Открыть сервис

Система менеджмента информационной безопасности

Система менеджмента информационной безопасности (СМИБ, англ. Information Security Management System, ISMS) — это совокупность политик, процедур, процессов, организационных структур и технических мер, направленных на планирование, реализацию, мониторинг, анализ и постоянное улучшение управления информационной безопасностью в организации. СМИБ представляет собой системный подход к защите конфиденциальности, целостности и доступности информации, а также других свойств, таких как аутентичность, неотказуемость и подотчётность. Основной целью СМИБ является минимизация рисков, связанных с информационными активами, и обеспечение соответствия требованиям законодательства, нормативных документов и бизнес-целей.

История и развитие

Концепция СМИБ возникла в конце XX века как ответ на рост информационных технологий и увеличение числа угроз для данных. Первые стандарты в области управления информационной безопасностью были разработаны в Великобритании: в 1995 году вышел стандарт BS 7799, который впоследствии стал основой для международного стандарта ISO/IEC 27001. В 2000 году ISO/IEC 27001 был принят Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). С тех пор стандарт неоднократно пересматривался; актуальная версия — ISO/IEC 27001:2022.

В России развитие СМИБ регулируется национальными стандартами, в частности ГОСТ Р ИСО/МЭК 27001-2021, который является аутентичным переводом международного стандарта. Также действуют методические документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и других регуляторов, например, требования к защите информации в государственных информационных системах.

Основные принципы

СМИБ базируется на нескольких ключевых принципах, которые обеспечивают её эффективность:

Структура и компоненты

СМИБ включает несколько взаимосвязанных компонентов, которые можно разделить на организационные, процедурные и технические.

Организационные компоненты

Процедурные компоненты

Технические компоненты

Цикл PDCA в СМИБ

Модель PDCA является основой для функционирования СМИБ. Она включает четыре этапа:

  1. Планирование (Plan): определение политики, целей, процессов и процедур, связанных с управлением рисками и обеспечением безопасности. На этом этапе проводится оценка рисков и разрабатывается план обработки рисков.
  2. Выполнение (Do): внедрение и эксплуатация политик, процедур и средств защиты. Сюда входит обучение персонала, настройка технических средств и выполнение запланированных мероприятий.
  3. Проверка (Check): мониторинг и измерение эффективности СМИБ. Проводятся внутренние аудиты, анализ инцидентов и оценка достижения целей.
  4. Действие (Act): корректирующие и предупреждающие действия на основе результатов проверки. Вносятся изменения в политики и процедуры для постоянного улучшения.

Стандарты и нормативные документы

Основным международным стандартом для СМИБ является ISO/IEC 27001. Он устанавливает требования к созданию, внедрению, поддержанию и улучшению СМИБ. Стандарт включает приложение A, содержащее перечень мер контроля (контролей), сгруппированных по 14 доменам, например:

В России действует ГОСТ Р ИСО/МЭК 27001-2021, который полностью соответствует международному стандарту. Дополнительно применяются нормативные акты ФСТЭК России, например, «Требования к системам защиты информации государственных информационных систем» (приказ ФСТЭК № 17) и «Методика оценки угроз безопасности информации» (приказ ФСТЭК № 31).

Внедрение СМИБ

Процесс внедрения СМИБ в организации включает несколько этапов:

  1. Инициация: принятие решения руководством, назначение ответственных, определение области действия СМИБ.
  2. Оценка текущего состояния: анализ существующих мер безопасности, выявление пробелов.
  3. Оценка рисков: идентификация активов, угроз и уязвимостей, оценка вероятности и последствий.
  4. Разработка политик и процедур: создание документов, регламентирующих управление безопасностью.
  5. Внедрение мер контроля: установка технических средств, обучение персонала, реализация организационных мер.
  6. Мониторинг и аудит: регулярные проверки, сбор метрик, анализ эффективности.
  7. Сертификация: при необходимости — прохождение независимого аудита для получения сертификата соответствия ISO/IEC 27001.

Преимущества и критика

Преимущества

Критика

Примеры применения

СМИБ широко используется в различных отраслях. В банковском секторе России внедрение СМИБ обязательно для кредитных организаций в соответствии с требованиями Банка России (стандарт СТО БР ИББС). В государственных информационных системах СМИБ строится на основе требований ФСТЭК России. В международных компаниях сертификация по ISO/IEC 27001 часто является обязательным условием для участия в тендерах и заключения контрактов.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →