнеса должен быть основан на анализе рисков, учитывать требования бизнеса к восстановлению тех или иных систем и данных.

Как показывает практика, в настоящее время зачастую весь процесс отдается на откуп службе ИТ или ИБ, которая может не иметь полномочий для того, чтобы влиять на бизнес в вопросах обеспечения непрерывности, в результате чего может происходить перекос в сторону технических решений, т.е. возникать ситуация, когда ИТ-инфраструктура компании готова к сбоям и прерываниям, а сам бизнес не готов.

 

Адекватная оценка

 Для достижения целей по обеспечению безопасности бизнес-процессов, защиты информации и непрерывности бизнеса, был разработан международный стандарт ISO/IEC 27001:2005. Преимущества, которые получают организации при внедрении системы управления информационной безопасности (СУИБ) и сертификации по стандарту ISO/IEC 27001:2005 заключаются не столько в том, чтобы показать сертификат партнерам, инвесторам и другим заинтересованным сторонам, сколько в том, чтобы построить эффективную инфраструктуру для поддержки бизнес-процессов, которая была бы направлена на минимизацию количества сбоев, ошибок и злонамеренных действий и при этом являлась бы подконтрольной. В качестве же ориентира или путевой карты при построении такой инфраструктуры и имеет смысл использовать, например, различные стандарты, методологии и модели.

На сегодняшний день количество сертификатов систем управления информационной безопасностью в соответствии ISO/IEC 27001 в мире превышает 3,5 тыс., и их число постоянно увеличивается. Казахстан не стала исключением в этом процессе, крупные компании проявляют большой интерес к ISO/IEC 27001. Многие компании внедряют СУИБ и хотят получить сертификат.

Инициатива внедрения СУИБ на основе ISO/IEC 27001

Инициатива создания и эффективного функционирования системы должна исходить от руководства компании – это гарантирует четкое выполнение всех процедур сотрудниками компании и аккуратное отношение к процессу. В отсутствие поддержки руководства компании функционирование СУИБ будет сложно или почти невозможно поддерживать, так как в данном процессе требуется постоянное взаимодействие различных подразделений, а это один отдел информационной безопасности (ИБ) организовать не сможет.

Подытоживая вышесказанное, хотелось бы подчеркнуть следующие основные идеи:

Информационная безопасность, хотя и является вспомогательным процессом, но при этом представляет собой важную составляющую надежности операционной деятельности компаний.

Как и другими процессами, информационной   безопасностью необходимо управлять. При построении системы управления желательно опираться на опыт, изложенный в общепринятых моделях, методологиях и стандартах.

Стремление к соответствию международным стандартам в области информационной безопасности в первую очередь должно быть нацелено на улучшение внутренних процессов компании.

 

Предыдущая Календарный график экзаменов
Следующая Аттестат аккредитации
  Назад на главную