Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Организация процесса управления информационной безопасностью

Иными словами, мы должны соблюдать жизненный цикл информационной безопасности, который имеет свое начало, но не имеет конца, ибо безопасность – это не состояние, а процесс, причем непрерывный. И если мы не соблюдаем «правила игры», то теряем контроль над процессом и безопасность превращается из задачи, которую контролируем мы, в абсолютно неподконтрольный нам набор хаотических действий. Что же это за процесс, как его контролировать? Чтобы не изобретать велосипед, имеет смысл следовать лучшим практикам (best practices), которые были собраны по всему миру и оформились в виде специальных стандартов. На рис. 1 изображены шесть этапов процесса обеспечения информационной безопасности согласно модели PPDIOO (Prepare, Plan, Design, Implementation, Operation, Optimization) компании Cisco. Эта же модель используется и во многих других стандартах. Например, в стандарте ISO 27001 те же этапы разбиты на четыре повторяющиеся задачи (Plan, Do, Check, Act).

Помимо ISO 27001 (который в настоящее время переводится и адаптируется к российским условиям) вопросам управления информационной безопасности «на высоком уровне» посвящено немало стандартов, хотя еще 3 – 4 года таковых не было вовсе. Это и ISO 27001:2005, и GAISP, и NIST 800-14, и др.

Начинать управление безопасностью следует не с анализа рисков и изучения слабых сторон защищаемой организации. Очень важно, чтобы безопасность строилась с учетом бизнеса компании, так как он является основной задачей любого предприятия. Не ИТ, не безопасность, а именно бизнес. А значит, все должно быть направлено на достижение бизнес-целей, все технологии способствовать росту, а не препятствовать ему. Приятно, что стандарт ISO 27001 начинается именно с этого, как и рекомендации NIST 800-14 (Generally Accepted Principles and Practices for Securing Information Technology Systems). Однако данное упоминание носит декларативный характер. С одной стороны, в любом стандарте очень сложно описать разные типы бизнеса и их взаимоотношения с безопасностью, с другой – без этого указанное требование является голословным.

Это же относится и к другому требованию, которое изложено в NIST 800-14, ISO 27001, the Standard (The Standard of Good Practice for Information Security of ISF) и др. Речь идет о том, чтобы руководство компании, осознавая важность обеспечения безопасности своих информационных активов, принимало на себя обязательства по контролю над ним.

Главная страница / Архитектура отрасли