Рубеж обороны определяет ГОСТ Р ИСО 27001
После появления международного стандарта ISO 27001 2013 российские корифеи информационной безопасности (ИБ), отметив ряд новшеств, предположили замену в ближайшем будущем ГОСТ Р ИСО 27001 2006. Однако на январь 2015 года этого не произошло.
Введённый с января 2015 года стандарт ГОСТ Р ИСО/МЭК 27007-2014 определяет аудит систем менеджмента информационной безопасности на соответствие ИСО/МЭК 27001 2005, что равносильно ГОСТ Р ИСО 27001 2006.
В то же самое время ГОСТ Р ИСО/МЭК 27013 2014, который начнёт действовать с первых чисел сентября 2015 года, увязывается с ISO/IEC 27001 2013. Таким образом, можно всё-таки ожидать появление российского аналога ISO 27001 2013. Пока же продолжаем ориентироваться на ГОСТ Р ИСО 27001 2006.
Зачем нужен ГОСТ Р ИСО 27001?
Рассматриваемый стандарт представляет собой модель системы менеджмента информационной безопасности (СМИБ). Опираясь на эту модель, выполняется 4 основных шага или 7 действий производственного цикла:
- планирование (разработку);
- сама деятельность (внедрение, функционирование);
- оценку результатов (мониторинг, анализ);
- совершенствование (поддержку и улучшение).
На выходе должна возникнуть эффективная система над системой. Что такое «система над системой»? Только то, что в обычной фирме, которая не продаёт услуги по обеспечению ИБ, СМИБ не приносит прибыль, не улучшает производство, а сохраняет заработанное.
Что делает менеджмент с информационной безопасностью?
Так как ИБ и СМИБ это не одно и то же, то СМИБ сохраняет заработанное через управление ИБ. Последняя способна сама по себе снижать издержки, влиять на рост эффективности бизнес — процесса. Отсутствие прямой связи между эффективностью ИБ и прибылью создаёт эффект «замка на конюшне», который вешают после кражи всех лошадей.
Основной задачей ИБ является недопущение нанесения ущерба компании за счёт потери ценности её информационной собственности (активов). Сложившийся стереотип увязывает эти активы с информацией в электронной базе данных. Однако это не совсем так. Самая ценная информация часто находится просто в памяти сотрудников, поэтому так важно различать технические каналы передачи информации, электронные носители информации и саму информацию, требующую защиты.
Есть особенно эффективный метод получения информации, не используемый большинством менеджеров. Нужно просто пойти туда, где работают, и посмотреть, что там делается.
Эндрю Гроув
Обеспечение безопасности внутри подразделений фирмы напрямую связанных с информационной безопасностью – это профанация самой идеи ИБ. СМИБ направлена в первую очередь на создание, поддержание оптимального функционирования с постоянным улучшением системы, которая охватывала бы сквозные процессы. Под ними понимаются процессы, пронизывающие группу отделов, подразделений компании. ГОСТ ИСО Р 27001 предлагает достаточно ясную политику по реализации основной цели ИБ.