Система управления информационной безопасностью – ключевой фактор успешности организации

Система управления информационной безопасностью (Information Security Management System, ISMS) – это часть общей системы управления, основанной на анализе рисков. Она предназначена для проектирования, внедрения, контроля, сопровождения и совершенствования мероприятий в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.

Наиболее значимой целью большинства систем информационной безопасности является защита бизнеса и знаний компании от уничтожения или утечки. Также одна из важнейших целей системы менеджмента информационной безопасности – гарантия имущественных прав и интересов клиентов. В то же время меры по информационной безопасности не должны ограничивать или затруднять процессы обмена информацией в компании, поскольку это может поставить под угрозу развитие организации.
Система управления информационной безопасностью должна обеспечивать гарантию достижения таких целей как обеспечение конфиденциальности критической информации, обеспечение невозможности несанкционированного доступа к информации с ограни ченным доступом, целостности информации и связанных с ней процессов (создания, ввода, обработки и вывода) и ряд других целей.
Достижение поставленных целей возможно в ходе решения следующих основных задач, таких как определение ответственных за информационную безопасность, выявление рисков информационной безопасности и проведение их экспертной оценки, разработка политик и правил доступа к информационным ресурсам, разработка системы управления рисками информационной безопасности, в том числе методы их оценки, контроля информационной безопасности на предприятии. Следует отметить, что здесь перечислен далеко не полный список.
Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, финансовые, человеческие и другие ресурсы необходимые для их эффективного функционирования и т.д.

Zobacz podobne  Как перейти на новый стандарт ISO 27001:2022

Основные функции системы управления информационной безопасностью:

  • выявление и анализ рисков информационной безопасности;
  • планирование и практическая реализация процессов, направленных на минимизацию рисков ИБ;
  • контроль этих процессов;
  • внесения в процессы минимизации информационных рисков необходимых корректировок.

Качественное управление информационной безопасностью базируется на следующих принципах:

  • комплексный подход – управление ИБ должно быть всеобъемлющим, охватывать все компоненты информационной системы (ИС) и учитывать все актуальные рископорождающие факторы, существующие в информационной системе предприятия и за ее пределами;
  • согласованность с бизнес-задачами и стратегией предприятия;
  • высокий уровень управляемости;
  • адекватность информации, которая используется и генерируется;
  • эффективность – оптимальный баланс между возможностями, производительностью и затратами на СУИБ;
  • непрерывность управления;
  • процессный подход – связывание процессов управления в замкнутый цикл планирования, внедрения, проверки, аудита и корректировки, и поддержка неразрывной связи между этапами.
Zobacz podobne  Новый стандарт ISO/IEC 27001:2022

Одним из ключевых факторов успешности системы управления информационной безопасностью предприятия – это построение ее на базе международных стандартов ISO/IEC 27001.
Международный стандарт ISO 27001 предоставляет инструмент для разработки, внедрения, сопровождения, мониторинга, поддержки и совершенствования хорошо документированной системы управления информационной безопасностью в контексте рассмотрения бизнес рисков.
СУИБ обеспечивает выбор адекватных и пропорциональных средств контроля и защиты информации и, тем самым, доверие заинтересованных сторон.
Однако следует принимать во внимание и другие стандарты в сфере информационной безопасности. На данный момент в мировой практике используется большое количество стандартов, методик и других документов, регламентирующих процессы управления информационной безопасностью, например ISM3, COBIT, ITIL/ITSM, BSI-100-2, ISO13335-4, CRAMM, ISO15408. Но стоит отметить, что все они совместимы с ISO/IEC 27001, а также подобны.

Zobacz podobne  Стандарты серии ISO 27000
Прокрутить вверх