Российская специфика
Комплексный учет показателей предполагает комплексный подход к управлению безопасности, когда на соответствие определенным правилам проверяется не только В противоположность германскому стандарту BSI, предоставляющему возможность использовать конкретные «частные» сценарии защиты информационных активов компании, стандарты ISO 15408, ISO 17799 и COBIT позволяют рассмотреть только наиболее общие принципы управления информационной безопасностью, характер¬ные для процессов защиты информации в целом. Однако названные подходы обладают определенными ограничениями. Ограничением германского стандарта BSI является невозможность распространить рекомендации этого стандарта на защиту информационных активов российских компаний, которые от¬личаются по своей структуре и специфике бизнес деятельности от ранее рассмотренных примеров организации режима информационной безопасности. Ограничением стандартов ISO 17799 и COBIT является трудность перехода от общих принципов и вопросов защиты информации к частным практическим процессам обеспечения информационной безопасности в российских компаниях. Основная причина этого заключается в том, что защита информационных активов любой российской компании до¬полнительно характеризуется определенными индивидуальными специфическими условиями бизнес деятельности в условиях ограничений и регулирования российской нормативной базы в области защиты информации. Другими словами, только совместно используя сильные стороны рассмотренных международных стандартов, а также адаптировав полученные рекомендации в соответствии с требованиями российской нормативной базы в области защиты информации можно эффективно обеспечить защиту информационных активов конкретной российской компании. Сергей Петренко / АйТи |
Новое поколение стандартов в области защиты информации отличается как от предыдущего, так и от Руководящих документов Гостехкомиссии России 1992–1998 годов, большей формализацией процесса обеспечения безопасности и более детальным комплексным учетом качественно и количественно проверяемых и управляемых показателей информационной безопасности компании.
