Система за управление на информационната сигурност. Законодателната рамка на Руската федерация. Управление на информационния риск

В света информационни технологиивъпросът за гарантиране на целостта, надеждността и поверителността на информацията става приоритет. Следователно, признаването на необходимостта от система за управление в организацията информационна сигурност(ISMS) е стратегическо решение.

Той е проектиран да създава, внедрява, поддържа и непрекъснато подобрява ISMS в предприятие и чрез прилагане на този стандарт към външни партньори става очевидно, че организацията е в състояние да отговори на собствените си изисквания за информационна сигурност. Тази статия ще обсъди основните изисквания на стандарта и ще обсъди неговата структура.

(ADV31)

Основните цели на стандарта ISO 27001

Преди да преминем към описанието на структурата на стандарта, нека да определим основните му задачи и да разгледаме историята на появата на стандарта в Русия.

Цели на стандарта:

• заведение единни изискванияза всички организации да създават, внедряват и подобряват СУИБ;
• осигуряване на взаимодействие между висшето ръководство и служителите;
• запазване на поверителността, целостта и наличността на информацията.

В същото време изискванията, установени от стандарта, са общи и са предназначени да бъдат прилагани от всяка организация, независимо от техния вид, размер или естество.

История на стандарта:

• През 1995 г. Британският институт по стандарти (BSI) прие Кодекса за управление на информационната сигурност като национален стандартВеликобритания и го регистрира под BS 7799 - част 1.
• През 1998 г. BSI публикува BS7799-2 в две части, едната съдържа кодекс на практика, а другата изисквания за системи за управление на информационната сигурност.
• В хода на последващи ревизии, първата част беше публикувана като BS 7799: 1999, част 1. През 1999 г. тази версия на стандарта е прехвърлена на Международната организация за сертифициране.
• Този документ е одобрен през 2000 г. като международен стандарт ISO / IEC 17799: 2000 (BS 7799-1: 2000). Последна версияна този стандарт, приет през 2005 г., е ISO / IEC 17799: 2005.
• През септември 2002 г. влезе в сила втората част на BS 7799 "Спецификация на системата за управление на информационната сигурност". Втората част на BS 7799 е преработена през 2002 г., а в края на 2005 г. е приета от ISO като международен стандарт ISO/IEC 27001: 2005 „Информационни технологии – Техники за сигурност – Системи за управление на информационната сигурност – Изисквания”.
• През 2005 г. стандартът ISO / IEC 17799 беше включен в линията от стандарти от 27-та серия и получи нов номер- ISO / IEC 27002: 2005.
• На 25 септември 2013 г. беше публикуван актуализираният ISO / IEC 27001: 2013 „Системи за управление на информационната сигурност“. Изисквания". Понастоящем организациите са сертифицирани в съответствие с тази версия на стандарта.

Структура на стандарта

Едно от предимствата на този стандарт е сходството на неговата структура с ISO 9001, тъй като съдържа идентични подзаглавия, идентичен текст, общи термини и основни дефиниции. Това обстоятелство спестява време и пари, тъй като част от документацията вече е разработена по време на сертифицирането по ISO 9001.

Ако говорим за структурата на стандарта, това е списък с изисквания за ISMS, които са задължителни за сертифициране и се състои от следните раздели:

Изискванията на "Приложение А" са задължителни, но стандартът ви позволява да изключите области, които не могат да бъдат приложени в предприятието.

Когато прилагате стандарта в предприятие за по-нататъшно сертифициране, си струва да запомните, че не се допускат изключения от изискванията, установени в раздели 4 - 10. Тези раздели ще бъдат обсъдени допълнително.

Нека започнем с раздел 4 – Организационен контекст

Контекст на организацията

В този раздел стандартът изисква организацията да идентифицира външни и вътрешни проблеми, които са от значение за нейните цели и които засягат способността на нейната СУИБ да постига очакваните резултати. При това трябва да вземете предвид законовите, регулаторните и договорните задължения по отношение на информационната сигурност. Организацията също така трябва да дефинира и документира обхвата и приложимостта на ISMS, за да установи неговия обхват.

Лидерство

Висшето ръководство трябва да демонстрира лидерство и ангажираност към системата за управление на информационната сигурност, като например гарантира, че политиката за информационна сигурност и целите за информационна сигурност са установени и приведени в съответствие със стратегията на организацията. Освен това висшето ръководство трябва да гарантира, че са осигурени всички необходими ресурси за СУИБ. С други думи, за служителите трябва да е очевидно, че ръководството участва в проблемите на информационната сигурност.

Политиката за информационна сигурност трябва да бъде документирана и съобщена на служителите. Този документ напомня политиката за ISO качество 9001. Също така трябва да е подходящо за целите на организацията и да включва цели за информационна сигурност. Добре е, ако това са реални цели, като запазване на поверителността и целостта на информацията.

Също така се очаква ръководството да разпредели функциите и отговорностите, свързани с информационната сигурност, между служителите.

Планиране

В този раздел стигаме до първия етап от принципа на управление на PDCA (Plan - Do - Check - Act) - планирайте, изпълнявайте, проверявайте, действайте.

Когато планира системата за управление на информационната сигурност, организацията трябва да вземе предвид въпросите, посочени в точка 4, и да определи рисковете и потенциалните възможности, които трябва да бъдат взети предвид, за да се гарантира, че ISMS може да постигне очакваните резултати, да предотврати нежелани ефекти, и постигане на непрекъснато подобрение.

Когато планира как да постигне целите си за информационна сигурност, организацията трябва да определи:

• какво ще се направи;
• какви ресурси ще са необходими;
• кой ще отговаря;
• когато целите са постигнати;
• как ще се оценяват резултатите.

В допълнение, организацията трябва да съхранява данни за целите на информационната сигурност като документирана информация.

Сигурност

Организацията трябва да определи и предостави ресурсите, необходими за разработване, внедряване, поддържане и непрекъснато подобряване на ISMS, това включва както персонал, така и документация. По отношение на персонала се очаква организацията да наема квалифициран и компетентен персонал по сигурността на информацията. Квалификацията на работниците трябва да бъде потвърдена със сертификати, дипломи и др. Възможно е да привлечете специалисти от трети страни по договор или да обучите служителите си. Що се отнася до документацията, тя трябва да включва:

• документирана информация, изисквана от стандарта;
• документирана информация, определена от организацията като необходима за осигуряване на ефективността на системата за управление на информационната сигурност.

Документираната информация, изисквана от ISMS и стандарта, трябва да се контролира, за да се гарантира, че:

• налични и подходящи за използване, където и когато е необходимо, и
• подходящо защитени (например от загуба на поверителност, злоупотреба или загуба на целостта).

Функциониране

Този раздел обсъжда втората фаза на принципа на управление на PDCA – необходимостта от организация да управлява процеси, за да гарантира съответствие и да следва дейностите, идентифицирани в раздела за планиране. Той също така посочва, че организацията трябва да извършва оценки на риска за информационната сигурност на планирани интервали или когато е предложено или възникнало. значителни промени... Организацията запазва резултатите от оценката на риска за сигурността на информацията като документирана информация.

Оценка на изпълнението

Третият етап е проверка. Организацията оценява работата и ефективността на СУИБ. Например, трябва да извърши вътрешен одит, за да получи информация дали

1. Съответства ли системата за управление на информационната сигурност
   • собствените изисквания на организацията към нейната система за управление на информационната сигурност;
   • изискванията на стандарта;
2. че системата за управление на информационната сигурност е ефективно внедрена и функционираща.

От само себе си се разбира, че обхватът и времето на одитите трябва да се планират предварително. Всички резултати трябва да бъдат документирани и запазени.

Подобрение

Целта на този раздел е да се определи хода на действие при откриване на несъответствие. Организацията трябва да коригира несъответствията, последствията и да анализира ситуацията, за да не се случи това в бъдеще. Всички несъответствия и коригиращи действия трябва да бъдат документирани.

Това завършва основните раздели на стандарта. Приложение А предоставя по-специфични изисквания, на които трябва да отговаря една организация. Например, по отношение на контрола на достъпа, използвайте мобилни устройстваи носители на информация.

Ползи от внедряването и сертифицирането на ISO 27001

• повишаване на статута на организацията и съответно на доверието на партньорите;
• повишаване на стабилността на организацията;
• повишаване нивото на защита срещу заплахи за информационната сигурност;
• осигуряване на необходимото ниво на поверителност на информацията на заинтересованите страни;
• разширяване на възможностите на организацията да участва в големи договори.

Икономическите ползи са:

• независимо потвърждение от сертифициращия орган, че организацията има високо ниво на информационна сигурност, контролирана от компетентен персонал;
• доказателство за съответствие с приложимите закони и наредби (съответствие със системата от задължителни изисквания);
• демонстрация на определено високо ниво на системи за управление за осигуряване на подходящо ниво на обслужване на клиентите и партньорите на организацията;
• Демонстрация на редовни одити на системите за управление, оценки на изпълнението и непрекъснато подобрение.

Сертифициране

Една организация може да бъде сертифицирана от акредитирани агенции в съответствие с този стандарт. Процесът на сертифициране се състои от три етапа:

• Етап 1 - проучване от одитора на ключови ISMS документи за съответствие с изискванията на стандарта - може да се извърши както на територията на организацията, така и чрез прехвърляне на тези документи на външен одитор;
• 2-ри етап - подробен одит, включващ тестване на приложените мерки и оценка на тяхната ефективност. Включва цялостно проучване на документите, изисквани от стандарта;
• 3-ти етап - извършване на инспекционен одит за потвърждаване, че сертифицираната организация отговаря на посочените изисквания. Извършва се на периодична база.

Резултат

Както можете да видите, използването на този стандарт в предприятието ще позволи качествено да се подобри нивото на информационна сигурност, което е скъпо в съвременните реалности. Стандартът съдържа много изисквания, но най-важното изискване е да се прави написаното! Без реално да се прилагат изискванията на стандарта, той се превръща в празен комплект листчета.

ГОСТ R ISO / IEC 27001-2006 „Информационни технологии. Методи и средства за осигуряване на безопасност. Системи за управление на информационната сигурност. Изисквания"

Разработчиците на стандарта отбелязват, че той е изготвен като модел за разработване, внедряване, експлоатация, наблюдение, анализ, поддръжка и усъвършенстване на системата за управление на информационната сигурност (ISMS). ISMS (система за управление на информационната сигурност; ISMS) се определя като част от обща системауправление, базирано на използването на методи за оценка на бизнес риска за разработване, внедряване, експлоатация, наблюдение, анализ, поддръжка и подобряване на информационната сигурност. Системата за управление включва организационна структура, политики, дейности по планиране, отговорности, практики, процедури, процеси и ресурси.

Стандартът предполага използването на процесен подход за разработване, внедряване, експлоатация, наблюдение, анализ, поддръжка и подобряване на СУИБ на организацията. Той се основава на модела "Планирайте - Направи - Провери - Действай" (PDCA), който може да се приложи за структуриране на всички ISMS процеси. На фиг. 4.4 показва как СУИБ, използвайки изискванията за информационна сигурност и очакваните резултати от заинтересованите страни като вход, чрез необходимите действия и процеси, осигурява резултати за информационна сигурност, които отговарят на тези изисквания и очакваните резултати.

Ориз. 4.4.

На сцената "Разработване на система за управление на информационната сигурност"организацията трябва да направи следното:

• - определя обхвата и границите на СУИБ;
• - определяне на политиката на СУИБ въз основа на характеристиките на бизнеса, организацията, нейното местоположение, активи и технологии;
• - определят подхода за оценка на риска в организацията;
• - идентифициране на рискове;
• - анализират и оценяват рисковете;
• - идентифициране и оценка на различни варианти за лечение на риска;
• - изберете цели и контроли за третиране на риска;
• - да получи одобрение от ръководството на очакваните остатъчни рискове;
• - Получаване на разрешение от ръководството за внедряване и експлоатация на СУИБ;
• - изготвят Декларация за приложимост.

Сцена " Внедряване и функциониране на системата за управление на информационната сигурност"предлага организацията да:

• - да разработи план за третиране на риска, който определя подходящите управленски действия, ресурси, отговорности и приоритети за управление на риска за информационната сигурност;
• - да прилага план за третиране на риска за постигане на планираните управленски цели, включително финансови въпроси, както и разпределение на ролите и отговорностите;
• - изпълнява избраните мерки за управление;
• - определяне на начина за измерване на ефективността на избраните мерки за контрол;
• - изпълнява програми за обучение и професионално развитие на служителите;
• - управлява работата на СУИБ;
• - управлява ISMS ресурси;
• - да прилага процедури и други мерки за контрол за осигуряване на бързо откриване на събития по сигурността на информацията и реагиране на инциденти, свързани с информационната сигурност.

Трети етап" Мониторинг и анализ на системата за управление на информационната сигурност"изисква:

• - провеждат процедури за наблюдение и анализ;
• - провеждане на редовен анализ на ефективността на СУИБ;
• - измерва ефективността на мерките за контрол за проверка на съответствието с изискванията за ИС;
• - преразглежда оценките на риска в определени периоди от време, анализира остатъчните рискове и установените приемливи нива на риск, като се вземат предвид промените;
• - провеждане на вътрешни ISMS одити на определени интервали от време;
• - редовно провеждане на анализ на СУИБ от ръководството на организацията, за да се потвърди адекватността на функционирането на СУ и да се определят насоките за подобрение;
• - актуализиране на плановете за ИС, като се вземат предвид резултатите от анализа и мониторинга;
• - регистрират действия и събития, които могат да повлияят на ефективността или работата на СУИБ.

И накрая, сцената "Поддържане и подобряване на системата за управление на информационната сигурност"предлага организацията да провежда редовно следните дейности:

• - идентифициране на възможности за подобряване на СУИБ;
• - предприемат необходимите коригиращи и превантивни действия, използват на практика опита в осигуряването на информационна сигурност, придобит както в собствената си организация, така и в други организации;
• - предава подробна информация за действията за подобряване на СУИБ на всички заинтересовани страни, като степента на нейната детайлност трябва да съответства на обстоятелствата и при необходимост да се договарят по-нататъшни действия;
• - осигуряване на внедряване на подобрения на СУИБ за постигане на планираните цели.

По-нататък в стандарта са дадени изискванията за документация, която трябва да включва разпоредбите на ISMS политиката и описание на зоната на действие, описание на методологията и доклад за оценка на риска, план за третиране на риска и документация на свързани процедури. Трябва също да се дефинира процес за управление на ISMS документи, включително актуализиране, използване, съхранение и изхвърляне.

За предоставяне на доказателства за съответствие с изискванията и ефективността на функционирането на СУИБ е необходимо да се поддържат и поддържат записи и записи за изпълнението на процесите. Примерите включват дневници на посетители, одитни доклади и др.

Стандартът уточнява, че ръководството на организация е отговорно за осигуряването и управлението на ресурсите, необходими за създаване на СУИБ и за организиране на обучение за персонал.

Както беше отбелязано по-горе, организацията трябва да провежда вътрешни одити на ISMS в съответствие с одобрен график, за да оцени нейната функционалност и съответствие със стандарта. А ръководството трябва да направи анализ на системата за управление на информационната сигурност.

Също така трябва да се работи за подобряване на системата за управление на информационната сигурност: за повишаване на нейната ефективност и нивото на съответствие с текущото състояние на системата и изискванията към нея.

Въведение

Бързо развиваща се компания, както и гигант в своя сегмент, се интересува от печалба и защита от влиянието на натрапници. Ако по-рано кражбата на материални ценности беше основната опасност, то днес основната роля на кражбата е по отношение на ценна информация. Превод на значителна част от информацията в електронна форма, използването на локални и глобални мрежи създава качествено нови заплахи за поверителна информация.

Банките са особено чувствителни към изтичане на информация, управленски организации, застрахователни компании. Защитата на информацията в предприятието е набор от мерки за гарантиране безопасността на данните на клиентите и служителите, важните електронни документи и всякакъв вид информация, тайни. Всяко предприятие е оборудвано с компютърно оборудване и достъп до световната мрежа. Нападателите умело се свързват с почти всеки компонент на тази система и използват голям арсенал (вируси, зловреден софтуер, отгатване на пароли и т.н.), за да откраднат ценна информация. Във всяка организация трябва да бъде внедрена система за информационна сигурност. Лидерите трябва да събират, анализират и категоризират всички видове информация, която трябва да бъде защитена, и да използват подходяща система за сигурност. Но това няма да е достатъчно, тъй като освен технология, има и човешки фактор, който също може успешно да изтече информация към конкурентите. Важно е правилно да организирате защитата на вашето предприятие на всички нива. За тези цели се използва система за управление на информационната сигурност, с помощта на която мениджърът ще установи непрекъснат процес на наблюдение на бизнеса и ще осигури високо ниво на сигурност на данните си.

1. Актуалност на темата

За всеки модерно предприятие, фирма или организация, една от най-важните задачи е именно осигуряването на информационна сигурност. Когато едно предприятие стабилно защитава своята информационна система, то създава надеждна и сигурна среда за своите операции. Повредата, изтичането, липсата и кражбата на информация винаги са загуби за всяка компания. Следователно създаването на система за управление на информационната сигурност в предприятията е спешен въпрос на нашето време.

2. Цели и задачи на изследването

Анализирайте начините за създаване на система за управление на информационната сигурност в предприятието, като се вземат предвид особеностите на Донецкия регион.

• анализирам състояние на техникатаСистеми за управление на информационната сигурност в предприятията;
• идентифицира причините за създаването и внедряването на система за управление на информационната сигурност в предприятията;
• да разработи и внедри система за управление на информационната сигурност по примера на предприятието PJSC Donetsk Mine Space Equipment Plan;
• оценка на ефективността, ефикасността и икономическата осъществимост от въвеждането на система за управление на информационната сигурност в предприятието.

3. Система за управление на информационната сигурност

Информационната сигурност се разбира като състояние на защита на информацията и поддържащата инфраструктура от случайни или умишлени влияния от естествен или изкуствен характер (информационни заплахи, заплахи за информационната сигурност), които могат да причинят неприемливи щети на субектите на информационните отношения.

Наличност на информация – свойството на системата да осигурява своевременен безпрепятствен достъп на упълномощени (упълномощени) субекти до информация, представляваща интерес за тях или да осъществява своевременен информационен обмен между тях.

Цялостността на информацията е свойство на информацията, което характеризира нейната устойчивост срещу случайно или умишлено унищожаване или неразрешена промяна. Целостта може да бъде разделена на статична (разбирана като неизменност на информационните обекти) и динамична (свързана с правилното изпълнение на сложни действия (транзакции)).

Поверителността на информацията е свойството на информацията да бъде известна и достъпна само за оторизирани субекти на системата (потребители, програми, процеси). Поверителността е най-развитият аспект на информационната сигурност у нас.

Системата за управление на информационната сигурност (наричана по-долу СУИБ) е част от общата система за управление, базирана на подходи към бизнес риска, предназначена за създаване, внедряване, управление, наблюдение, поддържане и подобряване на информационната сигурност.

Основните фактори, влияещи върху защитата на информацията и данните в предприятието са:

• Подобряване на сътрудничеството на компанията с партньори;
• Автоматизация на бизнес процеси;
• Тенденцията към увеличаване на обема на информацията на предприятието, която се предава по наличните комуникационни канали;
• Тенденция за нарастване на компютърните престъпления.

Задачите на системите за информационна сигурност на компанията са многостранни. Например, това е осигуряването на надеждно съхранение на данни на различни носители; защита на информация, предавана по комуникационни канали; ограничаване на достъпа до някои данни; създаване на резервни копия и др.

Пълноценната информационна сигурност на една компания е реална само с правилния подход към защитата на данните. В системата за информационна сигурност е необходимо да се вземат предвид всички текущи заплахи и уязвимости.

Един от най-ефективните инструменти за управление и защита на информацията е системата за управление на информационната сигурност, изградена на базата на модела MS ISO/IEC 27001:2005. Стандартът се основава на процесен подходкъм разработването, внедряването, експлоатацията, мониторинга, анализа, поддръжката и усъвършенстването на ИСИС на компанията. Състои се в създаването и прилагането на система от управленски процеси, които са свързани помежду си в непрекъснат цикъл на планиране, внедряване, проверка и усъвършенстване на СУИБ.

Този международен стандарт е изготвен с цел създаване на модел за внедряване, внедряване, експлоатация, наблюдение, анализ, поддръжка и подобряване на СУИБ.

Основните фактори за внедряването на ISMS:

• законодателни - изискванията на действащото национално законодателство по отношение на ИС, международни изисквания;
• конкурентни - съответствие с нивото, елитарност, защита на техните нематериални активи, превъзходство;
• анти-престъпност - защита от нападатели (бели якички), предотвратяване на пакости и тайно наблюдение, събиране на доказателства за производство.

Структурата на документацията за информационна сигурност е показана на фигура 1.

Фигура 1 - Структурата на документацията в областта на информационната сигурност

4. Изграждане на ISMS

Поддръжниците на ISO използват модела PDCA, за да създадат ISMS. ISO прилага този модел към много от своите стандарти за управление и ISO 27001 не е изключение. Освен това, следването на модела PDCA при организиране на процеса на управление ви позволява да използвате същите техники и в бъдеще – за управление на качеството, управление на околната среда, управление на безопасността, както и в други области на управление, което намалява разходите. Следователно, PDCA е отличен избор, отговарящ напълно на задачите по създаване и поддържане на ISMS. С други думи, етапите на PDCA определят как да се установят политики, цели, процеси и процедури, подходящи за управляваните рискове (етап на планиране), прилагане и използване (етап на изпълнение), оценка и, където е възможно, измерване на резултатите от процеса от точка от гледна точка на политиката (етап на проверка), предприемете коригиращи и превантивни действия (етап на подобрение - Акт). Допълнителни концепции, които не са част от стандартите на ISO, които могат да бъдат полезни при създаването на ISMS са: състояние както трябва (в бъдеще); състояние както е (както е); преходен план.

В основата на ISO 27001 е система за управление на информационния риск.

Етапи на създаване на ISMS

Като част от работата по създаването на ISMS могат да се разграничат следните основни етапи:

Фигура 2 - PDCA модел за управление на информационната сигурност (анимация: 6 кадъра, 6 повторения, 246 килобайта)

5. Управление на информационния риск

Управлението на риска се разглежда на административно ниво на информационната сигурност, тъй като само ръководството на организацията е в състояние да разпредели необходимите ресурси, да инициира и контролира изпълнението на съответните програми.

Използването на информационни системи е свързано с определен набор от рискове. Когато потенциалните щети са неприемливо големи, е необходимо да се вземат икономически оправдани мерки за защита. Необходима е периодична (повторна) оценка на риска, за да се наблюдава ефективността на дейностите по сигурността и да се вземат предвид промените в околната среда.

Същността на дейностите по управление на риска е да се оцени техния размер, да се разработят ефективни и рентабилни мерки за смекчаване на рисковете и след това да се гарантира, че рисковете се ограничават в приемливи граници (и остават такива).

Процесът на управление на риска може да бъде разделен на следните етапи:

1. Изборът на анализираните обекти и степента на детайлност на тяхното разглеждане.
2. Избор на методология за оценка на риска.
3. Идентификация на активи.
4. Анализ на заплахите и техните последствия, идентифициране на уязвимости в защитата.
5. Оценка на риска.
6. Избор на защитни мерки.
7. Изпълнение и проверка на избраните мерки.
8. Оценка на остатъчния риск.

Управлението на риска, както всяка друга дейност по сигурността на информацията, трябва да бъде интегрирана в жизнен цикъл IP. Тогава ефектът е най-голям, а разходите са минимални.

Много е важно да изберете правилна методология за оценка на риска. Целта на оценката е да се получи отговор на два въпроса: приемливи ли са съществуващите рискове и ако не, кои защитни средства трябва да се използват. Това означава, че оценката трябва да бъде количествена, позволяваща сравнение с предварително избрани граници на допустимост и разходите за въвеждане на нови регулатори на безопасността. Управлението на риска е типична задача за оптимизация и има доста софтуерни продуктикоето може да помогне за решаването му (понякога такива продукти са просто прикрепени към книги за информационна сигурност). Основната трудност обаче се крие в неточността на изходните данни. Можете, разбира се, да опитате да получите паричен израз за всички анализирани стойности, да изчислите всичко до най-близката стотинка, но няма много смисъл в това. По-практично е да се използват конвенционални единици. В най-простия и напълно приемлив случай можете да използвате тристепенна скала.

Основните етапи на управление на риска.

Първата стъпка в анализа на заплахите е идентифицирането им. Разглежданите видове заплахи трябва да бъдат избрани въз основа на съображения на здравия разум (с изключение например на земетресенията, но без да забравяме за възможността за завземане на организацията от терористи), но в рамките на избраните типове извършете най-подробния анализ.

Препоръчително е да се идентифицират не само самите заплахи, но и източниците на тяхното възникване - това ще помогне при избора на допълнителни средства за защита.

След идентифициране на заплахата е необходимо да се оцени вероятността от нейното изпълнение. Допустимо е използването на тристепенна скала (ниска (1), средна (2) и висока (3) вероятност).

Ако някои рискове се окажат неприемливо високи, е необходимо те да се неутрализират чрез прилагане на допълнителни мерки за защита. Обикновено, за да се елиминира или неутрализира уязвимост, която направи заплахата реална, има няколко механизма за сигурност, които се различават по ефективност и цена.

Както при всяка дейност, внедряването и тестването на нови регулатори на безопасността трябва да се планират предварително. Планът трябва да вземе предвид присъствието финансови ресурсии времето за обучение на персонала. Ако говорим за софтуерен и хардуерен защитен механизъм, трябва да съставите тестов план (автономен и сложен).

Когато се вземат предвидените мерки, е необходимо да се провери тяхната ефективност, тоест да се уверите, че остатъчните рискове са станали приемливи. Ако това наистина е така, тогава можете спокойно да планирате датата на следващата преоценка. В противен случай ще трябва да анализирате допуснатите грешки и незабавно да стартирате отново сесията за управление на риска.

заключения

Всеки ръководител на предприятието се грижи за своя бизнес и затова трябва да разбере, че решението за внедряване на система за управление на информационната сигурност (ISMS) е важна стъпка, която ще сведе до минимум рисковете от загуба на активи на предприятието/организацията и ще намали финансовите загуби, и в някои случаи избягване на фалит.

Информационната сигурност е важна за бизнеса, както частния, така и публичния сектор. Трябва да се разглежда като инструмент за оценка, анализ и минимизиране на свързаните рискове.

Безопасността, която може да бъде постигната чрез технологията, е ограничена и трябва да се поддържа чрез подходящи контроли и процедури.

Определянето на контрола изисква внимателно планиране и внимание.

За ефективна защита на информацията трябва да се разработят най-подходящите мерки за сигурност, които могат да бъдат постигнати чрез идентифициране на основните рискове на информацията в системата и прилагане на подходящи мерки.

Биячуев Т.А. Безопасност корпоративни мрежи/ изд. Л.Г. Осовецки. - SPb.: Издателство на SPb GU ITMO, 2006 .-- 161 с.

Шахалов Игор Юриевич

По въпроса за интегрирането на системите за управление на качеството и информационната сигурност

Резюме: Разгледани са международните стандарти ISO 27001 и ISO 9001. Извършен е анализ на приликите и разликите между системата за управление на качеството и системата за управление на информационната сигурност. Показана е възможността за интегриране на системата за управление на качеството и системата за управление на информационната сигурност. Дадени са основните етапи на изграждане и внедряване на интегрирана система за управление на информационната сигурност. Показани са предимствата на интегрирания подход.

Ключови думи: системи за управление на информационната сигурност, интегрирани системи за управление, ISMS, QMS, ISO 27001.

Наталия Олеговна

Въведение

V съвременен святс появата на общи и удобни технически устройствапроблемът с информационната сигурност се очерта доста остро. Наред с пускането на качествени продукти или предоставянето на услуги на предприятия и организации, е важно да се запази необходимата информация в тайна от конкурентите, за да остане в благоприятна позиция на пазара. В конкурентната борба са широко разпространени различни действия, насочени към получаване (получаване, придобиване) на поверителна информация. различни начини, до директен индустриален шпионаж с помощта на съвременни технически средства за разузнаване.

Така организации, които се придържат към най-добрите световни практики, съдържащи изисквания, насоки за внедряване на системи за управление на бизнес процеси, стават лидери на пазара. Най-добрите стандарти за проектиране, внедряване, наблюдение и подобряване на такива системи са документите на Международната организация по стандартизация (ISO). Особено внимание трябва да се обърне на стандартите от серията ISO 900x и ISO 2700x, които събират най-добрите практики за внедряване на система за управление на качеството (QMS) и система за управление на информационната сигурност (ISMS).

Системата за управление на качеството, внедрена в съответствие с изискванията на стандарта ISO 9001, отдавна е призната за неразделен атрибут на успешна компания, която произвежда висококачествени продукти или предоставя услуги от висок клас. Днес наличието на сертификат за съответствие е едновременно ефективно маркетингово решение и механизъм за контрол на производствените процеси. Одитът на QMS е добре развита сфера на бизнеса.

Зависимостта на успешната дейност на компанията от корпоративна системазащита на информацията. Това се дължи на увеличаването на обема на жизненоважни данни, обработвани в корпоративната информационна система. Информационните системи стават все по-сложни, а броят на уязвимостите, открити в тях, също расте. ISMS одитът позволява да се оцени текущото състояние на сигурността на функционирането на корпоративната информационна система,

оценява и прогнозира рисковете, управлява влиянието им върху бизнес процесите на компанията.

Тъй като стандартът ISO 9001 отдавна заема водеща позиция в броя на сертификатите в света, а стандартът ISO 27001 показва тенденция към увеличаване на сертифицирането на системата за управление на информационната сигурност, препоръчително е да се обмисли възможното взаимодействие и интеграция на СУК и СУИБ.

Интегриране на стандарти

На пръв поглед управлението на качеството и информационната сигурност са напълно различни области. На практика обаче те са тясно свързани и образуват едно цяло (Фигура 1). Удовлетворението на клиентите, което е обективна цел на качеството, всяка година все повече зависи от наличието на информационни технологии и от сигурността на данните, за поддържането на които се използва стандартът ISO 27001. От друга страна, стандартът ISO 9001 точно отговаря на корпоративните цели на организацията, като помага за гарантиране на сигурността. Благодарение на интегрирания подход, ISO 27001 може ефективно да бъде интегриран в съществуващата СУК или да бъде приложен заедно със СУК.

(ISO 27001) и управлението на ИТ услугите (ISO 20000) имат сходна структура и подход към процеса. Това създава синергия, която се отплаща: на практика интегрираната система за управление на текущите операции спестява от 20 до 30 процента от общите разходи за оптимизация на системата, проверки и ревизии.

Стандартите за информационна сигурност и управление на качеството имат за цел непрекъснато да се подобряват в съответствие с модела "Планирайте-Прави-Проверете-Действете" (PDCA), известен като цикъла на Деминг (вижте фигура 2). Освен това те са сходни по структура, както е показано в таблицата за съответствие в приложение C към ISO 27001. И двата стандарта определят процесния подход, обхвата, изискванията за системата и документацията и административната отговорност. И в двата случая структурата завършва с вътрешен одит, преглед на ръководството и подобряване на системата. При това и двете системи взаимодействат. Например, ISO 9001 изисква управление на несъответстващи продукти. По същия начин стандартът ISO 27001 има изискване за управление на инциденти за разрешаване на повреди.

Ориз. 1. Сфери на взаимодействие и сходство на СУК и СУИБ

Ориз. 2. Цикъл на Деминг

Повече от 27 200 организации от различни индустрии в повече от 100 страни по света са сертифицирани за съответствие с ISO 9001: 2008 за управление на качеството. В зависимост от пазара и законовите изисквания, много организации са все по-принудени да се занимават с информационна сигурност. В това отношение интегрирането на системата за управление предлага реални възможности. Комплексен подходинтересен и за компании, които досега не са използвали никакъв управленски процес. ISO стандарти за качество (ISO 9001), опазване на околната среда (ISO 14000), информационна сигурност

Разликите между стандартите са полезни за взаимно допълване, което решаващо допринася за увеличаване на успеха на бизнеса. Например, ISO 9001 изисква дефиниране на корпоративни цели, фокус върху клиента и измеримост, до каква степен целите и задачите са изпълнени. Това са три въпроса, които не са в центъра на интересите на ISO 27001. От своя страна този стандарт дава приоритет на управлението на риска за поддържане на непрекъснатостта на бизнеса и предлага подробна помощ при внедряването на ISMS. В сравнение

следователно ISO 9001 е по-скоро теоретичен стандарт.

ISO 27001 - стандарт не само за ИТ

Много хора смятат, че стандартът ISO 27001 е само за ИТ процеси, но в действителност това не е така. Основният момент за прилагането на стандарта ISO 27001 SM&B е дефинирането на активи.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnsslsc tEp.tna.

"■ irreiiKinfundu" GcTMHiiociv

* КЯДРОМК:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

„Jimii 14: ii | vju7JIIIM.

Ориз. 3. Видове активи

Под актив се разбира всичко, което представлява стойност за компанията (Фигура 3). Тоест актив може да бъде: човешки ресурси, инфраструктура, инструменти, оборудване, комуникации, услуги и всякакви други активи, включително услуги за доставка на закупени продукти. Въз основа на процесите компанията определя с какви активи разполага и кои активи участват в критични процеси и оценява стойността на активите. И едва след това се прави оценка на риска за всички ценни активи. По този начин ISMS е предназначен не само за цифрова информация, която се обработва в автоматизирана система... Например, някои от най-критичните процеси включват

Обучение

планове за събития

2 Проверете H: съвпадам

със съхраняване на хартиени копия на информация, което също е обхванато от ISO 27001. ISMS обхваща всички начини, по които важна информациявъв вашата компания: като се започне от това как вашите имейлизащитени, завършващи с това къде се съхраняват личните досиета на служителите в сградата.

Следователно е огромно погрешно схващане, че тъй като стандартът е насочен към изграждане на система за управление на информационната сигурност, това може да се прилага само за данни, съхранявани в компютър. Дори в нашата цифрова ера много информация все още се отразява на хартия, която също трябва да бъде надеждно защитена.

ISO 9001 не може да отговори на нуждите от информационна сигурност на компанията, тъй като е тясно фокусиран върху качеството на продуктите. Затова е много важно във фирмата да се внедри ISO 27001. На пръв поглед на специалист може да изглежда, че и двата стандарта са много общи и нямат специфичност. Това обаче не е така: стандартът ISO 27001 описва почти всяка стъпка от внедряването и контролирането на функционирането на ISMS (Фигура 4).

Основните етапи на изграждане на система за управление на информационната сигурност

Основните етапи на изграждане на ISMS са илюстрирани на фигура 4. Нека ги разгледаме по-подробно.

Етап 1. Изготвяне на планове за действие. На този етапспециалисти събират организационни и административни документи (ОРД) и други работни материали,

3 Тип нормален II ORD

4 Анализ ii оценки на риска 11B

Изпълнение

5 RyazraOoghya и<>RaeryaOopv комплекс & 00 \ * ieiitii:

планове за радиация ■ -> стандарти -> събития -> CfftpJOTHW *

дейности пн> ПБ ОРД Поенпжение

Формиране на 10 AiUtuin оценка на резултатите от INRsnEsS „IMB

Ориз. 4. Етапи на изграждане на СУИБ

относно изграждането и функционирането на информационните системи на дружеството, предвидени за използване на механизми и средства за осигуряване на информационната сигурност. Освен това се изготвят, съгласуват и одобряват от ръководството на компанията планове за действие за етапите на работа.

Етап 2. Проверка за съответствие с ISO/IEC 27001:2005. Интервюиране и разпит на ръководители и служители на отдели. Анализ на ISMS на фирмата за съответствие с изискванията на ISO/IEC 27001:2005.

Етап 3. Анализ на нормативни и организационни и административни документи въз основа на организационната структура на дружеството. Въз основа на резултатите от него се определя защитеният обхват (OA) и се разработва скица на политиката за информационна сигурност на компанията.

Етап 4. Анализ и оценка на рисковете за информационната сигурност. Разработване на методология за управление на фирмените рискове и анализирането им. Анализ на информационните ресурси на компанията, предимно LAN, с цел идентифициране на заплахи и уязвимости на защитени ML активи. Инвентаризация на активите. Провеждане на консултации за специалистите на фирмата и оценка на съответствието с действителното и необходимото ниво на сигурност. Изчисляване на рисковете, определяне на текущото и приемливо ниво на риск за всеки конкретен актив. Класиране на риска, избор на комплекси от мерки за намаляването им и изчисляване на теоретичната ефективност на изпълнението.

Етап 5. Разработване и изпълнение на планове за действие за ИС. Разработване на декларация за приложимостта на контролите в съответствие с ISO/IEC 27001:2005. Разработване на план за отчитане и елиминиране на рисковете. Изготвяне на отчети за ръководителя на фирмата.

Етап 6. Разработване на нормативни и оперативни документи. Разработване и одобрение на окончателната IB политика и свързаните с нея разпоредби (частни политики). Разработване на стандарти, процедури и инструкции за осигуряване на нормалното функциониране и функциониране на ИСИС на компанията.

Етап 7. Изпълнение на комплексни мерки за намаляване на рисковете от ИС и оценка на тяхната ефективност в съответствие с одобрения от ръководството план за обработка и елиминиране на рискове.

Етап 8. Обучение на персонала. Разработване на планове за действие и изпълнение на програми за обучение и подобряване на компетентността на служителите на компанията с цел ефективно предаване на принципите за информационна сигурност на всички служители и

предимно тези, които работят в структурни подразделенияосигуряване на ключови бизнес процеси.

Етап 9. Формиране на отчетност. Систематизиране на резултатите от проучването и изготвяне на доклади. Представяне на резултатите от работата за ръководителите на компанията. Изготвяне на документи за лицензиране за съответствие с ISO/IEC 27001:2005 и предаването им на сертифициращата организация.

Етап 10. Анализ и оценка на резултатите от внедряването на СУИБ на базата на методологията, която оценява надеждността на функционирането на СУИБ на фирмата. Разработване на препоръки за подобряване на системата за управление на ИС на компанията.

Анализирайки всеки етап от внедряването на ISMS, можем да кажем, че ISO 27001 има ясна структура и изисквания, които ще ви позволят да изградите работеща система, в която ще има взаимодействие на всички необходими нива. Но не трябва да забравяме, че основната разлика между ISMS и QMS е, че първата система е фокусирана върху информационната сигурност.

Значението на информационната сигурност в съвременния свят

Днешният бизнес не може да съществува без информационни технологии. Известно е, че около 70% от общия национален продукт в света зависи по един или друг начин от информацията, съхранявана в информационни системи... Широкото навлизане на компютрите създаде не само добре познати удобства, но и проблеми, най-сериозният от които е проблемът със сигурността на информацията.

Бизнес лидерите трябва да разберат важността на информационната сигурност, да се научат да предвиждат и управляват тенденциите в тази област. В това може да им помогне въвеждането на СУИБ, който по своята структура има потенциал за развитие, прозрачност на управление, гъвкавост към всякакви промени. Наред с контролите за компютри и компютърни мрежи, стандартът ISO 27001 отделя голямо внимание на разработването на политика за сигурност, работата с персонала (наемане, обучение, освобождаване от работа), осигуряване на приемственост производствен процес, регулаторни изисквания, докато някои технически въпроси са подробно описани в други стандарти от серията

ISO 27000. Има много предимства от въвеждането на ISIB в компанията, някои от тях са показани на фиг. 5.

Glbkshl Скала pODr> h; b1 [h-th

Отклонете ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | ill p. Ki u:

azhshchtnya # tsn ^ st

Ориз. 5. Ползи от внедряването на система за управление на информационната сигурност

Трябва да се изтъкнат предимствата на ISO

Демонстрация на компетентност за безопасност. ISO 27001 е практическо ръководство за организация, което помага при формулирането на изисквания за сигурност за постигане на необходимото ниво на сигурност и постигане на специфични цели за сигурност. Особено важно е организациите да са компетентни в четири области на управление на безопасността, включително: идентифициране и оценка на активите на компанията, оценка на рисковете и определяне на критерии за приемане на рискове, управление и приемане на тези елементи и непрекъснато подобрение. обща програмасигурността на организацията.

Осигуряване на доверие на клиентите. ISO 27001 предоставя независимо доказателство, че програмите корпоративно управлениеса подкрепени от най-добрите, най-добрите международни практики. Сертификацията по ISO 27001 осигурява спокойствие на корпорациите, които се стремят да демонстрират почтеност пред клиенти, акционери и потенциални партньори и най-важното, да покажат, че компанията успешно е внедрила стабилна система за управление на информационната сигурност. За много силно регулирани индустрии, като финанси или интернет услуги, изборът на доставчик може

да бъдат ограничени до онези организации, които вече са сертифицирани по ISO 27001.

По-ефективно използване на ресурсите. Благодарение на използването на процесния подход е възможно да се оптимизират процесите, протичащи във фирмата. Което води до намаляване на използването на ресурси, например време.

Непрекъснато усъвършенстване. ISMS използва модела PCDA, който ви позволява редовно да проверявате състоянието на цялата система, да анализирате и подобрявате системата за управление

1. Имидж, марка. Сертифицирането за съответствие с ISO 27001 открива широки възможности за компанията: достъп до международно ниво, нови партньорства, повече клиенти, нови договори, успех в търгове. Наличието на ISMS в една компания е индикатор за високо ниво на развитие.

2. Гъвкавост на СУИБ. Независимо от промените в процесите, новите технологии, основата на структурата на СУИБ остава ефективна. СУИБ се адаптира доста лесно към иновациите чрез модернизиране на съществуващите и въвеждане на нови мерки за противодействие.

3. Мащабируемост на внедряването на стандарта. Тъй като ISO 27001 включва определяне на обхвата, само част от процесите могат да бъдат сертифицирани. Можете да започнете да внедрявате ISMS в най-значимата OA за компанията и едва по-късно да разширите.

4. Одит. много руски компаниивъзприемат одитната работа като бедствие. ISO 27001 показва международен подход към одита: на първо място, интересът на компанията действително да отговаря на стандартите, а не да извършва сертифицирането по някакъв начин, само за показ.

5. Редовните вътрешни или външни одити позволяват коригиране на нарушения, подобряване на СУИБ и значително намаляване на рисковете. На първо място, компанията се нуждае от него за собствено спокойствие, че всичко е наред и рисковете от загуби са сведени до минимум. И вече вторично - сертификат за съответствие, който потвърждава за партньори или клиенти, че на тази компания може да се има доверие.

6. Прозрачност на управлението. Използването на стандарта ISO 27001 предоставя доста ясни инструкции за създаване на управление и

също и изискванията за документацията, която трябва да има във фирмата. Проблемът за много компании е, че съществуващите документи за определени отдели просто не са четими, тъй като често е невъзможно да се разбере какво е предназначено за кого поради сложността на документационната система. Йерархията на нивата на документация, от политиката за информационна сигурност до описанието на определени процедури, прави използването на съществуващите правила, разпоредби и други неща много по-лесно. Също така, въвеждането на SM & B включва обучение на персонала: провеждане на семинари, писма, окачване на предупредителни плакати, което значително повишава осведомеността за информационната сигурност сред обикновените служители.

В заключение трябва да се отбележи, че в модерен бизнесочевидна е неотменимостта на основната система за управление на качеството, изградена в съответствие с изискванията на стандарта ISO 9001, и завоюването на позицията на системата за управление на информационната сигурност.

Днес лидер на пазара ще бъдат компаниите, които следят не само показателите за качеството на продуктите и услугите, но и нивата на конфиденциалност, интегритет и достъпност на информация за тях. Прогнозирането и оценката на риска също са важен фактор за успех, който изисква компетентен подход и използване на най-добрите международни практики. Съвместното внедряване и сертифициране на системи за управление на качеството и информационна сигурност ще помогне за решаването на широк спектър от проблеми за всяка индустрия или търговия, което от своя страна ще доведе до качествено повишаване на нивото на предоставяните услуги.

литература

1. Дорофеев А. В., Шахалов И. Ю. Основи на управлението на информационната сигурност съвременна организация// Правна информатика. 2013. No 3. С. 4-14.

2. Чашкин В. Н. Управлението на информационната сигурност като елемент от системата за управление на информационните технологични дейности на организацията // Сигурност на информационните технологии. 2009. No 1. С. 123-124.

3. Горячев В. В. Нов ГОСТ за СУК. Основни разлики от GOST RV 15.002-2003 //

Методи за управление на качеството. 2013. No 7. С. 18-23.

4. Доценко С.П., Пшенецкий С.П. Подход за изграждане на модел на системи за управление на информационната сигурност // Политематично мрежово електронно научно списание на Кубанския държавен аграрен университет. 2009. No 53. С. 47-56.

5. Каменев А.В., Заворитко Е.В. Модел на системата за управление на информационната сигурност в предприятието (в организацията) // Интелект. Иновация. Инвестиции. 2013. No 1. С. 111-114.

6. Соловьев А. М. Нормативна и методологична база в областта на информационната сигурност // Икономика, статистика и информатика. Бюлетин на UMO. 2012. No 1. С. 174-181.

7. Козин И.Ф., Лившиц И.И. Информационна сигурност. Интегриране на международни стандарти в системата за информационна сигурност на Русия // Информатизация и комуникация. 2010. No 1. С. 50-55.

8. Колодин VS Сертификация на интегрирани системи за управление // Бюлетин на Иркутския държавен технически университет. 2010. Т. 41. No 1. С. 44-48.

9. Меркушова Н. И., Науменко Ю. А., Меркушова Ю. А. Интегрирани системи за управление: предпоставки за създаване в руски предприятия // Млад учен.

2013. No 12 (59). С. 327-331.

10. Воропаева В. Я., Щербов И.Л., Хаустова Е.Д. Управление на информационната сигурност на информационните и телекомуникационните системи на базата на модела "P1ap-Do-Check-Act" // Sling Science1 на Донецкия национален технически университет. Ser1ya: "Изчислителна техника, че автоматизмът". 2013. No 2 (25). С. 104-110.

11. Дорофеев А.В., Марков А.С. Управление на информационната сигурност: основни понятия // Въпроси на киберсигурността.

2014. No 1 (2). С. 67-73.

12. Шпер В. Л. Относно стандарта 18O / 1EC 27001 // Методи за управление на качеството. 2008. No 3. С. 60-61.

13. Марков А.С., Цирлов В.Л. Управление на риска - нормативен вакуум на информационната сигурност // Отворени системи... СУБД. 2007. No 8. С. 63-67.

14. Матвеев В. А., Цирлов В. Л. Състояние и перспективи за развитие на индустрията за информационна сигурност на Руската федерация

ция през 2014 г. // Проблеми на киберсигурността. 2013. No 1 (1). С. 61-64.

15. Барабанов A. V. Стандартизиране на процеса на разработване на безопасни софтуерни инструменти // Проблеми на киберсигурността. 2013. No 1 (1). С. 37-41.

16. Марков А.С., Цирлов В.Л. Насоки за киберсигурност в контекста

ISO 27032 // Въпроси на киберсигурността. 2014. No 1 (2). С. 28-35. 17. Храмцовская Н. Какво трябва да знае мениджърът за информационната сигурност // Кадровик. 2009. No 4. С. 061-072.

Наистина срамно. Информирахме за предстоящото пускане на стандарта ISO 45001, който трябва да замени сегашния стандарт за управление на здравето и безопасността при работа OHSAS 18001, казахме, че трябва да го изчакаме в края на 2016 г. ... Полунощ наближава, но Херман все още си отиде. Време е за признаване - ISO 45001 е задържан. Вярно, по основателни причини. Експертната общност има твърде много въпроси към него. […]