Управление рисками на различных стадиях жизненного цикла информационной технологии

В последнее время в разных технологически развитых странах появилось новое поколение стандартов информационной безопасности, посвященных практическим вопросам организации режима ИБ на предприятии. Это прежде всего международные и национальные стандарты оценки информационной безопасности и управления ею - ISO 15408, ISO 17799 (BS7799), BSI; стандарты аудита, отражающие вопросы информационной безопасности, - COBIT, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствии с этими стандартами организация режима ИБ в любой компании предполагает следующее.

Во-первых, определение целей обеспечения информационной безопасности компании.

Во-вторых, создание эффективной системы управления информационной безопасностью.

В-третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям.

В-четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния.

В-пятых, использование методик (с понятной системой критериев и мер обеспечения информационной безопасности) в процессе анализа рисков и управления ими, позволяющих объективно оценить текущее состояние дел.

Новое поколение стандартов отличается как от предыдущих, так и от основных документов Гостехкомиссии России 1992-1998 гг. большей формализацией технологии организации режима ИБ и детальным комплексным учетом измеримых показателей информационной безопасности компании. Комплексный учет показателей предполагает и комплексный подход к организации режима ИБ, когда проверяется на соответствие определенным правилам, контролируется и поддерживается не только программно-техническая составляющая информационной безопасности КИС, но и организационно-административные меры по ее обеспечению.

Наличие системы управления информационной безопасностью (Information Security Management), и в частности анализа информационных рисков и управления ими (Risk Management), является обязательным условием организации режима ИБ на предприятии. Предприятия, начиная с рассмотренного в первой главе третьего уровня зрелости, применяют какой-либо вариант системы управления рисками. Многие зарубежные национальные институты стандартов и организации, специализирующиеся в решении комплексных проблем информационной безопасности, предложили похожие концепции управления информационными рисками. Рассмотрим концепции Британского стандарта BS 7799 (ISO 17799), Германского стандарта BSI, стандарта США NIST, а также ряда других аналогичных стандартов различных ведомств и организаций.