Система менеджмента информационной безопасности (СМИБ) представляет собой руководство, управление, администрирование, разработку и создание, а также эффективное использование и контроль методов и средств, направленных на обеспечение информационной безопасности (ИБ) предприятия.

Предпосылки появления и развития

Невозможно представить работу предприятия без использования информации и коммуникационных технологий. При этом данные в автоматизированных информационных системах (АИС) практически беззащитны. 

Необходимость организовать на предприятии надежную систему безопасности информации обусловлена следующими факторами:

• информация, которая хранится и используется АИС, необходима для принятия управленческих решений, произведения выплат, платежей и переводов денежных средств;
• данные в АИС важны не только для персонала компании, но и для ее клиентов (например, персональные и конфиденциальные сведения);
• хакеров становится все больше, растет число успешных компьютерных атак, а значит, растут и убытки компании.

Несоблюдение правил информационной безопасности может привести к:

• потере имиджа компании;
• снижению прибыли;
• потере доверия инвесторов и клиентов;
• изменению, искажению или потере секретных сведений;
• нестабильности бизнес-процессов;
• иным правовым последствиям.

Обеспечение ИБ предприятия должно гарантировать четкую и непрерывную работу АИС и защиту данных в ней. 

Тщательно проработанная СМИБ:

• обеспечит непрерывный процесс производства;
• снизит возможные риски до минимума;
• выстроит оптимальную линию защиты данных;
• практически исключит операционные риски и кризисы.

Определение информационной безопасности 

Информационная безопасность оказывает влияние на конкурентоспособность организации, ее репутацию и увеличение прибыли в конечном итоге. Причем, ограничение доступа посторонних к секретным сведениям – лишь одна из задач ИБ.  

В стандарте ISO/IEC 27001 (международный стандарт СМИБ) информационная безопасность определена как охрана конфиденциальности, подлинности, доступности, достоверности и целостности секретных сведений.

Под конфиденциальностью понимается возможность доступа к информационным системам только сотрудников с соответствующими полномочиями.

Доступность информационных ресурсов – возможность ими пользоваться в любое время, когда это нужно.

Целостность и достоверность информации – это ее точность, полнота и выбор методов обработки.

Подлинность ресурсов информационных систем – возможность использования именно тех ресурсов, к которым обращается авторизованный пользователь.

СМИБ должна охватывать всю деятельность организации. Принятые положения при этом нужно регулярно контролировать, пересматривать и совершенствовать. 

Сохранность секретных сведений значима не только для построения стратегии бизнеса в целом и выпуска основной продукции, но и для вспомогательных направлений бизнеса. Например, проведение переговоров, формирование условий контрактов или ценовой политики. 

К секретным сведениям относят государственную, врачебную, военную, банковскую, нотариальную, налоговую тайны. Также тайны следствия, страхования, судопроизводства, усыновления и т.д.

За распространение секретных данных, правонарушителю грозит дисциплинарная, административная или уголовная ответственность. 

В границах системы менеджмента информационной безопасности проводятся работы в нескольких направлениях. 

ИСО/МЭК 27001 – международный стандарт СМИБ

Система менеджмента информационной безопасности – это одна из частей менеджмента, основанная на предупреждении рисков бизнеса в процессе создания, внедрения, функционирования, аудита и улучшения ИБ. 

ISO/IEC 27001 – это международный стандарт по ИБ, включающий требования по ИБ для создания и развития СМИБ. 

При построении СМИБ, опираясь на требования международного стандарта ISO/IEC 27001, используют модель PDCA:

• Plan (Планирование) – создание СМИБ, перечня активов. Оценка возможных рисков, выбор необходимых мер безопасности;
• Do (Действие) – внедрение выбранных методов и средств защиты информационных систем;
• Check (Проверка) – внутренний аудит СМИБ – проверка эффективности работы системы.
• Act (Улучшения) – выполнение предупреждающих мер, внесение корректировок при необходимости.

Стандарт ISO/IEC 27001 включает лучшие международные разработки в сфере ИБ. Данным стандартом пользуются как моделью с целью разработать и внедрить наиболее эффективную и подходящую СМИБ для достижения бизнес-целей предприятия. 

В России основной документ об утверждении Национального стандарта РФ ГОСТ Р ИСО/МЭК 27001-2006 – это приказ Ростехрегулирования № 37-ст от 27 декабря 2006 года.

Структура международного стандарта оценки СМИБ

Развитие серии стандартов по управлению информационной безопасностью началось с 1995 года. Первым был стандарт BS 7799. За прошедшее время его неоднократно редактировали и дополняли. В 2005 году в виде стандарта ISO/IEC 27001, позволяющего оценить систему МИБ, он был признан международным. С этого года все крупные предприятия начали его внедрять в свою систему управления бизнесом. 

В структуре международного стандарта четыре части:

1. Общие положения.
2. Требования, предъявляемые к системе МИБ.
3. Приложение А.
4. Приложения В и С, перечень ссылок на источники информации.

Третья часть наиболее объемная. Здесь подробно расписаны требования к каждой составляющей информационной безопасности. 

Основные направления:

• поддержка политики ИБ со стороны собственников и руководителей предприятия;
• создание структуры, способной обеспечить бесперебойную работу системы безопасности;
• классификация информационных ресурсов в соответствии с первостепенной необходимостью их защиты, назначение ответственных сотрудников;
• работа с персоналом – обучение правилам использования оборудования. Необходимо снизить человеческий фактор до минимума (ошибки, преднамеренные правонарушения, использование информации не по назначению);
• организация внешней защиты и физической безопасности, чтобы исключить неправомерное проникновение в здания и на территорию предприятия (например, ввести пропускной режим и установить камеры видеонаблюдения);
• организация контроля за информационными сетями и компьютерной безопасностью;
• исключение неправомерного доступа к системе и информации в ней (например, установить пароли, определить методы авторизации пользователей);
• составление плана на случай чрезвычайных ситуаций, чтобы не было перерыва в течении бизнес-процессов;
• контроль внедрения и использования системы информационной безопасности с точки зрения законодательства.

Четвертая часть документа рассказывает о принципах взаимодействия ISO/IEC 27001 с международной организацией экономического развития, системой контроля качества и экологии. 

Все, что заключено в приложении А, необходимо исполнять в обязательном порядке. Исключения составляют только те пункты, которые невозможно применить на конкретном предприятии или в которых нет необходимости.

Плюсы СМИБ

Что дает эффективная СМИБ:

• авторитет организации возрастет не только на внутреннем, но и на внешнем рынке, появится возможность получить мировое признание;
• информация будет классифицирована по степени важности для предприятия, что позволит определить первоочередность и уровень обеспечения ее сохранности. Классификация данных упростит специалистам задачу по их защите;
• обеспечение взаимодействия информационной безопасности с остальными системами управления предприятием;
• возможность предугадать, а значит вовремя предотвратить возможные информационные угрозы;
• снижение затрат на СИБ, их оптимизация – когда ценные сведения будут «разложены по полочкам» будет проще принять решение о необходимости профинансировать нужное направление;
• предварительный просчет рисков облегчит процесс принятия решения в соответствии с поставленными целями предприятия – оценка возможного ущерба, вероятность его получения, оценка приемлемости рисков и необходимости их предотвращения;
• повысится эффективность управления компанией при наступлении чрезвычайных ситуаций за счет внедрения процессов непрерывного ведения бизнеса, разработки планов восстановления работоспособности и их регулярного обновления; 
• контроль за исполнением политики ИБ – своевременное доведение до персонала, распределение ответственности в сфере информационной безопасности, обеспечение необходимыми ресурсами, внутренний аудит и анализ СМИБ.

Эффективное управление СИБ также снижает риск рейдерского захвата предприятия. Рейдерство – незаконное поглощение предприятия против воли собственников. Обычно рейдеры сначала выкупают маленькие пакеты акций, чьи владельцы не могут принимать решений в управлении компанией.  А затем в судебном порядке пытаются доказать, что их права ущемлены. Параллельно создаются искусственные проблемные ситуации, мешающие предприятию нормально функционировать. Например, рейдеры выводят «неудобную» информацию о компании на всеобщее обозрение, что неумолимо приводит к снижению рейтинга и потере доверия у инвесторов и клиентов. Компания начинает работать в убыток и не может покрыть текущие расходы. Акции падают в цене и продаются за бесценок. Причем все это делается в рамках законодательства с использованием огрехов в работе руководства и собственников предприятия.

Надежная защита информации даст возможность избежать подобных ситуаций. Рейдерский захват невозможен, если злоумышленники не смогут получить сведения о внутренних процессах компании, правилах и нормах ее работы.

Руководителям предприятий рекомендуется уделить особое снимание менеджменту в области информационной безопасности. Несмотря на то, что СМИБ на первый взгляд не увеличивает прибыль, зато помогает ее сохранить.

11.06.2020