В настоящее время организация режима информационной безопасности становится критически важным стратегическим фактором (императивом) развития современного предприятия. При этом, как правило, основное внимание уделяется требованиям и рекомендациям соответствующей международной нормативно-методической базы в области защиты информации. Вместе с тем, Международная организация по стандартизации (ИСО) и многие ведущие компании начинают проводить в жизнь политику взаимоувязки (гармонизацию) стандартов в области менеджмента предприятием, направленные на обеспечение устойчивости и стабильности поддержания непрерывности бизнес-процессов в целом.
Сегодня высшее руководство любой компании по существу имеет дело только с информацией - и на ее основе принимает решения. Понятно, что эту самую информацию готовят множество нижестоящих слоев достаточно сложной организационной системы, которая называется современным предприятием. И нижние слои этой системы вообще могут не иметь понятия о том, что они производят не только какую-то продукцию или услугу, но и информацию для руководства. Глубинный смысл автоматизации бизнес-процессов заключается как раз в том, чтобы ускорить и упорядочить информационные потоки между функциональными уровнями и слоями этой системы и представить руководству компании лишь самую необходимую, достоверную и структурированную в удобной для принятия решения форме информацию. Критичная для производства и бизнеса информация должна быть доступной, целостной и конфиденциальной. Отсюда нетрудно сделать вывод, что ключевой бизнес-задачей корпоративной системы ИБ является обеспечение гарантий достоверности информации, или, говоря другими словами, гарантий доверительности информационного сервиса.
На предыдущем форуме в работе [1] мы определили место системы управления информационной безопасностью ISO 27001 в общей архитектуре менеджмента предприятием (ISO 9001, ISO 14001, ISO 15000, ITIL и др.). Учитывая огромное значение и влияние на современное производство стандарта управления качеством – ISO 9001, произведём сопоставление требований регуляторов управления качеством с соответствующими показателями (регуляторами) стандарта управления информационной безопасностью – ISO 27001 (см. табл.1).
Таблица 1. Сравнение содержания стандартов ISO 27001и ISO 9001
| Разделы ISO 27001 | Разделы ISO 9001, в части ИБ |
| Введение | Введение |
| 1. Границы применимости | 1. Границы применимости |
| 2. Нормативные ссылки | 2. Нормативные ссылки |
| 3. Термины и определения | 3. Термины и определения |
| 3.1. Доступность | |
| 3.2. Конфиденциальность | |
| 3.3. Информационная безопасность | |
| 3.4. Система управления режимом информационной безопасности | |
| 3.5. Целостность | |
| 3.6. Принятие рисков | |
| 3.7. Анализ рисков | |
| 3.8. Оценка рисков | |
| 3.9. Определение рисков | |
| 3.10. Управление рисками | |
| 3.11. Действия по уменьшению рисков | |
| 3.12. Ведомость соответствия | |
| 4. Управление информационной безопасностью | 4. Требования к системе управления качеством (QMS) |
| 4.1. Общие требования | 4.1. Общие требования |
| 4.2. Создание и организация системы управления режимом информационной безопасности | |
| 4.2.1. Создание системы управления режимом информационной безопасности | |
| 4.2.2. Средства и действия в рамках системы управления режимом информационной безопасности | |
| 4.2.3. Отслеживание событий в системе управления режимом информационной безопасности | |
| 4.2.4. Обслуживание и модернизация системы управления режимом информационной безопасности | |
| 4.3. Документирование требований | 4.2. Документирование требований |
| 4.3.1. Общие требования | 4.2.1. Общие требования |
| 4.3.2. Управление документами | 4.2.3. Управление документами |
| 4.3.3. Управление записями | 4.2.4. Управление записями |
| 5. Распределение обязанностей персонала | 5. Распределение обязанностей персонала |
| 5.1. Передача полномочий | 5.1. Передача полномочий |
| 5.2. Управление ресурсами | 5.2. Управление ресурсами |
| 6. Управление процедурой пересмотра некоторых положений | 6. Управление процедурой пересмотра некоторых положений |
| 6.1. Общие положения | 6.1. Общие положения |
| 6.2. Пересмотр входа | 6.2. Пересмотр входа |
| 6.3. Пересмотр выхода | 6.3. Пересмотр выхода |
| 6.4. Внешний аудит | 6.4. Внешний аудит |
| 7. Модернизация системы управления режимом информационной безопасности | |
| 7.1. Непрерывная модернизация | |
| 7.2. Корректирующие действия | |
| 7.3. Превентивные действия | |
| Приложение А Цели управления и средства управления | |
| А1. Введение | |
| А2. Обзор передового опыта | |
| A3. Политика безопасности | |
| А4. Организационные аспекты безопасности | |
| А5. Классификация ресурсов и управляющих воздействий | |
| А6. Безопасность персонала | |
| А7. Безопасность инфраструктуры и физическая безопасность | |
| А8. Управление коммуникациями и процессами | |
| А9. Управление доступом | |
| А10. Развитие системы и обслуживание | |
| А11. Обеспечение бесперебойной работы | |
| А12. Технические требования | |
| Приложение В | |
| Руководство по использованию стандарта | |
| Приложение С | Приложение А |
| Соответствие между ISO 9001:2000, ISO14001:1996 и BS7799 part 2:2002 | Связь между ISO 14001 и ISO 9001 |
Сравнительный анализ показывает, что в обеих стандартах прослеживается концептуальное единство регуляторов управления качеством и информационной безопасностью производства и это даёт предпосылки для выстраивания сквозной процедуры аттестации (сертификации) производства одновременно как по показателям качества, так и гарантии обеспечения непрерывности основных бизнес-процессов на основе доверительности информационного сервиса.
Литература
1. Артамонов В.А. Информационная безопасность в системе управления современным предприятием // Комплексная защита информации: Материалы XIV Междунар. науч.- практ. конф., Могилёв (Беларусь), 19-22 мая 2009 г. – Минск, 2009. – с. 17-18.
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:
