Основополагающими считаются стандарты международной организации по стандартизации серии ISO 27000, включающие шесть стандартов информационной безопасности. Фактически эти стандарты представляют собой технологию управления информационной безопасностью.

ISO/IEC 27001 представляет собой международный стандарт – «Система управления информационной безопасностью (СУИБ). Требования» – и позволяет организациям определять цели и процессы информационной безопасности, предпринимать шаги к увеличению эффективности.

Стандарт ISO/IEC 27002 представляет собой практическое руководство по созданию СУИБ, описывает механизмы контроля, необходимого для построения системы безопасности, определенные на основе лучших примеров мирового опыта в данной области.

Существует еще один международный стандарт ISO 15408, который был разработан на основе стандарта «Общие критерии безопасности информационных технологий» (рис. 22). В 2002 году этот стандарт был принят в России как ГОСТ Р ИСО/МЭК 15408–2002 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий», часто в литературе называемый «Общие критерии». Ранее в отечественных нормативных документах в области ИБ понятие риска не вводилось.

Стандарты носят исключительно концептуальный характер, что позволяет экспертам по информационной безопасности реализовать любые средства и технологии оценки, отработки и управления рисками. Однако отсутствие конкретных рекомендаций по выбору какого-либо аппарата оценки риска, а также синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков, снижает полезность стандартов как технологических документов.

Рис. 22. Понятие безопасности в соответствии с ГОСТ Р ИСО/МЭК 15408–2002

Проблемы информационной безопасности особенно актуальны для ERP-систем, которые содержат финансовую информацию и данные о клиентах, кадровые данные, прочую информацию, необходимую для повседневной деятельности сотрудников. Очевидно, что многие из этих данных являются конфиденциальной информацией, и их раскрытие может принести предприятию значительные убытки. Чем больше бизнес зависит от ИТ, тем важнее стабильность работы информационных систем и безопасность данных для компании. Учитывая важность коммерческой информации для компаний и возможные проблемы в случае ее частичной потери или утечки, ИТ-безопасность представляется одной из ключевых задач для любого бизнеса.

Помимо ERP-систем и прочего программного обеспечения (software), объектами защиты в информационной безопасности принято считать аппаратное обеспечение (hardware), обеспечение связи/коммуникации, информацию на твердых и электронных носителях, а также в некоторых случаях оказываемые услуги, имидж и репутацию компании.

Грамотно организованный процесс управления информационной безопасностью позволяет оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы компании, выработать осознанные, эффективные и обоснованные решения для их контроля или минимизации. Для этого необходимо выполнять на регулярной основе:

• документирование информационной системы с позиции информационной безопасности компании;

• классификацию информационных рисков и профилирование пользователей;

• качественную и количественную оценку информационных рисков и их анализ;

• управление информационными рисками на всех этапах жизненного цикла информационной системы, возможно с применением специального программного инструментария;

• аудит в области информационной безопасности.

По результатам регулярных исследований аналитической лаборатории Info-Watch, ежедневно в мире регистрируется от одной до двух утечек конфиденциальных данных, преданных публичной огласке. Только в 2008 году проблема утечки персональных данных затронула интересы более 100 миллионов человек во всем мире! Мировой финансовый кризис, сопровождающийся массовыми сокращениями рабочих мест, лишь обостряет проблему, поскольку ценность информации в момент кризиса возрастает.

Разные виды информации имеют разную цену для злоумышленников и порождают специфические риски для компании: финансовые, юридические, репутационные:

 финансовые риски – хищение финансовых данных, отчетов, ключевой информации и паролей для взаимодействия, получение информации о планируемых продуктах/услугах, хищение базы данных клиентов, поставщиков;

 юридические риски – хищение конфиденциальной информации, персональных данных, условий контрактов, трудовых договоров;