Sustav upravljanja informacijskom sigurnošću. Zakonodavna baza Ruske Federacije. Upravljanje informacijskim rizikom

U svijetu informacijske tehnologije pitanje osiguranja integriteta, pouzdanosti i povjerljivosti informacija postaje prioritet. Stoga, prepoznavanje potrebe za sustavom upravljanja u organizaciji sigurnost informacija(ISMS) je strateška odluka.

Dizajniran je za stvaranje, implementaciju, održavanje i stalno poboljšanje ISMS -a u poduzeću, a primjenom ovog standarda na vanjske partnere postaje očito da je organizacija u stanju ispuniti vlastite zahtjeve za informacijsku sigurnost. U ovom članku raspravljat će se o osnovnim zahtjevima Standarda i raspravljati o njegovoj strukturi.

(ADV31)

Glavni ciljevi standarda ISO 27001

Prije nego što pređemo na opis strukture Standarda, odredimo njegove glavne zadatke i razmotrimo povijest pojavljivanja Standarda u Rusiji.

Ciljevi Standarda:

• osnivanje jedinstveni zahtjevi za sve organizacije za stvaranje, implementaciju i poboljšanje ISMS -a;
• osiguravanje interakcije između višeg rukovodstva i zaposlenika;
• očuvanje povjerljivosti, integriteta i dostupnosti informacija.

Istodobno, zahtjevi utvrđeni Standardom opći su i namjerava ih primijeniti svaka organizacija, bez obzira na njihovu vrstu, veličinu ili prirodu.

Povijest standarda:

• Godine 1995. Britanski institut za standarde (BSI) usvojio je Kodeks upravljanja sigurnošću informacija kao nacionalni britanski standard i registrirao ga pod BS 7799 - 1. dio.
• Godine 1998. BSI objavljuje BS7799-2 u dva dijela, jedan koji sadrži kodeks prakse, a drugi zahtjeve za sustave upravljanja informacijskom sigurnošću.
• Tijekom naknadnih revizija prvi je dio objavljen kao BS 7799: 1999, 1. dio. Godine 1999. ova verzija standarda prenesena je u Međunarodnu organizaciju za certificiranje.
• Ovaj je dokument 2000. godine odobren kao međunarodni standard ISO / IEC 17799: 2000 (BS 7799-1: 2000). Najnovija verzija ove norme, usvojene 2005. godine, je ISO / IEC 17799: 2005.
• U rujnu 2002. stupio je na snagu drugi dio BS 7799 "Specifikacija sustava upravljanja sigurnošću informacija". Drugi dio BS 7799 revidiran je 2002. godine, a krajem 2005. ISO ga je usvojio kao međunarodnu normu ISO / IEC 27001: 2005 "Informacijska tehnologija - Sigurnosne tehnike - Sustavi upravljanja informacijskom sigurnošću - Zahtjevi".
• Godine 2005. standard ISO / IEC 17799 uključen je u niz standarda 27. serije i primljen novi broj- ISO / IEC 27002: 2005.
• Dana 25. rujna 2013. objavljen je ažurirani ISO / IEC 27001: 2013 “Sustavi upravljanja informacijskom sigurnošću”. Zahtjevi ". Trenutno su organizacije certificirane prema ovoj verziji Standarda.

Struktura standarda

Jedna od prednosti ovog standarda je sličnost njegove strukture s ISO 9001, budući da sadrži identične naslove potklauzula, identičan tekst, uobičajene pojmove i osnovne definicije. Ova okolnost štedi vrijeme i novac, budući da je dio dokumentacije već izrađen tijekom certifikacije ISO 9001.

Ako govorimo o strukturi Standarda, to je popis zahtjeva ISMS -a koji su obvezni za certificiranje i sastoji se od sljedećih odjeljaka:

Zahtjevi "Dodatka A" su obvezni, ali standard vam omogućuje da isključite područja koja se ne mogu primijeniti u poduzeću.

Prilikom uvođenja Standarda u poduzeće radi daljnjeg certificiranja, valja imati na umu da nisu dopuštene iznimke od zahtjeva utvrđenih u odjeljcima 4-10. O tim će se odjeljcima dalje raspravljati.

Počnimo s odjeljkom 4 - Kontekst organizacije

Kontekst organizacije

U ovom odjeljku Standard zahtijeva od organizacije da identificira vanjska i unutarnja pitanja koja su relevantna za njezine ciljeve i koja utječu na sposobnost njenog ISMS -a da postigne očekivane rezultate. Pritom biste trebali uzeti u obzir zakonske, regulatorne i ugovorne obveze informacijske sigurnosti. Organizacija bi također trebala definirati i dokumentirati opseg i primjenjivost ISMS -a kako bi utvrdila njegov opseg.

Rukovodstvo

Najviši menadžment trebao bi pokazati vodstvo i predanost sustavu upravljanja informacijskom sigurnošću, na primjer, osiguravajući da su politika informacijske sigurnosti i ciljevi informacijske sigurnosti uspostavljeni i usklađeni sa strategijom organizacije. Također, najviše rukovodstvo treba osigurati da su osigurani svi potrebni resursi za ISMS. Drugim riječima, zaposlenicima bi trebalo biti očito da je uprava uključena u pitanja sigurnosti informacija.

Politiku informacijske sigurnosti treba dokumentirati i priopćiti zaposlenicima. Ovaj dokument nalikuje politici kvalitete ISO 9001. Također bi trebao biti prikladan za potrebe organizacije i uključivati ​​ciljeve informacijske sigurnosti. Dobro je ako su to stvarni ciljevi, poput očuvanja povjerljivosti i integriteta informacija.

Također se očekuje da će menadžment raspodijeliti funkcije i odgovornosti u vezi sa zaštitom informacija među zaposlenicima.

Planiranje

U ovom odjeljku dolazimo do prve faze načela upravljanja PDCA (Plan - Do - Check - Act) - planirajte, izvršite, provjerite, djelujte.

Prilikom planiranja sustava upravljanja informacijskom sigurnošću, organizacija bi trebala uzeti u obzir pitanja navedena u točki 4. te utvrditi rizike i potencijalne mogućnosti koje je potrebno uzeti u obzir kako bi se osiguralo da ISMS može postići očekivane rezultate, spriječiti neželjene učinke, i postići stalno poboljšanje.

Prilikom planiranja načina postizanja svojih ciljeva informacijske sigurnosti, organizacija bi trebala utvrditi:

• što će se učiniti;
• koji će resursi biti potrebni;
• tko će biti glavni;
• kada su ciljevi postignuti;
• kako će se rezultati ocijeniti.

Osim toga, organizacija će zadržati podatke o ciljevima informacijske sigurnosti kao dokumentirane informacije.

Sigurnost

Organizacija će odrediti i osigurati resurse potrebne za razvoj, provedbu, održavanje i stalno poboljšanje ISMS -a, što uključuje i osoblje i dokumentaciju. Što se tiče osoblja, od organizacije se očekuje da zaposli kvalificirano i kompetentno osoblje za sigurnost informacija. Kvalifikacije zaposlenika moraju biti potvrđene certifikatima, diplomama itd. Ugovorom je moguće privući stručnjake treće strane ili osposobiti svoje zaposlenike. Što se tiče dokumentacije, ona bi trebala uključivati:

• dokumentirane informacije koje zahtijeva Standard;
• dokumentirane informacije koje je organizacija odredila kao potrebne za osiguranje učinkovitosti sustava upravljanja informacijskom sigurnošću.

Dokumentirane informacije koje zahtijevaju ISMS i Standard moraju se kontrolirati kako bi se osiguralo da:

• dostupni i prikladni za uporabu gdje i kada je potrebno, i
• odgovarajuće zaštićene (na primjer, od gubitka povjerljivosti, zlouporabe ili gubitka integriteta).

Funkcioniranje

Ovaj odjeljak govori o drugoj fazi načela upravljanja PDCA - potrebi organizacije da upravlja svojim procesima kako bi osigurala usklađenost i izvršila aktivnosti navedene u odjeljku Planiranje. Također se navodi da bi organizacija trebala provoditi procjenu rizika informacijske sigurnosti u planiranim intervalima ili kada se predlažu ili su se dogodile značajne promjene. Organizacija će zadržati rezultate procjene rizika za sigurnost informacija kao dokumentirane informacije.

Vrednovanje uspješnosti

Treća faza je provjera. Organizacija će ocijeniti rad i učinkovitost ISMS -a. Na primjer, mora provesti unutarnju reviziju kako bi dobila informacije o tome je li

1. Je li sustav upravljanja zaštitom podataka dosljedan
   • vlastite zahtjeve organizacije za njezin sustav upravljanja informacijskom sigurnošću;
   • zahtjeve Standarda;
2. da se sustav upravljanja informacijskom sigurnošću učinkovito provodi i radi.

Podrazumijeva se da opseg i vrijeme revizije treba planirati unaprijed. Svi rezultati moraju biti dokumentirani i sačuvani.

Poboljšanje

Poanta ovog odjeljka je odrediti tijek radnje kada se otkrije neusklađenost. Organizacija mora ispraviti nedosljednosti, posljedice i analizirati situaciju kako se to ne bi dogodilo u budućnosti. Sve neusklađenosti i korektivne radnje treba dokumentirati.

Ovime se završavaju glavni dijelovi Standarda. Dodatak A daje specifičnije zahtjeve koje organizacija mora ispuniti. Na primjer, u smislu kontrole pristupa, koristite Mobilni uredaji i nositelji informacija.

Prednosti implementacije i certifikacije ISO 27001

• povećanje statusa organizacije i, shodno tome, povjerenje partnera;
• povećanje stabilnosti funkcioniranja organizacije;
• povećanje razine zaštite od prijetnji informacijskoj sigurnosti;
• osiguravanje potrebne razine povjerljivosti informacija zainteresiranih strana;
• proširenje sposobnosti organizacije da sudjeluje u velikim ugovorima.

Ekonomske koristi su:

• neovisna potvrda od strane certifikacijskog tijela da organizacija ima visoku razinu informacijske sigurnosti koju kontrolira nadležno osoblje;
• dokaz o usklađenosti s važećim zakonima i propisima (usklađenost sa sustavom obveznih zahtjeva);
• demonstracija određene visoke razine sustava upravljanja kako bi se osigurala odgovarajuća razina usluge korisnicima i partnerima organizacije;
• Demonstracija redovitih revizija sustava upravljanja, ocjena rada i stalno poboljšanje.

Ovjera

Organizaciju mogu certificirati akreditirane agencije u skladu s ovim standardom. Proces certifikacije sastoji se od tri faze:

• 1. faza - revizorova studija ključnih dokumenata ISMS -a o usklađenosti sa zahtjevima Standarda - može se izvesti i na teritoriju organizacije i prijenosom tih dokumenata vanjskom revizoru;
• 2. faza - detaljna revizija, uključujući testiranje provedenih mjera, te procjena njihove učinkovitosti. Uključuje cjelovitu studiju dokumenata zahtijevanih standardom;
• 3. faza - provedba inspekcijskog pregleda kako bi se potvrdilo da certificirana organizacija ispunjava navedene zahtjeve. Periodično se izvodi.

Ishod

Kao što vidite, korištenje ovog standarda u poduzeću omogućit će kvalitativno poboljšanje razine informacijske sigurnosti, što je skupo u uvjetima suvremene stvarnosti. Standard sadrži mnoge zahtjeve, ali najvažniji zahtjev je učiniti ono što je napisano! Bez primjene zahtjeva standarda, pretvara se u prazan skup papira.

GOST R ISO / IEC 27001-2006 „Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Sustavi upravljanja informacijskom sigurnošću. Zahtjevi "

Razvojnici standarda napominju da je pripremljen kao model za razvoj, implementaciju, rad, praćenje, analizu, podršku i poboljšanje sustava upravljanja informacijskom sigurnošću (ISMS). ISMS (engleski - sustav upravljanja informacijskom sigurnošću; ISMS) definiran je kao dio cjelokupnog sustava upravljanja koji se temelji na korištenju metoda procjene poslovnih rizika za razvoj, implementaciju, rad, praćenje, analizu, podršku i poboljšanje informacijske sigurnosti. Sustav upravljanja uključuje organizacijska struktura, politike, aktivnosti planiranja, odgovornosti, prakse, postupci, procesi i resursi.

Standard pretpostavlja korištenje procesnog pristupa za razvoj, implementaciju, rad, praćenje, analizu, podršku i poboljšanje ISMS -a organizacije. Temelji se na modelu Plan - Do - Check - Act (PDCA), koji se može primijeniti za strukturiranje svih procesa ISMS -a. Na sl. 4.4 prikazuje kako ISMS, koristeći zahtjeve za informacijsku sigurnost i očekivane rezultate zainteresiranih strana kao ulaz, kroz potrebne radnje i procese, osigurava izlazne podatke informacijske sigurnosti koji zadovoljavaju ove zahtjeve i očekivane rezultate.

Riža. 4.4.

Na pozornici "Razvoj sustava upravljanja informacijskom sigurnošću" organizacija bi trebala učiniti sljedeće:

• - definirati opseg i granice ISMS -a;
• - odrediti politiku ISMS -a na temelju karakteristika poduzeća, organizacije, njenog položaja, imovine i tehnologije;
• - odrediti pristup procjeni rizika u organizaciji;
• - identificirati rizike;
• - analizirati i procijeniti rizike;
• - identificirati i procijeniti različite mogućnosti za liječenje rizika;
• - odabrati ciljeve i kontrole za tretiranje rizika;
• - ishoditi odobrenje uprave za predviđene preostale rizike;
• - ishoditi dopuštenje uprave za implementaciju i rad ISMS -a;
• - pripremiti Izjavu o primjenjivosti.

Pozornica " Implementacija i rad sustava upravljanja informacijskom sigurnošću " predlaže da organizacija treba:

• - izraditi plan tretmana rizika koji definira odgovarajuće upravljačke radnje, resurse, odgovornosti i prioritete za upravljanje rizikom informacijske sigurnosti;
• - provesti plan tretiranja rizika radi postizanja predviđenih ciljeva upravljanja, koji uključuje pitanja financiranja, kao i raspodjelu uloga i odgovornosti;
• - provesti odabrane mjere upravljanja;
• - odrediti način mjerenja učinkovitosti odabranih mjera kontrole;
• - provoditi programe osposobljavanja i stručnog usavršavanja zaposlenika;
• - upravljati radom ISMS -a;
• - upravljati resursima ISMS -a;
• - provesti postupke i druge kontrolne mjere kako bi se osiguralo brzo otkrivanje događaja informacijske sigurnosti i odgovor na incidente informacijske sigurnosti.

Treća faza " Praćenje i analiza sustava upravljanja informacijskom sigurnošću " zahtijeva:

• - provesti postupke praćenja i analize;
• - provoditi redovitu analizu učinkovitosti ISMS -a;
• - izmjeriti učinkovitost kontrola radi provjere usklađenosti sa zahtjevima IS -a;
• - revidirati procjene rizika u određenim vremenskim intervalima, analizirati preostale rizike i utvrđene prihvatljive razine rizika, uzimajući u obzir promjene;
• - provoditi unutarnje revizije ISMS -a u određenim vremenskim intervalima;
• - redovito provoditi analizu ISMS -a od strane menadžmenta organizacije kako bi potvrdio primjerenost funkcioniranja SS i utvrdio smjernice za poboljšanje;
• - ažurirati planove IS uzimajući u obzir rezultate analize i praćenja;
• - bilježiti radnje i događaje koji bi mogli utjecati na učinkovitost ili rad ISMS -a.

Konačno, pozornica "Podrška i poboljšanje sustava upravljanja informacijskom sigurnošću" predlaže da organizacija treba redovito provoditi sljedeće aktivnosti:

• - identificirati mogućnosti za poboljšanje ISMS -a;
• - poduzimati potrebne korektivne i preventivne radnje, u praksi koristiti iskustvo IS -a stečeno kako u vlastitoj organizaciji tako i u drugim organizacijama;
• - prenijeti detaljne informacije o mjerama za poboljšanje ISMS -a svim zainteresiranim stranama, dok stupanj njegove detaljnosti treba odgovarati okolnostima i, ako je potrebno, dogovoriti daljnje radnje;
• - osigurati provedbu poboljšanja ISMS -a radi postizanja planiranih ciljeva.

Dalje u standardu dati su zahtjevi za dokumentaciju, koji bi trebali uključivati ​​odredbe politike ISMS -a i opis područja djelovanja, opis metodologije i izvješće o procjeni rizika, plan tretmana rizika i dokumentaciju srodnih postupaka. Treba definirati i postupak upravljanja dokumentima ISMS -a, uključujući ažuriranje, uporabu, pohranu i odlaganje.

Kako bi se pružili dokazi o usklađenosti sa zahtjevima i učinkovitosti ISMS -a, potrebno je voditi i voditi evidenciju i evidenciju o izvođenju procesa. Primjeri uključuju zapisnike posjetitelja, revizorska izvješća itd.

Standard specificira da je menadžment organizacije odgovoran za osiguravanje i upravljanje resursima potrebnim za uspostavu ISMS -a i za organizaciju obuke osoblja.

Kao što je prethodno navedeno, organizacija bi trebala provesti interne revizije ISMS -a u skladu s odobrenim rasporedom kako bi procijenila svoju funkcionalnost i usklađenost sa standardom. Uprava bi trebala provesti analizu sustava upravljanja informacijskom sigurnošću.

Također, trebalo bi raditi na poboljšanju sustava upravljanja sigurnošću informacija: povećati njegovu učinkovitost i razinu usklađenosti s trenutnim stanjem sustava i postavljenim zahtjevima.

Uvod

Brzo rastuća tvrtka, kao i gigant u svom segmentu, zainteresirana je za zaradu i zaštitu od utjecaja uljeza. Ako je ranije krađa materijalnih vrijednosti bila glavna opasnost, onda se danas glavna uloga krađe javlja u odnosu na vrijedne informacije. Prevođenje značajnog dijela informacija u elektronički oblik, korištenje lokalnih i globalnih mreža stvaraju kvalitativno nove prijetnje povjerljivim podacima.

Banke su posebno osjetljive na curenje informacija, upravljačke organizacije, osiguravajuća društva. Zaštita informacija u poduzeću je skup mjera koje osiguravaju sigurnost podataka o klijentima i zaposlenicima, važne elektronički dokumenti i sve vrste informacija, tajni. Svako poduzeće opremljeno je računalnom opremom i pristupom World Wide Webu. Napadači se vješto povezuju s gotovo svakom komponentom ovog sustava i koriste veliki arsenal (virusi, zlonamjerni softver, pogađanje lozinki itd.) Za krađu vrijednih informacija. Sustav informacijske sigurnosti mora se implementirati u svaku organizaciju. Voditelji moraju prikupljati, analizirati i kategorizirati sve vrste informacija koje je potrebno zaštititi te koristiti odgovarajući sigurnosni sustav. No to neće biti dovoljno jer, osim tehnologije, postoji i ljudski faktor koji također može uspješno propustiti informacije konkurentima. Važno je pravilno organizirati zaštitu vašeg poduzeća na svim razinama. U te se svrhe koristi sustav upravljanja informacijskom sigurnošću uz pomoć kojeg će upravitelj uspostaviti kontinuirani proces praćenja poslovanja i osigurati visoku razinu sigurnosti svojih podataka.

1. Relevantnost teme

Za svakoga moderno poduzeće, tvrtke ili organizacije, jedan od najvažnijih zadataka upravo je osiguranje informacijske sigurnosti. Kad poduzeće stabilno štiti svoj informacijski sustav, ono stvara pouzdano i sigurno okruženje za svoje poslovanje. Šteta, curenje, nedostatak i krađa informacija uvijek su gubici za svaku tvrtku. Stoga je stvaranje sustava upravljanja informacijskom sigurnošću u poduzećima hitno pitanje našeg vremena.

2. Ciljevi i zadaci studije

Analizirati načine stvaranja sustava upravljanja informacijskom sigurnošću u poduzeću, uzimajući u obzir posebnosti Donjecke regije.

• analizirati stanje tehnike sustavi upravljanja informacijskom sigurnošću u poduzećima;
• identificirati razloge za stvaranje i provedbu sustava upravljanja informacijskom sigurnošću u poduzećima;
• razviti i implementirati sustav upravljanja informacijskom sigurnošću na primjeru poduzeća PJSC Donetsk Plant Rescue Equipment Plant;
• procijeniti učinkovitost, učinkovitost i ekonomsku izvedivost uvođenja sustava upravljanja informacijskom sigurnošću u poduzeće.

3. Sustav upravljanja informacijskom sigurnošću

Pod informacijskom se sigurnošću podrazumijeva stanje zaštite informacija i prateće infrastrukture od slučajnih ili namjernih utjecaja prirodne ili umjetne prirode (prijetnje informacijama, prijetnje sigurnosti informacija), koje mogu nanijeti neprihvatljivu štetu subjektima informacijskih odnosa.

Dostupnost informacija - svojstvo sustava da osigurava pravovremeni neometan pristup ovlaštenim (ovlaštenim) subjektima informacijama koje ih zanimaju ili da vrši pravovremenu razmjenu informacija među njima.

Integritet informacija svojstvo je informacija koje karakterizira otpor prema slučajnom ili namjernom uništavanju ili neovlaštenoj promjeni. Integritet se može podijeliti na statički (shvaćen kao nepromjenljivost informacijskih objekata) i dinamički (povezan s ispravnim izvršavanjem složenih radnji (transakcija)).

Povjerljivost podataka svojstvo je informacija da budu poznati i dostupni samo ovlaštenim subjektima sustava (korisnicima, programima, procesima). Povjerljivost je najrazvijeniji aspekt informacijske sigurnosti u našoj zemlji.

Sustav upravljanja informacijskom sigurnošću (u daljnjem tekstu ISMS) dio je općeg sustava upravljanja koji se temelji na pristupima poslovnom riziku, namijenjen uspostavi, implementaciji, upravljanju, praćenju, održavanju i poboljšanju informacijske sigurnosti.

Glavni čimbenici koji utječu na zaštitu informacija i podataka u poduzeću su:

• Poboljšanje suradnje tvrtke s partnerima;
• Automatizacija poslovnih procesa;
• Tendencija povećanja opsega informacija poduzeća koje se prenose dostupnim komunikacijskim kanalima;
• Uzlazni trend računalnog kriminala.

Zadaci sustava informacijske sigurnosti tvrtke višestruki su. Na primjer, ovo je pružanje pouzdane pohrane podataka na različitim medijima; zaštita informacija prenesenih komunikacijskim kanalima; ograničavanje pristupa nekim podacima; stvaranje sigurnosnih kopija i još mnogo toga.

Potpuna informacijska sigurnost tvrtke stvarna je samo uz pravi pristup zaštiti podataka. U sustavu informacijske sigurnosti potrebno je uzeti u obzir sve trenutne prijetnje i ranjivosti.

Jedan od najučinkovitijih alata za upravljanje i zaštitu informacija je sustav upravljanja informacijskom sigurnošću izgrađen na temelju modela MS ISO / IEC 27001: 2005. Standard se temelji na procesni pristup razvoju, implementaciji, radu, praćenju, analizi, održavanju i poboljšanju ISMS -a tvrtke. Sastoji se u stvaranju i primjeni sustava upravljačkih procesa koji su međusobno povezani u kontinuiranom ciklusu planiranja, provedbe, provjere i poboljšanja ISMS -a.

Ovaj međunarodni standard pripremljen je s ciljem stvaranja modela za implementaciju, implementaciju, rad, praćenje, analizu, održavanje i poboljšanje ISMS -a.

Glavni čimbenici za implementaciju ISMS -a:

• zakonodavni - zahtjevi važećeg nacionalnog zakonodavstva u pogledu IS -a, međunarodni zahtjevi;
• konkurentni - poštivanje razine, elitizam, zaštita njihove nematerijalne imovine, superiornost;
• suzbijanje kriminala - zaštita od napadača (bijeli ovratnici), sprječavanje nestašluka i tajni nadzor, prikupljanje dokaza za postupke.

Struktura dokumentacije o sigurnosti informacija prikazana je na slici 1.

Slika 1 - Struktura dokumentacije u području informacijske sigurnosti

4. Izgradnja ISMS -a

Zagovornici ISO -a koriste PDCA model za stvaranje ISMS -a. ISO ovaj model primjenjuje na mnoge svoje standarde upravljanja, a ISO 27001 nije iznimka. Osim toga, slijeđenje PDCA modela u organizaciji procesa upravljanja omogućuje vam korištenje istih tehnika u budućnosti - za upravljanje kvalitetom, upravljanje okolišem, upravljanje sigurnošću, kao i u drugim područjima upravljanja, što smanjuje troškove. Stoga je PDCA izvrstan izbor koji u potpunosti ispunjava zadatke stvaranja i održavanja ISMS -a. Drugim riječima, faze PDCA definiraju kako uspostaviti politike, ciljeve, procese i postupke primjerene rizicima s kojima se treba nositi (faza Plana), provesti i koristiti (Učiniti fazu), procijeniti i, gdje je to moguće, mjeriti rezultate procesa od točka perspektive politike (faza provjere - Provjera), poduzmite korektivne i preventivne radnje (faza poboljšanja - Zakon). Dodatni koncepti koji nisu dio ISO standarda koji mogu biti korisni u stvaranju ISMS-a su: navedite kako bi trebalo biti (biti); stanje kakvo jest (kakvo jest); prijelazni plan.

Temelj ISO 27001 je sustav upravljanja informacijskim rizikom.

Faze stvaranja ISMS -a

U sklopu rada na stvaranju ISMS -a mogu se razlikovati sljedeće glavne faze:

Slika 2 - PDCA model za upravljanje sigurnošću informacija (animacija: 6 sličica, 6 ponavljanja, 246 kilobajta)

5. Upravljanje informacijskim rizikom

Upravljanje rizicima razmatra se na administrativnoj razini informacijske sigurnosti, budući da je samo menadžment organizacije u stanju dodijeliti potrebna sredstva, pokrenuti i kontrolirati provedbu relevantnih programa.

Korištenje informacijskih sustava povezano je s određenim nizom rizika. Kad je potencijalna šteta neprihvatljivo velika, potrebno je poduzeti ekonomski opravdane mjere zaštite. Periodična (re) procjena rizika neophodna je za praćenje učinkovitosti sigurnosnih aktivnosti i uzimanje u obzir promjena u okruženju.

Bit aktivnosti upravljanja rizicima je procijeniti njihovu veličinu, razviti učinkovite i isplative mjere za smanjenje rizika, a zatim osigurati da su rizici sadržani u prihvatljivim granicama (i takvi ostaju).

Proces upravljanja rizicima može se podijeliti u sljedeće faze:

1. Izbor analiziranih objekata i razina pojedinosti njihova razmatranja.
2. Izbor metodologije procjene rizika.
3. Identifikacija imovine.
4. Analiza prijetnji i njihovih posljedica, identifikacija ranjivosti u zaštiti.
5. Procjena rizika.
6. Izbor zaštitnih mjera.
7. Provedba i provjera odabranih mjera.
8. Procjena zaostalog rizika.

Upravljanje rizicima, kao i svaku drugu aktivnost zaštite podataka, treba integrirati životni ciklus IP. Tada je učinak najveći, a troškovi minimalni.

Vrlo je važno odabrati razumnu metodologiju procjene rizika. Svrha procjene je dobiti odgovor na dva pitanja: jesu li postojeći rizici prihvatljivi, a ako ne, koju zaštitnu opremu treba koristiti. To znači da bi procjena trebala biti kvantitativna, dopuštajući usporedbu s unaprijed odabranim granicama dopuštenosti i troškovima implementacije novih sigurnosnih regulatora. Upravljanje rizicima tipičan je zadatak optimizacije i ima ih dosta softverskih proizvoda koji mogu pomoći u rješavanju tog problema (ponekad su takvi proizvodi jednostavno priloženi uz knjige o sigurnosti informacija). Temeljna je poteškoća ipak netočnost početnih podataka. Naravno, možete pokušati dobiti novčani izraz za sve analizirane količine, izračunati sve do najbližeg centa, ali u tome nema puno smisla. Praktičnije je koristiti konvencionalne jedinice. U najjednostavnijem i savršeno prihvatljivom slučaju možete koristiti ljestvicu s tri točke.

Glavne faze upravljanja rizicima.

Prvi korak u analizi prijetnji je njihovo prepoznavanje. Vrste prijetnji koje se razmatraju trebaju biti odabrane na temelju zdravog razuma (isključujući, na primjer, potrese, ali ne zaboravljajući ni mogućnost da organizaciju zauzmu teroristi), ali unutar odabranih vrsta provedite najdetaljniju analizu.

Preporučljivo je identificirati ne samo prijetnje, već i izvore njihovih pojavljivanja - to će pomoći pri odabiru dodatnih sredstava zaštite.

Nakon identificiranja prijetnje potrebno je procijeniti vjerojatnost njezine provedbe. Dopušteno je koristiti ljestvicu s tri stupnja (niska (1), srednja (2) i velika (3) vjerojatnost).

Ako se pokazalo da su neki rizici neprihvatljivo visoki, potrebno ih je neutralizirati provedbom dodatnih mjera zaštite. U pravilu, za uklanjanje ili neutraliziranje ranjivosti koja je prijetnju učinila stvarnom, postoji nekoliko sigurnosnih mehanizama koji se razlikuju po učinkovitosti i cijeni.

Kao i kod svake druge aktivnosti, implementaciju i testiranje novih sigurnosnih regulatora treba unaprijed planirati. Plan mora uzeti u obzir prisutnost financijska sredstva te vrijeme osposobljavanja osoblja. Ako govorimo o softverskom i hardverskom zaštitnom mehanizmu, morate sastaviti plan ispitivanja (autonomni i složeni).

Kad se poduzmu predviđene mjere, potrebno je provjeriti njihovu učinkovitost, odnosno provjeriti jesu li preostali rizici postali prihvatljivi. Ako je to doista tako, onda možete sigurno zakazati datum sljedeće revalorizacije. U protivnom ćete morati analizirati učinjene greške i odmah ponovno pokrenuti sesiju upravljanja rizicima.

zaključci

Svaki čelnik poduzeća brine se o svom poslu i stoga mora shvatiti da je odluka o implementaciji sustava upravljanja informacijskom sigurnošću (ISMS) važan korak koji će smanjiti rizik gubitka imovine poduzeća / organizacije i smanjiti financijske gubitke, a u nekim slučajevima izbjeći bankrot.

Zaštita informacija važna je za poduzeća, kako privatnog tako i javnog sektora. Treba ga promatrati kao alat za procjenu, analizu i minimiziranje povezanih rizika.

Sigurnost koja se može postići tehnologijom je ograničena i treba je održavati odgovarajućim kontrolama i postupcima.

Definiranje kontrola zahtijeva pažljivo planiranje i pažnju.

Za učinkovitu zaštitu informacija potrebno je razviti najprikladnije sigurnosne mjere koje se mogu postići identificiranjem glavnih rizika od informacija u sustavu i provedbom odgovarajućih mjera.

Biyachuev T.A. Sigurnost korporativne mreže/ ur. L.G. Osovetsky. - SPb .: Nakladništvo SPb GU ITMO, 2006..- 161 str.

Šahalov Igor Jurijevič

O pitanju integracije sustava upravljanja kvalitetom i informacijske sigurnosti

Sažetak: Razmatraju se međunarodni standardi ISO 27001 i ISO 9001. Analiziraju se sličnosti i razlike između sustava upravljanja kvalitetom i sustava upravljanja informacijskom sigurnošću. Prikazana je mogućnost integracije sustava upravljanja kvalitetom i sustava upravljanja informacijskom sigurnošću. Dane su glavne faze izgradnje i implementacije integriranog sustava upravljanja sigurnošću informacija. Prikazane su prednosti integriranog pristupa.

Ključne riječi: sustavi upravljanja informacijskom sigurnošću, integrirani sustavi upravljanja, ISMS, QMS, ISO 27001.

Natalia Olegovna

Uvod

V. moderni svijet s pojavom zajedničkog i prikladnog tehnički uređaji problem zaštite informacija pojavio se prilično oštro. Uz objavljivanje kvalitetnih proizvoda ili pružanje usluga poduzećima i organizacijama, važno je čuvati tajne potrebne podatke od konkurenata kako bi ostali u povoljnom položaju na tržištu. U natjecateljskoj borbi raširene su različite radnje usmjerene na dobivanje (dobivanje, stjecanje) povjerljivih informacija. različiti putevi, do izravne industrijske špijunaže korištenjem suvremenih tehničkih sredstava inteligencije.

Tako organizacije koje se pridržavaju najboljih svjetskih praksi koje sadrže zahtjeve, smjernice za implementaciju sustava upravljanja poslovnim procesima postaju lideri na tržištu. Najbolji standardi za projektiranje, implementaciju, praćenje i poboljšanje takvih sustava dokumenti su Međunarodne organizacije za standardizaciju (ISO). Posebnu pozornost treba posvetiti standardima serija ISO 900x i ISO 2700x, koji prikupljaju najbolje prakse za implementaciju sustava upravljanja kvalitetom (QMS) i sustava upravljanja informacijskom sigurnošću (ISMS).

Sustav upravljanja kvalitetom, implementiran u skladu sa zahtjevima standarda ISO 9001, odavno je prepoznat kao sastavni atribut uspješne tvrtke koja proizvodi visokokvalitetne proizvode ili pruža usluge visoke klase. Danas je dostupnost certifikata o sukladnosti i učinkovito marketinško rješenje i mehanizam za kontrolu proizvodnih procesa. QMS revizija je dobro razvijeno područje poslovanja.

Ovisnost uspješnih aktivnosti tvrtke o korporacijski sustav zaštita informacija. To je posljedica povećanja količine vitalnih podataka obrađenih u korporacijskom informacijskom sustavu. Informacijski sustavi postaju sve složeniji, a raste i broj ranjivosti koje se u njima nalaze. ISMS revizija omogućuje procjenu trenutnog stanja sigurnosti funkcioniranja korporacijskog informacijskog sustava,

procijeniti i predvidjeti rizike, upravljati njihovim utjecajem na poslovne procese tvrtke.

Budući da je standard ISO 9001 dugo zauzimao vodeće mjesto u broju certifikata u svijetu, a standard ISO 27001 pokazuje tendenciju povećanja certifikacije sustava upravljanja informacijskom sigurnošću, preporučljivo je razmotriti moguću interakciju i integracija QMS -a i ISMS -a.

Integracija standarda

Na prvi pogled, upravljanje kvalitetom i sigurnost informacija potpuno su različita područja. Međutim, u praksi su blisko povezani i čine jednu cjelinu (slika 1). Zadovoljstvo korisnika, koji je objektivan cilj kvalitete, svake godine sve više ovisi o dostupnosti informacijskih tehnologija i o sigurnosti podataka za čije se održavanje koristi standard ISO 27001. S druge strane, standard ISO 9001 točno se podudara korporativne ciljeve organizacije, pomažući u osiguravanju sigurnosti. Zahvaljujući integriranom pristupu, ISO 27001 može se učinkovito integrirati u postojeći sustav upravljanja kvalitetom ili implementirati zajedno sa sustavom upravljanja kvalitetom.

(ISO 27001) i upravljanje IT uslugama (ISO 20000) imaju sličnu strukturu i pristup procesu. Time se stvara sinergija koja se isplati: u praksi integrirani sustav upravljanja tekućim operacijama štedi 20 do 30 posto ukupnih troškova optimizacije sustava, provjera i revizija.

Standardi sigurnosti informacija i upravljanja kvalitetom imaju za cilj stalno poboljšanje u skladu s modelom Plan-Do-Check-Act (PDCA) poznatim kao Demingov ciklus (vidi sliku 2). Osim toga, slične su strukture, što je prikazano u dopisnoj tablici u Prilogu C ISO 27001. Obje norme definiraju pristup procesa, opseg, zahtjeve sustava i dokumentacije te administrativnu odgovornost. U oba slučaja, struktura završava unutarnjom revizijom, pregledom uprave i poboljšanjem sustava. Pri tome oba sustava međusobno djeluju. Na primjer, ISO 9001 zahtijeva upravljanje neusklađenim proizvodima. Slično, standard ISO 27001 ima zahtjev za upravljanje incidentima za rješavanje kvarova.

Riža. 1. Sfere međudjelovanja i sličnosti QMS -a i ISMS -a

Riža. 2. Demingov ciklus

Više od 27.200 organizacija različitih industrija u više od 100 zemalja svijeta certificirano je za usklađenost s ISO 9001: 2008 za upravljanje kvalitetom. Ovisno o tržištu i zakonskim zahtjevima, mnoge organizacije sve su prisiljenije baviti se informacijskom sigurnošću. U tom smislu, integracija upravljačkog sustava nudi stvarne mogućnosti. Složeni pristup zanimljivo i za tvrtke koje do sada nisu koristile nikakve procese upravljanja. ISO standardi za kvalitetu (ISO 9001), zaštitu okoliša (ISO 14000), sigurnost informacija

Razlike između standarda korisne su za međusobno nadopunjavanje, što odlučujuće pridonosi povećanju poslovnog uspjeha. Na primjer, ISO 9001 zahtijeva definiranje korporativnih ciljeva, usredotočenost na korisnika i mjerljivost, u kojoj su mjeri ciljevi i zadaci ispunjeni. To su tri pitanja koja nisu u središtu interesa ISO 27001. S druge strane, ovaj standard daje prioritet upravljanju rizicima radi održavanja kontinuiteta poslovanja i nudi detaljnu pomoć u implementaciji ISMS -a. U usporedbi

s tim je ISO 9001 više teoretski standard.

ISO 27001 - standard ne samo za IT

Mnogi ljudi misle da je standard ISO 27001 samo za IT procese, ali u stvarnosti to nije tako. Temeljna točka za implementaciju ISO 27001 SM & B standarda je definicija imovine.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ ireiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Riža. 3. Vrste imovine

Pod imovinom se razumije sve što je vrijedno za poduzeće (slika 3). Odnosno, imovina može biti: ljudski resursi, infrastruktura, alati, oprema, komunikacije, usluge i sva druga imovina, uključujući usluge opskrbe kupljenih proizvoda. Na temelju procesa tvrtka utvrđuje koju imovinu posjeduje i koja su sredstva uključena u kritične procese te procjenjuje vrijednost imovine. I tek nakon toga vrši se procjena rizika za svu vrijednu imovinu. Dakle, ISMS nije namijenjen samo digitalnim informacijama u kojima se obrađuje automatizirani sustav... Na primjer, neki od najkritičnijih procesa uključuju

Priprema

planovi događaja

2 Provjerite H: i podudaranje

sa pohranom tiskanih kopija informacija, što je također obuhvaćeno ISO 27001. ISMS pokriva sve načine na koje važna informacija u vašem poduzeću: počevši od toga kako je vaš e -pošte zaštićen, završavajući time gdje se osobni dosjei zaposlenika pohranjuju u zgradi.

Stoga je velika zabluda da budući da je standard usmjeren na izgradnju sustava upravljanja informacijskom sigurnošću, to se može odnositi samo na podatke pohranjene u računalu. Čak se i u naše digitalno doba mnogo informacija još uvijek odražava na papiru, koji također mora biti pouzdano zaštićen.

ISO 9001 ne može zadovoljiti potrebe informacijske sigurnosti tvrtke jer je usko usmjeren na kvalitetu proizvoda. Stoga je u tvrtku vrlo važno implementirati ISO 27001. Specijalistu se na prvi pogled može učiniti da su oba standarda vrlo općeniti i da nemaju specifičnosti. Međutim, to nije slučaj: standard ISO 27001 opisuje gotovo svaki korak implementacije i kontrole funkcioniranja ISMS -a (slika 4).

Glavne faze izgradnje sustava upravljanja informacijskom sigurnošću

Glavne faze izgradnje ISMS -a prikazane su na slici 4. Razmotrimo ih detaljnije.

Faza 1. Priprema akcijskih planova. U ovoj fazi stručnjaci prikupljaju organizacijske i administrativne dokumente (ORD) i druge radne materijale,

3 Tip normalan II ORD

4 Analiza ii procjene rizika 11B

Implementacija

5 RyazraOoghya i<>RaeryaOopv kompleks & 00 \ * ieiitii:

planovi zračenja ■ -> standardi -> događaji -> CfftpJOTHW *

aktivnosti pon> PB ORD Poenpzhenie

Formiranje 10 AiUtuin evaluacije rezultata INRsnEsS "IMB -a

Riža. 4. Faze izgradnje ISMS -a

koji se odnose na izgradnju i rad informacijskih sustava tvrtke, planirano korištenje mehanizama i sredstava za osiguranje informacijske sigurnosti. Osim toga, sastavljaju se akcijski planovi za faze rada, dogovara ih i odobrava uprava tvrtke.

Faza 2. Provjera usklađenosti sa ISO / IEC 27001: 2005. Intervjuiranje i ispitivanje rukovoditelja i zaposlenika odjela. Analiza ISMS -a tvrtke u skladu sa zahtjevima ISO / IEC 27001: 2005.

Faza 3. Analiza regulatornih i organizacijskih i administrativnih dokumenata na temelju organizacijske strukture poduzeća. Na temelju njegovih rezultata utvrđuje se zaštićeni opseg (OA) i izrađuje skica politike informacijske sigurnosti tvrtke.

Faza 4. Analiza i procjena rizika informacijske sigurnosti. Razvoj metodologije za upravljanje rizicima poduzeća i njihovu analizu. Analiza informacijskih izvora tvrtke, prvenstveno LAN -a, radi identifikacije prijetnji i ranjivosti zaštićene imovine pranja novca. Popis imovine. Provođenje konzultacija za stručnjake tvrtke i procjena usklađenosti stvarne i potrebne razine sigurnosti. Proračun rizika, određivanje trenutne i prihvatljive razine rizika za svako posebno sredstvo. Rangiranje rizika, odabir kompleksa mjera za njihovo smanjenje i izračun teorijske učinkovitosti provedbe.

Faza 5. Razvoj i provedba akcijskih planova IS -a. Izrada izjave o primjenjivosti kontrola u skladu s ISO / IEC 27001: 2005. Izrada plana računovodstva i uklanjanja rizika. Priprema izvješća za čelnika tvrtke.

Faza 6. Razvoj normativnih i operativnih dokumenata. Razvoj i odobravanje konačne IB politike i srodnih odredbi (privatne police). Razvoj standarda, postupaka i uputa kako bi se osiguralo normalno funkcioniranje i rad ISMS -a tvrtke.

Faza 7. Provedba opsežnih mjera za smanjenje rizika IS -a i procjena njihove učinkovitosti u skladu s planom za obradu i uklanjanje rizika koji je odobrilo rukovodstvo.

Faza 8. Obuka osoblja. Izrada akcijskih planova i provedba programa osposobljavanja i poboljšanja kompetencija zaposlenika tvrtke radi učinkovitog prenošenja načela informacijske sigurnosti na sve zaposlenike i

prvenstveno oni koji rade u strukturne jedinice pružanje ključnih poslovnih procesa.

Faza 9. Formiranje izvješćivanja. Sistematizacija rezultata istraživanja i izrada izvješća. Prezentacija rezultata rada za čelnike tvrtke. Priprema dokumenata za licenciranje u skladu sa ISO / IEC 27001: 2005 i njihov prijenos organizaciji za certifikaciju.

Faza 10. Analiza i procjena rezultata implementacije ISMS -a na temelju metodologije koja procjenjuje pouzdanost funkcioniranja ISMS -a tvrtke. Izrada preporuka za poboljšanje sustava upravljanja informacijskom sigurnošću tvrtke.

Analizirajući svaku fazu implementacije ISMS -a, možemo reći da ISO 27001 ima jasnu strukturu i zahtjeve koji će vam omogućiti da izgradite radni sustav u kojem će biti interakcije na svim potrebnim razinama. No, ne smijemo zaboraviti da je glavna razlika između ISMS -a i QMS -a u tome što je prvi sustav usmjeren na sigurnost informacija.

Važnost informacijske sigurnosti u suvremenom svijetu

Današnje poslovanje ne može postojati bez informacijske tehnologije. Poznato je da oko 70% globalnog ukupnog nacionalnog proizvoda na ovaj ili onaj način ovisi o podacima pohranjenim u informacijski sustavi... Široko uvođenje računala nije samo stvorilo dobro poznate pogodnosti, već i probleme, od kojih je najozbiljniji problem informacijske sigurnosti.

Poslovni čelnici moraju shvatiti važnost informacijske sigurnosti, naučiti predviđati i upravljati trendovima u ovom području. U tome im može pomoći uvođenje ISMS -a koji u svojoj strukturi ima potencijal za razvoj, transparentnost upravljanja, fleksibilnost prema svim promjenama. Uz kontrole za računala i računalne mreže, standard ISO 27001 veliku pozornost posvećuje razvoju sigurnosne politike, radu s osobljem (zapošljavanje, obuka, otpuštanje s posla), osiguravajući kontinuitet proces proizvodnje, regulatorni zahtjevi, dok su neka tehnička pitanja detaljno opisana u drugim standardima serije

ISO 27000. Mnogo je prednosti uvođenja ISIB -a u tvrtku, neke su prikazane na Sl. 5.

Glbkshl ljestvica pODr> h; b1 [h-th

Odbijte ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | bolestan p. Ki u:

azhshchtnya # tsn ^ st

Riža. 5. Prednosti implementacije sustava upravljanja informacijskom sigurnošću

Valja istaknuti prednosti ISO -a

Demonstracija sigurnosne sposobnosti. ISO 27001 praktičan je vodič za organizaciju koji pomaže u formuliranju sigurnosnih zahtjeva za postizanje potrebne razine sigurnosti i ispunjavanje posebnih sigurnosnih ciljeva. Posebno je važno da organizacije budu kompetentne u četiri područja upravljanja sigurnošću, uključujući: identificiranje i procjenu imovine poduzeća, procjenu rizika i definiranje kriterija za prihvaćanje rizika, upravljanje i usvajanje ovih stavki te stalno poboljšanje. opći program sigurnost organizacije.

Osiguranje povjerenja kupaca. ISO 27001 pruža neovisan dokaz da programi korporativno upravljanje podržane najboljim, najboljim, međunarodnim praksama. Certifikat ISO 27001 osigurava mir korporacijama koje žele pokazati integritet klijentima, dioničarima i potencijalnim partnerima, i što je najvažnije, pokazati da je tvrtka uspješno implementirala robustan sustav upravljanja informacijskom sigurnošću. Za mnoge strogo regulirane industrije, poput financija ili internetskih usluga, izbor dobavljača može

biti ograničeni na one organizacije koje su već certificirane prema ISO 27001.

Učinkovitije korištenje resursa. Zahvaljujući upotrebi procesnog pristupa, moguće je optimizirati procese koji se odvijaju u poduzeću. Što povlači smanjenje korištenja resursa, na primjer, vremena.

Stalno poboljšanje. ISMS koristi model PCDA, koji vam omogućuje redovitu provjeru statusa cijelog sustava, analizu i poboljšanje sustava upravljanja

1. Slika, robna marka. Certifikat o usklađenosti s ISO 27001 otvara široke mogućnosti tvrtki: pristup međunarodnoj razini, nova partnerstva, više klijenata, novi ugovori, uspjeh na natječajima. Prisutnost ISMS -a u tvrtki pokazatelj je visoke razine razvoja.

2. Fleksibilnost ISMS -a. Bez obzira na promjene procesa, nove tehnologije, osnova strukture ISMS -a ostaje učinkovita. ISMS se prilično lako prilagođava inovacijama moderniziranjem postojećih i uvođenjem novih protumjera.

3. Skalabilnost provedbe standarda. Budući da ISO 27001 podrazumijeva opseg, samo se podskup procesa može certificirati. ISMS možete početi primjenjivati ​​u najznačajnijem OA -u za tvrtku, a tek kasnije se proširiti.

4. Revizija. Puno Ruske tvrtke revizijski rad doživjeti kao katastrofu. ISO 27001 prikazuje međunarodni pristup reviziji: prije svega, interes tvrtke da zaista ispuni standarde, a ne da certifikaciju izvrši na neki način, samo „za pokaz”.

5. Redovite unutarnje ili vanjske revizije omogućuju ispravljanje kršenja, poboljšanje ISMS -a i značajno smanjenje rizika. Prije svega, tvrtki je to potrebno za vlastiti mir, da je sve u redu i da su rizici gubitaka svedeni na minimum. I već sekundarno - certifikat o sukladnosti, koji potvrđuje partnerima ili kupcima da se ovoj tvrtki može vjerovati.

6. Transparentnost upravljanja. Korištenje standarda ISO 27001 daje prilično jasne upute za stvaranje upravljanja, i

također zahtjevi za dokumentaciju koja mora biti u poduzeću. Problem mnogih tvrtki je što postojeći dokumenti za određene odjele jednostavno nisu čitljivi, jer je zbog složenosti dokumentacijskog sustava često nemoguće shvatiti što je kome namijenjeno. Hijerarhija razina dokumentacije, od politike informacijske sigurnosti do opisa posebnih postupaka, znatno olakšava korištenje postojećih pravila, propisa i drugih stvari. Također, uvođenje SM & B -a uključuje obuku osoblja: održavanje seminara, slanje pošte, vješanje plakata s upozorenjima, što značajno povećava svijest o sigurnosti informacija među običnim zaposlenicima.

U zaključku valja napomenuti da je u moderno poslovanje očita je neotuđivost osnovnog sustava upravljanja kvalitetom, izgrađenog u skladu sa zahtjevima norme ISO 9001, te dobivanje pozicije sustava upravljanja informacijskom sigurnošću.

Danas će vodeći na tržištu biti tvrtke koje prate ne samo pokazatelje kvalitete proizvoda i usluga, već i razinu povjerljivosti, integriteta i dostupnosti informacija o njima. Predviđanje i procjena rizika također su važan faktor uspjeha koji zahtijeva kompetentan pristup i korištenje najboljih međunarodnih praksi. Zajednička implementacija i certifikacija sustava upravljanja kvalitetom i informacijske sigurnosti pomoći će u rješavanju širokog spektra problema za bilo koju industriju ili trgovinu, što će zauzvrat dovesti do kvalitativnog povećanja razine pruženih usluga.

Književnost

1. Dorofeev A. V., Shahalov I. Yu. Osnove upravljanja informacijskom sigurnošću moderna organizacija// Pravna informatika. 2013. broj 3. S. 4-14.

2. Chashkin VN Upravljanje sigurnosnom sigurnošću kao element sustava upravljanja informacijskim i tehnološkim aktivnostima organizacije // Sigurnost informacijskih tehnologija. 2009. broj 1. S. 123-124.

3. Goryachev VV Novi GOST za QMS. Glavne razlike od GOST RV 15.002-2003 //

Metode upravljanja kvalitetom. 2013. broj 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Pristup izgradnji modela sustava upravljanja informacijskom sigurnošću // Politematski mrežni elektronički znanstveni časopis Kubanskog državnog agrarnog sveučilišta. 2009. broj 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Model sustava upravljanja informacijskom sigurnošću u poduzeću (u organizaciji) // Intelekt. Inovacija. Ulaganja. 2013. broj 1. S. 111-114.

6. Soloviev A. M. Normativno -metodološka podloga u području informacijske sigurnosti // Ekonomija, statistika i informatika. Bilten UMO -a. 2012. broj 1. S. 174-181.

7. Kozin IF, Livshits II Sigurnost informacija. Integracija međunarodnim standardima u sustav sigurnosti informacija Rusije // Informatizacija i komunikacija. 2010. broj 1. S. 50-55.

8. Kolodin VS Certifikacija integriranih sustava upravljanja // Glasnik Irkutskog državnog tehničkog sveučilišta. 2010. T. 41. broj 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Integrirani sustavi upravljanja: preduvjeti za stvaranje u ruskim poduzećima // Mladi znanstvenik.

2013. broj 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Upravljanje informacijskom sigurnošću informacijskih i telekomunikacijskih sustava temeljeno na modelu "P1ap-Do-Check-Act" // Science1 sling of the Donetsk National Technical University. Ser1ya: "Računalno tehnički i automatiziran". 2013. broj 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Upravljanje informacijskom sigurnošću: osnovni pojmovi // Pitanja kibernetičke sigurnosti.

2014. broj 1 (2). S. 67-73.

12. Shper VL O standardu 18O / 1EC 27001 // Metode upravljanja kvalitetom. 2008. broj 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Upravljanje rizicima - normativni vakuum informacijske sigurnosti // Otvoreni sustavi... DBMS. 2007. broj 8. S. 63-67.

14. Matveev V.A., Tsirlov V.L.

u 2014. // Pitanja kibernetičke sigurnosti. 2013. broj 1 (1). S. 61-64.

15. Barabanov A. V. Standardizacija procesa razvoja sigurnih softverskih alata // Pitanja kibernetičke sigurnosti. 2013. broj 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Smjernice za kibernetičku sigurnost u kontekstu

ISO 27032 // Pitanja kibernetičke sigurnosti. 2014. broj 1 (2). S. 28-35. 17. Khramtsovskaya N. Što menadžer treba znati o informacijskoj sigurnosti // Kadrovik. 2009. broj 4. S. 061-072.

Zaista neugodno. Obavijestili smo o skorom objavljivanju standarda ISO 45001, koji bi trebao zamijeniti sadašnji standard upravljanja zdravljem i zaštitom na radu OHSAS 18001, rekli smo da ga trebamo pričekati krajem 2016. godine ... Ponoć se bliži, ali Herman je još uvijek otišao. Vrijeme je za priznanje - ISO 45001 je na čekanju. Istina, iz dobrih razloga. Stručna zajednica ima previše pitanja za njega. […]