Sistema de gestión de seguridad de la información. Base legislativa de la Federación de Rusia. Gestión de riesgos de la información

En el mundo tecnologías de la información la cuestión de garantizar la integridad, fiabilidad y confidencialidad de la información se convierte en una prioridad. Por tanto, el reconocimiento de la necesidad de un sistema de gestión en la organización seguridad de información(SGSI) es una decisión estratégica.

Fue diseñado para crear, implementar, mantener y mejorar continuamente un SGSI en una empresa, y al aplicar este Estándar a socios externos, se hace evidente que la organización puede cumplir con sus propios requisitos de seguridad de la información. Este artículo discutirá los requisitos básicos del Estándar y discutirá su estructura.

(ADV31)

Los principales objetivos de la norma ISO 27001

Antes de continuar con la descripción de la estructura del Estándar, estipulemos sus principales tareas y consideremos la historia de la aparición del Estándar en Rusia.

Objetivos del estándar:

• establecimiento requisitos uniformes para que todas las organizaciones creen, implementen y mejoren el SGSI;
• asegurar la interacción entre la alta dirección y los empleados;
• manteniendo la confidencialidad, integridad y disponibilidad de la información.

A su vez, los requisitos que establece la Norma son generales y están destinados a ser aplicados por cualquier organización, independientemente de su tipo, tamaño o naturaleza.

Historia del estándar:

• En 1995, el Instituto Británico de Estándares (BSI) adoptó el Código de Gestión de Seguridad de la Información como estándar nacional del Reino Unido y lo registró bajo BS 7799 - Parte 1.
• En 1998, BSI publica BS7799-2 en dos partes, una que contiene un código de prácticas y la otra requisitos para los sistemas de gestión de seguridad de la información.
• En el curso de las revisiones posteriores, la primera parte se publicó como BS 7799: 1999, Parte 1. En 1999, esta versión de la norma se transfirió a la Organización Internacional de Certificación.
• Este documento fue aprobado en 2000 como la norma internacional ISO / IEC 17799: 2000 (BS 7799-1: 2000). Ultima versión de esta norma, adoptada en 2005, es ISO / IEC 17799: 2005.
• En septiembre de 2002, entró en vigor la segunda parte de BS 7799 "Especificación del sistema de gestión de seguridad de la información". La segunda parte de BS 7799 fue revisada en 2002 y, a finales de 2005, fue adoptada por ISO como la norma internacional ISO / IEC 27001: 2005 "Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos".
• En 2005, la norma ISO / IEC 17799 se incluyó en la línea de normas de la serie 27 y recibió nuevo número- ISO / IEC 27002: 2005.
• El 25 de septiembre de 2013, se publicó la ISO / IEC 27001: 2013 actualizada “Sistemas de gestión de seguridad de la información”. Requisitos ". Actualmente, las organizaciones están certificadas de acuerdo con esta versión del Estándar.

Estructura del estándar

Una de las ventajas de esta Norma es la similitud de su estructura con la ISO 9001, ya que contiene títulos de subsecciones idénticos, texto idéntico, términos comunes y definiciones básicas. Esta circunstancia ahorra tiempo y dinero, ya que parte de la documentación ya se ha desarrollado durante la certificación ISO 9001.

Si hablamos de la estructura del Estándar, es una lista de requisitos del SGSI que son obligatorios para la certificación y consta de los siguientes apartados:

Los requisitos del "Apéndice A" son obligatorios, pero el estándar le permite excluir áreas que no se pueden aplicar en la empresa.

Al introducir el Estándar en una empresa para una certificación adicional, vale la pena recordar que no se permiten excepciones a los requisitos establecidos en las secciones 4 a 10. Estas secciones se discutirán más adelante.

Comencemos con la Sección 4: Contexto de la organización

Contexto de la organización

En esta sección, el Estándar requiere que una organización identifique los problemas externos e internos que son relevantes para sus objetivos y que afectan la capacidad de su SGSI para lograr los resultados esperados. Al hacerlo, debe tener en cuenta las obligaciones legales, reglamentarias y contractuales de seguridad de la información. La organización también debe definir y documentar el alcance y la aplicabilidad del SGSI para establecer su alcance.

Liderazgo

La alta dirección debe demostrar liderazgo y compromiso con el sistema de gestión de seguridad de la información, por ejemplo, asegurando que la política de seguridad de la información y los objetivos de seguridad de la información estén establecidos y alineados con la estrategia de la organización. Además, la alta dirección debe asegurarse de que se proporcionen todos los recursos necesarios para el SGSI. En otras palabras, debería ser obvio para los empleados que la gerencia está involucrada en cuestiones de seguridad de la información.

La política de seguridad de la información debe documentarse y comunicarse a los empleados. Este documento recuerda la política de calidad ISO 9001. También debe ser apropiado para el propósito de la organización e incluir objetivos de seguridad de la información. Es bueno si estos son objetivos reales, como preservar la confidencialidad y la integridad de la información.

También se espera que la gerencia distribuya las funciones y responsabilidades relacionadas con la seguridad de la información entre los empleados.

Planificación

En esta sección llegamos a la primera etapa del principio de gestión PDCA (Planificar - Hacer - Verificar - Actuar): planificar, ejecutar, verificar, actuar.

Al planificar el sistema de gestión de seguridad de la información, la organización debe tener en cuenta los problemas mencionados en la Cláusula 4 y determinar los riesgos y las oportunidades potenciales que deben tenerse en cuenta para garantizar que el SGSI pueda lograr los resultados esperados, prevenir efectos no deseados, y lograr una mejora continua.

Al planificar cómo lograr sus objetivos de seguridad de la información, la organización debe determinar:

• qué se hará;
• qué recursos se requerirán;
• quién estará a cargo;
• cuando se logran las metas;
• cómo se evaluarán los resultados.

Además, la organización debe conservar los datos sobre los objetivos de seguridad de la información como información documentada.

Seguridad

La organización debe determinar y proporcionar los recursos necesarios para desarrollar, implementar, mantener y mejorar continuamente el SGSI, esto incluye tanto al personal como a la documentación. Con respecto al personal, se espera que la organización contrate personal de seguridad de la información calificado y competente. Las calificaciones de los empleados deben ser confirmadas por certificados, diplomas, etc. Es posible atraer a especialistas externos mediante un contrato o capacitar a sus empleados. En cuanto a la documentación, debe incluir:

• información documentada requerida por la Norma;
• información documentada que la organización determina que es necesaria para garantizar la eficacia del sistema de gestión de seguridad de la información.

La información documentada requerida por el SGSI y el Estándar debe controlarse para garantizar que:

• disponible y adecuado para su uso donde y cuando se necesite, y
• debidamente protegido (por ejemplo, contra la pérdida de confidencialidad, mal uso o pérdida de integridad).

Marcha

En esta sección se analiza la segunda fase del principio de gobernanza PDCA: la necesidad de que una organización gestione los procesos para garantizar el cumplimiento y seguir las actividades identificadas en la sección Planificación. También establece que una organización debe realizar evaluaciones de riesgos de seguridad de la información a intervalos planificados o cuando se proponen o se producen cambios significativos. La organización debe conservar los resultados de la evaluación de riesgos de seguridad de la información como información documentada.

Evaluación del desempeño

La tercera etapa es la verificación. La organización debe evaluar el funcionamiento y la eficacia del SGSI. Por ejemplo, debe realizar una auditoría interna para obtener información sobre si

1. ¿Es coherente el sistema de gestión de la seguridad de la información?
   • los propios requisitos de la organización para su sistema de gestión de seguridad de la información;
   • los requisitos de la Norma;
2. que el sistema de gestión de seguridad de la información esté implementado y funcionando de manera efectiva.

No hace falta decir que el alcance y el calendario de las auditorías deben planificarse con anticipación. Todos los resultados deben documentarse y conservarse.

Mejora

El objetivo de esta sección es determinar el curso de acción cuando se detecta una no conformidad. La organización necesita corregir inconsistencias, consecuencias y analizar la situación para que esto no suceda en el futuro. Todas las no conformidades y acciones correctivas deben documentarse.

Con esto concluyen las secciones principales de la Norma. El Apéndice A proporciona requisitos más específicos que debe cumplir una organización. Por ejemplo, en términos de control de acceso, utilice dispositivos móviles y soportes de información.

Beneficios de la implementación y certificación de ISO 27001

• aumentar el estatus de la organización y, en consecuencia, la confianza de los socios;
• aumentar la estabilidad del funcionamiento de la organización;
• aumentar el nivel de protección contra amenazas a la seguridad de la información;
• asegurar el nivel requerido de confidencialidad de la información de las partes interesadas;
• ampliar la capacidad de la organización para participar en grandes contratos.

Los beneficios económicos son:

• confirmación independiente por parte del organismo de certificación de que la organización tiene un alto nivel de seguridad de la información controlada por personal competente;
• prueba del cumplimiento de las leyes y regulaciones aplicables (cumplimiento del sistema de requisitos obligatorios);
• demostración de un cierto alto nivel de sistemas de gestión para garantizar el nivel adecuado de servicio a los clientes y socios de la organización;
• Demostración de auditorías periódicas de sistemas de gestión, evaluaciones de desempeño y mejora continua.

Certificación

Una organización puede ser certificada por agencias acreditadas de acuerdo con este estándar. El proceso de certificación consta de tres etapas:

• 1ª etapa - el estudio del auditor de los documentos clave del SGSI para el cumplimiento de los requisitos de la Norma - se puede realizar tanto en el territorio de la organización como mediante la transferencia de estos documentos a un auditor externo;
• 2ª etapa: auditoría detallada, incluida la prueba de las medidas implementadas y la evaluación de su eficacia. Incluye un estudio completo de los documentos requeridos por la norma;
• Tercera etapa: realización de una auditoría de inspección para confirmar que la organización certificada cumple con los requisitos establecidos. Realizado de forma periódica.

Salir

Como puede ver, el uso de este estándar en la empresa permitirá mejorar cualitativamente el nivel de seguridad de la información, que es costoso en las condiciones de las realidades modernas. El estándar contiene muchos requisitos, pero el requisito más importante es hacer lo que está escrito. Sin aplicar realmente los requisitos de la norma, se convierte en un juego de hojas de papel vacío.

GOST R ISO / IEC 27001-2006 “Tecnología de la información. Métodos y medios para garantizar la seguridad. Sistemas de gestión de seguridad de la información. Requisitos "

Los desarrolladores del estándar señalan que fue elaborado como modelo para el desarrollo, implementación, operación, monitoreo, análisis, soporte y mejora del sistema de gestión de seguridad de la información (SGSI). El SGSI (inglés - sistema de gestión de seguridad de la información; SGSI) se define como parte del sistema de gestión general basado en el uso de métodos de evaluación de riesgos comerciales para el desarrollo, implementación, operación, monitoreo, análisis, soporte y mejora de la seguridad de la información. El sistema de gestión incluye estructura organizativa, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.

La norma asume el uso de un enfoque de procesos para el desarrollo, implementación, operación, monitoreo, análisis, soporte y mejora del SGSI de la organización. Se basa en el modelo Planificar - Hacer - Verificar - Actuar (PDCA), que se puede aplicar para estructurar todos los procesos del SGSI. En la Fig. 4.4 muestra cómo un SGSI, utilizando los requisitos de seguridad de la información y los resultados esperados de las partes interesadas como entrada, a través de las acciones y procesos necesarios, produce salidas de seguridad de la información que cumplen estos requisitos y los resultados esperados.

Arroz. 4.4.

En el escenario "Desarrollo de un sistema de gestión de seguridad de la información" la organización debería hacer lo siguiente:

• - determinar el alcance y los límites del SGSI;
• - determinar la política del SGSI en función de las características del negocio, la organización, su ubicación, activos y tecnologías;
• - determinar el enfoque de la evaluación de riesgos en la organización;
• - identificar riesgos;
• - analizar y evaluar riesgos;
• - identificar y evaluar diferentes opciones para el tratamiento de riesgos;
• - seleccionar objetivos y controles para el tratamiento de riesgos;
• - obtener la aprobación de la dirección de los riesgos residuales previstos;
• - obtener permiso de la gerencia para la implementación y operación del SGSI;
• - preparar una declaración de aplicabilidad.

Escenario " Implementación y operación del sistema de gestión de seguridad de la información " sugiere que la organización debería:

• - desarrollar un plan de tratamiento de riesgos que defina las acciones, recursos, responsabilidades y prioridades de gestión adecuadas para la gestión de riesgos de seguridad de la información;
• - implementar un plan de tratamiento de riesgos para lograr los objetivos de gestión previstos, que incluye cuestiones de financiación, así como la distribución de funciones y responsabilidades;
• - implementar las medidas de gestión seleccionadas;
• - determinar la forma de medir la eficacia de las medidas de control seleccionadas;
• - implementar programas de formación y desarrollo profesional para los empleados;
• - gestionar el trabajo del SGSI;
• - gestionar los recursos del SGSI;
• - implementar procedimientos y otras medidas de control para garantizar la detección rápida de eventos de seguridad de la información y la respuesta a incidentes de seguridad de la información.

La tercera etapa " Seguimiento y análisis del sistema de gestión de seguridad de la información " requiere:

• - realizar procedimientos de seguimiento y análisis;
• - realizar análisis periódicos de la eficacia del SGSI;
• - medir la eficacia de los controles para verificar el cumplimiento de los requisitos de SI;
• - revisar las evaluaciones de riesgos a intervalos de tiempo especificados, analizar los riesgos residuales y establecer niveles aceptables de riesgos, teniendo en cuenta los cambios;
• - realizar auditorías internas del SGSI a intervalos de tiempo especificados;
• - realizar periódicamente un análisis del SGSI por parte de la dirección de la organización para confirmar la idoneidad del funcionamiento del ss y determinar las direcciones de mejora;
• - actualizar los planes de SI teniendo en cuenta los resultados del análisis y el seguimiento;
• - registrar acciones y eventos que puedan afectar la efectividad o el funcionamiento del SGSI.

Finalmente, el escenario "Soporte y mejora del sistema de gestión de seguridad de la información" sugiere que la organización debería realizar con regularidad las siguientes actividades:

• - identificar oportunidades para mejorar el SGSI;
• - tomar las acciones correctivas y preventivas necesarias, utilizar en la práctica la experiencia en SI adquirida tanto en su propia organización como en otras organizaciones;
• - transferir información detallada sobre acciones para mejorar el SGSI a todas las partes interesadas, mientras que el grado de su detalle debe corresponder a las circunstancias y, si es necesario, acordar acciones adicionales;
• - asegurar la implementación de mejoras al SGSI para lograr los objetivos planificados.

Además, en la norma, se dan los requisitos para la documentación, que deben incluir las disposiciones de la política del SGSI y una descripción del área de operación, una descripción de la metodología y un informe de evaluación de riesgos, un plan de tratamiento de riesgos y documentación. de procedimientos relacionados. También debe definirse un proceso para gestionar los documentos del SGSI, incluida la actualización, el uso, el almacenamiento y la eliminación.

Para proporcionar evidencia del cumplimiento de los requisitos y la efectividad del SGSI, es necesario mantener y mantener registros y registros de la ejecución de los procesos. Los ejemplos incluyen registros de visitantes, informes de auditoría, etc.

La norma especifica que la dirección de la organización es responsable de proporcionar y gestionar los recursos necesarios para establecer un SGSI, así como de organizar la formación del personal.

Como se señaló anteriormente, la organización debe realizar auditorías internas del SGSI de acuerdo con un cronograma aprobado para evaluar su funcionalidad y cumplimiento con el estándar. Y la dirección debe realizar un análisis del sistema de gestión de seguridad de la información.

Asimismo, se debe trabajar para mejorar el sistema de gestión de la seguridad de la información: aumentar su efectividad y el nivel de cumplimiento del estado actual del sistema y los requisitos que se le imponen.

Introducción

Una empresa de rápido crecimiento, así como un gigante en su segmento, está interesada en obtener ganancias y protegerse de la influencia de los intrusos. Si antes el robo de valores materiales era el peligro principal, hoy el papel principal del robo ocurre en relación con información valiosa. La traducción de una parte significativa de la información a formato electrónico, el uso de redes locales y globales crean amenazas cualitativamente nuevas a la información confidencial.

Los bancos, las organizaciones de gestión y las compañías de seguros son especialmente conscientes de la filtración de información. La protección de la información en la empresa es un conjunto de medidas que garantizan la seguridad de los datos de los clientes y empleados, importante documentos electronicos y todo tipo de información, secretos. Cada empresa está equipada con equipos informáticos y acceso a la World Wide Web. Los atacantes se conectan hábilmente a casi todos los componentes de este sistema y utilizan un gran arsenal (virus, malware, adivinación de contraseñas, etc.) para robar información valiosa. Se debe implementar un sistema de seguridad de la información en todas las organizaciones. Los líderes deben recopilar, analizar y categorizar todo tipo de información que debe protegerse y utilizar un sistema de seguridad adecuado. Pero esto no será suficiente, porque, además de la tecnología, existe un factor humano que también puede filtrar información con éxito a los competidores. Es importante organizar adecuadamente la protección de su empresa en todos los niveles. Para estos fines, se utiliza un sistema de gestión de seguridad de la información, con la ayuda del cual el gerente establecerá un proceso continuo de monitoreo del negocio y garantizará un alto nivel de seguridad de sus datos.

1. Relevancia del tema

Para cada empresa moderna, empresa u organización, una de las tareas más importantes es precisamente garantizar la seguridad de la información. Cuando una empresa protege de manera estable su sistema de información, crea un entorno confiable y seguro para sus operaciones. El daño, la fuga, la falta y el robo de información son siempre pérdidas para todas las empresas. Por lo tanto, la creación de un sistema de gestión de seguridad de la información en las empresas es un tema urgente de nuestro tiempo.

2. Metas y objetivos del estudio

Analizar las formas de crear un sistema de gestión de seguridad de la información en la empresa, teniendo en cuenta las peculiaridades de la región de Donetsk.

• analizar lo último sistemas de gestión de seguridad de la información en empresas;
• identificar las razones para la creación e implementación de un sistema de gestión de seguridad de la información en las empresas;
• desarrollar e implementar un sistema de gestión de seguridad de la información en el ejemplo de la planta de equipos de rescate de mina PJSC Donetsk empresarial;
• evaluar la efectividad, eficiencia y viabilidad económica de introducir un sistema de gestión de seguridad de la información en la empresa.

3. Sistema de gestión de la seguridad de la información

Se entiende por seguridad de la información el estado de protección de la información y la infraestructura de apoyo frente a influencias accidentales o deliberadas de naturaleza natural o artificial (amenazas a la información, amenazas a la seguridad de la información), que pueden causar daños inaceptables a los sujetos de las relaciones de información.

Disponibilidad de información: propiedad del sistema para proporcionar acceso oportuno y sin obstáculos a los sujetos autorizados (autorizados) a la información de su interés o para llevar a cabo un intercambio de información oportuno entre ellos.

La integridad de la información es una propiedad de la información que caracteriza su resistencia a la destrucción accidental o deliberada o al cambio no autorizado. La integridad se puede dividir en estática (entendida como la inmutabilidad de los objetos de información) y dinámica (relacionada con la correcta ejecución de acciones complejas (transacciones)).

La confidencialidad de la información es propiedad de la información para ser conocida y accesible únicamente a los sujetos autorizados del sistema (usuarios, programas, procesos). La confidencialidad es el aspecto más desarrollado de la seguridad de la información en nuestro país.

El sistema de gestión de seguridad de la información (en adelante SGSI) forma parte del sistema de gestión general basado en enfoques de riesgo empresarial, destinado al establecimiento, implementación, gestión, seguimiento, mantenimiento y mejora de la seguridad de la información.

Los principales factores que afectan la protección de la información y los datos en la empresa son:

• Mejora de la cooperación de la empresa con socios;
• Automatización de procesos comerciales;
• La tendencia a un aumento en el volumen de información de la empresa, que se transmite a través de los canales de comunicación disponibles;
• La tendencia al alza de los delitos informáticos.

Las tareas de los sistemas de seguridad de la información de la empresa son multifacéticas. Por ejemplo, se trata de la provisión de almacenamiento de datos confiable en varios medios; protección de la información transmitida a través de canales de comunicación; restringir el acceso a algunos datos; creación de copias de seguridad y más.

Una seguridad de la información completa de una empresa es real solo con el enfoque correcto para la protección de datos. En el sistema de seguridad de la información, es necesario tener en cuenta todas las amenazas y vulnerabilidades actuales.

Una de las herramientas más eficaces para gestionar y proteger la información es el sistema de gestión de seguridad de la información construido sobre la base del modelo MS ISO / IEC 27001: 2005. El estándar se basa en enfoque basado en procesos al desarrollo, implementación, operación, monitoreo, análisis, mantenimiento y mejora del SGSI de la empresa. Consiste en la creación y aplicación de un sistema de procesos de gestión que se interconectan en un ciclo continuo de planificación, implementación, verificación y mejora del SGSI.

Esta Norma Internacional ha sido preparada con el objetivo de crear un modelo para la implementación, implementación, operación, monitoreo, análisis, mantenimiento y mejora de un SGSI.

Los principales factores para la implementación de un SGSI:

• legislativo - los requisitos de la legislación nacional actual en términos de SI, requisitos internacionales;
• competitivo - cumplimiento del nivel, elitismo, protección de sus activos intangibles, superioridad;
• anti-crimen - protección contra asaltantes (collares blancos), prevención de travesuras y vigilancia secreta, recolección de evidencia para procedimientos.

La estructura de la documentación de seguridad de la información se muestra en la Figura 1.

Figura 1 - La estructura de la documentación en el campo de la seguridad de la información

4. Construcción de un SGSI

Los proponentes de ISO utilizan el modelo PDCA para crear un SGSI. ISO aplica este modelo a muchos de sus estándares de gestión e ISO 27001 no es una excepción. Además, seguir el modelo PDCA en la organización del proceso de gestión le permite utilizar las mismas técnicas en el futuro, para la gestión de la calidad, la gestión ambiental, la gestión de la seguridad, así como en otras áreas de la gestión, lo que reduce los costos. Por lo tanto, PDCA es una excelente opción, ya que cumple plenamente con las tareas de creación y mantenimiento de un SGSI. En otras palabras, las etapas PDCA definen cómo establecer políticas, objetivos, procesos y procedimientos adecuados a los riesgos que se manejan (etapa Planificar), implementar y utilizar (etapa Do), evaluar y, cuando sea posible, medir los resultados del proceso desde la perspectiva de la política del punto (etapa de verificación), tomar acciones correctivas y preventivas (etapa de mejora - Actuar). Los conceptos adicionales que no forman parte de las normas ISO que pueden ser útiles en la creación de un SGSI son: indicar como debería ser (futuro); estado como es (como es); plan de transición.

La base de ISO 27001 es un sistema de gestión de riesgos de la información.

Etapas de la creación de un SGSI

Como parte del trabajo de creación de un SGSI, se pueden distinguir las siguientes etapas principales:

Figura 2 - Modelo PDCA para la gestión de la seguridad de la información (animación: 6 cuadros, 6 repeticiones, 246 kilobytes)

5. Gestión de riesgos de la información

La gestión de riesgos se considera a nivel administrativo de seguridad de la información, ya que solo la dirección de la organización es capaz de asignar los recursos necesarios, iniciar y controlar la implementación de los programas relevantes.

El uso de sistemas de información está asociado a un cierto conjunto de riesgos. Cuando el daño potencial es inaceptablemente grande, es necesario tomar medidas de protección económicamente justificadas. Es necesaria una (re) evaluación periódica de los riesgos para supervisar la eficacia de las actividades de seguridad y tener en cuenta los cambios en el entorno.

La esencia de las actividades de gestión de riesgos es evaluar su tamaño, desarrollar medidas efectivas y rentables para mitigar los riesgos y luego asegurarse de que los riesgos estén contenidos dentro de límites aceptables (y permanezcan así).

El proceso de gestión de riesgos se puede dividir en las siguientes etapas:

1. La elección de los objetos analizados y el nivel de detalle de su consideración.
2. Elección de la metodología de evaluación de riesgos.
3. Identificación de activos.
4. Análisis de amenazas y sus consecuencias, identificación de vulnerabilidades en protección.
5. Evaluación de riesgos.
6. Selección de medidas de protección.
7. Implementación y verificación de las medidas seleccionadas.
8. Evaluación de riesgo residual.

La gestión de riesgos, como cualquier otra actividad de seguridad de la información, debe integrarse en ciclo vital IP. Entonces el efecto es mayor y los costos son mínimos.

Es muy importante elegir una metodología de evaluación de riesgos razonable. El propósito de la evaluación es obtener una respuesta a dos preguntas: ¿son aceptables los riesgos existentes y, en caso contrario, qué equipo de protección se debe utilizar? Esto significa que la evaluación debe ser cuantitativa, permitiendo la comparación con los límites de admisibilidad preseleccionados y los costos de implementar nuevos reguladores de seguridad. La gestión de riesgos es un problema de optimización típico y hay bastantes productos de software que pueden ayudar a resolverlo (a veces, estos productos simplemente se adjuntan a libros sobre seguridad de la información). Sin embargo, la dificultad fundamental es la inexactitud de los datos iniciales. Por supuesto, puede intentar obtener una expresión monetaria para todas las cantidades analizadas, calcular todo al centavo más cercano, pero esto no tiene mucho sentido. Es más práctico utilizar unidades convencionales. En el caso más simple y perfectamente aceptable, puede usar una escala de tres puntos.

Las principales etapas de la gestión de riesgos.

El primer paso para analizar las amenazas es identificarlas. Los tipos de amenazas bajo consideración deben seleccionarse en base a consideraciones de sentido común (excluyendo, por ejemplo, terremotos, pero sin olvidar la posibilidad de toma de la organización por terroristas), pero dentro de los tipos seleccionados, realizar el análisis más detallado. .

Es aconsejable identificar no solo las amenazas en sí mismas, sino también las fuentes de su aparición; esto ayudará a elegir medios adicionales de protección.

Después de identificar la amenaza, es necesario evaluar la probabilidad de su implementación. Está permitido utilizar una escala de tres puntos (probabilidad baja (1), media (2) y alta (3)).

Si algún riesgo resultó ser inaceptablemente alto, es necesario neutralizarlo implementando medidas de protección adicionales. Por lo general, para eliminar o neutralizar una vulnerabilidad que hizo real una amenaza, existen varios mecanismos de seguridad que difieren en eficiencia y costo.

Al igual que con cualquier otra actividad, la implementación y prueba de nuevos reguladores de seguridad deben planificarse con anticipación. El plan debe tener en cuenta la presencia recursos financieros y el momento de la formación del personal. Si hablamos de un mecanismo de protección de software y hardware, es necesario elaborar un plan de prueba (autónomo y complejo).

Cuando se toman las medidas previstas, es necesario comprobar su eficacia, es decir, asegurarse de que los riesgos residuales se hayan vuelto aceptables. Si este es realmente el caso, puede programar con seguridad la fecha de la próxima revalorización. De lo contrario, tendrá que analizar los errores cometidos y volver a ejecutar la sesión de gestión de riesgos de inmediato.

conclusiones

Cada jefe de la empresa se preocupa por su negocio y, por lo tanto, debe comprender que la decisión de implementar un sistema de gestión de seguridad de la información (SGSI) es un paso importante que minimizará los riesgos de pérdida de activos de la empresa / organización y reducirá las pérdidas financieras, y en algunos casos evitar la quiebra.

La seguridad de la información es importante para las empresas, tanto del sector público como del privado. Debe verse como una herramienta para evaluar, analizar y minimizar los riesgos asociados.

La seguridad que puede lograrse mediante la tecnología es limitada y debe mantenerse mediante controles y procedimientos adecuados.

La definición de controles requiere una planificación y una atención cuidadosas.

Para proteger eficazmente la información, se deben desarrollar las medidas de seguridad más adecuadas, lo que se puede lograr identificando los principales riesgos de la información en el sistema e implementando las medidas adecuadas.

Biyachuev T.A. Seguridad redes corporativas/ ed. L.G. Osovetsky. - SPb .: Editorial de SPb GU ITMO, 2006 .-- 161 p.

Shahalov Igor Yurievich

Sobre la cuestión de la integración de los sistemas de gestión de la calidad y la seguridad de la información

Resumen: Se consideran las normas internacionales ISO 27001 e ISO 9001. Se realiza el análisis de las similitudes y diferencias entre el sistema de gestión de la calidad y el sistema de gestión de la seguridad de la información. Se muestra la posibilidad de integrar el sistema de gestión de la calidad y el sistema de gestión de la seguridad de la información. Se dan las principales etapas de construcción e implementación de un sistema integrado de gestión de seguridad de la información. Se muestran las ventajas del enfoque integrado.

Palabras clave: sistemas de gestión de seguridad de la información, sistemas de gestión integrados, SGSI, SGC, ISO 27001.

Natalia Olegovna

Introducción

V mundo moderno con el advenimiento de lo común y conveniente dispositivos técnicos el problema de la protección de la información ha surgido de forma bastante aguda. Junto con el lanzamiento de productos de calidad o la prestación de servicios a empresas y organizaciones, es importante mantener en secreto la información necesaria de los competidores para permanecer en una posición favorable en el mercado. En la lucha competitiva están generalizadas diversas acciones encaminadas a obtener (obtener, adquirir) información confidencial. diferentes caminos, hasta el espionaje industrial directo utilizando modernos medios técnicos de inteligencia.

Por lo tanto, las organizaciones que se adhieren a las mejores prácticas del mundo, que contienen requisitos, pautas para la implementación de sistemas de gestión de procesos comerciales, se están convirtiendo en líderes en el mercado. Los mejores estándares para el diseño, implementación, monitoreo y mejora de dichos sistemas son los documentos de la Organización Internacional de Normalización (ISO). Se debe prestar especial atención a los estándares de las series ISO 900x e ISO 2700x, que recogen las mejores prácticas para la implementación de un sistema de gestión de la calidad (SGC) y un sistema de gestión de la seguridad de la información (SGSI).

El sistema de gestión de la calidad, implementado de acuerdo con los requisitos de la norma ISO 9001, ha sido reconocido durante mucho tiempo como un atributo integral de una empresa exitosa que produce productos de alta calidad o proporciona servicios de primera clase. Hoy en día, la disponibilidad de un certificado de conformidad es tanto una solución de marketing eficaz como un mecanismo para controlar los procesos de producción. La auditoría de QMS es un área de negocios bien desarrollada.

La dependencia de las actividades exitosas de la empresa en sistema corporativo protección de la información. Esto se debe al aumento del volumen de datos vitales procesados ​​en el sistema de información corporativo. Los sistemas de información son cada vez más complejos y el número de vulnerabilidades que se encuentran en ellos también está creciendo. La auditoría del SGSI permite evaluar el estado actual de seguridad del funcionamiento del sistema de información corporativo,

evaluar y predecir riesgos, gestionar su impacto en los procesos de negocio de la empresa.

Dado que la norma ISO 9001 lleva mucho tiempo ocupando una posición de liderazgo en el número de certificados en el mundo, y la norma ISO 27001 muestra una tendencia hacia un aumento en la certificación del sistema de gestión de seguridad de la información, es aconsejable considerar la posible interacción y integración del SGC y el SGSI.

Integración de estándares

A primera vista, la gestión de la calidad y la seguridad de la información son áreas completamente diferentes. Sin embargo, en la práctica, están estrechamente relacionados y forman un todo (Figura 1). La satisfacción del cliente, que es un objetivo de calidad objetivo, cada año depende cada vez más de la disponibilidad de las tecnologías de la información y de la seguridad de los datos, para cuyo mantenimiento se utiliza la norma ISO 27001. Por otra parte, la norma ISO 9001 coincide exactamente los objetivos corporativos de la organización, ayudando a garantizar la seguridad. Gracias a un enfoque integrado, ISO 27001 se puede integrar de forma eficaz en el SGC existente o se puede implementar junto con el SGC.

(ISO 27001) y la gestión de servicios de TI (ISO 20000) tienen una estructura y un enfoque de proceso similares. Esto crea una sinergia que vale la pena: en la práctica, un sistema de gestión integrado para las operaciones en curso ahorra del 20 al 30 por ciento del costo total de optimización, verificaciones y revisiones del sistema.

Los estándares de gestión de calidad y seguridad de la información tienen como objetivo la mejora continua de acuerdo con el modelo Planificar-Hacer-Verificar-Actuar (PDCA) conocido como el Ciclo Deming (ver Figura 2). Además, son similares en estructura, como se muestra en la tabla de correspondencia en el Anexo C de ISO 27001. Ambas normas definen el enfoque del proceso, el alcance, los requisitos de documentación y sistema, y ​​la responsabilidad administrativa. En ambos casos, la estructura finaliza con una auditoría interna, una revisión por la dirección y una mejora del sistema. En esto, ambos sistemas interactúan. Por ejemplo, ISO 9001 requiere la gestión de productos no conformes. Asimismo, la norma ISO 27001 tiene un requisito de gestión de incidentes para la resolución de fallas.

Arroz. 1. Esferas de interacción y similitud del SGC y el SGSI

Arroz. 2. Ciclo de Deming

Más de 27.200 organizaciones de diversas industrias en más de 100 países del mundo están certificadas por el cumplimiento de la norma ISO 9001: 2008 para la gestión de la calidad. Según el mercado y los requisitos legales, muchas organizaciones se ven cada vez más obligadas a ocuparse de la seguridad de la información. En este sentido, la integración del sistema de control ofrece posibilidades reales. Un enfoque complejo también interesante para empresas que no han utilizado ningún proceso de gestión hasta ahora. Normas ISO de calidad (ISO 9001), protección del medio ambiente (ISO 14000), seguridad de la información

Las diferencias entre estándares son útiles para complementarse entre sí, lo que contribuye decisivamente a un mayor éxito empresarial. Por ejemplo, ISO 9001 requiere la definición de metas corporativas, enfoque en el cliente y mensurabilidad, hasta qué punto se cumplen las metas y objetivos. Estos son tres temas que no están en el enfoque de ISO 27001. A su vez, este estándar prioriza la gestión de riesgos para mantener la continuidad del negocio y ofrece asistencia detallada en la implementación de un SGSI. Comparado

con esto, ISO 9001 es más un estándar teórico.

ISO 27001: un estándar no solo para TI

Mucha gente piensa que la norma ISO 27001 es solo para procesos de TI, pero en realidad este no es el caso. El punto fundamental para la implementación de la norma ISO 27001 SM&B es la definición de activos.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

PatitU "D | KtttcCcU H".

"Jimii 14: ii | vju7JIIIM.

Arroz. 3. Tipos de activos

Se entiende por activo todo aquello que tiene valor para la empresa (Figura 3). Es decir, un activo puede ser: recursos humanos, infraestructura, herramientas, equipos, comunicaciones, servicios y cualquier otro activo, incluidos los servicios para el suministro de productos adquiridos. Con base en los procesos, la empresa determina qué activos tiene y qué activos están involucrados en procesos críticos, y evalúa el valor de los activos. Y solo después de eso, se realiza la evaluación de riesgos para todos los activos valiosos. Por lo tanto, el SGSI está destinado no solo a la información digital que se procesa en sistema automático... Por ejemplo, algunos de los procesos más críticos involucran

Preparación

planes de eventos

2 Marque H: coincido

con el almacenamiento de copias impresas de la información, que también está cubierto por la norma ISO 27001. Un SGSI cubre todas las formas en que se puede almacenar información importante en su empresa, desde cómo su correos electrónicos protegido, terminando con el lugar donde se almacenan los archivos personales de los empleados en el edificio.

Por lo tanto, es un gran error pensar que, dado que el estándar tiene como objetivo construir un sistema de gestión de seguridad de la información, esto solo se puede aplicar a los datos almacenados en una computadora. Incluso en nuestra era digital, mucha información todavía se refleja en papel, que también debe protegerse de manera confiable.

ISO 9001 no puede satisfacer las necesidades de seguridad de la información de la empresa, ya que se centra estrictamente en la calidad del producto. Por eso, es muy importante implementar en la empresa la ISO 27001. A primera vista, a un especialista le puede parecer que ambas normas son muy generales y no tienen especificidad. Sin embargo, este no es el caso: la norma ISO 27001 describe casi todos los pasos para implementar y controlar el funcionamiento de un SGSI (Figura 4).

Las principales etapas de la construcción de un sistema de gestión de seguridad de la información.

Las principales etapas de la construcción de un SGSI se ilustran en la Figura 4. Considérelos con más detalle.

Etapa 1. Elaboración de planes de acción. En esta etapa, los especialistas recopilan documentos organizativos y administrativos (ORD) y otros materiales de trabajo,

3 A tipo normal II ORD

4 Análisis ii evaluaciones de riesgos 11B

Implementación

5 RyazraOoghya y<>Complejo RaeryaOopv & 00 \ * ieiitii:

planes de radiación ■ -> estándares -> eventos -> CfftpJOTHW *

actividades lun> PB ORD Poenpzhenie

Formación de 10 AiUtuin evaluación de los resultados del INRsnEsS "IMB

Arroz. 4. Etapas de la construcción de un SGSI

en lo que respecta a la construcción y operación de los sistemas de información de la empresa, se prevé utilizar mecanismos y medios para garantizar la seguridad de la información. Además, los planes de acción de las etapas de obra son elaborados, consensuados y aprobados por la dirección de la empresa.

Etapa 2. Comprobación del cumplimiento de la norma ISO / IEC 27001: 2005. Entrevistar y cuestionar a gerentes y empleados de departamentos. Análisis del SGSI de la empresa para el cumplimiento de los requisitos de ISO / IEC 27001: 2005.

Etapa 3. Análisis de documentos normativos y organizativos y administrativos con base en la estructura organizativa de la empresa. Con base en sus resultados, se determina el alcance protegido (OA) y se desarrolla un bosquejo de la política de seguridad de la información de la empresa.

Etapa 4. Análisis y evaluación de riesgos de seguridad de la información. Desarrollo de una metodología para la gestión y análisis de los riesgos de la empresa. Análisis de los recursos de información de la empresa, principalmente LAN, con el fin de identificar amenazas y vulnerabilidades de activos de ML protegidos. Inventario de activos. Realizar consultas a los especialistas de la empresa y evaluar el cumplimiento del nivel de seguridad actual y requerido. Cálculo de riesgos, determinación del nivel de riesgo actual y aceptable para cada activo específico. Ranking de riesgos, selección de complejos de medidas para reducirlos y cálculo de la eficiencia teórica de implementación.

Etapa 5. Desarrollo e implementación de planes de acción de SI. Elaboración de una declaración sobre la aplicabilidad de los controles de acuerdo con ISO / IEC 27001: 2005. Desarrollo de un plan de contabilidad y eliminación de riesgos. Elaboración de informes para el jefe de la empresa.

Etapa 6. Desarrollo de normativa y OSA. Desarrollo y aprobación de la política IB final y disposiciones relacionadas (políticas privadas). Desarrollo de estándares, procedimientos e instrucciones para asegurar el normal funcionamiento y operación del SGSI de la empresa.

Etapa 7. Implementación de medidas integrales para reducir los riesgos de SI y evaluar su efectividad de acuerdo con el plan de procesamiento y eliminación de riesgos aprobado por la gerencia.

Etapa 8. Formación del personal. Desarrollo de planes de acción e implementación de programas de capacitación y mejora de la competencia de los empleados de la empresa con el fin de transmitir de manera efectiva los principios de seguridad de la información a todos los empleados y

principalmente aquellos que trabajan en unidades estructurales proporcionando procesos comerciales clave.

Etapa 9. Formación de informes. Sistematización de resultados de encuestas y elaboración de informes. Presentación de los resultados del trabajo a los responsables de la empresa. Elaboración de documentos para licenciamiento para el cumplimiento de ISO / IEC 27001: 2005 y su transferencia a la organización certificadora.

Etapa 10. Análisis y evaluación de los resultados de la implementación del SGSI con base en la metodología que evalúa la confiabilidad del funcionamiento del SGSI de la empresa. Desarrollo de recomendaciones para mejorar el sistema de gestión de seguridad de la información de la empresa.

Analizando cada etapa de la implementación del SGSI, podemos decir que ISO 27001 tiene una estructura clara y requisitos que le permitirán construir un sistema de trabajo en el que habrá interacción en todos los niveles necesarios. Pero no debemos olvidar que la principal diferencia entre el SGSI y el SGC es que el primer sistema está enfocado a la seguridad de la información.

La importancia de la seguridad de la información en el mundo moderno

Los negocios de hoy no pueden existir sin tecnología de la información. Se sabe que alrededor del 70% del producto nacional total del mundo depende de una forma u otra de la información almacenada en los sistemas de información. La introducción generalizada de las computadoras ha creado no solo comodidades bien conocidas, sino también problemas, el más grave de los cuales es el problema de la seguridad de la información.

Los líderes empresariales deben comprender la importancia de la seguridad de la información, aprender a predecir y gestionar las tendencias en esta área. En esto pueden ser ayudados por la introducción de un SGSI, que en su estructura tiene el potencial de desarrollo, transparencia de gestión, flexibilidad ante cualquier cambio. Junto con los controles para computadoras y redes de computadoras, la norma ISO 27001 presta gran atención al desarrollo de la política de seguridad, el trabajo con el personal (contratación, capacitación, despido del trabajo), asegurando la continuidad. proceso de producción, requisitos reglamentarios, mientras que algunas cuestiones técnicas se detallan en otras normas de la serie

ISO 27000. Hay muchas ventajas de introducir ISIB en la empresa, algunas de ellas se muestran en la Fig. 5.

Escala Glbkshl pODr> h; b1 [h-th

Rechazar ¡juvum

HiKiinimi n II11 \ 11 H "G 1111111 pudnT

Wyrdoctle de Prtrtshal

"Ji | m | enfermo p. Ki u:

azhshchtnya # tsn ^ st

Arroz. 5. Beneficios de implementar un sistema de gestión de seguridad de la información

Cabe destacar los beneficios de ISO

Demostración de competencia en seguridad. ISO 27001 es una guía práctica para una organización que ayuda a formular los requisitos de seguridad para lograr el nivel de seguridad requerido y cumplir con los objetivos de seguridad específicos. Es especialmente importante que las organizaciones sean competentes en cuatro áreas de la gestión de la seguridad, que incluyen: identificación y evaluación de los activos de la empresa, evaluación de riesgos y definición de criterios para aceptar riesgos, gestión y adopción de estos elementos y mejora continua. programa general seguridad de la organización.

Garantizar la confianza del cliente. ISO 27001 proporciona una prueba independiente de que los programas gobierno corporativo respaldado por las mejores y mejores prácticas internacionales. La certificación ISO 27001 brinda tranquilidad a las corporaciones que buscan demostrar integridad a los clientes, accionistas y socios potenciales y, lo que es más importante, demostrar que la empresa ha implementado con éxito un sólido sistema de gestión de seguridad de la información. Para muchas industrias fuertemente reguladas, como las finanzas o los servicios de Internet, la selección de proveedores puede

limitarse a aquellas organizaciones que ya cuentan con la certificación ISO 27001.

Uso más eficiente de los recursos. Gracias al uso del enfoque de procesos, es posible optimizar los procesos que tienen lugar en la empresa. Lo que conlleva una disminución en el uso de recursos, por ejemplo, tiempo.

Mejora continua. El SGSI utiliza el modelo PCDA, que le permite comprobar periódicamente el estado de todo el sistema, analizar y mejorar el sistema de gestión.

1. Imagen, marca. La certificación para el cumplimiento de la norma ISO 27001 abre amplias oportunidades para la empresa: acceso a nivel internacional, nuevas asociaciones, más clientes, nuevos contratos, éxito en las licitaciones. La presencia de un SGSI en una empresa es un indicador de un alto nivel de desarrollo.

2. Flexibilidad del SGSI. Independientemente de los cambios en los procesos, las nuevas tecnologías, la base de la estructura del SGSI sigue siendo eficaz. El SGSI se adapta con bastante facilidad a las innovaciones modernizando las existentes e introduciendo nuevas contramedidas.

3. Escalabilidad de la implementación del estándar. Dado que ISO 27001 requiere un alcance, solo se puede certificar un subconjunto de los procesos. Puede comenzar a implementar el SGSI en el OA más importante para la empresa y solo más tarde expandirlo.

4. Auditoría. Muchos Empresas rusas percibir el trabajo de auditoría como un desastre. ISO 27001 muestra un enfoque internacional de la auditoría: en primer lugar, el interés de la empresa en cumplir realmente con los estándares, y no realizar la certificación de alguna manera, solo "para mostrar".

5. Las auditorías internas o externas periódicas permiten corregir las infracciones, mejorar el SGSI y reducir significativamente los riesgos. En primer lugar, la empresa lo necesita para su propia tranquilidad, que todo esté en orden y se minimicen los riesgos de pérdidas. Y ya secundario: un certificado de conformidad, que confirma a los socios o clientes que se puede confiar en esta empresa.

6. Transparencia de gestión. El uso de la norma ISO 27001 proporciona instrucciones bastante claras para crear la gestión, y

también los requisitos para la documentación que debe estar en la empresa. El problema de muchas empresas es que los documentos existentes para ciertos departamentos simplemente no son legibles, porque a menudo es imposible averiguar qué está destinado a quién debido a la complejidad del sistema de documentación. La jerarquía de niveles de documentación, desde la política de seguridad de la información hasta la descripción de ciertos procedimientos, hace que el uso de las reglas, regulaciones y otras cosas existentes sea mucho más fácil. Además, la introducción de SM & B implica la formación del personal: la realización de seminarios, la distribución de correos, la colocación de carteles de advertencia, lo que aumenta significativamente la conciencia de la seguridad de la información entre los empleados normales.

En conclusión, cabe señalar que en negocio moderno la integralidad del sistema básico de gestión de la calidad, construido de acuerdo con los requisitos de la norma ISO 9001, y la posición que gana el sistema de gestión de la seguridad de la información es obvia.

Hoy, el líder del mercado serán las empresas que monitorean no solo los indicadores de la calidad de los productos y servicios, sino también los niveles de confidencialidad, integridad y disponibilidad de la información sobre los mismos. La previsión y la evaluación de riesgos también es un factor de éxito importante, que requiere un enfoque competente y el uso de las mejores prácticas internacionales. La implementación y certificación conjunta de los sistemas de gestión de la calidad y seguridad de la información ayudarán a resolver una amplia gama de problemas para cualquier industria o comercio, lo que a su vez conducirá a un aumento cualitativo en el nivel de los servicios prestados.

Literatura

1. Dorofeev A. V., Shahalov I. Yu. Fundamentos de la gestión de la seguridad de la información organización moderna// Informática jurídica. 2013. No. 3. S. 4-14.

2. Chashkin VN La gestión de la seguridad de la información como elemento del sistema de gestión de la información y la actividad tecnológica de la organización // Seguridad de las tecnologías de la información. 2009. No. 1. S. 123-124.

3. Goryachev VV Nuevo GOST para QMS. Principales diferencias con GOST RV 15.002-2003 //

Métodos de gestión de la calidad. 2013. No. 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Enfoque para la construcción de un modelo de sistemas de gestión de seguridad de la información // Revista científica electrónica de la red politemática de la Universidad Agraria Estatal de Kuban. 2009. No. 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modelo del sistema de gestión de seguridad de la información en la empresa (en la organización) // Intelecto. Innovación. Inversiones. 2013. No. 1. S. 111-114.

6. Soloviev AM Base normativa y metodológica en el campo de la seguridad de la información // Economía, estadística e informática. Boletín de UMO. 2012. No. 1. S. 174-181.

7. Kozin IF, Livshits II Seguridad de la información. Integración de estándares internacionales en el sistema de seguridad de la información de Rusia // Informatización y comunicación. 2010. No. 1. S. 50-55.

8. Kolodin VS Certificación de sistemas de gestión integrados // Boletín de la Universidad Técnica Estatal de Irkutsk. 2010. T. 41. No. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Sistemas de gestión integrados: requisitos previos para la creación en empresas rusas // Joven científico.

2013. No. 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Gestión de la seguridad de la información de los sistemas de información y telecomunicaciones basados ​​en el modelo "P1ap-Do-Check-Act" // Eslinga Naukov1 de la Universidad Técnica Nacional de Donetsk. Ser1ya: "Techshka computacional que automatiza". 2013. No. 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Gestión de la seguridad de la información: conceptos básicos // Problemas de ciberseguridad.

2014. No. 1 (2). S. 67-73.

12. Shper VL Acerca de la norma 18O / 1EC 27001 // Métodos de gestión de la calidad. 2008. No. 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Gestión de riesgos: vacío normativo de seguridad de la información // Sistemas abiertos... DBMS. 2007. No. 8. S. 63-67.

14. Matveev V.A., Tsirlov V.L.

ción en 2014 // Problemas de ciberseguridad. 2013. No. 1 (1). S. 61-64.

15. Tambores A. V. Normalización del proceso de elaboración de cajas herramientas de software// Problemas de ciberseguridad. 2013. No. 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Directrices para la ciberseguridad en el contexto

ISO 27032 // Problemas de ciberseguridad. 2014. No. 1 (2). S. 28-35. 17. Khramtsovskaya N. Lo que un gerente necesita saber sobre seguridad de la información // Kadrovik. 2009. No. 4. S. 061-072.

Realmente vergonzoso. Informamos sobre el inminente lanzamiento de la norma ISO 45001, que debería reemplazar la actual norma de gestión de seguridad y salud ocupacional OHSAS 18001, dijimos que deberíamos esperarla a finales de 2016 ... Se acerca la medianoche, pero Herman todavía está desaparecido. Es hora de admitirlo: la norma ISO 45001 está en suspenso. Es cierto, por buenas razones. La comunidad de expertos tiene demasiadas preguntas para él. […]