Главная
Новости
Статьи
Строительство
Ремонт
Дизайн и интерьер
Строительная теплофизика
Прочность сплавов
Основания и фундаменты
Осадочные породы
Прочность дорог
Минералогия глин
Краны башенные
Справочник токаря
Цементный бетон





















Яндекс.Метрика

Управление информационной безопасностью


Управление информационной безопасностью (англ. Information security management, ISM) — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.

История ISM

Проблема управления информационной безопасностью встала ещё во времена появления Windows NT и Интернета как массового продукта. Получившие доступ к новым технологиям хакеры начали активно их использовать для воровства данных кредитных карт и других видов мошенничества.

Британский институт стандартов (BSI) при участии коммерческих организаций, начал разработку стандарта управления информационной безопасностью. Результатом работы BSI в 1995 году, стало принятие национального британского стандарта BS 7799 управления информационной безопасностью организации. Стандарт состоял из двух частей: первая часть стандарта (BS 7799:1) носила рекомендательный характер, а вторая (BS 7799:2) — предназначалась для сертификации и содержала ряд обязательных требований, не входивших в первую часть.

В 1999 году в международной организации по стандартизации ISO было принято решение взять за основу стандарта в области информационной безопасности BS 7799:1. В результате вышел в свет стандарт ISO 17799, который базируется на стандарте BS 7799:1. Новейшей редакцией данного стандарта является ISO/IEC 17799:2005.

Стандарт ISO/IEC 17799:2005 объединяет лучший мировой опыт управления информационной безопасностью компании. Стандарт определяет принципы и является руководством по разработке, внедрению, сопровождению и улучшению системы управления информационной безопасностью. Он описывает механизмы установления целей по контролю и определению средств контроля в различных областях управления информационной безопасностью.

Изначально была предусмотрена только сертификация по стандарту BS 7799:2. Процедура сертификации по стандарту ISO появилась после выхода в 2005 году стандарта ISO 27001:2005.

Стандарт ISO/IEC 27001:2005 устанавливает требования к системе управления информационной безопасностью предприятия. Стандарт является руководством по определению, минимизации и управлению опасностями и угрозами, которым может подвергаться информация. Стандарт ISO/IEC 27001:2005 разработан для обеспечения помощи в выборе эффективных и адекватных средств и обеспечения уверенности потребителей и партнеров организации в том, что информация защищена должным образом.

Стандарт может применяться в большинстве организаций независимо от рода их деятельности.

Организация, использующая ISO/IEC 27001:2005 в качестве основы для системы управления информационной безопасностью, может быть зарегистрирована в Британском институте стандартов BSI (British Standards Institute), что продемонстрирует всем заинтересованным сторонам, что система управления информационной безопасностью предприятия компании отвечает всем требованиям международного стандарта.

С начала 2000-х, когда хакерство начало превращаться в прибыльный бизнес, от которого уже страдали государства и крупные международные корпорации, IT-компании начинают разрабатывать конкретные решения в области управления информационной безопасностью, которые включают в себя не только антивирусные программы, но и утилиты, занимающиеся мониторингом системных журналов (лог файлов).

После кибератаки на Sony США создали специализированное агентство по кибербезопаности, одной из задач которого стала разработка новых стандартов управления информационной безопасностью.

Системы управления информационной безопасностью (СУИБ)

Управление информационной безопасностью выходит далеко за рамки централизованного удаленного управления антивирусами и другими решениями, обеспечивающими защиту информации. Менеджмент ИБ — это не просто централизованный контроль над своевременным обновлением антивирусных баз, регулярным антивирусным сканированием и выполнением на клиентской стороне других задач, связанных с информационной безопасностью. Это важная часть менеджмента всей организации, обеспечивающая эффективность процессов и решающая не только тактические, но и стратегические задачи.

Основные функции систем управления информационной безопасностью (СУИБ) — это:

— выявление и анализ рисков информационной безопасности

— планирование и практическая реализация процессов, направленных на минимизацию рисков ИБ

— контролирование этих процессов

— внесение в процессы минимизации информационных рисков необходимых корректировок.

Качественное управление информационной безопасностью базируется на следующих принципах:

— комплексный подход — управление ИБ должно быть всеобъемлющим, охватывать все компоненты ИС и учитывать все актуальные рискообразующие факторы, действующие в информационной системе предприятия или госучреждения и за их пределами

— согласованность с задачами и стратегией организации

— высокий уровень управляемости

— адекватность используемой и генерируемой информации

— эффективность — оптимальный баланс между возможностями, производительностью и издержками СУИБ

— непрерывность управления

— процессный подход — связывание процессов управления в замкнутый цикл планирования, внедрения, проверки, аудита и корректировки, и поддержание неразрывной связи между этапами цикла, что позволяет сохранять и постоянно повышать качество СУИБ.

Значение ISM

Практики управления информационной безопасностью имеют большое значение в самых различных сферах: коммерческой, банковской, государственной, врачебной и т.д, поскольку в данных областях люди работают с тайной.

Для социума грамотное использование технологий управления информационной безопасностью означает должное обеспечение приватности и защиты идентичности каждого его члена.

Имя:*
E-Mail:
Комментарий: