Информационная безопасность - это способность информации в течение определенного периода времени сохранять в актуальном состоянии такие характеристики, как конфиденциальность, целостность, доступность, надежность, аутентичность, подотчетность, неотказуемость.
Информационная безопасность и система ее менеджмента
По мнению многих специалистов, современное общество (в том числе экономика) вступило в новую информационную эпоху. Ее характерной чертой стало превращение информации в один из главных факторов производства.
Для того чтобы информация приносила пользу (для предпринимателей - прибыль), она должна быть конфиденциальной, целостной, доступной. Приведение информации к такому состоянию осуществляется в ходе обеспечения (менеджмента) информационной безопасности.
Действующие в настоящее время международные стандарты (в частности, ISO 27001) рекомендуют предприятиям обеспечивать собственную информационную безопасность путем разработки и функционирования соответствующей системы менеджмента. Она представляет собой составную часть общей системы менеджмента, объектом которой является информационная безопасность.
Система менеджмента информационной безопасности является сложным образованием. Оно содержит в себе организационную структуру предприятия, принятую им политику, деятельность по планированию и практическую деятельность, распределение ответственности, процедуры, процессы и ресурсы.
Решение о создании системы менеджмента информационной безопасности носит стратегический характер. В результате его принятия и исполнения организация может повысить общую результативность своей работы в области обеспечения защиты информации. В большей степени в защите нуждаются финансовая информация, интеллектуальная собственность, информация о персонале, информация, доверенная клиентами или третьей стороной.
Порядок сертификации системы менеджмента информационной безопасности
Стандарты серии ISO, которые регламентируют процессы функционирования системы менеджмента информационной безопасности, являются добровольными. Однако их применение в наше время фактически стало обязательным для организаций всех видов.
Соответствие организации требованиям международного стандарта ISO 27001 в области менеджмента информационной безопасности подтверждается в ходе проведения процедур сертификации. Она проводится независимой компетентной организацией, которая в установленном порядке получила аккредитацию на осуществление процедур сертификации.
В случае успешного прохождения организацией всех процедур сертификации она получает документ - сертификат. Этим документом орган по сертификации удостоверяет в письменной форме, что система менеджмента информационной безопасности организации соответствует требованиям заявленного международного стандарта.
Основанием для проведения процедур сертификации является зарегистрированная заявка организации на сертификацию, которая была подана в аккредитованный орган. В случае одобрения данной заявки между указанными лицами заключается договор на сертификацию.
Сертификация системы менеджмента информационной безопасности организации по общему правилу происходит в два этапа. Первый этап сертификации направлен на решение следующих задач:
- изучить документацию системы менеджмента информационной безопасности организации-заказчика;
- собрать необходимые сведения относительно информационной безопасности;
- оценить специфические условия размещения хозяйственных площадок организации;
- проанализировать состояние организации-заказчика и ее понимание требований стандарта;
- ознакомится с результатами внутренних аудитов и анализа со стороны руководства;
- составить планы и обеспечить ресурсами проведение второго этапа сертификации.
Второй этап сертификации проводится на территории организации-заказчика для того, чтобы оценить ее систему менеджмента информационной безопасности, в том числе ее результативности. Процесс сертификации базируется на анализе информации, которая собирается специалистами аккредитованного органа посредством бесед, опросов, наблюдений, анализа документации.
Сертификаты соответствия действуют в течение определенного периода времени: обычно он колеблется от трех до пяти лет. В течение действия сертификатов ежегодно проводятся мероприятия инспекционного контроля (надзорного аудита), по результатам которого подтверждается действие сертификатов соответствия.
Срок действия сертификата соответствия системы менеджмента информационной безопасности может быть продлен на новый срок по желанию сертифицированной организации. Для этого необходимо провести процедуры ресертификации (повторной сертификации).
Требования к системе менеджмента информационной безопасности организации
Международным стандартом установлены общие требования к созданию, внедрению, функционированию и постоянному улучшению системы менеджмента информационной безопасности организации. При этом учитывается специфика области, масштаба и региона деятельности организации.
Особое внимание в данном случае уделяется управлению рисками, т. е. угрозам, которые могут навредить организации сточки зрения ее работы с информацией. В частности, организация должна определить методологию оценки риска, установить ее критерии, определить приемлемые уровни риска. Среди мер управления рисками важное место занимают идентификация и анализ рисков.
Важно иметь заранее разработанные различные варианты обработки рисков информационной безопасности организации. Так, возможно их принятие, избежание или передача сторонним организациям (например, страховщикам или поставщикам).