ГОСТ Р ИСО/МЭК 27000-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

4.4 Важность внедрения СМИБ

 

В рамках СМИБ организация должна выявить риски, связанные со своими информационными активами. Чтобы обеспечить ИБ, необходимо управлять рисками и учитывать относящиеся к угрозам физические, человеческие и технологические риски, применимые к любым формам информации внутри организации или используемые ею.

Внедрение СМИБ является стратегическим решением для организации. Необходимо сделать эту систему неотъемлемой частью организационной структуры организации, постоянно оценивать и обновлять в соответствии с текущими потребностями.

На разработку и внедрение СМИБ влияют задачи, цели, размер и структура организации, требования безопасности и используемые бизнес-процессы. Разработка и функционирование СМИБ должны отражать интересы и требования ИБ всех заинтересованных сторон организации, включая клиентов, поставщиков, деловых партнеров, акционеров и других третьих лиц.

Во взаимосвязанном мире информация и относящиеся к ней процессы, системы и сети составляют критически важные бизнес-активы. Организации, а также их информационные системы и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, а также пожар и наводнение. Повреждения информационных систем и сетей, вызванные вредоносным кодом, действиями хакеров и компьютерных атак типа "отказ в обслуживании", становятся более распространенными и более масштабными, а сами компьютерные атаки - все более изощренными.

СМИБ имеет огромную важность как для государственного, так и для частного секторов бизнеса. В любой отрасли СМИБ является фактором, способствующим поддержке электронного бизнеса, а также важным компонентом мероприятий по управлению рисками. Взаимодействие общедоступных и частных сетей, а также совместное использование информационных активов повышают сложность управления доступом к информации и ее обработкой. Кроме того, широкое использование мобильных устройств хранения данных, на которые записываются информационные активы, способно ослабить эффективность традиционных средств управления. Когда организация внедряет семейство стандартов СМИБ, она может продемонстрировать деловым партнерам и другим заинтересованным сторонам свою способность последовательно применять широко известные принципы ИБ.

При проектировании и разработке информационных систем не всегда учитываются аспекты ИБ. Кроме того, ИБ зачастую считают сугубо технической задачей. Однако уровень безопасности, достигаемый с помощью технических средств, недостаточно высок. Подобная защита может быть неэффективной, не будучи поддерживаемой соответствующими мерами обеспечения ИБ и процедурами в контексте СМИБ. Последующее встраивание системы безопасности в информационную систему бывает трудным и дорогостоящим. СМИБ включает в себя идентификацию имеющихся мер обеспечения ИБ и требует тщательного планирования и внимания к деталям. Например, средства управления доступом, которые могут быть техническими (логическими), физическими, административными (организационными) или их комбинацией, гарантируют, что доступ к информационным активам разрешен, но ограничен на основании потребностей бизнеса и требований безопасности.

Внедрение СМИБ имеет большое значение для защиты информационных активов, позволяя организации:

a) повысить гарантии того, что ее информационные активы в достаточной мере и на постоянной основе защищены от угроз ИБ;

b) поддерживать структурированную и всестороннюю систему идентификации и оценки угроз ИБ, выбора и применения соответствующих мер обеспечения ИБ, измерения и улучшения их эффективности;

c) непрерывно улучшать среду средств управления;

d) обеспечивать соответствие нормативным и регулятивным требованиям.