Što je suvremeni sustav upravljanja sigurnošću informacija. Suvremeni standardi u području informacijske sigurnosti korištenjem koncepta upravljanja rizicima Sustav upravljanja informacijskom sigurnošću

Šahalov Igor Jurijevič

O pitanju integracije sustava upravljanja kvalitetom i informacijske sigurnosti

Sažetak: Razmatraju se međunarodne norme ISO 27001 i ISO 9001. Provedena je analiza sličnosti i razlika između sustava upravljanja kvalitetom i sustava upravljanja informacijskom sigurnošću. Prikazana je mogućnost integracije sustava upravljanja kvalitetom i sustava upravljanja informacijskom sigurnošću. Dane su glavne faze izgradnje i implementacije integriranog sustava upravljanja informacijskom sigurnošću. Prikazane su prednosti integriranog pristupa.

Ključne riječi: sustavi upravljanja informacijskom sigurnošću, integrirani sustavi upravljanja, ISMS, QMS, ISO 27001.

Natalija Olegovna

Uvod

V moderni svijet s pojavom uobičajenih i zgodnih tehnički uređaji problem informacijske sigurnosti pojavio se prilično oštro. Uz puštanje u promet kvalitetnih proizvoda ili pružanje usluga poduzećima i organizacijama, važno je čuvati u tajnosti potrebne podatke od konkurencije kako bismo ostali u povoljnoj poziciji na tržištu. U konkurentskoj borbi raširene su različite radnje usmjerene na dobivanje (dobivanje, stjecanje) povjerljivih informacija. različiti putevi, do izravnog industrijskog špijunaže korištenjem suvremenih tehničkih obavještajnih sredstava.

Tako organizacije koje se pridržavaju najboljih svjetskih praksi, koje sadrže zahtjeve, smjernice za implementaciju sustava upravljanja poslovnim procesima, postaju lideri na tržištu. Najbolji standardi za projektiranje, implementaciju, praćenje i poboljšanje takvih sustava su dokumenti Međunarodne organizacije za standardizaciju (ISO). Posebnu pozornost treba posvetiti standardima serije ISO 900x i ISO 2700x, koji prikupljaju najbolje prakse za implementaciju sustava upravljanja kvalitetom (QMS) i sustava upravljanja informacijskom sigurnošću (ISMS).

Sustav upravljanja kvalitetom, implementiran u skladu sa zahtjevima norme ISO 9001, odavno je prepoznat kao sastavni atribut uspješne tvrtke koja proizvodi proizvode visoke kvalitete ili pruža usluge visoke klase. Danas je dostupnost certifikata o sukladnosti učinkovito marketinško rješenje i mehanizam za kontrolu proizvodnih procesa. QMS revizija je dobro razvijeno područje poslovanja.

Ovisnost uspješnog djelovanja tvrtke o korporativnom informacijskom sigurnosnom sustavu svakodnevno se povećava. To je zbog povećanja količine vitalnih podataka koji se obrađuju u korporativnom informacijskom sustavu. Informacijski sustavi postaju sve složeniji, a raste i broj ranjivosti koje se u njima nalaze. ISMS revizija omogućuje procjenu trenutnog stanja sigurnosti funkcioniranja korporativnog informacijskog sustava,

procijeniti i predvidjeti rizike, upravljati njihovim utjecajem na poslovne procese tvrtke.

Budući da je norma ISO 9001 odavno zauzela vodeću poziciju u broju certifikata u svijetu, a norma ISO 27001 pokazuje tendenciju povećanja certificiranja sustava upravljanja informacijskom sigurnošću, preporučljivo je razmotriti moguću interakciju i integraciju QMS-a i ISMS-a.

Integracija standarda

Na prvi pogled, upravljanje kvalitetom i informacijska sigurnost potpuno su različita područja. Međutim, u praksi su usko povezani i čine jednu cjelinu (slika 1.). Zadovoljstvo kupaca, koje je objektivni cilj kvalitete, svake godine sve više ovisi o dostupnosti informacijskih tehnologija i sigurnosti podataka, za čije se održavanje koristi norma ISO 27001. S druge strane, upravo standard ISO 9001 odgovara korporativnim ciljevima organizacije, pomažući u osiguravanju sigurnosti. Zahvaljujući integriranom pristupu, ISO 27001 može se učinkovito integrirati u postojeći QMS ili implementirati zajedno s QMS-om.

(ISO 27001) i upravljanje IT uslugama (ISO 20000) imaju sličnu strukturu i procesni pristup... To stvara sinergiju koja se isplati: u praksi, integrirani sustav upravljanja za tekuće operacije štedi 20 do 30 posto ukupnih troškova optimizacije sustava, provjera i revizija.

Standardi informacijske sigurnosti i upravljanja kvalitetom imaju za cilj stalno poboljšanje u skladu s modelom planiraj-uradi-provjeri-djeluj (PDCA) poznatim kao Demingov ciklus (vidi sliku 2). Osim toga, slične su strukture, kao što je prikazano u tablici korespondencije u Prilogu C ISO 27001. Obje norme definiraju procesni pristup, opseg, zahtjeve sustava i dokumentacije te administrativnu odgovornost. U oba slučaja struktura završava internom revizijom, pregledom upravljanja i poboljšanjem sustava. Pri tome oba sustava međusobno djeluju. Na primjer, ISO 9001 zahtijeva upravljanje nesukladnim proizvodima. Isto tako, standard ISO 27001 ima zahtjev za upravljanje incidentima za rješavanje kvarova.

Riža. 1. Sfere interakcije i sličnosti QMS-a i ISMS-a

Riža. 2. Demingov ciklus

Više od 27.200 organizacija različitih industrija u više od 100 zemalja svijeta certificirano je za usklađenost s ISO 9001:2008 za upravljanje kvalitetom. Ovisno o tržišnim i zakonskim zahtjevima, mnoge su organizacije sve više prisiljene baviti se informacijskom sigurnošću. U tom smislu, integracija upravljačkog sustava nudi realne mogućnosti. Kompleksan pristup zanimljivo i za tvrtke koje do sada nisu koristile nikakav proces upravljanja. ISO standardi za kvalitetu (ISO 9001), zaštitu okoliša (ISO 14000), sigurnost informacija

Razlike između standarda korisne su u međusobnom nadopunjavanju, što presudno pridonosi povećanju poslovnog uspjeha. Na primjer, ISO 9001 zahtijeva definiranje korporativnih ciljeva, usmjerenosti na kupca i mjerljivosti, u kojoj mjeri su ciljevi i zadaci ispunjeni. To su tri pitanja koja nisu u središtu interesa ISO 27001. Zauzvrat, ova norma daje prioritet upravljanju rizicima radi održavanja kontinuiteta poslovanja i nudi detaljnu pomoć u implementaciji ISMS-a. U usporedbi

stoga je ISO 9001 više teoretski standard.

ISO 27001 - standard ne samo za IT

Mnogi ljudi misle da je ISO 27001 standard samo za IT procese, ali u stvarnosti to nije tako. Temeljna točka za implementaciju standarda ISO 27001 SM&B je definicija imovine.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnsslsc tEp.tna.

"■ irreiiKinfundu" GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

„Jimii 14: ii | vju7JIIIM.

Riža. 3. Vrste imovine

Imovina se shvaća kao sve što je vrijedno za poduzeće (slika 3.). Odnosno, imovina može biti: ljudski resursi, infrastruktura, alati, oprema, komunikacije, usluge i bilo koja druga imovina, uključujući usluge za nabavu kupljenih proizvoda. Na temelju procesa tvrtka utvrđuje kojom imovinom raspolaže i koja je imovina uključena u kritične procese te procjenjuje vrijednost imovine. I tek nakon toga se radi procjena rizika za svu vrijednu imovinu. Dakle, ISMS nije namijenjen samo za digitalne informacije koje se obrađuju u automatizirani sustav... Na primjer, neki od najkritičnijih procesa uključuju

Priprema

planove događaja

2 Provjerite H: odgovaram

sa pohranom tiskanih kopija informacija, što je također obuhvaćeno standardom ISO 27001. ISMS pokriva sve načine na koje se važne informacije mogu pohraniti u vašoj tvrtki, od e-poruke zaštićeno, a završava gdje se u zgradi pohranjuju osobni dosjei zaposlenika.

Stoga je velika zabluda da, budući da je standard usmjeren na izgradnju sustava upravljanja informacijskom sigurnošću, onda se to može odnositi samo na podatke pohranjene u računalu. Čak iu našem digitalnom dobu puno informacija se još uvijek odražava na papiru, koji također mora biti pouzdano zaštićen.

ISO 9001 ne može zadovoljiti potrebe tvrtke za informacijskom sigurnošću, budući da je usko usmjeren na kvalitetu proizvoda. Stoga je vrlo važno u poduzeću implementirati ISO 27001. Na prvi pogled stručnjaku se može učiniti da su obje norme vrlo općenite i da nemaju specifičnosti. Međutim, to nije slučaj: standard ISO 27001 opisuje gotovo svaki korak implementacije i kontrole funkcioniranja ISMS-a (slika 4).

Glavne faze izgradnje sustava upravljanja informacijskom sigurnošću

Glavne faze izgradnje ISMS-a ilustrirane su na slici 4. Razmotrimo ih detaljnije.

Faza 1. Priprema akcijskih planova. Na ovoj fazi stručnjaci prikupljaju organizacijske i administrativne dokumente (ORD) i druge radne materijale,

3 Tip normalan II ORD

4 Analiza ii procjene rizika 11B

Implementacija

5 RyazraOoghya i<>RaeryaOopv kompleks & 00 \ * ieiitii:

planovi zračenja ■ -> standardi -> događaji -> CfftpJOTHW *

djelatnosti Pon> PB ORD Poenpzhenie

Formiranje 10 AiUtuin evaluacije rezultata INRsnEsS-a "IMB

Riža. 4. Faze izgradnje ISMS-a

vezano uz izgradnju i rad informacijskih sustava poduzeća, planirano korištenje mehanizama i sredstava za osiguranje informacijske sigurnosti. Osim toga, izrađuju se akcijski planovi za faze rada, dogovaraju i odobrava uprava tvrtke.

Faza 2. Provjera usklađenosti s ISO / IEC 27001: 2005. Intervjuiranje i ispitivanje voditelja i djelatnika odjela. Analiza ISMS-a tvrtke na usklađenost sa zahtjevima ISO/IEC 27001:2005.

Faza 3. Analiza regulatornih i organizacijskih i administrativnih dokumenata na temelju organizacijska struktura tvrtke. Na temelju njegovih rezultata utvrđuje se zaštićeni opseg (OA) i izrađuje skica politike informacijske sigurnosti tvrtke.

Faza 4. Analiza i procjena rizika informacijske sigurnosti. Izrada metodologije upravljanja rizicima poduzeća i njihova analiza. Analiza informacijskih resursa tvrtke, prvenstveno LAN-a, u cilju identificiranja prijetnji i ranjivosti zaštićene ML imovine. Popis imovine. Provođenje konzultacija za stručnjake tvrtke i procjena usklađenosti sa stvarnom i traženom razinom sigurnosti. Proračun rizika, određivanje trenutne i prihvatljive razine rizika za svaku pojedinu imovinu. Rangiranje rizika, odabir kompleksa mjera za njihovo smanjenje i izračun teorijske učinkovitosti provedbe.

Faza 5. Izrada i provedba akcijskih planova IS-a. Izrada izjave o primjenjivosti kontrola u skladu s ISO/IEC 27001:2005. Izrada plana računovodstva i otklanjanja rizika. Priprema izvješća za čelnika poduzeća.

Faza 6. Izrada normativnih i operativnih dokumenata. Izrada i odobravanje konačne IB politike i srodnih odredbi (privatne politike). Razvoj standarda, postupaka i uputa za osiguranje normalnog funkcioniranja i rada ISMS-a tvrtke.

Faza 7. Provedba sveobuhvatnih mjera za smanjenje rizika IS-a i procjena njihove učinkovitosti u skladu s planom obrade i otklanjanja rizika koji je odobrila uprava.

Faza 8. Obuka osoblja. Izrada akcijskih planova i provedba programa osposobljavanja i usavršavanja zaposlenika tvrtke kako bi se načela informacijske sigurnosti učinkovito prenijela na sve zaposlenike i

prvenstveno oni koji rade u strukturne podjele pružanje ključnih poslovnih procesa.

Faza 9. Formiranje izvješćivanja. Sistematizacija rezultata ankete i izrada izvješća. Prezentacija rezultata rada za čelnike poduzeća. Priprema dokumenata za licenciranje za usklađenost s ISO/IEC 27001:2005 i njihov prijenos certifikacijskoj organizaciji.

Faza 10. Analiza i procjena rezultata implementacije ISMS-a na temelju metodologije kojom se ocjenjuje pouzdanost funkcioniranja ISMS-a poduzeća. Izrada preporuka za unapređenje sustava upravljanja IS-om tvrtke.

Analizirajući svaku fazu implementacije ISMS-a, možemo reći da ISO 27001 ima jasnu strukturu i zahtjeve koji će vam omogućiti da izgradite radni sustav u kojem će postojati interakcija na svim potrebnim razinama. No, ne smijemo zaboraviti da je glavna razlika između ISMS-a i QMS-a u tome što je prvi sustav usmjeren na informacijsku sigurnost.

Važnost informacijske sigurnosti u suvremenom svijetu

Današnje poslovanje ne može postojati bez informacijske tehnologije. Poznato je da oko 70% ukupnog svjetskog nacionalnog proizvoda na ovaj ili onaj način ovisi o informacijama pohranjenim u informacijskim sustavima. Široko uvođenje računala stvorilo je ne samo dobro poznate pogodnosti, već i probleme, od kojih je najozbiljniji problem informacijske sigurnosti.

Poslovni lideri moraju razumjeti važnost informacijske sigurnosti, naučiti predviđati i upravljati trendovima u ovom području. U tome im može pomoći uvođenje ISMS-a, koji po svojoj strukturi ima potencijal za razvoj, transparentnost upravljanja, fleksibilnost za sve promjene. Uz kontrole za računala i računalne mreže, standard ISO 27001 veliku pažnju posvećuje razvoju sigurnosne politike, radu s osobljem (zapošljavanje, obuka, otpuštanje s posla), osiguravanju kontinuiteta proces proizvodnje, regulatorni zahtjevi, dok su neka tehnička pitanja detaljno opisana u ostalim standardima serije

ISO 27000. Mnoge su prednosti uvođenja ISIB-a u tvrtku, neke od njih prikazane su na sl. 5.

Glbkshl Skala pODr> h; b1 [h-th

Odbijte ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | ill p. Ki u:

azhshchtnya # tsn ^ st

Riža. 5. Prednosti implementacije sustava upravljanja informacijskom sigurnošću

Treba istaknuti prednosti ISO-a

Demonstracija sigurnosne kompetencije. ISO 27001 je praktičan vodič za organizaciju koji pomaže u formuliranju sigurnosnih zahtjeva kako bi se postigla potrebna razina sigurnosti i ispunili specifični sigurnosni ciljevi. Osobito je važno da organizacije budu kompetentne u četiri područja upravljanja sigurnošću, uključujući: identificiranje i procjenu imovine tvrtke, procjenu rizika i definiranje kriterija za prihvaćanje rizika, upravljanje i usvajanje tih stavki te stalno poboljšanje. opći program sigurnost organizacije.

Osiguravanje povjerenja kupaca. ISO 27001 pruža neovisni dokaz da programi korporativno upravljanje su podržani najboljom, najboljom međunarodnom praksom. Certifikacija ISO 27001 osigurava mir korporacijama koje žele pokazati integritet kupcima, dioničarima i potencijalnim partnerima, i što je najvažnije, pokazati da je tvrtka uspješno implementirala robustan sustav upravljanja sigurnošću informacija. Za mnoge strogo regulirane industrije kao što su financije ili internetske usluge, odabir dobavljača može

biti ograničen na one organizacije koje su već certificirane ISO 27001.

Učinkovitije korištenje resursa. Zahvaljujući korištenju procesnog pristupa moguće je optimizirati procese koji se odvijaju u poduzeću. Što podrazumijeva smanjenje korištenja resursa, na primjer, vremena.

Stalno poboljšanje. ISMS koristi PCDA model koji vam omogućuje redovitu provjeru statusa cijelog sustava, analizu i poboljšanje sustava upravljanja

1. Slika, marka. Certificiranje sukladnosti s ISO 27001 otvara široke mogućnosti za tvrtku: pristup međunarodnoj razini, nova partnerstva, više klijenata, novi ugovori, uspjeh na natječajima. Prisutnost ISMS-a u poduzeću pokazatelj je visoke razine razvijenosti.

2. Fleksibilnost ISMS-a. Bez obzira na promjene u procesima, novim tehnologijama, osnova strukture ISMS-a ostaje učinkovita. ISMS se prilično lako prilagođava inovacijama modernizacijom postojećih i uvođenjem novih protumjera.

3. Skalabilnost implementacije standarda. Budući da ISO 27001 uključuje utvrđivanje opsega, samo se podskup procesa može certificirati. Možete početi implementirati ISMS u najznačajniji OA za tvrtku, a tek kasnije se proširiti.

4. Revizija. Puno ruske tvrtke doživite revizijski rad kao katastrofu. ISO 27001 pokazuje međunarodni pristup reviziji: prije svega, interes tvrtke da stvarno zadovolji standarde, a ne da se certificiranje radi nekako, samo za pokazivanje.

5. Redovite interne ili vanjske revizije omogućuju ispravljanje kršenja, poboljšanje ISMS-a i značajno smanjenje rizika. Prije svega, tvrtki je to potrebno radi vlastitog mira, da je sve u redu i da su rizici od gubitaka svedeni na minimum. I već sekundarno - certifikat o sukladnosti, koji partnerima ili kupcima potvrđuje da se ovoj tvrtki može vjerovati.

6. Transparentnost upravljanja. Korištenje standarda ISO 27001 daje prilično jasne upute za kreiranje upravljanja, i

također zahtjevi za dokumentacijom koja mora biti u poduzeću. Problem mnogih tvrtki je što postojeći dokumenti za pojedine odjele jednostavno nisu čitljivi, jer je često nemoguće dokučiti što je kome namijenjeno zbog složenosti dokumentacijskog sustava. Hijerarhija razina dokumentacije, od politike informacijske sigurnosti do opisa pojedinih postupaka, znatno olakšava korištenje postojećih pravila, propisa i ostalog. Također, uvođenje SM&B podrazumijeva obuku osoblja: održavanje seminara, slanje pošte, kačenje plakata upozorenja, što značajno povećava svijest o informacijskoj sigurnosti kod običnih zaposlenika.

U zaključku treba napomenuti da u moderno poslovanje očita je neotuđivost temeljnog sustava upravljanja kvalitetom, izgrađenog u skladu sa zahtjevima norme ISO 9001, te osvajanje pozicije sustava upravljanja informacijskom sigurnošću.

Danas će tržišni lider biti tvrtke koje prate ne samo pokazatelje kvalitete proizvoda i usluga, već i razinu povjerljivosti, integriteta i dostupnosti informacija o njima. Predviđanje i procjena rizika također su važan čimbenik uspjeha koji zahtijeva kompetentan pristup i korištenje najbolje međunarodne prakse. Zajednička implementacija i certificiranje sustava upravljanja kvalitetom i informacijske sigurnosti pomoći će u rješavanju širokog spektra problema za svaku industriju ili obrt, što će zauzvrat dovesti do kvalitativnog povećanja razine pruženih usluga.

Književnost

1. Dorofeev A. V., Shahalov I. Yu. Osnove upravljanja sigurnošću informacija moderna organizacija// Pravna informatika. 2013. broj 3. S. 4-14.

2. Chashkin VN Upravljanje informacijskom sigurnošću kao element sustava upravljanja informacijskom tehnologijom aktivnosti organizacije // Sigurnost informacijskih tehnologija. 2009. broj 1. S. 123-124.

3. Goryachev VV Novi GOST za QMS. Glavne razlike od GOST RV 15.002-2003 //

Metode upravljanja kvalitetom. 2013. broj 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Pristup izgradnji modela sustava upravljanja informacijskom sigurnošću // Politematska mreža elektronički znanstveni časopis Kubanskog državnog agrarnog sveučilišta. 2009. broj 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Model sustava upravljanja informacijskom sigurnošću u poduzeću (u organizaciji) // Intellect. Inovacija. Ulaganja. 2013. broj 1. S. 111-114.

6. Solovjev A. M. Normativna i metodološka osnova u području informacijske sigurnosti // Ekonomija, statistika i informatika. Bilten UMO. 2012. broj 1. S. 174-181.

7. Kozin IF, Livšits II Sigurnost informacija. Integracija međunarodnih standarda u sustav informacijske sigurnosti Rusije // Informatizacija i komunikacija. 2010. broj 1. S. 50-55.

8. Kolodin VS Certifikacija integriranih sustava upravljanja // Bilten Irkutskog državnog tehničkog sveučilišta. 2010. T. 41. br. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Integrirani sustavi upravljanja: preduvjeti za stvaranje u ruskim poduzećima // Mladi znanstvenik.

2013. broj 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Upravljanje informacijskom sigurnošću informacijskih i telekomunikacijskih sustava temeljeno na modelu "P1ap-Do-Check-Act" // Science1 Sling of the Donetsk National tehničkog sveučilišta. Ser1ya: "Računalni techshka taj automatizam". 2013. broj 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Upravljanje informacijskom sigurnošću: osnovni koncepti // Pitanja kibernetičke sigurnosti.

2014. broj 1 (2). S. 67-73.

12. Shper VL O standardu 18O / 1EC 27001 // Metode upravljanja kvalitetom. 2008. broj 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Upravljanje rizicima - normativni vakuum informacijske sigurnosti // Otvoreni sustavi... DBMS. 2007. broj 8. S. 63-67.

14. Matveev V. A., Tsirlov V. L. Stanje i izgledi razvoja industrije informacijske sigurnosti Ruske Federacije

cija u 2014. // Cybersecurity Issues. 2013. broj 1 (1). S. 61-64.

15. Bubnjevi A. V. Standardizacija procesa razvoja sigurnog softverski alati// Pitanja kibernetičke sigurnosti. 2013. broj 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Smjernice za kibernetičku sigurnost u kontekstu

ISO 27032 // Pitanja kibernetičke sigurnosti. 2014. broj 1 (2). S. 28-35. 17. Khramtsovskaya N. Što menadžer treba znati o informacijskoj sigurnosti // Kadrovik. 2009. broj 4. S. 061-072.

U svijetu informacijske tehnologije pitanje osiguravanja integriteta, pouzdanosti i povjerljivosti informacija postaje prioritet. Stoga je prepoznavanje potrebe za sustavom upravljanja informacijskom sigurnošću (ISMS) organizacije strateška odluka.

Dizajniran je za stvaranje, implementaciju, održavanje i kontinuirano poboljšanje ISMS-a u cijelom poduzeću, a primjenom ovog Standarda na vanjske partnere postaje očito da je organizacija u stanju ispuniti vlastite zahtjeve za informacijsku sigurnost. Ovaj će članak raspravljati o osnovnim zahtjevima Standarda i raspravljati o njegovoj strukturi.

(ADV31)

Glavni ciljevi norme ISO 27001

Prije nego što prijeđemo na opis strukture Standarda, odredimo njegove glavne zadaće i razmotrimo povijest pojavljivanja Standarda u Rusiji.

Ciljevi standarda:

• osnivanje jedinstveni zahtjevi za sve organizacije za stvaranje, implementaciju i poboljšanje ISMS-a;
• osiguravanje interakcije između višeg menadžmenta i zaposlenika;
• održavanje povjerljivosti, integriteta i dostupnosti informacija.

Istodobno, zahtjevi utvrđeni Standardom su opći i namijenjeni su primjeni svake organizacije, bez obzira na njihovu vrstu, veličinu ili prirodu.

Povijest standarda:

• Godine 1995. Britanski institut za standarde (BSI) usvojio je Kodeks upravljanja informacijskom sigurnošću kao nacionalni standard Velika Britanija i registrirana pod BS 7799 - 1. dio.
• Godine 1998. BSI objavljuje BS7799-2 u dva dijela, jedan sadrži kodeks prakse, a drugi zahtjeve za sustave upravljanja sigurnošću informacija.
• Tijekom naknadnih revizija, prvi dio je objavljen kao BS 7799: 1999, 1. dio. Godine 1999. ova verzija standarda prebačena je u Međunarodnu organizaciju za certifikaciju.
• Ovaj je dokument odobren 2000. godine kao međunarodna norma ISO / IEC 17799: 2000 (BS 7799-1: 2000). Najnovija verzija ovog standarda, usvojenog 2005. godine, je ISO / IEC 17799: 2005.
• U rujnu 2002. godine stupio je na snagu drugi dio BS 7799 "Specifikacija sustava upravljanja sigurnošću informacija". Drugi dio BS 7799 revidiran je 2002. godine, a krajem 2005. godine prihvaćen od strane ISO-a kao međunarodni standard ISO/IEC 27001:2005. Informacijska tehnologija- Sigurnosne metode - Sustavi upravljanja sigurnošću informacija - Zahtjevi."
• Godine 2005. standard ISO / IEC 17799 uključen je u liniju standarda 27. serije i primljen je novi broj- ISO / IEC 27002: 2005.
• Dana 25. rujna 2013. objavljen je ažurirani ISO / IEC 27001: 2013 “Sustavi upravljanja sigurnošću informacija”. Zahtjevi". Trenutno su organizacije certificirane prema ovoj verziji Standarda.

Struktura standarda

Jedna od prednosti ovog standarda je sličnost njegove strukture s ISO 9001, jer sadrži identične podnaslove, identičan tekst, zajedničke pojmove i osnovne definicije. Ova okolnost štedi vrijeme i novac, jer je dio dokumentacije već razvijen tijekom ISO 9001 certifikacije.

Ako govorimo o strukturi Standarda, to je popis ISMS zahtjeva koji su obvezni za certifikaciju i sastoji se od sljedećih odjeljaka:

Zahtjevi iz "Dodatka A" su obvezni, ali standard vam omogućuje da isključite područja koja se ne mogu primijeniti u poduzeću.

Prilikom implementacije Standarda u poduzeću za daljnju certifikaciju, vrijedno je zapamtiti da nisu dopuštene nikakve iznimke od zahtjeva utvrđenih u odjeljcima 4 - 10. O tim će odjeljcima dalje biti riječi.

Počnimo s Odjeljkom 4 – Organizacijski kontekst

Organizacijski kontekst

U ovom odjeljku Standard zahtijeva od organizacije da identificira vanjska i interna pitanja koja su relevantna za njezine ciljeve i koja utječu na sposobnost njezina ISMS-a da postigne očekivane rezultate. Pritom treba voditi računa o zakonskim, regulatornim i ugovornim obvezama u pogledu informacijske sigurnosti. Organizacija također treba definirati i dokumentirati opseg i primjenjivost ISMS-a kako bi utvrdila njegov opseg.

Rukovodstvo

Najviši menadžment trebao bi pokazati vodstvo i predanost sustavu upravljanja informacijskom sigurnošću tako što će, na primjer, osigurati da su politika informacijske sigurnosti i ciljevi informacijske sigurnosti uspostavljeni i usklađeni sa strategijom organizacije. Također, najviše rukovodstvo treba osigurati da su svi potrebni resursi za ISMS osigurani. Drugim riječima, zaposlenicima bi trebalo biti očito da je menadžment uključen u probleme informacijske sigurnosti.

Politika informacijske sigurnosti treba biti dokumentirana i priopćena zaposlenicima. Ovaj dokument nalikuje politici kvalitete ISO 9001. Također bi trebao biti prikladan za svrhu organizacije i uključivati ​​ciljeve informacijske sigurnosti. Dobro je ako su to stvarni ciljevi, poput održavanja povjerljivosti i integriteta informacija.

Od uprave se također očekuje da rasporedi funkcije i odgovornosti vezane uz informacijsku sigurnost među zaposlenicima.

Planiranje

U ovom odjeljku dolazimo do prve faze PDCA (Plan - Do - Check - Act) principa upravljanja - planiraj, izvrši, provjeri, djeluje.

Prilikom planiranja sustava upravljanja informacijskom sigurnošću, organizacija treba uzeti u obzir pitanja spomenuta u točki 4. i odrediti rizike i potencijalne prilike koje je potrebno uzeti u obzir kako bi se osiguralo da ISMS može postići očekivane rezultate, spriječiti neželjene učinke, i postići kontinuirano poboljšanje.

Prilikom planiranja kako postići svoje ciljeve informacijske sigurnosti, organizacija treba odrediti:

• što će se raditi;
• koja će sredstva biti potrebna;
• tko će biti glavni;
• kada su ciljevi postignuti;
• kako će se ocjenjivati ​​rezultati.

Osim toga, organizacija će zadržati podatke o ciljevima informacijske sigurnosti kao dokumentirane informacije.

Sigurnost

Organizacija će odrediti i osigurati resurse potrebne za razvoj, implementaciju, održavanje i kontinuirano poboljšanje ISMS-a, što uključuje i osoblje i dokumentaciju. Što se tiče osoblja, od organizacije se očekuje da zaposli kvalificirano i kompetentno osoblje za informacijsku sigurnost. Kvalifikacije radnika moraju biti potvrđene svjedodžbama, diplomama i sl. Ugovorom je moguće privući stručnjake treće strane ili obučiti svoje zaposlenike. Što se dokumentacije tiče, ona bi trebala uključivati:

• dokumentirane informacije koje zahtijeva Standard;
• dokumentirane informacije koje je organizacija odredila kao nužne za osiguranje učinkovitosti sustava upravljanja informacijskom sigurnošću.

Dokumentirane informacije koje zahtijevaju ISMS i Standard moraju se kontrolirati kako bi se osiguralo da:

• dostupno i prikladno za korištenje gdje i kada je to potrebno, i
• odgovarajuće zaštićene (na primjer, od gubitka povjerljivosti, zlouporabe ili gubitka integriteta).

Funkcioniranje

Ovaj odjeljak govori o drugoj fazi načela upravljanja PDCA - potrebi da organizacija upravlja procesima kako bi osigurala usklađenost i slijedila aktivnosti identificirane u odjeljku Planiranje. Također navodi da bi organizacija trebala provoditi procjene rizika informacijske sigurnosti u planiranim intervalima ili kada se predlože ili dogode značajne promjene. Organizacija mora zadržati rezultate procjene rizika informacijske sigurnosti kao dokumentirane informacije.

Ocjena učinka

Treća faza je verifikacija. Organizacija procjenjuje rad i učinkovitost ISMS-a. Na primjer, mora provesti internu reviziju kako bi dobio informacije o tome je li

1. Je li sustav upravljanja informacijskom sigurnošću usklađen
   • vlastite zahtjeve organizacije za njezin sustav upravljanja sigurnošću informacija;
   • zahtjeve Standarda;
2. da je sustav upravljanja informacijskom sigurnošću učinkovito implementiran i operativan.

Podrazumijeva se da opseg i vrijeme revizija treba unaprijed planirati. Svi rezultati moraju biti dokumentirani i sačuvani.

Poboljšanje

Smisao ovog odjeljka je odrediti tijek radnje kada se otkrije nesukladnost. Organizacija treba ispraviti nedosljednosti, posljedice i analizirati situaciju kako se to ne bi dogodilo u budućnosti. Sve nesukladnosti i korektivne radnje trebaju biti dokumentirane.

Ovime su zaključeni glavni odjeljci Standarda. Dodatak A daje konkretnije zahtjeve koje treba ispuniti organizacija. Na primjer, u smislu kontrole pristupa, korištenje Mobilni uredaji i nositelji informacija.

Prednosti implementacije i certificiranja ISO 27001

• povećanje statusa organizacije i, sukladno tome, povjerenja partnera;
• povećanje stabilnosti organizacije;
• povećanje razine zaštite od prijetnji informacijskoj sigurnosti;
• osiguranje potrebne razine povjerljivosti informacija zainteresiranih strana;
• proširenje sposobnosti organizacije za sudjelovanje u velikim ugovorima.

Ekonomske koristi su:

• neovisna potvrda certifikacijskog tijela da organizacija ima visoku razinu informacijske sigurnosti koju kontrolira kompetentno osoblje;
• dokaz o usklađenosti s važećim zakonima i propisima (usklađenost sa sustavom obveznih zahtjeva);
• demonstracija određene visoke razine sustava upravljanja kako bi se osigurala odgovarajuća razina usluge kupcima i partnerima organizacije;
• Demonstracija redovitih revizija sustava upravljanja, ocjenjivanja rada i kontinuiranog poboljšanja.

Certifikacija

Organizaciju mogu certificirati akreditirane agencije u skladu s ovim standardom. Proces certificiranja sastoji se od tri faze:

• Faza 1 - revizorsko proučavanje ključnih ISMS dokumenata za usklađenost sa zahtjevima Standarda - može se izvesti kako na teritoriju organizacije, tako i prijenosom tih dokumenata vanjskom revizoru;
• 2. faza - detaljna revizija, uključujući testiranje provedenih mjera, te ocjenu njihove učinkovitosti. Uključuje cjelovito proučavanje dokumenata koje zahtijeva standard;
• 3. faza - provedba inspekcijske revizije kojom se potvrđuje da certificirana organizacija ispunjava navedene zahtjeve. Izvodi se periodično.

Ishod

Kao što možete vidjeti, korištenje ovog standarda u poduzeću omogućit će kvalitativno poboljšanje razine informacijske sigurnosti, što je skupo u suvremenim stvarnostima. Standard sadrži mnoge zahtjeve, ali najvažniji zahtjev je da se radi ono što je napisano! Bez stvarne primjene zahtjeva standarda, pretvara se u prazan set papirića.

GOST R ISO / IEC 27001-2006 „Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Sustavi upravljanja informacijskom sigurnošću. Zahtjevi"

Izrađivači standarda napominju da je pripremljen kao model za razvoj, implementaciju, rad, praćenje, analizu, podršku i poboljšanje sustava upravljanja informacijskom sigurnošću (ISMS). ISMS (engleski – sustav upravljanja informacijskom sigurnošću; ISMS) definira se kao dio cjelokupnog sustava upravljanja koji se temelji na korištenju metoda procjene poslovnog rizika za razvoj, implementaciju, rad, praćenje, analizu, podršku i poboljšanje informacijske sigurnosti. Sustav upravljanja uključuje organizacijsku strukturu, politike, aktivnosti planiranja, odgovornosti, prakse, procedure, procese i resurse.

Standard pretpostavlja korištenje procesnog pristupa za razvoj, implementaciju, rad, praćenje, analizu, podršku i poboljšanje ISMS-a organizacije. Temelji se na modelu Plan - Do - Check - Act (PDCA) koji se može primijeniti na strukturiranje svih ISMS procesa. Na sl. 4.4 pokazuje kako ISMS, koristeći zahtjeve informacijske sigurnosti i očekivane rezultate zainteresiranih strana kao ulaz, kroz potrebne radnje i procese, osigurava rezultate informacijske sigurnosti koji zadovoljavaju te zahtjeve i očekivane rezultate.

Riža. 4.4.

Na pozornici "Razvoj sustava upravljanja informacijskom sigurnošću" organizacija treba učiniti sljedeće:

• - odrediti opseg i granice ISMS-a;
• - odrediti ISMS politiku na temelju karakteristika poslovanja, organizacije, njezine lokacije, imovine i tehnologija;
• - odrediti pristup procjeni rizika u organizaciji;
• - identificirati rizike;
• - analizirati i procijeniti rizike;
• - identificirati i procijeniti različite opcije za liječenje rizika;
• - odabrati ciljeve i kontrole za tretman rizika;
• - dobiti odobrenje uprave za predviđene preostale rizike;
• - Dobiti dopuštenje uprave za implementaciju i rad ISMS-a;
• - pripremiti Izjavu o primjenjivosti.

pozornica" Implementacija i rad sustava upravljanja informacijskom sigurnošću" predlaže da organizacija treba:

• - razviti plan tretmana rizika koji definira odgovarajuće upravljačke akcije, resurse, odgovornosti i prioritete za upravljanje rizikom informacijske sigurnosti;
• - provoditi plan tretmana rizika kako bi se postigli planirani ciljevi upravljanja, uključujući pitanja financiranja, kao i raspodjelu uloga i odgovornosti;
• - provoditi odabrane mjere upravljanja;
• - odrediti način mjerenja učinkovitosti odabranih mjera kontrole;
• - provodi programe osposobljavanja i usavršavanja zaposlenika;
• - upravljati radom ISMS-a;
• - upravljati ISMS resursima;
• - provoditi postupke i druge kontrolne mjere kako bi se osiguralo brzo otkrivanje događaja informacijske sigurnosti i odgovor na incidente vezane uz informacijsku sigurnost.

Treća faza" Praćenje i analiza sustava upravljanja informacijskom sigurnošću" zahtijeva:

• - provodi postupke praćenja i analize;
• - provoditi redovitu analizu učinkovitosti ISMS-a;
• - mjeriti učinkovitost kontrolnih mjera za provjeru usklađenosti sa zahtjevima IS-a;
• - revidirati procjene rizika u određenim vremenskim razdobljima, analizirati preostale rizike i utvrđene prihvatljive razine rizika, uzimajući u obzir promjene;
• - provoditi interne ISMS revizije u određenim vremenskim intervalima;
• - redovito provodi analizu ISMS-a od strane menadžmenta organizacije kako bi se potvrdila primjerenost funkcioniranja ss i odredili smjerovi poboljšanja;
• - ažurirati IS planove uzimajući u obzir rezultate analize i praćenja;
• - registrirati radnje i događaje koji mogu utjecati na učinkovitost ili rad ISMS-a.

Konačno, pozornica "Održavanje i unapređenje sustava upravljanja informacijskom sigurnošću" predlaže da organizacija treba redovito provoditi sljedeće aktivnosti:

• - identificirati mogućnosti za poboljšanje ISMS-a;
• - poduzeti potrebne korektivne i preventivne radnje, koristiti u praksi iskustva u osiguranju informacijske sigurnosti, stečena kako u vlastitoj organizaciji, tako iu drugim organizacijama;
• - svim zainteresiranim stranama prenijeti detaljne informacije o radnjama za poboljšanje ISMS-a, pri čemu stupanj njihove detaljnosti treba odgovarati okolnostima i po potrebi dogovoriti daljnje radnje;
• - osigurati provedbu poboljšanja ISMS-a za postizanje planiranih ciljeva.

Dalje u standardu daju se zahtjevi za dokumentaciju koji bi trebali uključivati ​​odredbe ISMS politike i opis područja djelovanja, opis metodologije i izvješće o procjeni rizika, plan tretmana rizika i dokumentaciju povezanih postupaka. Također treba definirati proces za upravljanje ISMS dokumentima, uključujući ažuriranje, korištenje, pohranu i odlaganje.

Za pružanje dokaza o usklađenosti sa zahtjevima i učinkovitosti funkcioniranja ISMS-a potrebno je održavati i održavati evidenciju i evidenciju o izvršenju procesa. Primjeri uključuju zapisnike posjetitelja, revizorska izvješća itd.

Standard navodi da je menadžment organizacije odgovoran za osiguravanje i upravljanje resursima potrebnim za uspostavljanje ISMS-a i za organiziranje obuke za osoblje.

Kao što je prethodno navedeno, organizacija bi trebala provoditi interne revizije ISMS-a u skladu s odobrenim rasporedom kako bi procijenila svoju funkcionalnost i usklađenost sa standardom. A uprava bi trebala provesti analizu sustava upravljanja informacijskom sigurnošću.

Također, treba raditi na poboljšanju sustava upravljanja informacijskom sigurnošću: povećati njegovu učinkovitost i razinu usklađenosti s trenutnim stanjem sustava i zahtjevima za njega.

Ako je izgrađen u skladu sa zahtjevima ISO / IEC_27001, temelji se na PDCA modelu:

Plan(Planiranje) - faza izrade ISMS-a, izrada liste imovine, procjena rizika i odabir mjera;

Čini(Akcija) - faza provedbe i provedbe odgovarajućih mjera;

Ček(Verifikacija) - Faza procjene učinkovitosti i izvedbe ISMS-a. Obično obavljaju interni revizori.

Djeluj(Poboljšanja) - provedba preventivnih i korektivnih radnji;

Koncept informacijske sigurnosti

Standard ISO 27001 definira informacijsku sigurnost kao: „održavanje povjerljivosti, integriteta i dostupnosti informacija; osim toga, mogu se uključiti i druga svojstva, kao što su autentičnost, nepobitnost, pouzdanost."

Povjerljivost - osiguravanje dostupnosti informacija samo za one koji imaju odgovarajuća ovlaštenja (ovlaštene korisnike).

Integritet - osiguranje točnosti i potpunosti informacija, kao i načina njihove obrade.

Dostupnost - pružanje pristupa informacijama ovlaštenim korisnicima po potrebi (na zahtjev).

4 Sustav upravljanja informacijskom sigurnošću

4.1 Opći zahtjevi

Organizacija će uspostaviti, implementirati, koristiti, kontrolirati, revidirati, održavati i poboljšati dokumentirane odredbe ISMS-a tijekom poslovnih aktivnosti organizacije i rizika s kojima se suočava. Za praktičnu korist ove međunarodne norme, korišteni proces temelji se na PDCA modelu prikazanom na Sl. 1.

4.2 Uspostavljanje i upravljanje ISMS-om

4.2.1 Izrada ISMS-a

Organizacija bi trebala učiniti sljedeće.

a) Uzimajući u obzir specifičnosti aktivnosti organizacije, samu organizaciju, njezinu lokaciju, imovinu i tehnologiju, odrediti opseg i granice ISMS-a, uključujući pojedinosti i opravdanja za izuzimanje bilo koje odredbe dokumenta iz nacrta ISMS-a (vidi 1.2. ).

b) Uzimajući u obzir specifičnosti aktivnosti organizacije, samu organizaciju, njezinu lokaciju, imovinu i tehnologiju, razviti ISMS politiku koja:

1) uključuje sustav za postavljanje ciljeva (ciljeva) i utvrđuje opći smjer upravljanja i načela djelovanja u pogledu informacijske sigurnosti;

2) uzima u obzir poslovne i zakonske ili regulatorne zahtjeve, ugovorne sigurnosne obveze;

3) vezan je za okruženje za upravljanje strateškim rizicima u kojem se odvija stvaranje i održavanje ISMS-a;

4) utvrđuje kriterije prema kojima će se ocjenjivati ​​rizik (vidjeti 4.2.1 c)); i

5) odobreno od uprave.

NAPOMENA: Za potrebe ovog međunarodnog standarda, ISMS politika je prošireni skup politika informacijske sigurnosti. Ove politike mogu se opisati u jednom dokumentu.

c) Razviti okvir za procjenu rizika u organizaciji.

1) Odrediti metodologiju procjene rizika koja je prikladna za ISMS i uspostavljene poslovne informacije sigurnosti, zakonske i regulatorne zahtjeve.

2) Razviti kriterije za prihvaćanje rizika i odrediti prihvatljive razine rizika (vidi 5.1f).

Odabrana metodologija procjene rizika trebala bi osigurati da procjena rizika daje usporedive i ponovljive rezultate.

NAPOMENA: Postoje različite metodologije procjene rizika. Primjeri metodologija procjene rizika razmatraju se u ISO / IEC TU 13335-3, Informacijska tehnologija - Preporuke za upravljanjeTOSigurnost - tehnike upravljanjaTOSigurnost.

d) Identificirajte rizike.

1) Definirajte imovinu unutar opsega ISMS-a i vlasnike2 (2 Izraz "vlasnik" identificira se s pojedincem ili entitetom koji je odobren da bude odgovoran za kontrolu Održavanje, primjena i sigurnost imovine. Izraz "vlasnik" ne znači da osoba zapravo ima ikakva vlasnička prava na imovini) te imovine.

2) Identificirajte opasnosti za ta sredstva.

3) Identificirati ranjivosti u sustavu zaštite.

4) Identificirati utjecaje koji uništavaju povjerljivost, integritet i dostupnost imovine.

e) Analizirati i procijeniti rizike.

1) Procijeniti štetu u poslovanju organizacije koja može biti uzrokovana neuspjehom sustava zaštite, kao i posljedicu povrede povjerljivosti, integriteta ili dostupnosti imovine.

2) Odredite vjerojatnost sigurnosnog neuspjeha u svjetlu prevladavajućih opasnosti i ranjivosti, utjecaja povezanih s imovinom i kontrola koje su trenutno na snazi.

3) Procijenite razine rizika.

4) Utvrditi prihvatljivost rizika ili zahtijevati njegovo smanjenje, koristeći kriterije prihvatljivosti rizika iz 4.2.1c) 2).

f) Identificirati i ocijeniti instrumente za smanjenje rizika.

Moguće radnje uključuju:

1) Primjena odgovarajućih kontrola;

2) Svjesno i objektivno prihvaćanje rizika, osiguravajući njihovu bezuvjetnu usklađenost sa zahtjevima politike organizacije i kriterijima tolerancije rizika (vidi 4.2.1c) 2));

3) izbjegavanje rizika; i

4) Prijenos relevantnih poslovnih rizika na drugu stranu, na primjer, osiguravajuća društva, dobavljače.

g) Odaberite zadatke i kontrole za ublažavanje rizika.

Ciljeve i kontrole treba odabrati i provesti u skladu sa zahtjevima utvrđenim postupkom procjene rizika i smanjenja rizika. Ovaj odabir treba uzeti u obzir i kriterije prihvatljivosti rizika (vidi 4.2.1c) 2)) i zakonske, regulatorne i ugovorne zahtjeve.

Zadaci i kontrole iz Dodatka A trebaju biti odabrani kao dio ovog procesa kako bi se ispunili specificirani zahtjevi.

Budući da nisu svi zadaci i kontrole navedeni u Dodatku A, mogu se odabrati dodatni zadaci.

NAPOMENA: Dodatak A sadrži opsežan popis ciljeva upravljanja koji su identificirani kao najrelevantniji za organizacije. Kako ne biste propustili niti jednu važnu točku iz opcija kontrole, korištenje ove međunarodne norme treba se voditi prema Dodatku A kao početnoj točki za kontrolu uzorkovanja.

h) Postignuti odobrenje upravljanja predviđenim preostalim rizicima.

4) olakšati otkrivanje sigurnosnih događaja i na taj način, koristeći definirane pokazatelje, spriječiti sigurnosne incidente; i

5) utvrditi učinkovitost poduzetih radnji za sprječavanje narušavanja sigurnosti.

b) Provoditi redovite preglede učinkovitosti ISMS-a (uključujući raspravu o ISMS politici i njezinim ciljevima, pregled sigurnosnih kontrola), uzimajući u obzir rezultate revizija, incidenata, mjerenja učinka, prijedloge i preporuke svih zainteresiranih strana.

c) Procijeniti učinkovitost kontrola kako bi se utvrdilo jesu li ispunjeni sigurnosni zahtjevi.

d) Provjerite procjenu rizika u odnosu na planirana razdoblja i provjerite preostale rizike i tolerancije rizika, uzimajući u obzir promjene u:

1) organizacije;

2) tehnologija;

3) poslovne ciljeve i procese;

4) utvrđene prijetnje;

5) učinkovitost implementiranih alata upravljanja; i

6) vanjski događaji, kao što su promjene u pravnom i upravljačkom okruženju, promjene ugovornih obveza, promjene društvene klime.

e) Provoditi interne revizije ISMS-a tijekom planiranih razdoblja (vidi 6.)

NAPOMENA: Interne revizije, koje se ponekad nazivaju i primarne revizije, provode se u ime same organizacije za njezine vlastite svrhe.

f) Redovito revidirati upravljanje ISMS-om kako bi se osiguralo da situacija ostaje valjana i da se ISMS poboljšava.

g) Ažurirajte sigurnosne planove na temelju nalaza praćenja i revizije.

h) Zabilježite radnje i događaje koji bi mogli utjecati na učinkovitost ili performanse ISMS-a (vidi 4.3.3).

4.2.4 Održavanje i poboljšanje ISMS-a

Organizacija mora kontinuirano raditi sljedeće.

a) Implementirati posebne popravke u ISMS.

b) Poduzeti odgovarajuće korektivne i preventivne mjere u skladu s 8.2 i 8.3. Primijeniti znanje stečeno od strane same organizacije i iz iskustva drugih organizacija.

c) Komunicirati svoje radnje i poboljšanja svim zainteresiranim stranama na razini pojedinosti koja odgovara situaciji; te sukladno tome koordiniraju svoje djelovanje.

d) Provjerite jesu li poboljšanja postigla namjeravanu svrhu.

4.3 Zahtjevi za dokumentaciju

4.3.1 Općenito

Dokumentacija treba sadržavati protokole (zapise) upravljačke odluke uvjeriti da je potreba za djelovanjem vođena odlukama i politikama upravljanja; i kako bi se osigurala ponovljivost snimljenih rezultata.

Važno je biti u mogućnosti demonstrirati povratne informacije odabranih kontrola na rezultate procjene rizika i procesa smanjenja rizika, te nadalje na ISMS politiku i njezine ciljeve.

ISMS dokumentacija treba sadržavati:

a) dokumentiranu izjavu o politici i ciljevima ISMS-a (vidi 4.2.1b));

b) položaj ISMS-a (vidjeti 4.2.1a));

c) koncept i kontrole koje podržavaju ISMS;

d) opis metodologije procjene rizika (vidjeti 4.2.1c));

e) izvješće o procjeni rizika (vidi 4.2.1c) - 4.2.1g));

f) plan smanjenja rizika (vidjeti 4.2.2b));

g) dokumentirani koncept neophodan da organizacija učinkovito planira, upravlja i upravlja svojim procesima informacijske sigurnosti i opisuje kako se mjeri učinkovitost kontrola (vidjeti 4.2.3c));

h) dokumente zahtijevane ovom međunarodnom normom (vidi 4.3.3); i

i) Izjava o primjenjivosti.

NAPOMENA 1: Za potrebe ove međunarodne norme, izraz "dokumentirani koncept" znači da se koncept implementira, dokumentira, provodi i slijedi.

NAPOMENA 2: Veličina ISMS dokumentacije u različitim organizacijama može varirati ovisno o:

Veličina organizacije i vrsta njezine imovine; i

Opseg i složenost sigurnosnih zahtjeva i upravljanog sustava.

NAPOMENA 3: Dokumenti i izvješća mogu se dostaviti u bilo kojem obliku.

4.3.2 Kontrola dokumenata

Dokumente koje zahtijeva ISMS potrebno je zaštititi i regulirati. Potrebno je odobriti dokumentacijski postupak potreban za opisivanje upravljačkih radnji za:

a) utvrđivanje usklađenosti dokumenata s određenim standardima prije njihovog objavljivanja;

b) provjeravanje i ažuriranje dokumenata prema potrebi, ponovno odobravanje dokumenata;

c) osiguravanje da su promjene u skladu s trenutnim stanjem revidiranih dokumenata;

d) osiguravanje dostupnosti važnih verzija valjanih dokumenata;

e) osiguravanje da su dokumenti razumljivi i čitljivi;

f) stavljanje dokumenata na raspolaganje onima kojima su potrebni; kao i njihov prijenos, skladištenje i konačno uništavanje u skladu s primijenjenim postupcima ovisno o njihovoj klasifikaciji;

g) utvrđivanje vjerodostojnosti dokumenata iz vanjskih izvora;

h) kontrolu distribucije dokumenata;

i) sprječavanje nenamjerne upotrebe zastarjelih dokumenata; i

j) primjena odgovarajuće metode identifikacije na njih ako su pohranjeni za svaki slučaj.

4.3.3 Kontrola zapisa

Zapise treba kreirati i održavati kako bi se pružili dokazi o sukladnosti i učinkovitom radu ISMS-a. Zapisi moraju biti zaštićeni i provjereni. ISMS bi trebao uzeti u obzir sve zakonske i regulatorne zahtjeve i ugovorne obveze. Zapisi moraju biti razumljivi, lako prepoznatljivi i dostupni. Kontrole potrebne za identifikaciju, pohranu, zaštitu, obnavljanje, zadržavanje i uništavanje zapisa moraju biti dokumentirane i provedene.

Evidencija treba sadržavati informacije o provedbi aktivnosti opisanih u 4.2, te o svim incidentima i značajnim sigurnosnim incidentima povezanim s ISMS-om.

Primjeri unosa su knjiga gostiju, zapisnici revizije i ispunjeni obrasci za autorizaciju pristupa.

Pošaljite svoj dobar rad u bazu znanja je jednostavno. Upotrijebite obrazac u nastavku

Studenti, diplomski studenti, mladi znanstvenici koji koriste bazu znanja u svom studiju i radu bit će vam jako zahvalni.

Objavljeno na http://www.allbest.ru/

"Sustav upravljanja sigurnošću informacija"

međunarodni standard upravljanja

Vdirigiranje

Sustav upravljanja informacijskom sigurnošću skup je procesa koji rade u tvrtki kako bi se osigurala povjerljivost, integritet i dostupnost informacijske imovine. Prvi dio eseja ispituje proces implementacije sustava upravljanja u organizaciji, a također daje glavne aspekte prednosti implementacije sustava upravljanja informacijskom sigurnošću.

Sl. 1. Kontrolni ciklus

Popis procesa i preporuke kako najbolje organizirati njihovo funkcioniranje dani su u međunarodnoj normi ISO 27001:2005 koja se temelji na ciklusu upravljanja Planiraj-Do-Provjeri-Djeluj. Prema njemu životni ciklus ISMS se sastoji od četiri vrste aktivnosti: Kreiranje - Implementacija i rad - Praćenje i analiza - Održavanje i poboljšanje (Sl. 1). O ovom standardu će se detaljnije govoriti u drugom dijelu.

Ssustavupravljanjeinformacijasigurnost

Sustav upravljanja informacijskom sigurnošću (ISMS) je onaj dio cjelokupnog sustava upravljanja koji se temelji na pristupu poslovnog rizika u kreiranju, implementaciji, radu, praćenju, analizi, podršci i poboljšanju informacijske sigurnosti. ISMS procesi dizajnirani su u skladu sa zahtjevima standarda ISO/IEC 27001:2005 koji se temelji na ciklusu

Rad sustava temelji se na pristupima suvremene teorije upravljanja rizicima, što osigurava njegovu integraciju u cjelokupni sustav upravljanja rizicima organizacije.

Implementacija sustava upravljanja informacijskom sigurnošću podrazumijeva razvoj i provedbu postupka koji ima za cilj sustavnu identifikaciju, analizu i ublažavanje rizika informacijske sigurnosti, odnosno rizika zbog kojih se informacijska imovina (informacije u bilo kojem obliku i bilo koje prirode) izgubit će povjerljivost, integritet i dostupnost.

Kako bi se osiguralo sustavno ublažavanje rizika informacijske sigurnosti, na temelju rezultata procjene rizika, u organizaciji se provode sljedeći procesi:

· Upravljanje unutarnjom organizacijom informacijske sigurnosti.

· Osiguravanje sigurnosti informacija pri interakciji s trećim stranama.

· Vođenje registra informacijske imovine i pravila za njihovu klasifikaciju.

· Upravljanje sigurnošću opreme.

· Osiguravanje fizičke sigurnosti.

· Osiguravanje informacijske sigurnosti osoblja.

· Planiranje i usvajanje informacijskih sustava.

· Sigurnosna kopija.

· Osiguravanje mreže.

Procesi sustava upravljanja informacijskom sigurnošću utječu na sve aspekte upravljanja IT infrastrukturom organizacije, budući da je informacijska sigurnost rezultat održivog funkcioniranja procesa povezanih s informacijskom tehnologijom.

Prilikom izgradnje ISMS-a u tvrtkama, stručnjaci obavljaju sljedeće poslove:

· Organizirati vođenje projekta, formirati projektnu grupu od strane naručitelja i izvođača;

· Definirati područje djelovanja (OD) ISMS-a;

Ispitajte organizaciju u OD ISMS-u:

o u smislu poslovnih procesa organizacije, uključujući analizu negativne posljedice incidenti u informacijskoj sigurnosti;

o u smislu procesa upravljanja organizacijom, uključujući postojeće procese upravljanja kvalitetom i informacijske sigurnosti;

o u pogledu informatičke infrastrukture;

o u smislu infrastrukture informacijske sigurnosti.

Izraditi i dogovoriti analitičko izvješće koje sadrži popis glavnih poslovnih procesa i procjenu posljedica implementacije prijetnji informacijskoj sigurnosti u odnosu na njih, popis procesa upravljanja, informatičkih sustava, podsustava informacijske sigurnosti (ISS), procjena stupnja do kojeg organizacija ispunjava sve zahtjeve ISO 27001 i procjena zrelosti procesnih organizacija;

· Odabrati početnu i ciljnu razinu zrelosti ISMS-a, razviti i odobriti Program poboljšanja zrelosti ISMS-a; razviti dokumentaciju o informacijskoj sigurnosti na visokoj razini:

o Koncept informacijske sigurnosti,

o IS i ISMS politike;

· Odabrati i prilagoditi metodologiju procjene rizika primjenjivu u organizaciji;

· Odabir, opskrba i implementacija softvera koji se koristi za automatizaciju ISMS procesa, organiziranje obuke za stručnjake tvrtke;

· Procijeniti i obraditi rizike, pri čemu se za njihovo smanjenje odabiru mjere iz Dodatka A standarda 27001 i formuliraju zahtjevi za njihovu provedbu u organizaciji, predodabiru tehnička sredstva informacijske sigurnosti;

· Izraditi idejne projekte PIB-a, procijeniti troškove tretmana rizika;

· Dogovoriti odobrenje procjene rizika od strane najvišeg rukovodstva organizacije i izraditi Izjavu o primjenjivosti; razviti organizacijske mjere za osiguranje informacijske sigurnosti;

· Razviti i implementirati tehnički projekti o implementaciji tehničkih podsustava informacijske sigurnosti koji podržavaju provedbu odabranih mjera, uključujući nabavu opreme, puštanje u rad, izradu operativne dokumentacije i obuku korisnika;

· Osigurati konzultacije tijekom rada izgrađenog ISMS-a;

· Organizirati obuku za interne revizore i provoditi interne ISMS revizije.

Rezultat ovih radova je funkcionalni ISMS. Koristi od implementacije ISMS-a u poduzeću postižu se kroz:

· Učinkovito upravljanje usklađenošću sa zakonskim zahtjevima i zahtjevima poslovanja u području informacijske sigurnosti;

· Sprječavanje incidenata IS-a i smanjenje štete u slučaju njihovog nastanka;

· Povećanje kulture informacijske sigurnosti u organizaciji;

· Povećanje zrelosti u području upravljanja informacijskom sigurnošću;

· Optimizacija potrošnje na informacijsku sigurnost.

ISO / IEC27001-- međunarodnistandardnainformacijasigurnost

Ovu normu zajednički su razvili Međunarodna organizacija za standardizaciju (ISO) i Međunarodna elektrotehnička komisija (IEC). Standard sadrži zahtjeve za informacijsku sigurnost za stvaranje, razvoj i održavanje ISMS-a. ISO 27001 utvrđuje zahtjeve za ISMS kako bi se pokazala sposobnost organizacije da zaštiti svoju informacijsku imovinu. Međunarodna norma koristi koncept "informacijske sigurnosti" i tumači se kao osiguranje povjerljivosti, integriteta i dostupnosti informacija. Temelj standarda je sustav upravljanja informacijskim rizikom. Ovaj standard se također može koristiti za ocjenjivanje sukladnosti od strane zainteresiranih unutarnjih i vanjskih strana.

Standard usvaja procesni pristup za stvaranje, implementaciju, rad, kontinuirano praćenje, analizu, održavanje i poboljšanje sustava upravljanja informacijskom sigurnošću (ISMS). Sastoji se od primjene sustava procesa unutar organizacije, zajedno s identifikacijom i interakcijom tih procesa, kao i njihovim upravljanjem.

Međunarodni standard usvaja model Plan-Do-Check-Act (PDCA), koji se također naziva Shewhart-Demingov ciklus. Ovaj ciklus se koristi za strukturiranje svih ISMS procesa. Slika 2 pokazuje kako ISMS uzima zahtjeve za informacijsku sigurnost i očekivanja dionika kao ulazne podatke i kroz potrebne radnje i procese proizvodi rezultate informacijske sigurnosti koji zadovoljavaju te zahtjeve i očekivanja.

Planiranje je faza izrade ISMS-a, izrade inventara imovine, procjene rizika i odabira mjera.

Slika 2. PDCA model primijenjen na ISMS procese

Provedba je faza provedbe i provedbe odgovarajućih mjera.

Pregled je faza procjene učinkovitosti i izvedbe ISMS-a. Obično obavljaju interni revizori.

Akcija - Poduzimanje preventivnih i korektivnih radnji.

Vzaključke

ISO 27001 opisuje opći model za implementaciju i rad ISMS-a te radnje za praćenje i poboljšanje ISMS-a. ISO namjerava uskladiti različite standarde sustava upravljanja kao što su ISO/IEC 9001:2000, koji se bavi upravljanjem kvalitetom, i ISO/IEC 14001:2004, koji se bavi sustavima upravljanja okolišem. Cilj ISO-a je osigurati dosljednost i integraciju ISMS-a s drugim sustavima upravljanja u tvrtki. Sličnost standarda omogućuje korištenje sličnih alata i funkcionalnosti za implementaciju, upravljanje, reviziju, provjeru i certifikaciju. Implikacija je da ako je tvrtka implementirala druge standarde upravljanja, može koristiti jedinstveni sustav revizije i kontrole, što je primjenjivo na upravljanje kvalitetom, upravljanje okolišem, upravljanje sigurnošću itd. Implementacijom ISMS-a, više rukovodstvo dobiva sredstva za praćenje i upravljanje sigurnošću, što smanjuje preostale poslovne rizike. Nakon implementacije ISMS-a, tvrtka može službeno osigurati sigurnost informacija i nastaviti poštivati ​​zahtjeve kupaca, zakonodavstva, regulatora i dioničara.

Treba napomenuti da u zakonodavstvu Ruske Federacije postoji dokument GOST R ISO / IEC 27001-2006, koji je prevedena verzija međunarodne norme ISO27001.

Sškripatiknjiževnost

1.Korneev I.R., Belyaev A.V. Informacijska sigurnost poduzeća. - SPb .: BHV-Petersburg, 2003.-- 752 str.: ilustr.

2. Međunarodni standard ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (datum pristupa: 23.05.12.)

3.Nacionalni standard Ruska Federacija GOST R ISO / IEC 27003 - "Informacijska tehnologija. Sigurnosne metode. Smjernice za implementaciju sustava upravljanja sigurnošću informacija" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (datum pristupa: 23.05.12.)

4. Skiba V.Yu., Kurbatov V.A. Smjernice za zaštitu od unutarnjih prijetnji informacijskoj sigurnosti. SPb .: Petar, 2008 .-- 320 str .: ilustr.

5. Članak slobodne enciklopedije "Wikipedia", "Sustav upravljanja

informacijska sigurnost "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (datum pristupa: 23.05.12.)

6. Sigurjon Thor Arnason i Keith D. Willett "Kako postići 27001 certifikat"

Objavljeno na Allbest.ru

Slični dokumenti

Prijetnje sigurnosti informacija u poduzeću. Identifikacija nedostataka u sustavu informacijske sigurnosti. Ciljevi i zadaci formiranja sustava informacijske sigurnosti. Predložene mjere za poboljšanje sustava informacijske sigurnosti organizacije.

seminarski rad dodan 03.02.2011


Analiza sustava informacijske sigurnosti u poduzeću. Služba za informacijsku sigurnost. Prijetnje informacijske sigurnosti specifične za poduzeće. Metode i sredstva zaštite informacija. Model informacijskog sustava iz sigurnosne perspektive.

seminarski rad dodan 03.02.2011


Glavne faze stvaranja sustava upravljanja u poduzeću Industrija hrane... HACCP kao okosnica svakog sustava upravljanja sigurnošću hrane. Sustav upravljanja sigurnošću hrane. Opasni čimbenici i preventivne radnje.

sažetak dodan 14.10.2014


Suvremeni sustavi upravljanja i njihova integracija. Integrirani sustavi upravljanja kvalitetom. Opis JSC "275 ARZ" i njegov sustav upravljanja. Razvoj sustava upravljanja zaštitom rada. Metode procjene integriranog sigurnosnog sustava.

rad, dodan 31.07.2011


Implementacija sustava upravljanja kvalitetom. Certificiranje sustava upravljanja kvalitetom (ISO 9000), upravljanja okolišem (ISO 14000), sustava upravljanja zdravljem i sigurnošću organizacija (OHSAS 18 001: 2007) na primjeru JSC "Lenta".

sažetak dodan 10.06.2008


Izrada standarda za organizaciju integriranog sustava upravljanja koji uspostavlja jedinstvenu proceduru za provedbu procesa upravljanja dokumentima. Faze stvaranja sustava upravljanja kvalitetom JSC "ZSMK". Smještaj elektronske verzije dokumente.

rad, dodan 01.06.2014


Hijerarhijski dijagram zaposlenika. Alati za informacijsku sigurnost. Sigurnosna pitanja. Dijagram tokova informacija poduzeća. Metode praćenja integriteta informacijskog sustava. Modeliranje kontrole pristupa servisnim informacijama.

seminarski rad, dodan 30.12.2011


Pojam informacijskog sustava upravljanja i njegovo mjesto u zajednički sustav upravljanje. Vrste informacijskih sustava i njihov sadržaj. Koncept menadžmenta kao informacijskog sustava. Funkcije sustava financijskog upravljanja. Sustavi za sklapanje poslova i operacija.

sažetak dodan 01.06.2015


Pojmovi iz područja zaštite zdravlja i sigurnosti na radu. ISO međunarodne standarde o sustavima upravljanja kvalitetom, sustavima upravljanja okolišem, sustavima upravljanja sigurnošću i zdravljem na radu. Prilagodba standarda OHSAS 18001-2007.

seminarski rad dodan 21.12.2014


Karakteristično upravljanje informacijama; subjekti informacijsko-pravnih odnosa; pravni režim za primanje, prijenos, pohranjivanje i korištenje informacija. Značajke i pravni aspekti razmjene informacija i informacijske sigurnosti.