Infoturbe juhtimissüsteem. Vene Föderatsiooni seadusandlik alus. Inforiski juhtimine

Maailmas infotehnoloogiad prioriteediks saab teabe terviklikkuse, usaldusväärsuse ja konfidentsiaalsuse tagamise küsimus. Seetõttu organisatsioonis juhtimissüsteemi vajaduse tunnustamine infoturbe(ISMS) on strateegiline otsus.

Selle eesmärk oli luua, rakendada, hooldada ja pidevalt täiustada ettevõttes ISMS -i ning rakendades seda standardit välispartneritele, ilmneb, et organisatsioon suudab täita oma infoturbe nõudeid. Selles artiklis käsitletakse standardi põhinõudeid ja selle struktuuri.

(ADV31)

ISO 27001 standardi peamised eesmärgid

Enne kui jätkame standardi struktuuri kirjeldamist, määratleme selle peamised ülesanded ja kaalume standardi Venemaal ilmumise ajalugu.

Standardi eesmärgid:

• asutamine ühtsed nõuded kõigile organisatsioonidele ISMS -i loomine, rakendamine ja täiustamine;
• kõrgema juhtkonna ja töötajate vahelise suhtluse tagamine;
• teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse säilitamine.

Samal ajal on standardiga kehtestatud nõuded üldised ja mõeldud igale organisatsioonile, olenemata nende tüübist, suurusest või iseloomust.

Standardi ajalugu:

• 1995. aastal võttis Briti Standardiinstituut (BSI) infoturbe haldamise koodeksi Ühendkuningriigi riiklikuks standardiks ja registreeris selle standardi BS 7799 - 1. osa all.
• 1998. aastal avaldab BSI BS7799-2 kahes osas, millest üks sisaldab tegevusjuhendit ja teine ​​infoturbehaldussüsteemidele esitatavaid nõudeid.
• Edasiste muudatuste käigus avaldati esimene osa nimega BS 7799: 1999, 1. osa. 1999. aastal esitati see standardiversioon Rahvusvahelisele Sertifitseerimisorganisatsioonile.
• See dokument kinnitati 2000. aastal rahvusvahelise standardina ISO / IEC 17799: 2000 (BS 7799-1: 2000). Uusim versioon Selle 2005. aastal vastu võetud standardi ISO / IEC 17799: 2005.
• 2002. aasta septembris jõustus BS 7799 teine ​​osa "Infoturbe haldussüsteemi spetsifikatsioon". BS 7799 teine ​​osa vaadati läbi 2002. aastal ja 2005. aasta lõpus võttis ISO selle vastu rahvusvahelise standardina ISO / IEC 27001: 2005 "Infotehnoloogia - turvavõimalused - infoturbe juhtimissüsteemid - nõuded".
• 2005. aastal lisati ISO / IEC 17799 standard 27. seeria standardirida ja see võeti vastu uus number- ISO / IEC 27002: 2005.
• 25. septembril 2013 uuendati standardit ISO / IEC 27001: 2013 „Infoturbe juhtimissüsteemid. Nõuded ". Praegu on organisatsioonid sertifitseeritud vastavalt sellele standardi versioonile.

Standardi struktuur

Selle standardi üheks eeliseks on selle struktuuri sarnasus ISO 9001 -ga, kuna see sisaldab identseid alapunkti pealkirju, identset teksti, üldtingimusi ja põhimääratlusi. See asjaolu säästab aega ja raha, kuna osa dokumentatsioonist on juba ISO 9001 sertifikaadi käigus välja töötatud.

Kui me räägime standardi struktuurist, siis on see ISMS -i nõuete loend, mis on sertifitseerimiseks kohustuslikud ja koosneb järgmistest osadest:

"Lisa A" nõuded on kohustuslikud, kuid standard võimaldab teil välistada valdkonnad, mida ettevõttes rakendada ei saa.

Standardi tutvustamisel ettevõttes edasiseks sertifitseerimiseks tasub meeles pidada, et punktides 4–10 kehtestatud nõuetest ei ole lubatud erandeid teha. Neid jaotisi arutatakse edasi.

Alustame jaotisest 4 - Organisatsiooni kontekst

Organisatsiooni kontekst

Selles osas nõuab standard, et organisatsioon tuvastaks välised ja sisemised probleemid, mis on seotud tema eesmärkidega ja mis mõjutavad tema ISMS -i võimet saavutada oodatud tulemusi. Seda tehes peaksite arvestama infoturbega seotud juriidiliste, regulatiivsete ja lepinguliste kohustustega. Samuti peaks organisatsioon määratlema ja dokumenteerima ISMSi ulatuse ja kohaldatavuse, et määrata kindlaks selle ulatus.

Juhtimine

Tippjuhtkond peaks näitama juhtpositsiooni ja pühendumust infoturbe juhtimissüsteemile, tagades näiteks, et infoturbepoliitika ja infoturbe eesmärgid on paika pandud ja kooskõlas organisatsiooni strateegiaga. Samuti peaks tippjuhtkond tagama, et kõik ISMSi jaoks vajalikud ressursid oleksid tagatud. Teisisõnu peaks töötajatele olema selge, et juhtkond on seotud infoturbega.

Infoturbe poliitika tuleks dokumenteerida ja töötajatele edastada. See dokument sarnaneb kvaliteedipoliitikaga ISO 9001. Samuti peaks see vastama organisatsiooni eesmärgile ja sisaldama infoturbe eesmärke. On hea, kui need on tegelikud eesmärgid, näiteks teabe konfidentsiaalsuse ja terviklikkuse säilitamine.

Samuti eeldatakse, et juhtkond jagab töötajate vahel infoturbega seotud ülesandeid ja kohustusi.

Planeerimine

Selles jaotises jõuame PDCA (planeeri - tee - kontrolli - tegutse) põhimõtte - planeeri, täida, kontrolli, tegutse - esimese etapi juurde.

Infoturbehaldussüsteemi kavandamisel peaks organisatsioon arvestama punktis 4 nimetatud probleemidega ning määrama kindlaks riskid ja potentsiaalsed võimalused, mida tuleb arvesse võtta, et tagada ISMSi oodatud tulemuste saavutamine, soovimatute mõjude ärahoidmine, ja saavutada pidev paranemine.

Infoturbe eesmärkide saavutamise kavandamisel peaks organisatsioon kindlaks määrama:

• mida tehakse;
• milliseid ressursse on vaja;
• kes hakkab juhtima;
• kui eesmärgid on saavutatud;
• kuidas tulemusi hinnatakse.

Lisaks säilitab organisatsioon infoturbe eesmärkide kohta andmeid dokumenteeritud teabena.

Turvalisus

Organisatsioon määrab kindlaks ISMSi väljatöötamiseks, rakendamiseks, hooldamiseks ja pidevaks täiustamiseks vajalikud ressursid, sealhulgas nii personali kui ka dokumentatsiooni. Personaliga seoses peaks organisatsioon värbama kvalifitseeritud ja pädevaid infoturbe töötajaid. Töötajate kvalifikatsiooni peavad kinnitama tunnistused, diplomid jne. Lepingu alusel on võimalik meelitada ligi kolmandate osapoolte spetsialiste või koolitada oma töötajaid. Mis puudutab dokumentatsiooni, peaks see sisaldama järgmist:

• standardis nõutud dokumenteeritud teave;
• dokumenteeritud teave, mille organisatsioon on määranud vajalikuks infoturbehaldussüsteemi tõhususe tagamiseks.

ISMSis ja standardis nõutud dokumenteeritud teavet tuleb kontrollida, et tagada:

• saadaval ja sobivad kasutamiseks seal, kus ja millal seda vajatakse, ja
• nõuetekohaselt kaitstud (näiteks konfidentsiaalsuse kaotamise, väärkasutuse või terviklikkuse kaotamise eest).

Toimiv

Selles osas käsitletakse PDCA juhtimispõhimõtte teist etappi - organisatsiooni vajadust juhtida protsesse, et tagada nende järgimine ja järgida jaotises Planeerimine määratletud tegevusi. Samuti sätestatakse, et organisatsioon peaks läbi viima infoturbe riskianalüüse planeeritud ajavahemike järel või oluliste muudatuste kavandamisel või toimumisel. Organisatsioon säilitab infoturbe riskianalüüsi tulemused dokumenteeritud teabena.

Toimivuse hindamine

Kolmas etapp on kontrollimine. Organisatsioon hindab ISMSi toimimist ja tõhusust. Näiteks peab ta korraldama siseauditi, et saada teavet selle kohta, kas

1. Kas infoturbe juhtimissüsteem on ühilduv
   • organisatsiooni enda nõuded oma infoturbehaldussüsteemile;
   • standardi nõuded;
2. et infoturbehaldussüsteem on tõhusalt rakendatud ja toimiv.

On ütlematagi selge, et auditite ulatus ja ajakava tuleks ette planeerida. Kõik tulemused tuleb dokumenteerida ja säilitada.

Parandamine

Selle jaotise eesmärk on määrata kindlaks toimingute suund mittevastavuse avastamisel. Organisatsioon peab ebakorrapärasusi, tagajärgi parandama ja olukorda analüüsima, et seda tulevikus ei juhtuks. Kõik mittevastavused ja parandusmeetmed tuleks dokumenteerida.

Sellega lõpetatakse standardi peamised osad. A lisas on täpsemad nõuded, mida organisatsioon peab täitma. Näiteks juurdepääsukontrolli osas kasutage mobiilseadmed ja teabekandjad.

Kasu ISO 27001 rakendamisest ja sertifitseerimisest

• organisatsiooni staatuse ja sellest tulenevalt partnerite usalduse suurendamine;
• organisatsiooni toimimise stabiilsuse suurendamine;
• infoturbeohtude eest kaitsetaseme tõstmine;
• huvitatud isikute teabe nõutava konfidentsiaalsustaseme tagamine;
• laiendades organisatsiooni võimet osaleda suurtes lepingutes.

Majanduslik kasu on järgmine:

• sertifitseerimisasutuse sõltumatu kinnitus selle kohta, et organisatsioonil on kõrge infoturbe tase, mida kontrollib pädev personal;
• tõend kehtivate õigusaktide järgimise kohta (kohustuslike nõuete süsteemi järgimine);
• teatud kõrgetasemeliste juhtimissüsteemide demonstreerimine, et tagada organisatsiooni klientidele ja partneritele nõuetekohane teenindus;
• Juhtimissüsteemide regulaarsete auditite, tulemuslikkuse hindamise ja pideva täiustamise demonstreerimine.

Sertifitseerimine

Organisatsiooni võivad vastavalt sellele standardile sertifitseerida akrediteeritud asutused. Sertifitseerimisprotsess koosneb kolmest etapist:

• 1. etappi - audiitori uuringut ISMS -i põhidokumentide kohta standardi nõuete täitmiseks - saab läbi viia nii organisatsiooni territooriumil kui ka nende dokumentide väljastamisega välisaudiitorile;
• 2. etapp - üksikasjalik audit, sealhulgas rakendatud meetmete testimine ja nende tõhususe hindamine. Sisaldab standardiga nõutavate dokumentide täielikku uurimist;
• 3. etapp - kontrolliauditi läbiviimine, et kinnitada, et sertifitseeritud organisatsioon vastab kehtestatud nõuetele. Teostatakse perioodiliselt.

Tulemus

Nagu näete, võimaldab selle standardi kasutamine ettevõttes kvalitatiivselt parandada infoturbe taset, mis on kaasaegse reaalsuse tingimustes kallis. Standard sisaldab palju nõudeid, kuid kõige olulisem nõue on teha seda, mis on kirjutatud! Standardi nõudeid tegelikult rakendamata muutub see tühjaks paberitükkideks.

GOST R ISO / IEC 27001-2006 “Infotehnoloogia. Ohutuse tagamise meetodid ja vahendid. Infoturbe juhtimissüsteemid. Nõuded "

Standardi arendajad märgivad, et see koostati mudelina infoturbehaldussüsteemi (ISMS) arendamiseks, rakendamiseks, kasutamiseks, jälgimiseks, analüüsimiseks, toetamiseks ja täiustamiseks. ISMS (infoturbe juhtimissüsteem; ISMS) on määratletud osana üldisest juhtimissüsteemist, mis põhineb äririski hindamise meetodite kasutamisel infoturbe väljatöötamisel, rakendamisel, kasutamisel, jälgimisel, analüüsimisel, toetamisel ja parandamisel. Juhtimissüsteem sisaldab organisatsiooniline struktuur, poliitika, planeerimistegevus, vastutus, tavad, menetlused, protsessid ja ressursid.

Standard eeldab protsessipõhise lähenemisviisi kasutamist organisatsiooni ISMS -i väljatöötamisel, rakendamisel, toimimisel, jälgimisel, analüüsimisel, toetamisel ja täiustamisel. See põhineb PDCA (Plan -Do -Check -Act) mudelil, mida saab rakendada kõigi ISMS -protsesside struktureerimiseks. Joonisel fig. 4.4 näitab, kuidas ISMS, kasutades vajalike toimingute ja protsesside kaudu infoturbe nõudeid ja huvitatud osapoolte oodatavaid tulemusi, pakub neile nõuetele ja oodatud tulemustele vastavaid infoturbe väljundeid.

Riis. 4.4.

Laval "Infoturbehaldussüsteemi arendamine" organisatsioon peaks tegema järgmist:

• - määrata kindlaks ISMSi ulatus ja piirid;
• - määrata kindlaks ISMS -poliitika, mis põhineb ettevõtte, organisatsiooni, selle asukoha, varade ja tehnoloogiate omadustel;
• - määrata kindlaks lähenemisviis riskide hindamisele organisatsioonis;
• - tuvastada riske;
• - analüüsida ja hinnata riske;
• - tuvastada ja hinnata erinevaid võimalusi riskide käsitlemiseks;
• - valida riskide käsitlemise eesmärgid ja kontrollid;
• - saada juhtkonna heakskiit eeldatavate jääkriskide kohta;
• - saada juhtkonnalt luba ISMSi rakendamiseks ja toimimiseks;
• - koostada kohaldamisavaldus.

Etapp " Infoturbehaldussüsteemi rakendamine ja toimimine " soovitab organisatsioonil:

• - töötada välja riskide käsitlemise kava, mis määratleb asjakohased juhtimismeetmed, ressursid, vastutuse ja prioriteedid infoturbe riskijuhtimiseks;
• - rakendada kavandatud juhtimiseesmärkide saavutamiseks riskide käsitlemise kava, mis hõlmab rahastamisküsimusi, samuti rollide ja vastutuse jaotust;
• - rakendada valitud juhtimismeetmeid;
• - määrata kindlaks valitud kontrollimeetmete tõhususe mõõtmise viis;
• - rakendada töötajate koolitus- ja professionaalse arengu programme;
• - juhtida ISMSi tööd;
• - hallata ISMS -i ressursse;
• - rakendada menetlusi ja muid kontrollimeetmeid, et tagada infoturbega seotud sündmuste kiire avastamine ja infoturbeintsidentidele reageerimine.

Kolmas etapp " Infoturbehaldussüsteemi jälgimine ja analüüs " vajab:

• - teostada seire- ja analüüsiprotseduure;
• - analüüsima regulaarselt ISMSi tõhusust;
• - mõõta kontrollide tõhusust, et kontrollida IS -i nõuete täitmist;
• - vaadata läbi riskihinnangud kindlaksmääratud ajavahemike järel, analüüsida jääkuriske ja kehtestatud riskitasemeid, võttes arvesse muutusi;
• - korraldada ISMS -i siseauditeid kindlaksmääratud ajavahemike järel;
• - korraldama organisatsiooni juhtkonna poolt regulaarselt ISMS -i analüüsi, et kinnitada süsteemi toimimise piisavust ja määrata parendussuunad;
• - ajakohastada IS -plaane, võttes arvesse analüüsi ja seire tulemusi;
• - registreerida toimingud ja sündmused, mis võivad mõjutada ISMSi tõhusust või toimimist.

Lõpuks lava "Infoturbehaldussüsteemi tugi ja täiustamine" soovitab organisatsioonil regulaarselt läbi viia järgmisi tegevusi:

• - selgitada välja võimalused ISMS -i täiustamiseks;
• - võtma vajalikud parandus- ja ennetusmeetmed, kasutama praktikas nii enda kui ka teiste organisatsioonide kogemusi infoturbe tagamisel;
• - edastada üksikasjalik teave ISMSi täiustamise meetmete kohta kõigile huvitatud pooltele, samas kui selle üksikasjalikkus peaks vastama asjaoludele ja vajadusel kokku leppima edasistes meetmetes;
• - tagada ISMS -i täiustuste rakendamine kavandatud eesmärkide saavutamiseks.

Lisaks on standardis esitatud dokumentatsiooninõuded, mis peaksid sisaldama ISMS -i poliitika sätteid ja tegevuspiirkonna kirjeldust, metoodika kirjeldust ja riskihindamise aruannet, riskiplaani ja dokumente. seotud protseduuride kohta. Samuti tuleks määratleda ISMS -dokumentide haldamise protsess, sealhulgas ajakohastamine, kasutamine, säilitamine ja kõrvaldamine.

Et tõendada nõuete täitmist ja ISMSi tõhusust, on vaja säilitada ja säilitada protsesside täitmise dokumente ja dokumente. Näited hõlmavad külastajate logisid, auditiaruandeid jne.

Standard täpsustab, et organisatsiooni juhtkond vastutab ISMSi loomiseks vajalike ressursside hankimise ja haldamise ning personali koolituse korraldamise eest.

Nagu varem märgitud, peaks organisatsioon läbi viima ISMS -i siseauditeid vastavalt kinnitatud ajakavale, et hinnata oma funktsionaalsust ja vastavust standardile. Ja juhtkond peaks läbi viima infoturbehaldussüsteemi analüüsi.

Samuti tuleks teha tööd infoturbehaldussüsteemi täiustamiseks: suurendada selle tõhusust ja vastavust süsteemi hetkeolukorrale ja sellele esitatavatele nõuetele.

Sissejuhatus

Kiiresti kasvav ettevõte ja ka oma segmendi hiiglane on huvitatud kasumi teenimisest ja sissetungijate mõju eest kaitsmisest. Kui varem oli peamine oht materiaalsete väärtuste vargus, siis tänapäeval on varguse peamine roll seoses väärtusliku teabega. Olulise osa teabe tõlkimine elektroonilisse vormi, kohalike ja ülemaailmsete võrkude kasutamine tekitavad kvalitatiivselt uusi ohte konfidentsiaalsele teabele.

Pangad, juhtorganisatsioonid ja kindlustusseltsid on teabe lekkimisest eriti teravalt teadlikud. Teabekaitse ettevõttes on meetmete kogum, mis tagab klientide ja töötajate andmete turvalisuse elektroonilised dokumendid ja igasugust teavet, saladusi. Iga ettevõte on varustatud arvutiseadmetega ja juurdepääsuga World Wide Web. Ründajad ühendavad osavalt selle süsteemi peaaegu iga komponendiga ja kasutavad väärtusliku teabe varastamiseks suurt arsenali (viirused, pahavara, paroolide äraarvamine jne). Infoturvasüsteem tuleb rakendada igas organisatsioonis. Juhid peavad koguma, analüüsima ja kategoriseerima igat tüüpi teavet, mida tuleb kaitsta, ja kasutama sobivat turvasüsteemi. Sellest aga ei piisa, sest lisaks tehnoloogiale on inimlik tegur, mis võib ka konkurentidele teavet edukalt lekkida. Oluline on korralikult korraldada oma ettevõtte kaitset kõigil tasanditel. Nendel eesmärkidel kasutatakse infoturbe juhtimissüsteemi, mille abil haldur loob pideva äritegevuse jälgimise protsessi ja tagab oma andmete kõrge turvalisuse.

1. Teema asjakohasus

Igaühele kaasaegne ettevõte, ettevõte või organisatsioon, on üks olulisemaid ülesandeid just infoturbe tagamine. Kui ettevõte kaitseb oma infosüsteemi stabiilselt, loob ta oma tegevuseks usaldusväärse ja turvalise keskkonna. Kahju, leke, teabe puudumine ja vargus on alati iga ettevõtte jaoks kahjum. Seetõttu on ettevõtetes infoturbe haldamise süsteemi loomine meie aja pakiline küsimus.

2. Uuringu eesmärgid

Analüüsige ettevõttes infoturbehaldussüsteemi loomise viise, võttes arvesse Donetski piirkonna iseärasusi.

• analüüsida tehnika taset infoturbe juhtimissüsteemid ettevõtetes;
• tuvastada ettevõtetes infoturbe haldamise süsteemi loomise ja rakendamise põhjused;
• töötada välja ja rakendada infoturbe juhtimissüsteem ettevõtte PJSC Donetsk miinitõrjeseadmete tehase näitel;
• hinnata ettevõttes infoturbehaldussüsteemi juurutamise tõhusust, tulemuslikkust ja majanduslikku otstarbekust.

3. Infoturbe juhtimissüsteem

Infoturbe all mõistetakse teabe ja seda toetava infrastruktuuri kaitseseisundit juhusliku või tahtliku loomuliku või tehisliku mõju eest (infoähvardused, ohud infoturbele), mis võib tekitada infosuhete subjektidele lubamatut kahju.

Teabe kättesaadavus - süsteemi omadus tagada volitatud (volitatud) subjektide õigeaegne ja takistamatu juurdepääs neile huvipakkuvale teabele või teostada nende vahel õigeaegset teabevahetust.

Teabe terviklikkus on teabe omadus, mis iseloomustab selle vastupanu juhuslikule või tahtlikule hävitamisele või volitamata muutmisele. Aususe võib jagada staatiliseks (mõista kui infoobjektide muutumatust) ja dünaamiliseks (seotud keerukate toimingute (tehingute) õige teostamisega).

Teabe konfidentsiaalsus on teabe omadus, mis on teada ja kättesaadav ainult süsteemi volitatud subjektidele (kasutajad, programmid, protsessid). Konfidentsiaalsus on meie riigis infoturbe kõige arenenum aspekt.

Infoturbe juhtimissüsteem (edaspidi ISMS) on äririski käsitlustel põhineva üldjuhtimissüsteemi osa, mis on ette nähtud infoturbe loomiseks, rakendamiseks, haldamiseks, jälgimiseks, hooldamiseks ja parandamiseks.

Peamised teabe ja andmete kaitset ettevõttes mõjutavad tegurid on järgmised:

• Ettevõtte koostöö tõhustamine partneritega;
• Äriprotsesside automatiseerimine;
• Kalduvus suurendada ettevõtte teabe mahtu, mis edastatakse saadaolevate sidekanalite kaudu;
• Arvutikuritegude tõusutrend.

Ettevõtte infoturbesüsteemide ülesanded on mitmetahulised. Näiteks on see usaldusväärse andmesalvestuse pakkumine erinevatel andmekandjatel; sidekanalite kaudu edastatava teabe kaitse; juurdepääsu piiramine teatud andmetele; varukoopiate loomine ja palju muud.

Ettevõtte täieõiguslik infoturve on tõeline ainult õige lähenemise korral andmekaitsele. Infoturvasüsteemis on vaja arvestada kõigi praeguste ohtude ja haavatavustega.

Üks tõhusamaid vahendeid teabe haldamiseks ja kaitsmiseks on MS ISO / IEC 27001: 2005 mudeli alusel ehitatud infoturbe haldussüsteem. Standard põhineb protsessi lähenemine ettevõtte ISMS -i väljatöötamisele, juurutamisele, kasutamisele, jälgimisele, analüüsile, hooldusele ja täiustamisele. See koosneb haldusprotsesside süsteemi loomisest ja rakendamisest, mis on omavahel ühendatud ISMS -i planeerimise, rakendamise, kontrollimise ja täiustamise pideva tsükliga.

See rahvusvaheline standard on koostatud eesmärgiga luua mudel ISMS -i rakendamiseks, rakendamiseks, kasutamiseks, jälgimiseks, analüüsimiseks, hooldamiseks ja täiustamiseks.

ISMS -i rakendamise peamised tegurid:

• seadusandlik - kehtivate siseriiklike õigusaktide nõuded IS, rahvusvahelised nõuded;
• konkurentsivõimeline - vastavus tasemele, elitaarsus, nende immateriaalse vara kaitse, paremus;
• kuritegevuse vastane - kaitse ründajate (valgekraede) eest, pahanduste ja salajase jälgimise vältimine, tõendite kogumine menetlusteks.

Infoturbe dokumentatsiooni struktuur on näidatud joonisel 1.

Joonis 1 - Infoturbe valdkonna dokumentatsiooni struktuur

4. ISMS -i loomine

ISO pooldajad kasutavad ISMS -i loomiseks PDCA mudelit. ISO rakendab seda mudelit paljudele oma juhtimisstandarditele ja ISO 27001 pole erand. Lisaks võimaldab juhtimisprotsessi korraldamisel PDCA mudeli järgimine kasutada samu võtteid ka tulevikus - kvaliteedijuhtimisel, keskkonnajuhtimisel, ohutuse juhtimisel, aga ka muudel juhtimisvaldkondadel, mis vähendab kulusid. Seetõttu on PDCA suurepärane valik, mis vastab täielikult ISMS -i loomise ja hooldamise ülesannetele. Teisisõnu määratletakse PDCA etappides, kuidas kehtestada käsitletavatele riskidele vastavat poliitikat, eesmärke, protsesse ja menetlusi (planeerimisetapp), rakendada ja kasutada (teha etapp), hinnata ja võimaluse korral mõõta protsessi tulemusi. punkti poliitiline perspektiiv (kontrollietapp), võtke parandus- ja ennetusmeetmeid (täiustamisetapp - seadus). Täiendavad mõisted, mis ei kuulu ISO standardite hulka ja võivad olla kasulikud ISMS-i loomisel, on järgmised: olek, nagu see peaks olema (tulevane); olek nagu on (nagu on); üleminekuplaan.

ISO 27001 aluseks on inforiski juhtimissüsteem.

ISMS -i loomise etapid

ISMS -i loomise töö raames saab eristada järgmisi põhietappe:

Joonis 2 - PDCA mudel infoturbe haldamiseks (animatsioon: 6 kaadrit, 6 kordust, 246 kilobaiti)

5. Inforiski juhtimine

Riskijuhtimist käsitletakse infoturbe haldustasandil, kuna ainult organisatsiooni juhtkond on võimeline eraldama vajalikke ressursse, algatama ja kontrollima asjakohaste programmide elluviimist.

Infosüsteemide kasutamine on seotud teatud riskide kogumiga. Kui võimalik kahju on lubamatult suur, on vaja võtta majanduslikult põhjendatud kaitsemeetmeid. Turvategevuste tõhususe jälgimiseks ja keskkonnamuutustega arvestamiseks on vajalik perioodiline (uuesti) riskihindamine.

Riskijuhtimistegevuste olemus on hinnata nende suurust, töötada välja tõhusad ja kulutõhusad meetmed riskide maandamiseks ning seejärel tagada, et riskid oleksid vastuvõetavates piirides (ja nii ka jääksid).

Riskijuhtimisprotsessi võib jagada järgmisteks etappideks:

1. Analüüsitud objektide valik ja nende kaalumise detailsus.
2. Riski hindamise metoodika valik.
3. Varade identifitseerimine.
4. Ohtude ja nende tagajärgede analüüs, kaitse haavatavuste väljaselgitamine.
5. Riskianalüüs.
6. Kaitsemeetmete valik.
7. Valitud meetmete rakendamine ja kontrollimine.
8. Jääkriski hindamine.

Riskijuhtimine, nagu iga muu infoturbealane tegevus, tuleb integreerida eluring IP. Siis on efekt suurim ja kulud minimaalsed.

On väga oluline valida mõistlik riskihindamise metoodika. Hindamise eesmärk on saada vastus kahele küsimusele: kas olemasolevad riskid on vastuvõetavad ja kui ei, siis milliseid kaitsevahendeid tuleks kasutada. See tähendab, et hinnang peaks olema kvantitatiivne, võimaldades võrrelda eelnevalt valitud lubatavuse piire ja uute ohutusregulaatorite rakendamise kulusid. Riskijuhtimine on tüüpiline optimeerimisprobleem ja selle lahendamiseks võib abi olla üsna paljudest tarkvaratoodetest (mõnikord lisatakse sellised tooted lihtsalt infoturberaamatute juurde). Põhiline raskus on aga lähteandmete ebatäpsus. Loomulikult võite proovida saada rahalisi väljendeid kõigi analüüsitud koguste jaoks, arvutada kõik sendi täpsusega, kuid sellel pole palju mõtet. Praktilisem on kasutada tavalisi seadmeid. Lihtsamal ja täiesti vastuvõetaval juhul võite kasutada kolmepunktilist skaalat.

Riskijuhtimise peamised etapid.

Esimene samm ohtude analüüsimisel on nende tuvastamine. Vaadeldavate ohtude tüübid tuleks valida terve mõistuse kaalutlustel (välistades näiteks maavärinad, kuid unustamata võimalust, et organisatsioon võidakse terroristide poolt haarata), kuid valitud liikide piires viima läbi kõige üksikasjalikuma analüüsi.

Soovitav on tuvastada mitte ainult ohud ise, vaid ka nende esinemise allikad - see aitab valida täiendavaid kaitsevahendeid.

Pärast ohu tuvastamist on vaja hinnata selle rakendamise tõenäosust. Lubatud on kasutada kolmepunktilist skaalat (madal (1), keskmine (2) ja kõrge (3) tõenäosus).

Kui mõni risk osutus lubamatult suureks, on vaja see neutraliseerida, rakendades täiendavaid kaitsemeetmeid. Tavaliselt on ohu reaalseks teinud haavatavuse kõrvaldamiseks või neutraliseerimiseks mitu turvamehhanismi, mis erinevad tõhususe ja kulude poolest.

Nagu iga muu tegevuse puhul, tuleks uute ohutusregulaatorite rakendamine ja katsetamine ette planeerida. Plaan peab arvestama kohalolekuga rahalised vahendid ja personali koolituse ajastus. Kui me räägime tarkvara ja riistvara kaitsemehhanismist, peate koostama testplaani (autonoomne ja keeruline).

Kavandatud meetmete võtmisel on vaja kontrollida nende tõhusust, st veenduda, et jääkuriskid on muutunud vastuvõetavaks. Kui see tegelikult nii on, saate järgmise ümberhindamise kuupäeva turvaliselt ajastada. Vastasel juhul peate tehtud vigu analüüsima ja riskijuhtimisseansi kohe uuesti läbi viima.

järeldused

Iga ettevõtte juht hoolib oma ärist ja peab seetõttu mõistma, et otsus rakendada infoturbehaldussüsteem (ISMS) on oluline samm, mis minimeerib ettevõtte / organisatsiooni varade kaotamise riski ja vähendab rahalist kahju ning mõnel juhul vältige pankrotti.

Infoturve on oluline nii era- kui ka avaliku sektori ettevõtetele. Seda tuleks vaadelda kui vahendit sellega seotud riskide hindamiseks, analüüsimiseks ja minimeerimiseks.

Tehnoloogiaga saavutatav ohutus on piiratud ja seda tuleks säilitada asjakohaste kontrollide ja protseduuridega.

Juhtelementide määratlemine nõuab hoolikat planeerimist ja tähelepanu.

Teabe tõhusaks kaitsmiseks tuleks välja töötada kõige sobivamad turvameetmed, mida on võimalik saavutada, tuvastades süsteemis oleva teabe peamised riskid ja rakendades asjakohaseid meetmeid.

Biyachuev T.A. Turvalisus ettevõtete võrgustikud/ toim. L.G. Osovetski. - SPb .: SPb GU ITMO kirjastus, 2006 .-- 161 lk.

Šahalov Igor Jurievich

Kvaliteedijuhtimissüsteemide ja infoturbe integreerimise teemal

Kokkuvõte: Vaadeldakse rahvusvahelisi standardeid ISO 27001 ja ISO 9001. Analüüsitakse kvaliteedijuhtimissüsteemi ja infoturbe juhtimissüsteemi sarnasusi ja erinevusi. Näidatakse kvaliteedihaldussüsteemi ja infoturbehaldussüsteemi integreerimise võimalust. Esitatakse integreeritud infoturbehaldussüsteemi ehitamise ja rakendamise peamised etapid. Näidatakse integreeritud lähenemisviisi eeliseid.

Märksõnad: infoturbe juhtimissüsteemid, integreeritud juhtimissüsteemid, ISMS, QMS, ISO 27001.

Natalia Olegovna

Sissejuhatus

V kaasaegne maailmühise ja mugava tulekuga tehnilised seadmed infoturbe probleem on üsna teravalt esile kerkinud. Koos kvaliteetsete toodete väljalaskmise või teenuste pakkumisega ettevõtetele ja organisatsioonidele on oluline hoida vajalik teave konkurentide eest saladuses, et püsida turul soodsal positsioonil. Konkurentsivõitluses on laialt levinud mitmesugused toimingud, mille eesmärk on konfidentsiaalse teabe hankimine (hankimine, omandamine). erinevaid viise, kuni otsese tööstusliku spionaažini, kasutades kaasaegseid tehnilisi luurevahendeid.

Seega on organisatsioonidest, mis järgivad maailma parimaid tavasid, mis sisaldavad nõudeid, juhiseid äriprotsesside juhtimissüsteemide rakendamiseks, muutumas turuliidriteks. Selliste süsteemide kavandamise, rakendamise, jälgimise ja täiustamise parimad standardid on Rahvusvahelise Standardiorganisatsiooni (ISO) dokumendid. Erilist tähelepanu tuleks pöörata ISO 900x ja ISO 2700x seeria standarditele, mis koguvad parimaid tavasid kvaliteedijuhtimissüsteemi (QMS) ja infoturbehaldussüsteemi (ISMS) rakendamiseks.

Kvaliteedijuhtimissüsteem, mida rakendatakse vastavalt ISO 9001 standardi nõuetele, on juba ammu tunnistatud eduka ettevõtte, mis toodab kvaliteetseid tooteid või pakub kvaliteetseid teenuseid, lahutamatuks omaduseks. Tänapäeval on vastavustunnistuse olemasolu nii tõhus turunduslahendus kui ka tootmisprotsesside kontrollimise mehhanism. QMS audit on hästi arenenud ärivaldkond.

Ettevõtte eduka tegevuse sõltuvus sellest ettevõtte süsteem teabe kaitse. Selle põhjuseks on ettevõtte infosüsteemis töödeldavate elutähtsate andmete mahu suurenemine. Infosüsteemid muutuvad keerukamaks ja ka neis leitud turvaaukude arv kasvab. ISMS audit võimaldab hinnata ettevõtte infosüsteemi toimimise praegust turvalisust,

hinnata ja ennustada riske, juhtida nende mõju ettevõtte äriprotsessidele.

Kuna ISO 9001 standard on juba ammu võtnud juhtiva positsiooni sertifikaatide arvu osas maailmas ja ISO 27001 standard näitab tendentsi tõsta infoturbehaldussüsteemi sertifitseerimist, on soovitatav kaaluda võimalikku koostoimet ja QMSi ja ISMSi integreerimine.

Standardite integreerimine

Esmapilgul on kvaliteedijuhtimine ja infoturve täiesti erinevad valdkonnad. Kuid praktikas on need tihedalt seotud ja moodustavad ühe terviku (joonis 1). Klientide rahulolu, mis on objektiivne kvaliteedieesmärk, sõltub igal aastal üha enam infotehnoloogia kättesaadavusest ja andmeturvalisusest, mille säilitamiseks kasutatakse standardit ISO 27001. Teisest küljest vastab standard ISO 9001 täpselt organisatsiooni korporatiivseid eesmärke, aidates tagada turvalisust. Tänu integreeritud lähenemisviisile saab ISO 27001 tõhusalt integreerida olemasolevasse QMS -i või rakendada koos QMS -iga.

(ISO 27001) ja IT -teenuste haldamisel (ISO 20000) on sarnane struktuur ja protsess. See loob sünergia, mis tasub end ära: praktikas säästab käimasolevate toimingute integreeritud juhtimissüsteem 20–30 protsenti süsteemi optimeerimise, kontrollide ja paranduste kogukuludest.

Infoturbe- ja kvaliteedijuhtimisstandardite eesmärk on pidev täiustamine vastavalt Planeeri-tee-kontrolli-seaduse (PDCA) mudelile, mida tuntakse demingutsükliks (vt joonis 2). Lisaks on need oma ülesehituselt sarnased, nagu on näidatud ISO 27001 lisa C vastavustabelis. Mõlemad standardid määravad kindlaks protsessi lähenemisviisi, ulatuse, süsteemi- ja dokumentatsiooninõuded ning haldusvastutuse. Mõlemal juhul lõpeb struktuur siseauditi, juhtkonna ülevaatuse ja süsteemi täiustamisega. Sellega suhtlevad mõlemad süsteemid. Näiteks nõuab ISO 9001 mittevastavate toodete haldamist. Samuti on ISO 27001 standardil rikete lahendamiseks intsidentide haldamise nõue.

Riis. 1. QMS -i ja ISMS -i interaktsiooni- ja sarnasussfäärid

Riis. 2. Deming tsükkel

Rohkem kui 27 200 organisatsiooni erinevatest tööstusharudest enam kui 100 riigis üle maailma on sertifitseeritud kvaliteedijuhtimise standardi ISO 9001: 2008 kohaselt. Sõltuvalt turust ja seadusest tulenevatest nõuetest on paljud organisatsioonid üha enam sunnitud tegelema infoturbega. Sellega seoses pakub juhtimissüsteemi integreerimine reaalseid võimalusi. Kompleksne lähenemine huvitav ka ettevõtetele, kes pole siiani ühtegi juhtimisprotsessi kasutanud. ISO standardid kvaliteedile (ISO 9001), keskkonnakaitsele (ISO 14000), infoturbele

Erinevused standardite vahel on kasulikud üksteist täiendades, mis aitab otsustavalt kaasa ettevõtte edule. Näiteks nõuab ISO 9001 ettevõtte eesmärkide määratlemist, kliendikesksust ja mõõdetavust, mil määral eesmärke ja eesmärke täidetakse. Need on kolm küsimust, mis ei ole ISO 27001 huvide keskmes. See standard seab omakorda prioriteediks riskijuhtimise, et säilitada äritegevuse järjepidevus, ja pakub üksikasjalikku abi ISMSi rakendamisel. Võrreldes

sellega on ISO 9001 pigem teoreetiline standard.

ISO 27001 - standard mitte ainult IT jaoks

Paljud inimesed arvavad, et ISO 27001 standard on ainult IT -protsesside jaoks, kuid tegelikult see nii ei ole. ISO 27001 SM&B standardi rakendamise põhipunkt on varade määratlus.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Riis. 3. Varade liigid

Varana mõistetakse kõike, mis on ettevõttele väärtuslik (joonis 3). See tähendab, et vara võib olla: personal, infrastruktuur, tööriistad, seadmed, side, teenused ja mis tahes muu vara, sealhulgas ostetud toodete tarnimise teenused. Protsesside põhjal otsustab ettevõte, millised varad tal on ja millised varad on kaasatud kriitilistesse protsessidesse, ning hindab vara väärtust. Ja alles pärast seda tehakse riskihindamine kõigi väärtusliku vara kohta. Seega ei ole ISMS mõeldud ainult digitaalse teabe jaoks, mida töödeldakse automatiseeritud süsteem... Näiteks hõlmavad mõned kõige kriitilisemad protsessid

Ettevalmistus

ürituste plaanid

2 Kontrollige H: i match

teabe paberkoopiate salvestamisega, mis on hõlmatud ka ISO 27001. ISMS hõlmab kõiki viise, kuidas olulist teavet teie ettevõttes salvestada, alates sellest, kuidas e -kirju kaitstud, lõpetades sellega, kus hoones hoitakse töötajate isiklikke toimikuid.

Seetõttu on tohutu eksiarvamus, et kuna standard on suunatud infoturbehaldussüsteemi loomisele, siis saab see kehtida ainult arvutisse salvestatud andmete kohta. Isegi meie digitaalajastul kajastub paberil endiselt palju teavet, mida tuleb ka usaldusväärselt kaitsta.

ISO 9001 ei suuda rahuldada ettevõtte infoturbe vajadusi, kuna see on kitsalt keskendunud toote kvaliteedile. Seetõttu on väga oluline rakendada ettevõttes ISO 27001. Esmapilgul võib spetsialistile tunduda, et mõlemad standardid on väga üldised ega oma spetsiifilisust. Kuid see pole nii: ISO 27001 standard kirjeldab peaaegu kõiki ISMS -i rakendamise ja toimimise kontrollimise samme (joonis 4).

Infoturbehaldussüsteemi loomise peamised etapid

ISMS -i ehitamise peamised etapid on illustreeritud joonisel 4. Vaatleme neid üksikasjalikumalt.

Etapp 1. Tegevuskavade koostamine. Selles etapis koguvad spetsialistid organisatsioonilisi ja haldusdokumente (ORD) ning muid töömaterjale,

3 Tüüp tavaline II ORD

4 Analüüs ii riskihinnangud 11B

Rakendamine

5 RyazraOoghya ja<>RaeryaOopv kompleks & 00 \ * ieiitii:

kiirgusplaanid ■ -> standardid -> sündmused -> CfftpJOTHW *

tegevused E> PB ORD Poenpzhenie

INRsnEsS "IMB tulemuste 10 AiUtuini hindamise moodustamine

Riis. 4. ISMS -i loomise etapid

ettevõtte infosüsteemide ehitamise ja toimimise kohta, kavas kasutada infoturbe tagamise mehhanisme ja vahendeid. Lisaks koostatakse tööetappide tegevuskavad, need lepitakse kokku ja kinnitatakse ettevõtte juhtkonna poolt.

Etapp 2. ISO / IEC 27001: 2005 vastavuse kontrollimine. Intervjueerivad ja küsitlevad osakondade juhte ja töötajaid. Ettevõtte ISMS -i analüüs vastavalt ISO / IEC 27001: 2005 nõuetele.

Etapp 3. Regulatiivsete ning organisatsiooniliste ja haldusdokumentide analüüs ettevõtte organisatsioonilise struktuuri alusel. Selle tulemuste põhjal määratakse kaitstud ulatus (OA) ja töötatakse välja ettevõtte infoturbepoliitika visand.

4. etapp. Infoturvariskide analüüs ja hindamine. Ettevõtte riskide juhtimise ja nende analüüsimise metoodika väljatöötamine. Ettevõtte teabeallikate, peamiselt LAN -i analüüs, et tuvastada kaitstud ML -i varade ohud ja haavatavused. Varade inventuur. Ettevõtte spetsialistide konsultatsioonide läbiviimine ning tegeliku ja nõutava turvataseme vastavuse hindamine. Riskide arvutamine, praeguse ja vastuvõetava riskitaseme määramine iga konkreetse vara puhul. Riskide järjestus, meetmete komplekside valik nende vähendamiseks ja rakendamise teoreetilise efektiivsuse arvutamine.

Etapp 5. IS tegevuskavade väljatöötamine ja elluviimine. Juhtnööride rakendatavuse kohta avalduse väljatöötamine vastavalt standardile ISO / IEC 27001: 2005. Raamatupidamise ja riskide kõrvaldamise plaani väljatöötamine. Ettevõtte juhile aruannete koostamine.

6. etapp. Regulatiivse ja OSA väljatöötamine. IB lõpliku poliitika ja sellega seotud sätete (erapoliitika) väljatöötamine ja kinnitamine. Standardite, protseduuride ja juhiste väljatöötamine ettevõtte ISMSi normaalse toimimise ja toimimise tagamiseks.

Etapp 7. Laiaulatuslike meetmete rakendamine IS -riskide vähendamiseks ja nende tõhususe hindamiseks vastavalt juhtkonna poolt heaks kiidetud töötlemis- ja kõrvaldamiskavale.

8. etapp. Personalikoolitus. Tegevuskavade väljatöötamine ja programmide rakendamine ettevõtte töötajate koolitamiseks ja pädevuse parandamiseks, et edastada tõhusalt kõigile töötajatele infoturbe põhimõtted ja

peamiselt need, kes töötavad struktuuriüksused pakkudes peamisi äriprotsesse.

9. etapp. Aruande koostamine. Küsitluste tulemuste süstematiseerimine ja aruannete koostamine. Ettevõtte juhtide töötulemuste tutvustamine. Dokumentide ettevalmistamine litsentsimiseks vastavalt ISO / IEC 27001: 2005 nõuetele ja nende üleandmine sertifitseerivale organisatsioonile.

Etapp 10. ISMS -i rakendamise tulemuste analüüs ja hindamine ettevõtte ISMS -i toimimise usaldusväärsust hindava metoodika alusel. Ettepanekute väljatöötamine ettevõtte infoturbe haldussüsteemi täiustamiseks.

ISMS -i rakendamise iga etappi analüüsides võime öelda, et ISO 27001 -l on selge struktuur ja nõuded, mis võimaldavad teil ehitada toimiva süsteemi, milles toimiks suhtlus kõigil vajalikel tasanditel. Kuid me ei tohi unustada, et peamine erinevus ISMS -i ja QMS -i vahel on see, et esimene süsteem on keskendunud infoturbele.

Infoturbe tähtsus tänapäeva maailmas

Tänapäeva äri ei saa ilma infotehnoloogiata eksisteerida. On teada, et umbes 70% maailma kogutoodangust sõltub ühel või teisel viisil infosüsteemidesse salvestatud teabest. Arvutite laialdane kasutuselevõtt on loonud lisaks tuntud mugavustele ka probleeme, millest tõsisim on infoturbe probleem.

Ettevõtete juhid peavad mõistma infoturbe olulisust, õppima ennustama ja juhtima selle valdkonna suundumusi. Selles saab neid aidata ISMSi kasutuselevõtt, millel on oma struktuuris arengupotentsiaal, juhtimise läbipaistvus ja paindlikkus mis tahes muudatuste suhtes. Koos arvutite ja arvutivõrkude juhtimisseadmetega pöörab ISO 27001 standard suurt tähelepanu turvapoliitika väljatöötamisele, personaliga töötamisele (töölevõtmine, koolitamine, töölt vabastamine), tagades järjepidevuse tootmisprotsess, regulatiivseid nõudeid, samas kui mõned tehnilised probleemid on üksikasjalikult kirjeldatud sarja teistes standardites

ISO 27000. ISIB -i juurutamisel ettevõttesse on palju eeliseid, mõned neist on näidatud joonisel fig. 5.

Glbkshli skaala pODr> h; b1 [h

Tagasi lükata

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | ill lk Ki u:

azhshchtnya # tsn ^ st

Riis. 5. Infoturbehaldussüsteemi rakendamise eelised

Tuleb märkida ISO eeliseid

Ohutuspädevuse demonstreerimine. ISO 27001 on organisatsioonile praktiline juhend, mis aitab sõnastada turvanõudeid, et saavutada nõutav turvatase ja täita konkreetseid turvaeesmärke. Eriti oluline on, et organisatsioonid oleksid pädevad neljas turvahalduse valdkonnas, sealhulgas: ettevõtte varade tuvastamine ja hindamine, riskide hindamine ja riskide aktsepteerimise kriteeriumide määratlemine, nende objektide haldamine ja vastuvõtmine ning pidev täiustamine. üldine programm organisatsiooni turvalisus.

Klientide usalduse tagamine. ISO 27001 pakub sõltumatut tõestust programmide kohta ettevõtte juhtimine mida toetavad parimad, parimad rahvusvahelised tavad. ISO 27001 sertifikaat annab meelerahu ettevõtetele, kes soovivad klientidele, aktsionäridele ja potentsiaalsetele partneritele ausust näidata ning mis kõige tähtsam - näidata, et ettevõte on edukalt juurutanud tugeva infoturbe juhtimissüsteemi. Paljude rangelt reguleeritud tööstusharude jaoks, nagu rahandus või Interneti -teenused, saab tarnijat valida

piirduda organisatsioonidega, millel on juba ISO 27001 sertifikaat.

Ressursside tõhusam kasutamine. Tänu protsessikäsitluse kasutamisele on võimalik optimeerida ettevõttes toimuvaid protsesse. Mis toob kaasa ressursside, näiteks ajakasutuse vähenemise.

Pidev täiustamine. ISMS kasutab PCDA mudelit, mis võimaldab regulaarselt kontrollida kogu süsteemi olekut, analüüsida ja täiustada juhtimissüsteemi

1. Pilt, bränd. ISO 27001 nõuetele vastavuse sertifitseerimine avab ettevõttele laiad võimalused: juurdepääs rahvusvahelisele tasemele, uued partnerlused, rohkem kliente, uued lepingud, edu pakkumistel. ISMS -i olemasolu ettevõttes on kõrge arengutaseme näitaja.

2. ISMSi paindlikkus. Olenemata protsesside ja uute tehnoloogiate muutustest jääb ISMS -i struktuuri alus tõhusaks. ISMS kohaneb uuendustega üsna lihtsalt, moderniseerides olemasolevaid ja kehtestades uusi vastumeetmeid.

3. Standardi rakendamise mastaapsus. Kuna ISO 27001 hõlmab ulatuse määramist, saab sertifitseerida ainult protsesside alamhulka. Saate alustada ISMS -i juurutamist ettevõtte jaoks kõige olulisemas OA -s ja alles hiljem laiendada.

4. Audit. Palju Vene firmad tajuda audititööd katastroofina. ISO 27001 näitab rahvusvahelist lähenemisviisi auditeerimisele: esiteks ettevõtte huvi standarditele tegelikult vastata ja mitte teha sertifitseerimist kuidagi, lihtsalt "näitamiseks".

5. Regulaarsed sise- või välisauditid võimaldavad rikkumisi parandada, ISMS -i täiustada ja riske oluliselt vähendada. Esiteks vajab ettevõte seda enda meelerahu jaoks, et kõik oleks korras ja kahjumiriskid viidud miinimumini. Ja juba teisejärguline - vastavussertifikaat, mis kinnitab partneritele või klientidele, et seda ettevõtet saab usaldada.

6. Juhtimise läbipaistvus. ISO 27001 standardi kasutamine annab üsna selged juhised halduse loomiseks ja

ka nõuded dokumentatsioonile, mis ettevõttes peab olema. Paljude ettevõtete probleem on see, et teatud osakondade olemasolevad dokumendid pole lihtsalt loetavad, sest dokumentatsioonisüsteemi keerukuse tõttu on sageli võimatu aru saada, mis on kellele mõeldud. Dokumentatsiooni tasandite hierarhia, alates infoturbepoliitikast kuni teatud protseduuride kirjeldamiseni, muudab olemasolevate reeglite, määruste ja muude asjade kasutamise palju lihtsamaks. Samuti hõlmab SM & B kasutuselevõtt personali koolitust: seminaride, postituste pidamist, hoiatusplakatite riputamist, mis suurendab oluliselt töötajate teadlikkust infoturbe kohta.

Kokkuvõtteks tuleb märkida, et aastal kaasaegne äri standardi ISO 9001 nõuete kohaselt ehitatud põhilise kvaliteedijuhtimissüsteemi võõrandamatus ja infoturbehaldussüsteemi võitmine on ilmne.

Täna on turuliidriks ettevõtted, kes jälgivad mitte ainult toodete ja teenuste kvaliteedi näitajaid, vaid ka nende kohta käiva teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse taset. Prognoosimine ja riskihindamine on samuti oluline edutegur, mis nõuab pädevat lähenemist ja parimate rahvusvaheliste tavade kasutamist. Kvaliteedijuhtimise ja infoturbe süsteemide ühine rakendamine ja sertifitseerimine aitab lahendada mitmesuguseid probleeme igale tööstusele või kaubandusele, mis omakorda toob kaasa pakutavate teenuste taseme kvalitatiivse tõusu.

Kirjandus

1. Dorofejev A. V., Šahalov I. Ju. Infoturbehalduse alused kaasaegne organisatsioon// Õigusinformaatika. 2013. nr 3. S. 4-14.

2. Chashkin VN Infoturbehaldus kui organisatsiooni info- ja tehnoloogilise tegevuse juhtimise süsteemi element // Infotehnoloogiate turvalisus. 2009. nr 1. S. 123-124.

3. Gorjatšov VV Uus GOST QMS -i jaoks. Peamised erinevused GOST RV 15.002-2003 //

Kvaliteedijuhtimise meetodid. 2013. nr 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Lähenemisviis infoturbe juhtimissüsteemide mudeli loomisele // Kubani Riikliku Agraarülikooli polüteemilise võrgu elektrooniline teadusajakiri. 2009. nr 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Ettevõtte (organisatsioonis) infoturbehaldussüsteemi mudel // Intellekt. Innovatsioon. Investeeringud. 2013. nr 1. S. 111-114.

6. Soloviev AM Normatiivne ja metoodiline baas infoturbe valdkonnas // Majandus, statistika ja informaatika. UMO bülletään. 2012. nr 1. S. 174-181.

7. Kozin IF, Livshits II Infoturve. Rahvusvaheliste standardite integreerimine Venemaa infoturbesüsteemi // Informaatiseerimine ja kommunikatsioon. 2010. nr 1. S. 50-55.

8. Kolodin VS Integreeritud juhtimissüsteemide sertifitseerimine // Irkutski Riikliku Tehnikaülikooli bülletään. 2010. T. 41. nr 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Integreeritud juhtimissüsteemid: loomise eeldused Venemaa ettevõtetes // Noor teadlane.

2013. nr 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Info- ja telekommunikatsioonisüsteemide infoturbehaldus, mis põhineb mudelil "P1ap-Do-Check-Act" // Donetski riikliku tehnikaülikooli tropp Naukov1. Ser1ya: "Arvutustehnika, mis automatiseerib". 2013. nr 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Infoturbehaldus: põhimõisted // Küberturvalisuse küsimused.

2014. nr 1 (2). S. 67-73.

12. Shper VL Standardist 18O / 1EC 27001 // Kvaliteedijuhtimise meetodid. 2008. nr 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Riskijuhtimine - infoturbe normatiivne vaakum // Avatud süsteemid... DBMS. 2007. nr 8. S. 63-67.

14. Matveev V.A., Tsirlov V.L.

2014. aastal // Küberturvalisuse küsimused. 2013. nr 1 (1). S. 61-64.

15. Trummid A. V. Ohutu väljatöötamise protsessi standardiseerimine tarkvara tööriistad// Küberturvalisuse probleemid. 2013. nr 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Küberturvalisuse juhised kontekstis

ISO 27032 // Küberturvalisuse probleemid. 2014. nr 1 (2). S. 28-35. 17. Khramtsovskaya N. Mida peab juht teadma infoturbe kohta // Kadrovik. 2009. nr 4. S. 061-072.

Tõesti piinlik. Teavitasime ISO 45001 standardi peatsest avaldamisest, mis peaks asendama praeguse töötervishoiu ja tööohutuse standardi OHSAS 18001, ütlesime, et peaksime seda 2016. aasta lõpus ootama ... Kesköö on lähenemas, kuid Herman on endiselt läinud. Aeg tunnistada - ISO 45001 on ootel. Tõsi, headel põhjustel. Ekspertide kogukonnal on tema jaoks liiga palju küsimusi. […]