Уровень развития информационных технологий компании часто оказывает значительное влияние на ее конкурентоспособность. Обеспечение конфиденциальности, целостности и доступности информации можно с уверенностью отнести к необходимым условиям непрерывности бизнеса.

Начиная строить систему информационной безопасности (ИБ) предприятия или приводя в порядок хаотически развивавшиеся точечные решения, специалисты, ответственные за ИБ, как правило, приходят к вопросам: чем руководствоваться при выборе мер и средств информационной безопасности, как измерять защищенность и оценивать риски, как организовать непрерывную работу и совершенствование системы ИБ?

На данный момент в мировой практике используется большое количество стандартов, методик и других документов, регламентирующих процессы управления информационной безопасностью: ISO27001, ISM3, COBIT, ITIL/ITSM, BSI-100-2, ISO13335-4, CRAMM, ISO15408. 

Зарубежные эксперты уделяют значительное внимание стандарту ISM3 «Модель зрелости управления информационной безопасностью». Основная идея ISM3 в том, что информационная безопасность заключается не только в предотвращении атак на информационные активы, но и в достижении бизнес-целей организации, несмотря на всевозможные инциденты (атаки, технические сбои, ошибки персонала…).

Система управления информационной безопасностью (СУИБ), согласно ISM3, разрабатывается, внедряется и функционирует в рамках пяти уровней зрелости: Basic, SME, eCommerce, Enterprise и Military. По оценкам наших специалистов, самый большой эффект от инвестиции в ИБ получается на базовом уровне, при осуществлении начальных инвестиций, поэтому важно именно на начальном этапе правильно определить направление развития СУИБ и следовать выбранной стратегии ИБ.

Уровни зрелости не являются субъективными и зависят от типов метрик, используемых для управления каждым процессом. В системах управления, основанных на ISM3, результаты процессов управления ИБ могут быть четко измерены, что позволяет совершенствовать систему, руководствуясь объективными оценками на основе определенных критериев.

Стандарт ISM3 совместим с другими методологиями и стандартами информационной безопасности. Так, требования к управлению документооборотом в ISM3 и ISO 9001 аналогичны, принцип постоянного развития (PDCA), помимо ISO 9001, ISO 27001, BSI-100-2, используется, с небольшими модификациями, и в ISM3. Идентичны определения безопасности в ISM3 и CobiT, а ключевые показатели могут быть измерены с помощью метрик ISM3. ISM3 полностью совместим с ITIL и конкретизирует данную методологию. Следует отметить также совместимость ISM3 с международными стандартами серии ISO 27000, получившими широкое признание на многих, в том числе и украинских, предприятиях.

СУИБ, построенные с использованием ISM3, соответствуют требованиям ISO 27001. Следовательно, ISM3 и ряд других, совместимых с ISO 27000 стандартов, могут использоваться для внедрения СУИБ с последующей их сертификацией по ISO 27001, ISO 27002.

Так, на практике, в условиях современных украинских предприятий, нашими специалистами успешно используется методика IT-Grundschutz (ИТ-Грундшутц), разработанная германским правительственным федеральным офисом по информационной безопасности (BSI), позволяющая строить СУИБ, соответствующую требованиям ISO 27001.

Данная методика включает стандарты и каталоги BSI 100-1, BSI 100-2, BSI 100-3 регламентирующие построение СУИБ и стандартизирующие подход к анализу рисков. Каталоги типовых информационных активов, связанных с ними угроз и контрмер, содержат конкретные практические рекомендации для оценки рисков, выбора и применения мер ИБ.

Следование рекомендациям IT-Grundschutz позволяет нашим специалистам быть уверенными в достижении требуемого уровня ИБ при подготовке СУИБ к сертификации по ISO 27001.

Следует отметить непрерывное развитие серии стандартов ISO 27000. Так, недавно опубликованный стандарт ISO 27004 «Информационные технологии. 

Методы обеспечения безопасности. Измерение эффективности системы управления информационной безопасностью», позволяет оценивать эффективность мер ISO 27002 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».
Кроме этого стандарты серии ISO 27000 все чаще принимаются в качестве стандарта ИБ предприятия, на их базе разрабатываются отраслевые стандарты ИБ.

Автор: Волошина Ольга, начальник управления инфраструктурных решений компании «АМИ»