Система управления информационной безопасностью (Information Security Management System, ISMS) – это часть общей системы управления, основанной на анализе рисков. Она предназначена для проектирования, внедрения, контроля, сопровождения и совершенствования мероприятий в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.
Наиболее значимой целью большинства систем информационной безопасности является защита бизнеса и знаний компании от уничтожения или утечки. Также одна из важнейших целей системы менеджмента информационной безопасности – гарантия имущественных прав и интересов клиентов. В то же время меры по информационной безопасности не должны ограничивать или затруднять процессы обмена информацией в компании, поскольку это может поставить под угрозу развитие организации.
Система управления информационной безопасностью должна обеспечивать гарантию достижения таких целей как обеспечение конфиденциальности критической информации, обеспечение невозможности несанкционированного доступа к информации с ограни ченным доступом, целостности информации и связанных с ней процессов (создания, ввода, обработки и вывода) и ряд других целей.
Достижение поставленных целей возможно в ходе решения следующих основных задач, таких как определение ответственных за информационную безопасность, выявление рисков информационной безопасности и проведение их экспертной оценки, разработка политик и правил доступа к информационным ресурсам, разработка системы управления рисками информационной безопасности, в том числе методы их оценки, контроля информационной безопасности на предприятии. Следует отметить, что здесь перечислен далеко не полный список.
Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, финансовые, человеческие и другие ресурсы необходимые для их эффективного функционирования и т.д.
Основные функции системы управления информационной безопасностью:
- выявление и анализ рисков информационной безопасности;
- планирование и практическая реализация процессов, направленных на минимизацию рисков ИБ;
- контроль этих процессов;
- внесения в процессы минимизации информационных рисков необходимых корректировок.
Качественное управление информационной безопасностью базируется на следующих принципах:
- комплексный подход – управление ИБ должно быть всеобъемлющим, охватывать все компоненты информационной системы (ИС) и учитывать все актуальные рископорождающие факторы, существующие в информационной системе предприятия и за ее пределами;
- согласованность с бизнес-задачами и стратегией предприятия;
- высокий уровень управляемости;
- адекватность информации, которая используется и генерируется;
- эффективность – оптимальный баланс между возможностями, производительностью и затратами на СУИБ;
- непрерывность управления;
- процессный подход – связывание процессов управления в замкнутый цикл планирования, внедрения, проверки, аудита и корректировки, и поддержка неразрывной связи между этапами.
Одним из ключевых факторов успешности системы управления информационной безопасностью предприятия – это построение ее на базе международных стандартов ISO/IEC 27001.
Международный стандарт ISO 27001 предоставляет инструмент для разработки, внедрения, сопровождения, мониторинга, поддержки и совершенствования хорошо документированной системы управления информационной безопасностью в контексте рассмотрения бизнес рисков.
СУИБ обеспечивает выбор адекватных и пропорциональных средств контроля и защиты информации и, тем самым, доверие заинтересованных сторон.
Однако следует принимать во внимание и другие стандарты в сфере информационной безопасности. На данный момент в мировой практике используется большое количество стандартов, методик и других документов, регламентирующих процессы управления информационной безопасностью, например ISM3, COBIT, ITIL/ITSM, BSI-100-2, ISO13335-4, CRAMM, ISO15408. Но стоит отметить, что все они совместимы с ISO/IEC 27001, а также подобны.