На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 1 январь-февраль 2007 г.
Тема номера:
РАЗВИТИЕ СТАНДАРТА ISO 17799 В РОССИИ


ПРАКТИЧЕСКИЕ АСПЕКТЫ ПРИМЕНЕНИЯ МЕЖДУНАРОДНОГО СТАНДАРТА БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ISO 27001:2005

Н. Куканова, аналитик по информационной безопасности
Digital Security


Предыдущая статьяСледующая статья

Введение

В настоящее время более трех тысяч компаний по всему миру прошли сертификацию по международному стандарту ISO 27001, определяющему основные требования к разработке и функционированию системы управления информационной безопасностью (ИБ). В России сертификация по ISO 27001 только набирает обороты (на данный момент сертификат на соответствие требованиям стандарта получен четырьмя российскими организациями). Однако компании, выполняющие консалтинг в области построения системы управления ИБ, отмечают возрастающий интерес российских бизнес-структур к стандарту ISO 27001. Естественно, всем, кто задумался о получении такого сертификата, в первую очередь, важно понимать, какую выгоду они получат от прохождения сертификации, а также какие действия им необходимо будет выполнить для построения своей системы управления ИБ.

Получение сертификата на соответствие системы управления ИБ требованиям ISO 27001 позволяет самой компании, а также ее партнерам убедиться в том, что система управления ИБ внедрена в общую систему управления бизнес-процессами компании, что она работает правильно и эффективно. Это особенно важно в том случае, если компания работает с большими объемами ценной информации или если компания обрабатывает или хранит ценную информацию своих клиентов. Эффективная система управления ИБ во-первых, обеспечивает необходимый уровень защиты всех информационных активов компании (то есть существенно снижается риск нанесения ущерба компании из-за нарушения ИБ), и, во-вторых, гарантирует, что меры и средства защиты информации являются адекватными и пропорциональными возможному ущербу компании.

Цель настоящей статьи – описать этапы разработки и внедрения системы управления ИБ в компании, а также обратить особое внимание читателей на то, какие могут возникать проблемы и как избежать сложностей в данном процессе.

Этапы разработки и внедрения системы управления ИБ

Для начала отметим, что подготовка к сертификации, как правило, делится на два основных этапа:

  • разработку системы управления (и всех необходимых процедур);
  • внедрение системы управления.

Для выполнения первого этапа рекомендуется приглашать консультантов. Второй этап (внедрение) выполняется самой компанией (специалисты компании должны ознакомиться с необходимыми процедурами, наладить их четкое выполнение, проверять и контролировать их эффективность и пр.).

Можно выделить следующие основные этапы разработки системы управления ИБ:

  • инвентаризация активов;
  • категорирование активов;
  • оценка защищенности информационной системы;
  • оценка информационных рисков;
  • обработка информационных рисков (в том числе определение конкретных мер для защиты ценных активов);
  • внедрение выбранных мер обработки рисков;
  • контроль выполнения и эффективности выбранных мер.

Роль руководства компании в системе управления ИБ

Одним из основных условий эффективного функционирования системы управления ИБ является вовлеченность руководства компании в процесс управления ИБ. Все сотрудники должны понимать, что, во-первых, вся деятельность по обеспечению ИБ инициирована руководством и обязательна для выполнения, во-вторых, руководство компании лично контролирует функционирование системы управления ИБ, в-третьих, само руководство выполняет те же правила по обеспечению ИБ, что и все сотрудники компании.

Выбор области сертификации

Систему управления ИБ, как правило, целесообразно разрабатывать для всей компании в целом. Другими словами, процедуры системы управления в большинстве случаев необходимы для выполнения во всей компании. Однако внедрить систему управления сразу во все бизнес-процессы часто непросто, поэтому лучше, если ее внедрение будет осуществляться последовательно. Таким образом, внедрив систему управления в каком-то одном бизнес-процессе компании, мы можем получить сертификат на нее в рамках данного бизнес-процесса, а затем расширять область сертификации (scope) по мере внедрения в остальные процессы компании. Следовательно, при подготовке к сертификации требуется определить область сертификации (описать, в какой конкретно подсистеме компании будет внедрена система управления). Аудиторы сертификационных органов проверяют выполнение всех процедур системы управления только в рамках выбранной области сертификации.

Важно иметь в виду, что описание области сертификации необходимо выполнить максимально подробно, то есть требуется точно определить все активы, входящие в область сертификации.

Инвентаризация активов компании

Прежде всего, следует определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:

  • информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
  • программное обеспечение;
  • материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
  • сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);
  • сотрудники компании, их квалификация и опыт;
  • нематериальные ресурсы (репутация и имидж компании).

Следует определить, нарушение информационной безопасности каких активов может нанести ущерб компании. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при анализе информационных рисков.

Инвентаризация заключается в составлении перечня ценных активов компании. Как правило, данный процесс выполняют владельцы активов.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100