Mis on kaasaegne infoturbe juhtimissüsteem. Kaasaegsed standardid infoturbe valdkonnas, kasutades riskijuhtimise kontseptsiooni Infoturbe juhtimissüsteem

Šahalov Igor Jurievich

Kvaliteedijuhtimissüsteemide ja infoturbe integreerimise teemal

Kokkuvõte: Vaadeldakse rahvusvahelisi standardeid ISO 27001 ja ISO 9001. Analüüsitakse kvaliteedijuhtimissüsteemi ja infoturbe juhtimissüsteemi sarnasusi ja erinevusi. Näidatakse kvaliteedihaldussüsteemi ja infoturbehaldussüsteemi integreerimise võimalust. Esitatakse integreeritud infoturbehaldussüsteemi ehitamise ja rakendamise peamised etapid. Näidatakse integreeritud lähenemisviisi eeliseid.

Märksõnad: infoturbe juhtimissüsteemid, integreeritud juhtimissüsteemid, ISMS, QMS, ISO 27001.

Natalia Olegovna

Sissejuhatus

V kaasaegne maailmühise ja mugava tulekuga tehnilised seadmed infokaitse probleem on üsna teravalt esile kerkinud. Koos kvaliteetsete toodete väljalaskmise või teenuste osutamisega ettevõtetele ja organisatsioonidele on oluline hoida vajalik teave konkurentide eest saladuses, et püsida turul soodsal positsioonil. Konkurentsivõitluses on laialt levinud mitmesugused toimingud, mille eesmärk on konfidentsiaalse teabe hankimine (hankimine, omandamine). erinevaid viise, kuni otsese tööstusliku spionaažini, kasutades kaasaegseid tehnilisi luurevahendeid.

Seega on maailma parimatest tavadest kinni pidavad organisatsioonid, mis sisaldavad nõudeid, juhiseid äriprotsesside juhtimissüsteemide rakendamiseks, muutumas turuliidriteks. Selliste süsteemide kavandamise, rakendamise, jälgimise ja täiustamise parimad standardid on Rahvusvahelise Standardiorganisatsiooni (ISO) dokumendid. Erilist tähelepanu tuleks pöörata ISO 900x ja ISO 2700x seeria standarditele, mis koguvad parimaid tavasid kvaliteedijuhtimissüsteemi (QMS) ja infoturbehaldussüsteemi (ISMS) rakendamiseks.

Kvaliteedijuhtimissüsteem, mida rakendatakse vastavalt ISO 9001 standardi nõuetele, on juba ammu tunnistatud kvaliteetse toote tootva või kõrgetasemelist teenust osutava eduka ettevõtte lahutamatuks omaduseks. Tänapäeval on vastavustunnistuse olemasolu nii tõhus turunduslahendus kui ka tootmisprotsesside kontrollimise mehhanism. QMS audit on hästi arenenud ärivaldkond.

Ettevõtte eduka tegevuse sõltuvus sellest ettevõtte süsteem teabe kaitse. Selle põhjuseks on ettevõtte infosüsteemis töödeldavate elutähtsate andmete mahu suurenemine. Infosüsteemid muutuvad keerukamaks ja ka neis leitud turvaaukude arv kasvab. ISMS audit võimaldab hinnata ettevõtte turvataset infosüsteem,

hinnata ja ennustada riske, juhtida nende mõju ettevõtte äriprotsessidele.

Kuna ISO 9001 standard on juba ammu maailmas juhtival kohal sertifikaatide arvu osas ja ISO 27001 standard näitab tendentsi tõsta infoturbehaldussüsteemi sertifitseerimist, on soovitatav kaaluda võimalikku koostoimet ja QMSi ja ISMSi integreerimine.

Standardite integreerimine

Esmapilgul on kvaliteedijuhtimine ja infoturve täiesti erinevad valdkonnad. Kuid praktikas on need tihedalt seotud ja moodustavad ühe terviku (joonis 1). Klientide rahulolu, mis on objektiivne kvaliteedieesmärk, sõltub igal aastal üha enam infotehnoloogia kättesaadavusest ja andmeturvalisusest, mille säilitamiseks kasutatakse standardit ISO 27001. Teisest küljest vastab standard ISO 9001 täpselt organisatsiooni korporatiivseid eesmärke, aidates tagada turvalisust. Tänu integreeritud lähenemisviisile saab ISO 27001 tõhusalt integreerida olemasolevasse QMS -i või rakendada koos QMS -iga.

(ISO 27001) ja IT -teenuste haldamisel (ISO 20000) on sarnane struktuur ja protsess. See loob sünergia, mis tasub end ära: praktikas säästab käimasolevate toimingute integreeritud juhtimissüsteem 20–30 protsenti süsteemi optimeerimise, kontrollide ja paranduste kogukuludest.

Infoturbe- ja kvaliteedijuhtimisstandardite eesmärk on pidev täiustamine vastavalt Planeeri-kontrolli-seaduse (PDCA) mudelile, mida tuntakse demingutsükliks (vt joonis 2). Lisaks on need oma ülesehituselt sarnased, nagu on näidatud vastavustabelis ISO 27001 lisas C. Mõlemad standardid määravad kindlaks protsessi lähenemisviisi, ulatuse, süsteemi- ja dokumentatsiooninõuded ning haldusvastutuse. Mõlemal juhul lõpeb struktuur siseauditi, juhtkonna ülevaatuse ja süsteemi täiustamisega. Sellega suhtlevad mõlemad süsteemid. Näiteks nõuab ISO 9001 mittevastavate toodete haldamist. Samuti on ISO 27001 standardil rikete lahendamiseks intsidentide haldamise nõue.

Riis. 1. QMS -i ja ISMS -i interaktsiooni- ja sarnasussfäärid

Riis. 2. Deming tsükkel

Rohkem kui 27 200 organisatsiooni erinevatest tööstusharudest enam kui 100 riigis üle maailma on sertifitseeritud kvaliteedijuhtimise standardile ISO 9001: 2008 vastavaks. Sõltuvalt turust ja seadusest tulenevatest nõuetest on paljud organisatsioonid üha enam sunnitud tegelema infoturbega. Sellega seoses pakub juhtimissüsteemi integreerimine reaalseid võimalusi. Kompleksne lähenemine huvitav ka ettevõtetele, kes pole siiani ühtegi juhtimisprotsessi kasutanud. ISO standardid kvaliteedile (ISO 9001), keskkonnakaitsele (ISO 14000), infoturbele

Erinevused standardite vahel on kasulikud üksteist täiendades, mis aitab otsustavalt kaasa ettevõtte edule. Näiteks nõuab ISO 9001 ettevõtte eesmärkide määratlemist, kliendikesksust ja mõõdetavust, mil määral eesmärke ja eesmärke täidetakse. Need on kolm küsimust, mis ei ole ISO 27001 huvide keskmes. See standard seab omakorda prioriteediks riskijuhtimise, et säilitada äritegevuse järjepidevus, ja pakub üksikasjalikku abi ISMSi rakendamisel. Võrreldes

sellega on ISO 9001 pigem teoreetiline standard.

ISO 27001 - standard mitte ainult IT jaoks

Paljud inimesed arvavad, et ISO 27001 standard on ainult IT -protsesside jaoks, kuid tegelikult see nii ei ole. ISO 27001 SM & B standardi rakendamise põhipunkt on varade määratlus.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Riis. 3. Varade liigid

Varana mõistetakse kõike, mis on ettevõttele väärtuslik (joonis 3). See tähendab, et vara võib olla: personal, infrastruktuur, tööriistad, seadmed, side, teenused ja mis tahes muu vara, sealhulgas ostetud toodete tarnimise teenused. Protsesside põhjal otsustab ettevõte, millised varad tal on ja millised varad on kaasatud kriitilistesse protsessidesse, ning hindab vara väärtust. Ja alles pärast seda tehakse riskihindamine kõigi väärtusliku vara kohta. Seega ei ole ISMS mõeldud ainult digitaalse teabe jaoks, mida töödeldakse automatiseeritud süsteem... Näiteks hõlmavad mõned kõige kriitilisemad protsessid

Ettevalmistus

ürituste plaanid

2 Kontrollige H: i match

teabe paberkoopiate salvestamisega, mis on hõlmatud ka ISO 27001. ISMS hõlmab kõiki viise, kuidas olulist teavet teie ettevõttes salvestada, alates sellest, kuidas e -kirju kaitstud, lõpetades sellega, kus hoones hoitakse töötajate isiklikke toimikuid.

Seetõttu on tohutu eksiarvamus, et kuna standard on suunatud infoturbehaldussüsteemi loomisele, siis saab see kehtida ainult arvutisse salvestatud andmete kohta. Isegi meie digitaalajastul kajastub paberil endiselt palju teavet, mida tuleb ka usaldusväärselt kaitsta.

ISO 9001 ei suuda rahuldada ettevõtte infoturbe vajadusi, kuna see on kitsalt keskendunud toote kvaliteedile. Seetõttu on väga oluline rakendada ettevõttes ISO 27001. Esmapilgul võib spetsialistile tunduda, et mõlemad standardid on väga üldised ega oma spetsiifilisust. Kuid see pole nii: ISO 27001 standard kirjeldab peaaegu kõiki ISMS -i rakendamise ja toimimise kontrollimise samme (joonis 4).

Infoturbehaldussüsteemi loomise peamised etapid

ISMS -i ehitamise peamised etapid on illustreeritud joonisel 4. Vaatleme neid üksikasjalikumalt.

Etapp 1. Tegevuskavade koostamine. Selles etapis koguvad spetsialistid organisatsioonilisi ja haldusdokumente (ORD) ning muid töömaterjale,

3 Tüüp tavaline II ORD

4 Analüüs ii riskihinnangud 11B

Rakendamine

5 RyazraOoghya ja<>RaeryaOopv kompleks & 00 \ * ieiitii:

kiirgusplaanid ■ -> standardid -> sündmused -> CfftpJOTHW *

üritused E> PB ORD Poenpzhenie

INRsnEsS "IMB tulemuste 10 AiUtuini hindamise moodustamine

Riis. 4. ISMS -i loomise etapid

mis on seotud ettevõtte infosüsteemide ehitamise ja käitamisega, kavatsetakse kasutada mehhanisme ja vahendeid infoturbe tagamiseks. Lisaks koostatakse tööetappide tegevuskavad, need lepitakse kokku ja kinnitatakse ettevõtte juhtkonna poolt.

Etapp 2. ISO / IEC 27001: 2005 vastavuse kontrollimine. Intervjueerivad ja küsitlevad osakondade juhte ja töötajaid. Ettevõtte ISMS -i analüüs ISO / IEC 27001: 2005 nõuetele vastavuse kohta.

Etapp 3. Reguleerivate ning organisatsiooniliste ja haldusdokumentide analüüs, mis põhineb organisatsiooniline struktuur ettevõtted. Selle tulemuste põhjal määratakse kaitstud ulatus (OA) ja töötatakse välja ettevõtte infoturbepoliitika visand.

4. etapp. Infoturvariskide analüüs ja hindamine. Ettevõtte riskide juhtimise ja nende analüüsimise metoodika väljatöötamine. Ettevõtte teabeallikate, peamiselt LAN -i analüüs, et tuvastada kaitstud ML -i varade ohud ja haavatavused. Varade inventuur. Ettevõtte spetsialistide konsultatsioonide läbiviimine ja tegeliku ja nõutava turvataseme järgimise hindamine. Riskide arvutamine, praeguse ja vastuvõetava riskitaseme määramine iga konkreetse vara puhul. Riskide järjestus, meetmete komplekside valik nende vähendamiseks ja rakendamise teoreetilise efektiivsuse arvutamine.

Etapp 5. IS tegevuskavade väljatöötamine ja elluviimine. Juhtnööride rakendatavuse kohta avalduse väljatöötamine vastavalt standardile ISO / IEC 27001: 2005. Raamatupidamise ja riskide kõrvaldamise plaani väljatöötamine. Ettevõtte juhile aruannete koostamine.

Etapp 6. Normatiivsete ja tegevusdokumentide väljatöötamine. IB lõpliku poliitika ja sellega seotud sätete (erapoliitika) väljatöötamine ja kinnitamine. Standardite, protseduuride ja juhiste väljatöötamine ettevõtte ISMSi normaalse toimimise ja toimimise tagamiseks.

Etapp 7. Laiaulatuslike meetmete rakendamine IS -riskide vähendamiseks ja nende tõhususe hindamiseks vastavalt juhtkonna poolt heaks kiidetud töötlemis- ja kõrvaldamiskavale.

8. etapp. Personalikoolitus. Tegevuskavade väljatöötamine ja programmide rakendamine ettevõtte töötajate koolitamiseks ja pädevuse parandamiseks, et edastada tõhusalt kõigile töötajatele infoturbe põhimõtted ja

peamiselt need, kes töötavad struktuuriüksused pakkudes peamisi äriprotsesse.

9. etapp Aruande koostamine. Küsitluste tulemuste süstematiseerimine ja aruannete koostamine. Ettevõtte juhtide töötulemuste tutvustamine. Dokumentide ettevalmistamine litsentsimiseks vastavalt ISO / IEC 27001: 2005 nõuetele ja nende üleandmine sertifitseerivale organisatsioonile.

Etapp 10. ISMS -i rakendamise tulemuste analüüs ja hindamine ettevõtte ISMS -i toimimise usaldusväärsust hindava metoodika alusel. Ettepanekute väljatöötamine ettevõtte infoturbe juhtimissüsteemi täiustamiseks.

ISMS -i rakendamise iga etappi analüüsides võime öelda, et ISO 27001 -l on selge struktuur ja nõuded, mis võimaldavad teil ehitada toimiva süsteemi, milles toimiks suhtlus kõigil vajalikel tasanditel. Kuid me ei tohi unustada, et peamine erinevus ISMS -i ja QMS -i vahel on see, et esimene süsteem on keskendunud infoturbele.

Infoturbe tähtsus tänapäeva maailmas

Tänapäeva äri ei saa eksisteerida ilma infotehnoloogiata. On teada, et umbes 70% maailma kogutoodangust sõltub ühel või teisel viisil infosüsteemidesse salvestatud teabest. Arvutite laialdane kasutuselevõtt on loonud lisaks tuntud mugavustele ka probleeme, millest tõsisim on infoturbe probleem.

Ettevõtete juhid peavad mõistma infoturbe olulisust, õppima ennustama ja juhtima selle valdkonna suundumusi. Selles saab neid aidata ISMSi kasutuselevõtt, millel on oma struktuuris arengupotentsiaal, juhtimise läbipaistvus ja paindlikkus mis tahes muudatuste suhtes. Koos arvutite ja arvutivõrkude juhtimisseadmetega pöörab ISO 27001 standard suurt tähelepanu turvapoliitika väljatöötamisele, personaliga töötamisele (töölevõtmine, koolitamine, töölt vabastamine), tagades järjepidevuse tootmisprotsess, regulatiivseid nõudeid, samas kui mõned tehnilised probleemid on üksikasjalikult kirjeldatud sarja teistes standardites

ISO 27000. ISIB -i juurutamisel ettevõttesse on palju eeliseid, mõned neist on näidatud joonisel fig. 5.

Glbkshli skaala pODr> h; b1 [h

Tagasi lükata

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | ill lk Ki u:

azhshchtnya # tsn ^ st

Riis. 5. Infoturbehaldussüsteemi rakendamise eelised

Tuleb märkida ISO eeliseid

Ohutuspädevuse demonstreerimine. ISO 27001 on organisatsioonile praktiline juhend, mis aitab sõnastada turvanõudeid, et saavutada nõutav turvatase ja täita konkreetseid turvaeesmärke. Eriti oluline on organisatsioonide pädevus neljas turbehalduse valdkonnas, sealhulgas: ettevõtte varade tuvastamine ja hindamine, riskide hindamine ja riskide aktsepteerimise kriteeriumide määratlemine, nende objektide haldamine ja vastuvõtmine ning pidev täiustamine. üldine programm organisatsiooni turvalisus.

Klientide usalduse tagamine. ISO 27001 annab sõltumatuid tõendeid selle kohta, et ettevõtte juhtimise programme toetavad rahvusvahelised parimad tavad. ISO 27001 sertifikaat pakub meelerahu ettevõtetele, kes soovivad klientidele, aktsionäridele ja potentsiaalsetele partneritele ausust näidata ning mis kõige tähtsam - näidata, et ettevõte on edukalt juurutanud tugeva infoturbe juhtimissüsteemi. Paljude rangelt reguleeritud tööstusharude jaoks, nagu rahandus või Interneti -teenused, saab tarnijat valida

piirduda organisatsioonidega, millel on juba ISO 27001 sertifikaat.

Ressursside tõhusam kasutamine. Tänu protsessikäsitluse kasutamisele on võimalik optimeerida ettevõttes toimuvaid protsesse. Mis toob kaasa ressursside, näiteks ajakasutuse vähenemise.

Pidev täiustamine. ISMS kasutab PCDA mudelit, mis võimaldab regulaarselt kontrollida kogu süsteemi olekut, analüüsida ja täiustada juhtimissüsteemi

1. Pilt, bränd. ISO 27001 nõuetele vastavuse sertifitseerimine avab ettevõttele laiad võimalused: juurdepääs rahvusvahelisele tasemele, uued partnerlused, rohkem kliente, uued lepingud, edu pakkumistel. ISMS -i olemasolu ettevõttes on kõrge arengutaseme näitaja.

2. ISMSi paindlikkus. Olenemata protsesside ja uute tehnoloogiate muutustest jääb ISMS -i struktuuri alus tõhusaks. ISMS kohaneb uuendustega üsna lihtsalt, moderniseerides olemasolevaid ja kehtestades uusi vastumeetmeid.

3. Standardi rakendamise mastaapsus. Kuna ISO 27001 nõuab ulatust, saab sertifitseerida ainult protsesside alamhulka. Võite alustada ISMS -i juurutamist ettevõtte jaoks kõige olulisemas OA -s ja alles hiljem laiendada.

4. Audit. Palju Vene firmad tajuda audititööd katastroofina. ISO 27001 näitab rahvusvahelist lähenemist auditeerimisele: esiteks ettevõtte huvi standarditele tegelikult vastata ja mitte teha sertifitseerimist kuidagi, lihtsalt näitamiseks.

5. Regulaarsed sise- või välisauditid võimaldavad rikkumisi parandada, ISMS -i täiustada ja riske oluliselt vähendada. Esiteks vajab ettevõte seda enda meelerahu jaoks, et kõik oleks korras ja kahjumiriskid viidud miinimumini. Ja juba teisejärguline - vastavussertifikaat, mis kinnitab partneritele või klientidele, et seda ettevõtet saab usaldada.

6. Juhtimise läbipaistvus. ISO 27001 standardi kasutamine annab üsna selged juhised halduse loomiseks ja

ka nõuded dokumentatsioonile, mis ettevõttes peab olema. Paljude ettevõtete probleem on see, et teatud osakondade olemasolevad dokumendid ei ole lihtsalt loetavad, sest dokumentatsioonisüsteemi keerukuse tõttu on sageli võimatu aru saada, mis on kellele mõeldud. Dokumentatsiooni tasandite hierarhia, alates infoturbepoliitikast kuni teatud protseduuride kirjeldamiseni, muudab olemasolevate reeglite, määruste ja muude asjade kasutamise palju lihtsamaks. Samuti hõlmab SM & B kasutuselevõtt personali koolitust: seminaride, postituste korraldamist, hoiatusplakatite riputamist, mis suurendab oluliselt lihttöötajate teadlikkust infoturbe kohta.

Kokkuvõtteks tuleb märkida, et aastal kaasaegne äri standardi ISO 9001 nõuete kohaselt ehitatud põhilise kvaliteedijuhtimissüsteemi võõrandamatus ja infoturbehaldussüsteemi võitmine on ilmne.

Täna on turuliidriks ettevõtted, kes jälgivad mitte ainult toodete ja teenuste kvaliteedinäitajaid, vaid ka nende kohta käiva teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse taset. Prognoosimine ja riskihindamine on samuti oluline edutegur, mis nõuab pädevat lähenemist ja parimate rahvusvaheliste tavade kasutamist. Kvaliteedijuhtimise ja infoturbe süsteemide ühine rakendamine ja sertifitseerimine aitab lahendada mitmesuguseid probleeme igale tööstusele või kaubandusele, mis omakorda toob kaasa pakutavate teenuste taseme kvalitatiivse tõusu.

Kirjandus

1. Dorofejev A. V., Šahalov I. Ju. Infoturbehalduse alused kaasaegne organisatsioon// Õigusinformaatika. 2013. nr 3. S. 4-14.

2. Chashkin VN Infoturbehaldus kui organisatsiooni info- ja tehnoloogilise tegevuse juhtimise süsteemi element // Infotehnoloogiate turvalisus. 2009. nr 1. S. 123-124.

3. Gorjatšov VV Uus GOST QMS -i jaoks. Peamised erinevused GOST RV 15.002-2003 //

Kvaliteedijuhtimise meetodid. 2013. nr 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Lähenemisviis infoturbe juhtimissüsteemide mudeli loomisele // Kubani Riikliku Agraarülikooli polüteemilise võrgu elektrooniline teadusajakiri. 2009. nr 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Ettevõtte (organisatsioonis) infoturbehaldussüsteemi mudel // Intellekt. Innovatsioon. Investeeringud. 2013. nr 1. S. 111-114.

6. Solovjev A. M. Normatiivne ja metoodiline baas infoturbe valdkonnas // Majandus, statistika ja informaatika. UMO bülletään. 2012. nr 1. S. 174-181.

7. Kozin IF, Livshits II Infoturve. Rahvusvaheliste standardite integreerimine Venemaa infoturbesüsteemi // Informaatiseerimine ja kommunikatsioon. 2010. nr 1. S. 50-55.

8. Kolodin VS Integreeritud juhtimissüsteemide sertifitseerimine // Irkutski Riikliku Tehnikaülikooli bülletään. 2010. T. 41. nr 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Integreeritud juhtimissüsteemid: loomise eeldused Venemaa ettevõtetes // Noor teadlane.

2013. nr 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Info- ja telekommunikatsioonisüsteemide infoturbehaldus, mis põhineb mudelil "P1an-Do-Check-Act" // Donetski riikliku tehnikaülikooli tropp Naukov1. Ser1ya: "Arvutustehnika, mis automatism". 2013. nr 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Infoturbehaldus: põhimõisted // Küberturvalisuse küsimused.

2014. nr 1 (2). S. 67-73.

12. Shper VL Standardist 18O / 1EC 27001 // Kvaliteedijuhtimise meetodid. 2008. nr 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Riskijuhtimine - infoturbe normatiivne vaakum // Avatud süsteemid... DBMS. 2007. nr 8. S. 63-67.

14. Matveev V.A., Tsirlov V.L.

2014. aastal // Küberturvalisuse küsimused. 2013. nr 1 (1). S. 61-64.

15. Trummid A. V. Ohutu väljatöötamise protsessi standardiseerimine tarkvara tööriistad// Küberturvalisuse probleemid. 2013. nr 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Küberturvalisuse juhised kontekstis

ISO 27032 // Küberturvalisuse probleemid. 2014. nr 1 (2). S. 28-35. 17. Khramtsovskaya N. Mida peab juht teadma infoturbe kohta // Kadrovik. 2009. nr 4. S. 061-072.

Infotehnoloogia maailmas on esmatähtsaks muutumas teabe terviklikkuse, usaldusväärsuse ja konfidentsiaalsuse tagamise küsimus. Seetõttu on organisatsiooni infoturbe juhtimissüsteemi (ISMS) olemasolu vajaduse tunnistamine strateegiline otsus.

Selle eesmärk oli luua, rakendada, hooldada ja pidevalt täiustada ettevõttes ISMS -i ning rakendades seda standardit välispartneritele, ilmneb, et organisatsioon suudab täita oma infoturbe nõudeid. Selles artiklis käsitletakse standardi põhinõudeid ja selle struktuuri.

(ADV31)

ISO 27001 standardi peamised eesmärgid

Enne kui jätkame standardi struktuuri kirjeldamist, määratleme selle peamised ülesanded ja kaalume standardi Venemaal ilmumise ajalugu.

Standardi eesmärgid:

  • asutamine ühtsed nõuded kõigile organisatsioonidele ISMS -i loomine, rakendamine ja täiustamine;
  • kõrgema juhtkonna ja töötajate vahelise suhtluse tagamine;
  • teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse säilitamine.

Samal ajal on standardiga kehtestatud nõuded üldised ja mõeldud igale organisatsioonile, olenemata nende tüübist, suurusest või iseloomust.

Standardi ajalugu:

  • 1995. aastal võttis Briti Standardiinstituut (BSI) infoturbe haldamise koodeksi Ühendkuningriigi riiklikuks standardiks ja registreeris selle standardi BS 7799 - 1. osa all.
  • 1998. aastal avaldab BSI BS7799-2 kahes osas, millest üks sisaldab tegevusjuhendit ja teine ​​infoturbehaldussüsteemidele esitatavaid nõudeid.
  • Edasiste muudatuste käigus avaldati esimene osa nimega BS 7799: 1999, 1. osa. 1999. aastal anti see standardiversioon üle Rahvusvahelisele Sertifitseerimisorganisatsioonile.
  • See dokument kinnitati 2000. aastal rahvusvahelise standardina ISO / IEC 17799: 2000 (BS 7799-1: 2000). Selle standardi viimane, 2005. aastal vastu võetud versioon on ISO / IEC 17799: 2005.
  • 2002. aasta septembris jõustus BS 7799 teine ​​osa "Infoturbe juhtimissüsteemi spetsifikatsioon". BS 7799 teine ​​osa vaadati läbi 2002. aastal ja ISO võttis 2005. aasta lõpus vastu rahvusvahelise standardina ISO / IEC 27001: 2005 " Infotehnoloogia- Turvameetodid - Infoturbe juhtimissüsteemid - Nõuded.
  • 2005. aastal lisati ISO / IEC 17799 standard 27. seeria standardirida ja see võeti vastu uus number- ISO / IEC 27002: 2005.
  • 25. septembril 2013 avaldati uuendatud ISO / IEC 27001: 2013 “Infoturbe juhtimissüsteemid”. Nõuded ". Praegu on organisatsioonid sertifitseeritud vastavalt sellele standardi versioonile.

Standardi struktuur

Selle standardi üheks eeliseks on selle struktuuri sarnasus ISO 9001 -ga, kuna see sisaldab identseid alapunkti pealkirju, identset teksti, üldtingimusi ja põhimääratlusi. See asjaolu säästab aega ja raha, kuna osa dokumentatsioonist on juba ISO 9001 sertifikaadi käigus välja töötatud.

Kui me räägime standardi struktuurist, siis on see ISMS -i nõuete loend, mis on sertifitseerimiseks kohustuslikud ja koosneb järgmistest osadest:

Peamised sektsioonidLisa A
0. Sissejuhatus A.5 Infoturbe põhimõtted
1 kasutusala A.6 Infoturbeorganisatsioon
2. Normatiivsed viited A.7 Inimressursside (personali) turvalisus
3. Mõisted ja määratlused A.8 Varahaldus
4. Organisatsiooni kontekst A.9 Juurdepääsu kontroll
5. Juhtimine A.10 Krüptograafia
6. Planeerimine A.11 Füüsiline ja keskkonnaohutus
7. Toetus A.12 Operatsioonide turvalisus
8. Toimingud (operatsioon) A.13 Side turvalisus
9. Toimivuse hindamine (mõõtmine) A.14 Infosüsteemide ost, arendus ja hooldus
10. Parandamine (täiustamine) A.15 Suhted tarnijatega
A.16 Juhtumite juhtimine
A.17 Tegevuse järjepidevus
A.18 Õigusnormide järgimine

"Lisa A" nõuded on kohustuslikud, kuid standard võimaldab teil välistada valdkonnad, mida ettevõttes rakendada ei saa.

Standardi tutvustamisel ettevõttes täiendavaks sertifitseerimiseks tasub meeles pidada, et punktides 4–10 kehtestatud nõuetest ei ole lubatud erandeid teha. Neid jaotisi arutatakse edasi.

Alustame jaotisest 4 - Organisatsiooni kontekst

Organisatsiooni kontekst

Selles osas nõuab standard, et organisatsioon tuvastaks välised ja sisemised probleemid, mis on seotud tema eesmärkidega ja mis mõjutavad tema ISMS -i võimet saavutada oodatud tulemusi. Seda tehes peaksite arvestama infoturbega seotud juriidiliste, regulatiivsete ja lepinguliste kohustustega. Samuti peaks organisatsioon määratlema ja dokumenteerima ISMSi ulatuse ja kohaldatavuse, et määrata kindlaks selle ulatus.

Juhtimine

Tippjuhtkond peaks näitama juhtpositsiooni ja pühendumust infoturbe juhtimissüsteemile, tagades näiteks, et infoturbepoliitika ja infoturbe eesmärgid on paika pandud ja kooskõlas organisatsiooni strateegiaga. Samuti peaks tippjuhtkond tagama kõikide ISMSi jaoks vajalike ressursside olemasolu. Teisisõnu peaks töötajatele olema selge, et juhtkond on seotud infoturbega.

Infoturbe poliitika tuleks dokumenteerida ja töötajatele edastada. See dokument meenutab kvaliteedipoliitikat ISO 9001. Samuti peaks see olema organisatsiooni eesmärgile vastav ja sisaldama infoturbe eesmärke. On hea, kui need on tegelikud eesmärgid, näiteks teabe konfidentsiaalsuse ja terviklikkuse säilitamine.

Samuti eeldatakse, et juhtkond jagab töötajate vahel infoturbega seotud ülesandeid ja kohustusi.

Planeerimine

Selles jaotises jõuame PDCA (planeeri - tee - kontrolli - tegutse) põhimõtte - planeeri, täida, kontrolli, tegutse - esimese etapi juurde.

Infoturbehaldussüsteemi kavandamisel peaks organisatsioon arvestama punktis 4 nimetatud probleemidega ning määrama kindlaks riskid ja potentsiaalsed võimalused, mida tuleb arvesse võtta, et tagada ISMSi oodatud tulemuste saavutamine, soovimatute mõjude ärahoidmine, ja saavutada pidev paranemine.

Infoturbe eesmärkide saavutamise kavandamisel peaks organisatsioon kindlaks määrama:

  • mida tehakse;
  • milliseid vahendeid on vaja;
  • kes hakkab juhtima;
  • kui eesmärgid on saavutatud;
  • kuidas tulemusi hinnatakse.

Lisaks säilitab organisatsioon infoturbe eesmärkide kohta andmeid dokumenteeritud teabena.

Turvalisus

Organisatsioon määrab kindlaks ISMSi väljatöötamiseks, rakendamiseks, hooldamiseks ja pidevaks täiustamiseks vajalikud ressursid, sealhulgas nii personali kui ka dokumentatsiooni. Personaliga seoses peaks organisatsioon värvama kvalifitseeritud ja pädevaid infoturbe töötajaid. Töötajate kvalifikatsiooni peavad kinnitama tunnistused, diplomid jne. Lepingu alusel on võimalik meelitada ligi kolmandate osapoolte spetsialiste või koolitada oma töötajaid. Mis puudutab dokumentatsiooni, peaks see sisaldama järgmist:

  • standardis nõutud dokumenteeritud teave;
  • dokumenteeritud teave, mille organisatsioon on määranud vajalikuks infoturbehaldussüsteemi tõhususe tagamiseks.

ISMSis ja standardis nõutud dokumenteeritud teavet tuleb kontrollida, et tagada:

  • saadaval ja sobivad kasutamiseks seal, kus ja millal seda vajatakse, ja
  • nõuetekohaselt kaitstud (näiteks konfidentsiaalsuse kaotamise, väärkasutuse või terviklikkuse kaotamise eest).

Toimiv

Selles osas käsitletakse PDCA juhtimispõhimõtte teist etappi - organisatsiooni vajadust juhtida protsesse, et tagada nende järgimine ja järgida jaotises Planeerimine määratletud tegevusi. Samuti sätestatakse, et organisatsioon peaks läbi viima infoturbe riskianalüüse planeeritud ajavahemike järel või oluliste muudatuste kavandamisel või toimumisel. Organisatsioon säilitab infoturbe riskianalüüsi tulemused dokumenteeritud teabena.

Toimivuse hindamine

Kolmas etapp on kontrollimine. Organisatsioon hindab ISMSi toimimist ja tõhusust. Näiteks peab ta korraldama siseauditi, et saada teavet selle kohta, kas

  1. Kas infoturbe juhtimissüsteem on ühilduv
    • organisatsiooni enda nõuded oma infoturbehaldussüsteemile;
    • standardi nõuded;
  2. et infoturbehaldussüsteem on tõhusalt rakendatud ja toimiv.

On ütlematagi selge, et auditite ulatus ja ajakava tuleks ette planeerida. Kõik tulemused tuleb dokumenteerida ja säilitada.

Parandamine

Selle jaotise eesmärk on määrata kindlaks toimingute suund mittevastavuse avastamisel. Organisatsioon peab ebakorrapärasusi, tagajärgi parandama ja olukorda analüüsima, et seda tulevikus ei juhtuks. Kõik mittevastavused ja parandusmeetmed tuleks dokumenteerida.

Sellega lõpetatakse standardi peamised osad. A lisas on täpsemad nõuded, mida organisatsioon peab täitma. Näiteks juurdepääsukontrolli osas kasutage mobiilseadmed ja teabekandjad.

Kasu ISO 27001 rakendamisest ja sertifitseerimisest

  • organisatsiooni staatuse ja sellest tulenevalt partnerite usalduse suurendamine;
  • organisatsiooni toimimise stabiilsuse suurendamine;
  • infoturbeohtude eest kaitsetaseme tõstmine;
  • huvitatud isikute teabe nõutava konfidentsiaalsustaseme tagamine;
  • laiendades organisatsiooni võimet osaleda suurtes lepingutes.

Majanduslik kasu on järgmine:

  • sertifitseerimisasutuse sõltumatu kinnitus selle kohta, et organisatsioonil on kõrge infoturbe tase, mida kontrollib pädev personal;
  • tõend kehtivate õigusaktide järgimise kohta (kohustuslike nõuete süsteemi järgimine);
  • teatud kõrgetasemeliste juhtimissüsteemide demonstreerimine, et tagada organisatsiooni klientidele ja partneritele nõuetekohane teenindus;
  • Juhtimissüsteemide regulaarsete auditite, tulemuslikkuse hindamise ja pideva täiustamise demonstreerimine.

Sertifitseerimine

Organisatsiooni võivad vastavalt sellele standardile sertifitseerida akrediteeritud asutused. Sertifitseerimisprotsess koosneb kolmest etapist:

  • 1. etappi - audiitori uuring ISMS -i põhidokumentide kohta standardi nõuete täitmiseks - saab läbi viia nii organisatsiooni territooriumil kui ka nende dokumentide väljastamisega välisaudiitorile;
  • 2. etapp - üksikasjalik audit, sealhulgas rakendatud meetmete testimine ja nende tõhususe hindamine. Sisaldab standardiga nõutavate dokumentide täielikku uurimist;
  • 3. etapp - kontrolliauditi läbiviimine, et kinnitada, et sertifitseeritud organisatsioon vastab kehtestatud nõuetele. Teostatakse perioodiliselt.

Tulemus

Nagu näete, võimaldab selle standardi kasutamine ettevõttes kvalitatiivselt parandada infoturbe taset, mis on kaasaegse reaalsuse tingimustes kallis. Standard sisaldab palju nõudeid, kuid kõige olulisem nõue on teha seda, mis on kirjutatud! Standardi nõudeid tegelikult rakendamata muutub see tühjaks paberitükkideks.

GOST R ISO / IEC 27001-2006 “Infotehnoloogia. Ohutuse tagamise meetodid ja vahendid. Infoturbe juhtimissüsteemid. Nõuded "

Standardi arendajad märgivad, et see koostati mudelina infoturbehaldussüsteemi (ISMS) arendamiseks, rakendamiseks, kasutamiseks, jälgimiseks, analüüsimiseks, toetamiseks ja täiustamiseks. ISMS (infoturbe juhtimissüsteem; ISMS) on määratletud osana üldisest juhtimissüsteemist, mis põhineb äririski hindamise meetodite kasutamisel infoturbe väljatöötamisel, rakendamisel, kasutamisel, jälgimisel, analüüsimisel, toetamisel ja parandamisel. Juhtimissüsteem hõlmab organisatsioonilist struktuuri, poliitikaid, planeerimistegevusi, vastutust, tavasid, protseduure, protsesse ja ressursse.

Standard eeldab protsessipõhise lähenemisviisi kasutamist organisatsiooni ISMS -i väljatöötamisel, rakendamisel, toimimisel, jälgimisel, analüüsimisel, toetamisel ja täiustamisel. See põhineb PDCA (Plan -Do -Check -Act) mudelil, mida saab rakendada kõigi ISMS -protsesside struktureerimiseks. Joonisel fig. 4.4 näitab, kuidas ISMS, kasutades vajalike toimingute ja protsesside kaudu infoturbe nõudeid ja huvitatud osapoolte oodatavaid tulemusi, pakub neile nõuetele ja oodatud tulemustele vastavaid infoturbe väljundeid.

Riis. 4.4.

Laval "Infoturbehaldussüsteemi arendamine" organisatsioon peaks tegema järgmist:

  • - määratleda ISMSi ulatus ja piirid;
  • - määrata kindlaks ISMS -poliitika, tuginedes ettevõtte, organisatsiooni, selle asukoha, varade ja tehnoloogiate omadustele;
  • - määrata kindlaks lähenemisviis riskide hindamisele organisatsioonis;
  • - tuvastada riske;
  • - analüüsida ja hinnata riske;
  • - tuvastada ja hinnata erinevaid võimalusi riskide käsitlemiseks;
  • - valida riskide käsitlemise eesmärgid ja kontrollid;
  • - saada juhtkonna heakskiit eeldatavate jääkriskide kohta;
  • - saada juhtkonnalt luba ISMSi rakendamiseks ja toimimiseks;
  • - koostada kohaldamisavaldus.

Etapp " Infoturbehaldussüsteemi rakendamine ja toimimine " soovitab organisatsioonil:

  • - töötada välja riskijuhtimiskava, mis määratleb asjakohased juhtimismeetmed, ressursid, vastutuse ja prioriteedid infoturbe riskijuhtimiseks;
  • - rakendada kavandatud juhtimiseesmärkide saavutamiseks riskide käsitlemise kava, mis hõlmab rahastamisküsimusi, samuti rollide ja vastutuse jaotust;
  • - rakendada valitud juhtimismeetmeid;
  • - määrata kindlaks valitud kontrollimeetmete tõhususe mõõtmise viis;
  • - rakendada töötajate koolitus- ja professionaalse arengu programme;
  • - juhtida ISMSi tööd;
  • - hallata ISMS -i ressursse;
  • - rakendama menetlusi ja muid kontrollimeetmeid, et tagada infoturbega seotud sündmuste kiire avastamine ja infoturbeintsidentidele reageerimine.

Kolmas etapp " Infoturbehaldussüsteemi jälgimine ja analüüs " vajab:

  • - viia läbi seire- ja analüüsiprotseduure;
  • - analüüsima regulaarselt ISMSi tõhusust;
  • - mõõta kontrollide tõhusust, et kontrollida IS -i nõuete täitmist;
  • - vaadata läbi riskihinnangud kindlaksmääratud ajavahemike järel, analüüsida jääkuriske ja kehtestatud riskitasemeid, võttes arvesse muutusi;
  • - viia läbi ISMS -i siseauditeid kindlaksmääratud ajavahemike järel;
  • - korraldama organisatsiooni juhtkonna poolt regulaarselt ISMS -i analüüsi, et kinnitada süsteemi toimimise piisavust ja määrata parendussuunad;
  • - ajakohastada IS -plaane, võttes arvesse analüüsi ja seire tulemusi;
  • - registreerida toimingud ja sündmused, mis võivad mõjutada ISMSi tõhusust või toimimist.

Lõpuks lava "Infoturbehaldussüsteemi tugi ja täiustamine" soovitab organisatsioonil regulaarselt läbi viia järgmisi tegevusi:

  • - selgitada välja võimalused ISMS -i täiustamiseks;
  • - võtma vajalikke parandus- ja ennetusmeetmeid, kasutama praktikas IS -i kogemusi nii oma organisatsioonis kui ka teistes organisatsioonides;
  • - edastada üksikasjalik teave ISMSi täiustamise meetmete kohta kõigile huvitatud pooltele, samas kui selle üksikasjalikkus peaks vastama asjaoludele ja vajadusel kokku leppima edasistes meetmetes;
  • - tagada ISMS -i täiustuste rakendamine kavandatud eesmärkide saavutamiseks.

Lisaks on standardis esitatud dokumentatsiooninõuded, mis peaksid sisaldama ISMS -i poliitika sätteid ja tegevuspiirkonna kirjeldust, metoodika kirjeldust ja riskihindamise aruannet, riskiplaani ja dokumentatsiooni. seotud protseduuride kohta. Samuti tuleks määratleda ISMS -dokumentide haldamise protsess, sealhulgas ajakohastamine, kasutamine, säilitamine ja kõrvaldamine.

Et tõendada nõuete täitmist ja ISMSi tõhusust, on vaja säilitada ja säilitada protsesside täitmise dokumente ja dokumente. Näited hõlmavad külastajate logisid, auditiaruandeid jne.

Standard täpsustab, et organisatsiooni juhtkond vastutab ISMS -i loomiseks vajalike ressursside pakkumise ja haldamise ning personali koolituse korraldamise eest.

Nagu varem märgitud, peaks organisatsioon läbi viima ISMS -i siseauditeid vastavalt kinnitatud ajakavale, et hinnata oma funktsionaalsust ja vastavust standardile. Ja juhtkond peaks läbi viima infoturbehaldussüsteemi analüüsi.

Samuti tuleks teha tööd infoturbehaldussüsteemi täiustamiseks: suurendada selle tõhusust ja vastavust süsteemi hetkeolukorrale ja sellele esitatavatele nõuetele.

(ISMS)- see osa üldisest juhtimissüsteemist, mis põhineb äririski lähenemisviisil infoturbe loomisel, rakendamisel, kasutamisel, jälgimisel, analüüsimisel, toetamisel ja parandamisel.

Kui see on ehitatud vastavalt ISO / IEC_27001 nõuetele, põhineb see PDCA mudelil:

    Plaani(Planeerimine) - ISMS -i loomise etapp, varade nimekirja koostamine, riskihindamine ja meetmete valik;
    Tehke(Meede) - asjakohaste meetmete rakendamise ja rakendamise etapp;
    Kontrollima(Kontrollimine) - ISMSi tõhususe ja tulemuslikkuse hindamise etapp. Tavaliselt teevad seda siseaudiitorid.
    Tegutse(Täiustused) - ennetavate ja parandavate meetmete rakendamine;

Infoturbe kontseptsioon

ISO 27001 standard määratleb infoturbe järgmiselt: „teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse säilitamine; lisaks võib kaasata muid omadusi, näiteks autentsus, tagasilükkamatus, autentsus. "

Konfidentsiaalsus - teabe kättesaadavuse tagamine ainult neile, kellel on vastavad volitused (volitatud kasutajad).

Ausus - teabe täpsuse ja täielikkuse ning selle töötlemise meetodite tagamine.

Kättesaadavus - vajadusel volitatud kasutajatele juurdepääsu võimaldamine teabele (nõudmisel).

4 Infoturbe juhtimissüsteem

4.1 Üldnõuded

Organisatsioon kehtestab, rakendab, kasutab, kontrollib, vaatab läbi, hooldab ja parandab dokumenteeritud ISMS -i sätteid kogu organisatsiooni äritegevuse ja sellega kaasnevate riskide kohta. Selle rahvusvahelise standardi praktilise kasu huvides põhineb kasutatav protsess joonisel fig. 1.

4.2 ISMS -i loomine ja haldamine

4.2.1 ISMS -i loomine

Organisatsioon peaks tegema järgmist.

a) Võttes arvesse organisatsiooni tegevuse eripära, määrab organisatsioon ise, selle asukoht, varad ja tehnoloogia ISMSi ulatuse ja piirid, sealhulgas üksikasjad ja põhjendused dokumendi mis tahes sätte ISMS -i eelnõust väljajätmiseks (vt 1.2. ).

b) Võttes arvesse organisatsiooni tegevuse eripära, töötab organisatsioon ise, selle asukoht, varad ja tehnoloogia välja ISMS -poliitika, mis:

1) sisaldab süsteemi eesmärkide (eesmärkide) seadmiseks ning kehtestab juhtimise üldsuuna ja tegevuspõhimõtted infoturbe osas;

2) arvestab äri- ja juriidilisi või regulatiivseid nõudeid, lepingulisi tagatiskohustusi;

3) on seotud strateegilise riskijuhtimiskeskkonnaga, milles toimub ISMS -i loomine ja haldamine;

4) kehtestab kriteeriumid, mille alusel riski hinnatakse (vt 4.2.1 c); ja

5) kinnitatud juhtkonna poolt.

MÄRKUS. Käesoleva rahvusvahelise standardi tähenduses on ISMS -poliitika laiendatud infoturbepoliitika. Neid põhimõtteid saab kirjeldada ühes dokumendis.

c) Töötada välja raamistik riskide hindamiseks organisatsioonis.

1) Määrake ISMS -i jaoks sobiv riskianalüüsi metoodika ja kehtestatud äriteabe turvalisuse, juriidilised ja regulatiivsed nõuded.

2) Töötage välja riskide aktsepteerimise kriteeriumid ja määrake vastuvõetavad riskitasemed (vt 5.1f).

Valitud riskihindamise metoodika peaks tagama, et riskihindamisel saadakse võrreldavad ja korratavad tulemused.

MÄRKUS. Riskihindamise metoodikaid on erinevaid. Riskianalüüsi meetodite näiteid käsitletakse standardis ISO / IEC TU 13335-3, Infotehnoloogia - haldussoovitusedITTurvalisus - juhtimistehnikadITTurvalisus.

d) tuvastage riskid.

1) määratlege ISMSi reguleerimisalasse kuuluvad varad ja omanikud2 (2 Mõiste „omanik” on identifitseeritud üksikisiku või üksusega, kes on heaks kiidetud vastutama tootmise, arendamise, Hooldus, varade rakendamine ja turvalisus. Mõiste "omanik" ei tähenda, et isikul oleks selle vara suhtes tegelikult omandiõigusi).

2) Tehke kindlaks nende varade ohud.

3) Tuvastage kaitsesüsteemi nõrkused.

4) Tehke kindlaks mõjud, mis hävitavad varade konfidentsiaalsuse, terviklikkuse ja kättesaadavuse.

e) Analüüsige ja hinnake riske.

1) Hinnake kahju, mida organisatsiooni äritegevus võib põhjustada kaitsesüsteemi rike, samuti konfidentsiaalsuse, terviklikkuse või varade kättesaadavuse rikkumise tagajärg.

2) Tehke kindlaks turvatõrke tõenäosus, pidades silmas valitsevaid ohte ja haavatavusi, varaga seotud mõjusid ja praegu kehtivaid kontrolle.

3) Hinnake riskitaset.

4) Tehke kindlaks riski vastuvõetavus või nõudke selle vähendamist, kasutades punktis 4.2.1c) 2) sätestatud riski aktsepteeritavuse kriteeriume.

f) tuvastage ja hinnake vahendeid riski vähendamiseks.

Võimalike toimingute hulka kuuluvad:

1) sobivate juhtimisseadiste rakendamine;

2) teadlik ja objektiivne riskide aktsepteerimine, tagades nende tingimusteta vastavuse organisatsiooni poliitika nõuetele ja riskitaluvuse kriteeriumidele (vt 4.2.1c) 2));

3) riskide vältimine; ja

4) Asjakohaste äririskide üleandmine teisele osapoolele, näiteks kindlustusseltsid, tarnijad.

g) Valige riskide maandamiseks ülesanded ja juhtnupud.

Ülesanded ja kontrollid tuleks valida ja rakendada vastavalt riskihindamise ja riski vähendamise protsessis kehtestatud nõuetele. Selle valiku tegemisel tuleks arvesse võtta nii riski aktsepteeritavuse kriteeriume (vt 4.2.1c) 2) kui ka õiguslikke, regulatiivseid ja lepingulisi nõudeid.

A liite ülesanded ja juhtelemendid tuleks valida selle protsessi osana, et need vastaksid kindlaksmääratud nõuetele.

Kuna kõiki ülesandeid ja juhtelemente pole A lisas loetletud, võidakse valida täiendavaid ülesandeid.

MÄRKUS. Lisa A sisaldab terviklikku loetelu juhtimiseesmärkidest, mis on organisatsioonide jaoks kõige olulisemad. Et ükski oluline punkt kontrollimisvõimalustest ilma ei jääks, tuleks selle rahvusvahelise standardi kasutamisel lähtuda liitest A proovide võtmise lähtepunktina.

h) Saada heakskiit eeldatavate jääkriskide juhtimiseks.

4) hõlbustada turvaürituste avastamist ja seega teatud näitajaid kasutades ennetada turvaintsidente; ja

5) määrata kindlaks turvarikkumiste ärahoidmiseks võetud meetmete tõhusus.

b) Korrapäraselt läbi vaadata ISMSi tõhusus (sealhulgas ISMSi poliitika ja selle eesmärkide arutelu, turvakontrollide läbivaatamine), võttes arvesse auditite tulemusi, vahejuhtumeid, tulemuslikkuse mõõtmiste tulemusi, kõigi huvitatud poolte ettepanekuid ja soovitusi .

c) Hinnake kontrollide tõhusust, et teha kindlaks, kas ohutusnõuded on täidetud.

d) kontrollige kavandatud perioodide riskihinnangut ja järelejäänud riske ning riskitaluvusi, võttes arvesse muudatusi:

1) organisatsioonid;

2) tehnoloogia;

3) ärieesmärgid ja -protsessid;

4) tuvastatud ohud;

5) rakendatud juhtimisvahendite tõhusus; ja

6) välised sündmused, näiteks muudatused õigus- ja juhtimiskeskkonnas, muutunud lepingulised kohustused, muutused sotsiaalses kliimas.

e) viima ISMSi siseauditeid läbi kavandatud perioodidel (vt 6)

MÄRKUS. Siseauditeid, mida mõnikord nimetatakse esmasteks audititeks, viiakse läbi organisatsiooni enda nimel oma eesmärkidel.

f) vaadake ISMS -i haldamine regulaarselt üle, et veenduda olukorra kehtivuses ja ISMS -i täiustamises.

g) Uuendage turvakavasid, mis põhinevad seire- ja audititulemustel.

h) Salvestage toimingud ja sündmused, mis võivad mõjutada ISMSi tõhusust või toimivust (vt 4.3.3).

4.2.4 ISMSi säilitamine ja täiustamine

Organisatsioon peab pidevalt tegema järgmist.

a) Rakendage ISMSis konkreetseid parandusi.

b) Võtke asjakohased parandus- ja ennetusmeetmed vastavalt punktidele 8.2 ja 8.3. Rakendage organisatsiooni enda ja teiste organisatsioonide kogemustest saadud teadmisi.

c) teatama oma meetmetest ja parandustest kõikidele huvitatud osapooltele olukorrale vastava üksikasjalikkusega; ja vastavalt koordineerida oma tegevust.

d) veenduge, et parandused on saavutanud oma eesmärgi.

4.3 Dokumentatsiooninõuded

4.3.1 Üldist

Dokumentatsioon peaks sisaldama juhtimisotsuste protokolle (protokolle), veendumaks, et tegutsemisvajadus tuleneb otsustest ja juhtimispoliitikast; ja tagada salvestatud tulemuste reprodutseeritavus.

Oluline on osata näidata valitud kontrollide tagasisidet riskihindamise ja riskide vähendamise protsesside tulemustele ning seejärel ISMS -poliitikale ja selle eesmärkidele.

ISMS -i dokumentatsioon peaks sisaldama järgmist:

a) dokumenteeritud avaldus ISMSi poliitika ja eesmärkide kohta (vt 4.2.1b);

b) ISMSi asukoht (vt 4.2.1a));

c) ISMSi kontseptsioon ja kontrollid;

d) riskihindamise metoodika kirjeldus (vt 4.2.1c));

e) riskihindamise aruanne (vt 4.2.1c) - 4.2.1g));

f) riski vähendamise kava (vt 4.2.2b));

g) dokumenteeritud kontseptsioon, mis on vajalik organisatsioonile oma infoturbeprotsesside tõhusaks kavandamiseks, juhtimiseks ja haldamiseks ning kirjeldab, kuidas kontrollide tõhusust mõõdetakse (vt 4.2.3c);

h) käesoleva rahvusvahelise standardiga nõutavad dokumendid (vt 4.3.3); ja

i) Kohaldatavuse avaldus.

MÄRKUS 1: Käesolevas rahvusvahelises standardis tähendab mõiste „dokumenteeritud kontseptsioon” seda, et kontseptsiooni rakendatakse, dokumenteeritakse, rakendatakse ja järgitakse.

MÄRKUS 2: ISMS -dokumentatsiooni suurus erinevates organisatsioonides võib erineda sõltuvalt:

Organisatsiooni suurus ja vara tüüp; ja

Turvanõuete ja hallatava süsteemi ulatus ja keerukus.

MÄRKUS 3: Dokumente ja aruandeid saab esitada mis tahes kujul.

4.3.2 Dokumentide kontroll

ISMS -i nõutud dokumente tuleb kaitsta ja reguleerida. Juhtimistoimingute kirjeldamiseks vajaliku dokumentatsiooniprotseduuri on vaja heaks kiita järgmistel juhtudel:

a) kontrollida dokumentide vastavust teatud standarditele enne nende avaldamist;

b) vajadusel dokumentide kontrollimine ja ajakohastamine, dokumentide uuesti kinnitamine;

c) tagada, et muudatused oleksid kooskõlas muudetud dokumentide praeguse seisuga;

d) kehtivate dokumentide oluliste versioonide kättesaadavuse tagamine;

e) dokumentide arusaadavuse ja loetavuse tagamine;

f) dokumentide kättesaadavaks tegemine neile, kes neid vajavad; samuti nende üleandmine, ladustamine ja lõplik hävitamine vastavalt nende klassifikatsioonile kohaldatavatele menetlustele;

g) välistest allikatest pärit dokumentide ehtsuse kindlakstegemine;

h) dokumentide levitamise kontrollimine;

i) aegunud dokumentide tahtmatu kasutamise vältimine; ja

j) asjakohase identifitseerimismeetodi rakendamine nende suhtes, kui neid hoitakse igaks juhuks.

4.3.3 Dokumentide kontroll

Tuleks koostada ja säilitada dokumente, et tõendada ISMSi vastavust ja tõhusat toimimist. Dokumente tuleb kaitsta ja kontrollida. ISMS peaks võtma arvesse kõiki õiguslikke ja regulatiivseid nõudeid ning lepingulisi kohustusi. Dokumendid peavad olema arusaadavad, kergesti tuvastatavad ja taastatavad. Dokumentide tuvastamiseks, säilitamiseks, kaitsmiseks, taastamiseks, säilitamiseks ja hävitamiseks vajalikud kontrollid tuleb dokumenteerida ja rakendada.

Registrid peaksid sisaldama teavet punktis 4.2 kirjeldatud tegevuste elluviimise ning kõigi ISMSiga seotud intsidentide ja ohutusega seotud juhtumite kohta.

Kirjete näideteks on külalisteraamat, auditilogid ja täidetud juurdepääsulubade vormid.

Saada oma hea töö teadmistebaasi on lihtne. Kasutage allolevat vormi

Õpilased, kraadiõppurid, noored teadlased, kes kasutavad teadmistebaasi õpingutes ja töös, on teile väga tänulikud.

postitatud http://www.allbest.ru/

"Infoturbe haldamise süsteem"

juhtimise rahvusvaheline standard

Vdirigeerimine

Infoturbe juhtimissüsteem on protsesside kogum, mis töötavad ettevõttes, tagamaks infovarade konfidentsiaalsuse, terviklikkuse ja kättesaadavuse. Referaadi esimeses osas käsitletakse juhtimissüsteemi juurutamise protsessi organisatsioonis ning tuuakse välja peamised aspektid, mis on kasu infoturbehaldussüsteemi rakendamisest.

Joonis 1. Kontrollitsükkel

Protsesside loetelu ja soovitused, kuidas nende toimimist kõige paremini korraldada, on esitatud rahvusvahelises standardis ISO 27001: 2005, mis põhineb juhtimistsüklil Plaan-tee-kontrolli-tegutse. Tema arvates eluring ISMS koosneb neljast tegevuste liigist: loomine - rakendamine ja käitamine - seire ja analüüs - hooldus ja täiustamine (joonis 1). Seda standardit käsitletakse üksikasjalikumalt teises osas.

KOOSsüsteemjuhtimineteavetturvalisus

Infoturbe juhtimissüsteem (ISMS) viitab sellele üldise juhtimissüsteemi osale, mis põhineb äririski lähenemisviisil infoturbe loomisel, rakendamisel, kasutamisel, jälgimisel, analüüsimisel, toetamisel ja parandamisel. ISMS -protsessid on kavandatud vastavalt tsüklile tugineva ISO / IEC 27001: 2005 nõuetele

Süsteemi töö põhineb kaasaegse juhtimisriskide teooria käsitlustel, mis tagab selle integreerimise organisatsiooni üldisesse riskijuhtimissüsteemi.

Infoturbehaldussüsteemi rakendamine eeldab menetluse väljatöötamist ja rakendamist, mille eesmärk on süstemaatiliselt tuvastada, analüüsida ja maandada infoturvariske, st riske, mille tagajärjel infovarad (mis tahes vormis ja mis tahes iseloomuga teave) ) kaotab konfidentsiaalsuse, terviklikkuse ja kättesaadavuse.

Infoturvariskide süstemaatilise maandamise tagamiseks rakendatakse organisatsioonis riskianalüüsi tulemuste põhjal järgmisi protsesse:

· Infoturbe sisemise korralduse juhtimine.

· Infoturbe tagamine kolmandate isikutega suhtlemisel.

· Infovarade registri haldamine ja nende liigitamise reeglid.

· Seadmete ohutuse juhtimine.

· Füüsilise turvalisuse tagamine.

· Personali infoturbe tagamine.

· Infosüsteemide planeerimine ja kasutuselevõtt.

· Varundamine.

· Võrgu turvamine.

Infoturbehaldussüsteemi protsessid mõjutavad organisatsiooni IT-infrastruktuuri haldamise kõiki aspekte, kuna infoturve on infotehnoloogiaga seotud protsesside jätkusuutliku toimimise tulemus.

Ettevõtetes ISMS -i ehitamisel teevad spetsialistid järgmist tööd:

· Korraldada projektijuhtimist, moodustada tellija ja töövõtja poolt projektimeeskond;

· Määratlege ISMSi tegevusvaldkond (AO);

Uurige organisatsiooni OD ISMS -is:

o organisatsiooni äriprotsesside, sealhulgas analüüsi osas negatiivsed tagajärjed infoturbeintsidendid;

o organisatsiooni juhtimisprotsesside, sealhulgas olemasolevate kvaliteedijuhtimise ja infoturbe juhtimise protsesside osas;

o IT infrastruktuuri osas;

o infoturbe infrastruktuuri osas.

Koostada ja kokku leppida analüütiline aruanne, mis sisaldab peamiste äriprotsesside loendit ja hinnangut infoturbeohtude rakendamise tagajärgedele seoses nendega, haldusprotsesside, IT -süsteemide, infoturbe allsüsteemide (ISS) loendit ja hinnang selle kohta, mil määral organisatsioon täidab kõiki ISO 27001 nõudeid, ja protsesside organisatsioonide küpsuse hindamine;

· Valige ISMS -i küpsuse alg- ja sihttase, töötage välja ja kinnitage ISMS -i küpsuse parandamise programm; töötada välja kõrgetasemeline infoturbe dokumentatsioon:

o infoturbe mõiste,

o IS ja ISMS poliitika;

· Valida ja kohandada organisatsioonis rakendatavat riskihindamise metoodikat;

· ISMS -protsesside automatiseerimiseks kasutatava tarkvara valimine, tarnimine ja juurutamine, ettevõtte spetsialistide koolituse korraldamine;

· Hinnake ja töötlege riske, mille käigus valitakse standardi 27001 A lisa meetmed nende vähendamiseks ja sõnastatakse nõuded nende rakendamiseks organisatsioonis, valitakse eelnevalt välja tehnilised infoturbevahendid;

· Töötage välja PIB eelprojektid, hinnake riskide käsitlemise kulusid;

· Korraldada riskihinnangu heakskiitmine organisatsiooni tippjuhtkonna poolt ja töötada välja kohaldatavus; töötada välja organisatsioonilised meetmed infoturbe tagamiseks;

· Arendada ja rakendada tehnilised projektid tehniliste infoturbe allsüsteemide rakendamise kohta, mis toetavad valitud meetmete rakendamist, sealhulgas seadmete tarnimine, kasutuselevõtt, operatiivdokumentatsiooni väljatöötamine ja kasutajate koolitamine;

· Pakkuda konsultatsioone ehitatud ISMS -i toimimise ajal;

· Korraldada siseaudiitoritele koolitusi ja viia läbi ISMS -i siseauditeid.

Nende tööde tulemuseks on toimiv ISMS. ISMS -i rakendamisest ettevõttes kasu saab:

· Infoturbe valdkonna seadus- ja ärinõuete täitmise tõhus juhtimine;

· IS -i juhtumite ennetamine ja kahjude vähendamine nende esinemise korral;

· Infoturbe kultuuri suurendamine organisatsioonis;

· Küpsuse suurendamine infoturbehalduse valdkonnas;

· Infoturbele tehtavate kulutuste optimeerimine.

ISO / IEC27001-- rahvusvahelinestandardpealteavetturvalisus

Selle standardi töötasid välja Rahvusvaheline Standardiorganisatsioon (ISO) ja Rahvusvaheline Elektrotehnikakomisjon (IEC). Standard sisaldab infoturbe nõudeid ISMS -i loomiseks, arendamiseks ja hooldamiseks. ISO 27001 määrab kindlaks ISMS -i nõuded, mis näitavad organisatsiooni võimet kaitsta oma teabevara. Rahvusvahelises standardis kasutatakse mõiste "teabe kaitse" ja seda tõlgendatakse nii, et see tagab teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse. Standardi aluseks on inforiski juhtimissüsteem. Seda standardit saab kasutada ka huvitatud sise- ja väliste osapoolte vastavuse hindamiseks.

Standard võtab kasutusele protsessipõhise lähenemisviisi infoturbehaldussüsteemi (ISMS) loomiseks, rakendamiseks, kasutamiseks, pidevaks jälgimiseks, analüüsimiseks, hooldamiseks ja täiustamiseks. See seisneb organisatsioonisiseste protsesside süsteemi rakendamises, nende protsesside tuvastamises ja vastastikmõjus ning nende juhtimises.

Rahvusvahelises standardis võetakse kasutusele PDCA (Plan-Do-Check-Act) mudel, mida nimetatakse ka Shewhart-Demingi tsükliks. Seda tsüklit kasutatakse kõigi ISMS -protsesside struktureerimiseks. Joonisel 2 on näidatud, kuidas ISMS võtab infoturbe nõudeid ja sidusrühmade ootusi sisendina ning annab vajalike toimingute ja protsesside abil neile nõuetele ja ootustele vastavad infoturbe tulemused.

Planeerimine on ISMS -i loomise, varade inventuuri koostamise, riskide hindamise ja meetmete valimise etapp.

Joonis 2. PDMS mudel, mida rakendatakse ISMS protsessidele

Rakendamine on asjakohaste meetmete rakendamise ja rakendamise etapp.

Läbivaatamine on ISMSi tõhususe ja tulemuslikkuse hindamise etapp. Tavaliselt teevad seda siseaudiitorid.

Tegevus - ennetavate ja parandavate meetmete võtmine.

Vjäreldused

ISO 27001 kirjeldab ISMS -i rakendamise ja toimimise üldmudelit ning ISMS -i jälgimise ja täiustamise meetmeid. ISO kavatseb ühtlustada erinevaid juhtimissüsteemi standardeid, nagu ISO / IEC 9001: 2000, mis käsitleb kvaliteedijuhtimist, ja ISO / IEC 14001: 2004, mis käsitleb keskkonnajuhtimissüsteeme. ISO eesmärk on tagada ISMS -i järjepidevus ja integreerimine teiste ettevõtte juhtimissüsteemidega. Standardite sarnasus võimaldab rakendamisel, haldamisel, ülevaatamisel, kontrollimisel ja sertifitseerimisel kasutada sarnaseid tööriistu ja funktsioone. Sellest järeldub, et kui ettevõte on rakendanud muid juhtimisstandardeid, saab ta kasutada ühtset auditi- ja juhtimissüsteemi, mis on rakendatav kvaliteedijuhtimise, keskkonnajuhtimise, ohutusjuhtimise jms jaoks. ISMS -i rakendamisega saab tippjuhtkond vahendeid turvalisuse jälgimiseks ja haldamiseks, mis vähendab äririske. Pärast ISMS -i rakendamist saab ettevõte ametlikult tagada teabe turvalisuse ja jätkata klientide, õigusaktide, reguleerivate asutuste ja aktsionäride nõuete täitmist.

Tuleb märkida, et Vene Föderatsiooni õigusaktides on dokument GOST R ISO / IEC 27001-2006, mis on rahvusvahelise standardi ISO27001 tõlgitud versioon.

KOOSkriuksumakirjandus

1. Kornejev I. R., Beljajev A. V. Ettevõtte infoturve. - SPb.: BHV-Petersburg, 2003 .-- 752 lk: ill.

2. Rahvusvaheline standard ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (juurdepääsu kuupäev: 23.05.12)

3. Riiklik standard Venemaa Föderatsioon GOST R ISO/IEC 27003-"Infotehnoloogia. Turvameetodid. Infoturbehaldussüsteemi rakendamise juhised" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (vaatamise kuupäev: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Suunised infoturbe sisemiste ohtude eest kaitsmiseks. SPb.: Peeter, 2008 .-- 320 lk.: Ill.

5. Tasuta entsüklopeedia artikkel "Vikipeedia", "Juhtimissüsteem

infoturve "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (vaatamise kuupäev: 23.05.12)

6. Sigurjon Thor Arnason ja Keith D. Willett "Kuidas saavutada 27001 sertifikaat"

Postitatud saidile Allbest.ru

Sarnased dokumendid

    Infoturbeoht ettevõttes. Infoturbesüsteemi puuduste väljaselgitamine. Infoturvasüsteemi moodustamise eesmärgid ja ülesanded. Kavandatud meetmed organisatsiooni infoturbesüsteemi täiustamiseks.

    kursusetöö, lisatud 03.03.2011

    Ettevõtte infoturbesüsteemi analüüs. Infoturveteenus. Ettevõttepõhised infoturbeohtud. Teabe kaitsmise meetodid ja vahendid. Infosüsteemi mudel turvalisuse vaatenurgast.

    kursusetöö, lisatud 03.03.2011

    Juhtimissüsteemi loomise peamised etapid ettevõttes Toidutööstus... HACCP kui mis tahes toiduohutuse juhtimissüsteemi selgroog. Toiduohutuse juhtimissüsteem. Ohtlikud tegurid ja ennetavad meetmed.

    abstrakt lisatud 14.10.2014

    Kaasaegsed juhtimissüsteemid ja nende integreerimine. Integreeritud kvaliteedijuhtimissüsteemid. JSC "275 ARZ" ja selle juhtimissüsteemi kirjeldus. Tööohutuse juhtimissüsteemi väljatöötamine. Integreeritud turvasüsteemi hindamise meetodid.

    lõputöö, lisatud 31.07.2011

    Kvaliteedijuhtimissüsteemi rakendamine. Kvaliteedijuhtimissüsteemide (ISO 9000), keskkonnajuhtimise (ISO 14000), organisatsioonide tervise- ja ohutusjuhtimissüsteemide sertifitseerimine (OHSAS 18 001: 2007) OJSC "Lenta" näitel.

    abstraktne, lisatud 10.06.2008

    Integreeritud juhtimissüsteemi korraldamise standardi väljatöötamine, mis kehtestab ühtse menetluse dokumendihaldusprotsessi rakendamiseks. JSC "ZSMK" kvaliteedijuhtimissüsteemi loomise etapid. Majutus elektroonilised versioonid dokumente.

    lõputöö, lisatud 06.01.2014

    Töötajate hierarhiline skeem. Infoturbe tööriistad. Turvalisuse küsimused. Ettevõtte infovoogude skeem. Infosüsteemi terviklikkuse jälgimise meetodid. Teenusteabele juurdepääsu kontrollimise modelleerimine.

    kursusetöö, lisatud 30.12.2011

    Juhtimisinfosüsteemi mõiste ja koht selles ühine süsteem juhtimine. Infosüsteemide tüübid ja nende sisu. Juhtimise kui infosüsteemi mõiste. Finantsjuhtimissüsteemi funktsioonid. Süsteemid tehingute ja toimingute tegemiseks.

    abstrakt lisatud 01.06.2015

    Töötervishoiu ja tööohutuse valdkonna kontseptsioonid. Rahvusvahelised standardid ISO kvaliteedijuhtimissüsteemide, keskkonnajuhtimissüsteemide, tööohutuse ja töötervishoiu juhtimissüsteemide kohta. OHSAS 18001-2007 standardi kohandamine.

    kursusetöö, lisatud 21.12.2014

    Iseloomulik infohaldus; teabe ja õigussuhete teemad; õiguslik kord teabe vastuvõtmiseks, edastamiseks, säilitamiseks ja kasutamiseks. Teabevahetuse ja infoturbe omadused ja õiguslikud aspektid.

Sarnased väljaanded