Was ist ein modernes Informationssicherheitsmanagementsystem. Moderne Standards im Bereich der Informationssicherheit nach dem Konzept des Risikomanagements Informationssicherheits-Managementsystem

Shahalov Igor Yurievich

Zum Thema Integration von Qualitätsmanagementsystemen und Informationssicherheit

Kurzfassung: Berücksichtigt werden die internationalen Normen ISO 27001 und ISO 9001. Es erfolgt eine Analyse der Gemeinsamkeiten und Unterschiede zwischen dem Qualitätsmanagementsystem und dem Informationssicherheitsmanagementsystem. Die Möglichkeit der Integration des Qualitätsmanagementsystems und des Informatwird aufgezeigt. Es werden die wichtigsten Phasen des Aufbaus und der Implementierung eines integrierten Informatangegeben. Die Vorteile des integrierten Ansatzes werden aufgezeigt.

Schlüsselwörter: Informationssicherheitsmanagementsysteme, integrierte Managementsysteme, ISMS, QMS, ISO 27001.

Natalia Olegovna

Einführung

V moderne Welt mit dem Aufkommen von gemeinsamen und bequemen technische Geräte das Problem der Informationssicherheit ist ziemlich scharf geworden. Neben der Freigabe von Qualitätsprodukten oder der Erbringung von Dienstleistungen für Unternehmen und Organisationen ist es wichtig, die notwendigen Informationen vor Wettbewerbern geheim zu halten, um auf dem Markt eine günstige Position zu behalten. Im Konkurrenzkampf sind verschiedene Aktionen zur Beschaffung (Erlangung, Beschaffung) vertraulicher Informationen weit verbreitet. verschiedene Wege, bis hin zur direkten Wirtschaftsspionage mit modernen technischen Mitteln der Intelligenz.

So werden Organisationen, die sich an die weltweit besten Praktiken halten, die Anforderungen und Richtlinien für die Implementierung von Geschäftsprozessmanagementsystemen enthalten, führend auf dem Markt. Die besten Standards für die Entwicklung, Implementierung, Überwachung und Verbesserung solcher Systeme sind Dokumente der International Organization for Standardization (ISO). Besonderes Augenmerk sollte auf die Standards der ISO 900x- und ISO 2700x-Reihe gelegt werden, die die Best Practices für die Implementierung eines Qualitätsmanagementsystems (QMS) und eines Informat(ISMS) sammeln.

Das nach den Anforderungen der ISO 9001 umgesetzte Qualitätsmanagementsystem ist seit langem als integraler Bestandteil eines erfolgreichen Unternehmens anerkannt, das hochwertige Produkte herstellt oder hochwertige Dienstleistungen erbringt. Die Verfügbarkeit eines Konformitätszertifikats ist heute sowohl eine effektive Marketinglösung als auch ein Mechanismus zur Kontrolle von Produktionsprozessen. Das QMS-Audit ist ein gut entwickeltes Geschäftsfeld.

Die Abhängigkeit der erfolgreichen Aktivitäten des Unternehmens von Unternehmenssystem Informationsschutz. Dies ist auf die Zunahme der im Unternehmensinformationssystem verarbeiteten Vitaldaten zurückzuführen. Informationssysteme werden komplexer und auch die Zahl der darin gefundenen Schwachstellen nimmt zu. Das ISMS-Audit ermöglicht die Beurteilung des aktuellen Sicherheitszustands des Unternehmens Informationssystem,

bewerten und prognostizieren Risiken, steuern deren Auswirkungen auf die Geschäftsprozesse des Unternehmens.

Da die Norm ISO 9001 bei der Anzahl der Zertifikate weltweit längst die führende Position einnimmt und die Norm ISO 27001 eine Tendenz zur zunehmenden Zertifizierung des Informationssicherheits-Managementsystems zeigt, ist es ratsam, die möglichen Wechselwirkungen und Integration des QMS und des ISMS.

Integration von Standards

Auf den ersten Blick sind Qualitätsmanagement und Informationssicherheit völlig unterschiedliche Bereiche. In der Praxis sind sie jedoch eng verwandt und bilden ein Ganzes (Abbildung 1). Die Kundenzufriedenheit, die ein objektives Qualitätsziel ist, hängt von Jahr zu Jahr mehr und mehr von der Verfügbarkeit von Informationstechnologien und der Datensicherheit ab, für deren Aufrechterhaltung die Norm ISO 27001 verwendet wird die Unternehmensziele der Organisation und trägt zur Gewährleistung der Sicherheit bei. Dank eines integrierten Ansatzes kann ISO 27001 effektiv in bestehendes QMS integriert oder gemeinsam mit QMS umgesetzt werden.

(ISO 27001) und IT Service Management (ISO 20000) haben einen ähnlichen Aufbau und Prozessansatz. Dadurch entsteht eine Synergie, die sich auszahlt: In der Praxis spart ein integriertes Managementsystem für den laufenden Betrieb 20 bis 30 Prozent der Gesamtkosten für Systemoptimierung, Prüfungen und Revisionen.

Die Standards für Informationssicherheit und Qualitätsmanagement zielen auf eine kontinuierliche Verbesserung gemäß dem Plan-Do-Check-Act (PDCA)-Modell, dem sogenannten Deming-Zyklus (siehe Abbildung 2). Darüber hinaus sind sie ähnlich aufgebaut, wie die Entsprechungstabelle im Anhang C der ISO 27001 zeigt. Beide Standards definieren den Prozessansatz, den Umfang, die System- und Dokumentationsanforderungen sowie die administrative Verantwortung. In beiden Fällen endet die Struktur mit einem internen Audit, einer Managementbewertung und einer Systemverbesserung. Dabei interagieren beide Systeme. Zum Beispiel verlangt ISO 9001 das Management von fehlerhaften Produkten. Ebenso enthält die Norm ISO 27001 eine Anforderung für das Vorfallmanagement zur Behebung von Fehlern.

Reis. 1. Interaktionsbereiche und Ähnlichkeit von QMS und ISMS

Reis. 2. Deming-Zyklus

Mehr als 27.200 Organisationen unterschiedlicher Branchen in mehr als 100 Ländern der Welt sind nach ISO 9001:2008 für Qualitätsmanagement zertifiziert. Je nach Markt und gesetzlichen Anforderungen sind viele Unternehmen zunehmend gezwungen, sich mit Informationssicherheit zu beschäftigen. Hier bietet die Integration der Steuerung echte Möglichkeiten. Ein komplexer Ansatz auch interessant für Unternehmen, die bisher keinen Managementprozess eingesetzt haben. ISO-Standards für Qualität (ISO 9001), Umweltschutz (ISO 14000), Informationssicherheit

Die Unterschiede zwischen den Standards ergänzen sich sinnvoll, was entscheidend zu mehr Geschäftserfolg beiträgt. ISO 9001 fordert beispielsweise die Definition von Unternehmenszielen, Kundenorientierung und Messbarkeit, inwieweit Ziele und Zielsetzungen erreicht werden. Dies sind drei Themen, die nicht im Mittelpunkt des Interesses von ISO 27001 stehen: Dieser Standard wiederum priorisiert das Risikomanagement zur Aufrechterhaltung der Geschäftskontinuität und bietet detaillierte Hilfestellungen bei der Implementierung eines ISMS. Im Vergleich

dabei ist ISO 9001 eher ein theoretischer Standard.

ISO 27001 – ein Standard nicht nur für die IT

Viele Leute denken, dass der ISO 27001-Standard nur für IT-Prozesse gilt, aber in Wirklichkeit ist dies nicht der Fall. Der grundlegende Punkt für die Umsetzung des ISO 27001 SM&B-Standards ist die Definition von Assets.

■ "lilltpHiimiir-J." IJilllF.lEL^ OIU.IC.

r t^tsdkpinizh ts netvk^tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Reis. 3. Arten von Vermögenswerten

Unter einem Vermögenswert wird alles verstanden, was für das Unternehmen von Wert ist (Abbildung 3). Das heißt, ein Vermögenswert kann sein: Personal, Infrastruktur, Werkzeuge, Ausrüstung, Kommunikation, Dienstleistungen und alle anderen Vermögenswerte, einschließlich Dienstleistungen für die Lieferung gekaufter Produkte. Anhand der Prozesse ermittelt das Unternehmen, welche Assets es besitzt und welche Assets an kritischen Prozessen beteiligt sind und bewertet den Wert der Assets. Und erst danach erfolgt die Risikobewertung für alle wertvollen Vermögenswerte. Damit ist das ISMS nicht nur für digitale Informationen gedacht, die in automatisiertes System... Einige der kritischsten Prozesse beinhalten beispielsweise

Vorbereitung

Veranstaltungspläne

2 Check H: Ich stimme zu

mit der Speicherung von Informationen in Papierform, die auch von ISO 27001 abgedeckt wird. Ein ISMS deckt alle Möglichkeiten ab, wie wichtige Informationen in Ihrem Unternehmen gespeichert werden können, von der Art und Weise, wie Ihre E-Mails geschützt und endet mit dem Ort, an dem die Personalakten der Mitarbeiter im Gebäude aufbewahrt werden.

Daher ist es ein großes Missverständnis, dass, da der Standard auf den Aufbau eines Informatabzielt, dies nur für Daten gelten kann, die in einem Computer gespeichert sind. Auch in unserem digitalen Zeitalter spiegeln sich noch viele Informationen auf Papier, die zudem zuverlässig geschützt werden müssen.

ISO 9001 kann die Infodes Unternehmens nicht erfüllen, da sie sich eng auf die Produktqualität konzentriert. Daher ist es sehr wichtig, die ISO 27001 im Unternehmen zu implementieren.Auf den ersten Blick mag es einem Fachmann erscheinen, dass beide Standards sehr allgemein und nicht spezifisch sind. Dies ist jedoch nicht der Fall: Die Norm ISO 27001 beschreibt nahezu jeden Schritt der Implementierung und Kontrolle der Funktionsweise eines ISMS (Abbildung 4).

Die wichtigsten Phasen des Aufbaus eines Informationssicherheitsmanagementsystems

Die Hauptphasen des Aufbaus eines ISMS sind in Abbildung 4 dargestellt. Betrachten wir sie genauer.

Phase 1. Erstellung von Aktionsplänen. In dieser Phase sammeln Spezialisten organisatorische und administrative Dokumente (ORD) und andere Arbeitsmaterialien,

3 A Typ normal II ORD

4 Analyse ii Risikobewertungen 11B

Implementierung

5 RyazraOoghya und<>RaeryaOopv-Komplex & 00 \ * ieiitii:

Bestrahlungspläne ■ -> Normen -> Veranstaltungen -> CfftpJOTHW *

Aktivitäten Mo> PB ORD Poenpzhenie

Bildung von 10 AiUtuin Auswertung der Ergebnisse des INRsnEsS "IMB

Reis. 4. Phasen des Aufbaus eines ISMS

in Bezug auf den Aufbau und den Betrieb von Informationssystemen des Unternehmens, die Mechanismen und Mittel zur Gewährleistung der Informationssicherheit verwenden sollen. Darüber hinaus werden Aktionspläne für die Arbeitsschritte erstellt, abgestimmt und von der Unternehmensleitung freigegeben.

Stufe 2. Prüfung auf Konformität mit ISO / IEC 27001: 2005. Interviews und Befragung von Führungskräften und Mitarbeitern von Abteilungen. Analyse des ISMS des Unternehmens auf Einhaltung der Anforderungen der ISO / IEC 27001:2005.

Phase 3. Analyse von regulatorischen und organisatorischen und administrativen Dokumenten basierend auf organisatorische Struktur Unternehmen. Basierend auf den Ergebnissen wird der geschützte Umfang (OA) bestimmt und eine Skizze der Informationssicherheitspolitik des Unternehmens erstellt.

Stufe 4. Analyse und Bewertung von Informationssicherheitsrisiken. Entwicklung einer Methodik zum Management von Unternehmensrisiken und deren Analyse. Analyse der Informationsressourcen des Unternehmens, hauptsächlich LAN, um Bedrohungen und Schwachstellen von geschützten ML-Assets zu identifizieren. Inventar der Vermögenswerte. Durchführung von Beratungsgesprächen für die Spezialisten des Unternehmens und Beurteilung der Einhaltung des tatsächlichen und erforderlichen Sicherheitsniveaus. Berechnung der Risiken, Ermittlung des aktuellen und akzeptablen Risikoniveaus für jeden einzelnen Vermögenswert. Risikoranking, Auswahl von Maßnahmenkomplexen zu deren Reduzierung und Berechnung der theoretischen Effizienz der Umsetzung.

Stufe 5. Entwicklung und Umsetzung von IS-Aktionsplänen. Entwicklung einer Aussage zur Anwendbarkeit von Steuerungen nach ISO / IEC 27001:2005. Entwicklung eines Plans zur Bilanzierung und Eliminierung von Risiken. Erstellung von Berichten für die Unternehmensleitung.

Stufe 6. Entwicklung von regulatorischen und OSA. Entwicklung und Genehmigung der endgültigen IB-Policy und der dazugehörigen Bestimmungen (Privatpolice). Entwicklung von Standards, Verfahren und Anweisungen, um das normale Funktionieren und den Betrieb des ISMS des Unternehmens sicherzustellen.

Stufe 7. Umsetzung umfassender Maßnahmen zur Reduzierung von IS-Risiken und Bewertung ihrer Wirksamkeit gemäß dem vom Management genehmigten Plan zur Bearbeitung und Beseitigung von Risiken.

Stufe 8. Personalschulung. Entwicklung von Aktionsplänen und Durchführung von Programmen zur Schulung und Verbesserung der Kompetenz der Mitarbeiter des Unternehmens, um allen Mitarbeitern die Grundsätze der Informationssicherheit effektiv zu vermitteln und

vor allem diejenigen, die in Struktureinheiten Bereitstellung wichtiger Geschäftsprozesse.

Stufe 9. Erstellung der Berichterstattung. Systematisierung der Umfrageergebnisse und Erstellung von Berichten. Präsentation der Arbeitsergebnisse für die Firmenchefs. Erstellung von Dokumenten für die Zulassung zur Konformität mit ISO / IEC 27001:2005 und deren Übergabe an die zertifizierende Organisation.

Stufe 10. Analyse und Bewertung der Ergebnisse der ISMS-Implementierung basierend auf der Methodik, die die Zuverlässigkeit der ISMS-Funktionalität des Unternehmens bewertet. Entwicklung von Empfehlungen zur Verbesserung des Informatdes Unternehmens.

Wenn wir jede Phase der ISMS-Implementierung analysieren, können wir sagen, dass ISO 27001 eine klare Struktur und Anforderungen hat, die es Ihnen ermöglichen, ein funktionierendes System aufzubauen, in dem es auf allen notwendigen Ebenen Interaktionen gibt. Aber wir dürfen nicht vergessen, dass der Hauptunterschied zwischen dem ISMS und dem QMS darin besteht, dass das erste System auf die Informationssicherheit ausgerichtet ist.

Die Bedeutung der Informationssicherheit in der modernen Welt

Das heutige Geschäft kann ohne Informationstechnologie nicht existieren. Es ist bekannt, dass etwa 70 % des gesamten Sozialprodukts der Welt auf die eine oder andere Weise von den in Informationssystemen gespeicherten Informationen abhängt. Die weit verbreitete Einführung von Computern hat nicht nur bekannte Annehmlichkeiten, sondern auch Probleme geschaffen, von denen das gravierendste das Problem der Informationssicherheit ist.

Unternehmensführer müssen die Bedeutung der Informationssicherheit verstehen und lernen, Trends in diesem Bereich vorherzusagen und zu managen. Dabei können sie durch die Einführung eines ISMS unterstützt werden, das in seiner Struktur Entwicklungspotential, Transparenz des Managements, Flexibilität bei Änderungen hat. Neben den Kontrollen für Computer und Computernetzwerke legt die Norm ISO 27001 großen Wert auf die Entwicklung der Sicherheitspolitik, die Arbeit mit dem Personal (Einstellung, Schulung, Entlassung) und die Gewährleistung der Kontinuität Herstellungsprozess, regulatorische Anforderungen, während einige technische Aspekte in anderen Standards der Serie detailliert beschrieben sind

ISO27000. Die Einführung von ISIB im Unternehmen hat viele Vorteile, von denen einige in Abb. 5.

Glbkshl-Skala pODr> h;b1 [h-th

Ablehnen ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal Wyrdoctle

"Ji | m | krank p. Ki u:

azhshchtnya # tsn ^ st

Reis. 5. Vorteile der Implementierung eines Informationssicherheitsmanagementsystems

Die Vorteile von ISO sind hervorzuheben

Nachweis der Sicherheitskompetenz. ISO 27001 ist ein praktischer Leitfaden für eine Organisation, um Sicherheitsanforderungen zu formulieren, um das erforderliche Sicherheitsniveau zu erreichen und bestimmte Sicherheitsziele zu erreichen. Für Organisationen ist es besonders wichtig, in vier Bereichen des Sicherheitsmanagements kompetent zu sein, darunter: Identifizierung und Bewertung von Unternehmensvermögen, Bewertung von Risiken und Definition von Kriterien für die Akzeptanz von Risiken, Verwaltung und Übernahme dieser Elemente sowie kontinuierliche Verbesserung. allgemeines Programm Sicherheit der Organisation.

Sicherstellung des Kundenvertrauens. ISO 27001 liefert einen unabhängigen Nachweis dafür, dass Corporate-Governance-Programme durch internationale Best Practices unterstützt werden. Die ISO 27001-Zertifizierung gibt Unternehmen Sicherheit, die ihren Kunden, Aktionären und potenziellen Partnern Integrität demonstrieren möchten, und vor allem, um zu zeigen, dass das Unternehmen erfolgreich ein robustes Informaimplementiert hat. Für viele stark regulierte Branchen wie Finanzen oder Internetdienste kann die Lieferantenauswahl

auf diejenigen Organisationen beschränkt sein, die bereits nach ISO 27001 zertifiziert sind.

Effizientere Ressourcennutzung. Durch den Einsatz des Prozessansatzes ist es möglich, die im Unternehmen ablaufenden Prozesse zu optimieren. Was eine Verringerung des Ressourcenverbrauchs, beispielsweise der Zeit, zur Folge hat.

Ständige Verbesserung. Das ISMS verwendet das PCDA-Modell, mit dem Sie regelmäßig den Status des gesamten Systems überprüfen, das Managementsystem analysieren und verbessern können

1. Image, Marke. Die Zertifizierung nach ISO 27001 eröffnet dem Unternehmen vielfältige Möglichkeiten: Zugang zur internationalen Ebene, neue Partnerschaften, mehr Kunden, neue Verträge, Erfolg bei Ausschreibungen. Das Vorhandensein eines ISMS in einem Unternehmen ist ein Indikator für einen hohen Entwicklungsstand.

2. Flexibilität des ISMS. Unabhängig von Änderungen in Prozessen, neuen Technologien bleibt die Basis der ISMS-Struktur wirksam. Das ISMS passt sich Neuerungen recht einfach an, indem es bestehende modernisiert und neue Gegenmaßnahmen einführt.

3. Skalierbarkeit der Implementierung des Standards. Da ISO 27001 einen Scoping erfordert, kann nur eine Teilmenge der Prozesse zertifiziert werden. Sie können mit der Implementierung des ISMS im für das Unternehmen bedeutendsten OA beginnen und erst später erweitern.

4. Prüfung. Viele Russische Unternehmen Revisionsarbeit als Katastrophe empfinden. ISO 27001 zeigt einen internationalen Ansatz bei der Auditierung: Erstens das Interesse des Unternehmens, die Standards tatsächlich zu erfüllen, und die Zertifizierung nicht irgendwie, nur zum Schein, durchzuführen.

5. Regelmäßige interne oder externe Audits ermöglichen es, Verstöße zu korrigieren, das ISMS zu verbessern und Risiken deutlich zu reduzieren. Das Unternehmen braucht es in erster Linie für die eigene Sicherheit, dass alles in Ordnung ist und die Verlustrisiken minimiert werden. Und schon sekundär - ein Konformitätszertifikat, das Partnern oder Kunden bestätigt, dass man diesem Unternehmen vertrauen kann.

6. Transparenz des Managements. Die Verwendung des ISO 27001-Standards bietet ziemlich klare Anweisungen für die Erstellung eines Managements, und

auch die Anforderungen an die Dokumentation, die im Unternehmen vorhanden sein muss. Das Problem vieler Unternehmen ist, dass die vorhandenen Dokumente für bestimmte Abteilungen einfach nicht lesbar sind, da aufgrund der Komplexität des Dokumentationssystems oft nicht erkennbar ist, was für wen bestimmt ist. Die Hierarchie der Dokumentationsebenen, von der Informationssicherheitspolitik bis hin zur Beschreibung konkreter Verfahren, erleichtert die Nutzung bestehender Regeln, Vorschriften und anderem. Die Einführung von SM & B beinhaltet auch Mitarbeiterschulungen: Seminare abhalten, Mailings verschicken, Warnplakate aufhängen, was das Bewusstsein der einfachen Mitarbeiter für Informationssicherheit deutlich erhöht.

Abschließend ist festzuhalten, dass in modernes Geschäft die Unveräußerlichkeit des grundlegenden Qualitätsmanagementsystems, das nach den Anforderungen der Norm ISO 9001 aufgebaut ist, und die zunehmende Position des Informatist offensichtlich.

Marktführer werden heute Unternehmen sein, die nicht nur Indikatoren für die Qualität von Produkten und Dienstleistungen, sondern auch den Grad der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen über diese überwachen. Prognosen und Risikobewertungen sind ebenfalls ein wichtiger Erfolgsfaktor, der einen kompetenten Ansatz und den Einsatz der besten internationalen Praktiken erfordert. Die gemeinsame Implementierung und Zertifizierung von Qualitätsmanagement- und Informationssicherheitssystemen wird zur Lösung vielfältiger Probleme für jede Branche und jedes Handwerk beitragen, was wiederum zu einer qualitativen Steigerung des Leistungsniveaus führt.

Literatur

1. Dorofeev A. V., Shahalov I. Yu. Grundlagen des Inmoderne Organisation// Rechtsinformatik. 2013. Nr. 3. S. 4-14.

2. Chashkin VN Ials Element des Informations- und Technologiemanagementsystems der Organisation // Sicherheit der Informationstechnologien. 2009. Nr. 1. S. 123-124.

3. Goryachev VV Neues GOST für QMS. Hauptunterschiede zu GOST RV 15.002-2003 //

Methoden des Qualitätsmanagements. 2013. Nr. 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Ansatz zum Aufbau eines Modells von Informationssicherheits-Managementsystemen // Polythematisches Netzwerk elektronische wissenschaftliche Zeitschrift der Kuban State Agrarian University. 2009. Nr. 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modell des Informatim Unternehmen (in der Organisation) // Intellect. Innovation. Investitionen. 2013. Nr. 1. S. 111–114.

6. Soloviev A. M. Normative und methodische Grundlagen im Bereich der Informationssicherheit // Wirtschaft, Statistik und Informatik. Bulletin der UMO. 2012. Nr. 1. S. 174-181.

7. Kozin IF, Livshits II Informationssicherheit. Integration internationaler Standards in das Informationssicherheitssystem Russlands // Informatisierung und Kommunikation. 2010. Nr. 1. S. 50-55.

8. Kolodin VS Zertifizierung von integrierten Managementsystemen // Bulletin der Staatlichen Technischen Universität Irkutsk. 2010. T. 41. Nr. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Integrierte Managementsysteme: Voraussetzungen für die Gründung in russischen Unternehmen // Nachwuchswissenschaftler.

2013. Nr. 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Ivon Informations- und Telekommunikationssystemen nach dem Modell "P1ap-Do-Check-Act" // Science1-Schlinge der Nationalen Technischen Universität Donezk. Ser1ya: "Computational techshka, die automatischaya". 2013. Nr. 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Informationssicherheitsmanagement: Grundkonzepte // Cybersicherheitsfragen.

2014. Nr. 1 (2). S. 67-73.

12. Shper VL Über die Norm 18O / 1EC 27001 // Methoden des Qualitätsmanagements. 2008. Nr. 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Risikomanagement – normatives Vakuum der Informationssicherheit // Offene Systeme... DBMS. 2007. Nr. 8. S. 63-67.

14. Matveev V.A., Tsirlov V.L.

2014 // Cybersicherheitsfragen. 2013. Nr. 1 (1). S. 61-64.

15. Drums A. V. Standardisierung des Entwicklungsprozesses von Safes Software-Tools// Cybersicherheitsprobleme. 2013. Nr. 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Leitlinien für die Cybersicherheit im Kontext

ISO 27032 // Cybersicherheitsprobleme. 2014. Nr. 1 (2). S. 28-35. 17. Khramtsovskaya N. Was ein Manager über Informationssicherheit wissen muss // Kadrovik. 2009. Nr. 4. S. 061-072.

In der Welt der Informationstechnologie wird die Gewährleistung der Integrität, Zuverlässigkeit und Vertraulichkeit von Informationen immer wichtiger. Daher ist es eine strategische Entscheidung, die Notwendigkeit eines Informat(ISMS) für ein Unternehmen zu erkennen.

Es wurde entwickelt, um ein ISMS in einem Unternehmen zu erstellen, zu implementieren, zu pflegen und kontinuierlich zu verbessern. Durch die Anwendung dieses Standards auf externe Partner wird deutlich, dass die Organisation in der Lage ist, ihre eigenen Anforderungen an die Informationssicherheit zu erfüllen. In diesem Artikel werden die grundlegenden Anforderungen des Standards und seine Struktur erörtert.

(ADV31)

Die Hauptziele des ISO 27001-Standards

Bevor wir mit der Beschreibung der Struktur des Standards fortfahren, wollen wir seine Hauptaufgaben festlegen und die Geschichte des Erscheinens des Standards in Russland betrachten.

Ziele des Standards:

Einrichtung einheitliche Anforderungen dass alle Organisationen das ISMS erstellen, implementieren und verbessern;
Gewährleistung der Interaktion zwischen der Geschäftsleitung und den Mitarbeitern;
Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Gleichzeitig sind die in der Norm festgelegten Anforderungen allgemein und sollen von jeder Organisation unabhängig von ihrer Art, Größe oder Art angewendet werden.

Geschichte des Standards:

1995 hat das British Standards Institute (BSI) den Information Security Management Code als nationalen britischen Standard übernommen und unter BS 7799 - Teil 1 registriert.
1998 veröffentlicht das BSI die BS7799-2 in zwei Teilen, von denen einer einen Verhaltenskodex und der andere Anforderungen an Informatenthält.
Im Zuge späterer Überarbeitungen wurde der erste Teil als BS 7799: 1999, Teil 1 veröffentlicht. 1999 wurde diese Version des Standards bei der Internationalen Organisation für Zertifizierung eingereicht.
Dieses Dokument wurde im Jahr 2000 als internationaler Standard ISO / IEC 17799:2000 (BS 7799-1:2000) genehmigt. Die neueste Version dieser Norm, die 2005 angenommen wurde, ist ISO / IEC 17799: 2005.
Im September 2002 trat der zweite Teil der BS 7799 "Information Security Management System Specification" in Kraft. Der zweite Teil der BS 7799 wurde 2002 überarbeitet und Ende 2005 von der ISO als internationale Norm ISO/IEC 27001:2005 übernommen. Informationstechnologie- Sicherheitsmethoden - Informat- Anforderungen.
Im Jahr 2005 wurde die Norm ISO / IEC 17799 in die Normenreihe der 27. Reihe aufgenommen und erhalten neue Nummer- ISO/IEC 27002: 2005.
Am 25. September 2013 wurde die aktualisierte ISO / IEC 27001:2013 „Information Security Management Systems“ veröffentlicht. Anforderungen". Derzeit sind Organisationen nach dieser Version des Standards zertifiziert.

Struktur des Standards

Einer der Vorteile dieser Norm ist die Ähnlichkeit ihrer Struktur mit ISO 9001, da sie identische Überschriften von Unterabschnitten, identischen Text, gemeinsame Begriffe und grundlegende Definitionen enthält. Dieser Umstand spart Zeit und Geld, da ein Teil der Dokumentation bereits während der ISO 9001 Zertifizierung erstellt wurde.

Wenn wir über die Struktur des Standards sprechen, handelt es sich um eine Liste von ISMS-Anforderungen, die für die Zertifizierung obligatorisch sind und aus folgenden Abschnitten besteht:

Hauptabschnitte	Anhang A
0. Einführung	A.5 Informationssicherheitsrichtlinien
1 Einsatzgebiet	A.6 Informationssicherheitsorganisation
2. Normative Verweise	A.7 Sicherheit der Humanressourcen (Personal)
3. Begriffe und Definitionen	A.8 Vermögensverwaltung
4. Organisationskontext	A.9 Zugangskontrolle
5. Führung	A.10 Kryptographie
6. Planung	A.11 Physikalische und Umweltsicherheit
7. Unterstützung	A.12 Betriebssicherheit
8. Betrieb (Betrieb)	A.13 Kommunikationssicherheit
9. Bewertung (Messung) der Leistung	A.14 Erwerb, Entwicklung und Wartung von Informationssystemen
10. Verbesserung (Verbesserung)	A.15 Lieferantenbeziehungen
	A.16 Störungsmanagement
	A.17 Geschäftskontinuität
	A.18 Gesetzeskonformität

Die Anforderungen des "Anhangs A" sind obligatorisch, aber der Standard ermöglicht es Ihnen, Bereiche auszuschließen, die im Unternehmen nicht angewendet werden können.

Bei der Implementierung des Standards in einem Unternehmen zur weiteren Zertifizierung ist zu beachten, dass keine Ausnahmen von den in den Abschnitten 4 - 10 festgelegten Anforderungen zulässig sind, auf diese Abschnitte wird weiter eingegangen.

Beginnen wir mit Abschnitt 4 – Organisationskontext

Organisationskontext

In diesem Abschnitt fordert der Standard eine Organisation auf, externe und interne Probleme zu identifizieren, die für ihre Ziele relevant sind und die die Fähigkeit ihres ISMS beeinflussen, die erwarteten Ergebnisse zu erzielen. Dabei sollten Sie gesetzliche, regulatorische und vertragliche Informationssicherheitspflichten berücksichtigen. Die Organisation sollte auch den Geltungsbereich und die Anwendbarkeit des ISMS definieren und dokumentieren, um seinen Geltungsbereich festzulegen.

Führung

Das Top-Management sollte Führungsstärke und Engagement für das Informationssicherheits-Managementsystem demonstrieren, indem es beispielsweise sicherstellt, dass die Informationssicherheitspolitik und die Informationssicherheitsziele festgelegt und mit der Unternehmensstrategie in Einklang gebracht werden. Außerdem sollte das Top-Management sicherstellen, dass alle notwendigen Ressourcen für das ISMS bereitgestellt werden. Mit anderen Worten, den Mitarbeitern sollte klar sein, dass das Management in Fragen der Informationssicherheit involviert ist.

Die Informationssicherheitspolitik sollte dokumentiert und an die Mitarbeiter kommuniziert werden. Dieses Dokument ähnelt der Qualitätspolitik nach ISO 9001. Es sollte auch für den Zweck der Organisation geeignet sein und Informationssicherheitsziele enthalten. Es ist gut, wenn dies echte Ziele sind, wie zum Beispiel die Wahrung der Vertraulichkeit und Integrität von Informationen.

Von der Geschäftsführung wird auch erwartet, dass sie Funktionen und Verantwortlichkeiten im Zusammenhang mit der Informationssicherheit auf die Mitarbeiter verteilt.

Planung

In diesem Abschnitt kommen wir zur ersten Stufe des PDCA-Managementprinzips (Plan - Do - Check - Act) - planen, ausführen, prüfen, handeln.

Bei der Planung eines Informationssicherheits-Managementsystems sollte die Organisation die in Abschnitt 4 genannten Aspekte berücksichtigen und die Risiken und potenziellen Chancen ermitteln, die berücksichtigt werden müssen, um sicherzustellen, dass das ISMS die erwarteten Ergebnisse erzielt, unerwünschte Auswirkungen verhindert, und kontinuierliche Verbesserung erzielen.

Bei der Planung, wie die Informationssicherheitsziele erreicht werden sollen, sollte die Organisation Folgendes festlegen:

was wird getan;
welche Ressourcen werden benötigt;
wer wird verantwortlich sein;
wenn Ziele erreicht werden;
wie die Ergebnisse bewertet werden.

Darüber hinaus muss die Organisation Daten zu Informationssicherheitszielen als dokumentierte Informationen aufbewahren.

Sicherheit

Die Organisation muss die für die Entwicklung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung des ISMS erforderlichen Ressourcen ermitteln und bereitstellen, einschließlich Personal und Dokumentation. In Bezug auf das Personal wird von der Organisation erwartet, dass sie qualifiziertes und kompetentes Personal für die Informationssicherheit rekrutiert. Die Qualifikation der Mitarbeiter muss durch Zeugnisse, Diplome etc. Es besteht die Möglichkeit, externe Spezialisten im Rahmen des Vertrages zu gewinnen oder Ihre Mitarbeiter zu schulen. Die Dokumentation sollte enthalten:

vom Standard geforderte dokumentierte Informationen;
dokumentierte Informationen, die von der Organisation als notwendig erachtet werden, um die Wirksamkeit des Informationssicherheits-Managementsystems zu gewährleisten.

Die vom ISMS und dem Standard geforderten dokumentierten Informationen müssen kontrolliert werden, um sicherzustellen, dass sie:

verfügbar und geeignet für den Einsatz, wo und wann es benötigt wird, und
angemessen geschützt (zum Beispiel vor Verlust der Vertraulichkeit, Missbrauch oder Verlust der Integrität).

Funktion

Dieser Abschnitt befasst sich mit der zweiten Phase des PDCA-Governance-Prinzips – der Notwendigkeit für eine Organisation, ihre Prozesse zu verwalten, um die Einhaltung zu gewährleisten und die im Abschnitt Planung identifizierten Aktivitäten durchzuführen. Es besagt auch, dass eine Organisation in geplanten Abständen oder wenn wesentliche Änderungen vorgeschlagen oder eingetreten sind, Risikobewertungen für die Informationssicherheit durchführen sollte. Die Organisation muss die Ergebnisse der Risikobewertung der Informationssicherheit als dokumentierte Information aufbewahren.

Leistungsbewertung

Die dritte Stufe ist die Überprüfung. Die Organisation muss den Betrieb und die Wirksamkeit des ISMS bewerten. Sie muss beispielsweise eine interne Revision durchführen, um Informationen darüber zu erhalten, ob

Ist das Informationssicherheits-Managementsystem konform?
- die eigenen Anforderungen der Organisation an ihr Informationssicherheits-Managementsystem;
- die Anforderungen des Standards;
dass das Informationssicherheits-Managementsystem effektiv implementiert ist und betrieben wird.

Es versteht sich von selbst, dass Umfang und Zeitpunkt der Audits im Voraus geplant werden sollten. Alle Ergebnisse sind zu dokumentieren und aufzubewahren.

Verbesserung

Der Sinn dieses Abschnitts besteht darin, die Vorgehensweise zu bestimmen, wenn eine Nichtkonformität festgestellt wird. Die Organisation muss Inkonsistenzen und Konsequenzen korrigieren und die Situation analysieren, damit dies in Zukunft nicht mehr passiert. Alle Abweichungen und Korrekturmaßnahmen sollten dokumentiert werden.

Damit sind die Hauptabschnitte des Standards abgeschlossen. Anhang A enthält spezifischere Anforderungen, die von einer Organisation zu erfüllen sind. Verwenden Sie beispielsweise in Bezug auf die Zugangskontrolle mobile Geräte und Informationsträger.

Vorteile durch Implementierung und Zertifizierung von ISO 27001

Erhöhung des Status der Organisation und dementsprechend des Vertrauens der Partner;
Erhöhung der Stabilität des Funktionierens der Organisation;
Erhöhung des Schutzniveaus vor Bedrohungen der Informationssicherheit;
Gewährleistung der erforderlichen Vertraulichkeit von Informationen interessierter Parteien;
Erweiterung der Möglichkeiten der Organisation, an großen Verträgen teilzunehmen.

Die wirtschaftlichen Vorteile sind:

unabhängige Bestätigung durch die Zertifizierungsstelle, dass die Organisation über ein hohes Maß an Informationssicherheit verfügt, das von kompetentem Personal kontrolliert wird;
Nachweis der Einhaltung der geltenden Gesetze und Vorschriften (Einhaltung des Systems der zwingenden Anforderungen);
Demonstration eines bestimmten hohen Niveaus von Managementsystemen, um den Kunden und Partnern der Organisation ein angemessenes Serviceniveau zu gewährleisten;
Demonstration regelmäßiger Audits von Managementsystemen, Leistungsbewertungen und kontinuierlicher Verbesserung.

Zertifizierung

Eine Organisation kann von akkreditierten Stellen nach diesem Standard zertifiziert werden. Der Zertifizierungsprozess besteht aus drei Phasen:

1. Stufe - die Prüfung der wichtigsten ISMS-Dokumente durch den Auditor auf die Einhaltung der Anforderungen des Standards - kann sowohl auf dem Territorium der Organisation als auch durch Übermittlung dieser Dokumente an einen externen Auditor durchgeführt werden;
2. Stufe - Detailaudit inkl. Prüfung der umgesetzten Maßnahmen und Bewertung ihrer Wirksamkeit. Beinhaltet ein vollständiges Studium der von der Norm geforderten Dokumente;
3. Stufe - Durchführung eines Inspektionsaudits, um zu bestätigen, dass die zertifizierte Organisation die angegebenen Anforderungen erfüllt. Wird in regelmäßigen Abständen durchgeführt.

Ergebnis

Wie Sie sehen, ermöglicht die Verwendung dieses Standards im Unternehmen eine qualitative Verbesserung des Informationssicherheitsniveaus, das unter den Bedingungen der modernen Realität teuer ist. Der Standard enthält viele Anforderungen, aber die wichtigste Anforderung ist, das zu tun, was geschrieben steht! Ohne die Anforderungen der Norm tatsächlich anzuwenden, wird daraus ein leerer Satz Zettel.

GOST R ISO / IEC 27001-2006 „Informationstechnologie. Methoden und Mittel zur Gewährleistung der Sicherheit. Managementsysteme für Informationssicherheit. Anforderungen"

Die Entwickler des Standards weisen darauf hin, dass er als Modell für die Entwicklung, Implementierung, den Betrieb, das Monitoring, die Analyse, den Support und die Verbesserung des Informationssicherheits-Managementsystems (ISMS) erstellt wurde. ISMS (englisch - Information Security Management System; ISMS) wird als Teil des Gesamtmanagementsystems definiert, das auf der Anwendung von Methoden der Geschäftsrisikobewertung zur Entwicklung, Implementierung, Betrieb, Überwachung, Analyse, Unterstützung und Verbesserung der Informationssicherheit basiert. Ein Managementsystem umfasst eine Organisationsstruktur, Richtlinien, Planungsaktivitäten, Verantwortlichkeiten, Praktiken, Verfahren, Prozesse und Ressourcen.

Der Standard geht von der Verwendung eines Prozessansatzes für Entwicklung, Implementierung, Betrieb, Überwachung, Analyse, Unterstützung und Verbesserung des ISMS der Organisation aus. Es basiert auf dem Plan - Do - Check - Act (PDCA)-Modell, mit dem alle ISMS-Prozesse strukturiert werden können. In Abb. 4.4 zeigt, wie das ISMS unter Verwendung der Infound der erwarteten Ergebnisse interessierter Parteien als Input durch die erforderlichen Maßnahmen und Prozesse Iliefert, die diesen Anforderungen und den erwarteten Ergebnissen entsprechen.

Reis. 4.4.

Auf der Bühne "Entwicklung eines Informationssicherheits-Managementsystems" Die Organisation sollte Folgendes tun:

- den Umfang und die Grenzen des ISMS bestimmen;
- die ISMS-Richtlinie basierend auf den Merkmalen des Unternehmens, der Organisation, seines Standorts, seiner Vermögenswerte und Technologien festlegen;
- den Ansatz zur Risikobewertung in der Organisation bestimmen;
- Risiken identifizieren;
- Risiken analysieren und bewerten;
- verschiedene Optionen zur Risikobehandlung identifizieren und bewerten;
- Ziele und Kontrollen für die Risikobehandlung auswählen;
- die Zustimmung des Managements zu den erwarteten Restrisiken einholen;
- Genehmigung der Geschäftsleitung für die Implementierung und den Betrieb des ISMS einholen;
- Erstellung einer Anwendbarkeitserklärung.

Bühne " Implementierung und Betrieb des Informat" schlägt vor, dass die Organisation:

- einen Risikobehandlungsplan entwickeln, der die geeigneten Managementmaßnahmen, Ressourcen, Verantwortlichkeiten und Prioritäten für das Informadefiniert;
- einen Risikobehandlungsplan umsetzen, um die beabsichtigten Managementziele zu erreichen, der Finanzierungsfragen sowie die Verteilung von Rollen und Verantwortlichkeiten umfasst;
- die ausgewählten Managementmaßnahmen umsetzen;
- bestimmen, wie die Wirksamkeit der ausgewählten Kontrollmaßnahmen gemessen werden kann;
- Durchführung von Schulungs- und Weiterbildungsprogrammen für Mitarbeiter;
- die Arbeit des ISMS verwalten;
- ISMS-Ressourcen verwalten;
- Verfahren und andere Kontrollmaßnahmen implementieren, um eine schnelle Erkennung von Informationssicherheitsvorfällen und eine Reaktion auf Informationssicherheitsvorfälle zu gewährleisten.

Die dritte Stufe“ Überwachung und Analyse des Informationssicherheitsmanagementsystems" erfordert:

- Durchführung von Überwachungs- und Analyseverfahren;
- Durchführung einer regelmäßigen Analyse der Wirksamkeit des ISMS;
- die Wirksamkeit der Kontrollen messen, um die Einhaltung der IS-Anforderungen zu überprüfen;
- Risikobewertungen in festgelegten Zeitintervallen überarbeiten, Restrisiken und festgelegte akzeptable Risikoniveaus unter Berücksichtigung von Veränderungen analysieren;
- Durchführung von internen ISMS-Audits in festgelegten Zeitintervallen;
- regelmäßig eine Analyse des ISMS durch die Leitung der Organisation durchführen, um die Angemessenheit der SS-Funktionalität zu bestätigen und die Richtungen für Verbesserungen festzulegen;
- Aktualisierung der IS-Pläne unter Berücksichtigung der Ergebnisse der Analyse und Überwachung;
- Maßnahmen und Ereignisse aufzuzeichnen, die die Wirksamkeit oder den Betrieb des ISMS beeinträchtigen könnten.

Endlich die Bühne "Unterstützung und Verbesserung des Informationssicherheitsmanagementsystems" schlägt vor, dass die Organisation regelmäßig die folgenden Aktivitäten durchführen sollte:

- Möglichkeiten zur Verbesserung des ISMS ermitteln;
- die erforderlichen Korrektur- und Vorbeugungsmaßnahmen ergreifen, die Erfahrungen bei der Gewährleistung der Informationssicherheit, die sie sowohl in ihrer eigenen Organisation als auch in anderen Organisationen gesammelt haben, in die Praxis umsetzen;
- detaillierte Informationen über Maßnahmen zur Verbesserung des ISMS an alle interessierten Parteien weitergeben, wobei der Detaillierungsgrad den Umständen entsprechen sollte und ggf. weitere Maßnahmen vereinbaren;
- die Umsetzung von Verbesserungen des ISMS sicherzustellen, um die geplanten Ziele zu erreichen.

Weiter in der Norm sind die Anforderungen an die Dokumentation angegeben, die die Bestimmungen der ISMS-Policy und eine Beschreibung des Einsatzgebietes, eine Beschreibung der Methodik und einen Risikobewertungsbericht, einen Risikobehandlungsplan und eine Dokumentation umfassen sollte verwandter Verfahren. Außerdem sollte ein Prozess zur Verwaltung von ISMS-Dokumenten definiert werden, einschließlich Aktualisierung, Verwendung, Speicherung und Entsorgung.

Um die Einhaltung der Anforderungen und die Wirksamkeit des ISMS nachzuweisen, ist es erforderlich, Aufzeichnungen und Aufzeichnungen über die Ausführung von Prozessen zu führen und zu führen. Beispiele sind Besucherprotokolle, Auditberichte usw.

Die Norm legt fest, dass die Leitung der Organisation für die Bereitstellung und Verwaltung der Ressourcen verantwortlich ist, die für die Einrichtung eines ISMS und für die Organisation von Personalschulungen erforderlich sind.

Wie bereits erwähnt, sollte die Organisation interne ISMS-Audits gemäß einem genehmigten Zeitplan durchführen, um ihre Funktionalität und Einhaltung des Standards zu bewerten. Und das Management sollte eine Analyse des Informationssicherheits-Managementsystems durchführen.

Außerdem sollte an der Verbesserung des Informatgearbeitet werden: um seine Wirksamkeit und den Grad der Übereinstimmung mit dem aktuellen Zustand des Systems und den an es gestellten Anforderungen zu erhöhen.

(ISMS)- der Teil des Gesamtmanagementsystems, der auf einem Geschäftsrisikoansatz bei der Schaffung, Implementierung, dem Betrieb, der Überwachung, der Analyse, der Unterstützung und der Verbesserung der Informationssicherheit basiert.

Wenn nach den Anforderungen der ISO / IEC_27001 gebaut, basiert es auf dem PDCA-Modell:

Planen

Tun

Prüfen

Gesetz

Informationssicherheitskonzept

Der ISO 27001-Standard definiert Informationssicherheit als: „Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen; darüber hinaus können weitere Eigenschaften aufgenommen werden, wie Authentizität, Nichtabstreitbarkeit, Verlässlichkeit.“

Vertraulichkeit - Gewährleistung der Verfügbarkeit von Informationen nur für Personen mit entsprechender Befugnis (autorisierte Nutzer).

Integrität - Gewährleistung der Richtigkeit und Vollständigkeit der Informationen sowie der Methoden ihrer Verarbeitung.

Verfügbarkeit - Bereitstellung des Zugangs zu Informationen für autorisierte Benutzer bei Bedarf (auf Anfrage).

4 Informationssicherheits-Managementsystem

4.1 Allgemeine Anforderungen

Die Organisation muss die dokumentierten ISMS-Bestimmungen während der gesamten Geschäftsaktivitäten der Organisation und der Risiken, denen sie ausgesetzt ist, einrichten, implementieren, verwenden, kontrollieren, überarbeiten, aufrechterhalten und verbessern. Für den praktischen Nutzen dieser Internationalen Norm basiert das verwendete Verfahren auf dem in Abb. 1.

4.2 Einrichtung und Führung eines ISMS

4.2.1 ISMS erstellen

Die Organisation sollte Folgendes tun.

a) Bestimmen Sie unter Berücksichtigung der Besonderheiten der Aktivitäten der Organisation, der Organisation selbst, ihres Standorts, ihrer Vermögenswerte und ihrer Technologie den Umfang und die Grenzen des ISMS, einschließlich Einzelheiten und Begründungen für den Ausschluss jeglicher Bestimmungen des Dokuments aus dem Entwurf des ISMS (siehe 1.2 ).

b) Entwickeln Sie unter Berücksichtigung der Besonderheiten der Aktivitäten der Organisation, der Organisation selbst, ihres Standorts, ihrer Vermögenswerte und ihrer Technologie eine ISMS-Richtlinie, die:

1) umfasst ein System zur Festlegung von Zielen (Zielsetzungen) und legt die allgemeine Ausrichtung des Managements und die Handlungsgrundsätze in Bezug auf die Informationssicherheit fest;

2) berücksichtigt geschäftliche und gesetzliche oder behördliche Anforderungen, vertragliche Sicherheitsverpflichtungen;

3) ist mit der strategischen Risikomanagementumgebung verbunden, in der die Erstellung und Pflege eines ISMS stattfindet;

4) legt die Kriterien fest, anhand derer das Risiko bewertet wird (siehe 4.2.1 c)); und

5) von der Geschäftsleitung genehmigt.

HINWEIS: Im Sinne dieser Internationalen Norm ist eine ISMS-Richtlinie ein erweiterter Satz von Informationssicherheitsrichtlinien. Diese Richtlinien können in einem Dokument beschrieben werden.

c) Entwickeln Sie einen Rahmen für die Risikobewertung in der Organisation.

1) Bestimmen Sie eine Risikobewertungsmethodik, die für das ISMS und etablierte Geschäftsinformationssicherheit sowie gesetzliche und behördliche Anforderungen geeignet ist.

2) Entwickeln Sie Kriterien für die Akzeptanz von Risiken und bestimmen Sie akzeptable Risikoniveaus (siehe 5.1f).

Die ausgewählte Risikobewertungsmethode sollte sicherstellen, dass die Risikobewertung vergleichbare und reproduzierbare Ergebnisse liefert.

HINWEIS: Es gibt verschiedene Methoden zur Risikobewertung. Beispiele für Risikobewertungsmethoden werden in ISO / IEC TU 13335-3 berücksichtigt, Informationstechnologie - ManagementempfehlungenESSicherheit - ManagementtechnikenESSicherheit.

d) Identifizieren Sie Risiken.

1) Definieren Sie Vermögenswerte im Rahmen des ISMS und Eigentümer2 (2 Der Begriff "Eigentümer" wird mit einer natürlichen oder juristischen Person identifiziert, die als verantwortlich für das Controlling zugelassen ist Instandhaltung, Anwendung und Sicherheit von Vermögenswerten. Der Begriff "Eigentümer" bedeutet nicht, dass die Person tatsächlich Eigentumsrechte an den Vermögenswerten dieser Vermögenswerte hat.

2) Identifizieren Sie die Gefahren für diese Vermögenswerte.

3) Identifizieren Sie Schwachstellen im Schutzsystem.

4) Identifizieren Sie Auswirkungen, die die Vertraulichkeit, Integrität und Verfügbarkeit von Vermögenswerten zerstören.

e) Risiken analysieren und bewerten.

1) Beurteilen Sie den Schaden für das Geschäft der Organisation, der durch den Ausfall des Schutzsystems sowie durch die Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von Vermögenswerten verursacht werden kann.

2) Bestimmen Sie die Wahrscheinlichkeit eines Sicherheitsversagens angesichts der vorherrschenden Gefahren und Schwachstellen, der anlagenbezogenen Auswirkungen und der derzeit geltenden Kontrollen.

3) Bewerten Sie die Risikostufen.

4) Bestimmen Sie die Annehmbarkeit des Risikos oder verlangen Sie, dass es reduziert wird, indem die in 4.2.1c) 2) aufgeführten Risikoannehmbarkeitskriterien verwendet werden.

f) Instrumente zur Risikominderung identifizieren und bewerten.

Mögliche Aktionen sind:

1) Anwenden geeigneter Kontrollen;

2) Bewusstes und objektives Eingehen von Risiken unter Sicherstellung ihrer unbedingten Einhaltung der Anforderungen der Unternehmenspolitik und der Kriterien für die Risikotoleranz (siehe 4.2.1c) 2));

3) Risikovermeidung; und

4) Übertragung relevanter Geschäftsrisiken auf andere Parteien, z. B. Versicherungsunternehmen, Lieferanten.

g) Wählen Sie Aufgaben und Kontrollen aus, um Risiken zu mindern.

Aufgaben und Kontrollen sollten gemäß den Anforderungen des Risikobewertungs- und Risikominderungsprozesses ausgewählt und umgesetzt werden. Bei dieser Auswahl sollten sowohl die Kriterien der Risikotoleranz (siehe 4.2.1c) 2)) als auch gesetzliche, regulatorische und vertragliche Anforderungen berücksichtigt werden.

Die Aufgaben und Kontrollen aus Anhang A sollten als Teil dieses Prozesses ausgewählt werden, um die festgelegten Anforderungen zu erfüllen.

Da nicht alle Aufgaben und Kontrollen in Anhang A aufgeführt sind, können zusätzliche Aufgaben ausgewählt werden.

HINWEIS: Anhang A enthält eine umfassende Liste von Managementzielen, die als für Unternehmen am relevantesten identifiziert wurden. Um keinen einzigen wichtigen Punkt bei den Kontrollmöglichkeiten zu übersehen, sollte sich die Anwendung dieser Internationalen Norm an Anhang A als Ausgangspunkt für die Stichprobenkontrolle orientieren.

h) Zustimmung zum Management der erwarteten Restrisiken einholen.

4) die Erkennung von Sicherheitsereignissen zu erleichtern und so anhand bestimmter Indikatoren Sicherheitsvorfälle zu verhindern; und

5) Bestimmen Sie die Wirksamkeit von Maßnahmen, die ergriffen wurden, um Sicherheitsverletzungen zu verhindern.

b) Durchführung regelmäßiger Überprüfungen der Wirksamkeit des ISMS (einschließlich Diskussion der ISMS-Politik und ihrer Ziele, Überprüfung der Sicherheitskontrollen) unter Berücksichtigung der Ergebnisse von Audits, Vorfällen, Ergebnissen von Leistungsmessungen, Vorschlägen und Empfehlungen aller interessierten Parteien .

c) Bewerten Sie die Wirksamkeit der Kontrollen, um festzustellen, ob die Sicherheitsanforderungen erfüllt werden.

d) Prüfen Sie die Risikobewertung für die geplanten Zeiträume und prüfen Sie die Restrisiken und Risikotoleranzen unter Berücksichtigung von Veränderungen bei:

1) Organisationen;

2) Technologie;

3) Geschäftsziele und -prozesse;

4) identifizierte Bedrohungen;

5) die Wirksamkeit der implementierten Managementinstrumente; und

6) externe Ereignisse, wie Änderungen des Rechts- und Managementumfelds, geänderte vertragliche Verpflichtungen, Änderungen des gesellschaftlichen Klimas.

e) Durchführung von internen Audits des ISMS während geplanter Zeiträume (siehe 6)

HINWEIS: Interne Audits, manchmal auch Primäraudits genannt, werden im Namen der Organisation selbst für ihre eigenen Zwecke durchgeführt.

f) Überprüfen Sie regelmäßig das Management des ISMS, um sicherzustellen, dass die Situation gültig bleibt und das ISMS verbessert wird.

g) Sicherheitspläne basierend auf Überwachungs- und Auditergebnissen aktualisieren.

h) Aufzeichnen von Aktionen und Ereignissen, die die Wirksamkeit oder Leistung des ISMS beeinträchtigen könnten (siehe 4.3.3).

4.2.4 Pflege und Verbesserung des ISMS

Die Organisation muss kontinuierlich Folgendes tun.

a) Implementieren Sie spezifische Fixes im ISMS.

b) Ergreifen Sie geeignete Korrektur- und Vorbeugemaßnahmen gemäß 8.2 und 8.3. Wenden Sie das von der Organisation selbst und aus den Erfahrungen anderer Organisationen gewonnene Wissen an.

c) ihre Maßnahmen und Verbesserungen allen interessierten Parteien in einem der Situation angemessenen Detaillierungsgrad mitzuteilen; und koordinieren dementsprechend ihre Aktionen.

d) Überprüfen Sie, ob die Verbesserungen ihren beabsichtigten Zweck erreicht haben.

4.3 Dokumentationspflichten

4.3.1 Allgemeines

Die Dokumentation sollte Protokolle (Aufzeichnungen) von Managemententscheidungen enthalten, um zu überzeugen, dass der Handlungsbedarf auf Entscheidungen und Managementrichtlinien zurückzuführen ist; und stellen die Reproduzierbarkeit der aufgezeichneten Ergebnisse sicher.

Es ist wichtig, das Feedback der ausgewählten Kontrollen zu den Ergebnissen der Risikobewertungs- und Risikominderungsprozesse und dann zur ISMS-Politik und ihren Zielen nachweisen zu können.

Die ISMS-Dokumentation sollte Folgendes enthalten:

a) eine dokumentierte Erklärung der ISMS-Politik und -Ziele (siehe 4.2.1b));

b) die Position des ISMS (siehe 4.2.1a));

c) das Konzept und die Kontrollen zur Unterstützung des ISMS;

d) eine Beschreibung der Risikobewertungsmethodik (siehe 4.2.1c));

e) Risikobewertungsbericht (siehe 4.2.1c) - 4.2.1g));

f) Risikominderungsplan (siehe 4.2.2b));

g) ein dokumentiertes Konzept, das für die Organisation erforderlich ist, um sicherzustellen, dass ihre Informationssicherheitsprozesse effektiv geplant, betrieben und verwaltet werden und beschreibt, wie die Wirksamkeit der Kontrollen gemessen wird (siehe 4.2.3c));

h) von dieser Internationalen Norm geforderte Dokumente (siehe 4.3.3); und

i) Erklärung zur Anwendbarkeit.

ANMERKUNG 1: Für die Zwecke dieser Internationalen Norm bedeutet der Begriff „dokumentiertes Konzept“, dass das Konzept implementiert, dokumentiert, implementiert und befolgt wird.

ANMERKUNG 2: Der Umfang der ISMS-Dokumentation in verschiedenen Organisationen kann variieren, abhängig von:

Die Größe der Organisation und die Art ihrer Vermögenswerte; und

Umfang und Komplexität der Sicherheitsanforderungen und des verwalteten Systems.

ANMERKUNG 3: Dokumente und Berichte können in beliebiger Form eingereicht werden.

4.3.2 Dokumentenkontrolle

Die vom ISMS geforderten Dokumente müssen geschützt und reguliert werden. Es ist notwendig, das Dokumentationsverfahren zu genehmigen, das erforderlich ist, um Managementmaßnahmen zu beschreiben für:

a) Feststellung der Übereinstimmung von Dokumenten mit bestimmten Standards vor ihrer Veröffentlichung;

b) Dokumente prüfen und aktualisieren, falls erforderlich, erneute Genehmigung von Dokumenten;

c) Sicherstellen, dass Änderungen dem aktuellen Stand der überarbeiteten Dokumente entsprechen;

d) Sicherstellung der Verfügbarkeit wichtiger Versionen gültiger Dokumente;

e) Gewährleistung der Verständlichkeit und Lesbarkeit der Dokumente;

f) Bereitstellung von Dokumenten für diejenigen, die sie benötigen; sowie deren Weitergabe, Lagerung und schließlich Vernichtung nach den je nach Einstufung angewandten Verfahren;

g) Feststellung der Echtheit von Dokumenten aus externen Quellen;

h) Kontrolle der Verteilung von Dokumenten;

i) Verhinderung der unbeabsichtigten Verwendung veralteter Dokumente; und

j) Anwendung einer geeigneten Identifizierungsmethode auf sie, wenn sie nur für alle Fälle aufbewahrt werden.

4.3.3 Kontrolle der Aufzeichnungen

Es sollten Aufzeichnungen erstellt und aufbewahrt werden, um den Nachweis der Einhaltung und des effektiven Betriebs des ISMS zu unterstützen. Aufzeichnungen müssen geschützt und überprüft werden. Das ISMS sollte alle rechtlichen und regulatorischen Anforderungen und vertraglichen Verpflichtungen berücksichtigen. Aufzeichnungen müssen verständlich, leicht identifizierbar und abrufbar sein. Die für die Identifizierung, Speicherung, den Schutz, die Wiederherstellung, die Aufbewahrung und die Vernichtung von Aufzeichnungen erforderlichen Kontrollen müssen dokumentiert und umgesetzt werden.

Die Aufzeichnungen sollten Informationen über die Durchführung der in 4.2 beschriebenen Aktivitäten sowie über alle Vorfälle und sicherheitsrelevanten Vorfälle im Zusammenhang mit dem ISMS enthalten.

Beispiele für Einträge sind Gästebuch, Audit-Logs und ausgefüllte Zugangsberechtigungsformulare.

Senden Sie Ihre gute Arbeit in die Wissensdatenbank ist einfach. Verwenden Sie das untenstehende Formular

Studierende, Doktoranden, Nachwuchswissenschaftler, die die Wissensbasis in Studium und Beruf nutzen, werden Ihnen sehr dankbar sein.

Veröffentlicht am http://www.allbest.ru/

"Informationssicherheits-Managementsystem"

Management internationaler Standard

Vdirigieren

Ein Informationssicherheits-Managementsystem ist eine Reihe von Prozessen, die in einem Unternehmen funktionieren, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen sicherzustellen. Im ersten Teil des Essays wird der Prozess der Implementierung eines Managementsystems in einer Organisation betrachtet und die Hauptaspekte des Nutzens aus der Implementierung eines Informatwerden aufgezeigt.

Abb. 1. Regelkreis

Die Liste der Prozesse und Empfehlungen zur optimalen Organisation ihrer Funktionsweise sind in der internationalen Norm ISO 27001:2005 enthalten, die auf dem Managementzyklus Plan-Do-Check-Act basiert. Laut ihm Lebenszyklus Das ISMS besteht aus vier Arten von Aktivitäten: Erstellung - Implementierung und Betrieb - Überwachung und Analyse - Wartung und Verbesserung (Abb. 1). Auf diese Norm wird im zweiten Teil näher eingegangen.

MITSystemVerwaltungInformationSicherheit

Ein Informa(ISMS) bezeichnet den Teil des Gesamtmanagementsystems, der auf einem Geschäftsrisikoansatz bei der Erstellung, Implementierung, dem Betrieb, der Überwachung, der Analyse, der Unterstützung und der Verbesserung der Informationssicherheit basiert. ISMS-Prozesse werden gemäß den Anforderungen der ISO / IEC 27001:2005 gestaltet, die auf dem Zyklus basiert

Die Arbeit des Systems basiert auf den Ansätzen der modernen Theorie der Managementrisiken, die seine Integration in das gesamte Risikomanagementsystem der Organisation gewährleistet.

Die Einführung eines Informatbeinhaltet die Entwicklung und Umsetzung eines Verfahrens zur systematischen Identifizierung, Analyse und Minderung von Informationssicherheitsrisiken, d ) verliert an Vertraulichkeit, Integrität und Verfügbarkeit.

Um eine systematische Minderung von Informationssicherheitsrisiken basierend auf den Ergebnissen der Risikobewertung sicherzustellen, werden die folgenden Prozesse in der Organisation implementiert:

· Management der internen Organisation der Informationssicherheit.

· Gewährleistung der Informationssicherheit bei der Interaktion mit Dritten.

· Verwaltung des Registers der Informationsbestände und der Regeln für ihre Klassifizierung.

· Gerätesicherheitsmanagement.

· Gewährleistung der physischen Sicherheit.

· Gewährleistung der Informationssicherheit des Personals.

· Planung und Einführung von Informationssystemen.

· Sicherung.

· Sicherung des Netzwerks.

Die Prozesse des Informatbetreffen alle Aspekte des IT-Infrastrukturmanagements der Organisation, da Informationssicherheit das Ergebnis des nachhaltigen Funktionierens informationstechnischer Prozesse ist.

Beim Aufbau eines ISMS in Unternehmen führen Spezialisten folgende Arbeiten durch:

· Projektmanagement organisieren, Projektteam auf Kunden- und Auftragnehmerseite bilden;

· Definieren Sie den Tätigkeitsbereich (AO) des ISMS;

Befragen Sie die Organisation im OD ISMS:

o in Bezug auf die Geschäftsprozesse der Organisation, einschließlich der Analyse negative Konsequenzen Informationssicherheitsvorfälle;

o in Bezug auf die Managementprozesse der Organisation, einschließlich der bestehenden Qualitätsmanagement- und Informationssicherheitsmanagementprozesse;

o in Bezug auf die IT-Infrastruktur;

o in Bezug auf die Informationssicherheitsinfrastruktur.

Entwicklung und Verabschiedung eines analytischen Berichts, der eine Liste der wichtigsten Geschäftsprozesse und eine Bewertung der Folgen der Implementierung von Bedrohungen der Informationssicherheit in Bezug auf diese enthält, eine Liste der Managementprozesse, IT-Systeme, Informationssicherheits-Subsysteme (ISS), und Bewertung des Grades, in dem die Organisation alle ISO 27001-Anforderungen erfüllt, und Bewertung der Reife der Prozessorganisationen;

· Wählen Sie den anfänglichen und den angestrebten ISMS-Reifegrad aus, entwickeln und genehmigen Sie das ISMS-Reifeverbesserungsprogramm; Entwicklung einer Dokumentation zur Informationssicherheit auf hohem Niveau:

o Konzept der Informationssicherheit,

o IS- und ISMS-Richtlinien;

· Auswahl und Anpassung der in der Organisation geltenden Risikobewertungsmethodik;

· Auswahl, Bereitstellung und Bereitstellung von Software zur Automatisierung von ISMS-Prozessen, Organisation von Schulungen für Unternehmensspezialisten;

· Risiken bewerten und bearbeiten, wobei Maßnahmen des Anhangs A der Norm 27001 zu deren Reduzierung ausgewählt und Anforderungen zu ihrer Umsetzung in der Organisation formuliert werden, technische Mittel der Informationssicherheit vorausgewählt werden;

· Entwickeln Sie vorläufige Entwürfe des PIB, bewerten Sie die Kosten der Risikobehandlung;

· Veranlassung der Genehmigung der Risikobewertung durch die oberste Leitung der Organisation und Entwicklung der Anwendbarkeitserklärung; organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit entwickeln;

· Entwickeln und implementieren technische Projekteüber die Implementierung von Teilsystemen der technischen Informationssicherheit, die die Umsetzung der ausgewählten Maßnahmen unterstützen, einschließlich der Lieferung von Ausrüstung, Inbetriebnahme, Entwicklung von Betriebsdokumentation und Benutzerschulung;

· Beratung während des Betriebs des aufgebauten ISMS anzubieten;

· Organisieren Sie Schulungen für interne Auditoren und führen Sie interne ISMS-Audits durch.

Das Ergebnis dieser Arbeiten ist ein funktionierendes ISMS. Vorteile aus der Implementierung eines ISMS in einem Unternehmen werden erzielt durch:

· Effektives Management der Einhaltung gesetzlicher Anforderungen und geschäftlicher Anforderungen im Bereich der Informationssicherheit;

· Verhinderung von IS-Vorfällen und Schadensminderung bei deren Auftreten;

· Erhöhung der Kultur der Informationssicherheit in der Organisation;

· Zunehmende Reife im Bereich des Informationssicherheitsmanagements;

· Optimierung der Ausgaben für Informationssicherheit.

ISO / IEC27001-- InternationalStandardAnInformationSicherheit

Diese Norm wurde gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) entwickelt. Der Standard enthält Anforderungen an die Informationssicherheit für die Erstellung, Entwicklung und Pflege eines ISMS. ISO 27001 legt Anforderungen an ein ISMS fest, um die Fähigkeit einer Organisation nachzuweisen, ihre Informationsressourcen zu schützen. Der internationale Standard verwendet das Konzept des „Informationsschutzes“ und wird so interpretiert, dass er die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleistet. Grundlage des Standards ist das Informationsrisikomanagementsystem. Diese Norm kann auch zur Konformitätsbewertung durch interessierte interne und externe Parteien verwendet werden.

Der Standard verfolgt einen Prozessansatz, um ein Informa(ISMS) zu erstellen, zu implementieren, zu betreiben, kontinuierlich zu überwachen, zu analysieren, zu pflegen und zu verbessern. Es besteht in der Anwendung eines Prozesssystems innerhalb einer Organisation, zusammen mit der Identifizierung und Interaktion dieser Prozesse sowie deren Management.

Der internationale Standard übernimmt das Plan-Do-Check-Act (PDCA)-Modell, das auch als Shewhart-Deming-Zyklus bezeichnet wird. Dieser Zyklus dient der Strukturierung aller ISMS-Prozesse. Abbildung 2 zeigt, wie das ISMS Infound Stakeholder-Erwartungen als Eingaben verwendet und durch die erforderlichen Maßnahmen und Prozesse Ierzeugt, die diesen Anforderungen und Erwartungen entsprechen.

Planung ist die Phase der Erstellung eines ISMS, der Inventarisierung von Assets, der Bewertung von Risiken und der Auswahl von Maßnahmen.

Abbildung 2. PDCA-Modell angewendet auf ISMS-Prozesse

Umsetzung ist die Phase der Umsetzung und Umsetzung geeigneter Maßnahmen.

Die Überprüfung ist die Phase der Bewertung der Wirksamkeit und Leistung des ISMS. Wird in der Regel von internen Auditoren durchgeführt.

Aktion - Vorbeugende und korrigierende Maßnahmen ergreifen.

VSchlussfolgerungen

ISO 27001 beschreibt ein allgemeines Modell für die Implementierung und den Betrieb eines ISMS und Maßnahmen zur Überwachung und Verbesserung eines ISMS. Die ISO beabsichtigt, verschiedene Managementsystem-Standards wie ISO / IEC 9001: 2000, die sich mit Qualitätsmanagement befasst, und ISO / IEC 14001: 2004, die sich mit Umweltmanagementsystemen befasst, zu harmonisieren. Der Zweck von ISO besteht darin, die Konsistenz und Integration des ISMS mit anderen Managementsystemen im Unternehmen sicherzustellen. Die Ähnlichkeit der Standards ermöglicht die Verwendung ähnlicher Tools und Funktionen für die Implementierung, Verwaltung, Revision, Verifizierung und Zertifizierung. Dies bedeutet, dass ein Unternehmen, das andere Managementstandards implementiert hat, ein einheitliches Audit- und Managementsystem verwenden kann, das auf Qualitätsmanagement, Umweltmanagement, Sicherheitsmanagement usw. anwendbar ist. Durch die Implementierung eines ISMS erhält die Geschäftsleitung die Mittel zur Überwachung und Verwaltung der Sicherheit, wodurch verbleibende Geschäftsrisiken reduziert werden. Nach der Implementierung eines ISMS kann das Unternehmen die Informationssicherheit formal gewährleisten und weiterhin die Anforderungen von Kunden, Gesetzen, Aufsichtsbehörden und Aktionären erfüllen.

Es sei darauf hingewiesen, dass es in der Gesetzgebung der Russischen Föderation ein Dokument GOST R ISO / IEC 27001-2006 gibt, das eine übersetzte Version des internationalen Standards ISO27001 ist.

MITquietschenLiteratur

1.Korneev I.R., Belyaev A.V. Informationssicherheit des Unternehmens. - SPb.: BHV-Petersburg, 2003.-- 752 S.: ill.

2.Internationaler Standard ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (Zugriffsdatum: 23.05.12)

3.Nationaler Standard Russische Föderation GOST R ISO / IEC 27003 - "Informationstechnologie. Sicherheitsmethoden. Richtlinien für die Implementierung eines Informationssicherheitsmanagementsystems" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (Zugriffsdatum: 23.05.12)

4. Skiba V. Yu., Kurbatov V. A. Richtlinien zum Schutz vor internen Bedrohungen der Informationssicherheit. SPb.: Peter, 2008.-- 320 S.: Abb.

5. Artikel der freien Enzyklopädie "Wikipedia", "Managementsystem

Informationssicherheit "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (Zugriffsdatum: 23.05.12)

6. Sigurjon Thor Arnason und Keith D. Willett „Wie man die 27001-Zertifizierung erreicht“

Gepostet auf Allbest.ru