Проект "ИТ-Защита"

В настоящее время организация режима информационной безопасности становится критически важным стратегическим фактором (императивом) развития современного предприятия. При этом, как правило, основное внимание уделяется требованиям и рекомендациям соответствующей международной нормативно-методической базы в области защиты информации. Вместе с тем, Международная организация по стандартизации (ИСО) и многие ведущие компании начинают проводить в жизнь политику взаимоувязки (гармонизацию) стандартов в области менеджмента предприятием, направленные на обеспечение устойчивости и стабильности поддержания непрерывности бизнес-процессов в целом.

Сегодня высшее руководство любой компании по существу имеет дело только с информацией - и на ее основе принимает решения. Понятно, что эту самую информацию готовят множество нижестоящих слоев достаточно сложной организационной системы, которая называется современным предприятием. И нижние слои этой системы вообще могут не иметь понятия о том, что они производят не только какую-то продукцию или услугу, но и информацию для руководства. Глубинный смысл автоматизации бизнес-процессов заключается как раз в том, чтобы ускорить и упорядочить информационные потоки между функциональными уровнями и слоями этой системы и представить руководству компании лишь самую необходимую, достоверную и структурированную в удобной для принятия решения форме информацию. Критичная для производства и бизнеса информация должна быть доступной, целостной и конфиденциальной. Отсюда нетрудно сделать вывод, что ключевой бизнес-задачей корпоративной системы ИБ является обеспечение гарантий достоверности информации, или, говоря другими словами, гарантий доверительности информационного сервиса.

На предыдущем форуме в работе [1] мы определили место системы управления информационной безопасностью ISO 27001 в общей архитектуре менеджмента предприятием (ISO 9001, ISO 14001, ISO 15000, ITIL и др.). Учитывая огромное значение и влияние на современное производство стандарта управления качеством ISO 9001, произведём сопоставление требований регуляторов управления качеством с соответствующими показателями (регуляторами)  стандарта управления информационной безопасностью ISO 27001 (см. табл.1).

Таблица 1. Сравнение содержания стандартов ISO 27001и ISO 9001

Разделы ISO 27001 Разделы ISO 9001, в части ИБ
Введение  Введение 
1. Границы применимости  1. Границы применимости 
2. Нормативные ссылки 2. Нормативные ссылки
3. Термины и определения 3. Термины и определения
3.1. Доступность
3.2. Конфиденциальность
3.3. Информационная безопасность
3.4. Система управления режимом информационной безопасности
3.5. Целостность
3.6. Принятие рисков
3.7. Анализ рисков
3.8. Оценка рисков
3.9. Определение рисков
3.10. Управление рисками
3.11. Действия по уменьшению рисков
3.12. Ведомость соответствия
4. Управление информационной безопасностью 4. Требования к системе управления качеством (QMS)
4.1. Общие требования 4.1. Общие требования
4.2. Создание и организация системы управления режимом информационной безопасности
4.2.1. Создание системы управления режимом информационной безопасности
4.2.2. Средства и действия в рамках системы управления режимом информационной безопасности
4.2.3. Отслеживание событий в системе управления режимом информационной безопасности
4.2.4. Обслуживание и модернизация системы управления режимом информационной безопасности
4.3. Документирование требований 4.2. Документирование требований
4.3.1. Общие требования 4.2.1. Общие требования
4.3.2. Управление документами 4.2.3. Управление документами
4.3.3. Управление записями 4.2.4. Управление записями
5. Распределение обязанностей персонала 5. Распределение обязанностей персонала
5.1. Передача полномочий 5.1. Передача полномочий
5.2. Управление ресурсами 5.2. Управление ресурсами
6. Управление процедурой пересмотра некоторых положений 6. Управление процедурой пересмотра некоторых положений
6.1. Общие положения 6.1. Общие положения  
6.2. Пересмотр входа 6.2. Пересмотр входа
6.3. Пересмотр выхода 6.3. Пересмотр выхода
6.4. Внешний аудит 6.4. Внешний аудит
7. Модернизация системы управления режимом информационной безопасности
7.1. Непрерывная модернизация
7.2. Корректирующие действия
7.3. Превентивные действия
Приложение А Цели управления и средства управления
А1. Введение
А2. Обзор передового опыта
A3. Политика безопасности
А4. Организационные аспекты безопасности
А5. Классификация ресурсов и управляющих воздействий
А6. Безопасность персонала
А7. Безопасность инфраструктуры и физическая безопасность
А8. Управление коммуникациями и процессами
А9. Управление доступом
А10. Развитие системы и обслуживание
А11. Обеспечение бесперебойной работы
А12. Технические требования
Приложение В
Руководство по использованию стандарта
Приложение С Приложение А
Соответствие между ISO 9001:2000, ISO14001:1996 и BS7799 part 2:2002 Связь между ISO 14001 и ISO 9001

Сравнительный анализ показывает, что в обеих стандартах прослеживается концептуальное единство регуляторов управления качеством и информационной безопасностью производства и это даёт предпосылки для выстраивания сквозной процедуры аттестации (сертификации) производства одновременно как по показателям качества, так и гарантии обеспечения непрерывности основных бизнес-процессов на основе доверительности информационного сервиса.

Литература

1. Артамонов В.А. Информационная безопасность в системе управления современным предприятием // Комплексная защита информации: Материалы XIV Междунар. науч.- практ. конф., Могилёв (Беларусь), 19-22 мая 2009 г. – Минск, 2009. – с. 17-18.





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

Нет комментариев

Еще нет комментариев.

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.