¿Qué es un sistema moderno de gestión de seguridad de la información? Estándares modernos en el campo de la seguridad de la información utilizando el concepto de gestión de riesgos Sistema de gestión de seguridad de la información

Shahalov Igor Yurievich

Sobre la cuestión de la integración de los sistemas de gestión de la calidad y la seguridad de la información

Resumen: Se consideran las normas internacionales ISO 27001 e ISO 9001. Se realiza el análisis de las similitudes y diferencias entre el sistema de gestión de la calidad y el sistema de gestión de la seguridad de la información. Se muestra la posibilidad de integrar el sistema de gestión de la calidad y el sistema de gestión de la seguridad de la información. Se dan las principales etapas de construcción e implementación de un sistema integrado de gestión de seguridad de la información. Se muestran las ventajas del enfoque integrado.

Palabras clave: sistemas de gestión de seguridad de la información, sistemas de gestión integrados, SGSI, SGC, ISO 27001.

Natalia Olegovna

Introducción

V mundo moderno con el advenimiento de lo común y conveniente dispositivos técnicos el problema de la seguridad de la información ha surgido de forma bastante aguda. Junto con el lanzamiento de productos de calidad o la prestación de servicios a empresas y organizaciones, es importante mantener en secreto la información necesaria de los competidores para permanecer en una posición favorable en el mercado. En la lucha competitiva están generalizadas diversas acciones encaminadas a obtener (obtener, adquirir) información confidencial. diferentes caminos, hasta el espionaje industrial directo utilizando modernos medios técnicos de inteligencia.

Por lo tanto, las organizaciones que se adhieren a las mejores prácticas del mundo, que contienen requisitos, pautas para la implementación de sistemas de gestión de procesos comerciales, se están convirtiendo en líderes en el mercado. Los mejores estándares para desarrollar, implementar, monitorear y mejorar dichos sistemas son los documentos de la Organización Internacional de Normalización (ISO). Se debe prestar especial atención a los estándares de las series ISO 900x e ISO 2700x, que recogen las mejores prácticas para la implementación de un sistema de gestión de la calidad (SGC) y un sistema de gestión de la seguridad de la información (SGSI).

El sistema de gestión de la calidad, implementado de acuerdo con los requisitos de la norma ISO 9001, ha sido reconocido durante mucho tiempo como un atributo integral de una empresa exitosa que produce productos de alta calidad o proporciona servicios de alta calidad. Hoy en día, la disponibilidad de un certificado de conformidad es tanto una solución de marketing eficaz como un mecanismo para controlar los procesos de producción. La auditoría de QMS es un área de negocio bien desarrollada.

La dependencia de las actividades exitosas de la empresa en sistema corporativo protección de la información. Esto se debe al aumento del volumen de datos vitales procesados ​​en el sistema de información corporativo. Los sistemas de información son cada vez más complejos y el número de vulnerabilidades que se encuentran en ellos también está creciendo. La auditoría del SGSI permite evaluar el estado actual de seguridad de la empresa. sistema de informacion,

evaluar y predecir riesgos, gestionar su impacto en los procesos de negocio de la empresa.

Dado que la norma ISO 9001 lleva mucho tiempo ocupando una posición de liderazgo en el número de certificados en el mundo, y la norma ISO 27001 muestra una tendencia hacia un aumento en la certificación del sistema de gestión de seguridad de la información, es aconsejable considerar la posible interacción y integración del SGC y el SGSI.

Integración de estándares

A primera vista, la gestión de la calidad y la seguridad de la información son áreas completamente diferentes. Sin embargo, en la práctica, están estrechamente relacionados y forman un todo (Figura 1). La satisfacción del cliente, que es un objetivo de calidad objetivo, cada año depende cada vez más de la disponibilidad de las tecnologías de la información y de la seguridad de los datos, para cuyo mantenimiento se utiliza la norma ISO 27001. Por otra parte, la norma ISO 9001 coincide exactamente los objetivos corporativos de la organización, ayudando a garantizar la seguridad. Gracias a un enfoque integrado, ISO 27001 puede integrarse eficazmente en el SGC existente o implementarse junto con el SGC.

(ISO 27001) y la gestión de servicios de TI (ISO 20000) tienen una estructura y un enfoque de proceso similares. Esto crea una sinergia que vale la pena: en la práctica, un sistema de gestión integrado para las operaciones en curso ahorra del 20 al 30 por ciento del costo total de optimización, verificaciones y revisiones del sistema.

Los estándares de gestión de calidad y seguridad de la información tienen como objetivo mejorar continuamente de acuerdo con el modelo Planificar-Hacer-Verificar-Actuar (PDCA) conocido como el Ciclo de Deming (ver Figura 2). Además, son similares en estructura, como se muestra en la tabla de correspondencia en el Anexo C de ISO 27001. Ambas normas definen el enfoque del proceso, el alcance, los requisitos de documentación y sistema, y ​​la responsabilidad administrativa. En ambos casos, la estructura finaliza con una auditoría interna, una revisión por la dirección y una mejora del sistema. En esto, ambos sistemas interactúan. Por ejemplo, ISO 9001 requiere la gestión de productos no conformes. Asimismo, la norma ISO 27001 tiene un requisito de gestión de incidentes para resolver fallas.

Arroz. 1. Esferas de interacción y similitud del SGC y el SGSI

Arroz. 2. Ciclo de Deming

Más de 27.200 organizaciones de diversas industrias en más de 100 países del mundo están certificadas por el cumplimiento de la norma ISO 9001: 2008 para la gestión de la calidad. Según el mercado y los requisitos legales, muchas organizaciones se ven cada vez más obligadas a ocuparse de la seguridad de la información. En este sentido, la integración del sistema de control ofrece posibilidades reales. Un enfoque complejo también interesante para empresas que no han utilizado ningún proceso de gestión hasta ahora. Normas ISO de calidad (ISO 9001), protección del medio ambiente (ISO 14000), seguridad de la información

Las diferencias entre estándares son útiles para complementarse entre sí, lo que contribuye decisivamente a un mayor éxito empresarial. Por ejemplo, ISO 9001 requiere la definición de metas corporativas, enfoque en el cliente y mensurabilidad, hasta qué punto se cumplen las metas y objetivos. Estos son tres temas que no están en el centro de los intereses de ISO 27001. A su vez, este estándar prioriza la gestión de riesgos para mantener la continuidad del negocio y ofrece asistencia detallada en la implementación de un SGSI. Comparado

con esto, ISO 9001 es más un estándar teórico.

ISO 27001: un estándar no solo para TI

Mucha gente piensa que la norma ISO 27001 es solo para procesos de TI, pero en realidad este no es el caso. El punto fundamental para la implementación de la norma ISO 27001 SM & B es la definición de activos.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

PatitU "D | KtttcCcU H".

"Jimii 14: ii | vju7JIIIM.

Arroz. 3. Tipos de activos

Se entiende por activo todo aquello que tiene valor para la empresa (Figura 3). Es decir, un activo puede ser: recursos humanos, infraestructura, herramientas, equipos, comunicaciones, servicios y cualquier otro activo, incluidos los servicios para el suministro de productos adquiridos. Con base en los procesos, la empresa determina qué activos tiene y qué activos están involucrados en procesos críticos, y evalúa el valor de los activos. Y solo después de eso, se realiza la evaluación de riesgos para todos los activos valiosos. Por lo tanto, el SGSI está destinado no solo a la información digital que se procesa en sistema automático... Por ejemplo, algunos de los procesos más críticos involucran

Preparación

planes de eventos

2 Marque H: coincido

con el almacenamiento de copias impresas de la información, que también está cubierto por la norma ISO 27001. Un SGSI cubre todas las formas en que se puede almacenar información importante en su empresa, desde cómo su correos electrónicos protegido, terminando con el lugar donde se almacenan los archivos personales de los empleados en el edificio.

Por lo tanto, es un gran error pensar que, dado que el estándar tiene como objetivo construir un sistema de gestión de seguridad de la información, esto solo puede aplicarse a los datos almacenados en una computadora. Incluso en nuestra era digital, mucha información todavía se refleja en papel, que también debe protegerse de manera confiable.

ISO 9001 no puede satisfacer las necesidades de seguridad de la información de la empresa, ya que se concentra estrictamente en la calidad del producto. Por eso, es muy importante implementar en la empresa la ISO 27001. A primera vista, a un especialista le puede parecer que ambas normas son muy generales y no tienen especificidad. Sin embargo, este no es el caso: la norma ISO 27001 describe casi todos los pasos para implementar y controlar el funcionamiento de un SGSI (Figura 4).

Las principales etapas de la construcción de un sistema de gestión de seguridad de la información.

Las principales etapas de la construcción de un SGSI se ilustran en la Figura 4. Considérelos con más detalle.

Etapa 1. Elaboración de planes de acción. En esta etapa, los especialistas recopilan documentos organizativos y administrativos (ORD) y otros materiales de trabajo,

3 A tipo normal II ORD

4 Análisis ii evaluaciones de riesgos 11B

Implementación

5 RyazraOoghya y<>Complejo RaeryaOopv & 00 \ * ieiitii:

planes de radiación ■ -> estándares -> eventos -> CfftpJOTHW *

actividades lun> PB ORD Poenpzhenie

Formación de 10 AiUtuin evaluación de los resultados del INRsnEsS "IMB

Arroz. 4. Etapas de la construcción de un SGSI

relacionados con la construcción y operación de los sistemas de información de la empresa, prevén utilizar mecanismos y medios para garantizar la seguridad de la información. Además, los planes de acción de las etapas de obra son elaborados, consensuados y aprobados por la dirección de la empresa.

Etapa 2. Comprobación del cumplimiento de la norma ISO / IEC 27001: 2005. Entrevistar y cuestionar a gerentes y empleados de departamentos. Análisis del SGSI de la empresa para el cumplimiento de los requisitos de ISO / IEC 27001: 2005.

Etapa 3. Análisis de documentos normativos, organizativos y administrativos con base en estructura organizativa compañías. Con base en sus resultados, se determina el alcance protegido (OA) y se desarrolla un bosquejo de la política de seguridad de la información de la empresa.

Etapa 4. Análisis y evaluación de riesgos de seguridad de la información. Desarrollo de una metodología para la gestión y análisis de los riesgos de la empresa. Análisis de los recursos de información de la empresa, principalmente LAN, con el fin de identificar amenazas y vulnerabilidades de activos de ML protegidos. Inventario de activos. Realizar consultas a los especialistas de la empresa y evaluar el cumplimiento del nivel de seguridad actual y requerido. Cálculo de riesgos, determinación del nivel de riesgo actual y aceptable para cada activo específico. Ranking de riesgo, selección de complejos de medidas para reducirlos y cálculo de la eficiencia teórica de implementación.

Etapa 5. Desarrollo e implementación de planes de acción de SI. Elaboración de una declaración sobre la aplicabilidad de los controles de acuerdo con ISO / IEC 27001: 2005. Desarrollo de un plan de contabilidad y eliminación de riesgos. Elaboración de informes para el responsable de la empresa.

Etapa 6. Desarrollo de normativa y OSA. Desarrollo y aprobación de la política IB final y disposiciones relacionadas (políticas privadas). Desarrollo de estándares, procedimientos e instrucciones para asegurar el normal funcionamiento y operación del SGSI de la empresa.

Etapa 7. Implementación de medidas integrales para reducir los riesgos de SI y evaluar su efectividad de acuerdo con el plan de procesamiento y eliminación de riesgos aprobado por la gerencia.

Etapa 8. Formación del personal. Desarrollo de planes de acción e implementación de programas de capacitación y mejora de la competencia de los empleados de la empresa con el fin de transmitir de manera efectiva los principios de seguridad de la información a todos los empleados y

principalmente aquellos que trabajan en unidades estructurales proporcionando procesos comerciales clave.

Etapa 9. Formación de informes. Sistematización de resultados de encuestas y elaboración de informes. Presentación de los resultados del trabajo a los responsables de la empresa. Elaboración de documentos para licenciamiento para el cumplimiento de ISO / IEC 27001: 2005 y su transferencia a la organización certificadora.

Etapa 10. Análisis y evaluación de los resultados de la implementación del SGSI con base en la metodología que evalúa la confiabilidad del funcionamiento del SGSI de la empresa. Desarrollo de recomendaciones para mejorar el sistema de gestión de seguridad de la información de la empresa.

Analizando cada etapa de la implementación del SGSI, podemos decir que ISO 27001 tiene una estructura y requisitos claros que le permitirán construir un sistema de trabajo en el que habrá interacción en todos los niveles necesarios. Pero no debemos olvidar que la principal diferencia entre el SGSI y el SGC es que el primer sistema está enfocado a la seguridad de la información.

La importancia de la seguridad de la información en el mundo moderno

Los negocios de hoy no pueden existir sin tecnología de la información. Se sabe que alrededor del 70% del producto nacional total del mundo depende de una forma u otra de la información almacenada en los sistemas de información. La introducción generalizada de las computadoras ha creado no solo comodidades bien conocidas, sino también problemas, el más grave de los cuales es el problema de la seguridad de la información.

Los líderes empresariales deben comprender la importancia de la seguridad de la información, aprender a predecir y gestionar las tendencias en esta área. En esto pueden ser ayudados por la introducción de un SGSI, que en su estructura tiene el potencial de desarrollo, transparencia de gestión, flexibilidad ante cualquier cambio. Junto con los controles para computadoras y redes de computadoras, la norma ISO 27001 presta gran atención al desarrollo de la política de seguridad, el trabajo con el personal (contratación, capacitación, despido del trabajo), asegurando la continuidad. proceso de producción, requisitos reglamentarios, mientras que algunas cuestiones técnicas se detallan en otras normas de la serie

ISO 27000. Hay muchas ventajas de introducir ISIB en la empresa, algunas de ellas se muestran en la Fig. 5.

Escala Glbkshl pODr> h; b1 [h-th

Rechazar ¡juvum

HiKiinimi n II11 \ 11 H "G 1111111 pudnT

Wyrdoctle de Prtrtshal

"Ji | m | enfermo p. Ki u:

azhshchtnya # tsn ^ st

Arroz. 5. Beneficios de implementar un sistema de gestión de seguridad de la información

Se deben señalar los beneficios de ISO

Demostración de competencia en seguridad. ISO 27001 es una guía práctica para que una organización ayude a formular los requisitos de seguridad para lograr el nivel de seguridad requerido y cumplir con los objetivos de seguridad específicos. Es especialmente importante que las organizaciones sean competentes en cuatro áreas de la gestión de la seguridad, que incluyen: identificación y evaluación de los activos de la empresa, evaluación de riesgos y definición de criterios para aceptar riesgos, gestión y adopción de estos elementos y mejora continua. programa general seguridad de la organización.

Garantizar la confianza del cliente. ISO 27001 proporciona evidencia independiente de que los programas de gobierno corporativo están respaldados por las mejores prácticas internacionales. La certificación ISO 27001 brinda tranquilidad a las corporaciones que buscan demostrar integridad a los clientes, accionistas y socios potenciales y, lo que es más importante, demostrar que la empresa ha implementado con éxito un sólido sistema de gestión de seguridad de la información. Para muchas industrias fuertemente reguladas, como las finanzas o los servicios de Internet, la selección de proveedores puede

limitarse a aquellas organizaciones que ya cuentan con la certificación ISO 27001.

Uso más eficiente de los recursos. Gracias al uso del enfoque de procesos, es posible optimizar los procesos que tienen lugar en la empresa. Lo que conlleva una disminución en el uso de recursos, por ejemplo, tiempo.

Mejora continua. El SGSI utiliza el modelo PCDA, que le permite comprobar periódicamente el estado de todo el sistema, analizar y mejorar el sistema de gestión.

1. Imagen, marca. La certificación para el cumplimiento de la norma ISO 27001 abre amplias oportunidades para la empresa: acceso a nivel internacional, nuevas asociaciones, más clientes, nuevos contratos, éxito en las licitaciones. La presencia de un SGSI en una empresa es un indicador de un alto nivel de desarrollo.

2. Flexibilidad del SGSI. Independientemente de los cambios en los procesos, las nuevas tecnologías, la base de la estructura del SGSI sigue siendo eficaz. El SGSI se adapta con bastante facilidad a las innovaciones modernizando las existentes e introduciendo nuevas contramedidas.

3. Escalabilidad de la implementación del estándar. Dado que ISO 27001 implica la determinación del alcance, solo se puede certificar un subconjunto de los procesos. Puede comenzar a implementar el SGSI en el OA más significativo para la empresa y solo más tarde expandirlo.

4. Auditoría. Muchos Empresas rusas percibir el trabajo de auditoría como un desastre. ISO 27001 muestra un enfoque internacional de la auditoría: en primer lugar, el interés de la empresa en cumplir realmente con los estándares y no en realizar la certificación de alguna manera, solo para mostrar.

5. Las auditorías internas o externas periódicas permiten corregir las infracciones, mejorar el SGSI y reducir significativamente los riesgos. En primer lugar, la empresa lo necesita para su propia tranquilidad, que todo esté en orden y se minimicen los riesgos de pérdidas. Y ya secundario: un certificado de conformidad, que confirma a los socios o clientes que se puede confiar en esta empresa.

6. Transparencia de gestión. El uso de la norma ISO 27001 proporciona instrucciones bastante claras para crear la gestión, y

también los requisitos para la documentación que debe estar en la empresa. El problema para muchas empresas es que los documentos existentes para ciertos departamentos simplemente no son legibles, porque a menudo es imposible averiguar qué está destinado a quién debido a la complejidad del sistema de documentación. La jerarquía de niveles de documentación, desde la política de seguridad de la información hasta la descripción de ciertos procedimientos, hace que el uso de las reglas, regulaciones y otras cosas existentes sea mucho más fácil. Además, la introducción de SM & B implica la capacitación del personal: la realización de seminarios, correos, colgar carteles de advertencia, lo que aumenta significativamente la conciencia sobre la seguridad de la información entre los empleados comunes.

En conclusión, cabe señalar que en negocio moderno la inalienabilidad del sistema básico de gestión de la calidad, construido de acuerdo con los requisitos de la norma ISO 9001, y la posición ganadora del sistema de gestión de la seguridad de la información es obvia.

Hoy, el líder del mercado serán las empresas que monitorean no solo los indicadores de la calidad de los productos y servicios, sino también los niveles de confidencialidad, integridad y disponibilidad de la información sobre los mismos. La previsión y la evaluación de riesgos también es un factor de éxito importante, que requiere un enfoque competente y el uso de las mejores prácticas internacionales. La implementación y certificación conjunta de los sistemas de gestión de la calidad y seguridad de la información ayudarán a resolver una amplia gama de problemas para cualquier industria o comercio, lo que a su vez conducirá a un aumento cualitativo en el nivel de los servicios prestados.

Literatura

1. Dorofeev A. V., Shahalov I. Yu. Fundamentos de la gestión de la seguridad de la información organización moderna// Informática jurídica. 2013. No. 3. S. 4-14.

2. Chashkin VN La gestión de la seguridad de la información como elemento del sistema de gestión de la información y la actividad tecnológica de la organización // Seguridad de las tecnologías de la información. 2009. No. 1. S. 123-124.

3. Goryachev VV Nuevo GOST para QMS. Principales diferencias con GOST RV 15.002-2003 //

Métodos de gestión de la calidad. 2013. No. 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Enfoque para la construcción de un modelo de sistemas de gestión de seguridad de la información // Revista científica electrónica de la red politemática de la Universidad Agraria Estatal de Kuban. 2009. No. 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modelo del sistema de gestión de seguridad de la información en la empresa (en la organización) // Intelecto. Innovación. Inversiones. 2013. No. 1. S. 111-114.

6. Soloviev AM Base normativa y metodológica en el campo de la seguridad de la información // Economía, estadística e informática. Boletín de UMO. 2012. No. 1. S. 174-181.

7. Kozin IF, Livshits II Seguridad de la información. Integración de estándares internacionales en el sistema de seguridad de la información de Rusia // Informatización y comunicación. 2010. No. 1. S. 50-55.

8. Certificación Kolodin VS de sistemas de gestión integrados // Boletín de la Universidad Técnica Estatal de Irkutsk. 2010. T. 41. No. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Sistemas de gestión integrados: requisitos previos para la creación en empresas rusas // Joven científico.

2013. No. 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Gestión de la seguridad de la información de los sistemas de información y telecomunicaciones basados ​​en el modelo "P1an-Do-Check-Act" // Eslinga Naukov1 de la Universidad Técnica Nacional de Donetsk. Ser1ya: "Computacionalmente técnico y automatizado". 2013. No. 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Gestión de la seguridad de la información: conceptos básicos // Problemas de ciberseguridad.

2014. No. 1 (2). S. 67-73.

12. Shper VL Acerca de la norma 18O / 1EC 27001 // Métodos de gestión de la calidad. 2008. No. 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Gestión de riesgos: vacío normativo de seguridad de la información // Sistemas abiertos... DBMS. 2007. No. 8. S. 63-67.

14. Matveev V. A., Tsirlov V. L. Situación y perspectivas de desarrollo de la industria de la seguridad de la información de la Federación de Rusia

ción en 2014 // Problemas de ciberseguridad. 2013. No. 1 (1). S. 61-64.

15. Tambores A. V. Normalización del proceso de elaboración de cajas herramientas de software// Problemas de ciberseguridad. 2013. No. 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Directrices para la ciberseguridad en el contexto

ISO 27032 // Problemas de ciberseguridad. 2014. No. 1 (2). S. 28-35. 17. Khramtsovskaya N. Lo que un gerente necesita saber sobre seguridad de la información // Kadrovik. 2009. No. 4. S. 061-072.

En el mundo de la tecnología de la información, la cuestión de garantizar la integridad, fiabilidad y confidencialidad de la información se está convirtiendo en una prioridad. Por lo tanto, reconocer la necesidad de que una organización tenga un sistema de gestión de seguridad de la información (SGSI) es una decisión estratégica.

Fue diseñado para crear, implementar, mantener y mejorar continuamente un SGSI en una empresa, y al aplicar este Estándar a socios externos, se hace evidente que la organización puede cumplir con sus propios requisitos de seguridad de la información. Este artículo discutirá los requisitos básicos del Estándar y discutirá su estructura.

(ADV31)

Los principales objetivos de la Norma ISO 27001

Antes de continuar con la descripción de la estructura del Estándar, estipulemos sus principales tareas y consideremos la historia de la aparición del Estándar en Rusia.

Objetivos del estándar:

• establecimiento requisitos uniformes para que todas las organizaciones creen, implementen y mejoren el SGSI;
• asegurar la interacción entre la alta dirección y los empleados;
• manteniendo la confidencialidad, integridad y disponibilidad de la información.

A su vez, los requisitos que establece la Norma son generales y están destinados a ser aplicados por cualquier organización, independientemente de su tipo, tamaño o naturaleza.

Historia del Estándar:

• En 1995, el Instituto Británico de Estándares (BSI) adoptó el Código de Gestión de Seguridad de la Información como estándar nacional del Reino Unido y lo registró bajo BS 7799 - Parte 1.
• En 1998, BSI publica BS7799-2 en dos partes, una que contiene un código de prácticas y la otra requisitos para los sistemas de gestión de seguridad de la información.
• En el curso de las revisiones posteriores, la primera parte se publicó como BS 7799: 1999, Parte 1. En 1999, esta versión de la norma se presentó a la Organización Internacional de Certificación.
• Este documento fue aprobado en 2000 como la norma internacional ISO / IEC 17799: 2000 (BS 7799-1: 2000). La última versión de esta norma, adoptada en 2005, es ISO / IEC 17799: 2005.
• En septiembre de 2002, entró en vigor la segunda parte de BS 7799 "Especificación del sistema de gestión de seguridad de la información". La segunda parte de BS 7799 se revisó en 2002 y, a finales de 2005, ISO adoptó la norma internacional ISO / IEC 27001: 2005 " Tecnologías de la información- Métodos de seguridad - Sistemas de gestión de seguridad de la información - Requisitos.
• En 2005, la norma ISO / IEC 17799 se incluyó en la línea de normas de la serie 27 y recibió nuevo número- ISO / IEC 27002: 2005.
• El 25 de septiembre de 2013, se publicó la ISO / IEC 27001: 2013 actualizada “Sistemas de gestión de seguridad de la información”. Requisitos ". Actualmente, las organizaciones están certificadas de acuerdo con esta versión del Estándar.

Estructura del estándar

Una de las ventajas de esta Norma es la similitud de su estructura con la ISO 9001, ya que contiene títulos de subsecciones idénticos, texto idéntico, términos comunes y definiciones básicas. Esta circunstancia ahorra tiempo y dinero, ya que parte de la documentación ya se ha desarrollado durante la certificación ISO 9001.

Si hablamos de la estructura del Estándar, es una lista de requisitos del SGSI que son obligatorios para la certificación y consta de los siguientes apartados:

Los requisitos del "Apéndice A" son obligatorios, pero el estándar le permite excluir áreas que no se pueden aplicar en la empresa.

Al introducir el Estándar en una empresa para una certificación adicional, vale la pena recordar que no se permiten excepciones a los requisitos establecidos en las secciones 4 a 10. Estas secciones se discutirán más adelante.

Comencemos con la Sección 4: Contexto de la organización

Contexto de la organización

En esta sección, el Estándar requiere que una organización identifique los problemas externos e internos que son relevantes para sus objetivos y que afectan la capacidad de su SGSI para lograr los resultados esperados. Al hacerlo, debe tener en cuenta las obligaciones legales, reglamentarias y contractuales relacionadas con la seguridad de la información. La organización también debe definir y documentar el alcance y la aplicabilidad del SGSI para establecer su alcance.

Liderazgo

La alta dirección debe demostrar liderazgo y compromiso con el sistema de gestión de seguridad de la información, por ejemplo, asegurándose de que la política de seguridad de la información y los objetivos de seguridad de la información estén establecidos y alineados con la estrategia de la organización. Además, la alta dirección debe asegurarse de que se proporcionen todos los recursos necesarios para el SGSI. En otras palabras, debería ser obvio para los empleados que la gerencia está involucrada en cuestiones de seguridad de la información.

La política de seguridad de la información debe documentarse y comunicarse a los empleados. Este documento se asemeja a la política de calidad ISO 9001. También debe ser apropiado para el propósito de la organización e incluir objetivos de seguridad de la información. Es bueno si estos son objetivos reales, como preservar la confidencialidad y la integridad de la información.

También se espera que la gerencia distribuya las funciones y responsabilidades relacionadas con la seguridad de la información entre los empleados.

Planificación

En esta sección llegamos a la primera etapa del principio de gestión PDCA (Planificar - Hacer - Verificar - Actuar): planificar, ejecutar, verificar, actuar.

Al planificar un sistema de gestión de seguridad de la información, la organización debe tener en cuenta los problemas mencionados en la Cláusula 4 y determinar los riesgos y las oportunidades potenciales que deben tenerse en cuenta para garantizar que el SGSI pueda lograr los resultados esperados, prevenir efectos no deseados, y lograr una mejora continua.

Al planificar cómo lograr sus objetivos de seguridad de la información, la organización debe determinar:

• qué se hará;
• qué recursos se necesitarán;
• quién estará a cargo;
• cuando se logran las metas;
• cómo se evaluarán los resultados.

Además, la organización debe conservar los datos sobre los objetivos de seguridad de la información como información documentada.

Seguridad

La organización debe determinar y proporcionar los recursos necesarios para desarrollar, implementar, mantener y mejorar continuamente el SGSI, esto incluye tanto al personal como a la documentación. Con respecto al personal, se espera que la organización contrate personal de seguridad de la información calificado y competente. Las calificaciones de los empleados deben ser confirmadas por certificados, diplomas, etc. Es posible atraer a especialistas externos mediante un contrato o capacitar a sus empleados. En cuanto a la documentación, debe incluir:

• información documentada requerida por la Norma;
• información documentada que la organización determina que es necesaria para garantizar la eficacia del sistema de gestión de seguridad de la información.

La información documentada requerida por el SGSI y el Estándar debe controlarse para garantizar que:

• disponible y adecuado para su uso donde y cuando se necesite, y
• debidamente protegido (por ejemplo, contra la pérdida de confidencialidad, mal uso o pérdida de integridad).

Marcha

En esta sección se analiza la segunda fase del principio de gobernanza del PDCA: la necesidad de que una organización gestione los procesos para garantizar el cumplimiento y seguir las actividades identificadas en la sección Planificación. También establece que una organización debe realizar evaluaciones de riesgos de seguridad de la información a intervalos planificados o cuando se proponen o se producen cambios significativos. La organización debe conservar los resultados de la evaluación de riesgos de seguridad de la información como información documentada.

Evaluación del desempeño

La tercera etapa es la verificación. La organización debe evaluar el funcionamiento y la eficacia del SGSI. Por ejemplo, debe realizar una auditoría interna para obtener información sobre si

1. ¿Es coherente el sistema de gestión de la seguridad de la información?
   • los propios requisitos de la organización para su sistema de gestión de seguridad de la información;
   • los requisitos de la Norma;
2. que el sistema de gestión de seguridad de la información esté implementado y funcionando de manera efectiva.

No hace falta decir que el alcance y el calendario de las auditorías deben planificarse con anticipación. Todos los resultados deben documentarse y conservarse.

Mejora

El objetivo de esta sección es determinar el curso de acción cuando se detecta una no conformidad. La organización necesita corregir inconsistencias, consecuencias y analizar la situación para que esto no suceda en el futuro. Todas las no conformidades y acciones correctivas deben documentarse.

Con esto concluyen las secciones principales de la Norma. El Apéndice A proporciona requisitos más específicos que debe cumplir una organización. Por ejemplo, en términos de control de acceso, utilice dispositivos móviles y soportes de información.

Beneficios de la implementación y certificación de ISO 27001

• aumentar el estatus de la organización y, en consecuencia, la confianza de los socios;
• aumentar la estabilidad del funcionamiento de la organización;
• aumentar el nivel de protección contra amenazas a la seguridad de la información;
• asegurar el nivel requerido de confidencialidad de la información de las partes interesadas;
• ampliar la capacidad de la organización para participar en grandes contratos.

Los beneficios económicos son:

• confirmación independiente por parte del organismo de certificación de que la organización tiene un alto nivel de seguridad de la información controlada por personal competente;
• prueba del cumplimiento de las leyes y regulaciones aplicables (cumplimiento del sistema de requisitos obligatorios);
• demostración de un cierto alto nivel de sistemas de gestión para garantizar el nivel adecuado de servicio a los clientes y socios de la organización;
• Demostración de auditorías periódicas de sistemas de gestión, evaluaciones de desempeño y mejora continua.

Certificación

Una organización puede ser certificada por agencias acreditadas de acuerdo con este estándar. El proceso de certificación consta de tres etapas:

• 1ª etapa - el estudio del auditor de los documentos clave del SGSI para el cumplimiento de los requisitos de la Norma - se puede realizar tanto en el territorio de la organización como mediante la transferencia de estos documentos a un auditor externo;
• 2ª etapa: auditoría detallada, incluida la prueba de las medidas implementadas y la evaluación de su eficacia. Incluye un estudio completo de los documentos requeridos por la norma;
• Tercera etapa: implementación de una auditoría de inspección para confirmar que la organización certificada cumple con los requisitos establecidos. Realizado de forma periódica.

Salir

Como puede ver, el uso de este estándar en la empresa permitirá mejorar cualitativamente el nivel de seguridad de la información, que es costoso en las condiciones de las realidades modernas. El estándar contiene muchos requisitos, pero el requisito más importante es hacer lo que está escrito. Sin aplicar realmente los requisitos de la norma, se convierte en un juego de hojas de papel vacío.

GOST R ISO / IEC 27001-2006 “Tecnología de la información. Métodos y medios para garantizar la seguridad. Sistemas de gestión de seguridad de la información. Requisitos "

Los desarrolladores del estándar señalan que fue elaborado como modelo para el desarrollo, implementación, operación, monitoreo, análisis, soporte y mejora del sistema de gestión de seguridad de la información (SGSI). El SGSI (inglés - sistema de gestión de seguridad de la información; SGSI) se define como parte del sistema de gestión general basado en el uso de métodos de evaluación de riesgos comerciales para el desarrollo, implementación, operación, monitoreo, análisis, soporte y mejora de la seguridad de la información. Un sistema de gestión incluye una estructura organizativa, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.

La norma asume el uso de un enfoque de procesos para el desarrollo, implementación, operación, monitoreo, análisis, soporte y mejora del SGSI de la organización. Se basa en el modelo Planificar - Hacer - Verificar - Actuar (PDCA), que se puede aplicar para estructurar todos los procesos del SGSI. En la Fig. 4.4 muestra cómo el SGSI, utilizando los requisitos de seguridad de la información y los resultados esperados de las partes interesadas como entrada, a través de las acciones y procesos necesarios, proporciona salidas de seguridad de la información que cumplen estos requisitos y los resultados esperados.

Arroz. 4.4.

En el escenario "Desarrollo de un sistema de gestión de seguridad de la información" la organización debería hacer lo siguiente:

• - definir el alcance y los límites del SGSI;
• - determinar la política del SGSI en función de las características del negocio, la organización, su ubicación, activos y tecnologías;
• - determinar el enfoque de la evaluación de riesgos en la organización;
• - identificar riesgos;
• - analizar y evaluar riesgos;
• - identificar y evaluar diferentes opciones para el tratamiento de riesgos;
• - seleccionar objetivos y controles para el tratamiento de riesgos;
• - obtener la aprobación de la dirección de los riesgos residuales previstos;
• - Obtener permiso de la gerencia para la implementación y operación del SGSI;
• - preparar una declaración de aplicabilidad.

Escenario " Implementación y operación del sistema de gestión de seguridad de la información " sugiere que la organización debería:

• - desarrollar un plan de tratamiento de riesgos que defina las acciones, recursos, responsabilidades y prioridades de gestión adecuadas para la gestión de riesgos de seguridad de la información;
• - implementar un plan de tratamiento de riesgos para lograr los objetivos de gestión previstos, que incluye cuestiones de financiación, así como la distribución de funciones y responsabilidades;
• - implementar las medidas de gestión seleccionadas;
• - determinar la forma de medir la eficacia de las medidas de control seleccionadas;
• - implementar programas de formación y desarrollo profesional para los empleados;
• - gestionar el trabajo del SGSI;
• - gestionar los recursos del SGSI;
• - implementar procedimientos y otras medidas de control para garantizar la detección rápida de eventos de seguridad de la información y la respuesta a incidentes de seguridad de la información.

La tercera etapa " Seguimiento y análisis del sistema de gestión de seguridad de la información " requiere:

• - realizar procedimientos de seguimiento y análisis;
• - realizar análisis periódicos de la eficacia del SGSI;
• - medir la eficacia de los controles para verificar el cumplimiento de los requisitos de SI;
• - revisar las evaluaciones de riesgos a intervalos de tiempo especificados, analizar los riesgos residuales y establecer niveles aceptables de riesgos, teniendo en cuenta los cambios;
• - realizar auditorías internas del SGSI a intervalos de tiempo especificados;
• - realizar periódicamente un análisis del SGSI por parte de la dirección de la organización con el fin de confirmar la idoneidad del funcionamiento de los ss y determinar las direcciones de mejora;
• - actualizar los planes de SI teniendo en cuenta los resultados del análisis y el seguimiento;
• - registrar acciones y eventos que puedan afectar la efectividad o el funcionamiento del SGSI.

Finalmente, el escenario "Soporte y mejora del sistema de gestión de seguridad de la información" sugiere que la organización debería realizar con regularidad las siguientes actividades:

• - identificar oportunidades para mejorar el SGSI;
• - tomar las acciones correctivas y preventivas necesarias, utilizar en la práctica la experiencia en SI adquirida tanto en su propia organización como en otras organizaciones;
• - transmitir información detallada sobre acciones para mejorar el SGSI a todas las partes interesadas, mientras que el grado de su detalle debe corresponder a las circunstancias y, si es necesario, acordar acciones adicionales;
• - asegurar la implementación de mejoras al SGSI para lograr los objetivos planificados.

Además, en la norma, se dan los requisitos para la documentación, que deben incluir las disposiciones de la política del SGSI y una descripción del área de operación, una descripción de la metodología y un informe de evaluación de riesgos, un plan de tratamiento de riesgos y documentación. de procedimientos relacionados. También debe definirse un proceso para gestionar los documentos del SGSI, incluida la actualización, el uso, el almacenamiento y la eliminación.

Para proporcionar evidencia del cumplimiento de los requisitos y la efectividad del SGSI, es necesario mantener y mantener registros y registros de la ejecución de los procesos. Los ejemplos incluyen registros de visitantes, informes de auditoría, etc.

La norma especifica que la dirección de la organización es responsable de proporcionar y gestionar los recursos necesarios para establecer un SGSI, así como de organizar la formación del personal.

Como se señaló anteriormente, la organización debe realizar auditorías internas del SGSI de acuerdo con un cronograma aprobado para evaluar su funcionalidad y cumplimiento con el estándar. Y la dirección debe realizar un análisis del sistema de gestión de seguridad de la información.

Asimismo, se debe trabajar para mejorar el sistema de gestión de la seguridad de la información: aumentar su efectividad y el nivel de cumplimiento del estado actual del sistema y los requisitos que se le imponen.

Si se construye de acuerdo con los requisitos de ISO / IEC_27001, se basa en el modelo PDCA:

Plan(Planificación): la fase de creación de un SGSI, creación de una lista de activos, evaluación de riesgos y selección de medidas;

Hacer(Acción) - la etapa de implementación e implementación de las medidas apropiadas;

Cheque(Verificación): la fase de evaluación de la eficacia y el desempeño del SGSI. Generalmente realizado por auditores internos.

actuar(Mejoras) - implementación de acciones preventivas y correctivas;

Concepto de seguridad de la información

La norma ISO 27001 define la seguridad de la información como: “mantener la confidencialidad, integridad y disponibilidad de la información; además, se pueden incluir otras propiedades, como autenticidad, no repudio, fiabilidad ".

Confidencialidad - asegurar la disponibilidad de información solo para aquellos que tienen la autoridad apropiada (usuarios autorizados).

Integridad - garantizar la exactitud e integridad de la información, así como los métodos para su procesamiento.

Disponibilidad - proporcionar acceso a la información a los usuarios autorizados cuando sea necesario (bajo demanda).

4 Sistema de gestión de seguridad de la información

4.1 Requisitos generales

La organización debe establecer, implementar, usar, controlar, revisar, mantener y mejorar las disposiciones documentadas del SGSI en todas las actividades comerciales de la organización y los riesgos que enfrenta. Para el beneficio práctico de esta Norma Internacional, el proceso utilizado se basa en el modelo PDCA que se muestra en la Fig. 1.

4.2 Establecimiento y gestión de un SGSI

4.2.1 Creación de un SGSI

La organización debe hacer lo siguiente.

a) Teniendo en cuenta las características específicas de las actividades de la organización, la propia organización, su ubicación, activos y tecnología, determine el alcance y los límites del SGSI, incluidos los detalles y justificaciones para excluir cualquier disposición del documento del borrador del SGSI (ver 1.2 ).

b) Teniendo en cuenta las características específicas de las actividades de la organización, la propia organización, su ubicación, activos y tecnología, desarrollar una política de SGSI que:

1) incluye un sistema para el establecimiento de metas (objetivos) y establece la dirección general de gestión y principios de acción con respecto a la seguridad de la información;

2) tiene en cuenta los requisitos comerciales y legales o reglamentarios, las obligaciones de seguridad contractuales;

3) se adjunta al entorno de gestión de riesgos estratégicos en el que tiene lugar la creación y mantenimiento de un SGSI;

4) establece los criterios contra los cuales se evaluará el riesgo (ver 4.2.1 c)); y

5) aprobado por la dirección.

NOTA: Para los propósitos de esta Norma Internacional, una política de SGSI es un conjunto extendido de políticas de seguridad de la información. Estas políticas se pueden describir en un documento.

c) Desarrollar un marco para la evaluación de riesgos en la organización.

1) Determinar una metodología de evaluación de riesgos que sea adecuada para el SGSI y los requisitos legales y reglamentarios, legales y de seguridad de la información empresarial establecidos.

2) Desarrollar criterios para aceptar el riesgo y determinar los niveles aceptables de riesgo (ver 5.1f).

La metodología de evaluación de riesgos seleccionada debe garantizar que la evaluación de riesgos produzca resultados comparables y reproducibles.

NOTA: Existen diferentes metodologías de evaluación de riesgos. En ISO / IEC TU 13335-3 se consideran ejemplos de metodologías de evaluación de riesgos, Tecnología de la información: recomendaciones de gestiónESOSeguridad: técnicas de gestiónESOSeguridad.

d) Identificar riesgos.

1) Definir activos dentro del alcance del SGSI y propietarios2 (2 El término "propietario" se identifica con una persona o entidad que está aprobada para ser responsable de controlar Mantenimiento, aplicación y seguridad de los bienes. El término "propietario" no significa que la persona realmente tenga derechos de propiedad sobre el activo) de estos activos.

2) Identifique los peligros para estos activos.

3) Identificar vulnerabilidades en el sistema de protección.

4) Identificar impactos que destruyan la confidencialidad, integridad y disponibilidad de los activos.

e) Analizar y evaluar riesgos.

1) Evaluar el daño al negocio de la organización que puede ser causado por la falla del sistema de protección, así como como consecuencia de la violación de la confidencialidad, integridad o disponibilidad de los activos.

2) Determinar la probabilidad de una falla de seguridad a la luz de los peligros y vulnerabilidades predominantes, los impactos relacionados con los activos y los controles actualmente en vigor.

3) Evaluar los niveles de riesgo.

4) Determinar la aceptabilidad del riesgo, o exigir su reducción, utilizando los criterios de aceptabilidad del riesgo establecidos en 4.2.1c) 2).

f) Identificar y evaluar instrumentos para la reducción de riesgos.

Las posibles acciones incluyen:

1) Aplicar controles adecuados;

2) Aceptación consciente y objetiva de los riesgos, asegurando su cumplimiento incondicional de los requisitos de la política de la organización y los criterios de tolerancia al riesgo (ver 4.2.1c) 2));

3) Evitación de riesgos; y

4) Transferencia de riesgos comerciales relevantes a otra parte, por ejemplo, compañías de seguros, proveedores.

g) Seleccionar tareas y controles para mitigar riesgos.

Los objetivos y controles deben seleccionarse e implementarse de acuerdo con los requisitos establecidos por el proceso de evaluación y reducción de riesgos. Esta elección debe tener en cuenta tanto los criterios de tolerancia al riesgo (véase 4.2.1c) 2)) como los requisitos legales, reglamentarios y contractuales.

Las tareas y controles del Apéndice A deben seleccionarse como parte de este proceso para cumplir con los requisitos especificados.

Dado que no todas las tareas y controles se enumeran en el Apéndice A, se pueden seleccionar tareas adicionales.

NOTA: El Apéndice A contiene una lista completa de los objetivos de gestión que se han identificado como los más relevantes para las organizaciones. Para no perder un solo punto importante de las opciones de control, el uso de esta Norma Internacional debe guiarse por el Apéndice A como punto de partida para el control de muestreo.

h) Lograr la aprobación de la gestión de riesgos residuales anticipados.

4) facilitar la detección de eventos de seguridad y así, utilizando ciertos indicadores, prevenir incidentes de seguridad; y

5) determinar la efectividad de las acciones tomadas para prevenir brechas de seguridad.

b) Realizar revisiones periódicas de la eficacia del SGSI (incluida la discusión de la política del SGSI y sus objetivos, revisión de los controles de seguridad), teniendo en cuenta los resultados de las auditorías, incidentes, resultados de las mediciones de desempeño, sugerencias y recomendaciones de todas las partes interesadas. .

c) Evaluar la efectividad de los controles para determinar si se cumplen los requisitos de seguridad.

d) Verificar la evaluación de riesgos para los períodos planificados y verificar los riesgos residuales y las tolerancias de riesgo, teniendo en cuenta cambios en:

1) organizaciones;

2) tecnología;

3) objetivos y procesos comerciales;

4) amenazas identificadas;

5) la efectividad de las herramientas de gestión implementadas; y

6) eventos externos, como cambios en el entorno legal y de gestión, cambios en las obligaciones contractuales, cambios en el clima social.

e) Realizar auditorías internas del SGSI durante los períodos planificados (ver 6)

NOTA: Las auditorías internas, a veces llamadas auditorías primarias, se llevan a cabo en nombre de la propia organización para sus propios fines.

f) Revisar la gestión del SGSI de forma regular para garantizar que la situación siga siendo válida y que se mejore el SGSI.

g) Actualizar los planes de seguridad con base en los hallazgos de monitoreo y auditoría.

h) Registrar acciones y eventos que podrían afectar la efectividad o desempeño del SGSI (ver 4.3.3).

4.2.4 Mantenimiento y mejora del SGSI

La organización debe hacer continuamente lo siguiente.

a) Implementar arreglos específicos en el SGSI.

b) Tomar las acciones correctivas y preventivas apropiadas de acuerdo con 8.2 y 8.3. Aplicar los conocimientos adquiridos por la propia organización y la experiencia de otras organizaciones.

c) Comunicar sus acciones y mejoras a todas las partes interesadas con un nivel de detalle apropiado a la situación; y, en consecuencia, coordinar sus acciones.

d) Verificar que las mejoras hayan logrado su propósito previsto.

4.3 Requisitos de documentación

4.3.1 General

La documentación debe incluir protocolos (registros) de decisiones de manejo, para convencer que la necesidad de acción se debe a decisiones y políticas de manejo; y asegurar la reproducibilidad de los resultados registrados.

Es importante poder demostrar la retroalimentación de los controles seleccionados a los resultados de los procesos de evaluación de riesgos y reducción de riesgos, y además de la política del SGSI y sus objetivos.

La documentación del SGSI debe incluir:

a) una declaración documentada de la política y los objetivos del SGSI (ver 4.2.1b));

b) la posición del SGSI (ver 4.2.1a));

c) el concepto y los controles en apoyo del SGSI;

d) una descripción de la metodología de evaluación de riesgos (ver 4.2.1c));

e) informe de evaluación de riesgos (ver 4.2.1c) - 4.2.1g));

f) plan de reducción de riesgos (ver 4.2.2b));

g) un concepto documentado necesario para que la organización garantice que sus procesos de seguridad de la información se planifican, operan y gestionan de forma eficaz y describen cómo se mide la eficacia de los controles (véase 4.2.3c));

h) documentos requeridos por esta Norma Internacional (ver 4.3.3); y

i) Declaración de aplicabilidad.

NOTA 1: Para los propósitos de esta Norma Internacional, el término “concepto documentado” significa que el concepto se implementa, documenta, implementa y sigue.

NOTA 2: El tamaño de la documentación del SGSI en diferentes organizaciones puede variar según:

El tamaño de la organización y el tipo de sus activos; y

La escala y complejidad de los requisitos de seguridad y el sistema gestionado.

NOTA 3: Los documentos e informes se pueden enviar en cualquier forma.

4.3.2 Control de documentos

Los documentos requeridos por el SGSI deben estar protegidos y regulados. Es necesario aprobar el procedimiento de documentación necesario para describir las acciones de gestión para:

a) establecer el cumplimiento de los documentos con ciertas normas antes de su publicación;

b) verificar y actualizar los documentos según sea necesario, volver a aprobar los documentos;

c) asegurar que los cambios sean consistentes con el estado actual de los documentos revisados;

d) asegurar la disponibilidad de versiones importantes de documentos válidos;

e) asegurar que los documentos sean comprensibles y legibles;

f) poner los documentos a disposición de quienes los necesiten; así como su traslado, almacenamiento y finalmente destrucción de acuerdo con los procedimientos aplicados en función de su clasificación;

g) establecer la autenticidad de documentos de fuentes externas;

h) controlar la distribución de documentos;

i) prevenir el uso no intencionado de documentos obsoletos; y

j) aplicarles un método de identificación adecuado si se conservan por si acaso.

4.3.3 Control de registros

Se deben crear y mantener registros para respaldar la evidencia del cumplimiento y el funcionamiento eficaz del SGSI. Los registros deben estar protegidos y verificados. El SGSI debe tener en cuenta todos los requisitos legales y reglamentarios y las obligaciones contractuales. Los registros deben ser comprensibles, fácilmente identificables y recuperables. Los controles necesarios para la identificación, almacenamiento, protección, recuperación, retención y destrucción de registros deben documentarse e implementarse.

Los registros deben incluir información sobre la implementación de las actividades descritas en 4.2, y sobre todos los incidentes e incidentes de seguridad significativos relacionados con el SGSI.

Ejemplos de entradas son el libro de visitas, las pistas de auditoría y los formularios de autorización de acceso completados.

Enviar tu buen trabajo en la base de conocimientos es sencillo. Utilice el siguiente formulario

Los estudiantes, estudiantes de posgrado, jóvenes científicos que utilizan la base de conocimientos en sus estudios y trabajos le estarán muy agradecidos.

Publicado en http://www.allbest.ru/

"Sistema de gestión de seguridad de la información"

estándar internacional de gestión

Vconductible

Un sistema de gestión de seguridad de la información es un conjunto de procesos que funcionan en una empresa para garantizar la confidencialidad, integridad y disponibilidad de los activos de información. En la primera parte del ensayo, se considera el proceso de implementación de un sistema de gestión en una organización y se dan los principales aspectos de los beneficios de la implementación de un sistema de gestión de seguridad de la información.

Figura 1. Ciclo de control

La lista de procesos y recomendaciones sobre cómo organizar mejor su funcionamiento se dan en la norma internacional ISO 27001: 2005, que se basa en el ciclo de gestión Planificar-Hacer-Verificar-Actuar. De acuerdo con él ciclo vital El SGSI consta de cuatro tipos de actividades: Creación - Implementación y operación - Monitoreo y análisis - Mantenimiento y mejora (Fig. 1). Este estándar se discutirá con más detalle en la segunda parte.

CONsistemaadministracióninformaciónseguridad

Un sistema de gestión de seguridad de la información (SGSI) se refiere a la parte del sistema de gestión general que se basa en un enfoque de riesgo empresarial en la creación, implementación, operación, monitoreo, análisis, soporte y mejora de la seguridad de la información. Los procesos del SGSI se diseñan de acuerdo con los requisitos de ISO / IEC 27001: 2005, que se basa en el ciclo

El trabajo del sistema se basa en los enfoques de la teoría moderna de gestión de riesgos, que asegura su integración en el sistema global de gestión de riesgos de la organización.

La implementación de un sistema de gestión de la seguridad de la información implica el desarrollo e implementación de un procedimiento dirigido a la identificación, análisis y mitigación sistemáticos de los riesgos de seguridad de la información, es decir, riesgos como resultado de los cuales activos de información (información en cualquier forma y de cualquier naturaleza ) perderá confidencialidad, integridad y disponibilidad.

Para asegurar la mitigación sistemática de los riesgos de seguridad de la información, con base en los resultados de la evaluación de riesgos, se están implementando los siguientes procesos en la organización:

· Gestión de la organización interna de seguridad de la información.

· Garantizar la seguridad de la información al interactuar con terceros.

· Gestión del registro de activos de información y las reglas para su clasificación.

· Gestión de seguridad de equipos.

· Garantizar la seguridad física.

· Garantizar la seguridad de la información del personal.

· Planificación y adopción de sistemas de información.

· Respaldo.

· Asegurar la red.

Los procesos del sistema de gestión de la seguridad de la información afectan todos los aspectos de la gestión de la infraestructura de TI de la organización, ya que la seguridad de la información es el resultado del funcionamiento sostenible de los procesos relacionados con la tecnología de la información.

Al construir un SGSI en empresas, los especialistas realizan los siguientes trabajos:

· Organizar la gestión del proyecto, formar un equipo de proyecto por parte del cliente y el contratista;

· Definir el área de actividad (AO) del SGSI;

Encuesta a la organización en el SGSI OD:

o en términos de los procesos comerciales de la organización, incluido el análisis consecuencias negativas incidentes de seguridad de la información;

o en términos de los procesos de gestión de la organización, incluidos los procesos existentes de gestión de la calidad y gestión de la seguridad de la información;

o en términos de infraestructura de TI;

o en términos de infraestructura de seguridad de la información.

Desarrollar y acordar un informe analítico que contenga una lista de los principales procesos de negocio y una evaluación de las consecuencias de la implementación de amenazas a la seguridad de la información en relación con ellos, una lista de procesos de gestión, sistemas de TI, subsistemas de seguridad de la información (ISS), un evaluación del grado en que la organización cumple con todos los requisitos de ISO 27001 y una evaluación de la madurez de las organizaciones de procesos;

· Seleccionar el nivel de madurez del SGSI inicial y objetivo, desarrollar y aprobar el Programa de mejora de la madurez del SGSI; Desarrollar documentación de seguridad de la información de alto nivel:

o Concepto de seguridad de la información,

o Políticas de SI y SGSI;

· Seleccionar y adaptar la metodología de evaluación de riesgos aplicable en la organización;

· Seleccionar, entregar e implementar software utilizado para automatizar los procesos de SGSI, organizar la capacitación para los especialistas de la empresa;

· Evaluar y procesar los riesgos, durante los cuales se seleccionan las medidas del Apéndice A de la norma 27001 para reducirlos y se formulan los requisitos para su implementación en la organización, se preseleccionan los medios técnicos de seguridad de la información;

· Desarrollar diseños preliminares del PIB, evaluar el costo del tratamiento de riesgos;

· Organizar la aprobación de la evaluación de riesgos por parte de la alta dirección de la organización y desarrollar la Declaración de aplicabilidad; desarrollar medidas organizativas para garantizar la seguridad de la información;

· Desarrollar e implementar proyectos tecnicos sobre la implementación de subsistemas técnicos de seguridad de la información que apoyen la implementación de las medidas seleccionadas, incluyendo el suministro de equipos, puesta en servicio, desarrollo de documentación operativa y capacitación de usuarios;

· Brindar consultas durante la operación del SGSI construido;

· Organizar la formación de los auditores internos y realizar auditorías internas del SGSI.

El resultado de estos trabajos es un SGSI en funcionamiento. Los beneficios de la implementación de un SGSI en una empresa se logran mediante:

· Gestión eficaz del cumplimiento de los requisitos legales y comerciales en el campo de la seguridad de la información;

· Prevención de incidentes de SI y reducción de daños en caso de que ocurran;

· Incrementar la cultura de seguridad de la información en la organización;

· Mayor madurez en el campo de la gestión de la seguridad de la información;

· Optimización del gasto en seguridad de la información.

ISO / IEC27001-- internacionalestándarsobreinformaciónseguridad

Esta norma fue desarrollada conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). El estándar contiene requisitos de seguridad de la información para la creación, desarrollo y mantenimiento de un SGSI. ISO 27001 especifica los requisitos para que un SGSI demuestre la capacidad de una organización para proteger sus activos de información. La norma internacional utiliza el concepto de "protección de la información" y se interpreta que garantiza la confidencialidad, integridad y disponibilidad de la información. La base del estándar es el sistema de gestión de riesgos de la información. Esta norma también se puede utilizar para evaluar la conformidad por parte de las partes interesadas internas y externas.

El estándar adopta un enfoque de proceso para crear, implementar, operar, monitorear, analizar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI). Consiste en la aplicación de un sistema de procesos dentro de una organización, junto con la identificación e interacción de estos procesos, así como su gestión.

El estándar internacional adopta el modelo Planificar-Hacer-Verificar-Actuar (PDCA), que también se denomina ciclo Shewhart-Deming. Este ciclo se utiliza para estructurar todos los procesos del SGSI. La Figura 2 muestra cómo el SGSI toma los requisitos de seguridad de la información y las expectativas de las partes interesadas como entradas y, a través de las acciones y procesos necesarios, produce resultados de seguridad de la información que cumplen con esos requisitos y expectativas.

La planificación es la fase de creación de un SGSI, creación de un inventario de activos, evaluación de riesgos y elección de medidas.

Figura 2. Modelo PDCA aplicado a procesos SGSI

La implementación es la etapa de implementación e implementación de las medidas apropiadas.

La revisión es la fase de evaluación de la eficacia y el desempeño del SGSI. Generalmente realizado por auditores internos.

Acción: tomar acciones preventivas y correctivas.

Vconclusiones

ISO 27001 describe un modelo general para la implementación y operación de un SGSI y acciones para monitorear y mejorar un SGSI. ISO tiene la intención de armonizar varios estándares de sistemas de gestión, como ISO / IEC 9001: 2000, que se ocupa de la gestión de la calidad, e ISO / IEC 14001: 2004, que se ocupa de los sistemas de gestión medioambiental. El propósito de ISO es asegurar la consistencia e integración del SGSI con otros sistemas de gestión de la empresa. La similitud de estándares permite el uso de herramientas y funcionalidades similares para la implementación, gestión, revisión, verificación y certificación. La implicación es que si una empresa ha implementado otros estándares de gestión, puede utilizar un sistema de gestión y auditoría unificado que sea aplicable a la gestión de la calidad, la gestión ambiental, la gestión de la seguridad, etc. Al implementar un SGSI, la alta dirección obtiene los medios para monitorear y administrar la seguridad, lo que reduce los riesgos comerciales residuales. Después de implementar un SGSI, la empresa puede garantizar formalmente la seguridad de la información y continuar cumpliendo con los requisitos de los clientes, la legislación, los reguladores y los accionistas.

Cabe señalar que en la legislación de la Federación de Rusia hay un documento GOST R ISO / IEC 27001-2006, que es una versión traducida de la norma internacional ISO27001.

CONchirridoliteratura

1.Korneev I.R., Belyaev A.V. Seguridad de la información de la empresa. - SPb.: BHV-Petersburg, 2003 .-- 752 p.: Ill.

2.Norma internacional ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (fecha de acceso: 23/05/12)

3.Estándar nacional Federación Rusa GOST R ISO / IEC 27003 - "Tecnología de la información. Métodos de seguridad. Directrices para la implementación de un sistema de gestión de seguridad de la información" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (fecha de acceso: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Directrices para la protección contra amenazas internas a la seguridad de la información. SPb.: Peter, 2008 .-- 320 p.: Ill.

5. Artículo de la enciclopedia libre "Wikipedia", "Sistema de gestión

seguridad de la información "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (fecha de acceso: 23.05.12)

6. Sigurjon Thor Arnason y Keith D. Willett "Cómo lograr la certificación 27001"

Publicado en Allbest.ru

Documentos similares

Amenazas a la seguridad de la información en la empresa. Identificación de deficiencias en el sistema de seguridad de la información. Las metas y objetivos de la formación del sistema de seguridad de la información. Medidas propuestas para mejorar el sistema de seguridad de la información de la organización.

trabajo de término agregado el 02/03/2011


Análisis del sistema de seguridad de la información en la empresa. Servicio de seguridad de la información. Amenazas de seguridad de la información específicas de la empresa. Métodos y medios de protección de la información. Modelo de sistema de información desde una perspectiva de seguridad.

trabajo de término agregado el 02/03/2011


Las principales etapas de la creación de un sistema de gestión en la empresa. Industria de alimentos... HACCP como columna vertebral de cualquier sistema de gestión de seguridad alimentaria. Sistema de gestión de seguridad alimentaria. Factores peligrosos y acciones preventivas.

resumen agregado el 14/10/2014


Sistemas de gestión modernos y su integración. Sistemas integrados de gestión de la calidad. Descripción de JSC "275 ARZ" y su sistema de gestión. Desarrollo de un sistema de gestión de seguridad ocupacional. Métodos para evaluar un sistema de seguridad integrado.

tesis, agregada 31/07/2011


Implementación de un sistema de gestión de la calidad. Certificación de sistemas de gestión de calidad (ISO 9000), gestión ambiental (ISO 14000), sistemas de gestión de seguridad y salud de las organizaciones (OHSAS 18 001: 2007) en el ejemplo de JSC "Lenta".

resumen, agregado el 10/06/2008


Desarrollo de un estándar para la organización de un sistema de gestión integrado que establece un procedimiento unificado para la implementación del proceso de gestión documental. Etapas de creación del sistema de gestión de la calidad de JSC "ZSMK". Alojamiento versiones electronicas documentos.

tesis, agregada el 01/06/2014


Diagrama jerárquico de empleados. Herramientas de seguridad de la información. Preguntas sobre el estado de seguridad. Diagrama de flujos de información empresarial. Métodos para monitorear la integridad del sistema de información. Modelado de control de acceso a la información del servicio.

trabajo de término, agregado 30/12/2011


El concepto de un sistema de información gerencial y su lugar en sistema común administración. Tipos de sistemas de información y su contenido. El concepto de gestión como sistema de información. Funciones del sistema de gestión financiera. Sistemas para realizar tratos y operaciones.

resumen agregado el 01/06/2015


Conceptos en el ámbito de la seguridad y salud en el trabajo. Estándares internacionales ISO sobre sistemas de gestión de la calidad, sistemas de gestión medioambiental, sistemas de gestión de la seguridad y salud en el trabajo. Adaptación de la norma OHSAS 18001-2007.

trabajo de término, agregado 21/12/2014


Característica gestión de la información; sujetos de información y relaciones legales; régimen legal para recibir, transferir, almacenar y utilizar la información. Características y aspectos legales del intercambio de información y seguridad de la información.