Верхнее меню

Эволюция международных стандартов качества в сфере безопасности информации

Evolution of International Quality Standards in Safety of Information



В.И. Гусев
V.I. Gusev
vi.gusev@mail.ru
доцент кафедры экономики и управления в связи Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича, кандидат экономических наук
senior lecturer, the Department of Economics and Management in Communications, Bonch-Bruevich St. Petersburg State University of Telecommunications, PhD in Economics
г. Санкт-Петербург
Saint-Petersburg

Ключевые слова:

  • качество услуг
  • безопасность информации
  • международные стандарты
  • гармонизация стандартов
  • Keywords:

  • quality of service
  • safety of information
  • international standards
  • harmonization of standards
  • Исследуется развитие и показывается необходимость дальнейшего совершенствования международных стандартов качества в сфере безопасности информации. Прослеживается их взаимосвязь с другими стандартами качества.

    We research the evolution and show the need to further improve the international quality standards in the sphere of the safety of information. Their correlation with other quality standards is studied.

    Обзор статьи

    Оценивая качество информационных услуг, следует руководствоваться соблюдением международных стандартов серии ISO 9000, а также учитывать специфические отраслевые стандарты в области информационных технологий (IT).
    Практические результаты оказания IT-услуг сведены в библиотеку ITIL, представляющую собой свод правил по организации процессов и процедур, обеспечивающих оказание IТ-услуг, в которых изложена методика управления IТ-инфраструктурой и предоставления и поддержки IТ-услуг, соответствующих бизнес-требованиям компаний [1].
    В середине 90-х годов прошлого века Британский институт стандартов (BSI) совместно с рядом других организаций создал стандарт BS 15000, регламентирующий порядок предоставления IТ-услуг и методологию организации сервиса в соответствии с бизнес-требованиями. Он определяет важнейшие процессы оказания информационно-телеком-муникационных услуг, взаимосвязь между этими процессами в зависимости от типов услуг, содержит общие направления разработки методов управления, необходимых для предоставления этих услуг.
    В 2005 г. Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) стандарт ВS 15000:2002 был преобразован в международный стандарт ISО/IЕС 20000-2:2005.
    В рамках ISO/IEC 20000 определены 13 важнейших процессов, собранных в пять основных групп: процессы оказания услуг (Service delivery process); процессы взаимоотношений (Relationship processes); процессы решения проблем (Resolution processes); процессы контроля (Control processes); процессы релиза (Release process).
    Кроме того, в этом стандарте содержатся требования к управлению документацией, компетенции, осведомленности и подготовке персонала, а также к мере ответственности руководителей компании, предоставляющей IT-услуги.
    Внедрение ISO 20000-2005 оказывается наиболее эффективным при наличии уже внедренной системы менеджмента качества на базе ISO 9001:2000 и системы информационной защиты, основанной на ISO/IEC 27001:2005.
    В условиях всеобщей информатизации общества защите информации должно придаваться особое значение. Недостаточное внимание к этому вопросу может привести к финансовым потерям и нанести ущерб коммерческим операциям компаний [3; 5]. Поэтому вопрос разработки системы управления информационной безопасностью и ее внедрения в организации является крайне важным.
    Основой стандартизации в сфере безопасности информации является международный стандарт ISO/IEC 27001:2005 «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования», разработанный на основе стандарта BS 7799. Этот стандарт представляет собой дополнение к стандарту ISO/IEС 17799:2005 «Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью».
    Защищённость информации и информационных ресурсов определяется стандартом как сохранение конфиденциальности (возможности пользоваться информацией только тем, кто уполномочен иметь к ней доступ), целостности (гарантии точности и полноты информации) и доступности (гарантии в том, что пользователи имеют доступ к информации и к ресурсам, с ней связанным) [4].
    Cтандарт ISO/IEC 17799:2005 позиционировался как руководство по внедрению, которое может использоваться при создании инструментов контроля, выбираемых организацией для уменьшения рисков информационной безопасности, а ISO/IEC 27001:2005 был разработан как перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации.
    В 2007 г. на смену ISO/IEC 17799 пришёл стандарт информационной безопасности ISO/IEC 27002, включающий лучшие практические советы по менеджменту информационной безопасности для организаций, отвечающих за создание, реализацию или обслуживание систем менеджмента информационной безопасности.
    Следует отметить, что стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001 и ISO 14001(стандартами по созданию системы экологического менеджмента) и базируется на их основных принципах [2]. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Таким образом, если организация уже имеет систему менеджмента качества в соответствии с ISO 9001 или ISO 14001, то возможно обеспечение выполнения требований стандарта ISO 27001 в рамках уже существующих систем. Таким образом, внедрение ISO 27001 на базе уже существующей СМК по ISO 9001 предполагает значительное снижение затрат предприятия на работы по внедрению и сертификации этого стандарта.
    Официальная сертификация системы управления информационной безопасностью проводится по стандарту ISO/IEC 27001. Сертификация на соответствие этому стандарту служит свидетельством для деловых партнеров, инвесторов и потребителей, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.
    Организации, прошедшие сертификацию на соответствие ISO 27001, отвечают и требованиям ISO 20000-1:2005 к процессам обеспечения информационной безопасности. А сертификация по ISO 9001 создает общую основу для развития всех процессов компании, влияющую на степень удовлетворенности потребителя.
    Широкое распространение и дальнейшее развитие стандартов серии ISO/IEC27001 продолжается благодаря их универсальности. Можно отметить, что суть этого стандарта заключается в возможности сделать выбор адекватных мер по защите активов компании от идентифицированных угроз в соответствии с их опасностью для бизнеса. Стандарт завоевывает все большую популярность, как в мировой корпоративной среде, так и на российском рынке информационной безопасности, а его требования не накладывают каких-либо технических ограничений на применяемое оборудование.

    Список использованной литературы

    1. Гусев В.И. Развитие стандартов качества информационных услуг // Национальные концепции качества: обеспечение устойчивого развития экономики: сб. материалов Международной научно-практической конференции, 29 сентября – 5 октября 2014 г. / под ред. проф. Е.А. Горбашко. СПб.: Культ-информ-пресс, 2014. С. 77–79.
    2. Макаров В.В. Методологические подходы к созданию интегрированной СМК в инфокоммуникациях // Век качества. 2011. № 6.
    3. Макаров В.В., Гусев В.И., Воронин А.Г. Методологическая парадигма исследования интеллектуального капитала в условиях информационного общества // Российский гуманитарный журнал. 2012. № 1. Т. 1. С. 78–83.
    4. Макаров В. В., Гусев В.И., Синица С.А. Методический подход к оценке информационных ресурсов // Информационные технологии и телекоммуникации. 2013. № 3(3). С. 72–78.
    5. Макаров В. В., Туфрин П. Л. Инновационное развитие инфокоммуникационной компании // Экономическое возрождение России. 2011. № 3(29). С. 83–91.