Для чого потрібен захист інформації?

Останнім часом про кібербезпеку йдеться дуже багато. Преценденти витоку інформації із великих світових компаній говорять самі за себе: у Yahoo вкрали дані 1 млрд користувачів, витік банківських даних з онлайн-магазину Acer, оприлюднення 1,7 млн дипломатичних документів розвідслужб США на Wikileaks і т. д.

Загрози, що виникають через відсутність відповідного захисту інформації, можуть бути звичайними крадіжками даних, шахрайством, а можуть – шпіонажем чи тероризмом.

Основним джерелом витоку інформації в Україні минулого року був інтернет (33%). На переносні накопичувачі припало 19% усіх витоків інформації, на неелектронні носії – 12%. Через корпоративний e-mail «втекло» 11% даних, 25% – втратили з інших причин.

Головна мета стандарту з інформаційної безпеки – еволюція від окремих елементів безпеки до цільної стратегії менеджменту, яка дозволить отримати розуміння бізнесу в цілому.

Чому потрібен стандарт з інформаційної безпеки?

Організація може сама розробити правила захисту, аби запобігти загрозам власній інформаційній безпеці. При цьому треба врахувати, що, коли компанія, наприклад, заборонить використання переносних накопичувачів інформації, забезпечивши в такий спосіб фізичний захист, то це передбачатиме наявність чітких правил та обмежень, яких необхідно буде дотримуватись.

Якщо ж компанія спробує захистити лише неелектронні носії і до паперових документів буде обмежений доступ, то слід буде організувати їхнє відповідне зберігання. Це не є чимось особливо новим, але окремі заходи, які впроваджуватиме та чи інша компанія, можуть забезпечити захист лише частково. Вони, по-перше, не дають повного розуміння єдиної системи, а, по-друге, їх важко поєднати. Тут, безумовно, потрібен системний підхід, який і передбачає стандарт.

Якими є передумови впровадження системи менеджменту інформаційної безпеки?

СМІБ впроваджують за наявності відповідного законодавства (для деяких сфер), відсутності повної картини про стан інформаційної безпеки та аналізу збірних подій з ІБ, вразливості критичних бізнес-процесів та їхньої доступності для кіберзлочинців, а також збільшення кількості інцидентів, що псують імідж компанії.

Система менеджменту підприємства передбачає і корпоративні стандарти управління: якістю, інформаційною безпекою, зовнішнім середовищем і т.д.

Має бути лише одна загальна система менеджменту компанії – їх не може бути кілька. Інтегрована будь-яка інша система чи ні, вона все одно має об'єднуватись в загальну систему – єдину для всієї організації.

Чим особливий стандарт з інформаційної безпеки?

Стандарт 27001 – єдиний стандарт, за яким можлива сертифікація. Він передбачає два основних принципи управління: процесний підхід до управління безпекою та застосування моделі PDCA, або, як ще її називають, циклу Шухарта-Демінга. Цикл PDCA – модель безперервного поліпшення процесів: плануй (Plan), роби (Do), перевіряй (Check) та впливай (Act).

Як зауважив по закінченню зустрічі керуючий партнер ТОВ «Юридична компанія «Ейч.Ді.Партнерз» Володимир Глащенков, структурованість процесів і заточеність компаній на використання сучасних технологій підвищує їхню конкурентоспроможність і водночас створює велику кількість ризиків.

«Вибудовуючи такі системи, потрібно розуміти, що над ними особливо багато слід працювати з точки зору безпеки. Щоб не вийшло так, що інформація, яку оцифрували та створили цілу систему для її захисту, в результаті є у відкритому доступі. Впроваджувати стандарти та організовувати роботу потрібно так, щоб інструменти захисту інформації лише допомагали бізнесу ставати конкурентнішим та розвиватися», – зазначив Володимир Глащенков.

Довідка. Стандарт 27001 – стандарт інформаційної безпеки, який визначає ступінь якості захисту інформації. Розроблений спільно Міжнародною організацією зі стандартизації та Міжнародною електротехнічною комісією. Стандарт містить вимоги в області інформаційної безпеки для створення, розвитку та підтримки Системи менеджменту інформаційної безпеки (СМІБ).

Підготувала Марічка Мишок

Партнерська публікація