Информационная безопасность - совокупность организационно-технических средств и способов, направленных на защиту информации от угроз с целью обеспечения непрерывности бизнес-процессов, снижения рисков и оптимизации затрат.
Информационные системы подвержены рискам, связанным с вредоносными действиями или ошибками пользователей, а также с природными и техногенными катастрофами. Нарушение принципов целостности, доступности, достоверности информации, отсутствие контроля над изменением информации либо возможность несанкционированного доступа к ней, могут стать не только причиной значительных убытков, но и привести к полной остановке бизнес-процессов.
Основными международными документами, регламентирующими управление информационной безопасностью, являются:
-
стандарт управления и аудита информационных технологий Cobit;
-
руководство по управлению рисками в информационных технологиях Национального института стандартов и технологий США (NIST) 800-30;
-
руководство по управлению рисками ISO 3100;
-
стандарт управления информационными рисками ISO 27001-27005;
-
стандарт управления рисками AS/NSZ 4360:2005
Финансовые организации традиционно подвергаются атакам наиболее часто. Кроме того, недостаточная информационная защищенность может негативно отразиться на репутации финансовых учреждений, поэтому информационной безопасности банков в Украине придается особое значение. Постановлением №474 от 28.10.2010 Национального банка Украины, для банковских учреждений в качестве обязательных для исполнения введены адаптированные варианты стандартов ISO 27001, 27002. Банки должны привести свои бизнес-процессы в соответствие со стандартом до 01.10.2011 г.
Для небанковских организаций в Украине пока не существует единых обязательных стандартов. Есть лишь отдельные требования относительно систем безопасности в некоторых секторах экономики.
Рейтинг информационной безопасности представляет собой независимую оценку степени соответствия системы управления информационной безопасностью действующим в этой области стандартам (для банков - стандартам, утвержденным НБУ, для небанковских структур - международным и отраслевым стандартам).
Для рейтинга информационной безопасности агентством разработана специализированная рейтинговая шкала. Присвоение и обновление рейтингов производится при участии компании-партнера, специализирующейся на услугах в области аудита информационной безопасности и защиты информации и имеющей соответствующие лицензии.
Рейтинговый отчет, предоставляемый агентством по результатам присвоения рейтинга информационной безопасности, содержит анализ системы управления основными компонентами информационной безопасности и описывает обнаруженные недостатки и риски. Ознакомление с отчетом позволит топ-менеджменту и собственникам составить объективное представление об уровне информационной безопасности и выявить потенциальные угрозы и уязвимости, что поможет усовершенствовать систему защиты информации, снизив риск возникновения убытков вследствие инцидентов с информационными активами.