Cos'è un moderno sistema di gestione della sicurezza delle informazioni. Standard moderni nel campo della sicurezza delle informazioni che utilizzano il concetto di gestione del rischio Sistema di gestione della sicurezza delle informazioni

Shahalov Igor Yurievich

Sul tema dell'integrazione dei sistemi di gestione della qualità e della sicurezza delle informazioni

Abstract: Vengono considerati gli standard internazionali ISO 27001 e ISO 9001. Viene effettuata l'analisi delle somiglianze e delle differenze tra il sistema di gestione della qualità e il sistema di gestione della sicurezza delle informazioni. Viene mostrata la possibilità di integrare il sistema di gestione della qualità e il sistema di gestione della sicurezza delle informazioni. Vengono fornite le principali fasi di costruzione e implementazione di un sistema integrato di gestione della sicurezza delle informazioni. Vengono mostrati i vantaggi dell'approccio integrato.

Parole chiave: sistemi di gestione della sicurezza delle informazioni, sistemi di gestione integrati, ISMS, SGQ, ISO 27001.

Natalia Olegovna

introduzione

V mondo moderno con l'avvento del comune e conveniente dispositivi tecnici il problema della protezione delle informazioni è emerso in modo piuttosto netto. Insieme al rilascio di prodotti di qualità o alla fornitura di servizi a imprese e organizzazioni, è importante mantenere segrete le informazioni necessarie ai concorrenti per rimanere in una posizione favorevole sul mercato. Nella lotta competitiva sono diffuse diverse azioni volte ad ottenere (ottenere, acquisire) informazioni riservate. diversi modi, fino a dirigere lo spionaggio industriale utilizzando i moderni mezzi tecnici di intelligenza.

Pertanto, le organizzazioni che aderiscono alle migliori pratiche mondiali, contenenti requisiti, linee guida per l'implementazione di sistemi di gestione dei processi aziendali, stanno diventando leader nel mercato. I migliori standard per la progettazione, l'implementazione, il monitoraggio e il miglioramento di tali sistemi sono i documenti dell'International Organization for Standardization (ISO). Particolare attenzione va riservata agli standard della serie ISO 900x e ISO 2700x, che raccolgono le migliori pratiche per l'implementazione di un sistema di gestione della qualità (SGQ) e di un sistema di gestione della sicurezza delle informazioni (ISMS).

Il sistema di gestione della qualità, implementato in conformità con i requisiti dello standard ISO 9001, è stato a lungo riconosciuto come un attributo integrale di un'azienda di successo che produce prodotti di alta qualità o fornisce servizi di alta classe. Oggi la disponibilità di un certificato di conformità è sia un'efficace soluzione di marketing sia un meccanismo di controllo dei processi produttivi. L'audit del SGQ è un'area di attività ben sviluppata.

La dipendenza delle attività di successo dell'azienda da sistema aziendale protezione delle informazioni. Ciò è dovuto all'aumento del volume dei dati vitali trattati nel sistema informativo aziendale. I sistemi informativi stanno diventando più complessi e cresce anche il numero di vulnerabilità riscontrate in essi. L'audit ISMS consente di valutare l'attuale stato di sicurezza dell'azienda sistema informativo,

valutare e prevedere i rischi, gestirne l'impatto sui processi di business dell'azienda.

Poiché lo standard ISO 9001 ha da tempo assunto la posizione di leader nel numero di certificati nel mondo e lo standard ISO 27001 mostra una tendenza all'aumento della certificazione del sistema di gestione della sicurezza delle informazioni, è consigliabile considerare la possibile interazione e integrazione del SGQ e del SGSI.

Integrazione degli standard

A prima vista, la gestione della qualità e la sicurezza delle informazioni sono aree completamente diverse. Tuttavia, in pratica, sono strettamente correlati e formano un tutt'uno (Figura 1). La soddisfazione del cliente, che è un obiettivo di qualità oggettivo, dipende ogni anno sempre di più dalla disponibilità di tecnologie informatiche e dalla sicurezza dei dati, per il cui mantenimento viene utilizzato lo standard ISO 27001. Lo standard ISO 9001 corrisponde invece esattamente gli obiettivi aziendali dell'organizzazione, contribuendo a garantire la sicurezza. Grazie a un approccio integrato, ISO 27001 può essere efficacemente integrato nel SGQ esistente o implementato insieme al SGQ.

(ISO 27001) e la gestione dei servizi IT (ISO 20000) hanno una struttura e un approccio di processo simili. Si crea così una sinergia che paga: in pratica, un sistema di gestione integrato per le operazioni in corso consente di risparmiare dal 20 al 30 percento del costo totale dell'ottimizzazione, dei controlli e delle revisioni del sistema.

Gli standard di sicurezza delle informazioni e di gestione della qualità mirano al miglioramento continuo secondo il modello Plan-Do-Check-Act (PDCA) noto come Deming Cycle (vedi Figura 2). Inoltre, sono simili nella struttura, come mostrato nella tabella di corrispondenza nell'allegato C della ISO 27001. Entrambi gli standard definiscono l'approccio al processo, l'ambito, i requisiti di sistema e documentazione e la responsabilità amministrativa. In entrambi i casi, la struttura si conclude con un audit interno, un riesame della direzione e un miglioramento del sistema. In questo, entrambi i sistemi interagiscono. Ad esempio, la ISO 9001 richiede la gestione dei prodotti non conformi. Allo stesso modo, lo standard ISO 27001 prevede un requisito di gestione degli incidenti per la risoluzione dei guasti.

Riso. 1. Ambiti di interazione e similarità del SGQ e del SGSI

Riso. 2. Ciclo di Deming

Più di 27.200 organizzazioni di vari settori in più di 100 paesi del mondo sono certificate per la conformità alla norma ISO 9001:2008 per la gestione della qualità. A seconda del mercato e dei requisiti legali, molte organizzazioni sono sempre più costrette a occuparsi della sicurezza delle informazioni. A questo proposito, l'integrazione del sistema di controllo offre possibilità reali. Un approccio complesso interessante anche per le aziende che fino ad ora non hanno utilizzato alcun processo gestionale. Standard ISO per la qualità (ISO 9001), la protezione dell'ambiente (ISO 14000), la sicurezza delle informazioni

Le differenze tra gli standard sono utili per integrarsi a vicenda, il che contribuisce in modo decisivo ad aumentare il successo aziendale. Ad esempio, la ISO 9001 richiede la definizione degli obiettivi aziendali, dell'attenzione al cliente e della misurabilità, fino a che punto gli obiettivi e gli obiettivi vengono raggiunti. Queste sono tre questioni che non sono al centro degli interessi della ISO 27001. A sua volta, questo standard dà la priorità alla gestione del rischio per mantenere la continuità aziendale e offre assistenza dettagliata nell'implementazione di un ISMS. Rispetto

con questo, ISO 9001 è più di uno standard teorico.

ISO 27001 - uno standard non solo per l'IT

Molte persone pensano che lo standard ISO 27001 sia solo per i processi IT, ma in realtà non è così. Il punto fondamentale per l'implementazione dello standard ISO 27001 SM&B è la definizione degli asset.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Riso. 3. Tipi di attività

Per asset si intende tutto ciò che ha valore per l'azienda (Figura 3). Cioè, un bene può essere: risorse umane, infrastrutture, strumenti, attrezzature, comunicazioni, servizi e qualsiasi altro bene, inclusi i servizi per la fornitura dei prodotti acquistati. Sulla base dei processi, l'azienda determina quali asset possiede e quali sono coinvolti nei processi critici e valuta il valore degli asset. E solo dopo viene effettuata la valutazione del rischio per tutti i beni di valore. Pertanto, l'ISMS è inteso non solo per le informazioni digitali che vengono elaborate in sistema automatizzato... Ad esempio, alcuni dei processi più critici coinvolgono

Preparazione

piani di eventi

2 Spunta H: abbino

con l'archiviazione di copie cartacee delle informazioni, anch'essa coperta dalla ISO 27001. Un ISMS copre tutti i modi in cui le informazioni importanti possono essere archiviate nella tua azienda, da come email protetti, terminando con il luogo in cui sono archiviati i file personali dei dipendenti nell'edificio.

Pertanto, è un enorme equivoco che, poiché lo standard è finalizzato alla creazione di un sistema di gestione della sicurezza delle informazioni, questo può applicarsi solo ai dati archiviati in un computer. Anche nella nostra era digitale, molte informazioni si riflettono ancora sulla carta, che deve essere protetta in modo affidabile.

La ISO 9001 non è in grado di soddisfare le esigenze di sicurezza delle informazioni dell'azienda, poiché è strettamente focalizzata sulla qualità del prodotto. Pertanto, è molto importante implementare in azienda la ISO 27001. A prima vista, a uno specialista può sembrare che entrambi gli standard siano molto generali e non abbiano specificità. Tuttavia, non è così: lo standard ISO 27001 descrive quasi ogni fase dell'implementazione e del controllo del funzionamento di un ISMS (Figura 4).

Le fasi principali della costruzione di un sistema di gestione della sicurezza delle informazioni

Le fasi principali della costruzione di un ISMS sono illustrate nella Figura 4. Consideriamoli in modo più dettagliato.

Fase 1. Preparazione dei piani d'azione. In questa fase, gli specialisti raccolgono documenti organizzativi e amministrativi (ORD) e altri materiali di lavoro,

3 A tipo normale II ORD

4 Analisi ii valutazioni del rischio 11B

Implementazione

5 RyazraOoghya e<>Complesso RaeryaOopv & 00 \ * ieiitii:

piani di radiazione ■ -> norme -> eventi -> CfftpJOTHW *

eventi lun> PB ORD Poenpzhenie

Formazione di 10 AiUtuin valutazione dei risultati dell'INRsnEsS "IMB

Riso. 4. Fasi di costruzione di un ISMS

relativi alla costruzione e al funzionamento dei sistemi informativi della società, previsti per l'utilizzo di meccanismi e mezzi atti a garantire la sicurezza delle informazioni. Inoltre, vengono elaborati, concordati e approvati dalla direzione aziendale i piani di azione per le fasi di lavoro.

Fase 2. Verifica della conformità alla norma ISO/IEC 27001:2005. Intervistare e interrogare dirigenti e dipendenti dei reparti. Analisi dell'ISMS dell'azienda per la conformità ai requisiti della norma ISO/IEC 27001:2005.

Fase 3. Analisi dei documenti normativi e organizzativi e amministrativi basati su struttura organizzativa aziende. Sulla base dei suoi risultati, viene determinato l'ambito protetto (OA) e viene sviluppato uno schizzo della politica di sicurezza delle informazioni dell'azienda.

Fase 4. Analisi e valutazione dei rischi per la sicurezza delle informazioni. Sviluppo di una metodologia per la gestione dei rischi aziendali e l'analisi degli stessi. Analisi delle risorse informative dell'azienda, principalmente LAN, al fine di identificare minacce e vulnerabilità degli asset ML protetti. Inventario dei beni. Conduzione di consulenze per gli specialisti dell'azienda e valutazione della conformità con il livello di sicurezza effettivo e richiesto. Calcolo dei rischi, determinazione del livello di rischio attuale e accettabile per ogni specifico asset. Classificazione dei rischi, selezione di complessi di misure per ridurli e calcolo dell'efficienza teorica di attuazione.

Fase 5. Sviluppo e implementazione di piani d'azione IS. Sviluppo di una dichiarazione sull'applicabilità dei controlli in conformità con la norma ISO/IEC 27001:2005. Sviluppo di un piano per la contabilizzazione e l'eliminazione dei rischi. Redazione di reportistica per il capo dell'azienda.

Fase 6. Sviluppo di documenti normativi e operativi. Elaborazione e approvazione della policy finale dell'OI e dei relativi provvedimenti (politiche private). Sviluppo di standard, procedure e istruzioni per garantire il normale funzionamento e funzionamento dell'ISMS aziendale.

Fase 7. Attuazione di misure globali per ridurre i rischi SI e valutarne l'efficacia in conformità con il piano per l'elaborazione e l'eliminazione dei rischi approvato dalla direzione.

Fase 8. Formazione del personale. Sviluppo di piani d'azione e implementazione di programmi per la formazione e il miglioramento delle competenze dei dipendenti dell'azienda al fine di trasmettere efficacemente i principi di sicurezza delle informazioni a tutti i dipendenti e

principalmente coloro che lavorano in unità strutturali fornire processi aziendali chiave.

Fase 9. Formazione della segnalazione. Sistematizzazione dei risultati dell'indagine e preparazione di report. Presentazione dei risultati del lavoro per i responsabili dell'azienda. Predisposizione dei documenti per l'abilitazione alla conformità alla norma ISO/IEC 27001:2005 e loro trasferimento all'ente certificatore.

Fase 10. Analisi e valutazione dei risultati dell'implementazione dell'ISMS sulla base della metodologia che valuta l'affidabilità del funzionamento dell'ISMS dell'azienda. Sviluppo di raccomandazioni per migliorare il sistema di gestione della sicurezza delle informazioni dell'azienda.

Analizzando ogni fase dell'implementazione dell'ISMS, possiamo dire che la ISO 27001 ha una struttura e dei requisiti chiari che ti permetteranno di costruire un sistema funzionante in cui ci sarà interazione a tutti i livelli necessari. Ma non dobbiamo dimenticare che la principale differenza tra l'ISMS e il SGQ è che il primo sistema è focalizzato sulla sicurezza delle informazioni.

L'importanza della sicurezza delle informazioni nel mondo moderno

Il business di oggi non può esistere senza la tecnologia dell'informazione. È noto che circa il 70% del prodotto nazionale totale mondiale dipende in un modo o nell'altro dalle informazioni immagazzinate nei sistemi informativi. La diffusa introduzione dei computer ha creato non solo convenienze ben note, ma anche problemi, il più grave dei quali è il problema della sicurezza delle informazioni.

I leader aziendali devono comprendere l'importanza della sicurezza delle informazioni, imparare a prevedere e gestire le tendenze in questo settore. In questo possono essere aiutati dall'introduzione di un ISMS, che nella sua struttura ha potenzialità di sviluppo, trasparenza di gestione, flessibilità ad eventuali cambiamenti. Insieme ai controlli per computer e reti informatiche, la norma ISO 27001 pone grande attenzione allo sviluppo della politica di sicurezza, al lavoro con il personale (assunzione, formazione, licenziamento), garantendo la continuità processo produttivo, requisiti normativi, mentre alcuni aspetti tecnici sono dettagliati in altri standard della serie

ISO27000. Ci sono molti vantaggi nell'introdurre ISIB in azienda, alcuni di questi sono mostrati in Fig. 5.

Scala Glbkshl pODr> h; b1 [h-th

Rifiuta ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prttshal wyrdoctle

"Ji | m | ill p. Ki u:

azhshchtnya # tsn ^ st

Riso. 5. Vantaggi dell'implementazione di un sistema di gestione della sicurezza delle informazioni

I vantaggi dell'ISO dovrebbero essere sottolineati

Dimostrazione di competenza in materia di sicurezza. ISO 27001 è una guida pratica per un'organizzazione che aiuta a formulare i requisiti di sicurezza per raggiungere il livello di sicurezza richiesto e soddisfare obiettivi di sicurezza specifici. È particolarmente importante che le organizzazioni siano competenti in quattro aree della gestione della sicurezza, tra cui: identificazione e valutazione delle risorse aziendali, valutazione dei rischi e definizione dei criteri per l'accettazione dei rischi, gestione e adozione di questi elementi e miglioramento continuo. programma generale sicurezza dell'organizzazione.

Garantire la fiducia del cliente. La ISO 27001 fornisce prove indipendenti che i programmi di corporate governance sono supportati dalle migliori pratiche internazionali. La certificazione ISO 27001 offre tranquillità alle aziende che cercano di dimostrare integrità a clienti, azionisti e potenziali partner e, soprattutto, per dimostrare che l'azienda ha implementato con successo un solido sistema di gestione della sicurezza delle informazioni. Per molti settori fortemente regolamentati come la finanza o i servizi Internet, la selezione dei fornitori può

essere limitato a quelle organizzazioni che sono già certificate ISO 27001.

Uso più efficiente delle risorse. Grazie all'utilizzo dell'approccio per processi, è possibile ottimizzare i processi che si svolgono in azienda. Il che comporta una diminuzione dell'uso delle risorse, ad esempio il tempo.

Miglioramento continuo. L'ISMS utilizza il modello PCDA, che consente di controllare regolarmente lo stato dell'intero sistema, analizzare e migliorare il sistema di gestione

1. Immagine, marchio. La certificazione per la conformità alla norma ISO 27001 apre ampie opportunità per l'azienda: accesso a livello internazionale, nuove partnership, più clienti, nuovi contratti, successo nelle gare d'appalto. La presenza di un ISMS in un'azienda è un indicatore di un alto livello di sviluppo.

2. Flessibilità dell'ISMS. Indipendentemente dai cambiamenti nei processi, dalle nuove tecnologie, la base della struttura ISMS rimane efficace. L'ISMS si adatta abbastanza facilmente alle innovazioni modernizzando quelle esistenti e introducendo nuove contromisure.

3. Scalabilità dell'implementazione dello standard. Poiché la ISO 27001 implica lo scoping, solo un sottoinsieme dei processi può essere certificato. Si può iniziare ad implementare l'ISMS nell'OA più significativo per l'azienda, e solo successivamente espandersi.

4. Verifica. Molti aziende russe percepire il lavoro di audit come un disastro. La ISO 27001 mostra un approccio internazionale all'auditing: prima di tutto, l'interesse dell'azienda a soddisfare effettivamente gli standard, e non a fare la certificazione in qualche modo, solo per spettacolo.

5. Verifiche periodiche interne o esterne consentono di correggere le violazioni, migliorare l'ISMS e ridurre significativamente i rischi. Prima di tutto, l'azienda ne ha bisogno per la propria tranquillità, che tutto sia in ordine e che i rischi di perdite siano ridotti al minimo. E già secondario: un certificato di conformità, che conferma a partner o clienti che questa azienda può essere considerata affidabile.

6. Trasparenza di gestione. L'uso dello standard ISO 27001 fornisce istruzioni abbastanza chiare per la creazione della gestione e

anche i requisiti per la documentazione che deve essere in azienda. Il problema per molte aziende è che i documenti esistenti per alcuni reparti semplicemente non sono leggibili, perché spesso è impossibile capire cosa è destinato a chi a causa della complessità del sistema di documentazione. La gerarchia dei livelli di documentazione, dalla politica di sicurezza delle informazioni alla descrizione di procedure specifiche, rende molto più semplice l'uso di regole, regolamenti e altre cose esistenti. Inoltre, l'introduzione di SM & B comporta la formazione del personale: tenere seminari, mailing, appendere poster di avvertimento, che aumenta significativamente la consapevolezza della sicurezza delle informazioni tra i dipendenti ordinari.

In conclusione, va notato che in affari moderni l'integrità del sistema di gestione della qualità di base, costruito in conformità con i requisiti dello standard ISO 9001, e la posizione guadagnata del sistema di gestione della sicurezza delle informazioni è ovvia.

Oggi il leader di mercato saranno le aziende che monitorano non solo gli indicatori della qualità dei prodotti e dei servizi, ma anche i livelli di riservatezza, integrità e disponibilità delle informazioni su di essi. Anche la previsione e la valutazione del rischio è un importante fattore di successo, che richiede un approccio competente e l'uso delle migliori pratiche internazionali. L'attuazione congiunta e la certificazione dei sistemi di gestione della qualità e di sicurezza delle informazioni aiuterà a risolvere un'ampia gamma di problemi per qualsiasi industria o commercio, che a sua volta porterà ad un aumento qualitativo del livello dei servizi forniti.

Letteratura

1. Dorofeev A. V., Shahalov I. Yu. Fondamenti della gestione della sicurezza delle informazioni organizzazione moderna// Informatica giuridica. 2013. No. 3. S. 4-14.

2. Chashkin VN Gestione della sicurezza delle informazioni come elemento del sistema di gestione delle informazioni e delle attività tecnologiche dell'organizzazione // Sicurezza delle tecnologie dell'informazione. 2009. N. 1. S. 123-124.

3. Goryachev VV Nuovo GOST per SGQ. Principali differenze rispetto a GOST RV 15.002-2003 //

Metodi di gestione della qualità. 2013. No. 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Approccio alla costruzione di un modello di sistemi di gestione della sicurezza delle informazioni // Rivista scientifica elettronica di rete politematica della Kuban State Agrarian University. 2009. N. 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modello del sistema di gestione della sicurezza delle informazioni presso l'impresa (nell'organizzazione) // Intellect. Innovazione. Investimenti. 2013. N. 1. S. 111-114.

6. Soloviev A. M. Base normativa e metodologica nel campo della sicurezza delle informazioni // Economia, statistica e informatica. Bollettino dell'UMO. 2012. N. 1. S. 174-181.

7. Kozin IF, Livshits II Sicurezza delle informazioni. Integrazione di standard internazionali nel sistema di sicurezza delle informazioni della Russia // Informatizzazione e comunicazione. 2010. N. 1. S. 50-55.

8. Kolodin VS Certificazione di sistemi di gestione integrati // Bollettino dell'Università tecnica statale di Irkutsk. 2010. T. 41. No. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Sistemi di gestione integrati: prerequisiti per la creazione nelle imprese russe // Giovane scienziato.

2013. N. 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Gestione della sicurezza delle informazioni dei sistemi di informazione e telecomunicazione basata sul modello "P1ap-Do-Check-Act" // fionda Naukov1 dell'Università tecnica nazionale di Donetsk. Ser1ya: "Techshka computazionale che automatismo". 2013. N. 2 (25). S.104-110.

11. Dorofeev AV, Markov AS Gestione della sicurezza delle informazioni: concetti di base // Problemi di sicurezza informatica.

2014. N. 1 (2). Pag. 67-73.

12. Shper VL Informazioni sullo standard 18O / 1EC 27001 // Metodi di gestione della qualità. 2008. N. 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Gestione del rischio - vuoto normativo della sicurezza delle informazioni // Sistemi aperti... DBMS. 2007. N. 8. S. 63-67.

14. Matveev V. A., Tsirlov V. L. Stato e prospettive di sviluppo del settore della sicurezza delle informazioni della Federazione Russa

zione nel 2014 // Problemi di sicurezza informatica. 2013. N. 1 (1). Pag. 61-64.

15. Tamburi A. V. Standardizzazione del processo di sviluppo della cassaforte strumenti software// Problemi di sicurezza informatica. 2013. N. 1 (1). Pag. 37-41.

16. Markov A.S., Tsirlov V.L. Linee guida per la sicurezza informatica nel contesto

ISO 27032 // Problemi di sicurezza informatica. 2014. N. 1 (2). Pag. 28-35. 17. Khramtsovskaya N. Quello che un manager deve sapere sulla sicurezza delle informazioni // Kadrovik. 2009. N. 4. S. 061-072.

Nel mondo dell'informatica, il problema di garantire l'integrità, l'affidabilità e la riservatezza delle informazioni sta diventando una priorità. Pertanto, riconoscere la necessità per un'organizzazione di disporre di un sistema di gestione della sicurezza delle informazioni (ISMS) è una decisione strategica.

È stato progettato per creare, implementare, mantenere e migliorare continuamente un ISMS in un'impresa e, applicando questo standard a partner esterni, diventa evidente che l'organizzazione è in grado di soddisfare i propri requisiti di sicurezza delle informazioni. Questo articolo discuterà i requisiti di base dello Standard e ne discuterà la struttura.

(ADV31)

Gli obiettivi principali della norma ISO 27001

Prima di procedere alla descrizione della struttura dello Standard, stabiliamo i suoi compiti principali e consideriamo la storia della comparsa dello Standard in Russia.

Obiettivi della norma:

  • istituzione requisiti uniformi che tutte le organizzazioni creino, implementino e migliorino l'ISMS;
  • garantire l'interazione tra l'alta direzione e i dipendenti;
  • mantenere la riservatezza, l'integrità e la disponibilità delle informazioni.

Allo stesso tempo, i requisiti stabiliti dallo Standard sono generali e sono destinati ad essere applicati da qualsiasi organizzazione, indipendentemente dalla loro tipologia, dimensione o natura.

Storia dello standard:

  • Nel 1995, il British Standards Institute (BSI) ha adottato l'Information Security Management Code come standard nazionale del Regno Unito e lo ha registrato sotto BS 7799 - Part 1.
  • Nel 1998, BSI pubblica BS7799-2 in due parti, una contenente un codice di condotta e l'altra i requisiti per i sistemi di gestione della sicurezza delle informazioni.
  • Nel corso delle successive revisioni, la prima parte è stata pubblicata come BS 7799: 1999, Parte 1. Nel 1999 questa versione dello standard è stata trasferita all'Organizzazione internazionale per la certificazione.
  • Questo documento è stato approvato nel 2000 come standard internazionale ISO/IEC 17799: 2000 (BS 7799-1: 2000). L'ultima versione di questo standard, adottata nel 2005, è ISO/IEC 17799:2005.
  • Nel settembre 2002 è entrata in vigore la seconda parte della BS 7799 "Specifica del sistema di gestione della sicurezza delle informazioni". La seconda parte della BS 7799 è stata rivista nel 2002 e alla fine del 2005 è stata adottata dall'ISO come standard internazionale ISO/IEC 27001:2005" Tecnologie dell'informazione- Metodi di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti.
  • Nel 2005, lo standard ISO / IEC 17799 è stato incluso nella linea di standard della 27a serie e ricevuto nuovo numero- ISO/IEC 27002:2005.
  • Il 25 settembre 2013 è stata pubblicata la ISO/IEC 27001:2013 aggiornata “Sistemi di gestione della sicurezza delle informazioni”. Requisiti". Attualmente, le organizzazioni sono certificate secondo questa versione dello Standard.

Struttura della norma

Uno dei vantaggi di questa norma è la somiglianza della sua struttura con la ISO 9001, poiché contiene intestazioni di sottosezioni identiche, testo identico, termini comuni e definizioni di base. Questa circostanza fa risparmiare tempo e denaro, poiché parte della documentazione è già stata sviluppata durante la certificazione ISO 9001.

Se parliamo della struttura dello Standard, si tratta di un elenco di requisiti ISMS che sono obbligatori per la certificazione e si compone delle seguenti sezioni:

Sezioni principaliAppendice A
0. Introduzione A.5 Politiche di sicurezza delle informazioni
1 area di utilizzo A.6 Organizzazione della sicurezza delle informazioni
2. Riferimenti normativi A.7 Sicurezza delle risorse umane (personale)
3. Termini e definizioni A.8 Gestione del patrimonio
4. Contesto organizzativo A.9 Controllo accessi
5. Leadership A.10 Crittografia
6. Pianificazione A.11 Sicurezza fisica e ambientale
7. Supporto A.12 Sicurezza delle operazioni
8. Operazioni (Operazione) A.13 Sicurezza delle comunicazioni
9. Valutazione (misurazione) delle prestazioni A.14 Acquisto, sviluppo e manutenzione di sistemi informativi
10. Miglioramento (Miglioramento) A.15 Rapporti con i fornitori
A.16 Gestione degli incidenti
A.17 Continuità aziendale
A.18 Conformità legale

I requisiti dell'"Appendice A" sono obbligatori, ma lo standard consente di escludere aree che non possono essere applicate nell'impresa.

Quando si implementa lo Standard in un'impresa per un'ulteriore certificazione, vale la pena ricordare che non sono consentite eccezioni ai requisiti stabiliti nelle sezioni 4 - 10. Queste sezioni saranno discusse ulteriormente.

Iniziamo con la Sezione 4 - Contesto organizzativo

Contesto organizzativo

In questa sezione, lo Standard richiede che un'organizzazione identifichi le questioni esterne e interne che sono rilevanti per i suoi obiettivi e che influenzano la capacità del suo ISMS di raggiungere i risultati attesi. Nel fare ciò, dovresti prendere in considerazione gli obblighi legali, regolamentari e contrattuali in materia di sicurezza delle informazioni. L'organizzazione dovrebbe anche definire e documentare l'ambito e l'applicabilità dell'ISMS al fine di stabilirne l'ambito.

Comando

L'alta direzione dovrebbe dimostrare leadership e impegno nei confronti del sistema di gestione della sicurezza delle informazioni, ad esempio, assicurando che la politica di sicurezza delle informazioni e gli obiettivi di sicurezza delle informazioni siano stabiliti e allineati con la strategia dell'organizzazione. Inoltre, l'alta direzione dovrebbe garantire che siano fornite tutte le risorse necessarie per l'ISMS. In altre parole, dovrebbe essere ovvio per i dipendenti che la direzione è coinvolta in questioni di sicurezza delle informazioni.

La politica di sicurezza delle informazioni deve essere documentata e comunicata ai dipendenti. Questo documento ricorda la politica di qualità ISO 9001. Dovrebbe anche essere appropriato allo scopo dell'organizzazione e includere obiettivi di sicurezza delle informazioni. È positivo se questi sono obiettivi reali, come preservare la riservatezza e l'integrità delle informazioni.

La direzione dovrebbe inoltre distribuire le funzioni e le responsabilità relative alla sicurezza delle informazioni tra i dipendenti.

Pianificazione

In questa sezione arriviamo alla prima fase del principio di gestione PDCA (Plan - Do - Check - Act) - pianificare, eseguire, verificare, agire.

Quando si pianifica un sistema di gestione della sicurezza delle informazioni, l'organizzazione dovrebbe prendere in considerazione le questioni menzionate nella clausola 4 e determinare i rischi e le potenziali opportunità che devono essere prese in considerazione al fine di garantire che l'ISMS possa ottenere i risultati attesi, prevenire effetti indesiderati, e ottenere un miglioramento continuo.

Quando si pianifica come raggiungere i propri obiettivi di sicurezza delle informazioni, l'organizzazione dovrebbe determinare:

  • cosa sarà fatto;
  • quali risorse saranno necessarie;
  • chi sarà responsabile;
  • quando gli obiettivi sono raggiunti;
  • come saranno valutati i risultati.

Inoltre, l'organizzazione deve conservare i dati sugli obiettivi di sicurezza delle informazioni come informazioni documentate.

Sicurezza

L'organizzazione deve determinare e fornire le risorse necessarie per sviluppare, implementare, mantenere e migliorare continuamente l'ISMS, questo include sia il personale che la documentazione. Per quanto riguarda il personale, l'organizzazione dovrebbe assumere personale qualificato e competente per la sicurezza delle informazioni. Le qualifiche dei dipendenti devono essere confermate da certificati, diplomi, ecc. È possibile attrarre specialisti di terze parti nell'ambito del contratto o formare i propri dipendenti. Per quanto riguarda la documentazione, dovrebbe includere:

  • informazioni documentate richieste dalla Norma;
  • informazioni documentate ritenute necessarie dall'organizzazione per garantire l'efficacia del sistema di gestione della sicurezza delle informazioni.

Le informazioni documentate richieste dall'ISMS e dallo Standard devono essere controllate per garantire che:

  • disponibile e adatto all'uso dove e quando è necessario, e
  • adeguatamente protetti (ad esempio, da perdita di riservatezza, uso improprio o perdita di integrità).

Funzionamento

Questa sezione discute la seconda fase del principio di governance PDCA - la necessità per un'organizzazione di gestire i processi per garantire la conformità e seguire le attività identificate nella sezione Pianificazione. Stabilisce inoltre che un'organizzazione dovrebbe eseguire valutazioni del rischio per la sicurezza delle informazioni a intervalli pianificati o quando vengono proposte o si verificano modifiche significative. L'organizzazione deve conservare i risultati della valutazione del rischio per la sicurezza delle informazioni come informazioni documentate.

Valutazione delle prestazioni

La terza fase è la verifica. L'organizzazione deve valutare il funzionamento e l'efficacia dell'ISMS. Ad esempio, deve condurre un audit interno al fine di ottenere informazioni su se

  1. Il sistema di gestione della sicurezza delle informazioni è conforme?
    • i requisiti dell'organizzazione per il proprio sistema di gestione della sicurezza delle informazioni;
    • i requisiti della Norma;
  2. che il sistema di gestione della sicurezza delle informazioni sia effettivamente implementato e funzionante.

Va da sé che la portata e la tempistica degli audit dovrebbero essere pianificate in anticipo. Tutti i risultati devono essere documentati e conservati.

Miglioramento

Il punto di questa sezione è determinare la linea di condotta quando viene rilevata una non conformità. L'organizzazione deve correggere le incongruenze, le conseguenze e analizzare la situazione in modo che ciò non accada in futuro. Tutte le non conformità e le azioni correttive devono essere documentate.

Con questo si concludono le sezioni principali dello Standard. L'Appendice A fornisce requisiti più specifici che un'organizzazione deve soddisfare. Ad esempio, in termini di controllo degli accessi, utilizzare dispositivi mobili e portatori di informazioni.

Benefici dell'implementazione e della certificazione ISO 27001

  • aumentare lo status dell'organizzazione e, di conseguenza, la fiducia dei partner;
  • aumentare la stabilità del funzionamento dell'organizzazione;
  • aumentare il livello di protezione contro le minacce alla sicurezza delle informazioni;
  • garantire il livello richiesto di riservatezza delle informazioni delle parti interessate;
  • ampliando la capacità dell'organizzazione di partecipare a grandi contratti.

I vantaggi economici sono:

  • conferma indipendente da parte dell'organismo di certificazione che l'organizzazione ha un elevato livello di sicurezza delle informazioni controllato da personale competente;
  • prova del rispetto di leggi e regolamenti applicabili (rispetto del sistema dei requisiti cogenti);
  • dimostrazione di un certo alto livello di sistemi di gestione per garantire il corretto livello di servizio ai clienti e ai partner dell'organizzazione;
  • Dimostrazione di audit regolari dei sistemi di gestione, valutazioni delle prestazioni e miglioramento continuo.

Certificazione

Un'organizzazione può essere certificata da agenzie accreditate in conformità con questo standard. Il processo di certificazione si compone di tre fasi:

  • La fase 1 - lo studio del revisore dei principali documenti ISMS per la conformità ai requisiti dello Standard - può essere eseguita sia sul territorio dell'organizzazione, sia trasferendo questi documenti a un revisore esterno;
  • 2a fase - audit dettagliato, compreso il test delle misure implementate e la valutazione della loro efficacia. Include uno studio completo dei documenti richiesti dalla norma;
  • 3a fase - implementazione di un audit di ispezione per confermare che l'organizzazione certificata soddisfi i requisiti dichiarati. Eseguito con cadenza periodica.

Risultato

Come puoi vedere, l'uso di questo standard in azienda consentirà di migliorare qualitativamente il livello di sicurezza delle informazioni, che è costoso nelle condizioni delle realtà moderne. Lo standard contiene molti requisiti, ma il requisito più importante è fare ciò che è scritto! Senza applicare effettivamente i requisiti dello standard, si trasforma in un insieme vuoto di pezzi di carta.

GOST R ISO/IEC 27001-2006 “Tecnologia dell'informazione. Metodi e mezzi per garantire la sicurezza. Sistemi di gestione della sicurezza delle informazioni. Requisiti"

Gli sviluppatori dello standard notano che è stato preparato come modello per lo sviluppo, l'implementazione, il funzionamento, il monitoraggio, l'analisi, il supporto e il miglioramento del sistema di gestione della sicurezza delle informazioni (ISMS). ISMS (inglese - sistema di gestione della sicurezza delle informazioni; ISMS) è definito come parte del sistema di gestione globale basato sull'uso di metodi di valutazione del rischio aziendale per lo sviluppo, l'implementazione, il funzionamento, il monitoraggio, l'analisi, il supporto e il miglioramento della sicurezza delle informazioni. Un sistema di gestione include una struttura organizzativa, politiche, attività di pianificazione, responsabilità, pratiche, procedure, processi e risorse.

Lo standard presuppone l'uso di un approccio per processi per lo sviluppo, l'implementazione, il funzionamento, il monitoraggio, l'analisi, il supporto e il miglioramento dell'ISMS dell'organizzazione. Si basa sul modello Plan - Do - Check - Act (PDCA), che può essere applicato per strutturare tutti i processi ISMS. Nella fig. 4.4 mostra come un ISMS, utilizzando i requisiti di sicurezza delle informazioni e i risultati attesi delle parti interessate come input, attraverso le azioni e i processi necessari, produce output di sicurezza delle informazioni che soddisfano questi requisiti e i risultati attesi.

Riso. 4.4.

sul palco "Sviluppo di un sistema di gestione della sicurezza delle informazioni" l'organizzazione dovrebbe fare quanto segue:

  • - determinare l'ambito ei confini dell'ISMS;
  • - determinare la politica ISMS sulla base delle caratteristiche dell'impresa, dell'organizzazione, della sua ubicazione, dei beni e delle tecnologie;
  • - determinare l'approccio alla valutazione del rischio nell'organizzazione;
  • - identificare i rischi;
  • - analizzare e valutare i rischi;
  • - identificare e valutare diverse opzioni per il trattamento del rischio;
  • - selezionare obiettivi e controlli per il trattamento dei rischi;
  • - ottenere l'approvazione della direzione dei rischi residui previsti;
  • - ottenere l'autorizzazione dalla direzione per l'attuazione e il funzionamento del SGSI;
  • - redigere una Dichiarazione di Applicabilità.

Palcoscenico " Implementazione e funzionamento del sistema di gestione della sicurezza delle informazioni " suggerisce che l'organizzazione dovrebbe:

  • - sviluppare un piano di trattamento dei rischi che definisca le azioni gestionali, le risorse, le responsabilità e le priorità appropriate per la gestione del rischio per la sicurezza delle informazioni;
  • - attuare un piano di trattamento dei rischi per raggiungere gli obiettivi di gestione previsti, comprese le questioni di finanziamento, nonché la distribuzione dei ruoli e delle responsabilità;
  • - attuare le misure di gestione prescelte;
  • - determinare il modo per misurare l'efficacia delle misure di controllo selezionate;
  • - attuare programmi di formazione e sviluppo professionale per i dipendenti;
  • - gestire il lavoro dell'ISMS;
  • - gestire le risorse ISMS;
  • - attuare procedure e altre misure di controllo per garantire la rapida individuazione degli eventi di sicurezza delle informazioni e la risposta agli incidenti di sicurezza delle informazioni.

La terza tappa" Monitoraggio e analisi del sistema di gestione della sicurezza delle informazioni " richiede:

  • - svolgere procedure di monitoraggio e analisi;
  • - condurre analisi periodiche dell'efficacia del SGSI;
  • - misurare l'efficacia dei controlli per verificare il rispetto dei requisiti SI;
  • - rivedere le valutazioni dei rischi a intervalli di tempo specificati, analizzare i rischi residui e stabilire livelli di rischio accettabili, tenendo conto dei cambiamenti;
  • - condurre audit ISMS interni a intervalli di tempo specificati;
  • - condurre regolarmente un'analisi del SGSI da parte del management dell'organizzazione al fine di confermare l'adeguatezza del funzionamento del ss e determinare le direzioni di miglioramento;
  • - aggiornare i piani SI tenendo conto dei risultati dell'analisi e del monitoraggio;
  • - registrare azioni ed eventi che potrebbero influenzare l'efficacia o il funzionamento del SGSI.

Finalmente il palco "Supporto e miglioramento del sistema di gestione della sicurezza delle informazioni" suggerisce che l'organizzazione dovrebbe svolgere regolarmente le seguenti attività:

  • - identificare opportunità per migliorare il SGSI;
  • - intraprendere le necessarie azioni correttive e preventive, utilizzare nella pratica l'esperienza nel garantire la sicurezza delle informazioni, acquisita sia nella propria organizzazione che in altre organizzazioni;
  • - trasmettere informazioni dettagliate sulle azioni per migliorare il SGSI a tutte le parti interessate, mentre il grado di dettaglio dovrebbe corrispondere alle circostanze e, se necessario, concordare ulteriori azioni;
  • - assicurare l'implementazione di miglioramenti al SGSI per raggiungere gli obiettivi pianificati.

Inoltre nello standard vengono forniti i requisiti per la documentazione, che dovrebbero includere le disposizioni della politica ISMS e una descrizione dell'area operativa, una descrizione della metodologia e un rapporto di valutazione del rischio, un piano di trattamento del rischio e la documentazione delle relative procedure. Dovrebbe anche essere definito un processo per la gestione dei documenti ISMS, inclusi l'aggiornamento, l'uso, l'archiviazione e lo smaltimento.

Per fornire evidenza della conformità ai requisiti e dell'efficacia dell'ISMS, è necessario mantenere e conservare registrazioni e registrazioni dell'esecuzione dei processi. Gli esempi includono i registri dei visitatori, i rapporti di audit, ecc.

La norma specifica che la direzione dell'organizzazione è responsabile della fornitura e della gestione delle risorse necessarie per stabilire un ISMS, nonché dell'organizzazione della formazione del personale.

Come notato in precedenza, l'organizzazione dovrebbe condurre audit ISMS interni in conformità con un programma approvato per valutarne la funzionalità e la conformità allo standard. E la direzione dovrebbe condurre un'analisi del sistema di gestione della sicurezza delle informazioni.

Inoltre, è necessario lavorare per migliorare il sistema di gestione della sicurezza delle informazioni: per aumentare la sua efficacia e il livello di conformità allo stato attuale del sistema e ai requisiti per esso.

(ISMS)- quella parte del sistema di gestione complessivo che si basa su un approccio al rischio d'impresa nella creazione, implementazione, esercizio, monitoraggio, analisi, supporto e miglioramento della sicurezza delle informazioni.

Se costruito secondo i requisiti della ISO/IEC_27001, si basa sul modello PDCA:

    Piano(Pianificazione) - la fase di creazione di un ISMS, creazione di un elenco di attività, valutazione del rischio e selezione delle misure;
    Fare(Azione) - la fase di attuazione e attuazione di misure appropriate;
    Dai un'occhiata(Verifica) - La fase di valutazione dell'efficacia e delle prestazioni dell'ISMS. Di solito eseguita da revisori interni.
    atto(Miglioramenti) - attuazione di azioni preventive e correttive;

Concetto di sicurezza delle informazioni

Lo standard ISO 27001 definisce la sicurezza delle informazioni come: “mantenimento della riservatezza, integrità e disponibilità delle informazioni; inoltre, possono essere incluse altre proprietà, come l'autenticità, il non ripudio, l'autenticità”.

Riservatezza - garantire la disponibilità delle informazioni solo per coloro che hanno l'autorità appropriata (utenti autorizzati).

Integrità - garantire l'accuratezza e la completezza delle informazioni, nonché le modalità del loro trattamento.

Disponibilità - fornire l'accesso alle informazioni agli utenti autorizzati quando necessario (on demand).

4 Sistema di gestione della sicurezza delle informazioni

4.1 Requisiti generali

L'organizzazione deve stabilire, attuare, utilizzare, controllare, rivedere, mantenere e migliorare le disposizioni ISMS documentate durante le attività aziendali dell'organizzazione e i rischi che deve affrontare. A vantaggio pratico di questo Standard Internazionale, il processo utilizzato si basa sul modello PDCA mostrato in Fig. 1.

4.2 Istituzione e gestione di un ISMS

4.2.1 Creazione di un ISMS

L'organizzazione dovrebbe fare quanto segue.

a) Tenendo conto delle specificità delle attività dell'organizzazione, dell'organizzazione stessa, della sua ubicazione, delle risorse e della tecnologia, determinare l'ambito e i confini dell'ISMS, compresi i dettagli e le giustificazioni per escludere qualsiasi disposizione del documento dalla bozza dell'ISMS (vedere 1.2 ).

b) Tenendo conto delle specificità delle attività dell'organizzazione, dell'organizzazione stessa, della sua ubicazione, delle risorse e della tecnologia, sviluppare una politica ISMS che:

1) include un sistema per la definizione degli obiettivi (obiettivi) e stabilisce gli indirizzi generali di gestione e i principi di azione in materia di sicurezza delle informazioni;

2) tiene conto dei requisiti aziendali e legali o regolamentari, degli obblighi contrattuali di sicurezza;

3) è collegato all'ambiente di gestione strategica del rischio in cui avviene la creazione e il mantenimento di un SGSI;

4) stabilisce i criteri in base ai quali sarà valutato il rischio (vedi 4.2.1 c)); e

5) approvato dalla direzione.

NOTA: Ai fini della presente norma internazionale, una politica ISMS è un insieme esteso di politiche di sicurezza delle informazioni. Queste politiche possono essere descritte in un documento.

c) Sviluppare un quadro per la valutazione del rischio nell'organizzazione.

1) Determinare una metodologia di valutazione del rischio appropriata per l'ISMS e la sicurezza delle informazioni aziendali stabilite, i requisiti legali e normativi.

2) Sviluppare criteri per accettare il rischio e determinare livelli di rischio accettabili (vedi 5.1f).

La metodologia di valutazione del rischio prescelta dovrebbe garantire che la valutazione del rischio produca risultati comparabili e riproducibili.

NOTA: Esistono diverse metodologie di valutazione del rischio. Esempi di metodologie di valutazione del rischio sono considerati in ISO/IEC TU 13335-3, Tecnologia dell'informazione - Raccomandazioni di gestioneESSOSicurezza - Tecniche di gestioneESSOSicurezza.

d) Identificare i rischi.

1) Definire le attività nell'ambito dell'ISMS e i proprietari2 (2 Il termine "proprietario" è identificato con una persona fisica o giuridica che è approvata per essere responsabile del controllo della produzione, dello sviluppo, Manutenzione, applicazione e sicurezza dei beni. Il termine "proprietario" non significa che la persona abbia effettivamente alcun diritto di proprietà sul bene) di questi beni.

2) Identificare i pericoli per questi beni.

3) Identificare le vulnerabilità nel sistema di protezione.

4) Identificare gli impatti che distruggono la riservatezza, l'integrità e la disponibilità delle risorse.

e) Analizzare e valutare i rischi.

1) Valutare il danno all'attività dell'organizzazione che può essere causato dal fallimento del sistema di protezione, nonché conseguenza della violazione della riservatezza, dell'integrità o della disponibilità dei beni.

2) Determinare la probabilità di un errore di sicurezza alla luce dei rischi e delle vulnerabilità prevalenti, degli impatti relativi alle risorse e dei controlli attualmente in vigore.

3) Valutare i livelli di rischio.

4) Determinare l'accettabilità del rischio, o richiederne la riduzione, utilizzando i criteri di accettabilità del rischio di cui al punto 4.2.1c) 2).

f) Individuare e valutare strumenti per la riduzione del rischio.

Le azioni possibili includono:

1) Applicare opportuni controlli;

2) Accettazione consapevole e oggettiva dei rischi, garantendo la loro incondizionata conformità ai requisiti della politica dell'organizzazione e ai criteri di tolleranza al rischio (vedi 4.2.1c) 2));

3) Prevenzione del rischio; e

4) Trasferimento dei rischi aziendali rilevanti ad un altro soggetto, ad esempio compagnie assicurative, fornitori.

g) Selezionare compiti e controlli per mitigare i rischi.

Compiti e controlli dovrebbero essere selezionati e implementati in conformità con i requisiti stabiliti dal processo di valutazione e riduzione del rischio. Tale scelta dovrebbe tenere conto sia dei criteri di tolleranza al rischio (vedi 4.2.1c) 2)) sia dei requisiti legali, regolamentari e contrattuali.

I compiti ei controlli dell'Appendice A dovrebbero essere selezionati come parte di questo processo per soddisfare i requisiti specificati.

Poiché non tutte le attività ei controlli sono elencati nell'Appendice A, è possibile selezionare attività aggiuntive.

NOTA: l'Appendice A contiene un elenco completo degli obiettivi di gestione che sono stati identificati come i più rilevanti per le organizzazioni. Per non perdere un singolo punto importante dalle opzioni di controllo, l'utilizzo di questo standard internazionale dovrebbe essere guidato dall'Appendice A come punto di partenza per il controllo del campionamento.

h) Ottenere l'approvazione della gestione dei rischi residui previsti.

4) facilitare la rilevazione di eventi di sicurezza e quindi, utilizzando determinati indicatori, prevenire incidenti di sicurezza; e

5) determinare l'efficacia delle azioni intraprese per prevenire violazioni della sicurezza.

b) Condurre revisioni regolari dell'efficacia dell'ISMS (compresa la discussione della politica ISMS e dei suoi obiettivi, revisione dei controlli di sicurezza), tenendo conto dei risultati degli audit, degli incidenti, dei risultati delle misurazioni delle prestazioni, dei suggerimenti e delle raccomandazioni di tutte le parti interessate .

c) Valutare l'efficacia dei controlli per determinare se i requisiti di sicurezza sono soddisfatti.

d) Verificare la valutazione del rischio per i periodi pianificati e verificare i rischi residui e le tolleranze al rischio, tenendo conto delle variazioni di:

1) organizzazioni;

2) tecnologia;

3) obiettivi e processi aziendali;

4) minacce individuate;

5) l'efficacia degli strumenti di gestione implementati; e

6) eventi esterni, quali cambiamenti dell'ambiente giuridico e gestionale, mutati obblighi contrattuali, mutamenti del clima sociale.

e) Condurre audit interni dell'ISMS durante i periodi pianificati (vedi 6)

NOTA: Gli audit interni, a volte chiamati audit primari, sono condotti per conto dell'organizzazione stessa per i propri scopi.

f) Riesaminare regolarmente la gestione dell'ISMS per garantire che la situazione rimanga valida e che l'ISMS venga migliorato.

g) Aggiornare i piani di sicurezza sulla base dei risultati del monitoraggio e dell'audit.

h) Registrare azioni ed eventi che potrebbero influenzare l'efficacia o le prestazioni dell'ISMS (vedi 4.3.3).

4.2.4 Mantenere e migliorare il SGSI

L'organizzazione deve continuamente fare quanto segue.

a) Implementare correzioni specifiche nell'ISMS.

b) Adottare adeguate azioni correttive e preventive in conformità con 8.2 e 8.3. Applicare le conoscenze acquisite dall'organizzazione stessa e dall'esperienza di altre organizzazioni.

c) Comunicare le proprie azioni e miglioramenti a tutte le parti interessate con un livello di dettaglio adeguato alla situazione; e, di conseguenza, coordinare le loro azioni.

d) Verificare che i miglioramenti abbiano raggiunto lo scopo previsto.

4.3 Requisiti della documentazione

4.3.1 Generale

La documentazione dovrebbe includere protocolli (registrazioni) delle decisioni gestionali, per convincere che la necessità di un'azione è dovuta alle decisioni e alle politiche gestionali; e garantire la riproducibilità dei risultati registrati.

È importante essere in grado di dimostrare il feedback dei controlli selezionati ai risultati dei processi di valutazione e riduzione del rischio e quindi alla politica ISMS e ai suoi obiettivi.

La documentazione ISMS dovrebbe includere:

a) una dichiarazione documentata della politica e degli obiettivi ISMS (vedi 4.2.1b));

b) la fornitura del SGSI (vedi 4.2.1a));

c) il concetto ei controlli a supporto del SGSI;

d) una descrizione della metodologia di valutazione del rischio (vedi 4.2.1c));

e) rapporto di valutazione dei rischi (vedi 4.2.1c) - 4.2.1g));

f) piano di riduzione del rischio (vedi 4.2.2b));

g) un concetto documentato necessario all'organizzazione per pianificare, operare e gestire efficacemente i propri processi di sicurezza delle informazioni e descrivere come viene misurata l'efficacia dei controlli (vedere 4.2.3c));

h) documenti richiesti dalla presente norma internazionale (vedi 4.3.3); e

i) Dichiarazione di applicabilità.

NOTA 1: Ai fini della presente norma internazionale, il termine "concetto documentato" significa che il concetto è implementato, documentato, implementato e seguito.

NOTA 2: La dimensione della documentazione ISMS nelle diverse organizzazioni può variare a seconda di:

La dimensione dell'organizzazione e il tipo dei suoi beni; e

La scala e la complessità dei requisiti di sicurezza e del sistema gestito.

NOTA 3: I documenti e le relazioni possono essere presentati in qualsiasi forma.

4.3.2 Controllo dei documenti

I documenti richiesti dall'ISMS devono essere protetti e regolamentati. È necessario approvare la procedura di documentazione necessaria per descrivere le azioni di gestione per:

a) accertare la conformità dei documenti a determinati standard prima della loro pubblicazione;

b) la verifica e l'aggiornamento dei documenti, se necessario, la riapprovazione dei documenti;

c) assicurare che le modifiche siano coerenti con lo stato attuale dei documenti rivisti;

d) garantire la disponibilità di versioni importanti di documenti validi;

e) assicurare che i documenti siano comprensibili e leggibili;

f) mettere i documenti a disposizione di chi ne ha bisogno; nonché la loro cessione, conservazione ed infine distruzione secondo le modalità applicate in funzione della loro classificazione;

g) accertare l'autenticità di documenti provenienti da fonti esterne;

h) controllare la distribuzione dei documenti;

i) prevenire l'uso involontario di documenti obsoleti; e

j) applicando loro un metodo di identificazione appropriato se sono conservati per ogni evenienza.

4.3.3 Controllo delle registrazioni

Le registrazioni dovrebbero essere create e mantenute per fornire prove della conformità e dell'efficace funzionamento dell'ISMS. Le registrazioni devono essere protette e verificate. L'ISMS dovrebbe tenere conto di eventuali requisiti legali e regolamentari e obblighi contrattuali. Le registrazioni devono essere comprensibili, facilmente identificabili e recuperabili. I controlli necessari per l'identificazione, l'archiviazione, la protezione, il recupero, la conservazione e la distruzione delle registrazioni devono essere documentati e attuati.

Le registrazioni dovrebbero includere informazioni sull'attuazione delle attività descritte in 4.2 e su tutti gli incidenti e gli incidenti rilevanti per la sicurezza relativi all'ISMS.

Esempi di voci sono guestbook, audit trail e moduli di autorizzazione all'accesso completati.

Inviare il tuo buon lavoro nella knowledge base è semplice. Usa il modulo sottostante

Studenti, dottorandi, giovani scienziati che utilizzano la base di conoscenza nei loro studi e nel loro lavoro ti saranno molto grati.

postato su http://www.allbest.ru/

"Sistema di gestione della sicurezza delle informazioni"

standard internazionale di gestione

Vcondurre

Un sistema di gestione della sicurezza delle informazioni è un insieme di processi che lavorano in un'azienda per garantire la riservatezza, l'integrità e la disponibilità delle risorse informative. Nella prima parte dell'abstract viene considerato il processo di implementazione di un sistema di gestione in un'organizzazione e vengono forniti gli aspetti principali dei benefici derivanti dall'implementazione di un sistema di gestione della sicurezza delle informazioni.

Fig. 1. Ciclo di controllo

L'elenco dei processi e le raccomandazioni su come organizzare al meglio il loro funzionamento sono contenuti nella norma internazionale ISO 27001:2005, che si basa sul ciclo di gestione Plan-Do-Check-Act. Secondo lui ciclo vitale L'ISMS è costituito da quattro tipi di attività: Creazione - Implementazione e funzionamento - Monitoraggio e analisi - Manutenzione e miglioramento (Fig. 1). Questo standard sarà discusso più dettagliatamente nella seconda parte.

INSIEME Asistemagestioneinformazionesicurezza

Un sistema di gestione della sicurezza delle informazioni (ISMS) si riferisce a quella parte del sistema di gestione globale che si basa su un approccio al rischio aziendale nella creazione, implementazione, funzionamento, monitoraggio, analisi, supporto e miglioramento della sicurezza delle informazioni. I processi ISMS sono progettati in conformità con i requisiti della norma ISO/IEC 27001:2005, che si basa sul ciclo

Il lavoro del sistema si basa sugli approcci della moderna teoria dei rischi di gestione, che garantisce la sua integrazione nel sistema generale di gestione dei rischi dell'organizzazione.

L'implementazione di un sistema di gestione della sicurezza delle informazioni implica lo sviluppo e l'attuazione di una procedura volta alla sistematica identificazione, analisi e mitigazione dei rischi per la sicurezza delle informazioni, ovvero rischi a seguito dei quali il patrimonio informativo (informazioni in qualsiasi forma e di qualsiasi natura) perderà riservatezza, integrità e disponibilità.

Per garantire una mitigazione sistematica dei rischi per la sicurezza delle informazioni, sulla base dei risultati della valutazione del rischio, nell'organizzazione vengono implementati i seguenti processi:

· Gestione dell'organizzazione interna della sicurezza delle informazioni.

· Garantire la sicurezza delle informazioni durante l'interazione con terze parti.

· Gestione del registro dei beni informativi e delle regole per la loro classificazione.

· Gestione della sicurezza delle apparecchiature.

· Garantire la sicurezza fisica.

· Garantire la sicurezza delle informazioni del personale.

· Progettazione e adozione di sistemi informativi.

· Backup.

· Protezione della rete.

I processi del sistema di gestione della sicurezza delle informazioni influiscono su tutti gli aspetti della gestione dell'infrastruttura IT dell'organizzazione, poiché la sicurezza delle informazioni è il risultato del funzionamento sostenibile dei processi relativi alla tecnologia dell'informazione.

Quando si costruisce un ISMS nelle aziende, gli specialisti svolgono i seguenti lavori:

· Organizzare la gestione del progetto, formare un team di progetto da parte del cliente e dell'appaltatore;

· Definire l'area di attività (AO) dell'ISMS;

Indagine sull'organizzazione nell'OD ISMS:

o in termini di processi aziendali dell'organizzazione, inclusa l'analisi conseguenze negative incidenti di sicurezza delle informazioni;

o in termini di processi di gestione dell'organizzazione, inclusi i processi di gestione della qualità e di gestione della sicurezza delle informazioni esistenti;

o in termini di infrastruttura informatica;

o in termini di infrastrutture per la sicurezza delle informazioni.

Sviluppare e concordare un rapporto analitico contenente un elenco dei principali processi aziendali e una valutazione delle conseguenze dell'attuazione delle minacce alla sicurezza delle informazioni in relazione ad essi, un elenco di processi di gestione, sistemi IT, sottosistemi di sicurezza delle informazioni (ISS), un valutazione del grado in cui l'organizzazione soddisfa tutti i requisiti ISO 27001 e una valutazione della maturità dei processi organizzativi;

· Selezionare il livello di maturità ISMS iniziale e target, sviluppare e approvare il Programma di miglioramento della maturità ISMS; sviluppare documentazione di sicurezza delle informazioni di alto livello:

o Concetto di sicurezza delle informazioni,

o Politiche IS e ISMS;

· Selezionare e adattare la metodologia di valutazione del rischio applicabile nell'organizzazione;

· Selezionare, fornire e distribuire il software utilizzato per automatizzare i processi ISMS, organizzare la formazione per gli specialisti aziendali;

· Valutare ed elaborare i rischi, durante la quale vengono selezionate le misure dell'Appendice A della norma 27001 per ridurli e vengono formulati i requisiti per la loro implementazione nell'organizzazione, vengono preselezionati i mezzi tecnici di sicurezza delle informazioni;

· Sviluppare progetti preliminari del PIB, valutare il costo del trattamento del rischio;

· Predisporre l'approvazione della valutazione dei rischi da parte dei vertici dell'organizzazione e sviluppare la Dichiarazione di applicabilità; sviluppare misure organizzative per garantire la sicurezza delle informazioni;

· Sviluppare e implementare progetti tecnici sull'implementazione di sottosistemi di sicurezza delle informazioni tecniche che supportano l'attuazione delle misure selezionate, compresa la fornitura di attrezzature, la messa in servizio, lo sviluppo della documentazione operativa e la formazione degli utenti;

· Fornire consulenze durante il funzionamento dell'ISMS costruito;

· Organizzare la formazione per i revisori interni e condurre audit ISMS interni.

Il risultato di questi lavori è un ISMS funzionante. I vantaggi derivanti dall'implementazione di un ISMS in un'azienda si ottengono attraverso:

· Efficace gestione del rispetto dei requisiti legali e dei requisiti aziendali nel campo della sicurezza delle informazioni;

· Prevenzione degli incidenti SI e riduzione dei danni in caso di loro verificarsi;

· Accrescere la cultura della sicurezza delle informazioni nell'organizzazione;

· Crescente maturità nel campo della gestione della sicurezza delle informazioni;

· Ottimizzazione della spesa per la sicurezza delle informazioni.

ISO/IEC27001-- internazionalestandardSuinformazionesicurezza

Questo standard è stato sviluppato congiuntamente dall'Organizzazione internazionale per la standardizzazione (ISO) e dalla Commissione elettrotecnica internazionale (IEC). Lo standard contiene i requisiti di sicurezza delle informazioni per la creazione, lo sviluppo e la manutenzione di un ISMS. La ISO 27001 specifica i requisiti per un ISMS per dimostrare la capacità di un'organizzazione di proteggere le proprie risorse informative. Lo standard internazionale utilizza il concetto di "protezione delle informazioni" ed è interpretato come garanzia della riservatezza, integrità e disponibilità delle informazioni. La base della norma è il sistema di gestione del rischio informativo. Questo standard può essere utilizzato anche per valutare la conformità da parte di parti interne ed esterne interessate.

Lo standard adotta un approccio per processi per creare, implementare, operare, monitorare continuamente, analizzare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni (ISMS). Consiste nell'applicazione di un sistema di processi all'interno di un'organizzazione, insieme all'identificazione e all'interazione di questi processi, nonché alla loro gestione.

Lo standard internazionale adotta il modello Plan-Do-Check-Act (PDCA), chiamato anche ciclo di Shewhart-Deming. Questo ciclo viene utilizzato per strutturare tutti i processi ISMS. La Figura 2 mostra come l'ISMS prende i requisiti di sicurezza delle informazioni e le aspettative degli stakeholder come input e attraverso le azioni e i processi necessari produce risultati di sicurezza delle informazioni che soddisfano tali requisiti e aspettative.

La pianificazione è la fase di creazione di un ISMS, creazione di un inventario dei beni, valutazione dei rischi e scelta delle misure.

Figura 2. Modello PDCA applicato ai processi ISMS

L'attuazione è la fase di attuazione e attuazione di misure appropriate.

La revisione è la fase di valutazione dell'efficacia e delle prestazioni dell'ISMS. Di solito eseguita da revisori interni.

Azione - intraprendere azioni preventive e correttive.

Vconclusioni

La ISO 27001 descrive un modello generale per l'implementazione e il funzionamento di un ISMS e le azioni per monitorare e migliorare un ISMS. ISO intende armonizzare vari standard di sistemi di gestione come ISO/IEC 9001:2000, che si occupa di gestione della qualità, e ISO/IEC 14001:2004, che si occupa di sistemi di gestione ambientale. Lo scopo dell'ISO è garantire la coerenza e l'integrazione dell'ISMS con gli altri sistemi di gestione dell'azienda. La somiglianza degli standard consente l'utilizzo di strumenti e funzionalità simili per l'implementazione, la gestione, la revisione, la verifica e la certificazione. L'implicazione è che se un'azienda ha implementato altri standard di gestione, può utilizzare un sistema di audit e di gestione unificato applicabile alla gestione della qualità, alla gestione ambientale, alla gestione della sicurezza, ecc. Implementando un ISMS, il senior management ottiene i mezzi per monitorare e gestire la sicurezza, riducendo i rischi aziendali residui. Dopo aver implementato un ISMS, l'azienda può garantire formalmente la sicurezza delle informazioni e continuare a rispettare i requisiti dei clienti, della legislazione, delle autorità di regolamentazione e degli azionisti.

Va notato che nella legislazione della Federazione Russa esiste un documento GOST R ISO / IEC 27001-2006, che è una versione tradotta dello standard internazionale ISO27001.

INSIEME Asuperare di pocoletteratura

1.Korneev I.R., Belyaev A.V. Sicurezza delle informazioni dell'impresa. - SPb.: BHV-Pietroburgo, 2003 .-- 752 p.: ill.

2. Standard internazionale ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (data di accesso: 23/05/12)

3. Standard nazionale Federazione Russa GOST R ISO / IEC 27003 - "Tecnologia dell'informazione. Metodi di sicurezza. Linee guida per l'implementazione di un sistema di gestione della sicurezza delle informazioni" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (data accesso: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Linee guida per la protezione contro le minacce interne alla sicurezza delle informazioni. SPb.: Peter, 2008 .-- 320 p.: ill.

5. Articolo dell'enciclopedia libera "Wikipedia", "Sistema di gestione

sicurezza delle informazioni "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (data di accesso: 23.05.12)

6. Sigurjon Thor Arnason e Keith D. Willett "Come ottenere la certificazione 27001"

Pubblicato su Allbest.ru

Documenti simili

    Minacce alla sicurezza delle informazioni in azienda. Individuazione delle carenze nel sistema di sicurezza delle informazioni. Gli obiettivi e gli obiettivi della formazione del sistema di sicurezza delle informazioni. Misure proposte per migliorare il sistema di sicurezza delle informazioni dell'organizzazione.

    tesina aggiunta 02/03/2011

    Analisi del sistema di sicurezza delle informazioni in azienda. Servizio di sicurezza delle informazioni. Minacce alla sicurezza delle informazioni specifiche dell'azienda. Modalità e mezzi di protezione delle informazioni. Modello di sistema informativo dal punto di vista della sicurezza.

    tesina aggiunta 02/03/2011

    Le fasi principali della creazione di un sistema di gestione in azienda Industria alimentare... HACCP come spina dorsale di qualsiasi sistema di gestione della sicurezza alimentare. Sistema di gestione della sicurezza alimentare. Fattori pericolosi e azioni preventive.

    abstract aggiunto il 14/10/2014

    I moderni sistemi di gestione e la loro integrazione. Sistemi integrati di gestione della qualità. Descrizione di JSC "275 ARZ" e del suo sistema di gestione. Sviluppo di un sistema di gestione della sicurezza sul lavoro. Metodi di valutazione di un sistema di sicurezza integrato.

    tesi, aggiunta 31/07/2011

    Implementazione di un sistema di gestione della qualità. Certificazione dei sistemi di gestione della qualità (ISO 9000), gestione ambientale (ISO 14000), sistemi di gestione della salute e sicurezza delle organizzazioni (OHSAS 18 001: 2007) sull'esempio di JSC "Lenta".

    abstract, aggiunto il 10/06/2008

    Sviluppo di uno standard per l'organizzazione di un sistema di gestione integrato che stabilisca una procedura unificata per l'implementazione del processo di gestione dei documenti. Fasi di creazione del sistema di gestione della qualità di JSC "ZSMK". Struttura ricettiva versioni elettroniche documenti.

    tesi, aggiunta il 06/01/2014

    Diagramma gerarchico dei dipendenti. Strumenti per la sicurezza delle informazioni. Domande di sicurezza. Diagramma dei flussi informativi aziendali. Modalità di monitoraggio dell'integrità del sistema informativo. Modellazione del controllo degli accessi alle informazioni di servizio.

    tesina, aggiunta il 30/12/2011

    Il concetto di sistema informativo gestionale e la sua collocazione in sistema comune gestione. Tipi di sistemi informativi e loro contenuto. Il concetto di management come sistema informativo. Funzioni del sistema di gestione finanziaria. Sistemi per fare affari e operazioni.

    abstract aggiunto il 01/06/2015

    Concetti in materia di salute e sicurezza sul lavoro. Standard internazionali ISO sui sistemi di gestione della qualità, sistemi di gestione ambientale, sistemi di gestione della sicurezza e della salute sul lavoro. Adeguamento della norma OHSAS 18001-2007.

    tesina, aggiunta il 21/12/2014

    Caratteristica Gestione dell'informazione; soggetti di informazione e rapporti giuridici; regime giuridico per la ricezione, il trasferimento, l'archiviazione e l'utilizzo delle informazioni. Caratteristiche e aspetti legali dello scambio di informazioni e della sicurezza delle informazioni.

Pubblicazioni simili