4-го квітня експертка з інформаційної безпеки «Бюро Верітас Україна» Олена Подчасова відвідала бізнес-сніданок, організований ТОВ «Юридична компанія «Ейч.Ді.Партнерз», де розповіла про стандарт, який корисно знати спеціалістам з ІБ. Tvoemisto.tv пропонує основні тези з виступу.
 
фото: соцмережі

ФОТО: СОЦМЕРЕЖІ
 


Для чого потрібен захист інформації?
 

Останнім часом про кібербезпеку йдеться дуже багато. Преценденти витоку інформації із великих світових компаній говорять самі за себе: у Yahoo вкрали дані 1 млрд користувачів, витік банківських даних з онлайн-магазину Acer, оприлюднення 1,7 млн дипломатичних документів розвідслужб США на Wikileaks і т. д.
 

Загрози, що виникають через відсутність відповідного захисту інформації, можуть бути звичайними крадіжками даних, шахрайством, а можуть – шпіонажем чи тероризмом.
 

Основним джерелом витоку інформації в Україні минулого року був інтернет (33%). На переносні накопичувачі припало 19% усіх витоків інформації, на неелектронні носії – 12%. Через корпоративний e-mail «втекло» 11% даних, 25% – втратили з інших причин.
 

Головна мета стандарту з інформаційної безпеки – еволюція від окремих елементів безпеки до цільної стратегії менеджменту, яка дозволить отримати розуміння бізнесу в цілому.
 

Чому потрібен стандарт з інформаційної безпеки?
 

Організація може сама розробити правила захисту, аби запобігти загрозам власній інформаційній безпеці. При цьому треба врахувати, що, коли компанія, наприклад, заборонить використання переносних накопичувачів інформації, забезпечивши в такий спосіб фізичний захист, то це передбачатиме наявність чітких правил та обмежень, яких необхідно буде дотримуватись.
 

Якщо ж компанія спробує захистити лише неелектронні носії і до паперових документів буде обмежений доступ, то слід буде організувати їхнє відповідне зберігання. Це не є чимось особливо новим, але окремі заходи, які впроваджуватиме та чи інша компанія, можуть забезпечити захист лише частково. Вони, по-перше, не дають повного розуміння єдиної системи, а, по-друге, їх важко поєднати. Тут, безумовно, потрібен системний підхід, який і передбачає стандарт.  
 

Якими є передумови впровадження системи менеджменту інформаційної безпеки?
 

СМІБ впроваджують за наявності відповідного законодавства (для деяких сфер), відсутності повної картини про стан інформаційної безпеки та аналізу збірних подій з ІБ, вразливості критичних бізнес-процесів та їхньої доступності для кіберзлочинців, а також збільшення кількості інцидентів, що псують імідж компанії.
 

Система менеджменту підприємства передбачає і корпоративні стандарти управління: якістю, інформаційною безпекою, зовнішнім середовищем і т.д.
 

Має бути лише одна загальна система менеджменту компанії – їх не може бути кілька. Інтегрована будь-яка інша система чи ні, вона все одно має об'єднуватись в загальну систему – єдину для всієї організації. 
 

Чим особливий стандарт з інформаційної безпеки?
 

Стандарт 27001 – єдиний стандарт, за яким можлива сертифікація. Він передбачає два основних принципи управління: процесний підхід до управління безпекою та застосування моделі PDCA, або, як ще її називають, циклу Шухарта-Демінга. Цикл PDCA – модель безперервного поліпшення процесів: плануй (Plan), роби (Do), перевіряй (Check) та впливай (Act). 
 

Як зауважив по закінченню зустрічі керуючий партнер ТОВ «Юридична компанія «Ейч.Ді.Партнерз» Володимир Глащенков, структурованість процесів і заточеність компаній на використання сучасних технологій підвищує їхню конкурентоспроможність і водночас створює велику кількість ризиків.
 

«Вибудовуючи такі системи, потрібно розуміти, що над ними особливо багато слід працювати з точки зору безпеки. Щоб не вийшло так, що інформація, яку оцифрували та створили цілу систему для її захисту, в результаті є у відкритому доступі. Впроваджувати стандарти та організовувати роботу потрібно так, щоб інструменти захисту інформації лише допомагали бізнесу ставати конкурентнішим та розвиватися», – зазначив Володимир Глащенков.
 

Довідка. Стандарт 27001 – стандарт інформаційної безпеки, який визначає ступінь якості захисту інформації. Розроблений спільно Міжнародною організацією зі стандартизації та Міжнародною електротехнічною комісією. Стандарт містить вимоги в області інформаційної безпеки для створення, розвитку та підтримки Системи менеджменту інформаційної безпеки (СМІБ).

Стандарт, который полезно знать специалистам по ИБ(pdf, 823 Kb)


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Контакти

ТОВ Юридична компанія "Ейч.Ді.Партнерз" 
Львів      Україна

Телефонуйте + 38 050 317 42 05