Какво представлява съвременната система за управление на сигурността на информацията. Съвременни стандарти в областта на информационната сигурност, използващи концепцията за управление на риска Система за управление на информационната сигурност

Шахалов Игор Юриевич

По въпроса за интегрирането на системи за управление на качеството и информационна сигурност

Резюме: Разглеждат се международните стандарти ISO 27001 и ISO 9001. Провежда се анализ на приликите и разликите между системата за управление на качеството и системата за управление на сигурността на информацията. Показана е възможността за интегриране на системата за управление на качеството и системата за управление на информационната сигурност. Дадени са основните етапи на изграждане и внедряване на интегрирана система за управление на сигурността на информацията. Показани са предимствата на интегрирания подход.

Ключови думи: системи за управление на информационната сигурност, интегрирани системи за управление, ISMS, QMS, ISO 27001.

Наталия Олеговна

Въведение

V модерен святс появата на общо и удобно технически устройствапроблемът със защитата на информацията се появи доста остро. Наред с пускането на качествени продукти или предоставянето на услуги на предприятия и организации, важно е да се пази необходимата информация в тайна от конкурентите, за да се запази благоприятната позиция на пазара. В конкурентната борба са широко разпространени различни действия, насочени към получаване (получаване, придобиване) на поверителна информация. различни начини, до директен индустриален шпионаж, използващ съвременни технически средства за разузнаване.

Така организациите, които се придържат към най -добрите световни практики, съдържащи изисквания, насоки за внедряване на системи за управление на бизнес процеси, стават лидери на пазара. Най -добрите стандарти за проектиране, внедряване, мониторинг и подобряване на такива системи са документи от Международната организация по стандартизация (ISO). Специално внимание трябва да се обърне на стандартите от сериите ISO 900x и ISO 2700x, които събират най -добрите практики за внедряване на система за управление на качеството (QMS) и система за управление на информационната сигурност (ISMS).

Системата за управление на качеството, внедрена в съответствие с изискванията на стандарта ISO 9001, отдавна е призната за неразделен атрибут на успешна компания, произвеждаща висококачествени продукти или предоставяща услуги от висок клас. Днес наличието на сертификат за съответствие е едновременно ефективно маркетингово решение и механизъм за контрол на производствените процеси. QMS одитът е добре развита област на бизнеса.

Зависимостта на успешната дейност на компанията от корпоративна системазащита на информацията. Това се дължи на увеличаването на обема на жизненоважни данни, обработвани в корпоративната информационна система. Информационните системи стават все по -сложни, а броят на откритите в тях уязвимости също нараства. ISMS одитът позволява оценка на текущото състояние на сигурност на корпорацията информационна система,

оценява и прогнозира рисковете, управлява тяхното въздействие върху бизнес процесите на компанията.

Тъй като стандартът ISO 9001 отдавна заема водеща позиция в броя на сертификатите в света, а стандартът ISO 27001 показва тенденция към увеличаване на сертифицирането на системата за управление на сигурността на информацията, препоръчително е да се обмисли възможното взаимодействие и интеграция на QMS и ISMS.

Интегриране на стандартите

На пръв поглед управлението на качеството и сигурността на информацията са напълно различни области. На практика обаче те са тясно свързани и образуват едно цяло (Фигура 1). Удовлетворението на клиентите, което е обективна цел за качество, всяка година все повече зависи от наличието на информационни технологии и от сигурността на данните, за чиято поддръжка се използва стандартът ISO 27001. От друга страна, стандартът ISO 9001 съвпада точно корпоративните цели на организацията, спомагащи за гарантиране на сигурността. Благодарение на интегрирания подход ISO 27001 може да бъде ефективно интегриран в съществуващите СУК или да се внедри заедно със СУК.

(ISO 27001) и управлението на ИТ услуги (ISO 20000) имат сходна структура и подход към процеса. Това създава синергия, която се отплаща: на практика интегрираната система за управление на текущите операции спестява 20 до 30 процента от общите разходи за оптимизация на системата, проверки и ревизии.

Стандартите за информационна сигурност и управление на качеството имат за цел непрекъснато да се подобряват в съответствие с модела „Планирай-направи-провери-действай“ (PDCA), известен като цикъл на Деминг (виж фигура 2). Освен това те са сходни по структура, както е показано в таблицата за съответствие в приложение В на ISO 27001. И двата стандарта определят технологичния подход, обхвата, изискванията към системата и документацията и административната отговорност. И в двата случая структурата завършва с вътрешен одит, преглед на ръководството и подобряване на системата. При това и двете системи взаимодействат. Например ISO 9001 изисква управление на несъответстващи продукти. По същия начин стандартът ISO 27001 има изискване за управление на инциденти за разрешаване на повреди.

Ориз. 1. Сфери на взаимодействие и сходство на СУК и СУИБ

Ориз. 2. Деминг цикъл

Повече от 27 200 организации от различни индустрии в повече от 100 страни по света са сертифицирани за съответствие с ISO 9001: 2008 за управление на качеството. В зависимост от пазара и законовите изисквания, много организации са все по -принудени да се занимават с информационна сигурност. В тази връзка интеграцията на системата за управление предлага реални възможности. Комплексен подходинтересно и за компании, които досега не са използвали никакъв процес на управление. ISO стандарти за качество (ISO 9001), опазване на околната среда (ISO 14000), информационна сигурност

Разликите между стандартите са полезни за взаимно допълване, което решаващо допринася за повишаване на бизнес успеха. Например ISO 9001 изисква дефиниране на корпоративни цели, фокус върху клиента и измеримост, до каква степен целите и задачите са постигнати. Това са три въпроса, които не са във фокуса на ISO 27001. На свой ред, този стандарт дава приоритет на управлението на риска, за да поддържа непрекъснатостта на бизнеса и предлага подробна помощ при внедряването на ISMS. В сравнение

с това ISO 9001 е по -скоро теоретичен стандарт.

ISO 27001 - стандарт не само за ИТ

Много хора смятат, че стандартът ISO 27001 е само за ИТ процеси, но в действителност това не е така. Основният момент за внедряването на стандарта ISO 27001 SM&B е дефинирането на активи.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnsslsc tEp.tna.

»■ ireiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Джими 14: ii | vju7JIIIM.

Ориз. 3. Видове активи

Под актив се разбира всичко, което има стойност за компанията (Фигура 3). Тоест актив може да бъде: човешки ресурси, инфраструктура, инструменти, оборудване, комуникации, услуги и всякакви други активи, включително услуги за доставка на закупени продукти. Въз основа на процесите компанията определя кои активи има и кои активи участват в критични процеси и оценява стойността на активите. И едва след това се прави оценка на риска за всички ценни активи. По този начин ISMS е предназначен не само за цифрова информация, която се обработва автоматизирана система... Например, някои от най -критичните процеси включват

Подготовка

планове за събития

2 Проверете H: i съвпадение

със съхранение на хартиени копия на информация, което също е обхванато от ISO 27001. ISMS обхваща всички начини, по които важната информация може да се съхранява във вашата компания, от това как имейлизащитени, завършващи с мястото, където личните досиета на служителите се съхраняват в сградата.

Следователно е огромно погрешно схващане, че тъй като стандартът е насочен към изграждане на система за управление на информационната сигурност, това може да се отнася само за данни, съхранявани в компютър. Дори в нашата дигитална ера много информация все още се отразява на хартия, която също трябва да бъде надеждно защитена.

ISO 9001 не може да отговори на нуждите на информационната сигурност на компанията, тъй като е тясно фокусиран върху качеството на продукта. Ето защо е много важно да се внедри ISO 27001. Във фирмата на пръв поглед може да изглежда, че и двата стандарта са много общи и нямат специфичност. Това обаче не е така: стандартът ISO 27001 описва почти всяка стъпка от внедряването и контрола на функционирането на ISMS (Фигура 4).

Основните етапи на изграждане на система за управление на информационната сигурност

Основните етапи на изграждане на ISMS са илюстрирани на фигура 4. Нека ги разгледаме по -подробно.

Етап 1. Изготвяне на планове за действие. На този етап специалистите събират организационни и административни документи (ORD) и други работни материали,

3 Тип нормален II ORD

4 Анализ ii оценки на риска 11Б

Изпълнение

5 RyazraOoghya и<>Комплекс RaeryaOopv & 00 \ * ieiitii:

радиационни планове ■ -> стандарти -> събития -> CfftpJOTHW *

дейности Mon> PB ORD Poenpzhenie

Формиране на 10 AiUtuin оценка на резултатите от INRsnEsS „IMB

Ориз. 4. Етапи на изграждане на ISMS

свързани с изграждането и експлоатацията на информационни системи на компанията, планирани за използване на механизми и средства за осигуряване на информационна сигурност. В допълнение, плановете за действие за етапите на работа се изготвят, съгласуват и одобряват от ръководството на компанията.

Етап 2. Проверка за съответствие с ISO / IEC 27001: 2005. Интервюиране и разпит на ръководители и служители на отдели. Анализ на ISMS на компанията за съответствие с изискванията на ISO / IEC 27001: 2005.

Етап 3. Анализ на регулаторни и организационни и административни документи въз основа на организационна структурафирми. Въз основа на неговите резултати се определя защитеният обхват (OA) и се разработва скица на политиката за информационна сигурност на компанията.

Етап 4. Анализ и оценка на рисковете за сигурността на информацията. Разработване на методология за управление на фирмените рискове и техния анализ. Анализ на информационните ресурси на компанията, преди всичко LAN, с цел идентифициране на заплахи и уязвимости на защитените активи за ПД. Опис на активи. Провеждане на консултации за специалистите на компанията и оценка на съответствието на действителното и необходимото ниво на сигурност. Изчисляване на рисковете, определяне на текущото и приемливо ниво на риск за всеки конкретен актив. Класиране на риска, подбор на комплекси от мерки за тяхното намаляване и изчисляване на теоретичната ефективност на изпълнението.

Етап 5. Разработване и прилагане на планове за действие на ИС. Разработване на декларация за приложимостта на контролите в съответствие с ISO / IEC 27001: 2005. Разработване на план за счетоводство и отстраняване на рисковете. Изготвяне на отчети за ръководителя на компанията.

Етап 6. Разработване на нормативни и оперативни документи. Разработване и одобряване на окончателната политика на IB и свързаните с нея разпоредби (частни политики). Разработване на стандарти, процедури и инструкции за осигуряване на нормалното функциониране и функциониране на ISMS на компанията.

Етап 7. Прилагане на цялостни мерки за намаляване на рисковете от ИС и оценка на тяхната ефективност в съответствие с одобрения от ръководството план за обработка и отстраняване на рисковете.

Етап 8. Обучение на персонала. Разработване на планове за действие и прилагане на програми за обучение и подобряване на компетентността на служителите на компанията с цел ефективно предаване на принципите на информационна сигурност на всички служители и

предимно тези, които работят в структурни единициосигуряване на ключови бизнес процеси.

Етап 9. Формиране на отчетност. Систематизиране на резултатите от проучването и изготвяне на доклади. Представяне на резултатите от работата за ръководителите на компанията. Подготовка на документи за лицензиране за съответствие с ISO / IEC 27001: 2005 и предаването им на сертифициращата организация.

Етап 10. Анализ и оценка на резултатите от внедряването на СУИБ въз основа на методологията, която оценява надеждността на функционирането на СУИБ на компанията. Разработване на препоръки за подобряване на системата за управление на информационната сигурност на компанията.

Анализирайки всеки етап от внедряването на ISMS, можем да кажем, че ISO 27001 има ясна структура и изисквания, които ще ви позволят да изградите работеща система, в която ще има взаимодействие на всички необходими нива. Но не трябва да забравяме, че основната разлика между ISMS и QMS е, че първата система е фокусирана върху информационната сигурност.

Значението на информационната сигурност в съвременния свят

Днешният бизнес не може да съществува без информационни технологии. Известно е, че около 70% от общия национален продукт в света зависи по един или друг начин от информацията, съхранявана в информационните системи. Широкото въвеждане на компютри създаде не само добре известни удобства, но и проблеми, най-сериозният от които е проблемът с информационната сигурност.

Бизнес лидерите трябва да разберат важността на информационната сигурност, да се научат да предсказват и управляват тенденциите в тази област. В това те могат да бъдат подпомогнати от въвеждането на СУИБ, която по своята структура има потенциал за развитие, прозрачност на управлението, гъвкавост при всякакви промени. Наред с контролите за компютри и компютърни мрежи, стандартът ISO 27001 обръща голямо внимание на развитието на политиката за сигурност, работата с персонал (наемане, обучение, уволнение от работа), осигурявайки приемственост производствен процес, регулаторни изисквания, докато някои технически въпроси са подробно описани в други стандарти от поредицата

ISO 27000. Има много предимства при въвеждането на ISIB в компанията, някои от тях са показани на фиг. 5.

Glbkshl скала pODr> h; b1 [h-th

Отхвърлете ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | болен p. Ki u:

ажщщня # цн ^ ст

Ориз. 5. Ползи от внедряването на система за управление на информационната сигурност

Трябва да се посочат ползите от ISO

Демонстрация на компетентност по безопасност. ISO 27001 е практическо ръководство за организация, което да помогне за формулирането на изисквания за сигурност, за да се постигне необходимото ниво на сигурност и да се постигнат конкретни цели за сигурност. Особено важно е организациите да бъдат компетентни в четири области на управление на безопасността, включително: идентифициране и оценка на активите на компанията, оценка на рисковете и определяне на критерии за приемане на рискове, управление и приемане на тези елементи и непрекъснато подобряване. обща програмасигурността на организацията.

Осигуряване на доверие на клиентите. ISO 27001 предоставя независими доказателства, че програмите за корпоративно управление са подкрепени от най -добрите международни практики. Сертифицирането по ISO 27001 осигурява спокойствие на корпорациите, които се стремят да демонстрират почтеност пред клиентите, акционерите и потенциалните партньори и най -важното - да покажат, че компанията успешно е внедрила стабилна система за управление на сигурността на информацията. За много силно регулирани индустрии като финанси или интернет услуги изборът на доставчик може

да бъдат ограничени до онези организации, които вече са сертифицирани по ISO 27001.

По -ефективно използване на ресурсите. Благодарение на използването на процесния подход е възможно да се оптимизират процесите, протичащи във фирмата. Което води до намаляване на използването на ресурси, например време.

Непрекъснато усъвършенстване. ISMS използва модела PCDA, който ви позволява редовно да проверявате състоянието на цялата система, да анализирате и подобрявате системата за управление

1. Имидж, марка. Сертифицирането за съответствие с ISO 27001 отваря широки възможности за компанията: достъп до международно ниво, нови партньорства, повече клиенти, нови договори, успех в търговете. Наличието на ISMS в една компания е показател за високо ниво на развитие.

2. Гъвкавост на ISMS. Независимо от промените в процесите, новите технологии, основата на структурата на ISMS остава ефективна. ISMS се адаптира доста лесно към иновациите чрез модернизиране на съществуващите и въвеждане на нови противодействия.

3. Мащабируемост на внедряването на стандарта. Тъй като ISO 27001 предполага обхват, само част от процесите могат да бъдат сертифицирани. Можете да започнете да внедрявате ISMS в най -значимата OA за компанията и едва по -късно да я разширите.

4. Одит. Много Руски компаниивъзприемат одиторската работа като бедствие. ISO 27001 показва международен подход към одита: на първо място, интересът на компанията действително да отговаря на стандартите и да не прави сертифицирането по някакъв начин, само за показване.

5. Редовните вътрешни или външни одити позволяват коригиране на нарушенията, подобряване на СУИБ и значително намаляване на рисковете. На първо място, компанията се нуждае от това за собствено спокойствие, че всичко е наред и рисковете от загуби са сведени до минимум. И вече вторичен - сертификат за съответствие, който потвърждава за партньори или клиенти, че тази компания може да се вярва.

6. Прозрачност на управлението. Използването на стандарта ISO 27001 предоставя доста ясни инструкции за създаване на управление и

също и изискванията към документацията, която трябва да бъде във фирмата. Проблемът за много компании е, че съществуващите документи за определени отдели просто не се четат, тъй като често е невъзможно да се разбере какво е предназначено за кого поради сложността на системата за документиране. Йерархията на нивата на документация, от политиката за информационна сигурност до описанието на специфични процедури, прави използването на съществуващите правила, разпоредби и други неща много по -лесно. Също така, въвеждането на SM & B включва обучение на персонала: провеждане на семинари, пощенски съобщения, окачване на предупредителни плакати, което значително повишава осведомеността относно сигурността на информацията сред обикновените служители.

В заключение трябва да се отбележи, че през модерен бизнеснеотменността на основната система за управление на качеството, изградена в съответствие с изискванията на стандарта ISO 9001, и очевидното придобиване на позицията на системата за управление на сигурността на информацията.

Днес лидер на пазара ще бъдат компании, които следят не само показателите за качеството на продуктите и услугите, но и нивата на поверителност, почтеност и наличност на информация за тях. Прогнозирането и оценката на риска също са важен фактор за успеха, който изисква компетентен подход и използване на най -добрите международни практики. Съвместното внедряване и сертифициране на системи за управление на качеството и информационна сигурност ще помогне за решаване на широк спектър от проблеми за всяка индустрия или търговия, което от своя страна ще доведе до качествено повишаване на нивото на предоставяните услуги.

Литература

1. Дорофеев А. В., Шахалов И. Ю. Основи на управлението на информационната сигурност съвременна организация// Правна информатика. 2013. No 3. С. 4-14.

2. Чашкин В. Н. Управлението на информационната сигурност като елемент от системата за управление на информационната и технологичната дейност на организацията // Сигурност на информационните технологии. 2009. No 1. С. 123-124.

3. Горячев В. В. Нов ГОСТ за СМК. Основни разлики от GOST RV 15.002-2003 //

Методи за управление на качеството. 2013. No 7. С. 18-23.

4. Доценко С. П., Пшенецкий С. П. Подход към изграждането на модел на системи за управление на сигурността на информацията // Политематично мрежово електронно научно списание на Кубанския държавен аграрен университет. 2009. No 53. С. 47-56.

5. Каменев А. В., Заворитко Е. В. Модел на системата за управление на информационната сигурност в предприятието (в организацията) // Интелект. Иновация. Инвестиции. 2013. No 1. С. 111-114.

6. Соловьев А. М. Нормативно -методологическа база в областта на информационната сигурност // Икономика, статистика и информатика. Бюлетин на УМО. 2012. No 1. С. 174-181.

7. Козин И. Ф., Лившиц II Информационна сигурност. Интегриране на международните стандарти в системата за информационна сигурност на Русия // Информатизация и комуникация. 2010. No 1. С. 50-55.

8. Колодин В. С. Сертифициране на интегрирани системи за управление // Известия на Иркутския държавен технически университет. 2010. Т. 41. No 1. С. 44-48.

9. Меркушова Н. И., Науменко Ю. А., Меркушова Ю. А. Интегрирани системи за управление: предпоставки за създаване в руски предприятия // Млад учен.

2013. No 12 (59). С. 327-331.

10. Воропаева В. Я., Щербов И. Л., Хаустова Е. Д. Управление на информационната сигурност на информационни и телекомуникационни системи на базата на модела „P1ap-Do-Check-Act“ // Науков1 прашка на Донецкия национален технически университет. Ser1ya: "Изчислително технически и автоматизирани". 2013. No 2 (25). С. 104-110.

11. Дорофеев А. В., Марков А. С. Управление на информационната сигурност: основни понятия // Въпроси за киберсигурността.

2014. No 1 (2). С. 67-73.

12. Шпер В. Л. За стандарта 18O / 1EC 27001 // Методи за управление на качеството. 2008. No 3. С. 60-61.

13. Марков А.С., Цирлов В.Л. Управление на риска - нормативен вакуум на информационната сигурност // Отворени системи... СУБД. 2007. No 8. С. 63-67.

14. Матвеев В. А., Цирлов В. Л. Състояние и перспективи за развитие на индустрията за информационна сигурност на Руската федерация

ния през 2014 г. // Въпроси за киберсигурността. 2013. No 1 (1). С. 61-64.

15. Drums A. V. Стандартизация на процеса на разработване на безопасни софтуерни инструменти// Проблеми с киберсигурността. 2013. No 1 (1). С. 37-41.

16. Марков А. С., Цирлов В. Л. Насоки за киберсигурност в контекста

ISO 27032 // Проблеми с киберсигурността. 2014. No 1 (2). С. 28-35. 17. Храмцовская Н. Какво трябва да знае мениджърът относно сигурността на информацията // Kadrovik. 2009. No 4. С. 061-072.

В света на информационните технологии въпросът за гарантиране на целостта, надеждността и поверителността на информацията става приоритет. Следователно признаването на необходимостта една организация да има система за управление на информационната сигурност (ISMS) е стратегическо решение.

Тя е предназначена за създаване, внедряване, поддържане и непрекъснато подобряване на ISMS в предприятието и чрез прилагането на този стандарт към външни партньори става очевидно, че организацията е в състояние да отговори на собствените си изисквания за сигурност на информацията. Тази статия ще обсъди основните изисквания на стандарта и неговата структура.

(ADV31)

Основните цели на стандарта ISO 27001

Преди да преминем към описанието на структурата на стандарта, нека да уточним основните му задачи и да разгледаме историята на появата на стандарта в Русия.

Цели на стандарта:

  • заведение единни изискванияза всички организации да създават, внедряват и подобряват ISMS;
  • осигуряване на взаимодействие между висшето ръководство и служителите;
  • поддържане на поверителност, цялостност и наличност на информация.

В същото време изискванията, установени от стандарта, са общи и са предназначени да се прилагат от всяка организация, независимо от техния вид, размер или характер.

История на стандарта:

  • През 1995 г. Британският институт по стандартизация (BSI) прие Кодекса за управление на сигурността на информацията като национален стандарт във Великобритания и го регистрира под BS 7799 - Част 1.
  • През 1998 г. BSI публикува BS7799-2 в две части, едната съдържа кодекс на практиката и другата изисквания за системите за управление на информационната сигурност.
  • В хода на последващите ревизии първата част беше публикувана като BS 7799: 1999, част 1. През 1999 г. тази версия на стандарта е прехвърлена на Международната организация за сертифициране.
  • Този документ е одобрен през 2000 г. като международен стандарт ISO / IEC 17799: 2000 (BS 7799-1: 2000). Последната версия на този стандарт, приет през 2005 г., е ISO / IEC 17799: 2005.
  • През септември 2002 г. влезе в сила втората част на BS 7799 „Спецификация на системата за управление на информационната сигурност“. Втората част на BS 7799 е преработена през 2002 г., а в края на 2005 г. е приета от ISO като международен стандарт ISO / IEC 27001: 2005 " Информационни технологии- Методи за сигурност - Системи за управление на информационната сигурност - Изисквания.
  • През 2005 г. стандартът ISO / IEC 17799 беше включен в реда на стандартите от 27 -а серия и приет нов номер- ISO / IEC 27002: 2005.
  • На 25 септември 2013 г. актуализираният стандарт ISO / IEC 27001: 2013 „Системи за управление на информационната сигурност. Изисквания ". В момента организациите са сертифицирани съгласно тази версия на стандарта.

Структура на стандарта

Едно от предимствата на този стандарт е сходството на неговата структура с ISO 9001, тъй като съдържа идентични заглавия на подраздели, идентичен текст, общи термини и основни определения. Това обстоятелство спестява време и пари, тъй като част от документацията вече е разработена по време на сертифицирането по ISO 9001.

Ако говорим за структурата на стандарта, това е списък на изискванията за ISMS, които са задължителни за сертифициране и се състои от следните раздели:

Основни разделиПриложение А
0. Въведение A.5 Политики за защита на информацията
1 област на използване А.6 Организация за защита на информацията
2. Нормативни препратки А.7 Сигурност на човешките ресурси (персонала)
3. Термини и определения А.8 Управление на активи
4. Контекст на организацията А.9 Контрол на достъпа
5. Лидерство А.10 Криптография
6. Планиране А.11 Физическа и екологична безопасност
7. Поддръжка А.12 Сигурност на операциите
8. Операции (Операция) А.13 Сигурност на комуникацията
9. Оценка (измерване) на изпълнението А.14 Закупуване, разработване и поддръжка на информационни системи
10. Подобрение (Подобрение) A.15 Връзки с доставчика
А.16 Управление на инциденти
А.17 Непрекъснатост на бизнеса
А.18 Съответствие със закона

Изискванията на „Приложение А“ са задължителни, но стандартът ви позволява да изключите области, които не могат да се прилагат в предприятието.

При въвеждането на стандарта в предприятие за по-нататъшно сертифициране си струва да се помни, че не се допускат изключения от изискванията, установени в раздели 4-10. Тези раздели ще бъдат обсъдени допълнително.

Нека започнем с Раздел 4 - Контекст на организацията

Контекст на организацията

В този раздел Стандартът изисква от организация да идентифицира външни и вътрешни проблеми, които са от значение за нейните цели и които засягат способността на нейната СУИБ да постига очакваните резултати. При това трябва да вземете предвид законовите, регулаторните и договорните задължения за сигурност на информацията. Организацията трябва също така да дефинира и документира обхвата и приложимостта на ISMS, за да установи нейния обхват.

Лидерство

Висшето ръководство трябва да демонстрира лидерство и ангажираност към системата за управление на информационната сигурност, като например гарантира, че политиката за информационна сигурност и целите за информационна сигурност са установени и приведени в съответствие със стратегията на организацията. Също така висшето ръководство трябва да гарантира, че са предоставени всички необходими ресурси за ISMS. С други думи, за служителите трябва да е очевидно, че ръководството се занимава с проблеми на информационната сигурност.

Политиката за сигурност на информацията трябва да бъде документирана и съобщена на служителите. Този документ напомня политиката за качество ISO 9001. Той също така трябва да бъде подходящ за целите на организацията и да включва целите за информационна сигурност. Добре е, ако това са реални цели, като например запазване на поверителността и целостта на информацията.

От ръководството се очаква също така да разпределя функции и отговорности, свързани със сигурността на информацията, между служителите.

Планиране

В този раздел стигаме до първия етап от принципа за управление на PDCA (Plan - Do - Check - Act) - планирайте, изпълнете, проверете, действайте.

Когато планира система за управление на сигурността на информацията, организацията трябва да вземе предвид въпросите, споменати в точка 4 и да определи рисковете и потенциалните възможности, които трябва да бъдат взети предвид, за да се гарантира, че ISMS може да постигне очакваните резултати, да предотврати нежеланите ефекти и да постигне непрекъснато усъвършенстване.

Когато планира как да постигне целите си за информационна сигурност, организацията трябва да определи:

  • какво ще се направи;
  • какви ресурси ще са необходими;
  • кой ще отговаря;
  • когато целите са постигнати;
  • как ще бъдат оценени резултатите.

Освен това организацията съхранява данни за целите на информационната сигурност като документирана информация.

Сигурност

Организацията трябва да определи и предостави необходимите ресурси за разработване, внедряване, поддържане и непрекъснато подобряване на СУИБ, това включва както персонал, така и документация. По отношение на персонала се очаква организацията да наеме квалифициран и компетентен персонал по сигурността на информацията. Квалификацията на служителите трябва да бъде потвърдена със сертификати, дипломи и др. Възможно е да привлечете специалисти на трети страни по договор или да обучите служителите си. Що се отнася до документацията, тя трябва да включва:

  • документирана информация, изисквана от стандарта;
  • документирана информация, определена от организацията като необходима, за да се гарантира ефективността на системата за управление на информационната сигурност.

Документираната информация, изисквана от ISMS и стандарта, трябва да бъде контролирана, за да се гарантира, че:

  • налични и подходящи за използване, когато и когато е необходимо, и
  • подходящо защитени (например от загуба на поверителност, злоупотреба или загуба на цялост).

Функциониращ

Този раздел говори за втората фаза на принципа за управление на PDCA - необходимостта от организация да управлява своите процеси, за да гарантира спазването и да изпълнява дейностите, посочени в раздела Планиране. Той също така посочва, че дадена организация трябва да извършва оценка на риска за информационната сигурност през планирани интервали или когато се предлагат или настъпят значителни промени. Организацията запазва резултатите от оценката на риска за сигурността на информацията като документирана информация.

Оценка на изпълнението

Третият етап е проверка. Организацията оценява работата и ефективността на СУИБ. Например, той трябва да извърши вътрешен одит, за да получи информация дали

  1. Съвместима ли е системата за управление на информационната сигурност
    • собствените изисквания на организацията за нейната система за управление на информационната сигурност;
    • изискванията на стандарта;
  2. че системата за управление на информационната сигурност е ефективно внедрена и функционира.

От само себе си се разбира, че обхватът и времето на одитите трябва да бъдат планирани предварително. Всички резултати трябва да бъдат документирани и запазени.

Подобрение

Целта на този раздел е да определи начина на действие, когато се установи несъответствие. Организацията трябва да коригира несъответствията, последствията и да анализира ситуацията, така че това да не се случва в бъдеще. Всички несъответствия и коригиращи действия трябва да бъдат документирани.

Това завършва основните раздели на стандарта. Приложение А предоставя по -конкретни изисквания, на които трябва да отговаря една организация. Например, по отношение на контрола на достъпа, използвайте мобилни устройстваи носители на информация.

Ползи от внедряването и сертифицирането на ISO 27001

  • повишаване статута на организацията и съответно доверието на партньорите;
  • повишаване на стабилността на функционирането на организацията;
  • повишаване нивото на защита срещу заплахи за информационна сигурност;
  • осигуряване на необходимото ниво на поверителност на информацията на заинтересованите страни;
  • разширяване на възможностите на организацията да участва в големи договори.

Икономическите ползи са:

  • независимо потвърждение от сертифициращия орган, че организацията има високо ниво на информационна сигурност, контролирано от компетентен персонал;
  • доказателство за съответствие с приложимите закони и разпоредби (съответствие със системата от задължителни изисквания);
  • демонстрация на определено високо ниво на системи за управление, за да се гарантира правилното ниво на обслужване на клиентите и партньорите на организацията;
  • Демонстрация на редовни одити на системите за управление, оценки на работата и непрекъснато подобряване.

Сертифициране

Една организация може да бъде сертифицирана от акредитирани агенции в съответствие с този стандарт. Процесът на сертифициране се състои от три етапа:

  • Етап 1 - одиторското проучване на ключови ISMS документи за съответствие с изискванията на стандарта - може да се извърши както на територията на организацията, така и чрез прехвърляне на тези документи на външен одитор;
  • 2 -ри етап - подробен одит, включително тестване на изпълнените мерки, и оценка на тяхната ефективност. Включва цялостно проучване на документите, изисквани от стандарта;
  • 3 -ти етап - извършване на инспекционен одит за потвърждаване, че сертифицираната организация отговаря на заявените изисквания. Извършва се периодично.

Резултат

Както можете да видите, използването на този стандарт в предприятието ще позволи качествено да се подобри нивото на информационна сигурност, което е скъпо в условията на съвременните реалности. Стандартът съдържа много изисквания, но най -важното изискване е да се направи написаното! Без действително да се прилагат изискванията на стандарта, той се превръща в празен комплект парчета хартия.

ГОСТ Р ISO / IEC 27001-2006 „Информационни технологии. Методи и средства за осигуряване на безопасност. Системи за управление на информационната сигурност. Изисквания "

Разработчиците на стандарта отбелязват, че той е изготвен като модел за разработване, внедряване, експлоатация, мониторинг, анализ, поддръжка и подобряване на системата за управление на информационната сигурност (ISMS). ISMS (система за управление на информационната сигурност; ISMS) се определя като част от цялостната система за управление, базирана на използването на методи за оценка на бизнес риска за разработването, внедряването, функционирането, мониторинга, анализа, поддръжката и подобряването на информационната сигурност. Системата за управление включва организационна структура, политики, дейности по планиране, отговорности, практики, процедури, процеси и ресурси.

Стандартът предполага използването на процесния подход за разработване, внедряване, експлоатация, мониторинг, анализ, поддръжка и подобряване на ISMS на организацията. Той се основава на модела Plan - Do - Check - Act (PDCA), който може да се приложи за структуриране на всички процеси на ISMS. На фиг. 4.4 показва как ISMS, използвайки изискванията за информационна сигурност и очакваните резултати на заинтересованите страни като вход, чрез необходимите действия и процеси, произвежда резултати за информационна сигурност, които отговарят на тези изисквания и очакваните резултати.

Ориз. 4.4.

На етапа „Разработване на система за управление на информационната сигурност“организацията трябва да направи следното:

  • - определят обхвата и границите на ISMS;
  • - определят политиката за ISMS въз основа на характеристиките на бизнеса, организацията, нейното местоположение, активи и технологии;
  • - определят подхода към оценката на риска в организацията;
  • - идентифициране на рисковете;
  • - анализира и оценява рисковете;
  • - идентифициране и оценка на различни възможности за лечение на риска;
  • - изберете цели и контрол за третиране на риска;
  • - да получи одобрение от ръководството за очакваните остатъчни рискове;
  • - Получаване на разрешение от ръководството за внедряване и функциониране на ISMS;
  • - изготвяне на Декларация за приложимост.

Сцена " Внедряване и функциониране на системата за управление на информационната сигурност "предлага организацията да:

  • - разработване на план за третиране на риска, който определя подходящите управленски действия, ресурси, отговорности и приоритети за управление на риска за сигурността на информацията;
  • - прилагане на план за третиране на риска за постигане на предвидените цели на управление, който включва въпроси, свързани с финансирането, както и разпределението на ролите и отговорностите;
  • - прилагане на избраните мерки за управление;
  • - определят начина за измерване на ефективността на избраните мерки за контрол;
  • - прилагане на програми за обучение и професионално развитие за служители;
  • - ръководи работата на ISMS;
  • - управление на ресурсите на ISMS;
  • - прилагане на процедури и други мерки за контрол, за да се осигури бързо откриване на събития за информационна сигурност и реакция при инциденти със сигурността на информацията.

Третият етап " Мониторинг и анализ на системата за управление на информационната сигурност "изисква:

  • - извършване на процедури за мониторинг и анализ;
  • - провеждат редовен анализ на ефективността на ISMS;
  • - измерване на ефективността на контрола за проверка на съответствието с изискванията на IS;
  • - преразглеждат оценките на риска на определени интервали от време, анализират остатъчните рискове и установяват приемливи нива на рискове, като вземат предвид промените;
  • - извършват вътрешни одити на ISMS на определени интервали от време;
  • - редовно да извършва анализ на ISMS от ръководството на организацията, за да потвърди адекватността на функционирането на ss и да определи насоките за подобряване;
  • - актуализиране на плановете за ИС, като се вземат предвид резултатите от анализа и мониторинга;
  • - записване на действия и събития, които биха могли да повлияят на ефективността или работата на ISMS.

И накрая, сцената „Поддръжка и подобряване на системата за управление на информационната сигурност“предлага организацията редовно да извършва следните дейности:

  • - идентифициране на възможности за подобряване на ISMS;
  • - да предприемат необходимите коригиращи и превантивни действия, да използват на практика опита на ИС, натрупан както в собствената им организация, така и в други организации;
  • - да предаде подробна информация за действията за подобряване на СУИБ на всички заинтересовани страни, като степента на нейната детайлност трябва да съответства на обстоятелствата и, ако е необходимо, да се договори за по -нататъшни действия;
  • - осигуряване на прилагането на подобрения в ISMS за постигане на планираните цели.

По -нататък в стандарта са дадени изискванията за документация, които трябва да включват разпоредбите на политиката за ISMS и описание на зоната на действие, описание на методологията и доклад за оценка на риска, план за лечение на риска и документация на свързани процедури. Трябва да се определи и процес за управление на ISMS документи, включително актуализиране, използване, съхранение и изхвърляне.

За да се предоставят доказателства за спазване на изискванията и ефективността на ISMS, е необходимо да се поддържат и поддържат записи и записи на изпълнението на процесите. Примерите включват дневници на посетители, одитни доклади и др.

Стандартът уточнява, че ръководството на организацията е отговорно за осигуряването и управлението на ресурсите, необходими за създаването на СУИБ и за организирането на обучение за персонал.

Както бе отбелязано по -рано, организацията трябва да извърши вътрешни одити на ISMS в съответствие с одобрен график, за да оцени нейната функционалност и съответствие със стандарта. И ръководството трябва да извърши анализ на системата за управление на сигурността на информацията.

Също така трябва да се работи за подобряване на системата за управление на сигурността на информацията: за повишаване на нейната ефективност и нивото на съответствие с текущото състояние на системата и наложените към нея изисквания.

(ISMS)- тази част от цялостната система за управление, която се основава на подход за бизнес риск при създаването, внедряването, функционирането, мониторинга, анализа, поддръжката и подобряването на сигурността на информацията.

Ако е построен в съответствие с изискванията на ISO / IEC_27001, той се основава на модела PDCA:

    План(Планиране) - фазата на създаване на СУИБ, създаване на списък с активи, оценка на риска и избор на мерки;
    Направете(Действие) - етапът на изпълнение и изпълнение на подходящи мерки;
    Проверете(Проверка) - Фазата на оценка на ефективността и ефективността на ISMS. Обикновено се извършва от вътрешни одитори.
    Действайте(Подобрения) - прилагане на превантивни и коригиращи действия;

Концепция за информационна сигурност

Стандартът ISO 27001 определя информационната сигурност като: „поддържане на поверителността, целостта и наличността на информация; освен това могат да бъдат включени и други свойства, като автентичност, отхвърляне, надеждност. "

Конфиденциалност - осигуряване на наличност на информация само за тези, които имат съответните правомощия (оторизирани потребители).

Интегритет - гарантиране на точността и пълнотата на информацията, както и на методите за нейната обработка.

Наличност - предоставяне на достъп до информация на оторизирани потребители, когато е необходимо (при поискване).

4 Система за управление на информационната сигурност

4.1 Общи изисквания

Организацията установява, прилага, използва, контролира, преразглежда, поддържа и подобрява документираните разпоредби за СУИБ по време на стопанската дейност на организацията и рисковете, пред които е изправена. За практическата полза от този международен стандарт, използваният процес се основава на PDCA модела, показан на фиг. 1.

4.2 Създаване и управление на ISMS

4.2.1 Създаване на ISMS

Организацията трябва да направи следното.

а) Като се вземат предвид спецификите на дейността на организацията, самата организация, нейното местоположение, активи и технология, се определят обхватът и границите на СУИБ, включително подробности и обосновки за изключване на всички разпоредби на документа от проекта на СУИБ (вж. 1.2. ).

б) Като се вземат предвид спецификите на дейността на организацията, самата организация, нейното местоположение, активи и технологии, разработват политика за ISMS, която:

1) включва система за определяне на цели (задачи) и установява общата насока на управление и принципи на действие по отношение на информационната сигурност;

2) взема предвид бизнес и законови или регулаторни изисквания, договорни задължения за сигурност;

3) е прикрепен към стратегическата среда за управление на риска, в която се осъществява създаването и поддържането на ISMS;

4) установява критериите, спрямо които ще бъде оценен рискът (вж. 4.2.1 в)); и

5) одобрени от ръководството.

ЗАБЕЛЕЖКА: За целите на този международен стандарт политиката за ISMS представлява разширен набор от политики за сигурност на информацията. Тези политики могат да бъдат описани в един документ.

в) Разработване на рамка за оценка на риска в организацията.

1) Определете методология за оценка на риска, която е подходяща за ISMS и установени изисквания за сигурност на бизнес информацията, законови и регулаторни изисквания.

2) Разработване на критерии за приемане на риска и определяне на приемливи нива на риск (вж. 5.1е).

Избраната методология за оценка на риска трябва да гарантира, че оценката на риска дава сравними и възпроизводими резултати.

ЗАБЕЛЕЖКА: Има различни методологии за оценка на риска. Примери за методологии за оценка на риска са разгледани в ISO / IEC TU 13335-3, Информационни технологии - Препоръки за управлениеТОСигурност - техники за управлениеТОСигурност.

г) Идентифицирайте рисковете.

1) Определете активи в обхвата на ISMS и собственици2 (2 Терминът „собственик“ се идентифицира с физическо или юридическо лице, което е одобрено да отговаря за контрола на производството, развитието Поддръжка, прилагане и сигурност на активи. Терминът "собственик" не означава, че лицето действително има някакви права на собственост върху актива) на тези активи.

2) Определете опасностите за тези активи.

3) Идентифицирайте уязвимости в системата за защита.

4) Идентифицирайте въздействия, които разрушават поверителността, целостта и наличността на активи.

д) Анализирайте и оценявайте рисковете.

1) Оценете щетите върху бизнеса на организацията, които могат да бъдат причинени от повреда на системата за защита, както и следствие от нарушаване на поверителността, почтеността или наличността на активи.

2) Определете вероятността от провал в сигурността в светлината на преобладаващите опасности и уязвимости, въздействия, свързани с активи, и контролите, които в момента съществуват.

3) Оценете нивата на риск.

4) Определете приемливостта на риска или го изискайте да намали, като използвате критериите за приемливост на риска, посочени в 4.2.1в) 2).

е) Определяне и оценка на инструменти за намаляване на риска.

Възможните действия включват:

1) Прилагане на подходящи контроли;

2) Съзнателно и обективно приемане на рисковете, гарантиращи тяхното безусловно съответствие с изискванията на политиката на организацията и критериите за толерантност към риска (вж. 4.2.1в) 2));

3) Избягване на риска; и

4) Прехвърляне на съответните бизнес рискове на друга страна, например застрахователни компании, доставчици.

ж) Изберете задачи и контроли за смекчаване на рисковете.

Задачите и контролите трябва да бъдат избрани и изпълнени в съответствие с изискванията, установени от процеса на оценка на риска и намаляване на риска. Този избор трябва да вземе предвид както критериите за толерантност към риска (вж. 4.2.1в) 2)), така и законовите, регулаторните и договорните изисквания.

Задачите и контролите от Приложение А трябва да бъдат избрани като част от този процес, за да отговарят на определени изисквания.

Тъй като не всички задачи и контроли са изброени в допълнение А, могат да бъдат избрани допълнителни задачи.

ЗАБЕЛЕЖКА: Приложение А съдържа изчерпателен списък на управленските цели, които са определени като най -подходящи за организациите. За да не пропуснете нито един важен момент от опциите за контрол, използването на този международен стандарт трябва да се ръководи от допълнение А като отправна точка за контрол на вземането на проби.

з) Постигнете одобрение на управлението на очакваните остатъчни рискове.

4) улесняват откриването на събития за сигурност и по този начин, използвайки определени показатели, предотвратяват инциденти със сигурността; и

5) определя ефективността на предприетите действия за предотвратяване на нарушения на сигурността.

б) Провеждайте редовни прегледи на ефективността на ISMS (включително обсъждане на политиката за ISMS и нейните цели, преглед на контрола на сигурността), като вземете предвид резултатите от одити, инциденти, резултати от измервания на ефективността, предложения и препоръки на всички заинтересовани страни .

в) Оценете ефективността на контролите, за да определите дали са спазени изискванията за безопасност.

г) Проверете оценката на риска за планираните периоди и проверете остатъчните рискове и допустимите отклонения, като вземете предвид промените в:

1) организации;

2) технология;

3) бизнес цели и процеси;

4) идентифицирани заплахи;

5) ефективността на внедрените инструменти за управление; и

6) външни събития, като промени в правната и управленската среда, променени договорни задължения, промени в социалния климат.

д) Провеждане на вътрешни одити на СУИБ през планирани периоди (вж. 6)

ЗАБЕЛЕЖКА: Вътрешните одити, понякога наричани първични одити, се извършват от името на самата организация за нейните собствени цели.

е) Редовно преразглеждайте управлението на ISMS, за да се уверите, че ситуацията остава валидна и че ISMS се подобрява.

ж) Актуализиране на плановете за сигурност въз основа на резултатите от мониторинга и одита.

з) Записвайте действия и събития, които биха могли да повлияят на ефективността или работата на СУИБ (вж. 4.3.3).

4.2.4 Поддържане и подобряване на ISMS

Организацията трябва непрекъснато да прави следното.

а) Внедрете специфични поправки в ISMS.

б) Предприемете подходящи коригиращи и превантивни действия в съответствие с 8.2 и 8.3. Приложете знанията, придобити от самата организация и от опита на други организации.

в) съобщават своите действия и подобрения на всички заинтересовани страни в ниво на детайлност, подходящо за ситуацията; и съответно координират действията си.

г) Проверете дали подобренията са постигнали целта си.

4.3 Изисквания за документация

4.3.1 Общи положения

Документацията трябва да включва протоколи (записи) на управленски решения, за да се убеди, че необходимостта от действия се дължи на решения и политики за управление; и гарантират възпроизводимостта на записаните резултати.

Важно е да можете да демонстрирате обратната връзка на избраните контроли за резултатите от оценката на риска и процесите за намаляване на риска, а след това и за политиката за ISMS и нейните цели.

Документацията за ISMS трябва да включва:

а) документирано изявление за политиката и целите на ISMS (вж. 4.2.1б));

б) позицията на ISMS (вж. 4.2.1а));

в) концепцията и контролите в подкрепа на ISMS;

г) описание на методологията за оценка на риска (вж. 4.2.1в));

д) доклад за оценка на риска (вж. 4.2.1в) - 4.2.1ж));

е) план за намаляване на риска (вж. 4.2.2б));

ж) документирана концепция, необходима на организацията за ефективно планиране, управление и управление на нейните процеси на информационна сигурност и описване на начина на измерване на ефективността на контролите (вж. 4.2.3в));

з) документи, изисквани от този международен стандарт (вж. 4.3.3); и

i) Декларация за приложимост.

ЗАБЕЛЕЖКА 1: За целите на този международен стандарт терминът „документирана концепция“ означава, че концепцията се прилага, документира, прилага и следва.

ЗАБЕЛЕЖКА 2: Размерът на ISMS документацията в различните организации може да варира в зависимост от:

Размерът на организацията и вида на нейните активи; и

Мащабът и сложността на изискванията за сигурност и управляваната система.

ЗАБЕЛЕЖКА 3: Документите и докладите могат да бъдат представени под всякаква форма.

4.3.2 Контрол на документи

Документите, изисквани от ISMS, трябва да бъдат защитени и регулирани. Необходимо е да се одобри процедурата за документиране, необходима за описване на управленските действия за:

а) установяване на съответствието на документите с определени стандарти преди публикуването им;

б) проверка и актуализиране на документите, ако е необходимо, повторно одобряване на документи;

в) гарантиране, че промените са в съответствие с текущото състояние на преработените документи;

г) осигуряване наличието на важни версии на валидни документи;

д) гарантиране, че документите са разбираеми и четливи;

е) предоставяне на документи на тези, които се нуждаят от тях; както и тяхното прехвърляне, съхранение и накрая унищожаване в съответствие с прилаганите процедури в зависимост от класификацията им;

ж) установяване на автентичността на документите от външни източници;

з) контрол върху разпространението на документи;

i) предотвратяване на неволно използване на остарели документи; и

й) прилагане на подходящ метод за идентификация към тях, ако се съхраняват за всеки случай.

4.3.3 Контрол на записите

Трябва да се създават и поддържат записи, които да предоставят доказателства за съответствие и ефективната работа на СУИБ. Записите трябва да бъдат защитени и проверени. ISMS трябва да вземе предвид всички законови и регулаторни изисквания и договорни задължения. Записите трябва да бъдат разбираеми, лесно идентифицируеми и извлечени. Необходимите документи за идентификация, съхранение, защита, възстановяване, съхраняване и унищожаване на записи трябва да бъдат документирани и приложени.

Записите трябва да включват информация за изпълнението на дейностите, описани в точка 4.2, както и за всички инциденти и инциденти, свързани с безопасността, свързани със СУИБ.

Примери за записи са книга за гости, пътеки за одит и попълнени формуляри за разрешение за достъп.

Изпратете вашата добра работа в базата знания е проста. Използвайте формата по -долу

Студенти, аспиранти, млади учени, които използват базата знания в обучението и работата си, ще ви бъдат много благодарни.

публикувано на http://www.allbest.ru/

„Система за управление на информационната сигурност“

международен стандарт за управление

Vдирижиране

Системата за управление на информационната сигурност е съвкупност от процеси, които работят в една компания, за да гарантират поверителността, целостта и наличността на информационните активи. В първата част на есето се разглежда процесът на внедряване на система за управление в една организация и се дават основните аспекти на ползите от внедряването на система за управление на информационната сигурност.

Фиг. 1. Контролен цикъл

Списъкът на процесите и препоръките за това как най-добре да се организира тяхното функциониране са дадени в международния стандарт ISO 27001: 2005, който се основава на цикъла на управление „Планирай-направи-провери-действай“. Според него кръговат на живота ISMS се състои от четири вида дейности: Създаване - Внедряване и експлоатация - Мониторинг и анализ - Поддръжка и подобряване (Фиг. 1). Този стандарт ще бъде разгледан по -подробно във втората част.

Ссистемауправлениеинформациясигурност

Система за управление на информационната сигурност (ISMS) се отнася до онази част от цялостната система за управление, която се основава на подход за бизнес риск при създаването, внедряването, функционирането, мониторинга, анализа, поддръжката и подобряването на информационната сигурност. Процесите на ISMS са проектирани в съответствие с изискванията на стандарта ISO / IEC 27001: 2005, който се основава на цикъла

Работата на системата се основава на подходите на съвременната теория за управленските рискове, което осигурява нейното интегриране в цялостната система за управление на риска на организацията.

Въвеждането на система за управление на информационната сигурност предполага разработване и прилагане на процедура, насочена към системно идентифициране, анализ и смекчаване на рисковете за сигурността на информацията, тоест рисковете, в резултат на които информационните активи (информация под каквато и да е форма и от всякакъв характер ) ще загуби поверителност, почтеност и наличност.

За да се гарантира системно смекчаване на рисковете за сигурността на информацията, въз основа на резултатите от оценката на риска, в организацията се прилагат следните процеси:

· Управление на вътрешната организация на информационната сигурност.

· Осигуряване на информационна сигурност при взаимодействие с трети страни.

· Управление на регистъра на информационните активи и правилата за тяхната класификация.

· Управление на безопасността на оборудването.

· Осигуряване на физическа сигурност.

· Осигуряване на информационна сигурност на персонала.

· Планиране и приемане на информационни системи.

· Архивиране.

· Осигуряване на мрежата.

Процесите на системата за управление на информационната сигурност засягат всички аспекти на управлението на ИТ инфраструктурата на организацията, тъй като информационната сигурност е резултат от устойчивото функциониране на процесите, свързани с информационните технологии.

При изграждането на ISMS в компаниите специалистите извършват следната работа:

· Организирайте управление на проекти, сформирайте екип по проекта от страна на клиента и изпълнителя;

· Определете областта на дейност (AO) на ISMS;

Проучете организацията в OD ISMS:

o по отношение на бизнес процесите на организацията, включително анализ негативни последициинциденти със сигурността на информацията;

o по отношение на процесите на управление на организацията, включително съществуващите процеси за управление на качеството и управление на информационната сигурност;

o по отношение на ИТ инфраструктурата;

o по отношение на инфраструктурата за информационна сигурност.

Разработване и съгласуване на аналитичен доклад, съдържащ списък на основните бизнес процеси и оценка на последиците от прилагането на заплахите за информационна сигурност във връзка с тях, списък на процесите на управление, ИТ системи, подсистеми за информационна сигурност (МКС), оценка на степента, в която организацията отговаря на всички изисквания на ISO 27001, и оценка на зрелостта на процесите организации;

· Изберете първоначално и целево ниво на зрялост на ISMS, разработете и одобрете Програмата за подобряване на зрелостта на ISMS; разработване на документация за защита на информацията на високо ниво:

o Концепция за информационна сигурност,

o IS и ISMS политики;

· Изберете и адаптирайте методологията за оценка на риска, приложима в организацията;

· Избор, доставка и внедряване на софтуер, използван за автоматизиране на ISMS процесите, организиране на обучение за фирмени специалисти;

· Оценка и обработка на рисковете, по време на които се избират мерки от допълнение А на стандарт 27001 за тяхното намаляване и се формулират изискванията за тяхното прилагане в организацията, предварително се избират технически средства за информационна сигурност;

· Разработване на предварителни проекти на PIB, оценка на разходите за третиране на риска;

· Организира одобряването на оценката на риска от висшето ръководство на организацията и разработва Декларацията за приложимост; разработване на организационни мерки за осигуряване на информационна сигурност;

· Разработване и внедряване технически проектиотносно внедряването на подсистеми за сигурност на техническата информация, които подпомагат изпълнението на избраните мерки, включително доставка на оборудване, въвеждане в експлоатация, разработване на оперативна документация и обучение на потребителите;

· Осигуряват консултации по време на експлоатацията на изградената СУИБ;

· Организиране на обучение за вътрешни одитори и провеждане на вътрешни одити на ISMS.

Резултатът от тези работи е функционираща ISMS. Ползите от внедряването на ISMS в една компания се постигат чрез:

· Ефективно управление на спазването на законовите изисквания и бизнес изискванията в областта на информационната сигурност;

· Предотвратяване на инциденти с ИБ и намаляване на щетите в случай на тяхното възникване;

· Повишаване на културата на информационна сигурност в организацията;

· Повишаване на зрелостта в областта на управлението на сигурността на информацията;

· Оптимизиране на разходите за информационна сигурност.

ISO / IEC27001-- международнистандартНаинформациясигурност

Този стандарт е разработен съвместно от Международната организация по стандартизация (ISO) и Международната електротехническа комисия (IEC). Стандартът съдържа изисквания за информационна сигурност за създаване, разработване и поддържане на ISMS. ISO 27001 определя изисквания за ISMS, за да демонстрира способността на организацията да защитава своите информационни активи. Международният стандарт използва понятието „защита на информацията“ и се тълкува като гарантиране на поверителността, целостта и наличността на информация. Основата на стандарта е системата за управление на информационния риск. Този стандарт може да се използва и за оценка на съответствието от заинтересовани вътрешни и външни страни.

Стандартът приема процесния подход за създаване, внедряване, експлоатация, непрекъснат мониторинг, анализ, поддържане и подобряване на система за управление на информационната сигурност (ISMS). Той се състои в прилагането на система от процеси в рамките на една организация, заедно с идентифицирането и взаимодействието на тези процеси, както и тяхното управление.

Международният стандарт възприема модела Plan-Do-Check-Act (PDCA), който се нарича още цикъл Шухарт-Деминг. Този цикъл се използва за структуриране на всички ISMS процеси. Фигура 2 показва как ISMS приема изискванията за информационна сигурност и очакванията на заинтересованите страни като входни данни и чрез необходимите действия и процеси произвежда резултати от информационната сигурност, които отговарят на тези изисквания и очаквания.

Планирането е фазата на създаване на СУИБ, създаване на опис на активи, оценка на рисковете и избор на мерки.

Фигура 2. PDCA модел, приложен към ISMS процесите

Изпълнението е етапът на изпълнение и прилагане на подходящи мерки.

Прегледът е фазата на оценка на ефективността и изпълнението на ISMS. Обикновено се извършва от вътрешни одитори.

Действие - предприемане на превантивни и коригиращи действия.

Vизводи

ISO 27001 описва общ модел за внедряване и функциониране на ISMS и действия за наблюдение и подобряване на ISMS. ISO възнамерява да хармонизира различни стандарти за система за управление, като ISO / IEC 9001: 2000, който се занимава с управление на качеството, и ISO / IEC 14001: 2004, който се занимава със системи за управление на околната среда. Целта на ISO е да осигури последователност и интеграция на ISMS с други системи за управление в компанията. Сходството на стандартите позволява използването на подобни инструменти и функционалност за внедряване, управление, преразглеждане, проверка и сертифициране. Изводът е, че ако една компания е въвела други стандарти за управление, тя може да използва единна система за одит и управление, която е приложима за управление на качеството, управление на околната среда, управление на безопасността и т.н. Чрез внедряване на СУИБ висшето ръководство получава средства за наблюдение и управление на сигурността, което намалява остатъчните бизнес рискове. След внедряване на ISMS, компанията може официално да гарантира сигурността на информацията и да продължи да спазва изискванията на клиентите, законодателството, регулаторните органи и акционерите.

Трябва да се отбележи, че в законодателството на Руската федерация има документ GOST R ISO / IEC 27001-2006, който е преведена версия на международния стандарт ISO27001.

Сскърцанелитература

1. Корнеев И.Р., Беляев А.В. Информационна сигурност на предприятието. - SPb.: BHV-Petersburg, 2003.- 752 стр.: Ил.

2. Международен стандарт ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (дата на достъп: 23.05.12)

3. Национален стандарт Руска федерацияГОСТ R ISO/IEC 27003-"Информационни технологии. Методи за сигурност. Насоки за внедряване на система за управление на информационната сигурност" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (дата на достъп: 23.05.12)

4. Скиба В.Ю., Курбатов В.А. Насоки за защита срещу вътрешни заплахи за сигурността на информацията. СПб.: Петър, 2008.- 320 с.: Ил.

5. Статия от безплатната енциклопедия „Уикипедия“, „Система за управление

информационна сигурност "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (дата на достъп: 23.05.12)

6. Сигурджон Тор Арнасън и Кийт Д. Уилет „Как да постигнем сертификат 27001“

Публикувано на Allbest.ru

Подобни документи

    Заплахи за информационна сигурност в предприятието. Идентифициране на недостатъци в системата за информационна сигурност. Целите и задачите на формирането на системата за информационна сигурност. Предложени мерки за подобряване на системата за информационна сигурност на организацията.

    курсова работа, добавена на 02.03.2011 г.

    Анализ на системата за информационна сигурност в предприятието. Служба за защита на информацията. Специфични за предприятието заплахи за информационната сигурност. Методи и средства за защита на информацията. Модел на информационната система от гледна точка на сигурността.

    курсова работа, добавена на 02.03.2011 г.

    Основните етапи на създаване на система за управление в предприятието Хранително-вкусовата промишленост... HACCP като гръбнак на всяка система за управление на безопасността на храните. Система за управление на безопасността на храните. Опасни фактори и превантивни действия.

    резюме, добавено на 14.10.2014 г.

    Съвременни системи за управление и тяхната интеграция. Интегрирани системи за управление на качеството. Описание на АД "275 АРЗ" и неговата система за управление. Развитие на система за управление на опазването на труда. Методи за оценка на интегрирана система за сигурност.

    дипломна работа, добавена на 31.07.2011 г.

    Внедряване на система за управление на качеството. Сертифициране на системи за управление на качеството (ISO 9000), управление на околната среда (ISO 14000), системи за управление на здравето и безопасността на организациите (OHSAS 18 001: 2007) по примера на АД "Лента".

    резюме, добавено на 10.06.2008 г.

    Разработване на стандарт за организиране на интегрирана система за управление, която установява единна процедура за внедряване на процеса на управление на документи. Етапи на създаване на системата за управление на качеството на АД "ЗСМК". Настаняване електронни версиидокументи.

    дипломна работа, добавена на 01.06.2014 г.

    Йерархична диаграма на служителите. Инструменти за защита на информацията. Въпроси за състоянието на сигурността. Диаграма на информационните потоци на предприятието. Методи за наблюдение на целостта на информационната система. Моделиране на контрол на достъпа до сервизна информация.

    курсова работа, добавена на 30.12.2011 г.

    Концепцията за информационна система за управление и нейното място в обща системауправление. Видове информационни системи и тяхното съдържание. Концепцията за управление като информационна система. Функции на системата за финансово управление. Системи за сключване на сделки и операции.

    резюмето е добавено на 01/06/2015

    Концепции в областта на здравето и безопасността при работа. Международни стандарти ISO относно системите за управление на качеството, системите за управление на околната среда, системите за управление на безопасността и здравето при работа. Адаптация на стандарта OHSAS 18001-2007.

    курсова работа, добавена на 21.12.2014 г.

    Характеристика управление на информацията; субекти на информация и правоотношения; правен режим за получаване, прехвърляне, съхраняване и използване на информация. Характеристики и правни аспекти на обмена на информация и сигурността на информацията.

Подобни публикации