Sistema di gestione della sicurezza delle informazioni. Base legislativa della Federazione Russa. Gestione del rischio delle informazioni

Nel mondo Tecnologie informatiche diventa prioritario il problema di garantire l'integrità, l'affidabilità e la riservatezza delle informazioni. Pertanto, il riconoscimento della necessità di un sistema di gestione nell'organizzazione informazioni di sicurezza(ISMS) è una decisione strategica.

È stato progettato per creare, implementare, mantenere e migliorare continuamente un ISMS in un'impresa e, applicando questo standard a partner esterni, diventa evidente che l'organizzazione è in grado di soddisfare i propri requisiti di sicurezza delle informazioni. Questo articolo discuterà i requisiti di base dello Standard e ne discuterà la struttura.

(ADV31)

Gli obiettivi principali della norma ISO 27001

Prima di procedere alla descrizione della struttura dello Standard, stabiliamo i suoi compiti principali e consideriamo la storia della comparsa dello Standard in Russia.

Obiettivi della norma:

• istituzione requisiti uniformi che tutte le organizzazioni creino, implementino e migliorino l'ISMS;
• garantire l'interazione tra l'alta direzione e i dipendenti;
• mantenere la riservatezza, l'integrità e la disponibilità delle informazioni.

Allo stesso tempo, i requisiti stabiliti dallo Standard sono generali e sono destinati ad essere applicati da qualsiasi organizzazione, indipendentemente dalla loro tipologia, dimensione o natura.

Storia dello standard:

• Nel 1995, il British Standards Institute (BSI) ha adottato l'Information Security Management Code come standard nazionale del Regno Unito e lo ha registrato sotto BS 7799 - Part 1.
• Nel 1998, BSI pubblica BS7799-2 in due parti, una contenente un codice di condotta e l'altra i requisiti per i sistemi di gestione della sicurezza delle informazioni.
• Nel corso delle successive revisioni, la prima parte è stata pubblicata come BS 7799: 1999, Parte 1. Nel 1999 questa versione dello standard è stata trasferita all'Organizzazione internazionale per la certificazione.
• Questo documento è stato approvato nel 2000 come standard internazionale ISO/IEC 17799: 2000 (BS 7799-1: 2000). Ultima versione di questo standard, adottato nel 2005, è ISO/IEC 17799:2005.
• Nel settembre 2002 è entrata in vigore la seconda parte della BS 7799 "Specifica del sistema di gestione della sicurezza delle informazioni". La seconda parte della BS 7799 è stata rivista nel 2002 e alla fine del 2005 è stata adottata dall'ISO come standard internazionale ISO/IEC 27001:2005 "Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti".
• Nel 2005, lo standard ISO / IEC 17799 è stato incluso nella linea di standard della 27a serie e ricevuto nuovo numero- ISO/IEC 27002:2005.
• Il 25 settembre 2013 è stata aggiornata la norma ISO/IEC 27001:2013 “Sistemi di gestione della sicurezza delle informazioni. Requisiti". Attualmente, le organizzazioni sono certificate secondo questa versione dello Standard.

Struttura della norma

Uno dei vantaggi di questa norma è la somiglianza della sua struttura con la ISO 9001, poiché contiene intestazioni di sottosezioni identiche, testo identico, termini comuni e definizioni di base. Questa circostanza fa risparmiare tempo e denaro, poiché parte della documentazione è già stata sviluppata durante la certificazione ISO 9001.

Se parliamo della struttura dello Standard, si tratta di un elenco di requisiti ISMS che sono obbligatori per la certificazione e si compone delle seguenti sezioni:

I requisiti dell'"Appendice A" sono obbligatori, ma lo standard consente di escludere aree che non possono essere applicate nell'impresa.

Quando si introduce lo Standard in un'impresa per un'ulteriore certificazione, vale la pena ricordare che non sono consentite eccezioni ai requisiti stabiliti nelle sezioni 4-10, sezioni che verranno discusse ulteriormente.

Iniziamo con la Sezione 4 - Contesto organizzativo

Contesto organizzativo

In questa sezione, lo Standard richiede a un'organizzazione di identificare le questioni esterne e interne che sono rilevanti per i suoi obiettivi e che influenzano la capacità del suo ISMS di raggiungere i risultati attesi. Nel fare ciò, dovresti prendere in considerazione gli obblighi legali, regolamentari e contrattuali in materia di sicurezza delle informazioni. L'organizzazione dovrebbe anche definire e documentare l'ambito e l'applicabilità dell'ISMS al fine di stabilirne l'ambito.

Comando

L'alta direzione dovrebbe dimostrare leadership e impegno nei confronti del sistema di gestione della sicurezza delle informazioni, ad esempio, assicurando che la politica di sicurezza delle informazioni e gli obiettivi di sicurezza delle informazioni siano stabiliti e allineati con la strategia dell'organizzazione. Inoltre, l'alta direzione dovrebbe garantire che siano fornite tutte le risorse necessarie per l'ISMS. In altre parole, dovrebbe essere ovvio per i dipendenti che la direzione è coinvolta in questioni di sicurezza delle informazioni.

La politica di sicurezza delle informazioni deve essere documentata e comunicata ai dipendenti. Questo documento ricorda la politica di qualità ISO 9001. Dovrebbe anche essere appropriato allo scopo dell'organizzazione e includere obiettivi di sicurezza delle informazioni. È positivo se questi sono obiettivi reali, come il mantenimento della riservatezza e dell'integrità delle informazioni.

La direzione dovrebbe inoltre distribuire le funzioni e le responsabilità relative alla sicurezza delle informazioni tra i dipendenti.

Pianificazione

In questa sezione arriviamo alla prima fase del principio di gestione PDCA (Plan - Do - Check - Act) - pianificare, eseguire, verificare, agire.

Quando si pianifica un sistema di gestione della sicurezza delle informazioni, l'organizzazione dovrebbe tenere conto delle questioni menzionate nella clausola 4 e determinare i rischi e le potenziali opportunità che devono essere prese in considerazione al fine di garantire che l'ISMS possa ottenere i risultati attesi, prevenire effetti indesiderati, e ottenere un miglioramento continuo.

Quando si pianifica come raggiungere i propri obiettivi di sicurezza delle informazioni, l'organizzazione dovrebbe determinare:

• cosa sarà fatto;
• quali risorse saranno necessarie;
• chi sarà responsabile;
• quando gli obiettivi sono raggiunti;
• come saranno valutati i risultati.

Inoltre, l'organizzazione deve conservare i dati sugli obiettivi di sicurezza delle informazioni come informazioni documentate.

Sicurezza

L'organizzazione deve determinare e fornire le risorse necessarie per sviluppare, implementare, mantenere e migliorare continuamente l'ISMS, questo include sia il personale che la documentazione. Per quanto riguarda il personale, l'organizzazione dovrebbe assumere personale qualificato e competente per la sicurezza delle informazioni. Le qualifiche dei lavoratori devono essere confermate da certificati, diplomi, ecc. È possibile attrarre specialisti di terze parti nell'ambito del contratto o formare i propri dipendenti. Per quanto riguarda la documentazione, dovrebbe includere:

• informazioni documentate richieste dalla Norma;
• informazioni documentate ritenute necessarie dall'organizzazione per garantire l'efficacia del sistema di gestione della sicurezza delle informazioni.

Le informazioni documentate richieste dall'ISMS e dallo Standard devono essere controllate per garantire che:

• disponibile e adatto all'uso dove e quando è necessario, e
• adeguatamente protetti (ad esempio, da perdita di riservatezza, uso improprio o perdita di integrità).

Funzionamento

Questa sezione discute la seconda fase del principio di governance PDCA - la necessità per un'organizzazione di gestire i processi per garantire la conformità e seguire le attività identificate nella sezione Pianificazione. Stabilisce inoltre che un'organizzazione dovrebbe eseguire valutazioni del rischio per la sicurezza delle informazioni a intervalli pianificati o quando vengono proposte o si verificano modifiche significative. L'organizzazione deve conservare i risultati della valutazione del rischio per la sicurezza delle informazioni come informazioni documentate.

Valutazione delle prestazioni

La terza fase è la verifica. L'organizzazione deve valutare il funzionamento e l'efficacia dell'ISMS. Ad esempio, deve condurre un audit interno al fine di ottenere informazioni su se

1. Il sistema di gestione della sicurezza delle informazioni è coerente?
   • i requisiti dell'organizzazione per il proprio sistema di gestione della sicurezza delle informazioni;
   • i requisiti della Norma;
2. che il sistema di gestione della sicurezza delle informazioni sia effettivamente implementato e funzionante.

Va da sé che la portata e la tempistica degli audit dovrebbero essere pianificate in anticipo. Tutti i risultati devono essere documentati e conservati.

Miglioramento

Il punto di questa sezione è determinare la linea di condotta quando viene rilevata una non conformità. L'organizzazione deve correggere le incongruenze, le conseguenze e analizzare la situazione in modo che ciò non accada in futuro. Tutte le non conformità e le azioni correttive devono essere documentate.

Con questo si concludono le sezioni principali dello Standard. L'Appendice A fornisce requisiti più specifici che un'organizzazione deve soddisfare. Ad esempio, in termini di controllo degli accessi, utilizzare dispositivi mobili e portatori di informazioni.

Benefici dell'implementazione e della certificazione ISO 27001

• aumentare lo status dell'organizzazione e, di conseguenza, la fiducia dei partner;
• aumentare la stabilità del funzionamento dell'organizzazione;
• aumentare il livello di protezione contro le minacce alla sicurezza delle informazioni;
• garantire il livello richiesto di riservatezza delle informazioni delle parti interessate;
• ampliando la capacità dell'organizzazione di partecipare a grandi contratti.

I vantaggi economici sono:

• conferma indipendente da parte dell'organismo di certificazione che l'organizzazione ha un elevato livello di sicurezza delle informazioni controllato da personale competente;
• prova del rispetto di leggi e regolamenti applicabili (rispetto del sistema dei requisiti cogenti);
• dimostrazione di un certo alto livello di sistemi di gestione per garantire il corretto livello di servizio ai clienti e ai partner dell'organizzazione;
• Dimostrazione di verifiche periodiche dei sistemi di gestione, valutazioni delle prestazioni e miglioramento continuo.

Certificazione

Un'organizzazione può essere certificata da agenzie accreditate in conformità con questo standard. Il processo di certificazione si compone di tre fasi:

• 1a fase - lo studio del revisore dei documenti chiave ISMS per la conformità ai requisiti dello Standard - può essere eseguito sia sul territorio dell'organizzazione sia trasferendo questi documenti a un revisore esterno;
• 2a fase - audit dettagliato, compreso il test delle misure implementate e la valutazione della loro efficacia. Include uno studio completo dei documenti richiesti dalla norma;
• 3a fase - implementazione di un audit di ispezione per confermare che l'organizzazione certificata soddisfi i requisiti dichiarati. Eseguito con cadenza periodica.

Risultato

Come puoi vedere, l'uso di questo standard in azienda consentirà di migliorare qualitativamente il livello di sicurezza delle informazioni, che è costoso nelle condizioni delle realtà moderne. Lo standard contiene molti requisiti, ma il requisito più importante è fare ciò che è scritto! Senza applicare effettivamente i requisiti dello standard, si trasforma in un insieme vuoto di pezzi di carta.

GOST R ISO/IEC 27001-2006 “Tecnologia dell'informazione. Metodi e mezzi per garantire la sicurezza. Sistemi di gestione della sicurezza delle informazioni. Requisiti"

Gli sviluppatori dello standard notano che è stato preparato come modello per lo sviluppo, l'implementazione, il funzionamento, il monitoraggio, l'analisi, il supporto e il miglioramento del sistema di gestione della sicurezza delle informazioni (ISMS). Un ISMS (sistema di gestione della sicurezza delle informazioni; ISMS) è definito come parte del sistema di gestione globale basato sull'uso di metodi di valutazione del rischio aziendale per lo sviluppo, l'implementazione, il funzionamento, il monitoraggio, l'analisi, il supporto e il miglioramento della sicurezza delle informazioni. Il sistema di gestione comprende struttura organizzativa, politiche, attività di pianificazione, responsabilità, pratiche, procedure, processi e risorse.

Lo standard presuppone l'uso di un approccio per processi per lo sviluppo, l'implementazione, il funzionamento, il monitoraggio, l'analisi, il supporto e il miglioramento dell'ISMS dell'organizzazione. Si basa sul modello Plan - Do - Check - Act (PDCA), che può essere applicato per strutturare tutti i processi ISMS. Nella fig. 4.4 mostra come un ISMS, utilizzando i requisiti di sicurezza delle informazioni e i risultati attesi delle parti interessate come input, attraverso le azioni e i processi necessari, produce output di sicurezza delle informazioni che soddisfano questi requisiti e i risultati attesi.

Riso. 4.4.

sul palco "Sviluppo di un sistema di gestione della sicurezza delle informazioni" l'organizzazione dovrebbe fare quanto segue:

• - determinare l'ambito ei confini dell'ISMS;
• - determinare la politica ISMS sulla base delle caratteristiche dell'impresa, dell'organizzazione, della sua ubicazione, dei beni e delle tecnologie;
• - determinare l'approccio alla valutazione del rischio nell'organizzazione;
• - identificare i rischi;
• - analizzare e valutare i rischi;
• - identificare e valutare diverse opzioni per il trattamento del rischio;
• - selezionare obiettivi e controlli per il trattamento dei rischi;
• - ottenere l'approvazione della direzione dei rischi residui previsti;
• - ottenere l'autorizzazione dalla direzione per l'attuazione e il funzionamento del SGSI;
• - redigere una Dichiarazione di Applicabilità.

Palcoscenico " Implementazione e funzionamento del sistema di gestione della sicurezza delle informazioni " suggerisce che l'organizzazione dovrebbe:

• - sviluppare un piano di trattamento dei rischi che definisca le azioni di gestione, le risorse, le responsabilità e le priorità appropriate per la gestione del rischio per la sicurezza delle informazioni;
• - attuare un piano di trattamento dei rischi per il raggiungimento degli obiettivi di gestione previsti, che includa le questioni di finanziamento, nonché la distribuzione dei ruoli e delle responsabilità;
• - attuare le misure di gestione prescelte;
• - determinare il modo per misurare l'efficacia delle misure di controllo selezionate;
• - attuare programmi di formazione e sviluppo professionale per i dipendenti;
• - gestire il lavoro dell'ISMS;
• - gestire le risorse ISMS;
• - attuare procedure e altre misure di controllo per garantire la rapida individuazione degli eventi di sicurezza delle informazioni e la risposta agli incidenti relativi alla sicurezza delle informazioni.

La terza tappa" Monitoraggio e analisi del sistema di gestione della sicurezza delle informazioni " richiede:

• - svolgere procedure di monitoraggio e analisi;
• - condurre analisi periodiche dell'efficacia del SGSI;
• - misurare l'efficacia dei controlli per verificare il rispetto dei requisiti SI;
• - rivedere le valutazioni dei rischi in periodi di tempo specificati, analizzare i rischi residui e stabilire livelli di rischio accettabili, tenendo conto dei cambiamenti;
• - condurre audit interni del SGSI a intervalli di tempo specificati;
• - condurre regolarmente un'analisi del SGSI da parte del management dell'organizzazione al fine di confermare l'adeguatezza del funzionamento del ss e determinare le direzioni di miglioramento;
• - aggiornare i piani SI tenendo conto dei risultati dell'analisi e del monitoraggio;
• - registrare azioni ed eventi che potrebbero influenzare l'efficacia o il funzionamento del SGSI.

Finalmente il palco "Supporto e miglioramento del sistema di gestione della sicurezza delle informazioni" suggerisce che l'organizzazione dovrebbe svolgere regolarmente le seguenti attività:

• - identificare opportunità per migliorare il SGSI;
• - intraprendere le necessarie azioni correttive e preventive, utilizzare nella pratica l'esperienza SI maturata sia nella propria organizzazione che in altre organizzazioni;
• - trasmettere informazioni dettagliate sulle azioni per migliorare il SGSI a tutte le parti interessate, mentre il grado di dettaglio dovrebbe corrispondere alle circostanze e, se necessario, concordare ulteriori azioni;
• - assicurare l'implementazione di miglioramenti al SGSI per raggiungere gli obiettivi pianificati.

Inoltre nello standard, vengono forniti i requisiti per la documentazione, che dovrebbero includere le disposizioni della politica ISMS e una descrizione dell'area di operazione, una descrizione della metodologia e un rapporto di valutazione del rischio, un piano di trattamento del rischio e documentazione delle relative procedure. Dovrebbe anche essere definito un processo per la gestione dei documenti ISMS, inclusi l'aggiornamento, l'uso, l'archiviazione e lo smaltimento.

Per fornire evidenza della conformità ai requisiti e dell'efficacia dell'ISMS, è necessario mantenere e conservare registrazioni e registrazioni dell'esecuzione dei processi. Gli esempi includono i registri dei visitatori, i rapporti di audit, ecc.

La norma specifica che la direzione dell'organizzazione è responsabile della fornitura e della gestione delle risorse necessarie per stabilire un ISMS e per l'organizzazione della formazione del personale.

Come notato in precedenza, l'organizzazione dovrebbe condurre audit ISMS interni in conformità con un programma approvato per valutarne la funzionalità e la conformità allo standard. E la direzione dovrebbe condurre un'analisi del sistema di gestione della sicurezza delle informazioni.

Inoltre, è necessario lavorare per migliorare il sistema di gestione della sicurezza delle informazioni: per aumentare la sua efficacia e il livello di conformità allo stato attuale del sistema e ai requisiti per esso.

introduzione

Un'azienda in rapida crescita, nonché un gigante nel suo segmento, è interessata a realizzare un profitto e proteggersi dall'influenza degli intrusi. Se prima il furto di valori materiali era il pericolo principale, oggi il ruolo principale del furto si verifica in relazione a informazioni preziose. La traduzione di una parte significativa delle informazioni in formato elettronico, l'uso di reti locali e globali creano minacce qualitativamente nuove alle informazioni riservate.

Le banche, le organizzazioni di gestione e le compagnie assicurative sono particolarmente consapevoli della fuga di informazioni. La protezione delle informazioni in azienda è un insieme di misure che garantiscono la sicurezza dei dati dei clienti e dei dipendenti, importante documenti elettronici e tutti i tipi di informazioni, segreti. Ogni azienda è dotata di apparecchiature informatiche e di accesso al World Wide Web. Gli aggressori si connettono abilmente a quasi tutti i componenti di questo sistema e utilizzano un ampio arsenale (virus, malware, indovinare password, ecc.) per rubare informazioni preziose. Un sistema di sicurezza delle informazioni deve essere implementato in ogni organizzazione. I leader devono raccogliere, analizzare e classificare tutti i tipi di informazioni che devono essere protette e utilizzare un sistema di sicurezza appropriato. Ma questo non basterà, perché, oltre alla tecnologia, c'è un fattore umano che può anche far trapelare con successo informazioni ai concorrenti. È importante organizzare adeguatamente la protezione della tua impresa a tutti i livelli. A tal fine, viene utilizzato un sistema di gestione della sicurezza delle informazioni, con l'aiuto del quale il responsabile stabilirà un processo continuo di monitoraggio dell'attività e garantirà un elevato livello di sicurezza dei suoi dati.

1. Rilevanza dell'argomento

Per ciascuno impresa moderna, azienda o organizzazione, uno dei compiti più importanti è proprio quello di garantire la sicurezza delle informazioni. Quando un'impresa protegge stabilmente il proprio sistema informativo, crea un ambiente affidabile e sicuro per le sue operazioni. Danni, perdite, mancanza e furto di informazioni sono sempre perdite per ogni azienda. Pertanto, la creazione di un sistema di gestione della sicurezza delle informazioni nelle imprese è un problema urgente del nostro tempo.

2. Scopi e obiettivi dello studio

Analizzare le modalità di creazione di un sistema di gestione della sicurezza delle informazioni presso l'azienda, tenendo conto delle peculiarità della regione di Donetsk.

• analizzare all'avanguardia sistemi di gestione della sicurezza delle informazioni nelle imprese;
• identificare le ragioni per la creazione e l'implementazione di un sistema di gestione della sicurezza delle informazioni presso le imprese;
• sviluppare e implementare un sistema di gestione della sicurezza delle informazioni sull'esempio dell'impresa PJSC Donetsk Mine Rescue Equipment Plant;
• valutare l'efficacia, l'efficienza e la fattibilità economica dell'introduzione in azienda di un sistema di gestione della sicurezza delle informazioni.

3. Sistema di gestione della sicurezza delle informazioni

La sicurezza delle informazioni è intesa come lo stato di protezione delle informazioni e delle infrastrutture di supporto da influenze accidentali o intenzionali di natura naturale o artificiale (minacce informatiche, minacce alla sicurezza delle informazioni), che possono causare danni inaccettabili ai soggetti delle relazioni informative.

Disponibilità di informazioni - la proprietà del sistema di fornire un accesso tempestivo e senza ostacoli dei soggetti autorizzati (autorizzati) alle informazioni di loro interesse o di effettuare uno scambio tempestivo di informazioni tra di loro.

L'integrità delle informazioni è una proprietà delle informazioni che ne caratterizza la resistenza alla distruzione accidentale o deliberata o alla modifica non autorizzata. L'integrità può essere suddivisa in statica (intesa come immutabilità degli oggetti informativi) e dinamica (relativa alla corretta esecuzione di azioni complesse (transazioni)).

La riservatezza delle informazioni è la proprietà delle informazioni di essere conosciute e accessibili solo ai soggetti autorizzati del sistema (utenti, programmi, processi). La riservatezza è l'aspetto più sviluppato della sicurezza delle informazioni nel nostro Paese.

Il sistema di gestione della sicurezza delle informazioni (di seguito ISMS) è una parte del sistema di gestione generale basato su approcci al rischio d'impresa, destinato a stabilire, implementare, gestire, monitorare, mantenere e migliorare la sicurezza delle informazioni.

I principali fattori che influenzano la protezione delle informazioni e dei dati in azienda sono:

• Rafforzamento della cooperazione dell'azienda con i partner;
• automazione dei processi aziendali;
• La tendenza all'aumento del volume di informazioni dell'impresa, che viene trasmessa attraverso i canali di comunicazione disponibili;
• La tendenza al rialzo dei crimini informatici.

I compiti dei sistemi di sicurezza delle informazioni dell'azienda sono molteplici. Ad esempio, questa è la fornitura di un'archiviazione affidabile dei dati su vari supporti; protezione delle informazioni trasmesse attraverso i canali di comunicazione; limitare l'accesso ad alcuni dati; creazione di backup e altro ancora.

Una sicurezza delle informazioni a tutti gli effetti di un'azienda è reale solo con il giusto approccio alla protezione dei dati. Nel sistema di sicurezza delle informazioni, è necessario tenere conto di tutte le minacce e vulnerabilità attuali.

Uno degli strumenti più efficaci per la gestione e la protezione delle informazioni è il sistema di gestione della sicurezza delle informazioni costruito sulla base del modello MS ISO/IEC 27001:2005. Lo standard si basa su approccio al processo allo sviluppo, implementazione, funzionamento, monitoraggio, analisi, manutenzione e miglioramento dell'ISMS aziendale. Consiste nella creazione e applicazione di un sistema di processi gestionali che sono interconnessi in un ciclo continuo di progettazione, attuazione, verifica e miglioramento del SGSI.

Questo standard internazionale è stato preparato con l'obiettivo di creare un modello per l'implementazione, l'implementazione, il funzionamento, il monitoraggio, l'analisi, il mantenimento e il miglioramento di un ISMS.

I principali fattori per l'implementazione di un ISMS:

• legislativo - i requisiti della normativa nazionale vigente in termini di SI, requisiti internazionali;
• competitivo - rispetto del livello, elitarismo, protezione dei propri beni immateriali, superiorità;
• anti-crimine - protezione dai predoni (colletti bianchi), prevenzione del danno e sorveglianza segreta, raccolta di prove per i procedimenti.

La struttura della documentazione sulla sicurezza delle informazioni è mostrata nella Figura 1.

Figura 1 - La struttura della documentazione in materia di sicurezza delle informazioni

4. Costruire un ISMS

I sostenitori dell'ISO utilizzano il modello PDCA per creare un ISMS. L'ISO applica questo modello a molti dei suoi standard di gestione e l'ISO 27001 non fa eccezione. Inoltre, seguire il modello PDCA nell'organizzazione del processo di gestione consente di utilizzare le stesse tecniche in futuro - per la gestione della qualità, la gestione ambientale, la gestione della sicurezza, nonché in altre aree di gestione, il che riduce i costi. Pertanto, PDCA è una scelta eccellente, che soddisfa pienamente i compiti di creazione e mantenimento di un ISMS. In altre parole, le fasi PDCA definiscono come stabilire politiche, obiettivi, processi e procedure adeguati ai rischi da gestire (fase Plan), implementare e utilizzare (fase Do), valutare e, ove possibile, misurare i risultati del processo da la prospettiva della politica puntuale (fase di controllo - Controllo), intraprendere azioni correttive e preventive (fase di miglioramento - Atto). Ulteriori concetti che non fanno parte degli standard ISO che possono essere utili nella creazione di un ISMS sono: stato come dovrebbe essere (to-be); stato così com'è (così com'è); piano di transizione.

La base della ISO 27001 è un sistema di gestione del rischio delle informazioni.

Fasi della creazione di un ISMS

Nell'ambito del lavoro sulla creazione di un ISMS, si possono distinguere le seguenti fasi principali:

Figura 2 - Modello PDCA per la gestione della sicurezza delle informazioni (animazione: 6 frame, 6 ripetizioni, 246 kilobyte)

5. Gestione del rischio delle informazioni

La gestione del rischio è considerata a livello amministrativo della sicurezza delle informazioni, poiché solo la direzione dell'organizzazione è in grado di allocare le risorse necessarie, avviare e controllare l'attuazione dei programmi pertinenti.

L'uso dei sistemi informativi è associato a un certo insieme di rischi. Quando il danno potenziale è inaccettabilmente grande, è necessario adottare misure di protezione economicamente giustificate. La (ri) valutazione periodica del rischio è necessaria per monitorare l'efficacia delle attività di sicurezza e per tenere conto dei cambiamenti nell'ambiente.

L'essenza delle attività di gestione del rischio è valutarne le dimensioni, sviluppare misure efficaci e convenienti per mitigare i rischi e quindi garantire che i rischi siano contenuti entro limiti accettabili (e rimangano tali).

Il processo di gestione del rischio può essere suddiviso nelle seguenti fasi:

1. La scelta degli oggetti analizzati e il livello di dettaglio della loro considerazione.
2. Scelta della metodologia di valutazione del rischio.
3. Identificazione dei beni.
4. Analisi delle minacce e delle loro conseguenze, identificazione delle vulnerabilità nella protezione.
5. Valutazione del rischio.
6. Selezione delle misure di protezione.
7. Attuazione e verifica delle misure selezionate.
8. Valutazione del rischio residuo.

La gestione del rischio, come qualsiasi altra attività di sicurezza delle informazioni, deve essere integrata in ciclo vitale IP. Quindi l'effetto è maggiore e i costi sono minimi.

È molto importante scegliere una metodologia di valutazione del rischio ragionevole. Lo scopo della valutazione è ottenere una risposta a due domande: i rischi esistenti sono accettabili e, in caso contrario, quali dispositivi di protezione dovrebbero essere utilizzati. Ciò significa che la valutazione dovrebbe essere quantitativa, consentendo il confronto con limiti di ammissibilità preselezionati e i costi di attuazione di nuovi regolatori di sicurezza. La gestione del rischio è un tipico problema di ottimizzazione e ci sono alcuni prodotti software che possono aiutare a risolverlo (a volte tali prodotti sono semplicemente allegati a libri sulla sicurezza delle informazioni). La difficoltà fondamentale, tuttavia, è l'inesattezza dei dati iniziali. Ovviamente puoi provare a ottenere un'espressione monetaria per tutti i valori analizzati, calcolare tutto al centesimo più vicino, ma non ha molto senso in questo. È più pratico utilizzare unità convenzionali. Nel caso più semplice e perfettamente accettabile, puoi usare una scala a tre punti.

Le principali fasi della gestione del rischio.

Il primo passo nell'analisi delle minacce è identificarle. I tipi di minacce in esame dovrebbero essere selezionati sulla base di considerazioni di buon senso (escludendo, ad esempio, i terremoti, ma senza dimenticare la possibilità di sequestro dell'organizzazione da parte di terroristi), ma all'interno dei tipi selezionati, effettuare l'analisi più dettagliata .

È consigliabile identificare non solo le minacce stesse, ma anche le fonti del loro verificarsi: ciò aiuterà nella scelta di ulteriori mezzi di protezione.

Dopo aver identificato la minaccia, è necessario valutare la probabilità della sua attuazione. È consentito utilizzare una scala a tre punti (probabilità bassa (1), media (2) e alta (3)).

Se eventuali rischi si rivelassero inaccettabilmente elevati, è necessario neutralizzarli attuando misure di protezione aggiuntive. Tipicamente, per eliminare o neutralizzare la vulnerabilità che ha reso reale la minaccia, esistono diversi meccanismi di sicurezza, differenti per efficienza e costo.

Come per qualsiasi attività, l'implementazione e la sperimentazione di nuovi regolatori di sicurezza dovrebbero essere pianificati in anticipo. Il piano deve tenere conto della presenza risorse finanziarie e la tempistica della formazione del personale. Se parliamo di un meccanismo di protezione software e hardware, è necessario redigere un piano di test (autonomo e complesso).

Quando vengono prese le misure previste, è necessario verificarne l'efficacia, cioè assicurarsi che i rischi residui siano diventati accettabili. Se questo è effettivamente il caso, puoi tranquillamente programmare la data della prossima rivalutazione. In caso contrario, dovrai analizzare gli errori commessi e rieseguire immediatamente la sessione di gestione del rischio.

conclusioni

Ogni capo dell'impresa si preoccupa della sua attività e quindi deve comprendere che la decisione di implementare un sistema di gestione della sicurezza delle informazioni (ISMS) è un passo importante che ridurrà al minimo i rischi di perdita di beni dell'impresa / organizzazione e ridurrà le perdite finanziarie, e in alcuni casi evitare il fallimento.

La sicurezza delle informazioni è importante per le imprese, sia private che pubbliche. Dovrebbe essere visto come uno strumento per valutare, analizzare e ridurre al minimo i rischi associati.

La sicurezza che può essere raggiunta dalla tecnologia è limitata e dovrebbe essere mantenuta da controlli e procedure appropriati.

La definizione dei controlli richiede un'attenta pianificazione e attenzione.

Per proteggere efficacemente le informazioni, dovrebbero essere sviluppate le misure di sicurezza più appropriate, che possono essere raggiunte identificando i principali rischi delle informazioni nel sistema e implementando misure appropriate.

Biyachuev T.A. Sicurezza reti aziendali/ ed. L.G. Osovetsky. - SPb.: Casa editrice di SPb GU ITMO, 2006 .-- 161 p.

Shahalov Igor Yurievich

Sul tema dell'integrazione dei sistemi di gestione della qualità e della sicurezza delle informazioni

Abstract: Vengono considerati gli standard internazionali ISO 27001 e ISO 9001. Viene effettuata l'analisi delle somiglianze e delle differenze tra il sistema di gestione della qualità e il sistema di gestione della sicurezza delle informazioni. Viene mostrata la possibilità di integrare il sistema di gestione della qualità e il sistema di gestione della sicurezza delle informazioni. Vengono fornite le principali fasi di costruzione e implementazione di un sistema integrato di gestione della sicurezza delle informazioni. Vengono mostrati i vantaggi dell'approccio integrato.

Parole chiave: sistemi di gestione della sicurezza delle informazioni, sistemi di gestione integrati, ISMS, SGQ, ISO 27001.

Natalia Olegovna

introduzione

V mondo moderno con l'avvento del comune e conveniente dispositivi tecnici il problema della sicurezza delle informazioni è emerso in modo piuttosto netto. Insieme al rilascio di prodotti di qualità o alla fornitura di servizi a imprese e organizzazioni, è importante mantenere segrete le informazioni necessarie ai concorrenti per rimanere in una posizione favorevole sul mercato. Nella lotta competitiva sono diffuse diverse azioni volte ad ottenere (ottenere, acquisire) informazioni riservate. diversi modi, fino a dirigere lo spionaggio industriale utilizzando i moderni mezzi tecnici di intelligenza.

Pertanto, le organizzazioni che aderiscono alle migliori pratiche mondiali, contenenti requisiti, linee guida per l'implementazione di sistemi di gestione dei processi aziendali, stanno diventando leader nel mercato. I migliori standard per lo sviluppo, l'implementazione, il monitoraggio e il miglioramento di tali sistemi sono i documenti dell'International Organization for Standardization (ISO). Particolare attenzione va riservata agli standard della serie ISO 900x e ISO 2700x, che raccolgono le migliori pratiche per l'implementazione di un sistema di gestione della qualità (SGQ) e di un sistema di gestione della sicurezza delle informazioni (ISMS).

Il sistema di gestione della qualità, implementato in conformità con i requisiti dello standard ISO 9001, è stato a lungo riconosciuto come un attributo integrale di un'azienda di successo che produce prodotti di alta qualità o fornisce servizi di alta classe. Oggi la disponibilità di un certificato di conformità è sia un'efficace soluzione di marketing sia un meccanismo di controllo dei processi produttivi. L'audit del SGQ è un'area di attività ben sviluppata.

La dipendenza delle attività di successo dell'azienda da sistema aziendale protezione delle informazioni. Ciò è dovuto all'aumento del volume dei dati vitali trattati nel sistema informativo aziendale. I sistemi informativi stanno diventando più complessi e cresce anche il numero di vulnerabilità riscontrate in essi. L'audit ISMS consente di valutare l'attuale stato di sicurezza del funzionamento del sistema informativo aziendale,

valutare e prevedere i rischi, gestirne l'impatto sui processi di business dell'azienda.

Poiché lo standard ISO 9001 ha da tempo assunto la posizione di leader nel numero di certificati nel mondo e lo standard ISO 27001 mostra una tendenza all'aumento della certificazione del sistema di gestione della sicurezza delle informazioni, è consigliabile considerare la possibile interazione e integrazione del SGQ e del SGSI.

Integrazione degli standard

A prima vista, la gestione della qualità e la sicurezza delle informazioni sono aree completamente diverse. Tuttavia, in pratica, sono strettamente correlati e formano un tutt'uno (Figura 1). La soddisfazione del cliente, che è un obiettivo di qualità oggettivo, dipende ogni anno sempre di più dalla disponibilità di tecnologie informatiche e dalla sicurezza dei dati, per il cui mantenimento viene utilizzato lo standard ISO 27001. Lo standard ISO 9001 corrisponde invece esattamente gli obiettivi aziendali dell'organizzazione, contribuendo a garantire la sicurezza. Grazie a un approccio integrato, ISO 27001 può essere efficacemente integrato nel SGQ esistente o implementato insieme al SGQ.

(ISO 27001) e la gestione dei servizi IT (ISO 20000) hanno una struttura e un approccio di processo simili. Si crea così una sinergia che paga: in pratica, un sistema di gestione integrato per le operazioni in corso consente di risparmiare dal 20 al 30 percento del costo totale dell'ottimizzazione, dei controlli e delle revisioni del sistema.

Gli standard di sicurezza delle informazioni e di gestione della qualità mirano al miglioramento continuo secondo il modello Plan-Do-Check-Act (PDCA) noto come Deming Cycle (vedi Figura 2). Inoltre, sono simili nella struttura, come mostrato nella tabella di corrispondenza nell'allegato C della ISO 27001. Entrambi gli standard definiscono l'approccio al processo, l'ambito, i requisiti di sistema e documentazione e la responsabilità amministrativa. In entrambi i casi, la struttura si conclude con un audit interno, un riesame della direzione e un miglioramento del sistema. In questo, entrambi i sistemi interagiscono. Ad esempio, la ISO 9001 richiede la gestione dei prodotti non conformi. Allo stesso modo, lo standard ISO 27001 prevede un requisito di gestione degli incidenti per la risoluzione dei guasti.

Riso. 1. Ambiti di interazione e similarità del SGQ e del SGSI

Riso. 2. Ciclo di Deming

Più di 27.200 organizzazioni di vari settori in più di 100 paesi del mondo sono certificate per la conformità alla norma ISO 9001:2008 per la gestione della qualità. A seconda del mercato e dei requisiti legali, molte organizzazioni sono sempre più costrette a occuparsi della sicurezza delle informazioni. A questo proposito, l'integrazione del sistema di controllo offre possibilità reali. Un approccio complesso interessante anche per le aziende che fino ad ora non hanno utilizzato alcun processo gestionale. Standard ISO per la qualità (ISO 9001), la protezione dell'ambiente (ISO 14000), la sicurezza delle informazioni

Le differenze tra gli standard sono utili per integrarsi a vicenda, il che contribuisce in modo decisivo ad aumentare il successo aziendale. Ad esempio, la ISO 9001 richiede la definizione degli obiettivi aziendali, l'attenzione al cliente e la misurabilità, fino a che punto gli obiettivi e gli obiettivi vengono raggiunti. Queste sono tre questioni che non sono al centro degli interessi della ISO 27001. A sua volta, questo standard dà la priorità alla gestione del rischio per mantenere la continuità aziendale e offre assistenza dettagliata nell'implementazione di un ISMS. Rispetto

con questo, ISO 9001 è più di uno standard teorico.

ISO 27001 - uno standard non solo per l'IT

Molte persone pensano che lo standard ISO 27001 sia solo per i processi IT, ma in realtà non è così. Il punto fondamentale per l'implementazione dello standard ISO 27001 SM&B è la definizione degli asset.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Riso. 3. Tipi di attività

Per asset si intende tutto ciò che ha valore per l'azienda (Figura 3). Cioè, un bene può essere: risorse umane, infrastrutture, strumenti, attrezzature, comunicazioni, servizi e qualsiasi altro bene, inclusi i servizi per la fornitura dei prodotti acquistati. Sulla base dei processi, l'azienda determina quali asset possiede e quali sono coinvolti nei processi critici e valuta il valore degli asset. E solo dopo viene effettuata la valutazione del rischio per tutti i beni di valore. Pertanto, l'ISMS è inteso non solo per le informazioni digitali che vengono elaborate in sistema automatizzato... Ad esempio, alcuni dei processi più critici coinvolgono

Preparazione

piani di eventi

2 Spunta H: abbino

con l'archiviazione di copie cartacee delle informazioni, anch'essa coperta dalla ISO 27001. Un ISMS copre tutti i modi in cui le informazioni importanti possono essere archiviate nella tua azienda, da come il tuo email protetti, terminando con il luogo in cui sono archiviati i file personali dei dipendenti nell'edificio.

Pertanto, è un enorme equivoco che, poiché lo standard è finalizzato alla creazione di un sistema di gestione della sicurezza delle informazioni, questo può applicarsi solo ai dati archiviati in un computer. Anche nella nostra era digitale, molte informazioni si riflettono ancora sulla carta, che deve anche essere protetta in modo affidabile.

La ISO 9001 non è in grado di soddisfare le esigenze di sicurezza delle informazioni dell'azienda, poiché è strettamente focalizzata sulla qualità del prodotto. Pertanto, è molto importante implementare in azienda la ISO 27001. A prima vista, a uno specialista può sembrare che entrambi gli standard siano molto generali e non abbiano specificità. Tuttavia, non è così: lo standard ISO 27001 descrive quasi ogni fase dell'implementazione e del controllo del funzionamento di un ISMS (Figura 4).

Le fasi principali della costruzione di un sistema di gestione della sicurezza delle informazioni

Le fasi principali della costruzione di un ISMS sono illustrate nella Figura 4. Consideriamoli in modo più dettagliato.

Fase 1. Preparazione dei piani d'azione. In questa fase, gli specialisti raccolgono documenti organizzativi e amministrativi (ORD) e altri materiali di lavoro,

3 A tipo normale II ORD

4 Analisi ii valutazioni del rischio 11B

Implementazione

5 RyazraOoghya e<>Complesso RaeryaOopv & 00 \ * ieiitii:

piani di radiazione ■ -> norme -> eventi -> CfftpJOTHW *

eventi lun> PB ORD Poenpzhenie

Formazione di 10 AiUtuin valutazione dei risultati dell'INRsnEsS "IMB

Riso. 4. Fasi di costruzione di un ISMS

relativi alla costruzione e al funzionamento dei sistemi informativi della società, previsti per l'utilizzo di meccanismi e mezzi atti a garantire la sicurezza delle informazioni. Inoltre, vengono elaborati, concordati e approvati dalla direzione aziendale i piani di azione per le fasi di lavoro.

Fase 2. Verifica della conformità alla norma ISO/IEC 27001:2005. Intervistare e interrogare dirigenti e dipendenti dei reparti. Analisi dell'ISMS dell'azienda per la conformità ai requisiti della norma ISO/IEC 27001:2005.

Fase 3. Analisi dei documenti normativi e organizzativi e amministrativi in ​​base alla struttura organizzativa dell'azienda. Sulla base dei suoi risultati, viene determinato l'ambito protetto (OA) e viene sviluppato uno schizzo della politica di sicurezza delle informazioni dell'azienda.

Fase 4. Analisi e valutazione dei rischi per la sicurezza delle informazioni. Sviluppo di una metodologia per la gestione dei rischi aziendali e l'analisi degli stessi. Analisi delle risorse informative dell'azienda, principalmente LAN, al fine di identificare minacce e vulnerabilità degli asset ML protetti. Inventario dei beni. Conduzione di consulenze per gli specialisti dell'azienda e valutazione della conformità con il livello di sicurezza effettivo e richiesto. Calcolo dei rischi, determinazione del livello di rischio attuale e accettabile per ogni specifico asset. Classificazione dei rischi, selezione di complessi di misure per ridurli e calcolo dell'efficienza teorica di attuazione.

Fase 5. Sviluppo e implementazione di piani d'azione IS. Sviluppo di una dichiarazione sull'applicabilità dei controlli in conformità con la norma ISO/IEC 27001:2005. Sviluppo di un piano per la contabilizzazione e l'eliminazione dei rischi. Redazione di reportistica per il capo dell'azienda.

Fase 6. Sviluppo normativo e OSA. Elaborazione e approvazione della policy finale dell'OI e dei relativi provvedimenti (politiche private). Sviluppo di standard, procedure e istruzioni per garantire il normale funzionamento e funzionamento dell'ISMS aziendale.

Fase 7. Attuazione di misure globali per ridurre i rischi SI e valutarne l'efficacia in conformità con il piano per l'elaborazione e l'eliminazione dei rischi approvato dalla direzione.

Fase 8. Formazione del personale. Sviluppo di piani d'azione e implementazione di programmi per la formazione e il miglioramento delle competenze dei dipendenti dell'azienda al fine di trasmettere efficacemente i principi di sicurezza delle informazioni a tutti i dipendenti e

principalmente coloro che lavorano in unità strutturali fornire processi aziendali chiave.

Fase 9. Formazione della segnalazione. Sistematizzazione dei risultati dell'indagine e preparazione di report. Presentazione dei risultati del lavoro per i responsabili dell'azienda. Preparazione dei documenti per la licenza per la conformità alla norma ISO/IEC 27001:2005 e il loro trasferimento all'organismo di certificazione.

Fase 10. Analisi e valutazione dei risultati dell'implementazione dell'ISMS sulla base della metodologia che valuta l'affidabilità del funzionamento dell'ISMS dell'azienda. Sviluppo di raccomandazioni per migliorare il sistema di gestione della sicurezza delle informazioni dell'azienda.

Analizzando ogni fase dell'implementazione dell'ISMS, possiamo dire che la ISO 27001 ha una struttura e dei requisiti chiari che ti permetteranno di costruire un sistema funzionante in cui ci sarà interazione a tutti i livelli necessari. Ma non dobbiamo dimenticare che la principale differenza tra l'ISMS e il SGQ è che il primo sistema è focalizzato sulla sicurezza delle informazioni.

L'importanza della sicurezza delle informazioni nel mondo moderno

Il business di oggi non può esistere senza la tecnologia dell'informazione. È noto che circa il 70% del prodotto nazionale totale mondiale dipende in un modo o nell'altro dalle informazioni immagazzinate nei sistemi informativi. La diffusa introduzione dei computer ha creato non solo convenienze ben note, ma anche problemi, il più grave dei quali è il problema della sicurezza delle informazioni.

I leader aziendali devono comprendere l'importanza della sicurezza delle informazioni, imparare a prevedere e gestire le tendenze in questo settore. In questo possono essere aiutati dall'introduzione di un ISMS, che nella sua struttura ha potenzialità di sviluppo, trasparenza di gestione, flessibilità ad eventuali cambiamenti. Insieme ai controlli per i computer e le reti informatiche, la norma ISO 27001 pone grande attenzione allo sviluppo della politica di sicurezza, al lavoro con il personale (assunzione, formazione, licenziamento), garantendo la continuità processo produttivo, requisiti normativi, mentre alcuni aspetti tecnici sono dettagliati in altri standard della serie

ISO27000. Ci sono molti vantaggi nell'introdurre ISIB in azienda, alcuni di questi sono mostrati in Fig. 5.

Scala Glbkshl pODr> h; b1 [h-th

Rifiuta ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prttshal wyrdoctle

"Ji | m | ill p. Ki u:

azhshchtnya # tsn ^ st

Riso. 5. Vantaggi dell'implementazione di un sistema di gestione della sicurezza delle informazioni

I vantaggi dell'ISO dovrebbero essere sottolineati

Dimostrazione di competenza in materia di sicurezza. ISO 27001 è una guida pratica per un'organizzazione che aiuta a formulare i requisiti di sicurezza per raggiungere il livello di sicurezza richiesto e soddisfare obiettivi di sicurezza specifici. È particolarmente importante che le organizzazioni siano competenti in quattro aree della gestione della sicurezza, tra cui: identificazione e valutazione delle risorse aziendali, valutazione dei rischi e definizione dei criteri per l'accettazione dei rischi, gestione e adozione di questi elementi e miglioramento continuo. programma generale sicurezza dell'organizzazione.

Garantire la fiducia del cliente. ISO 27001 fornisce una prova indipendente che i programmi governo d'impresa supportati dalle migliori, migliori pratiche internazionali. La certificazione ISO 27001 offre tranquillità alle aziende che cercano di dimostrare integrità a clienti, azionisti e potenziali partner e, soprattutto, per dimostrare che l'azienda ha implementato con successo un solido sistema di gestione della sicurezza delle informazioni. Per molti settori fortemente regolamentati come la finanza o i servizi Internet, la selezione dei fornitori può

essere limitato a quelle organizzazioni che sono già certificate ISO 27001.

Uso più efficiente delle risorse. Grazie all'utilizzo dell'approccio per processi, è possibile ottimizzare i processi che si svolgono in azienda. Il che comporta una diminuzione dell'uso delle risorse, ad esempio il tempo.

Miglioramento continuo. L'ISMS utilizza il modello PCDA, che consente di controllare regolarmente lo stato dell'intero sistema, analizzare e migliorare il sistema di gestione

1. Immagine, marchio. La certificazione per la conformità alla norma ISO 27001 apre ampie opportunità per l'azienda: accesso a livello internazionale, nuove partnership, più clienti, nuovi contratti, successo nelle gare d'appalto. La presenza di un ISMS in un'azienda è un indicatore di un alto livello di sviluppo.

2. Flessibilità dell'ISMS. Indipendentemente dai cambiamenti nei processi, dalle nuove tecnologie, la base della struttura ISMS rimane efficace. L'ISMS si adatta abbastanza facilmente alle innovazioni modernizzando quelle esistenti e introducendo nuove contromisure.

3. Scalabilità dell'implementazione dello standard. Poiché la ISO 27001 implica lo scoping, solo un sottoinsieme dei processi può essere certificato. Si può iniziare ad implementare l'ISMS nell'OA più significativo per l'azienda, e solo successivamente espandersi.

4. Verifica. Molti aziende russe percepire il lavoro di audit come un disastro. La ISO 27001 mostra un approccio internazionale all'auditing: prima di tutto, l'interesse dell'azienda a soddisfare effettivamente gli standard, e non a fare la certificazione in qualche modo, solo per spettacolo.

5. Verifiche periodiche interne o esterne consentono di correggere le violazioni, migliorare l'ISMS e ridurre significativamente i rischi. Prima di tutto, l'azienda ne ha bisogno per la propria tranquillità, che tutto sia in ordine e che i rischi di perdite siano ridotti al minimo. E già secondario: un certificato di conformità, che conferma a partner o clienti che questa azienda può essere considerata affidabile.

6. Trasparenza di gestione. L'uso dello standard ISO 27001 fornisce istruzioni abbastanza chiare per la creazione della gestione e

anche i requisiti per la documentazione che deve essere in azienda. Il problema di molte aziende è che i documenti esistenti per alcuni reparti semplicemente non sono leggibili, perché spesso è impossibile capire cosa è destinato a chi a causa della complessità del sistema di documentazione. La gerarchia dei livelli di documentazione, dalla politica di sicurezza delle informazioni alla descrizione di procedure specifiche, rende molto più semplice l'uso di regole, regolamenti e altre cose esistenti. Inoltre, l'introduzione di SM & B comporta la formazione del personale: tenere seminari, mailing, appendere manifesti di avvertimento, che aumenta significativamente la consapevolezza della sicurezza delle informazioni tra i dipendenti ordinari.

In conclusione, va notato che in affari moderni l'inalienabilità del sistema di gestione della qualità di base, costruito in conformità con i requisiti dello standard ISO 9001, e la posizione guadagnata del sistema di gestione della sicurezza delle informazioni sono evidenti.

Oggi, il leader di mercato saranno le aziende che monitorano non solo gli indicatori di qualità di prodotti e servizi, ma anche i livelli di riservatezza, integrità e disponibilità delle informazioni su di essi. Anche la previsione e la valutazione del rischio è un importante fattore di successo, che richiede un approccio competente e l'uso delle migliori pratiche internazionali. L'attuazione congiunta e la certificazione dei sistemi di gestione della qualità e di sicurezza delle informazioni aiuterà a risolvere un'ampia gamma di problemi per qualsiasi industria o commercio, che a sua volta porterà ad un aumento qualitativo del livello dei servizi forniti.

Letteratura

1. Dorofeev A. V., Shahalov I. Yu. Fondamenti della gestione della sicurezza delle informazioni organizzazione moderna// Informatica giuridica. 2013. No. 3. S. 4-14.

2. Chashkin VN Gestione della sicurezza delle informazioni come elemento del sistema di gestione delle informazioni e delle attività tecnologiche dell'organizzazione // Sicurezza delle tecnologie dell'informazione. 2009. N. 1. S. 123-124.

3. Goryachev VV Nuovo GOST per SGQ. Principali differenze rispetto a GOST RV 15.002-2003 //

Metodi di gestione della qualità. 2013. No. 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Approccio alla costruzione di un modello di sistemi di gestione della sicurezza delle informazioni // Giornale scientifico elettronico della rete politematica dell'Università agraria statale di Kuban. 2009. N. 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modello del sistema di gestione della sicurezza delle informazioni presso l'impresa (nell'organizzazione) // Intellect. Innovazione. Investimenti. 2013. N. 1. S. 111-114.

6. Soloviev AM Base normativa e metodologica nel campo della sicurezza delle informazioni // Economia, statistica e informatica. Bollettino dell'UMO. 2012. N. 1. S. 174-181.

7. Kozin IF, Livshits II Sicurezza delle informazioni. Integrazione di standard internazionali nel sistema di sicurezza delle informazioni della Russia // Informatizzazione e comunicazione. 2010. N. 1. S. 50-55.

8. Kolodin VS Certificazione di sistemi di gestione integrati // Bollettino dell'Università tecnica statale di Irkutsk. 2010. T. 41. No. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Sistemi di gestione integrati: prerequisiti per la creazione nelle imprese russe // Giovane scienziato.

2013. N. 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Gestione della sicurezza delle informazioni dei sistemi di informazione e telecomunicazione basata sul modello "P1an-Do-Check-Act" // fionda Naukov1 dell'Università tecnica nazionale di Donetsk. Ser1ya: "Techshka computazionale che automatismo". 2013. N. 2 (25). S.104-110.

11. Dorofeev AV, Markov AS Gestione della sicurezza delle informazioni: concetti di base // Problemi di sicurezza informatica.

2014. N. 1 (2). Pag. 67-73.

12. Shper VL Informazioni sullo standard 18O / 1EC 27001 // Metodi di gestione della qualità. 2008. N. 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Gestione del rischio - vuoto normativo della sicurezza delle informazioni // Sistemi aperti... DBMS. 2007. N. 8. S. 63-67.

14. Matveev V. A., Tsirlov V. L. Stato e prospettive di sviluppo del settore della sicurezza delle informazioni della Federazione Russa

zione nel 2014 // Problemi di sicurezza informatica. 2013. N. 1 (1). Pag. 61-64.

15. Tamburi A. V. Standardizzazione del processo di sviluppo della cassaforte strumenti software// Problemi di sicurezza informatica. 2013. N. 1 (1). Pag. 37-41.

16. Markov A.S., Tsirlov V.L. Linee guida per la sicurezza informatica nel contesto

ISO 27032 // Problemi di sicurezza informatica. 2014. N. 1 (2). Pag. 28-35. 17. Khramtsovskaya N. Quello che un manager deve sapere sulla sicurezza delle informazioni // Kadrovik. 2009. N. 4. S. 061-072.

Davvero imbarazzante. Abbiamo informato dell'imminente rilascio dello standard ISO 45001, che dovrebbe sostituire l'attuale standard di gestione della salute e sicurezza sul lavoro OHSAS 18001, abbiamo detto che dovremmo aspettarlo alla fine del 2016 ... La mezzanotte si avvicina, ma Herman è ancora andato. È ora di ammettere: la ISO 45001 è in attesa. Vero, per buoni motivi. La comunità di esperti ha troppe domande per lui. […]