Защита информации согласно международному стандарту ISO/IEC 27002: Информация (information) — это актив, который, подобно другим значимым активам бизнеса, важен для ведения дела организации и, следовательно, необходимо, чтобы он соответствующим образом защищался. Это особенно важно во все больше и больше взаимосвязанной среде бизнеса. В результате этой возрастающей взаимосвязанности, информация в настоящее время подвергается воздействию возрастающего числа и растущего разнообразия угроз и слабых места в системе защиты [3].
«Защита информации (information security) — это охрана информации от большого разнообразия угроз, осуществляемая с целью обеспечить непрерывность бизнеса, минимизировать деловые риски и максимизировать возврат по инвестициям и возможности деловой деятельности» [3].
Для гарантии безопасности передаваемой информации в современных системах применяются разнообразные средства управления. Эти средства включают политику безопасности, различные процессы, процедуры, организационные структуры, а также программные и аппаратные функции, и все эти элементы управления непрерывно создаются, внедряются, контролируются, анализируются. Также по мере необходимости происходит их усовершенствование. Важно отметить, что основная цель заключается в обеспечении безопасности информации и бизнес-процессов. Все это должно осуществляться с учетом правовых требований организации.
Согласно международному стандарту ISO/IEC 27002, информационная безопасность обеспечивает конфиденциальность, целостность и доступность информации. В дополнение к этому, стандарт также придает большое значение аутентичности, отчетности, отказоустойчивости и надежности [3].
Конфиденциальность (confidence) — свойство, обеспечивающее недоступность и закрытость информации для неавторизованных индивидов, субъектов или процессов [2].
«Конфиденциальная информация (confidential information) — информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем» [2].
«Доступность (availability) — свойство быть доступным и используемым по требованию авторизованного субъекта» [2].
«Целостность (integrity) — свойство сохранения точности и полноты активов» [2].
«Информационная безопасность (information security) — обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надёжность» [2].
«Риск (risk) — комбинация вероятности события и его последствий» [4].
«Анализ риска (risk analysis) — систематическое использование информации для выявления источников и для оценки степени риска» [4].
«Угроза (threat) — возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации» [1].
«Слабое место (vulnerability) — слабость актива или группы активов, которой могут воспользоваться одна угроза или более» [1].
В соответствии с требованиями ГОСТ Р 53114–2008, процесс оценки информационной безопасности (ИБ) в организации является комплексным. Он включает в себя идентификацию, анализ и определение приемлемого уровня рисков ИБ. Идентификация рисков включает обнаружение, распознавание и описание возможных рисков, а также источников, событий и причин, связанных с ними, и потенциальных последствий. В процессе использование статистических данных, теоретического анализа, экспертных мнений и точек зрения заинтересованных сторон является возможным.
Согласно стандарту ГОСТ Р ИСО/МЭК 27001–2006, который касается систем управления информационной безопасностью, статья 3.11 гласит о том, что анализ рисков представляет собой систематическое использование информации с целью выявления и определения источников возможных угроз и последующей количественной оценки этих рисков.
Аудит информационной безопасности в организации, по определению, является систематическим, независимым и документированным процессом сбора доказательств о деятельности организации в области обеспечения информационной безопасности, а также оценки соответствия организационным критериям информационной безопасности. Такой аудит также предоставляет возможность формирования профессионального мнения аудитора о текущем состоянии информационной безопасности в организации. К организационным критериям информационной безопасности относятся показатели, на основе которых осуществляется оценка достижения целей информационной безопасности в организации.
В настоящее время специалисты широко применяют разнообразные определения аудита информационной безопасности. Среди них наиболее распространено следующее: аудит информационной безопасности (audit of information security) — это процесс выявления показателей качества и количества, касающихся безопасности организаций в сети в соответствии с установленными нормами и средствами обеспечения безопасности.
Литература:
- SO/IEC 13335–1:2004. Information technology. Security techniques. Management of information and communications technology security. Part 1: Concepts and models for information and communications technology security management.
- ISO/IEC 27001:2005(E) Information technology — Security techniques Information security management systems — Requirements.
- ISO/IEC 27002:2013’’Информационные технологии. Методы обеспечения безопасности. Свод правил по управлению защитой информации» (Information technology — Security techniques — Code of practice for information security controls).
- ISO/IEC Guide 73:2002. Risk management. Vocabulary. Guidelines for use in standards.