Managementsystem für Informationssicherheit. Legislative Basis der Russischen Föderation. Informationsrisikomanagement

In der Welt Informationstechnologien Die Frage der Gewährleistung der Integrität, Zuverlässigkeit und Vertraulichkeit von Informationen wird zu einer Priorität. Daher die Anerkennung der Notwendigkeit eines Managementsystems in der Organisation Informationssicherheit(ISMS) ist eine strategische Entscheidung.

Es wurde entwickelt, um ein ISMS in einem Unternehmen zu erstellen, zu implementieren, zu pflegen und kontinuierlich zu verbessern. Durch die Anwendung dieses Standards auf externe Partner wird deutlich, dass die Organisation in der Lage ist, ihre eigenen Anforderungen an die Informationssicherheit zu erfüllen. In diesem Artikel werden die grundlegenden Anforderungen des Standards und seine Struktur erörtert.

(ADV31)

Die Hauptziele des ISO 27001-Standards

Bevor wir mit der Beschreibung der Struktur des Standards fortfahren, wollen wir seine Hauptaufgaben festlegen und die Geschichte des Erscheinens des Standards in Russland betrachten.

Ziele des Standards:

• Einrichtung einheitliche Anforderungen dass alle Organisationen das ISMS erstellen, implementieren und verbessern;
• Gewährleistung der Interaktion zwischen der Geschäftsleitung und den Mitarbeitern;
• Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Gleichzeitig sind die in der Norm festgelegten Anforderungen allgemein und sollen von jeder Organisation unabhängig von ihrer Art, Größe oder Art angewendet werden.

Geschichte des Standards:

• 1995 hat das British Standards Institute (BSI) den Information Security Management Code als nationalen britischen Standard übernommen und unter BS 7799 - Teil 1 registriert.
• 1998 veröffentlicht das BSI die BS7799-2 in zwei Teilen, von denen einer einen Verhaltenskodex und der andere Anforderungen an Informatenthält.
• Im Zuge späterer Überarbeitungen wurde der erste Teil als BS 7799: 1999, Teil 1 veröffentlicht. 1999 wurde diese Version des Standards an die International Organization for Certification übertragen.
• Dieses Dokument wurde im Jahr 2000 als internationaler Standard ISO / IEC 17799:2000 (BS 7799-1:2000) genehmigt. Letzte Version dieser 2005 verabschiedeten Norm ist ISO / IEC 17799: 2005.
• Im September 2002 trat der zweite Teil der BS 7799 "Information Security Management System Specification" in Kraft. Der zweite Teil der BS 7799 wurde 2002 überarbeitet und Ende 2005 von der ISO als internationale Norm ISO / IEC 27001:2005 "Informationstechnologie - Sicherheitstechniken - Informat- Anforderungen" übernommen.
• Im Jahr 2005 wurde die Norm ISO / IEC 17799 in die Normenreihe der 27. Reihe aufgenommen und erhalten neue Nummer- ISO/IEC 27002: 2005.
• Am 25. September 2013 wurde die aktualisierte ISO / IEC 27001:2013 „Information Security Management Systems“ veröffentlicht. Anforderungen". Derzeit sind Organisationen nach dieser Version des Standards zertifiziert.

Struktur des Standards

Einer der Vorteile dieser Norm ist die Ähnlichkeit ihrer Struktur mit ISO 9001, da sie identische Unterabschnittsüberschriften, identischen Text, gemeinsame Begriffe und grundlegende Definitionen enthält. Dieser Umstand spart Zeit und Geld, da ein Teil der Dokumentation bereits während der ISO 9001 Zertifizierung erstellt wurde.

Wenn wir über die Struktur des Standards sprechen, handelt es sich um eine Liste von ISMS-Anforderungen, die für die Zertifizierung obligatorisch sind und aus folgenden Abschnitten besteht:

Die Anforderungen des "Anhangs A" sind obligatorisch, aber der Standard ermöglicht es Ihnen, Bereiche auszuschließen, die im Unternehmen nicht angewendet werden können.

Bei der Einführung des Standards in einem Unternehmen zur weiteren Zertifizierung ist zu beachten, dass keine Ausnahmen von den in den Abschnitten 4-10 festgelegten Anforderungen zulässig sind, auf die weiter eingegangen wird.

Beginnen wir mit Abschnitt 4 – Organisationskontext

Organisationskontext

In diesem Abschnitt fordert der Standard eine Organisation auf, externe und interne Probleme zu identifizieren, die für ihre Ziele relevant sind und die die Fähigkeit ihres ISMS beeinflussen, die erwarteten Ergebnisse zu erzielen. Dabei sollten Sie die gesetzlichen, behördlichen und vertraglichen Verpflichtungen zur Informationssicherheit berücksichtigen. Die Organisation sollte auch den Geltungsbereich und die Anwendbarkeit des ISMS definieren und dokumentieren, um seinen Geltungsbereich festzulegen.

Führung

Das Top-Management sollte Führungsstärke und Engagement für das Informationssicherheits-Managementsystem demonstrieren, indem es beispielsweise sicherstellt, dass die Informationssicherheitspolitik und die Informationssicherheitsziele festgelegt und mit der Unternehmensstrategie in Einklang gebracht werden. Außerdem sollte das Top-Management sicherstellen, dass alle notwendigen Ressourcen für das ISMS bereitgestellt werden. Mit anderen Worten, den Mitarbeitern sollte klar sein, dass das Management in Fragen der Informationssicherheit involviert ist.

Die Informationssicherheitspolitik sollte dokumentiert und an die Mitarbeiter kommuniziert werden. Dieses Dokument ähnelt der Qualitätspolitik nach ISO 9001. Es sollte auch für den Zweck der Organisation geeignet sein und Informationssicherheitsziele enthalten. Es ist gut, wenn dies echte Ziele sind, wie zum Beispiel die Wahrung der Vertraulichkeit und Integrität von Informationen.

Von der Geschäftsführung wird auch erwartet, dass sie Funktionen und Verantwortlichkeiten im Zusammenhang mit der Informationssicherheit auf die Mitarbeiter verteilt.

Planung

In diesem Abschnitt kommen wir zur ersten Stufe des PDCA-Managementprinzips (Plan - Do - Check - Act) - planen, ausführen, prüfen, handeln.

Bei der Planung des Informatsollte die Organisation die in Abschnitt 4 genannten Aspekte berücksichtigen und die Risiken und potenziellen Chancen ermitteln, die berücksichtigt werden müssen, um sicherzustellen, dass das ISMS die erwarteten Ergebnisse erzielt, unerwünschte Auswirkungen verhindert, und kontinuierliche Verbesserung erzielen.

Bei der Planung, wie die Informationssicherheitsziele erreicht werden sollen, sollte die Organisation Folgendes festlegen:

• was wird getan;
• welche Ressourcen werden benötigt;
• wer wird verantwortlich sein;
• wenn Ziele erreicht werden;
• wie die Ergebnisse bewertet werden.

Darüber hinaus muss die Organisation Daten zu Informationssicherheitszielen als dokumentierte Informationen aufbewahren.

Sicherheit

Die Organisation muss die für die Entwicklung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung des ISMS erforderlichen Ressourcen ermitteln und bereitstellen, einschließlich Personal und Dokumentation. In Bezug auf das Personal wird von der Organisation erwartet, dass sie qualifiziertes und kompetentes Personal für die Informationssicherheit rekrutiert. Die Qualifikation der Mitarbeiter muss durch Zeugnisse, Diplome etc. Es besteht die Möglichkeit, externe Spezialisten im Rahmen des Vertrages zu gewinnen oder Ihre Mitarbeiter zu schulen. Die Dokumentation sollte enthalten:

• vom Standard geforderte dokumentierte Informationen;
• dokumentierte Informationen, die von der Organisation als notwendig erachtet werden, um die Wirksamkeit des Informationssicherheits-Managementsystems zu gewährleisten.

Die vom ISMS und dem Standard geforderten dokumentierten Informationen müssen kontrolliert werden, um sicherzustellen, dass sie:

• verfügbar und geeignet für den Einsatz, wo und wann es benötigt wird, und
• angemessen geschützt (zum Beispiel vor Verlust der Vertraulichkeit, Missbrauch oder Verlust der Integrität).

Funktion

In diesem Abschnitt wird die zweite Phase des PDCA-Governance-Prinzips erörtert – die Notwendigkeit für eine Organisation, Prozesse zu verwalten, um die Einhaltung der Vorschriften sicherzustellen und die im Abschnitt Planung identifizierten Aktivitäten zu befolgen. Es besagt auch, dass eine Organisation in geplanten Abständen oder wenn wesentliche Änderungen vorgeschlagen oder eingetreten sind, Risikobewertungen für die Informationssicherheit durchführen sollte. Die Organisation muss die Ergebnisse der Risikobewertung der Informationssicherheit als dokumentierte Information aufbewahren.

Leistungsbewertung

Die dritte Stufe ist die Überprüfung. Die Organisation muss den Betrieb und die Wirksamkeit des ISMS bewerten. Sie muss beispielsweise eine interne Revision durchführen, um Informationen darüber zu erhalten, ob

1. Ist das Informationssicherheits-Managementsystem konform?
   • die eigenen Anforderungen der Organisation an ihr Informationssicherheits-Managementsystem;
   • die Anforderungen des Standards;
2. dass das Informationssicherheits-Managementsystem effektiv implementiert ist und betrieben wird.

Es versteht sich von selbst, dass Umfang und Zeitpunkt der Audits im Voraus geplant werden sollten. Alle Ergebnisse sind zu dokumentieren und aufzubewahren.

Verbesserung

Der Sinn dieses Abschnitts besteht darin, die Vorgehensweise zu bestimmen, wenn eine Nichtkonformität festgestellt wird. Die Organisation muss Inkonsistenzen und Konsequenzen korrigieren und die Situation analysieren, damit dies in Zukunft nicht mehr passiert. Alle Abweichungen und Korrekturmaßnahmen sollten dokumentiert werden.

Damit sind die Hauptabschnitte des Standards abgeschlossen. Anhang A enthält spezifischere Anforderungen, die von einer Organisation zu erfüllen sind. Verwenden Sie beispielsweise in Bezug auf die Zugangskontrolle mobile Geräte und Informationsträger.

Vorteile durch Implementierung und Zertifizierung von ISO 27001

• Erhöhung des Status der Organisation und dementsprechend des Vertrauens der Partner;
• Erhöhung der Stabilität des Funktionierens der Organisation;
• Erhöhung des Schutzniveaus vor Bedrohungen der Informationssicherheit;
• Gewährleistung der erforderlichen Vertraulichkeit von Informationen interessierter Parteien;
• Erweiterung der Möglichkeiten der Organisation, an großen Verträgen teilzunehmen.

Die wirtschaftlichen Vorteile sind:

• unabhängige Bestätigung durch die Zertifizierungsstelle, dass die Organisation über ein hohes Maß an Informationssicherheit verfügt, das von kompetentem Personal kontrolliert wird;
• Nachweis der Einhaltung der geltenden Gesetze und Vorschriften (Einhaltung des Systems der zwingenden Anforderungen);
• Demonstration eines bestimmten hohen Niveaus von Managementsystemen, um den Kunden und Partnern der Organisation ein angemessenes Serviceniveau zu gewährleisten;
• Demonstration regelmäßiger Audits von Managementsystemen, Leistungsbewertungen und kontinuierlicher Verbesserung.

Zertifizierung

Eine Organisation kann von akkreditierten Stellen nach diesem Standard zertifiziert werden. Der Zertifizierungsprozess besteht aus drei Phasen:

• 1. Stufe - die Prüfung der wichtigsten ISMS-Dokumente durch den Auditor auf die Einhaltung der Anforderungen des Standards - kann sowohl auf dem Territorium der Organisation als auch durch Übermittlung dieser Dokumente an einen externen Auditor durchgeführt werden;
• 2. Stufe - Detailaudit inkl. Prüfung der umgesetzten Maßnahmen und Bewertung ihrer Wirksamkeit. Beinhaltet ein vollständiges Studium der von der Norm geforderten Dokumente;
• 3. Stufe - Durchführung eines Inspektionsaudits, um zu bestätigen, dass die zertifizierte Organisation die angegebenen Anforderungen erfüllt. Wird in regelmäßigen Abständen durchgeführt.

Ergebnis

Wie Sie sehen, ermöglicht die Verwendung dieses Standards im Unternehmen eine qualitative Verbesserung des Informationssicherheitsniveaus, das unter den Bedingungen der modernen Realität teuer ist. Der Standard enthält viele Anforderungen, aber die wichtigste Anforderung ist, das zu tun, was geschrieben steht! Ohne die Anforderungen der Norm tatsächlich anzuwenden, wird es zu einem leeren Blatt Papier.

GOST R ISO / IEC 27001-2006 „Informationstechnologie. Methoden und Mittel zur Gewährleistung der Sicherheit. Managementsysteme für Informationssicherheit. Anforderungen"

Die Entwickler des Standards weisen darauf hin, dass er als Modell für die Entwicklung, Implementierung, den Betrieb, das Monitoring, die Analyse, den Support und die Verbesserung des Informationssicherheits-Managementsystems (ISMS) erstellt wurde. Ein ISMS (Information Security Management System; ISMS) wird als Teil des Gesamtmanagementsystems definiert, das auf der Anwendung von Methoden der Geschäftsrisikobewertung für die Entwicklung, Implementierung, den Betrieb, die Überwachung, Analyse, Unterstützung und Verbesserung der Informationssicherheit basiert. Das Managementsystem umfasst organisatorische Struktur, Richtlinien, Planungsaktivitäten, Verantwortlichkeiten, Praktiken, Verfahren, Prozesse und Ressourcen.

Der Standard geht von der Verwendung eines Prozessansatzes für Entwicklung, Implementierung, Betrieb, Überwachung, Analyse, Unterstützung und Verbesserung des ISMS der Organisation aus. Es basiert auf dem Plan - Do - Check - Act (PDCA)-Modell, mit dem alle ISMS-Prozesse strukturiert werden können. In Abb. 4.4 zeigt, wie das ISMS unter Verwendung der Infound der erwarteten Ergebnisse interessierter Parteien als Input durch die erforderlichen Maßnahmen und Prozesse Iliefert, die diesen Anforderungen und den erwarteten Ergebnissen entsprechen.

Reis. 4.4.

Auf der Bühne "Entwicklung eines Informationssicherheits-Managementsystems" Die Organisation sollte Folgendes tun:

• - den Umfang und die Grenzen des ISMS bestimmen;
• - die ISMS-Richtlinie basierend auf den Merkmalen des Unternehmens, der Organisation, seines Standorts, seiner Vermögenswerte und Technologien festlegen;
• - den Ansatz zur Risikobewertung in der Organisation bestimmen;
• - Risiken identifizieren;
• - Risiken analysieren und bewerten;
• - verschiedene Optionen zur Risikobehandlung identifizieren und bewerten;
• - Ziele und Kontrollen für die Risikobehandlung auswählen;
• - die Zustimmung des Managements zu den erwarteten Restrisiken einholen;
• - Genehmigung der Geschäftsleitung für die Implementierung und den Betrieb des ISMS einholen;
• - Erstellung einer Anwendbarkeitserklärung.

Bühne " Implementierung und Betrieb des Informat" schlägt vor, dass die Organisation:

• - einen Risikobehandlungsplan entwickeln, der die geeigneten Managementmaßnahmen, Ressourcen, Verantwortlichkeiten und Prioritäten für das Informadefiniert;
• - einen Risikobehandlungsplan umsetzen, um die beabsichtigten Managementziele zu erreichen, der Finanzierungsfragen sowie die Verteilung von Rollen und Verantwortlichkeiten umfasst;
• - die ausgewählten Managementmaßnahmen umsetzen;
• - bestimmen, wie die Wirksamkeit der ausgewählten Kontrollmaßnahmen gemessen werden kann;
• - Durchführung von Schulungs- und Weiterbildungsprogrammen für Mitarbeiter;
• - die Arbeit des ISMS verwalten;
• - ISMS-Ressourcen verwalten;
• - Verfahren und andere Kontrollmaßnahmen implementieren, um eine schnelle Erkennung von Informationssicherheitsvorfällen und eine Reaktion auf Informationssicherheitsvorfälle zu gewährleisten.

Die dritte Stufe“ Überwachung und Analyse des Informationssicherheitsmanagementsystems" erfordert:

• - Durchführung von Überwachungs- und Analyseverfahren;
• - Durchführung einer regelmäßigen Analyse der Wirksamkeit des ISMS;
• - die Wirksamkeit der Kontrollen messen, um die Einhaltung der IS-Anforderungen zu überprüfen;
• - Risikobewertungen in festgelegten Zeiträumen überarbeiten, Restrisiken und festgelegte akzeptable Risikoniveaus unter Berücksichtigung von Veränderungen analysieren;
• - Durchführung von internen ISMS-Audits in festgelegten Zeitintervallen;
• - regelmäßig eine Analyse des ISMS durch die Leitung der Organisation durchführen, um die Angemessenheit der SS-Funktionalität zu bestätigen und die Richtungen für Verbesserungen festzulegen;
• - Aktualisierung der IS-Pläne unter Berücksichtigung der Ergebnisse der Analyse und Überwachung;
• - Maßnahmen und Ereignisse aufzuzeichnen, die die Wirksamkeit oder den Betrieb des ISMS beeinträchtigen könnten.

Endlich die Bühne "Unterstützung und Verbesserung des Informationssicherheitsmanagementsystems" schlägt vor, dass die Organisation regelmäßig die folgenden Aktivitäten durchführen sollte:

• - Möglichkeiten zur Verbesserung des ISMS ermitteln;
• - die erforderlichen Korrektur- und Vorbeugungsmaßnahmen ergreifen, die Erfahrungen bei der Gewährleistung der Informationssicherheit, die sie sowohl in ihrer eigenen Organisation als auch in anderen Organisationen gesammelt haben, in die Praxis umsetzen;
• - detaillierte Informationen über Maßnahmen zur Verbesserung des ISMS an alle interessierten Parteien übermitteln, wobei der Detaillierungsgrad den Umständen entsprechen sollte und ggf. weitere Maßnahmen vereinbaren;
• - die Umsetzung von Verbesserungen des ISMS sicherzustellen, um die geplanten Ziele zu erreichen.

Weiter in der Norm sind die Anforderungen an die Dokumentation angegeben, die die Bestimmungen der ISMS-Policy und eine Beschreibung des Einsatzgebietes, eine Beschreibung der Methodik und einen Risikobewertungsbericht, einen Risikobehandlungsplan und eine Dokumentation umfassen sollte verwandter Verfahren. Außerdem sollte ein Prozess zur Verwaltung von ISMS-Dokumenten definiert werden, einschließlich Aktualisierung, Verwendung, Speicherung und Entsorgung.

Um die Einhaltung der Anforderungen und die Wirksamkeit des ISMS nachzuweisen, ist es erforderlich, Aufzeichnungen und Aufzeichnungen über die Ausführung von Prozessen zu führen und zu führen. Beispiele sind Besucherprotokolle, Auditberichte usw.

Die Norm legt fest, dass die Leitung der Organisation für die Bereitstellung und Verwaltung der Ressourcen verantwortlich ist, die für die Einrichtung eines ISMS und für die Organisation von Personalschulungen erforderlich sind.

Wie bereits erwähnt, sollte die Organisation interne ISMS-Audits gemäß einem genehmigten Zeitplan durchführen, um ihre Funktionalität und Einhaltung des Standards zu bewerten. Und das Management sollte eine Analyse des Informationssicherheits-Managementsystems durchführen.

Außerdem sollte daran gearbeitet werden, das Informazu verbessern: um seine Wirksamkeit und den Grad der Übereinstimmung mit dem aktuellen Zustand des Systems und den Anforderungen dafür zu erhöhen.

Einführung

Ein schnell wachsendes Unternehmen sowie ein Riese in seinem Segment sind daran interessiert, Gewinne zu erwirtschaften und sich vor dem Einfluss von Eindringlingen zu schützen. War früher der Diebstahl materieller Werte die Hauptgefahr, so spielt der Diebstahl heute die Hauptrolle in Bezug auf wertvolle Informationen. Die Übersetzung eines erheblichen Teils der Informationen in elektronische Form, die Nutzung lokaler und globaler Netzwerke schaffen qualitativ neue Bedrohungen für vertrauliche Informationen.

Banken, Verwaltungsorganisationen und Versicherungsunternehmen sind sich des Durchsickerns von Informationen besonders bewusst. Informationsschutz im Unternehmen ist eine Reihe von Maßnahmen, die die Sicherheit von Kunden- und Mitarbeiterdaten gewährleisten, wichtig elektronische Dokumente und alle möglichen Informationen, Geheimnisse. Jedes Unternehmen ist mit Computerausrüstung und Zugang zum World Wide Web ausgestattet. Angreifer verbinden sich geschickt mit fast jeder Komponente dieses Systems und nutzen ein großes Arsenal (Viren, Malware, Passwortraten usw.), um wertvolle Informationen zu stehlen. In jeder Organisation muss ein Informationssicherheitssystem implementiert werden. Führungskräfte müssen alle Arten von Informationen sammeln, analysieren und kategorisieren, die geschützt werden müssen, und ein geeignetes Sicherheitssystem verwenden. Dies wird jedoch nicht ausreichen, denn neben der Technologie gibt es auch einen menschlichen Faktor, der erfolgreich Informationen an Wettbewerber weitergeben kann. Es ist wichtig, den Schutz Ihres Unternehmens auf allen Ebenen richtig zu organisieren. Zu diesen Zwecken wird ein Informationssicherheits-Managementsystem verwendet, mit dessen Hilfe der Manager einen kontinuierlichen Prozess zur Überwachung des Geschäfts einrichtet und ein hohes Maß an Sicherheit seiner Daten gewährleistet.

1. Relevanz des Themas

Für jeden modernes Unternehmen, Unternehmen oder Organisation, ist gerade die Gewährleistung der Informationssicherheit eine der wichtigsten Aufgaben. Wenn ein Unternehmen sein Informationssystem stabil schützt, schafft es eine zuverlässige und sichere Umgebung für seinen Betrieb. Beschädigung, Verlust, Mangel und Diebstahl von Informationen sind immer Verluste für jedes Unternehmen. Daher ist der Aufbau eines Informationssicherheits-Managementsystems in Unternehmen ein dringendes Thema unserer Zeit.

2. Ziele und Zielsetzungen der Studie

Analysieren Sie die Möglichkeiten zur Schaffung eines Informatim Unternehmen unter Berücksichtigung der Besonderheiten der Region Donezk.

• analysieren Der letzte Stand der Technik Informatin Unternehmen;
• die Gründe für die Schaffung und Implementierung eines Informatin Unternehmen ermitteln;
• Entwicklung und Implementierung eines Informatam Beispiel des Unternehmens PJSC Donetsk Mine Rescue Equipment Plant;
• bewerten die Effektivität, Effizienz und Wirtschaftlichkeit der Einführung eines Informationssicherheits-Managementsystems im Unternehmen.

3. Informationssicherheits-Managementsystem

Unter Informationssicherheit wird der Zustand des Schutzes von Informationen und unterstützender Infrastruktur vor zufälligen oder vorsätzlichen Einflüssen natürlicher oder künstlicher Art (Informationsbedrohungen, Bedrohungen der Informationssicherheit) verstanden, die den Subjekten der Informationsbeziehungen unzumutbaren Schaden zufügen können.

Verfügbarkeit von Informationen - die Eigenschaft des Systems, autorisierten (autorisierten) Personen rechtzeitig ungehinderten Zugang zu für sie interessanten Informationen zu gewähren oder einen zeitnahen Informationsaustausch zwischen ihnen durchzuführen.

Integrität von Informationen ist eine Eigenschaft von Informationen, die ihre Widerstandsfähigkeit gegen zufällige oder vorsätzliche Zerstörung oder unbefugte Veränderung kennzeichnet. Integrität kann in statisch (verstanden als Unveränderlichkeit von Informationsobjekten) und dynamisch (bezogen auf die korrekte Ausführung komplexer Aktionen (Transaktionen)) unterteilt werden.

Die Vertraulichkeit von Informationen ist das Eigentum von Informationen, die nur autorisierten Subjekten des Systems (Benutzer, Programme, Prozesse) bekannt und zugänglich sind. Vertraulichkeit ist der am weitesten entwickelte Aspekt der Informationssicherheit in unserem Land.

Das Informationssicherheits-Managementsystem (im Folgenden ISMS) ist ein Teil des allgemeinen Managementsystems, das auf Ansätzen zum Geschäftsrisiko basiert und zur Einrichtung, Implementierung, Verwaltung, Überwachung, Aufrechterhaltung und Verbesserung der Informationssicherheit bestimmt ist.

Die wichtigsten Faktoren, die den Schutz von Informationen und Daten im Unternehmen beeinflussen, sind:

• Verbesserung der Zusammenarbeit des Unternehmens mit Partnern;
• Automatisierung von Geschäftsprozessen;
• Die Tendenz zu einer Zunahme des Informationsvolumens des Unternehmens, das über die verfügbaren Kommunikationskanäle übertragen wird;
• Der Aufwärtstrend bei Computerkriminalität.

Die Aufgaben der Informationssicherheitssysteme des Unternehmens sind vielfältig. Dies ist beispielsweise die Bereitstellung einer zuverlässigen Datenspeicherung auf verschiedenen Medien; Schutz von Informationen, die über Kommunikationskanäle übertragen werden; Einschränkung des Zugriffs auf einige Daten; Erstellen von Backups und mehr.

Eine vollwertige Informationssicherheit eines Unternehmens ist nur mit dem richtigen Umgang mit dem Datenschutz real. Im Informationssicherheitssystem gilt es, alle aktuellen Bedrohungen und Schwachstellen zu berücksichtigen.

Eines der effektivsten Werkzeuge zur Verwaltung und zum Schutz von Informationen ist das Informationssicherheits-Managementsystem, das auf der Grundlage des Modells MS ISO / IEC 27001:2005 aufgebaut ist. Der Standard basiert auf Prozessansatz zur Entwicklung, Implementierung, Betrieb, Überwachung, Analyse, Wartung und Verbesserung des ISMS des Unternehmens. Es besteht in der Schaffung und Anwendung eines Systems von Managementprozessen, die in einem kontinuierlichen Zyklus der Planung, Implementierung, Überprüfung und Verbesserung des ISMS miteinander verbunden sind.

Diese Internationale Norm wurde mit dem Ziel erarbeitet, ein Modell für die Implementierung, Implementierung, den Betrieb, die Überwachung, Analyse, Wartung und Verbesserung eines ISMS zu schaffen.

Die wichtigsten Faktoren für die Implementierung eines ISMS:

• legislative - die Anforderungen der aktuellen nationalen Gesetzgebung in Bezug auf IS, internationale Anforderungen;
• wettbewerbsfähig - Einhaltung des Niveaus, Elite, Schutz ihrer immateriellen Vermögenswerte, Überlegenheit;
• Anti-Kriminalität - Schutz vor Plünderern (White Collars), Verhinderung von Unfug und heimlicher Überwachung, Sammlung von Beweismitteln für Verfahren.

Der Aufbau der Infoist in Abbildung 1 dargestellt.

Abbildung 1 - Der Aufbau der Dokumentation im Bereich Informationssicherheit

4. Aufbau eines ISMS

ISO-Befürworter verwenden das PDCA-Modell, um ein ISMS zu erstellen. ISO wendet dieses Modell auf viele seiner Managementstandards an und ISO 27001 ist keine Ausnahme. Darüber hinaus können Sie durch die Befolgung des PDCA-Modells bei der Organisation des Managementprozesses die gleichen Techniken in Zukunft verwenden - für das Qualitätsmanagement, das Umweltmanagement, das Sicherheitsmanagement sowie in anderen Managementbereichen, was die Kosten senkt. Daher ist PDCA eine ausgezeichnete Wahl, die die Aufgaben der Erstellung und Wartung eines ISMS vollständig erfüllt. Mit anderen Worten, die PDCA-Phasen definieren, wie Richtlinien, Ziele, Prozesse und Verfahren festgelegt werden, die den behandelten Risiken angemessen sind (Plan-Phase), Umsetzung und Anwendung (Do-Phase), die Ergebnisse des Prozesses aus die punktpolitische Perspektive (Check-Phase - Check), korrigierende und präventive Maßnahmen ergreifen (Verbesserungs-Phase - Act). Zusätzliche Konzepte, die nicht Teil der ISO-Standards sind und bei der Erstellung eines ISMS nützlich sein können, sind: Zustand wie er sein sollte (sollte); Zustand wie er ist (wie er ist); Übergangsplan.

Grundlage der ISO 27001 ist ein Informationsrisikomanagementsystem.

Phasen der Erstellung eines ISMS

Im Rahmen der Arbeiten zur Erstellung eines ISMS lassen sich folgende Hauptphasen unterscheiden:

Abbildung 2 - PDCA-Modell für das I(Animation: 6 Frames, 6 Wiederholungen, 246 Kilobyte)

5. Informationsrisikomanagement

Das Risikomanagement wird auf der administrativen Ebene der Informationssicherheit betrachtet, da nur das Management der Organisation in der Lage ist, die erforderlichen Ressourcen zuzuweisen, die Umsetzung entsprechender Programme zu initiieren und zu kontrollieren.

Der Einsatz von Informationssystemen ist mit einer Reihe von Risiken verbunden. Wenn der potenzielle Schaden unannehmbar groß ist, müssen wirtschaftlich gerechtfertigte Schutzmaßnahmen ergriffen werden. Eine regelmäßige (Neu-)Bewertung von Risiken ist notwendig, um die Wirksamkeit der Sicherheitsaktivitäten zu überwachen und Veränderungen in der Umgebung zu berücksichtigen.

Der Kern der Risikomanagementaktivitäten besteht darin, ihren Umfang zu bewerten, wirksame und kosteneffektive Maßnahmen zur Risikominderung zu entwickeln und dann sicherzustellen, dass die Risiken innerhalb akzeptabler Grenzen gehalten werden (und bleiben).

Der Risikomanagementprozess lässt sich in folgende Phasen unterteilen:

1. Die Auswahl der analysierten Objekte und der Detaillierungsgrad ihrer Betrachtung.
2. Wahl der Methodik zur Risikobewertung.
3. Identifizierung von Vermögenswerten.
4. Analyse von Bedrohungen und deren Folgen, Identifizierung von Schwachstellen im Schutz.
5. Risikoabschätzung.
6. Auswahl von Schutzmaßnahmen.
7. Umsetzung und Überprüfung der ausgewählten Maßnahmen.
8. Restrisikobewertung.

Das Risikomanagement muss wie jede andere Informationssicherheitsaktivität integriert werden in Lebenszyklus IP. Dann ist der Effekt am größten und die Kosten minimal.

Es ist sehr wichtig, eine angemessene Risikobewertungsmethode zu wählen. Der Zweck der Bewertung besteht darin, Antworten auf zwei Fragen zu erhalten: Sind die bestehenden Risiken akzeptabel und wenn nicht, welche Schutzausrüstung sollte verwendet werden? Dies bedeutet, dass die Bewertung quantitativ erfolgen sollte, um einen Vergleich mit vorausgewählten Zulässigkeitsgrenzen und den Kosten für die Einführung neuer Sicherheitsvorschriften zu ermöglichen. Risikomanagement ist ein typisches Optimierungsproblem, und es gibt einige Softwareprodukte, die es lösen können (manchmal werden solche Produkte einfach an Bücher über Informationssicherheit angehängt). Die grundlegende Schwierigkeit liegt jedoch in der Ungenauigkeit der Ausgangsdaten. Sie können natürlich versuchen, für alle analysierten Werte einen monetären Ausdruck zu erhalten, alles auf den nächsten Cent berechnen, aber das macht nicht viel Sinn. Es ist praktischer, herkömmliche Einheiten zu verwenden. Im einfachsten und durchaus akzeptablen Fall können Sie eine Drei-Punkte-Skala verwenden.

Die wichtigsten Phasen des Risikomanagements.

Der erste Schritt bei der Analyse von Bedrohungen besteht darin, sie zu identifizieren. Die in Betracht gezogenen Arten von Bedrohungen sollten nach gesunden Menschenverstand ausgewählt werden (z. B. Erdbeben ausgenommen, aber die Möglichkeit der Beschlagnahme der Organisation durch Terroristen nicht vergessen), aber innerhalb der ausgewählten Arten die detaillierteste Analyse durchführen .

Es ist ratsam, nicht nur die Bedrohungen selbst, sondern auch die Quellen ihres Auftretens zu identifizieren - dies hilft bei der Auswahl zusätzlicher Schutzmaßnahmen.

Nachdem die Bedrohung identifiziert wurde, muss die Wahrscheinlichkeit ihrer Umsetzung bewertet werden. Es ist zulässig, eine dreistufige Skala zu verwenden (niedrige (1), mittlere (2) und hohe (3) Wahrscheinlichkeit).

Sollten sich Risiken als inakzeptabel hoch herausstellen, gilt es, diese durch zusätzliche Schutzmaßnahmen zu neutralisieren. In der Regel gibt es mehrere Sicherheitsmechanismen, die sich in Effizienz und Kosten unterscheiden, um die Schwachstelle zu beseitigen oder zu neutralisieren, die die Bedrohung real gemacht hat.

Wie bei jeder anderen Aktivität sollte die Implementierung und Erprobung neuer Sicherheitsregulatoren im Voraus geplant werden. Der Plan muss die Anwesenheit berücksichtigen finanzielle Resourcen und der Zeitpunkt der Mitarbeiterschulung. Wenn es um einen Soft- und Hardwareschutzmechanismus geht, müssen Sie einen Testplan erstellen (autonom und komplex).

Wenn die beabsichtigten Maßnahmen ergriffen werden, ist es erforderlich, deren Wirksamkeit zu überprüfen, dh sicherzustellen, dass die Restrisiken akzeptabel geworden sind. Ist dies tatsächlich der Fall, können Sie den Termin der nächsten Neubewertung bedenkenlos einplanen. Andernfalls müssen Sie die gemachten Fehler analysieren und die Risikomanagementsitzung sofort wiederholen.

Schlussfolgerungen

Jeder Leiter des Unternehmens kümmert sich um sein Geschäft und muss daher verstehen, dass die Entscheidung zur Einführung eines Informationssicherheits-Managementsystems (ISMS) ein wichtiger Schritt ist, der das Risiko des Verlusts von Vermögenswerten des Unternehmens / der Organisation minimiert und finanzielle Verluste reduziert, und in einigen Fällen eine Insolvenz vermeiden.

Informationssicherheit ist wichtig für Unternehmen, sowohl für den privaten als auch für den öffentlichen Sektor. Es ist als Instrument zur Bewertung, Analyse und Minimierung der damit verbundenen Risiken zu sehen.

Die durch Technologie erreichbare Sicherheit ist begrenzt und sollte durch geeignete Kontrollen und Verfahren aufrechterhalten werden.

Die Definition von Kontrollen erfordert eine sorgfältige Planung und Aufmerksamkeit.

Um Informationen wirksam zu schützen, sollten die am besten geeigneten Sicherheitsmaßnahmen entwickelt werden, die durch die Identifizierung der Hauptrisiken von Informationen im System und die Umsetzung geeigneter Maßnahmen erreicht werden können.

Biyachuev T. A. Sicherheit Unternehmensnetzwerke/ Hrsg. L.G. Osowetski. - SPb.: Verlag SPb GU ITMO, 2006 .-- 161 p.

Shahalov Igor Yurievich

Zum Thema Integration von Qualitätsmanagementsystemen und Informationssicherheit

Kurzfassung: Berücksichtigt werden die internationalen Normen ISO 27001 und ISO 9001. Es erfolgt eine Analyse der Gemeinsamkeiten und Unterschiede zwischen dem Qualitätsmanagementsystem und dem Informationssicherheitsmanagementsystem. Die Möglichkeit der Integration des Qualitätsmanagementsystems und des Informatwird aufgezeigt. Es werden die wichtigsten Phasen des Aufbaus und der Implementierung eines integrierten Informatangegeben. Die Vorteile des integrierten Ansatzes werden aufgezeigt.

Schlüsselwörter: Informationssicherheitsmanagementsysteme, integrierte Managementsysteme, ISMS, QMS, ISO 27001.

Natalia Olegovna

Einführung

V moderne Welt mit dem Aufkommen von gemeinsamen und bequemen technische Geräte das Problem des Informationsschutzes ist ziemlich scharf geworden. Neben der Freigabe von Qualitätsprodukten oder der Erbringung von Dienstleistungen für Unternehmen und Organisationen ist es wichtig, die notwendigen Informationen vor Wettbewerbern geheim zu halten, um auf dem Markt eine günstige Position zu behalten. Im Konkurrenzkampf sind verschiedene Aktionen zur Beschaffung (Erlangung, Beschaffung) vertraulicher Informationen weit verbreitet. verschiedene Wege, bis hin zur direkten Wirtschaftsspionage mit modernen technischen Mitteln der Intelligenz.

So werden Organisationen, die sich an die weltweit besten Praktiken halten, die Anforderungen und Richtlinien für die Implementierung von Geschäftsprozessmanagementsystemen enthalten, führend auf dem Markt. Die besten Standards für die Entwicklung, Implementierung, Überwachung und Verbesserung solcher Systeme sind Dokumente der International Organization for Standardization (ISO). Besonderes Augenmerk sollte auf die Standards der ISO 900x- und ISO 2700x-Reihe gelegt werden, die die Best Practices für die Implementierung eines Qualitätsmanagementsystems (QMS) und eines Informat(ISMS) sammeln.

Das nach den Anforderungen der ISO 9001 umgesetzte Qualitätsmanagementsystem ist seit langem als integraler Bestandteil eines erfolgreichen Unternehmens, das hochwertige Produkte herstellt oder hochwertige Dienstleistungen erbringt, anerkannt. Die Verfügbarkeit eines Konformitätszertifikats ist heute sowohl eine effektive Marketinglösung als auch ein Mechanismus zur Kontrolle von Produktionsprozessen. Das QMS-Audit ist ein gut entwickeltes Geschäftsfeld.

Die Abhängigkeit der erfolgreichen Aktivitäten des Unternehmens von Unternehmenssystem Informationsschutz. Dies ist auf die Zunahme der im Unternehmensinformationssystem verarbeiteten Vitaldaten zurückzuführen. Informationssysteme werden komplexer und auch die Zahl der darin gefundenen Schwachstellen nimmt zu. Das ISMS-Audit ermöglicht die Beurteilung des aktuellen Sicherheitszustands des Funktionierens des Unternehmensinformationssystems,

bewerten und prognostizieren Risiken, steuern deren Auswirkungen auf die Geschäftsprozesse des Unternehmens.

Da die Norm ISO 9001 bei der Anzahl der Zertifikate weltweit längst die führende Position einnimmt und die Norm ISO 27001 eine Tendenz zu einer zunehmenden Zertifizierung des Informationssicherheits-Managementsystems zeigt, ist es ratsam, die möglichen Wechselwirkungen und Integration des QMS und des ISMS.

Integration von Standards

Auf den ersten Blick sind Qualitätsmanagement und Informationssicherheit völlig unterschiedliche Bereiche. In der Praxis sind sie jedoch eng verwandt und bilden ein Ganzes (Abbildung 1). Die Kundenzufriedenheit, die ein objektives Qualitätsziel ist, hängt von Jahr zu Jahr mehr und mehr von der Verfügbarkeit von Informationstechnologien und der Datensicherheit ab, für deren Aufrechterhaltung die Norm ISO 27001 verwendet wird die Unternehmensziele der Organisation und trägt zur Gewährleistung der Sicherheit bei. Dank eines integrierten Ansatzes kann ISO 27001 effektiv in bestehendes QMS integriert oder gemeinsam mit QMS umgesetzt werden.

(ISO 27001) und IT Service Management (ISO 20000) haben einen ähnlichen Struktur- und Prozessansatz. Dadurch entsteht eine Synergie, die sich auszahlt: In der Praxis spart ein integriertes Managementsystem für den laufenden Betrieb 20 bis 30 Prozent der Gesamtkosten für Systemoptimierung, Prüfungen und Revisionen.

Die Standards für Informationssicherheit und Qualitätsmanagement zielen auf eine kontinuierliche Verbesserung nach dem Plan-Do-Check-Act (PDCA)-Modell, dem sogenannten Deming-Zyklus (siehe Abbildung 2). Darüber hinaus sind sie ähnlich aufgebaut, wie die Entsprechungstabelle im Anhang C der ISO 27001 zeigt. Beide Standards definieren den Prozessansatz, den Umfang, die System- und Dokumentationsanforderungen sowie die administrative Verantwortung. In beiden Fällen endet die Struktur mit einem internen Audit, einer Managementbewertung und einer Systemverbesserung. Dabei interagieren beide Systeme. ISO 9001 fordert beispielsweise das Management fehlerhafter Produkte. Ebenso enthält die Norm ISO 27001 eine Anforderung für das Vorfallmanagement zur Behebung von Fehlern.

Reis. 1. Interaktionsbereiche und Ähnlichkeit von QMS und ISMS

Reis. 2. Deming-Zyklus

Mehr als 27.200 Organisationen unterschiedlicher Branchen in mehr als 100 Ländern der Welt sind nach ISO 9001:2008 für Qualitätsmanagement zertifiziert. Je nach Markt und gesetzlichen Anforderungen sind viele Unternehmen zunehmend gezwungen, sich mit Informationssicherheit zu beschäftigen. Hier bietet die Integration der Steuerung echte Möglichkeiten. Ein komplexer Ansatz auch interessant für Unternehmen, die bisher keinen Managementprozess eingesetzt haben. ISO-Standards für Qualität (ISO 9001), Umweltschutz (ISO 14000), Informationssicherheit

Die Unterschiede zwischen den Standards ergänzen sich sinnvoll, was entscheidend zu mehr Geschäftserfolg beiträgt. ISO 9001 fordert beispielsweise die Definition von Unternehmenszielen, Kundenorientierung und Messbarkeit, inwieweit Ziele und Zielsetzungen erreicht werden. Dies sind drei Themen, die nicht im Mittelpunkt des Interesses von ISO 27001 stehen: Dieser Standard wiederum priorisiert das Risikomanagement zur Aufrechterhaltung der Geschäftskontinuität und bietet detaillierte Hilfestellungen bei der Implementierung eines ISMS. Im Vergleich

dabei ist ISO 9001 eher ein theoretischer Standard.

ISO 27001 – ein Standard nicht nur für die IT

Viele Leute denken, dass der ISO 27001-Standard nur für IT-Prozesse gilt, aber in Wirklichkeit ist dies nicht der Fall. Der grundlegende Punkt für die Umsetzung des ISO 27001 SM & B-Standards ist die Definition von Assets.

■ "lilltpHiimiir-J." IJilllF.lEL^ OIU.IC.

r t^tsdkpinizh ts netvk^tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Reis. 3. Arten von Vermögenswerten

Unter einem Vermögenswert wird alles verstanden, was für das Unternehmen von Wert ist (Abbildung 3). Das heißt, ein Vermögenswert kann sein: Personal, Infrastruktur, Werkzeuge, Ausrüstung, Kommunikation, Dienstleistungen und alle anderen Vermögenswerte, einschließlich Dienstleistungen für die Lieferung gekaufter Produkte. Anhand der Prozesse ermittelt das Unternehmen, welche Assets es besitzt und welche Assets an kritischen Prozessen beteiligt sind und bewertet den Wert der Assets. Und erst danach erfolgt die Risikobewertung für alle wertvollen Vermögenswerte. Damit ist das ISMS nicht nur für digitale Informationen gedacht, die in automatisiertes System... Einige der kritischsten Prozesse beinhalten beispielsweise

Vorbereitung

Veranstaltungspläne

2 Check H: Ich stimme zu

mit der Speicherung von Informationen in Papierform, die auch von ISO 27001 abgedeckt wird. Ein ISMS deckt alle Möglichkeiten ab, wie wichtige Informationen in Ihrem Unternehmen gespeichert werden können, von der Art und Weise, wie Ihre E-Mails geschützt und endet mit dem Ort, an dem die Personalakten der Mitarbeiter im Gebäude aufbewahrt werden.

Daher ist es ein großes Missverständnis, dass, da der Standard auf den Aufbau eines Informatabzielt, dies nur für Daten gelten kann, die in einem Computer gespeichert sind. Auch in unserem digitalen Zeitalter spiegeln sich noch viele Informationen auf Papier, die zudem zuverlässig geschützt werden müssen.

ISO 9001 kann die Infodes Unternehmens nicht erfüllen, da sie sich eng auf die Produktqualität konzentriert. Daher ist es sehr wichtig, die ISO 27001 im Unternehmen zu implementieren.Auf den ersten Blick mag es einem Fachmann erscheinen, dass beide Standards sehr allgemein und nicht spezifisch sind. Dies ist jedoch nicht der Fall: Die Norm ISO 27001 beschreibt nahezu jeden Schritt der Implementierung und Kontrolle der Funktionsweise eines ISMS (Abbildung 4).

Die wichtigsten Phasen des Aufbaus eines Informationssicherheitsmanagementsystems

Die Hauptphasen des Aufbaus eines ISMS sind in Abbildung 4 dargestellt. Betrachten wir sie genauer.

Phase 1. Erstellung von Aktionsplänen. In dieser Phase sammeln Spezialisten organisatorische und administrative Dokumente (ORD) und andere Arbeitsmaterialien,

3 A Typ normal II ORD

4 Analyse ii Risikobewertungen 11B

Implementierung

5 RyazraOoghya und<>RaeryaOopv-Komplex & 00 \ * ieiitii:

Bestrahlungspläne ■ -> Normen -> Veranstaltungen -> CfftpJOTHW *

Veranstaltungen Mo> PB ORD Poenpzhenie

Bildung von 10 AiUtuin Auswertung der Ergebnisse des INRsNESHS "IMB

Reis. 4. Phasen des Aufbaus eines ISMS

über den Aufbau und Betrieb von Informationssystemen des Unternehmens, die Mechanismen und Mittel zur Gewährleistung der Informationssicherheit verwenden sollen. Darüber hinaus werden Aktionspläne für die Arbeitsschritte erstellt, abgestimmt und von der Unternehmensleitung freigegeben.

Stufe 2. Prüfung auf Konformität mit ISO / IEC 27001: 2005. Interviews und Befragung von Führungskräften und Mitarbeitern von Abteilungen. Analyse des ISMS des Unternehmens auf Einhaltung der Anforderungen der ISO / IEC 27001:2005.

Phase 3. Analyse von regulatorischen und organisatorischen und administrativen Dokumenten basierend auf der Organisationsstruktur des Unternehmens. Basierend auf den Ergebnissen wird der Schutzumfang (OA) bestimmt und eine Skizze der Informationssicherheitspolitik des Unternehmens erstellt.

Stufe 4. Analyse und Bewertung von Informationssicherheitsrisiken. Entwicklung einer Methodik zum Management von Unternehmensrisiken und deren Analyse. Analyse der Informationsressourcen des Unternehmens, hauptsächlich LAN, um Bedrohungen und Schwachstellen von geschützten ML-Assets zu identifizieren. Inventar der Vermögenswerte. Durchführung von Beratungen für die Spezialisten des Unternehmens und Beurteilung der Einhaltung des tatsächlichen und erforderlichen Sicherheitsniveaus. Berechnung der Risiken, Ermittlung des aktuellen und akzeptablen Risikoniveaus für jeden einzelnen Vermögenswert. Risikoranking, Auswahl von Maßnahmenkomplexen zu deren Reduzierung und Berechnung der theoretischen Effizienz der Umsetzung.

Stufe 5. Entwicklung und Umsetzung von IS-Aktionsplänen. Entwicklung einer Aussage zur Anwendbarkeit von Steuerungen nach ISO / IEC 27001:2005. Entwicklung eines Plans zur Bilanzierung und Eliminierung von Risiken. Erstellung von Berichten für die Unternehmensleitung.

Phase 6. Entwicklung normativer und operativer Dokumente. Entwicklung und Genehmigung der endgültigen IB-Policy und der dazugehörigen Bestimmungen (Privatpolice). Entwicklung von Standards, Verfahren und Anweisungen, um das normale Funktionieren und den Betrieb des ISMS des Unternehmens sicherzustellen.

Stufe 7. Umsetzung umfassender Maßnahmen zur Reduzierung von IS-Risiken und Bewertung ihrer Wirksamkeit gemäß dem vom Management genehmigten Plan zur Bearbeitung und Beseitigung von Risiken.

Stufe 8. Personalschulung. Entwicklung von Aktionsplänen und Durchführung von Programmen zur Schulung und Verbesserung der Kompetenz der Mitarbeiter des Unternehmens, um allen Mitarbeitern die Grundsätze der Informationssicherheit effektiv zu vermitteln und

vor allem diejenigen, die in Struktureinheiten Bereitstellung wichtiger Geschäftsprozesse.

Stufe 9. Erstellung der Berichterstattung. Systematisierung der Umfrageergebnisse und Erstellung von Berichten. Präsentation der Arbeitsergebnisse für die Firmenchefs. Erstellung von Dokumenten für die Zulassung zur Konformität mit ISO / IEC 27001:2005 und deren Übergabe an die zertifizierende Organisation.

Stufe 10. Analyse und Bewertung der Ergebnisse der ISMS-Implementierung basierend auf der Methodik zur Bewertung der Zuverlässigkeit der ISMS-Funktionalität des Unternehmens. Entwicklung von Empfehlungen zur Verbesserung des Informatdes Unternehmens.

Wenn wir jede Phase der ISMS-Implementierung analysieren, können wir sagen, dass ISO 27001 eine klare Struktur und Anforderungen hat, die es Ihnen ermöglichen, ein funktionierendes System aufzubauen, in dem es auf allen notwendigen Ebenen Interaktionen gibt. Aber wir dürfen nicht vergessen, dass der Hauptunterschied zwischen dem ISMS und dem QMS darin besteht, dass das erste System auf die Informationssicherheit ausgerichtet ist.

Die Bedeutung der Informationssicherheit in der modernen Welt

Das heutige Geschäft kann ohne Informationstechnologie nicht existieren. Es ist bekannt, dass etwa 70 % des gesamten Sozialprodukts der Welt auf die eine oder andere Weise von den in Informationssystemen gespeicherten Informationen abhängt. Die weit verbreitete Einführung von Computern hat nicht nur bekannte Annehmlichkeiten, sondern auch Probleme geschaffen, von denen das gravierendste das Problem der Informationssicherheit ist.

Unternehmensführer müssen die Bedeutung der Informationssicherheit verstehen und lernen, Trends in diesem Bereich vorherzusagen und zu managen. Dabei können sie durch die Einführung eines ISMS unterstützt werden, das in seiner Struktur Entwicklungspotential, Transparenz des Managements, Flexibilität bei Änderungen hat. Neben den Kontrollen für Computer und Computernetzwerke legt die Norm ISO 27001 großen Wert auf die Entwicklung der Sicherheitspolitik, die Arbeit mit dem Personal (Einstellung, Schulung, Entlassung) und die Gewährleistung der Kontinuität Herstellungsprozess, behördliche Anforderungen, während einige technische Aspekte in anderen Standards der Serie detailliert beschrieben sind

ISO27000. Die Einführung von ISIB im Unternehmen hat viele Vorteile, von denen einige in Abb. 5.

Glbkshl-Skala pODr> h, b1 [h-th

Ablehnen ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal Wyrdoctle

"Ji | m | krank p. Ki u:

azhshchtnya # tsn ^ st

Reis. 5. Vorteile der Implementierung eines Informationssicherheitsmanagementsystems

Die Vorteile von ISO sind hervorzuheben

Nachweis der Sicherheitskompetenz. ISO 27001 ist ein praktischer Leitfaden für eine Organisation, um Sicherheitsanforderungen zu formulieren, um das erforderliche Sicherheitsniveau zu erreichen und bestimmte Sicherheitsziele zu erreichen. Für Organisationen ist es besonders wichtig, in vier Bereichen des Sicherheitsmanagements kompetent zu sein, darunter: Identifizierung und Bewertung von Unternehmensvermögen, Bewertung von Risiken und Definition von Kriterien für die Akzeptanz von Risiken, Verwaltung und Übernahme dieser Elemente sowie kontinuierliche Verbesserung. allgemeines Programm Sicherheit der Organisation.

Sicherstellung des Kundenvertrauens. ISO 27001 liefert einen unabhängigen Nachweis, dass Programme Unternehmensführung werden durch die besten, besten, internationalen Praktiken unterstützt. Die ISO 27001-Zertifizierung gibt Unternehmen Sicherheit, die ihren Kunden, Aktionären und potenziellen Partnern Integrität demonstrieren möchten, und vor allem, um zu zeigen, dass das Unternehmen erfolgreich ein robustes Informaimplementiert hat. Für viele stark regulierte Branchen wie Finanzen oder Internetdienste kann die Lieferantenauswahl

auf diejenigen Organisationen beschränkt sein, die bereits nach ISO 27001 zertifiziert sind.

Effizientere Ressourcennutzung. Durch den Einsatz des Prozessansatzes ist es möglich, die im Unternehmen ablaufenden Prozesse zu optimieren. Dies bedeutet eine Verringerung des Ressourcenverbrauchs, beispielsweise der Zeit.

Ständige Verbesserung. Das ISMS verwendet das PCDA-Modell, mit dem Sie regelmäßig den Status des gesamten Systems überprüfen, das Managementsystem analysieren und verbessern können

1. Image, Marke. Die Zertifizierung nach ISO 27001 eröffnet dem Unternehmen vielfältige Möglichkeiten: Zugang zur internationalen Ebene, neue Partnerschaften, mehr Kunden, neue Verträge, Erfolg bei Ausschreibungen. Das Vorhandensein eines ISMS in einem Unternehmen ist ein Indikator für einen hohen Entwicklungsstand.

2. Flexibilität des ISMS. Unabhängig von Änderungen in Prozessen, neuen Technologien bleibt die Basis der ISMS-Struktur wirksam. Das ISMS passt sich Neuerungen recht einfach an, indem es bestehende modernisiert und neue Gegenmaßnahmen einführt.

3. Skalierbarkeit der Implementierung des Standards. Da ISO 27001 einen Scoping erfordert, kann nur eine Teilmenge der Prozesse zertifiziert werden. Sie können mit der Implementierung des ISMS im für das Unternehmen bedeutendsten OA beginnen und erst später erweitern.

4. Prüfung. Viele Russische Unternehmen Revisionsarbeit als Katastrophe empfinden. ISO 27001 zeigt einen internationalen Ansatz bei der Auditierung: Zunächst einmal das Interesse des Unternehmens, die Standards tatsächlich zu erfüllen und die Zertifizierung nicht irgendwie, sondern nur "zur Show" durchzuführen.

5. Regelmäßige interne oder externe Audits ermöglichen es, Verstöße zu korrigieren, das ISMS zu verbessern und Risiken deutlich zu reduzieren. Das Unternehmen braucht es in erster Linie für die eigene Sicherheit, dass alles in Ordnung ist und die Verlustrisiken minimiert werden. Und schon sekundär - ein Konformitätszertifikat, das Partnern oder Kunden bestätigt, dass man diesem Unternehmen vertrauen kann.

6. Transparenz des Managements. Die Verwendung des ISO 27001-Standards bietet ziemlich klare Anweisungen für die Erstellung eines Managements, und

auch die Anforderungen an die Dokumentation, die im Unternehmen vorhanden sein muss. Das Problem vieler Unternehmen ist, dass die vorhandenen Dokumente für bestimmte Abteilungen einfach nicht lesbar sind, da aufgrund der Komplexität des Dokumentationssystems oft nicht erkennbar ist, was für wen bestimmt ist. Die Hierarchie der Dokumentationsebenen, von der Informationssicherheitspolitik bis hin zur Beschreibung konkreter Verfahren, erleichtert die Nutzung bestehender Regeln, Vorschriften und anderem. Die Einführung von SM & B beinhaltet auch Mitarbeiterschulungen: Seminare abhalten, Mailings verschicken, Warnplakate aufhängen, was das Bewusstsein der einfachen Mitarbeiter für Informationssicherheit deutlich erhöht.

Abschließend ist festzuhalten, dass in modernes Geschäft die Unveräußerlichkeit des grundlegenden Qualitätsmanagementsystems, das nach den Anforderungen der Norm ISO 9001 aufgebaut ist, und die zunehmende Position des Informatist offensichtlich.

Marktführer werden heute Unternehmen sein, die nicht nur Indikatoren für die Qualität von Produkten und Dienstleistungen, sondern auch den Grad der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen über diese überwachen. Prognosen und Risikobewertungen sind ebenfalls ein wichtiger Erfolgsfaktor, der einen kompetenten Ansatz und den Einsatz der besten internationalen Praktiken erfordert. Die gemeinsame Implementierung und Zertifizierung von Qualitätsmanagement- und Informationssicherheitssystemen wird zur Lösung vielfältiger Probleme für jede Branche und jedes Handwerk beitragen, was wiederum zu einer qualitativen Steigerung des Leistungsniveaus führt.

Literatur

1. Dorofeev A. V., Shahalov I. Yu. Grundlagen des Inmoderne Organisation// Rechtsinformatik. 2013. Nr. 3. S. 4-14.

2. Chashkin VN Ials Element des Informations- und Technologiemanagementsystems der Organisation // Sicherheit der Informationstechnologien. 2009. Nr. 1. S. 123-124.

3. Goryachev VV Neues GOST für QMS. Hauptunterschiede zu GOST RV 15.002-2003 //

Methoden des Qualitätsmanagements. 2013. Nr. 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Ansatz zum Aufbau eines Modells von Informationssicherheits-Managementsystemen // Polythematisches Netzwerk elektronische wissenschaftliche Zeitschrift der Kuban State Agrarian University. 2009. Nr. 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modell des Informatim Unternehmen (in der Organisation) // Intellect. Innovation. Investitionen. 2013. Nr. 1. S. 111–114.

6. Soloviev A. M. Normative und methodische Grundlagen im Bereich der Informationssicherheit // Wirtschaft, Statistik und Informatik. Bulletin der UMO. 2012. Nr. 1. S. 174-181.

7. Kozin IF, Livshits II Informationssicherheit. Integration internationaler Standards in das Informationssicherheitssystem Russlands // Informatisierung und Kommunikation. 2010. Nr. 1. S. 50-55.

8. Kolodin VS Zertifizierung von integrierten Managementsystemen // Bulletin der Staatlichen Technischen Universität Irkutsk. 2010. T. 41. Nr. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Integrierte Managementsysteme: Voraussetzungen für die Gründung in russischen Unternehmen // Nachwuchswissenschaftler.

2013. Nr. 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Ivon Informations- und Telekommunikationssystemen nach dem Modell "P1an-Do-Check-Act" // Naukov1-Schlinge der Nationalen Technischen Universität Donezk. Ser1ya: "Computational Techshka, die Automatismus". 2013. Nr. 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Informationssicherheitsmanagement: Grundkonzepte // Cybersicherheitsfragen.

2014. Nr. 1 (2). S. 67-73.

12. Shper VL Über die Norm 18O / 1EC 27001 // Methoden des Qualitätsmanagements. 2008. Nr. 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Risikomanagement – ​​normatives Vakuum der Informationssicherheit // Offene Systeme... DBMS. 2007. Nr. 8. S. 63-67.

14. Matveev V.A., Tsirlov V.L.

2014 // Cybersicherheitsfragen. 2013. Nr. 1 (1). S. 61-64.

15. Drums A. V. Standardisierung des Entwicklungsprozesses von Safes Software-Tools// Cybersicherheitsprobleme. 2013. Nr. 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Leitlinien für die Cybersicherheit im Kontext

ISO 27032 // Cybersicherheitsprobleme. 2014. Nr. 1 (2). S. 28-35. 17. Khramtsovskaya N. Was ein Manager über Informationssicherheit wissen muss // Kadrovik. 2009. Nr. 4. S. 061-072.

Wirklich peinlich. Wir haben über die bevorstehende Veröffentlichung des ISO 45001-Standards informiert, der den aktuellen Arbeitsschutzmanagement-Standard OHSAS 18001 ersetzen soll, wir haben gesagt, dass wir Ende 2016 darauf warten sollten ... Mitternacht naht, aber Herman ist noch da gegangen. Zeit zuzugeben - ISO 45001 liegt auf Eis. Stimmt, aus guten Gründen. Die Experten-Community hat zu viele Fragen für ihn. […]