Вопросы по информационной безопасности поднимаются достаточно давно и опасности, с которыми сталкивается организация в этой сфере, давно известны. Тем не менее, безопасность корпоративной информации часто игнорируется, а данные не обрабатываются с необходимой тщательностью и дальновидностью. Когда это сопряжено с последствиями кражи данных и тому подобного, не каждая организация разрабатывает необходимые меры в полном объеме. Многие уклоняются от усилий, которые нужны для эффективной защиты корпоративной информации. Есть подходы к решению этой проблемы.

Многим организациям не нужно внедрять полноценную систему управления информационной безопасностью, по крайней мере, не все элементы сразу.

Есть возможность приблизиться к этому пошаговому этапу. Например, компании, уже использующие систему управления качеством ISO 9001, могут начать с простого обновления своего реестра рисков с учетом рисков по ISO 27001.

Здесь важно отметить, что, хотя стандарт ISO 9001:2015 требует подхода, основанного на оценке риска, который выходит за рамки отдельных стандартов, по большей части вопрос о том, КАК его реализовать, остается за каждой организацией. Например, нет необходимости в отдельном процессе оценки риска, что, конечно, недостаточно, когда речь заходит об информационной безопасности.

С этой целью мы можем просто расширить оценку рисков СМК, включив в нее тему информационной безопасности. Большинство из этих аспектов могут быть реализованы с разумными усилиями теми, кто знаком с ISO 9001, так как это только первый шаг в направлении комплексной защиты информации.

Управление рисками и возможностями

Как и ISO 9001, ISO 27001 затрагивает соответствующие темы в главе 6.1 «Действия в отношении рисков и возможностей». По сути, существует три важных аспекта для обеспечения безопасности: обеспечение ожидаемого результата (ов) организации; предотвращение или уменьшение нежелательных эффектов и постоянное улучшение.

Что касается информационной безопасности, важны следующие ключевые вопросы: потеря конфиденциальности, целостности и доступности. Поэтому в главе 6.1.1 в норме перечислены следующие требования:

• Определите риски и возможности
• Запланируйте действия по рассмотрению выявленных рисков и возможностей
• Планируйте интеграцию и реализацию действий в процессах организации.

Последующие две главы стандарта требуют определения и применения процесса соответственно. В главе 6.1.2 это требуется для оценки риска информационной безопасности, когда процесс должен установить и поддерживать критерии для этого риска, включая принятие риска (a.1) и проведение оценки рисков информационной безопасности (a.2). Процесс должен обеспечить, чтобы «повторные оценки давали согласованные, действительные и сопоставимые результаты» (b.1). На первом этапе основное внимание должно быть уделено выявлению, анализу и оценке информации о рисках безопасности.

Затем в главе 6.1.3 требуется определение и применение процесса для устранения рисков информационной безопасности. Этот процесс разработан для обеспечения того, что:

• Выбраны соответствующие варианты для устранения информационных угроз безопасности; учтены результаты оценки рисков;
• Все меры / средства управления, необходимые для реализации выбранной опции, определены;
• Проведено сравнение выбранных мер / контролей с теми, которые содержатся в Приложении A
• Создано заявления о применимости со ссылкой на (не) включение мер контроля / мер из приложения A (d);
• Сформулирован план по обеспечению информационной безопасности
• План утвержден и принят владельцами рисков.

Какой подход выбрать?

Несмотря на то, что ISO 27001 требует двух отдельных процессов для оценки и обработки рисков информационной безопасности, вначале они могут быть сведены в один процесс, который расширяет оценку рисков СМК, чтобы включить аспекты информационной безопасности. Степень, в которой такой процесс будет отвечать отдельным требованиям, напрямую зависит от сложности информационной среды каждой организации. Но в любом случае, эффективность такого процесса должна проверяться во время внешнего предварительного аудита или во время регулярного аудита ISO 9001.

Каковы преимущества?

Любой процесс, в котором подробно рассматриваются риски информационной безопасности, является важным первым шагом на пути к всеобъемлющей Системе менеджмента информационной безопасности, например, в соответствии с ISO 27001. Внедряя такой процесс, организация способствует повышению осведомленности об информационной безопасности на всех уровнях.

Целевой анализ информационной безопасности предоставляет организации возможности для выявления потребностей в действиях и принятия соответствующих мер (на основе ISO 27001, Приложение A).

Добавление информационной безопасности к оценке рисков организации усиливает подход, основанный на оценке рисков, во всех отношениях.