Информационная безопасность является важнейшей областью интереса для организации, т.к. она представляет значительную часть деловых отношений, важную с точки зрения конкурентоспособности. В этом смысле управление информационной безопасностью полностью аналогично многим другим специализированным областям, которые являются значимыми для эффективного ведения бизнеса. Во многих областях деловой среды полезно внедрять систему управления информационной безопасностью, так как это дает преимущество, используя установленные и признанные подходы и лучшие практики управления проектами. Лучшими стандартами по внедрению, мониторингу и разработке таких систем являются стандарты ISO (Международная организация по стандартизации). Необходимо уделить внимание стандартам серии ISO 27000, в которых описаны лучшие практики по внедрению системы менеджмента информационной безопасности.
В соответствии с общим определением менеджмента менеджмент информационной безопасности может быть определен как скоординированная деятельность по руководству и управлению проектами в отношении информационной безопасности. Это означает, что управление информационной безопасностью является обязанностью руководителей бизнеса.
Интеграция системы управления информационной безопасностью. Информационная безопасность в организации эффективна, только если она реализуется как неотъемлемый элемент бизнес-стратегии и операций организации. В этом и заключается суть интеграции.
Интеграция означает, что система управления информационной безопасностью должна быть реализована в качестве основной части общего руководства бизнеса и системы управления. На самом деле, управление информационной безопасностью распространяется на все управление бизнесом в целом, в связи с этим все решения и меры, сделанные топ-менеджментом (в независимости от того, будут ли они приняты или нет) , имеют прямое или косвенное, положительное или отрицательное влияние. [1]
Значимость процесса управления проектами и его отношения к информационной безопасности.
При интегрировании практики информационной безопасности крайне важно понять проблемы информационной безопасности в контексте бизнес-процессов. Существует множество признанных принципов и практик, как управлять бизнес-процессами. Эксперты по информационной безопасности должны использовать эти возможности для развития управления безопасностью организации.
Менеджмент информационной безопасности аналогичен менеджменту качества. Стандартизированные принципы и практика управления качеством оказывают влияние во всех сферах организации, в том числе и в сфере управления информационной безопасностью. Опыт, накопленный в менеджменте качества, предоставляет широкие возможности для использования его в области информационной безопасности.
Международный стандарт информационной безопасности.
ISO/IEC 2700x — серия международных стандартов, содержащая стандарты по информационной безопасности. Эта серия включает лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания системы менеджмента информационной безопасности. Стандарт определяет информационную безопасность как «сохранение конфиденциальности, целостности и доступности информации». Стандарт содержит руководство как по внедрению системы менеджмента информационной безопасности, так и по получению сертификата третьей стороны, свидетельствующего о том, что средства управления безопасностью существуют и функционируют в соответствии с требованиями этого стандарта. Стандарт описывает систему менеджмента информационной безопасности как всеохватывающую систему менеджмента, построенную на принципах бизнес-рисков, для внедрения, эксплуатации, мониторинга и поддержки системы управления безопасностью. [2]
Известна общая модель непрерывного улучшения процессов Plan-Do-Check-Act (PDCA), получившая название цикла Деминга-Шухарта. Эта модель показывает последовательное управление, состоящее из четырех следующих друг за другом мероприятий: -Р: Планирование предпринимательской деятельности (цели и результаты); -D: внедрение процессов; -С: Проверка соответствия полученных результатов поставленным целям; -А: Действия по улучшению показателей процессов. В организационной среде модель PDCA может и должна быть применена в различных областях. Цикл Деминга-Шухарта заложен в основу модели организации системы менеджмента информационной безопасности стандарта ISO/IEC 27001:2005. [3]
Информационная безопасность становится важной частью управления проектами и процессами. Требования к последовательной организации управления и обеспечения информационной безопасности становятся многомерными и сложными. Для того, чтобы увеличить влияние на развитие управления проектами должны быть неразрывны связи между ответственностью информационной безопасности и связанных с ними действий управления бизнесом. Эти фактические требования должны включать в себя:
стратегическое управление и эффективность организации в целом;
оперативное управление бизнес-процессами;
положительное развитие в информированности безопасности и навыков сотрудников.
Литература:
- Michael E. Whitman, Herbert J. Mattord. Principles of Information Security, 4th Edition. Course Technology, Cengage Learning — 2012. — 41–42 с.
- Обзор ИСО. 2012 г. [Электронный ресурс]. The ISO Survey. URL: http://iso.org/iso/ru/home/standards/certification/iso-survey.htm.
- ISO. 2013. ISO/IEC 27001 — Information security management. Accessed 11 April 2014. [Электронный ресурс]. http://www.iso.org/iso/home/standards/management-standards/iso27001.htm