Основы построения системы управления информационной безопасности
Рассмотрим основные моменты, которые возникают при организации системы управления информационной безопасностью предприятия. Какова методология процессов и рисков. Рассмотрим понятия защищенного объекта и возможные угрозы безопасности.
Система управления безопасностью предприятия (Information Security Management System ISMS) - представляет собой часть общей системы управления предприятием, базирующаяся на основе рисков безопасности. Наиболее значимой частью этой системы является защита общей системы от утечки или уничтожения информации. Главным критерием моделирования бизнес процессов также является независимость работы, т.е. система безопасности не должна каким-либо образом влиять на работу всей системы и тормозить ее. Помните, если вы будете предлагать подобные идеи начальству, основной задачей для вас будет объяснение рентабельности данной системы.
Стандартом систем безопасности предприятием является международный стандарт ISO/IEC 27001:2005, который определяет минимальные допустимые характеристики системы для ее стабильной и защищенной работы.
В теории все угрозы безопасности делятся на естественные и искуственные. Последние возникают вследствие неосознанных действий конечных пользователей системы или же в результате отладки системы. Обращать внимание рекомендуется только на естественные угрозы.
Так как теория довольно сильно разниться с практикой обеспечения информационной безопасности без надлежащей практической базы довольно сложно понять сущность системы. А практика, как известно, подкрепляется теорией. Получается замкнутый круг. Ну тут уже ничего не поделаешь.
