№ 5 сентябрь-октябрь 2007 г. Тема номера: SOA И ЗАЩИТА ОТ НСД
		УПРАВЛЕНИЕ РИСКАМИ ИТ-БЕЗОПАСНОСТИ: SOA 404 С. А. Петренко, А. В. Беляев

Выполнение требований закона Сарбейнса–Оксли (SOA 404) подразумевает внедрение в корпоративные системы управления и контроля финансовой отчетности процесса управления рисками ИТ-безопасности. Однако однозначных рекомендаций по выбору надлежащей методики управления рисками (оценивания рисков) в законе нет. На практике отечественные CISO вынуждены обращаться к лучшей международной практике управления рисками ИТ-безопасности и выбирать подходящие им методики. Какие методики управления рисками ИТ-безопасности наиболее известны и апробированы? Ответ на этот вопрос мы попытаемся дать в этой статье.

Темпы развития информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. При этом решение вопроса о разработке системы внутреннего контроля на современном предприятии обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям отечественных стандартов (ГОСТ 51583-00 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования». ГОСТ Р 51624-00 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования») и руководящих документов ФСТЭК России, приходится использовать (адаптировать) ряд международных стандартов и рекомендаций. Рассмотрим современную мировую ситуацию в области нормативных документов по управлению информационными рисками.

Подход к процессу защиты информации на предприятии с позиций управления рисками сложился сравнительно недавно. В нем участвовали движущие силы, направленные со стороны двух наиболее зрелых групп нормативных актов:

• стандартов и рекомендаций управления рисками на предприятии в целом (здесь расположена большая группа стандартов, среди которой явно выделяется получивший широкое распространение австралийский стандарт AS/NZS 4360, во-первых, из-за широкого применения на практике, а во-вторых, из-за того, что сразу несколько сопутствующих и развивающих его документов – HandBook 231 «Information security risk management guidelines», HandBook 240 «Guidelines for managing risk in outsourcing» и «Information Security Risk Management Guideline for NSW Goverment» напрямую связаны с управлением рисками в информационных технологиях);
• рекомендаций и стандартов по управлению информационной безопасностью, не ориентированных специально на управление рисками (стандарты ISO 13335, ГОСТ Р ИСО/МЭК 15408, ГОСТ Р ИСО/ МЭК 17799, ГОСТ Р ИСО/МЭК 27001, рекомендации CoBIT «Цели управления в информационных и смежных технологиях» и др.).

В результате эти движущие силы породили несколько национальных рекомендаций и стандартов, которые и будут объектом нашего внимания в настоящей статье.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru