Системи за управление сигурността на информацията

Системите за управление сигурността на информацията набират все по-голяма скорост съдейки по подадените проекти по последната одобрена европейска програма за покриване на международно признати стандарти и въвеждане на системи за управление в предприятията. Дали причината е в осъзнаването на тяхната необходимост или е породено от външен натиск, вече внедрени други стандарти/стандартите са задължителен елемент за програмата/ или друго е трудно да се каже, но факт е засиления интерес към СУСИ.

Предпазливостта по отношение на системите за управление сигурността на информацията се поражда от погрешното схващане, че системата касае сигурността на информацията на IT инфраструктурата и информацията свързана с нея, т.е. компютри, компютърни мрежи и информацията в тях. Вярно е, че голяма част от информацията се съхранява, обработва и разпространява чрез компютрите и компютърните мрежи, но с това съвсем не се изчерпва наличната в една организация информация. Тя обхваща всички данни, които ако напуснат организацията или попаднат в неподходящи ръце биха могли да навредят на нейното съществуване.

Информация е „know-how”-то, което е от изключителна важност за успеха на една фирма, познанията на хората, съдържанието на документи, данни за клиенти, служители. Затова система за управление сигурността на информацията може да бъде внедрена в организация без наличието дори на един компютър, какъвто е например един футболен отбор.

httpv://www.youtube.com/watch?v=6nYeGlhEtXY

Примерът за футболния отбор е показателен за приложимостта на системите за управление сигурността на информацията за всякакъв тип организации, независимо от наличната IT инфраструктура. Вече стана ясно, че СУСИ са приложими за всякакъв тип организации, но необходимостта от внедряване на СУСИ се определя от чувствителността на информацията събирана или генерирана в организацията. Не случайно Закона за електронното управление задължи административните организации да внедрят СУСИ.

Абсолютна необходимост е внедряването на СУСИ в администрации и организации работещи с чувствителни данни на граждани и фирми като общини, банки, застрахователни организации, пенсионни фондове и др. Рисковете там са големи и съответно мерките за тяхното предотвратяване и управление ще са големи. Представете си до какви щети може да се стигне при един срив или пробив в информационната система на една банка, например.

СУСИ са сложни системи. Те трябва да обхванат цялата налична информация и рисковете свързани с нея. Във време на информационно пренасищане представете си за какъв обем информация става въпрос. И като за капак на всичко това трябва да се определят политики, цели, правила за работа и т.н. за всяка определена насока.

Не казвам всичко това с цел да внуша страхопочитание към СУСИ, а напротив. Бих искала да обърна внимание на сложността и задълбочеността на системата. Идеята ми е, че както при всяка друга система, колкото е по индивидуална и отразяваща спецификите на организацията, толкова тя ще е по-полезна и успешна.

Внедряването на СУСИ е отговорна задача, защото има пряка връзка със съществуването на организацията. Ако една система за управление на качеството е внедрена качествено, ще повиши ефективността на организацията. Ако не е внедрена качествено организацията рискува инвестираните средства. Докато, ако системата за управление сигурността на информацията не е внедрена качествено, организацията рискува всичко. Рискува собствения си актив и което е по-лошо рискува доверието на заинтересованите страни – клиенти, доставчици, служители.

От друга страна успешното внедряване на СУСИ съвсем не означава, че сте защитени от всичко и за винаги. Непрекъснато се появяват нови заплахи и рискове, който трябва да бъдат изследвани и включвани в обхвата на системата, ако се прецени, че това е необходимо. Системата постоянно трябва да се развива, подобрява и обогатява, както и всички ние.

© Качеството ЕООД. Всички права запазени

Изработка на уеб сайт от Vipe Studio