Интервью с С. М. Бобровским Печать

Интервью с кандидатом технических наук, доцентом, экспертом Премии Правительства РФ в области качества Бобровским Сергеем Михайловичем на тему: «Стандарты информационной безопасности».

В Доктрине информационной безопасности Российской Федерации термин информационная безопасность используется в широком смысле. Имеется в виду «состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства».

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

К принципам обеспечения информационной безопасности можно отнести:

    • законность,
    • баланс интересов личности, общества и государства,
    • комплексность,
    • системность,
    • интеграцию с международными системами безопасности,
    • экономическую эффективность и т. д.

Стандарты ISO
ISO/IEC 27000:2009 Information technology. Security techniques. Information security management systems. Overview and vocabulary (Определения и основные принципы). Выпущен в июле 2009 г.

ISO/IEC 27001:2005  /BS 7799–2:2005 Information technology. Security techniques. Information security management systems. Requirements Информационные технологии (Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования). Выпущен в октябре 2005 г.

ISO/IEC 27002:2005, BS 7799–1:2005,BS ISO/IEC 17799:2005 Information technology. Security techniques. Code of practice for information security management (Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью). Выпущен в июне 2005 г.

ISO/IEC 27003:2010  Information Technology — Security Techniques — Information Security Management Systems Implementation Guidance (Руководство по внедрению системы управления информационной безопасностью). Выпущен в январе 2010 г.

Международный стандарт ISO/IEC 27001:2005 предназначен для разработки системы управления информационной безопасностью организации вне зависимости от ее сферы деятельности. Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы управления информационной безопасностью.

Требования стандарта имеют общий характер и могут быть применимы ко всем организациям независимо от их типа, размера, формы собственности.

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».


Конфиденциальностьобеспечение доступа к информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
Целостностьобеспечение  достоверности и полноты информации, а также методов ее обработки.
Доступностьобеспечение доступа к информации и связанным с ней активам авторизированным пользователям, по мере необходимости.

В основе любого планирования мероприятий по ИБ должна лежать оценка рисков. Оценка рисков служит тем фундаментом, на котором построена вся структура мероприятий.ISO 27001 обеспечивает механизм для управления рисками компании.

Стандарт ISO 27001 декларирует два основных принципа управления:

1. Процессный подход к управлению безопасностью. Процессный подход рассматривает систему управления как структуру взаимосвязанных процессов.

2. Применение цикла PDCA как основа для всех процедур управления ИБ. Цикл PDCA (или модель Шухарта-Деминга) определяет четыре этапа, которые последовательно должны выполняться при руководстве и совершенствовании процессов.

Положения стандарта описывают такие аспекты, как:

    • Политика безопасности.
    • Организационные методы обеспечения   информационной безопасности.
    • Управление ресурсами (активы).
    • Пользователи информационной системы.
    • Физическая безопасность.
    • Управление коммуникациями и процессами.
    • Управление доступом.
    • Приобретение, разработка и сопровождение информационных систем.
    • Управление инцидентами информационной безопасности.
    • Управление непрерывностью бизнеса.

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001 и ISO 14001 и базируется на их основных принципах.

Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:

    • Сделать большинство информационных активов наиболее понятными для менеджмента компании
    • Выявлять основные угрозы безопасности для существующих бизнес-процессов
    • Рассчитывать риски и принимать решения на основе бизнес-целей компании
    • Обеспечить эффективное управление системой в критичных ситуациях
    • Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности).
    • Четко определить личную ответственность.
    • Достигнуть снижения и оптимизации стоимости поддержки системы безопасности.
    • Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001.
    • Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности.
    • Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках.
    • Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту.