ინფორმაციული უსაფრთხოების მართვის სისტემა. რუსეთის ფედერაციის საკანონმდებლო ბაზა. საინფორმაციო რისკების მართვა

Მსოფლიოში საინფორმაციო ტექნოლოგიებიპრიორიტეტული ხდება ინფორმაციის მთლიანობის, სანდოობის და კონფიდენციალურობის უზრუნველყოფის საკითხი. აქედან გამომდინარე, ორგანიზაციაში მართვის სისტემის საჭიროების აღიარება ინფორმაციის დაცვა(ISMS) არის სტრატეგიული გადაწყვეტილება.

იგი შეიქმნა იმისთვის, რომ შექმნას, განახორციელოს, შეინარჩუნოს და მუდმივად გააუმჯობესოს ISMS საწარმოში და ამ სტანდარტის გარე პარტნიორების გამოყენებით, ცხადი ხდება, რომ ორგანიზაციას შეუძლია დააკმაყოფილოს საკუთარი უსაფრთხოების უსაფრთხოების მოთხოვნები. ეს სტატია განიხილავს სტანდარტის ძირითად მოთხოვნებს და განიხილავს მის სტრუქტურას.

(ADV31)

ISO 27001 სტანდარტის ძირითადი ამოცანები

სანამ სტანდარტის სტრუქტურის აღწერას გავაგრძელებთ, მოდით განვსაზღვროთ მისი ძირითადი ამოცანები და განვიხილოთ სტანდარტის რუსეთში გამოჩენის ისტორია.

სტანდარტის მიზნები:

  • დაარსება ერთგვაროვანი მოთხოვნებიყველა ორგანიზაციისათვის ISMS- ის შექმნა, განხორციელება და გაუმჯობესება;
  • უფროსი მენეჯმენტისა და თანამშრომლების ურთიერთქმედების უზრუნველყოფა;
  • კონფიდენციალურობის, მთლიანობისა და ინფორმაციის ხელმისაწვდომობის შენარჩუნება.

ამავდროულად, სტანდარტით დადგენილი მოთხოვნები ზოგადია და განკუთვნილია ნებისმიერი ორგანიზაციის მიერ, განურჩევლად მათი ტიპის, ზომისა და ბუნებისა.

სტანდარტის ისტორია:

  • 1995 წელს ბრიტანეთის სტანდარტების ინსტიტუტმა (BSI) მიიღო ინფორმაციის უსაფრთხოების მართვის კოდექსი, როგორც გაერთიანებული სამეფოს ეროვნული სტანდარტი და დაარეგისტრირა BS 7799 - ნაწილი 1.
  • 1998 წელს BSI აქვეყნებს BS7799-2 ორ ნაწილად, ერთი შეიცავს პრაქტიკის კოდს და მეორე მოთხოვნებს ინფორმაციის უსაფრთხოების მართვის სისტემებისათვის.
  • შემდგომი გადასინჯვის პროცესში, პირველი ნაწილი გამოქვეყნდა BS 7799: 1999, ნაწილი 1. 1999 წელს სტანდარტის ეს ვერსია გადაეცა სერტიფიცირების საერთაშორისო ორგანიზაციას.
  • ეს დოკუმენტი დამტკიცებულია 2000 წელს, როგორც საერთაშორისო სტანდარტი ISO / IEC 17799: 2000 (BS 7799-1: 2000). უახლესი ვერსიაამ სტანდარტის, რომელიც მიღებულია 2005 წელს, არის ISO / IEC 17799: 2005.
  • 2002 წლის სექტემბერში ძალაში შევიდა BS 7799 "ინფორმაციის უსაფრთხოების მართვის სისტემის სპეციფიკაციის" მეორე ნაწილი. BS 7799- ის მეორე ნაწილი გადაისინჯა 2002 წელს და 2005 წლის ბოლოს ISO- მ მიიღო საერთაშორისო სტანდარტი ISO / IEC 27001: 2005 "ინფორმაციული ტექნოლოგიები - უსაფრთხოების ტექნიკა - ინფორმაციული უსაფრთხოების მართვის სისტემები - მოთხოვნები".
  • 2005 წელს ISO / IEC 17799 სტანდარტი შედიოდა 27 -ე სერიის სტანდარტების ხაზში და მიიღო ახალი ნომერი- ISO / IEC 27002: 2005.
  • 2013 წლის 25 სექტემბერს განახლებული სტანდარტი ISO / IEC 27001: 2013 „ინფორმაციული უსაფრთხოების მართვის სისტემები. მოთხოვნები ". ამჟამად, ორგანიზაციები დამოწმებულია სტანდარტის ამ ვერსიის მიხედვით.

სტანდარტის სტრუქტურა

ამ სტანდარტის ერთ -ერთი უპირატესობაა მისი სტრუქტურის მსგავსება ISO 9001 -თან, რადგან ის შეიცავს იდენტურ ქვეპუნქტების სათაურებს, იდენტურ ტექსტს, საერთო ტერმინებს და ძირითად განმარტებებს. ეს გარემოება ზოგავს დროსა და ფულს, ვინაიდან დოკუმენტაციის ნაწილი უკვე შემუშავებულია ISO 9001 სერტიფიკაციის დროს.

თუ ვსაუბრობთ სტანდარტის სტრუქტურაზე, ეს არის ISMS მოთხოვნების ჩამონათვალი, რომლებიც სავალდებულოა სერტიფიკაციისთვის და შედგება შემდეგი სექციებისგან:

ძირითადი განყოფილებებიდანართი ა
0. შესავალი A.5 ინფორმაციის უსაფრთხოების პოლიტიკა
გამოყენების 1 სფერო A.6 ინფორმაციის უსაფრთხოების ორგანიზაცია
2. ნორმატიული ცნობები A.7 ადამიანური რესურსების (პერსონალის) უსაფრთხოება
3. ტერმინები და განმარტებები A.8 აქტივების მართვა
4. ორგანიზაციის კონტექსტი A.9 წვდომის კონტროლი
5. ლიდერობა A.10 კრიპტოგრაფია
6. დაგეგმვა A.11 ფიზიკური და გარემოსდაცვითი უსაფრთხოება
7. მხარდაჭერა A.12 ოპერაციების უსაფრთხოება
8. ოპერაციები (ოპერაცია) A.13 კომუნიკაციის უსაფრთხოება
9. შესრულების შეფასება (გაზომვა) A.14 საინფორმაციო სისტემების შეძენა, განვითარება და შენარჩუნება
10. გაუმჯობესება (გაუმჯობესება) A.15 მიმწოდებელთან ურთიერთობა
A.16 ინციდენტების მართვა
A.17 ბიზნესის უწყვეტობა
A.18 სამართლებრივი დაცვა

"დანართი A" მოთხოვნები სავალდებულოა, მაგრამ სტანდარტი საშუალებას გაძლევთ გამორიცხოთ ის სფეროები, რომლებიც არ შეიძლება გამოყენებულ იქნას საწარმოში.

სტანდარტის დანერგვისას საწარმოში შემდგომი სერტიფიცირებისათვის, უნდა გვახსოვდეს, რომ არ არის დაშვებული გამონაკლისი 4-10 პუნქტებში დადგენილ მოთხოვნებთან. ეს სექციები შემდგომში იქნება განხილული.

დავიწყოთ ნაწილი 4 - ორგანიზაციის კონტექსტი

ორგანიზაციის კონტექსტი

ამ განყოფილებაში სტანდარტი მოითხოვს ორგანიზაციას განსაზღვროს გარე და შიდა საკითხები, რომლებიც შეესაბამება მის მიზნებს და რომლებიც გავლენას ახდენს მისი ISMS– ის უნარზე მიაღწიოს მოსალოდნელ შედეგებს. ამით თქვენ უნდა გაითვალისწინოთ ინფორმაციის უსაფრთხოებასთან დაკავშირებული სამართლებრივი, მარეგულირებელი და სახელშეკრულებო ვალდებულებები. ორგანიზაციამ ასევე უნდა განსაზღვროს და დოკუმენტირება გაუწიოს ISMS– ის ფარგლებს და გამოყენებას, რათა დაადგინოს მისი ფარგლები.

ლიდერობა

უმაღლესმა მენეჯმენტმა უნდა გამოავლინოს ლიდერობა და ერთგულება ინფორმაციული უსაფრთხოების მართვის სისტემის მიმართ, მაგალითად, უზრუნველყოს ინფორმაციის უსაფრთხოების პოლიტიკისა და ინფორმაციის უსაფრთხოების მიზნების ჩამოყალიბება და შესაბამისობა ორგანიზაციის სტრატეგიასთან. ასევე, უმაღლესმა მენეჯმენტმა უნდა უზრუნველყოს ISMS– ის ყველა საჭირო რესურსის უზრუნველყოფა. სხვა სიტყვებით რომ ვთქვათ, თანამშრომლებისთვის ცხადი უნდა იყოს, რომ მენეჯმენტი ჩართულია ინფორმაციის უსაფრთხოების საკითხებში.

ინფორმაციის უსაფრთხოების პოლიტიკა დოკუმენტირებული უნდა იყოს და თანამშრომლებს უნდა ეცნობოს. ეს დოკუმენტი შეახსენებს ISO 9001 ხარისხის პოლიტიკას, ასევე უნდა იყოს შესაბამისი ორგანიზაციის მიზნებისათვის და შეიცავდეს ინფორმაციის უსაფრთხოების მიზნებს. კარგია, თუ ეს რეალური მიზნებია, როგორიცაა ინფორმაციის კონფიდენციალურობის და მთლიანობის დაცვა.

მენეჯმენტი ასევე სავარაუდოდ თანამშრომლებს შორის გადაანაწილებს ინფორმაციულ უსაფრთხოებასთან დაკავშირებულ ფუნქციებსა და მოვალეობებს.

დაგეგმვა

ამ განყოფილებაში ჩვენ მივდივართ PDCA (გეგმა - გაკეთება - შემოწმება - მოქმედება) მართვის პრინციპის პირველ ეტაპზე - დაგეგმვა, შესრულება, შემოწმება, მოქმედება.

ინფორმაციის უსაფრთხოების მართვის სისტემის დაგეგმვისას, ორგანიზაციამ უნდა გაითვალისწინოს მე -4 პუნქტში აღნიშნული საკითხები და განსაზღვროს რისკები და პოტენციური შესაძლებლობები, რომლებიც უნდა იქნას გათვალისწინებული, რათა უზრუნველყოს, რომ ISMS- ს შეუძლია მიაღწიოს მოსალოდნელ შედეგებს, თავიდან აიცილოს არასასურველი ეფექტები, და მიაღწიოს უწყვეტ გაუმჯობესებას.

როდესაც გეგმავს როგორ მიაღწიოს ინფორმაციული უსაფრთხოების მიზნებს, ორგანიზაციამ უნდა განსაზღვროს:

  • რა გაკეთდება;
  • რა რესურსები იქნება საჭირო;
  • ვინ იქნება პასუხისმგებელი;
  • როდესაც მიზნები მიღწეულია;
  • როგორ შეფასდება შედეგები.

გარდა ამისა, ორგანიზაციამ უნდა შეინახოს მონაცემები ინფორმაციის უსაფრთხოების მიზნების შესახებ, როგორც დოკუმენტირებული ინფორმაცია.

უსაფრთხოება

ორგანიზაციამ უნდა განსაზღვროს და უზრუნველყოს რესურსები, რომლებიც საჭიროა ISMS- ის შემუშავების, დანერგვის, შენარჩუნებისა და განუწყვეტლივ გაუმჯობესების მიზნით, ეს მოიცავს როგორც პერსონალს, ასევე დოკუმენტაციას. პერსონალთან დაკავშირებით, ორგანიზაცია სავარაუდოდ დაიქირავებს ინფორმაციული უსაფრთხოების კვალიფიციური და კომპეტენტური პერსონალს. დასაქმებულთა კვალიფიკაცია უნდა დადასტურდეს სერთიფიკატებით, დიპლომებით და ა.შ. შესაძლებელია მესამე მხარის სპეციალისტების მოზიდვა ხელშეკრულებით, ან თქვენი თანამშრომლების მომზადება. რაც შეეხება დოკუმენტაციას, ის უნდა შეიცავდეს:

  • სტანდარტით მოთხოვნილი დოკუმენტირებული ინფორმაცია;
  • ორგანიზაციის მიერ განსაზღვრული დოკუმენტირებული ინფორმაცია აუცილებელია ინფორმაციის უსაფრთხოების მართვის სისტემის ეფექტურობის უზრუნველსაყოფად.

ISMS და სტანდარტით მოთხოვნილი დოკუმენტირებული ინფორმაცია უნდა კონტროლდებოდეს იმის უზრუნველსაყოფად, რომ ის:

  • ხელმისაწვდომი და შესაფერისი გამოსაყენებლად, სადაც და როდესაც საჭიროა, და
  • სათანადოდ დაცული (მაგალითად, კონფიდენციალურობის დაკარგვის, ბოროტად გამოყენების ან მთლიანობის დაკარგვისგან).

ფუნქციონირება

ეს ნაწილი საუბრობს PDCA მმართველობის პრინციპის მეორე ფაზაზე - ორგანიზაციის მიერ პროცესების მართვის აუცილებლობაზე შესაბამისობის უზრუნველსაყოფად და დაგეგმვის განყოფილებაში განსაზღვრული საქმიანობის შესასრულებლად. ის ასევე აცხადებს, რომ ორგანიზაციამ უნდა განახორციელოს ინფორმაციული უსაფრთხოების რისკების შეფასება დაგეგმილი ინტერვალებით ან როდესაც მნიშვნელოვანი ცვლილებები შემოთავაზებულია ან მოხდა. ორგანიზაციამ უნდა შეინარჩუნოს ინფორმაციის უსაფრთხოების რისკების შეფასების შედეგები, როგორც დოკუმენტირებული ინფორმაცია.

Შესრულების შეფასება

მესამე ეტაპი არის გადამოწმება. ორგანიზაციამ უნდა შეაფასოს ISMS– ის მოქმედება და ეფექტურობა. მაგალითად, მან უნდა ჩაატაროს შიდა აუდიტი, რათა მიიღოს ინფორმაცია იმის შესახებ

  1. არის თუ არა ინფორმაციული უსაფრთხოების მართვის სისტემა თანმიმდევრული
    • ორგანიზაციის საკუთარი მოთხოვნები ინფორმაციის უსაფრთხოების მართვის სისტემის მიმართ;
    • სტანდარტის მოთხოვნები;
  2. რომ ინფორმაციის უსაფრთხოების მართვის სისტემა ეფექტურად არის დანერგილი და ფუნქციონირებს.

ცხადია, რომ აუდიტის მოცულობა და დრო წინასწარ უნდა იყოს დაგეგმილი. ყველა შედეგი უნდა იყოს დოკუმენტირებული და დაცული.

გაუმჯობესება

ამ განყოფილების მიზანია განსაზღვროს მოქმედების კურსი, როდესაც გამოვლენილია შეუსაბამობა. ორგანიზაციამ უნდა შეასწოროს შეუსაბამობები, შედეგები და გააანალიზოს სიტუაცია ისე, რომ ეს მომავალში არ მოხდეს. ყველა შეუსაბამობა და მაკორექტირებელი ქმედება უნდა იყოს დოკუმენტირებული.

ამით მთავრდება სტანდარტის ძირითადი ნაწილები. დანართი A ითვალისწინებს უფრო კონკრეტულ მოთხოვნებს, რომლებსაც უნდა აკმაყოფილებდეს ორგანიზაცია. მაგალითად, წვდომის კონტროლის თვალსაზრისით, გამოიყენეთ მობილური მოწყობილობებიდა ინფორმაციის მატარებლები.

სარგებელი ISO 27001 დანერგვისა და სერტიფიცირებისგან

  • ორგანიზაციის სტატუსის გაზრდა და, შესაბამისად, პარტნიორების ნდობა;
  • ორგანიზაციის ფუნქციონირების სტაბილურობის გაზრდა;
  • ინფორმაციული უსაფრთხოების საფრთხეებისგან დაცვის დონის ამაღლება;
  • დაინტერესებული მხარეების ინფორმაციის კონფიდენციალურობის საჭირო დონის უზრუნველყოფა;
  • გაფართოვდეს ორგანიზაციის მონაწილეობა დიდ კონტრაქტებში.

ეკონომიკური სარგებელი შემდეგია:

  • სერტიფიკაციის ორგანოს დამოუკიდებელი დადასტურება იმისა, რომ ორგანიზაციას აქვს ინფორმაციული უსაფრთხოების მაღალი დონე, რომელსაც აკონტროლებენ კომპეტენტური პერსონალი;
  • მოქმედი კანონების და რეგულაციების (სავალდებულო მოთხოვნების სისტემასთან შესაბამისობის) მტკიცებულება;
  • კლიენტების და ორგანიზაციის პარტნიორების მომსახურების სათანადო დონის უზრუნველსაყოფად მართვის სისტემების გარკვეული მაღალი დონის დემონსტრირება;
  • მართვის სისტემების რეგულარული აუდიტის დემონსტრირება, შესრულების შეფასება და უწყვეტი გაუმჯობესება.

სერტიფიცირება

ორგანიზაცია შეიძლება დამოწმდეს აკრედიტებული სააგენტოების მიერ ამ სტანდარტის შესაბამისად. სერტიფიცირების პროცესი შედგება სამი ეტაპისგან:

  • პირველი ეტაპი - აუდიტორის მიერ ISMS– ის ძირითადი დოკუმენტების შესწავლა სტანდარტის მოთხოვნების შესაბამისად - შეიძლება განხორციელდეს როგორც ორგანიზაციის ტერიტორიაზე, ასევე ამ დოკუმენტების გარე აუდიტორზე გადაცემით;
  • მე -2 ეტაპი - დეტალური აუდიტი, მათ შორის განხორციელებული ღონისძიებების ტესტირება და მათი ეფექტურობის შეფასება. მოიცავს სტანდარტით მოთხოვნილი დოკუმენტების სრულ შესწავლას;
  • მე -3 ეტაპი - ინსპექტირების აუდიტის განხორციელება იმის დასადასტურებლად, რომ სერტიფიცირებული ორგანიზაცია აკმაყოფილებს მითითებულ მოთხოვნებს. შესრულებულია პერიოდულად.

შედეგი

როგორც ხედავთ, ამ სტანდარტის გამოყენება საწარმოში საშუალებას მისცემს თვისობრივად გააუმჯობესოს ინფორმაციული უსაფრთხოების დონე, რაც ძვირია თანამედროვე რეალობის პირობებში. სტანდარტი შეიცავს ბევრ მოთხოვნას, მაგრამ ყველაზე მნიშვნელოვანი მოთხოვნაა გააკეთოს ის, რაც წერია! სტანდარტის მოთხოვნების რეალურად გამოყენების გარეშე, ის გადაიქცევა ცარიელ ფურცლებად.

GOST R ISO / IEC 27001-2006 ”ინფორმაციული ტექნოლოგია. უსაფრთხოების უზრუნველყოფის მეთოდები და საშუალებები. ინფორმაციული უსაფრთხოების მართვის სისტემები. მოთხოვნები "

სტანდარტის შემქმნელები აღნიშნავენ, რომ იგი მომზადდა როგორც მოდელი ინფორმაციის უსაფრთხოების მართვის სისტემის (ISMS) შემუშავების, განხორციელების, მუშაობის, მონიტორინგის, ანალიზის, მხარდაჭერისა და გაუმჯობესებისათვის. ISMS (ინგლისური - ინფორმაციის უსაფრთხოების მართვის სისტემა; ISMS) განისაზღვრება, როგორც ზოგადი მენეჯმენტის სისტემის ნაწილი, რომელიც ემყარება ბიზნეს რისკების შეფასების მეთოდების გამოყენებას ინფორმაციის უსაფრთხოების შემუშავების, განხორციელების, ექსპლუატაციის, მონიტორინგის, ანალიზის, მხარდაჭერისა და გაუმჯობესების მიზნით. მართვის სისტემა მოიცავს ორგანიზაციული სტრუქტურაპოლიტიკა, საქმიანობის დაგეგმვა, პასუხისმგებლობა, პრაქტიკა, პროცედურები, პროცესები და რესურსები.

სტანდარტი გულისხმობს პროცესის მიდგომის გამოყენებას ორგანიზაციის ISMS- ის შემუშავების, განხორციელების, მუშაობის, მონიტორინგის, ანალიზის, მხარდაჭერისა და გაუმჯობესებისათვის. იგი ემყარება გეგმა - Do - Check - Act (PDCA) მოდელს, რომელიც შეიძლება გამოყენებულ იქნას ISMS– ის ყველა პროცესის სტრუქტურირებისათვის. ლეღვი 4.4 გვიჩვენებს, თუ როგორ იყენებს ISMS, ინფორმაციის უსაფრთხოების მოთხოვნებს და დაინტერესებული მხარეების მოსალოდნელ შედეგებს, როგორც საჭიროებისამებრ, საჭირო ქმედებებისა და პროცესების საშუალებით, ინფორმაციის უსაფრთხოების შედეგებს, რომლებიც აკმაყოფილებს ამ მოთხოვნებს და მოსალოდნელ შედეგებს.

ბრინჯი 4.4.

სცენაზე "ინფორმაციული უსაფრთხოების მართვის სისტემის განვითარება"ორგანიზაციამ უნდა გააკეთოს შემდეგი:

  • - განსაზღვროს ISMS– ის ფარგლები და საზღვრები;
  • - განსაზღვროს ISMS პოლიტიკა ბიზნესის, ორგანიზაციის, მისი ადგილმდებარეობის, აქტივებისა და ტექნოლოგიების მახასიათებლების საფუძველზე;
  • - განსაზღვრავს ორგანიზაციაში რისკის შეფასების მიდგომას;
  • - რისკების დადგენა;
  • - რისკების გაანალიზება და შეფასება;
  • - რისკების მკურნალობის სხვადასხვა ვარიანტის გამოვლენა და შეფასება;
  • - რისკების მკურნალობის მიზნების და კონტროლის შერჩევა;
  • - მიიღოს მენეჯმენტის ნებართვა მოსალოდნელი ნარჩენი რისკების შესახებ;
  • - მიიღეთ მენეჯმენტის ნებართვა ISMS– ის განხორციელებისა და მუშაობისათვის;
  • - მოამზადოს განაცხადის შესახებ.

სცენა " ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა და ფუნქციონირება "ვარაუდობს, რომ ორგანიზაციამ უნდა:

  • - შეიმუშაოს რისკების მკურნალობის გეგმა, რომელიც განსაზღვრავს სათანადო მენეჯმენტის ქმედებებს, რესურსებს, პასუხისმგებლობას და პრიორიტეტებს ინფორმაციული უსაფრთხოების რისკების მართვისათვის;
  • - განახორციელოს რისკების მკურნალობის გეგმა მენეჯმენტის მიზნების მისაღწევად, რომელიც მოიცავს დაფინანსების საკითხებს, ასევე როლებისა და პასუხისმგებლობების განაწილებას;
  • - განახორციელოს შერჩეული მენეჯმენტის ზომები;
  • - განსაზღვრავს შერჩეული საკონტროლო ღონისძიებების ეფექტურობის გაზომვის გზას;
  • - განახორციელოს თანამშრომლების ტრენინგისა და პროფესიული განვითარების პროგრამები;
  • - მართოს ISMS– ის მუშაობა;
  • - მართოს ISMS რესურსები;
  • - განახორციელოს პროცედურები და კონტროლის სხვა ღონისძიებები, რათა უზრუნველყოს ინფორმაციული უსაფრთხოების მოვლენების სწრაფი გამოვლენა და ინფორმაციული უსაფრთხოების ინციდენტებზე რეაგირება.

მესამე ეტაპი " ინფორმაციის უსაფრთხოების მართვის სისტემის მონიტორინგი და ანალიზი "მოითხოვს:

  • - განახორციელოს მონიტორინგისა და ანალიზის პროცედურები;
  • - რეგულარულად ჩაატაროს ISMS- ის ეფექტურობა;
  • - გაზომეთ კონტროლის ეფექტურობა IS მოთხოვნებთან შესაბამისობის შესამოწმებლად;
  • - გადახედოს რისკების შეფასებებს განსაზღვრული დროის ინტერვალებით, გაანალიზოს ნარჩენი რისკები და განსაზღვროს რისკების მისაღები დონე, ცვლილებების გათვალისწინებით;
  • - ჩაატაროს ISMS– ის შიდა აუდიტი განსაზღვრულ დროში;
  • - რეგულარულად ატარებს ISMS– ის ანალიზს ორგანიზაციის მენეჯმენტის მიერ, რათა დაადასტუროს ფუნქციონირების ადეკვატურობა და განსაზღვროს გაუმჯობესების მიმართულებები;
  • - განახორციელოს IS გეგმები ანალიზისა და მონიტორინგის შედეგების გათვალისწინებით;
  • - ჩაწერეთ ქმედებები და მოვლენები, რომლებმაც შეიძლება გავლენა მოახდინონ ISMS– ის ეფექტურობაზე ან მუშაობაზე.

საბოლოოდ, სცენა "ინფორმაციული უსაფრთხოების მართვის სისტემის მხარდაჭერა და გაუმჯობესება"ვარაუდობს, რომ ორგანიზაციამ რეგულარულად უნდა განახორციელოს შემდეგი საქმიანობა:

  • - განსაზღვროს ISMS– ის გაუმჯობესების შესაძლებლობები;
  • - განახორციელოს აუცილებელი მაკორექტირებელი და პროფილაქტიკური ზომები, გამოიყენოს პრაქტიკაში IS- ის გამოცდილება, როგორც საკუთარ ორგანიზაციებში, ასევე სხვა ორგანიზაციებში;
  • - გადასცეს დეტალური ინფორმაცია ISMS– ის გასაუმჯობესებელი ქმედებების შესახებ ყველა დაინტერესებულ მხარეს, ხოლო მისი დეტალების ხარისხი უნდა შეესაბამებოდეს გარემოებებს და, საჭიროების შემთხვევაში, შეთანხმდეს შემდგომ ქმედებებზე;
  • - უზრუნველყოს ISMS– ის გაუმჯობესების განხორციელება დაგეგმილი მიზნების მისაღწევად.

სტანდარტში შემდგომ მოცემულია დოკუმენტაციის მოთხოვნები, რომელიც უნდა შეიცავდეს ISMS პოლიტიკის დებულებებს და ოპერაციის არეალის აღწერას, მეთოდოლოგიის აღწერას და რისკების შეფასების ანგარიშს, რისკების მკურნალობის გეგმას და დოკუმენტაციას დაკავშირებული პროცედურების. ასევე უნდა განისაზღვროს ISMS დოკუმენტების მართვის პროცესი, მათ შორის განახლება, გამოყენება, შენახვა და განკარგვა.

ISMS– ის მოთხოვნებთან შესაბამისობისა და ეფექტურობის უზრუნველსაყოფად აუცილებელია პროცესების შესრულების ჩანაწერების და ჩანაწერების შენარჩუნება და შენარჩუნება. მაგალითები მოიცავს ვიზიტორთა ჟურნალებს, აუდიტის ანგარიშებს და ა.

სტანდარტი განსაზღვრავს, რომ ორგანიზაციის მენეჯმენტი პასუხისმგებელია ISMS– ის შესაქმნელად საჭირო რესურსების უზრუნველყოფაზე და მართვაზე და პერსონალის ტრენინგის ორგანიზებაზე.

როგორც უკვე აღვნიშნეთ, ორგანიზაციამ უნდა ჩაატაროს შიდა ISMS აუდიტი დამტკიცებული გრაფიკის შესაბამისად, რათა შეაფასოს მისი ფუნქციონირება და სტანდარტთან შესაბამისობა. მენეჯმენტმა უნდა ჩაატაროს ინფორმაციის უსაფრთხოების მართვის სისტემის ანალიზი.

ასევე, უნდა ჩატარდეს მუშაობა ინფორმაციის უსაფრთხოების მართვის სისტემის გასაუმჯობესებლად: მისი ეფექტურობის გაზრდა და სისტემის ამჟამინდელ მდგომარეობასთან შესაბამისობა და მისი მოთხოვნები.

შესავალი

სწრაფად მზარდი კომპანია, ისევე როგორც მისი სეგმენტის გიგანტი, დაინტერესებულია მოგების მიღებით და დაიცვას თავი შემოჭრილთა გავლენისგან. თუ ადრე მატერიალური ფასეულობების ქურდობა იყო მთავარი საფრთხე, დღეს ქურდობის მთავარი როლი ხდება ძვირფას ინფორმაციასთან მიმართებაში. ინფორმაციის მნიშვნელოვანი ნაწილის ელექტრონული ფორმით თარგმნა, ადგილობრივი და გლობალური ქსელების გამოყენება კონფიდენციალური ინფორმაციის ხარისხობრივად ახალ საფრთხეს ქმნის.

ინფორმაციის გაჟონვის შესახებ განსაკუთრებით მწვავედ იციან ბანკებმა, მმართველმა ორგანიზაციებმა და სადაზღვევო კომპანიებმა. საწარმოში ინფორმაციის დაცვა არის ღონისძიებების ერთობლიობა, რომელიც უზრუნველყოფს მომხმარებლებისა და თანამშრომლების მონაცემების უსაფრთხოებას, მნიშვნელოვანია ელექტრონული დოკუმენტებიდა ყველა სახის ინფორმაცია, საიდუმლო. თითოეული საწარმო აღჭურვილია კომპიუტერული ტექნიკით და წვდომა მსოფლიო ქსელში. თავდამსხმელები ოსტატურად უკავშირდებიან ამ სისტემის თითქმის ყველა კომპონენტს და იყენებენ დიდ არსენალს (ვირუსები, მავნე პროგრამები, პაროლის გამოცნობა და ა.შ.) ძვირფასი ინფორმაციის მოსაპარად. ინფორმაციის უსაფრთხოების სისტემა უნდა იყოს დანერგილი ყველა ორგანიზაციაში. ლიდერებმა უნდა შეაგროვონ, გააანალიზონ და დაალაგონ ყველა სახის ინფორმაცია, რომელიც უნდა იყოს დაცული და გამოიყენონ უსაფრთხოების შესაბამისი სისტემა. მაგრამ ეს არ იქნება საკმარისი, რადგან, ტექნოლოგიის გარდა, არსებობს ადამიანური ფაქტორი, რომელსაც ასევე შეუძლია წარმატებით გაავრცელოს ინფორმაცია კონკურენტებზე. მნიშვნელოვანია სწორად მოაწყოთ თქვენი საწარმოს დაცვა ყველა დონეზე. ამ მიზნებისათვის გამოიყენება ინფორმაციის უსაფრთხოების მენეჯმენტის სისტემა, რომლის დახმარებით მენეჯერი შექმნის ბიზნესის მონიტორინგის უწყვეტ პროცესს და უზრუნველყოფს მისი მონაცემების უსაფრთხოების მაღალ დონეს.

1. თემის აქტუალობა

თითოეულისთვის თანამედროვე საწარმო, კომპანია ან ორგანიზაცია, ერთ -ერთი ყველაზე მნიშვნელოვანი ამოცანაა ზუსტად ინფორმაციის უსაფრთხოების უზრუნველყოფა. როდესაც საწარმო სტაბილურად იცავს თავის საინფორმაციო სისტემას, ის ქმნის საიმედო და უსაფრთხო გარემოს თავისი საქმიანობისთვის. დაზიანება, გაჟონვა, ინფორმაციის ნაკლებობა და ქურდობა ყოველთვის ზარალია ყველა კომპანიისათვის. ამიტომ, საწარმოებში ინფორმაციის უსაფრთხოების მართვის სისტემის შექმნა ჩვენი დროის აქტუალური საკითხია.

2. კვლევის მიზნები და ამოცანები

გაანალიზეთ საწარმოში ინფორმაციის უსაფრთხოების მართვის სისტემის შექმნის გზები, დონეცკის რეგიონის თავისებურებების გათვალისწინებით.

  • გაანალიზება ხელოვნების მდგომარეობასაინფორმაციო უსაფრთხოების მართვის სისტემები საწარმოებში;
  • საწარმოებში ინფორმაციის უსაფრთხოების მართვის სისტემის შექმნისა და დანერგვის მიზეზების დადგენა;
  • საინფორმაციო უსაფრთხოების მართვის სისტემის შემუშავება და დანერგვა საწარმო PJSC დონეცკის მაღაროს სამაშველო აღჭურვილობის ქარხნის მაგალითზე;
  • შეაფასოს საწარმოში ინფორმაციის უსაფრთხოების მართვის სისტემის დანერგვის ეფექტურობა, ეფექტურობა და ეკონომიკური მიზანშეწონილობა.

3. ინფორმაციული უსაფრთხოების მართვის სისტემა

ინფორმაციის უსაფრთხოება იგულისხმება როგორც ინფორმაციის დაცვის მდგომარეობა და დამხმარე ინფრასტრუქტურა ბუნებრივი ან ხელოვნური ხასიათის შემთხვევითი ან მიზანმიმართული ზემოქმედებისგან (ინფორმაციული საფრთხეები, საფრთხე ინფორმაციის უსაფრთხოებისთვის), რამაც შეიძლება მიუღებელი ზიანი მიაყენოს საინფორმაციო ურთიერთობების სუბიექტებს.

ინფორმაციის ხელმისაწვდომობა - სისტემის საკუთრებაა უზრუნველყოს უფლებამოსილი (ავტორიზებული) სუბიექტების დროული შეუფერხებელი წვდომა მათთვის საინტერესო ინფორმაციაზე ან განახორციელოს მათ შორის ინფორმაციის დროული გაცვლა.

ინფორმაციის მთლიანობა არის ინფორმაციის თვისება, რომელიც ახასიათებს მის წინააღმდეგობას შემთხვევითი ან განზრახ განადგურების ან უნებართვო ცვლილების მიმართ. მთლიანობა შეიძლება დაიყოს სტატიკურად (იგულისხმება როგორც ინფორმაციის ობიექტების უცვლელობა) და დინამიური (დაკავშირებული კომპლექსური მოქმედებების (გარიგებების) სწორად შესრულებასთან).

ინფორმაციის კონფიდენციალურობა არის ინფორმაციის საკუთრება, რომელიც ცნობილი და ხელმისაწვდომი უნდა იყოს მხოლოდ სისტემის ავტორიზებული სუბიექტებისთვის (მომხმარებლები, პროგრამები, პროცესები). კონფიდენციალურობა არის ინფორმაციის უსაფრთხოების ყველაზე განვითარებული ასპექტი ჩვენს ქვეყანაში.

საინფორმაციო უსაფრთხოების მართვის სისტემა (შემდგომში ISMS) არის ზოგადი მენეჯმენტის სისტემის ნაწილი, რომელიც დაფუძნებულია ბიზნესის რისკებისადმი მიდგომებზე, რომელიც მიზნად ისახავს ინფორმაციის უსაფრთხოების დამყარებას, განხორციელებას, მართვას, მონიტორინგს, შენარჩუნებას და გაუმჯობესებას.

ძირითადი ფაქტორები, რომლებიც გავლენას ახდენენ საწარმოში ინფორმაციისა და მონაცემების დაცვაზე, არის:

  • პარტნიორებთან კომპანიის თანამშრომლობის გაღრმავება;
  • ბიზნეს პროცესის ავტომატიზაცია;
  • საწარმოს ინფორმაციის მოცულობის გაზრდის ტენდენცია, რომელიც გადადის არსებული საკომუნიკაციო არხებით;
  • კომპიუტერული დანაშაულების აღმავალი ტენდენცია.

კომპანიის ინფორმაციული უსაფრთხოების სისტემების ამოცანები მრავალმხრივია. მაგალითად, ეს არის საიმედო მონაცემთა შენახვა სხვადასხვა მედიაზე; საკომუნიკაციო არხებით გადაცემული ინფორმაციის დაცვა; ზოგიერთი მონაცემზე წვდომის შეზღუდვა; სარეზერვო ასლების შექმნა და სხვა.

კომპანიის სრულფასოვანი ინფორმაციული უსაფრთხოება რეალურია მხოლოდ მონაცემთა დაცვის სწორი მიდგომით. ინფორმაციის უსაფრთხოების სისტემაში აუცილებელია გავითვალისწინოთ ყველა არსებული საფრთხე და დაუცველობა.

ინფორმაციის მართვისა და დაცვის ერთ -ერთი ყველაზე ეფექტური საშუალებაა ინფორმაციული უსაფრთხოების მართვის სისტემა, რომელიც აგებულია MS ISO / IEC 27001: 2005 მოდელის საფუძველზე. სტანდარტი ემყარება პროცესის მიდგომაკომპანიის ISMS– ის შემუშავება, განხორციელება, ექსპლუატაცია, მონიტორინგი, ანალიზი, შენარჩუნება და გაუმჯობესება. იგი მოიცავს მართვის პროცესების სისტემის შექმნას და გამოყენებას, რომლებიც ერთმანეთთან არის დაკავშირებული ISMS– ის დაგეგმვის, განხორციელების, შემოწმებისა და გაუმჯობესების უწყვეტ ციკლში.

ეს საერთაშორისო სტანდარტი მომზადებულია იმისათვის, რომ შეიქმნას მოდელი ISMS– ის დანერგვის, განხორციელების, ექსპლუატაციის, მონიტორინგის, ანალიზის, შენარჩუნებისა და გაუმჯობესებისათვის.

ISMS– ის განხორციელების ძირითადი ფაქტორები:

  • საკანონმდებლო - მოქმედი ეროვნული კანონმდებლობის მოთხოვნები IS– ის თვალსაზრისით, საერთაშორისო მოთხოვნები;
  • კონკურენტუნარიანი - დონის შესაბამისობა, ელიტიზმი, მათი არამატერიალური აქტივების დაცვა, უპირატესობა;
  • დანაშაულის წინააღმდეგ ბრძოლა - თავდამსხმელებისგან დაცვა (თეთრი საყელო), ბოროტებისა და საიდუმლო თვალთვალის პრევენცია, საქმის წარმოების მტკიცებულებათა შეგროვება.

ინფორმაციის უსაფრთხოების დოკუმენტაციის სტრუქტურა ნაჩვენებია სურათ 1 -ში.

სურათი 1 - დოკუმენტაციის სტრუქტურა ინფორმაციული უსაფრთხოების სფეროში

4. ISMS- ის აგება

ISO მიმდევრები იყენებენ PDCA მოდელს ISMS– ის შესაქმნელად. ISO იყენებს ამ მოდელს მისი მენეჯმენტის ბევრ სტანდარტზე და ISO 27001 არ არის გამონაკლისი. გარდა ამისა, მართვის პროცესის ორგანიზებაში PDCA მოდელის დაცვა საშუალებას გაძლევთ გამოიყენოთ იგივე ტექნიკა მომავალში - ხარისხის მართვისთვის, გარემოსდაცვითი მენეჯმენტისთვის, უსაფრთხოების მენეჯმენტისთვის, ასევე მენეჯმენტის სხვა სფეროებში, რაც ამცირებს ხარჯებს. ამრიგად, PDCA არის შესანიშნავი არჩევანი, რომელიც სრულად აკმაყოფილებს ISMS– ის შექმნისა და შენარჩუნების ამოცანებს. სხვა სიტყვებით რომ ვთქვათ, PDCA– ს ეტაპები განსაზღვრავს, თუ როგორ უნდა ჩამოყალიბდეს პოლიტიკა, მიზნები, პროცესები და პროცედურები რისკების შესაბამისი (გეგმის ეტაპი), განხორციელება და გამოყენება (Do ეტაპი), შეფასება და, სადაც შესაძლებელია, პროცესის შედეგების გაზომვა პოლიტიკის პერსპექტივა (შემოწმების ეტაპი - შემოწმება), მიიღოს მაკორექტირებელი და პროფილაქტიკური ღონისძიებები (გაუმჯობესების ეტაპი - აქტი). დამატებითი ცნებები, რომლებიც არ არის ISO სტანდარტების ნაწილი, რომლებიც შეიძლება სასარგებლო იყოს ISMS– ის შესაქმნელად არის: მდგომარეობა, როგორიც უნდა იყოს (მომავალი); მდგომარეობა როგორც არის (როგორც არის); გარდამავალი გეგმა.

ISO 27001- ის საფუძველია ინფორმაციის რისკების მართვის სისტემა.

ISMS– ის შექმნის ეტაპები

როგორც ISMS– ის შექმნაზე მუშაობის ნაწილი, შეიძლება განვასხვავოთ შემდეგი ძირითადი ეტაპები:


სურათი 2 - PDCA მოდელი ინფორმაციის უსაფრთხოების მენეჯმენტისთვის (ანიმაცია: 6 კადრი, 6 გამეორება, 246 კილობაიტი)

5. საინფორმაციო რისკების მართვა

რისკის მართვა განიხილება ინფორმაციული უსაფრთხოების ადმინისტრაციულ დონეზე, ვინაიდან მხოლოდ ორგანიზაციის მენეჯმენტს შეუძლია გამოყოს საჭირო რესურსები, დაიწყოს და გააკონტროლოს შესაბამისი პროგრამების განხორციელება.

საინფორმაციო სისტემების გამოყენება დაკავშირებულია გარკვეულ რისკებთან. როდესაც პოტენციური ზიანი მიუღებლად დიდია, აუცილებელია ეკონომიკურად გამართლებული დაცვის ზომების მიღება. პერიოდული (ხელახალი) რისკების შეფასება აუცილებელია უსაფრთხოების ღონისძიებების ეფექტურობის მონიტორინგისთვის და გარემოს ცვლილებების გათვალისწინების მიზნით.

რისკების მართვის საქმიანობის არსია მათი ზომების შეფასება, ეფექტური და ეკონომიური ზომების შემუშავება რისკების შესამცირებლად და შემდეგ იმის უზრუნველყოფა, რომ რისკები შეიცავდეს მისაღებ ფარგლებში (და ასეც რჩება).

რისკების მართვის პროცესი შეიძლება დაიყოს შემდეგ ეტაპებად:

  1. გაანალიზებული ობიექტების არჩევანი და მათი განხილვის დეტალების დონე.
  2. რისკის შეფასების მეთოდოლოგიის არჩევა.
  3. აქტივების იდენტიფიკაცია.
  4. საფრთხეების და მათი შედეგების ანალიზი, დაცვაში დაუცველობების გამოვლენა.
  5. Რისკის შეფასება.
  6. დამცავი ზომების შერჩევა.
  7. შერჩეული ღონისძიებების განხორციელება და შემოწმება.
  8. რისკის ნარჩენი შეფასება.

რისკის მენეჯმენტი, ისევე როგორც ინფორმაციის უსაფრთხოების ნებისმიერი სხვა აქტივობა, უნდა იყოს ინტეგრირებული ცხოვრების ციკლი IP მაშინ ეფექტი ყველაზე დიდია და ხარჯები მინიმალურია.

ძალიან მნიშვნელოვანია რისკების შეფასების საფუძვლიანი მეთოდოლოგიის არჩევა. შეფასების მიზანია მიიღოს პასუხი ორ კითხვაზე: მისაღებია თუ არა არსებული რისკები და თუ არა, რომელი დამცავი მოწყობილობა უნდა იქნას გამოყენებული. ეს ნიშნავს, რომ შეფასება უნდა იყოს რაოდენობრივი, რაც საშუალებას მისცემს შეადაროს დასაშვებობის წინასწარ შერჩეულ ლიმიტებს და უსაფრთხოების ახალი მარეგულირებლების განხორციელების ხარჯებს. რისკის მენეჯმენტი ტიპიური ოპტიმიზაციის პრობლემაა და არსებობს საკმაოდ ბევრი პროგრამული პროდუქტი, რომელიც დაგეხმარებათ მისი გადაჭრაში (ზოგჯერ ასეთი პროდუქტები უბრალოდ ერთვის ინფორმაციის უსაფრთხოების წიგნებს). ფუნდამენტური სირთულე არის საწყისი მონაცემების უზუსტობა. თქვენ, რა თქმა უნდა, შეგიძლიათ სცადოთ მიიღოთ ფულადი გამოხატულება ყველა გაანალიზებული რაოდენობისთვის, გამოთვალოთ ყველაფერი უახლოეს პენამდე, მაგრამ ამაში დიდი აზრი არ არის. უფრო პრაქტიკულია ჩვეულებრივი ერთეულების გამოყენება. უმარტივეს და სრულყოფილად მისაღებ შემთხვევაში შეგიძლიათ გამოიყენოთ სამპუნქტიანი მასშტაბი.

რისკების მართვის ძირითადი ეტაპები.

საფრთხეების ანალიზის პირველი ნაბიჯი არის მათი იდენტიფიცირება. მუქარის სახეები უნდა შეირჩეს საღი აზრის გათვალისწინებით (მაგალითად, მიწისძვრების გამოკლებით, მაგრამ არ დაივიწყოს ტერორისტების მიერ ორგანიზაციის ხელში ჩაგდების შესაძლებლობა), მაგრამ შერჩეული ტიპების ფარგლებში განახორციელოს ყველაზე დეტალური ანალიზი რა

მიზანშეწონილია დადგინდეს არა მხოლოდ თავად საფრთხეები, არამედ მათი წარმოშობის წყაროები - ეს ხელს შეუწყობს დაცვის დამატებითი საშუალებების არჩევას.

საფრთხის იდენტიფიცირების შემდეგ აუცილებელია მისი განხორციელების ალბათობის შეფასება. დასაშვებია სამპუნქტიანი მასშტაბის გამოყენება (დაბალი (1), საშუალო (2) და მაღალი (3) ალბათობა).

თუ რაიმე რისკი მიუღებლად მაღალი აღმოჩნდა, აუცილებელია მათი განეიტრალება დამატებითი დაცვის ღონისძიებების განხორციელებით. როგორც წესი, დაუცველობის აღმოსაფხვრელად ან გასანეიტრალებლად, რამაც საფრთხე რეალობად აქცია, არსებობს უსაფრთხოების რამდენიმე მექანიზმი, რომლებიც განსხვავდება ეფექტურობაში და ღირებულებაში.

ნებისმიერი სხვა საქმიანობის მსგავსად, უსაფრთხოების ახალი მარეგულირებლის განხორციელება და ტესტირება წინასწარ უნდა იყოს დაგეგმილი. გეგმა უნდა ითვალისწინებდეს ყოფნას ფინანსური რესურსებიდა პერსონალის მომზადების დრო. თუ ჩვენ ვსაუბრობთ პროგრამული უზრუნველყოფისა და აპარატურის დაცვის მექანიზმზე, თქვენ უნდა შეადგინოთ ტესტის გეგმა (ავტონომიური და რთული).

როდესაც გათვალისწინებული ზომები მიიღება, აუცილებელია მათი ეფექტურობის შემოწმება, ანუ დარწმუნდით, რომ ნარჩენი რისკები მისაღები გახდა. თუ ეს სინამდვილეში ასეა, მაშინ შეგიძლიათ უსაფრთხოდ დანიშნოთ მომდევნო გადაფასების თარიღი. წინააღმდეგ შემთხვევაში, თქვენ მოგიწევთ გაანალიზოთ დაშვებული შეცდომები და დაუყოვნებლივ გაიმეოროთ რისკების მართვის სესია.

დასკვნები

საწარმოს თითოეული ხელმძღვანელი ზრუნავს თავის საქმიანობაზე და ამიტომ უნდა ესმოდეს, რომ ინფორმაციის უსაფრთხოების მართვის სისტემის (ISMS) დანერგვის გადაწყვეტილება არის მნიშვნელოვანი ნაბიჯი, რომელიც შეამცირებს საწარმოს / ორგანიზაციის აქტივების დაკარგვის რისკებს და შეამცირებს ფინანსურ ზარალს, და ზოგიერთ შემთხვევაში თავიდან აიცილოთ გაკოტრება.

ინფორმაციის უსაფრთხოება მნიშვნელოვანია ბიზნესისთვის, როგორც კერძო, ისე საჯარო სექტორისთვის. ის უნდა ჩაითვალოს, როგორც ინსტრუმენტი რისკების შეფასების, გაანალიზებისა და მინიმიზაციის მიზნით.

უსაფრთხოება, რომლის მიღწევაც შესაძლებელია ტექნოლოგიით, შეზღუდულია და უნდა შენარჩუნდეს შესაბამისი კონტროლისა და პროცედურების საშუალებით.

კონტროლის განსაზღვრა მოითხოვს ფრთხილად დაგეგმვას და ყურადღებას.

ინფორმაციის ეფექტურად დაცვის მიზნით, უნდა შემუშავდეს უსაფრთხოების ყველაზე შესაბამისი ზომები, რომელთა მიღწევაც შესაძლებელია სისტემაში ინფორმაციის ძირითადი რისკების გამოვლენით და შესაბამისი ზომების განხორციელებით.

ბიაჩუევი T.A. უსაფრთხოება კორპორატიული ქსელები/ ედ. ლ.გ. ოსოვეცკი. - SPb .: SPb GU ITMO გამომცემლობა, 2006 წ .-- 161 გვ.

  • გლადკიხი A.A., Dement'ev V.E. / კომპიუტერული ქსელების ინფორმაციული უსაფრთხოების ძირითადი პრინციპები: სამეურვეოსტუდენტებისთვის; - ულიანოვსკი: UlSTU გამომცემლობა, 2009 .-- 168 გვ.

    • შაჰალოვი იგორ იურიევიჩი

    ხარისხის მართვის სისტემებისა და ინფორმაციის უსაფრთხოების ინტეგრაციის საკითხზე

    რეზიუმე: გათვალისწინებულია საერთაშორისო სტანდარტები ISO 27001 და ISO 9001. ხარისხის მართვის სისტემასა და ინფორმაციული უსაფრთხოების მართვის სისტემას შორის მსგავსებებისა და განსხვავებების ანალიზი. ნაჩვენებია ხარისხის მართვის სისტემის და ინფორმაციის უსაფრთხოების მართვის სისტემის ინტეგრირების შესაძლებლობა. მოცემულია ინფორმაციის უსაფრთხოების მართვის ინტეგრირებული სისტემის მშენებლობისა და დანერგვის ძირითადი ეტაპები. ნაჩვენებია ინტეგრირებული მიდგომის უპირატესობები.

    საკვანძო სიტყვები: ინფორმაციის უსაფრთხოების მართვის სისტემები, ინტეგრირებული მართვის სისტემები, ISMS, QMS, ISO 27001.

    ნატალია ოლეგოვნა

    შესავალი

    თანამედროვე სამყაროსაერთო და მოსახერხებლის მოსვლასთან ერთად ტექნიკური მოწყობილობებიინფორმაციის დაცვის პრობლემა საკმაოდ მკვეთრად გაჩნდა. ხარისხიანი პროდუქციის გამოშვებასთან ან საწარმოთა და ორგანიზაციებთან მომსახურების გაწევასთან ერთად, მნიშვნელოვანია კონკურენტებისგან საჭირო ინფორმაციის დამალვა, რათა დარჩეს ხელსაყრელ მდგომარეობაში ბაზარზე. კონკურენტულ ბრძოლაში ფართოდ გავრცელებულია სხვადასხვა ქმედებები, რომლებიც მიმართულია კონფიდენციალური ინფორმაციის მოპოვებაზე (მოპოვებაზე, მოპოვებაზე). სხვადასხვა გზები, უშუალო სამრეწველო ჯაშუშობამდე დაზვერვის თანამედროვე ტექნიკური საშუალებების გამოყენებით.

    ამრიგად, ორგანიზაციები, რომლებიც იცავენ მსოფლიოს საუკეთესო პრაქტიკას, შეიცავს მოთხოვნებს, მითითებებს ბიზნეს პროცესების მართვის სისტემების დანერგვისათვის, ხდებიან ლიდერები ბაზარზე. ასეთი სისტემების დიზაინის, დანერგვის, მონიტორინგისა და გაუმჯობესების საუკეთესო სტანდარტებია სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO) დოკუმენტები. განსაკუთრებული ყურადღება უნდა მიექცეს ISO 900x და ISO 2700x სერიის სტანდარტებს, რომლებიც აგროვებენ საუკეთესო პრაქტიკას ხარისხის მართვის სისტემის (QMS) და ინფორმაციის უსაფრთხოების მართვის სისტემის (ISMS) დანერგვისათვის.

    ხარისხის მართვის სისტემა, დანერგილი ISO 9001 სტანდარტის მოთხოვნების შესაბამისად, უკვე დიდი ხანია აღიარებულია წარმატებული კომპანიის განუყოფელ ატრიბუტად, რომელიც აწარმოებს მაღალი ხარისხის პროდუქციას ან უზრუნველყოფს მაღალი კლასის მომსახურებას. დღეს, შესაბამისობის სერტიფიკატის არსებობა არის როგორც ეფექტური მარკეტინგული გადაწყვეტა, ასევე წარმოების პროცესების კონტროლის მექანიზმი. QMS აუდიტი არის ბიზნესის კარგად განვითარებული სფერო.

    კომპანიის წარმატებული საქმიანობის დამოკიდებულება კორპორატიული სისტემაინფორმაციის დაცვა. ეს გამოწვეულია კორპორატიული საინფორმაციო სისტემაში დამუშავებული სასიცოცხლო მონაცემების მოცულობის გაზრდით. ინფორმაციული სისტემები უფრო რთულდება და მათში აღმოჩენილი დაუცველობების რიცხვიც იზრდება. ISMS აუდიტი საშუალებას გაძლევთ შეაფასოთ კორპორატიული საინფორმაციო სისტემის ფუნქციონირების უსაფრთხოების არსებული მდგომარეობა,

    რისკების შეფასება და პროგნოზირება, მათი გავლენის მართვა კომპანიის ბიზნეს პროცესებზე.

    მას შემდეგ, რაც ISO 9001 სტანდარტი დიდი ხანია იკავებს წამყვან პოზიციას მსოფლიოში სერთიფიკატების რაოდენობით და ISO 27001 სტანდარტი აჩვენებს ინფორმაციული უსაფრთხოების მართვის სისტემის სერტიფიცირების გაზრდის ტენდენციას, მიზანშეწონილია განიხილოს შესაძლო ურთიერთქმედება და QMS და ISMS ინტეგრაცია.

    სტანდარტების ინტეგრაცია

    ერთი შეხედვით, ხარისხის მენეჯმენტი და ინფორმაციის უსაფრთხოება სრულიად განსხვავებული სფეროა. თუმცა, პრაქტიკაში, ისინი მჭიდროდ არიან დაკავშირებული და ქმნიან ერთ მთლიანობას (სურათი 1). მომხმარებელთა კმაყოფილება, რომელიც არის ხარისხის ობიექტური მიზანი, ყოველწლიურად სულ უფრო მეტად დამოკიდებულია ინფორმაციული ტექნოლოგიების ხელმისაწვდომობაზე და მონაცემთა უსაფრთხოებაზე, რომლის შესანარჩუნებლად გამოიყენება ISO 27001 სტანდარტი. მეორეს მხრივ, ISO 9001 სტანდარტი ზუსტად ემთხვევა ორგანიზაციის კორპორატიული მიზნები, რაც ხელს უწყობს უსაფრთხოების უზრუნველყოფას. ინტეგრირებული მიდგომის წყალობით, ISO 27001 შეიძლება ეფექტურად იყოს ინტეგრირებული არსებულ QMS– ში ან განხორციელდეს QMS– თან ერთად.

    (ISO 27001) და IT სერვისების მენეჯმენტს (ISO 20000) აქვთ მსგავსი სტრუქტურა და პროცესის მიდგომა. ეს ქმნის სინერგიას, რომელიც ანაზღაურდება: პრაქტიკაში, ინტეგრირებული მართვის სისტემა მიმდინარე ოპერაციებისთვის დაზოგავს სისტემის ოპტიმიზაციის, შემოწმებისა და გადახედვის მთლიანი ღირებულების 20-30 პროცენტს.

    ინფორმაციის უსაფრთხოება და ხარისხის მართვის სტანდარტები მიზნად ისახავს მუდმივ გაუმჯობესებას გეგმა-გაკეთება-შემოწმება-მოქმედების (PDCA) მოდელის შესაბამისად, რომელიც ცნობილია როგორც დემინგის ციკლი (იხ. სურათი 2). გარდა ამისა, ისინი სტრუქტურაში მსგავსია, როგორც ეს ნაჩვენებია ISO 27001 დანართში C კორესპონდენციის ცხრილში. ორივე სტანდარტი განსაზღვრავს პროცესის მიდგომას, მოცულობას, სისტემასა და დოკუმენტაციის მოთხოვნებს და ადმინისტრაციულ პასუხისმგებლობას. ორივე შემთხვევაში, სტრუქტურა მთავრდება შიდა აუდიტით, მენეჯმენტის მიმოხილვით და სისტემის გაუმჯობესებით. ამ შემთხვევაში, ორივე სისტემა ურთიერთკავშირშია. მაგალითად, ISO 9001 მოითხოვს არათანმიმდევრული პროდუქტების მართვას. ანალოგიურად, ISO 27001 სტანდარტს აქვს ინციდენტების მართვის მოთხოვნა ხარვეზების აღმოსაფხვრელად.

    ბრინჯი 1. QMS და ISMS ურთიერთქმედების და მსგავსების სფეროები

    ბრინჯი 2. დემინგის ციკლი

    მსოფლიოს 100 -ზე მეტ ქვეყანაში სხვადასხვა ინდუსტრიის 27,200 -ზე მეტი ორგანიზაცია დამოწმებულია ხარისხის მართვის ISO 9001: 2008 სტანდარტებთან შესაბამისობისთვის. ბაზრისა და სამართლებრივი მოთხოვნებიდან გამომდინარე, ბევრი ორგანიზაცია სულ უფრო იძულებულია იზრუნოს ინფორმაციის უსაფრთხოებაზე. ამ მხრივ, კონტროლის სისტემის ინტეგრაცია გვთავაზობს რეალურ შესაძლებლობებს. კომპლექსური მიდგომაასევე საინტერესოა კომპანიებისთვის, რომლებსაც აქამდე არ გამოუყენებიათ რაიმე მენეჯმენტის პროცესი. ISO სტანდარტები ხარისხის (ISO 9001), გარემოს დაცვის (ISO 14000), ინფორმაციის უსაფრთხოებისათვის

    სტანდარტებს შორის განსხვავებები სასარგებლოა ერთმანეთის შესავსებად, რაც გადამწყვეტად უწყობს ხელს ბიზნესის წარმატების გაზრდას. მაგალითად, ISO 9001 მოითხოვს კორპორატიული მიზნების განსაზღვრას, მომხმარებელზე ფოკუსირებასა და გაზომვას, რამდენად არის მიღწეული მიზნები და ამოცანები. ეს არის სამი საკითხი, რომლებიც არ არის ISO 27001 – ის ყურადღების ცენტრში, თავის მხრივ, ეს სტანდარტი პრიორიტეტულია რისკების მართვისათვის ბიზნესის უწყვეტობის შესანარჩუნებლად და გთავაზობთ დეტალურ დახმარებას ISMS– ის დანერგვაში. შეადარეს

    ამასთან, ISO 9001 უფრო თეორიული სტანდარტია.

    ISO 27001 - სტანდარტი არა მხოლოდ IT– სთვის

    ბევრი ფიქრობს, რომ ISO 27001 სტანდარტი განკუთვნილია მხოლოდ IT პროცესებისთვის, მაგრამ სინამდვილეში ეს ასე არ არის. ISO 27001 SM&B სტანდარტის დანერგვის ფუნდამენტური წერტილი არის აქტივების განსაზღვრა.

    "LilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

    რ ტ ^ ცდკპინიჟ ც ნეტვკ ^ ტანსლშს ტეპ.ტნა.

    »■ iriiKinfundu« GcTMHiiociv

    * კიადრომი:

    ■ JI! L "|" l "L> 4_l] ჯილ" HIIL, კ

    "D | KtttcCcU H" patitU.

    "ჯიმი 14: ii | vju7JIIIM.

    ბრინჯი 3. აქტივების სახეები

    აქტივი იგულისხმება როგორც ყველაფერი, რაც კომპანიისათვის ფასეულია (სურათი 3). ანუ, აქტივი შეიძლება იყოს: ადამიანური რესურსი, ინფრასტრუქტურა, ინსტრუმენტები, აღჭურვილობა, კომუნიკაციები, მომსახურება და ნებისმიერი სხვა აქტივი, მათ შორის მომსახურება შეძენილი პროდუქციის მიწოდებისთვის. პროცესებიდან გამომდინარე, კომპანია განსაზღვრავს რომელი აქტივები აქვს და რომელი აქტივებია ჩართული კრიტიკულ პროცესებში და აფასებს აქტივების ღირებულებას. და მხოლოდ ამის შემდეგ ხდება რისკის შეფასება ყველა ღირებული აქტივისთვის. ამრიგად, ISMS განკუთვნილია არა მხოლოდ ციფრული ინფორმაციისთვის, რომელიც დამუშავებულია ავტომატური სისტემა... მაგალითად, ზოგიერთი ყველაზე კრიტიკული პროცესი მოიცავს

    მომზადება

    ღონისძიების გეგმები

    2 შეამოწმეთ H: მე ემთხვევა

    ინფორმაციის მყარი ასლების შენახვით, რომელიც ასევე დაფარულია ISO 27001. ISMS მოიცავს ყველა იმ გზას, რომლითაც შესაძლებელია მნიშვნელოვანი ინფორმაციის შენახვა თქვენს კომპანიაში, წერილებიდაცული, დამთავრებული იმით, თუ სად ინახება თანამშრომლების პირადი საქმეები შენობაში.

    ამრიგად, ეს არის უზარმაზარი მცდარი წარმოდგენა, რომ ვინაიდან სტანდარტი მიზნად ისახავს ინფორმაციის უსაფრთხოების მართვის სისტემის შექმნას, მაშინ ეს შეიძლება გამოყენებულ იქნას მხოლოდ კომპიუტერში შენახულ მონაცემებზე. ჩვენს ციფრულ ხანაშიც კი, ბევრი ინფორმაცია კვლავ აისახება ქაღალდზე, რომელიც ასევე საიმედოდ უნდა იყოს დაცული.

    ISO 9001 ვერ აკმაყოფილებს კომპანიის საინფორმაციო უსაფრთხოების საჭიროებებს, ვინაიდან ის მჭიდროდ არის ორიენტირებული პროდუქტის ხარისხზე. ამიტომ, ძალიან მნიშვნელოვანია კომპანიაში ISO 27001 დანერგვა. ერთი შეხედვით, შეიძლება სპეციალისტს მოეჩვენოს, რომ ორივე სტანდარტი ძალიან ზოგადია და არ გააჩნია სპეციფიკა. თუმცა, ეს ასე არ არის: ISO 27001 სტანდარტი აღწერს ISMS– ის ფუნქციონირების განხორციელებისა და კონტროლის თითქმის ყველა საფეხურს (სურათი 4).

    ინფორმაციული უსაფრთხოების მართვის სისტემის აგების ძირითადი ეტაპები

    ISMS– ის აგების ძირითადი ეტაპები ნაჩვენებია ფიგურაში 4. განვიხილოთ ისინი უფრო დეტალურად.

    ეტაპი 1. სამოქმედო გეგმების მომზადება. ამ ეტაპზე სპეციალისტები აგროვებენ ორგანიზაციულ და ადმინისტრაციულ დოკუმენტებს (ORD) და სხვა სამუშაო მასალებს,

    3 ტიპი ტიპი II ORD

    4 ანალიზი ii რისკების შეფასება 11B

    განხორციელება

    5 რიაზრა ოოგია და<>RaeryaOopv კომპლექსი & 00 \ * ieiitii:

    რადიაციული გეგმები ■ -> სტანდარტები -> ღონისძიებები -> CfftpJOTHW *

    მოვლენები Mon> PB ORD Poenpzhenie

    INRsnEsS "IMB- ის შედეგების 10 AiUtuin შეფასების ფორმირება

    ბრინჯი 4. ISMS– ის აგების ეტაპები

    რაც შეეხება კომპანიის საინფორმაციო სისტემების მშენებლობასა და მუშაობას, დაგეგმილია ინფორმაციის უსაფრთხოების უზრუნველყოფის მექანიზმებისა და საშუალებების გამოყენება. გარდა ამისა, მუშაობის ეტაპების სამოქმედო გეგმები შედგენილია, შეთანხმებულია და დამტკიცებულია კომპანიის მენეჯმენტის მიერ.

    ეტაპი 2. ISO / IEC 27001: 2005 -თან შესაბამისობის შემოწმება. ინტერვიუები და დაკითხვა მენეჯერებისა და დეპარტამენტების თანამშრომლებისათვის. კომპანიის ISMS- ის ანალიზი ISO / IEC 27001: 2005 მოთხოვნების შესაბამისად.

    ეტაპი 3. მარეგულირებელი და ორგანიზაციული და ადმინისტრაციული დოკუმენტების ანალიზი კომპანიის ორგანიზაციული სტრუქტურის საფუძველზე. მისი შედეგებიდან გამომდინარე, განსაზღვრულია დაცული სფერო (OA) და შემუშავებულია კომპანიის ინფორმაციული უსაფრთხოების პოლიტიკის ესკიზი.

    ეტაპი 4. ინფორმაციული უსაფრთხოების რისკების ანალიზი და შეფასება. კომპანიის რისკების მართვისა და მათი ანალიზის მეთოდოლოგიის შემუშავება. კომპანიის საინფორმაციო რესურსების, უპირველეს ყოვლისა LAN- ის ანალიზი, დაცული ML აქტივების საფრთხეების და დაუცველობების იდენტიფიცირების მიზნით. აქტივების ინვენტარიზაცია. კონსულტაციების ჩატარება კომპანიის სპეციალისტებისთვის და უსაფრთხოების ფაქტობრივი და საჭირო დონის შესაბამისობის შეფასება. რისკების გაანგარიშება, თითოეული კონკრეტული აქტივის რისკის არსებული და მისაღები დონის განსაზღვრა. რისკების კლასიფიკაცია, ღონისძიებების კომპლექსების შერჩევა მათ შესამცირებლად და განხორციელების თეორიული ეფექტურობის გაანგარიშება.

    ეტაპი 5. IS სამოქმედო გეგმების შემუშავება და განხორციელება. კონტროლის გამოყენების შესახებ განცხადების შემუშავება ISO / IEC 27001: 2005 შესაბამისად. აღრიცხვის გეგმის შემუშავება და რისკების აღმოფხვრა. კომპანიის ხელმძღვანელისთვის ანგარიშების მომზადება.

    ეტაპი 6. ნორმატიული და ოპერატიული დოკუმენტების შემუშავება. IB– ის საბოლოო პოლიტიკისა და მასთან დაკავშირებული დებულებების შემუშავება და დამტკიცება (კერძო პოლიტიკა). სტანდარტების, პროცედურების და ინსტრუქციების შემუშავება კომპანიის ISMS– ის ნორმალური ფუნქციონირებისა და მუშაობის უზრუნველსაყოფად.

    ეტაპი 7. ყოვლისმომცველი ღონისძიებების განხორციელება IS რისკების შესამცირებლად და მათი ეფექტურობის შესაფასებლად მენეჯმენტის მიერ დამტკიცებული დამუშავებისა და რისკების აღმოფხვრის გეგმის შესაბამისად.

    ეტაპი 8. პერსონალის სწავლება. სამოქმედო გეგმების შემუშავება და პროგრამების განხორციელება კომპანიის თანამშრომლების მომზადებისა და კომპეტენციის ამაღლების მიზნით, რათა უზრუნველყოს ინფორმაციის უსაფრთხოების პრინციპების ეფექტურად გადმოცემა ყველა თანამშრომლისათვის და

    პირველ რიგში ისინი, ვინც მუშაობენ სტრუქტურული ერთეულებიძირითადი ბიზნეს პროცესების უზრუნველყოფა.

    ეტაპი 9. ანგარიშგების ფორმირება. გამოკითხვის შედეგების სისტემატიზაცია და ანგარიშების მომზადება. კომპანიის ხელმძღვანელების მუშაობის შედეგების პრეზენტაცია. დოკუმენტების მომზადება ლიცენზირებისთვის ISO / IEC 27001: 2005 -ის შესაბამისად და მათი გადაცემა სერტიფიცირების ორგანიზაციაში.

    ეტაპი 10. ISMS განხორციელების შედეგების ანალიზი და შეფასება იმ მეთოდოლოგიის საფუძველზე, რომელიც აფასებს კომპანიის ISMS ფუნქციონირების საიმედოობას. რეკომენდაციების შემუშავება კომპანიის ინფორმაციული უსაფრთხოების მართვის სისტემის გასაუმჯობესებლად.

    ISMS დანერგვის თითოეული ეტაპის გაანალიზებით, შეგვიძლია ვთქვათ, რომ ISO 27001– ს აქვს მკაფიო სტრუქტურა და მოთხოვნები, რაც საშუალებას მოგცემთ ააგოთ სამუშაო სისტემა, რომელშიც იქნება ურთიერთქმედება ყველა საჭირო დონეზე. მაგრამ არ უნდა დაგვავიწყდეს, რომ მთავარი განსხვავება ISMS– სა და QMS– ს შორის არის ის, რომ პირველი სისტემა ორიენტირებულია ინფორმაციის უსაფრთხოებაზე.

    ინფორმაციის უსაფრთხოების მნიშვნელობა თანამედროვე მსოფლიოში

    დღევანდელი ბიზნესი არ შეიძლება არსებობდეს საინფორმაციო ტექნოლოგიების გარეშე. ცნობილია, რომ მსოფლიოს მთლიანი ეროვნული პროდუქტის დაახლოებით 70% ამა თუ იმ გზით არის დამოკიდებული ინფორმაციულ სისტემებში შენახულ ინფორმაციაზე. კომპიუტერების ფართოდ დანერგვამ შექმნა არა მხოლოდ ცნობილი კომფორტი, არამედ პრობლემებიც, რომელთაგან ყველაზე სერიოზულია ინფორმაციის უსაფრთხოების პრობლემა.

    ბიზნეს ლიდერებმა უნდა გააცნობიერონ ინფორმაციის უსაფრთხოების მნიშვნელობა, ისწავლონ ამ სფეროში არსებული ტენდენციების პროგნოზირება და მართვა. ამაში მათ შეუძლიათ დაეხმარონ ISMS– ის დანერგვას, რომელსაც თავისი სტრუქტურით აქვს განვითარების პოტენციალი, მენეჯმენტის გამჭვირვალობა, მოქნილობა ნებისმიერი ცვლილების მიმართ. კომპიუტერებისა და კომპიუტერული ქსელების კონტროლთან ერთად, ISO 27001 სტანდარტი დიდ ყურადღებას უთმობს უსაფრთხოების პოლიტიკის შემუშავებას, პერსონალთან მუშაობას (დაქირავება, სწავლება, სამსახურიდან გათავისუფლება), უწყვეტობის უზრუნველყოფა. წარმოების პროცესი, მარეგულირებელი მოთხოვნები, ხოლო ზოგიერთი ტექნიკური საკითხი დეტალურად არის აღწერილი სერიის სხვა სტანდარტებში

    ISO 27000 ISIB– ს კომპანიაში დანერგვის ბევრი უპირატესობა აქვს, ზოგიერთი მათგანი ნაჩვენებია ნახ. 5

    Glbkshl მასშტაბი pODr> h; b1 [h-th

    უარყოფა ¡juvum

    HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

    პრტრწალ wyrdoctle

    "Ji | m | ill p. Ki u:

    აჟშჩტნია # ცნ ^ ქ

    ბრინჯი 5. ინფორმაციის უსაფრთხოების მართვის სისტემის დანერგვის უპირატესობები

    ISO სარგებელი უნდა აღინიშნოს

    უსაფრთხოების კომპეტენციის დემონსტრირება. ISO 27001 არის პრაქტიკული სახელმძღვანელო ორგანიზაციისათვის, რომელიც დაეხმარება უსაფრთხოების მოთხოვნების ჩამოყალიბებაში უსაფრთხოების საჭირო დონის მისაღწევად და უსაფრთხოების კონკრეტული მიზნების მისაღწევად. განსაკუთრებით მნიშვნელოვანია ორგანიზაციებისთვის იყოს კომპეტენტური უსაფრთხოების მართვის ოთხ სფეროში, მათ შორის: კომპანიის აქტივების იდენტიფიცირება და შეფასება, რისკების შეფასება და რისკების მიღების კრიტერიუმების განსაზღვრა, ამ ერთეულების მართვა და მიღება და მუდმივი გაუმჯობესება. ზოგადი პროგრამაორგანიზაციის უსაფრთხოება.

    მომხმარებელთა ნდობის უზრუნველყოფა. ISO 27001 იძლევა დამოუკიდებელ მტკიცებულებას იმისა, რომ პროგრამები კორპორატიული მმართველობამხარს უჭერს საუკეთესო, საუკეთესო, საერთაშორისო პრაქტიკა. ISO 27001 სერთიფიკატი უზრუნველყოფს სიმშვიდეს კორპორაციებისთვის, რომლებიც ცდილობენ აჩვენონ მომხმარებელთა, აქციონერებისა და პოტენციური პარტნიორების მთლიანობა და რაც მთავარია, აჩვენონ, რომ კომპანიამ წარმატებით დანერგა ინფორმაციული უსაფრთხოების მძლავრი მართვის სისტემა. მრავალი მკაცრად რეგულირებული ინდუსტრიისთვის, როგორიცაა ფინანსები ან ინტერნეტ მომსახურება, მომწოდებლების შერჩევას შეუძლია

    შემოიფარგლება იმ ორგანიზაციებით, რომლებიც უკვე ISO 27001 სერთიფიცირებულია.

    რესურსების უფრო ეფექტური გამოყენება. პროცესის მიდგომის გამოყენების წყალობით, შესაძლებელია კომპანიაში მიმდინარე პროცესების ოპტიმიზაცია. რაც გულისხმობს რესურსების გამოყენების შემცირებას, მაგალითად, დროს.

    უწყვეტი გაუმჯობესება. ISMS იყენებს PCDA მოდელს, რომელიც საშუალებას გაძლევთ რეგულარულად შეამოწმოთ მთელი სისტემის სტატუსი, გააანალიზოთ და გააუმჯობესოთ მართვის სისტემა

    1. სურათი, ბრენდი. სერტიფიკატი ISO 27001– თან შესაბამისობისთვის გახსნის კომპანიას ფართო შესაძლებლობებს: საერთაშორისო დონეზე წვდომა, ახალი პარტნიორობა, მეტი კლიენტი, ახალი კონტრაქტები, ტენდერებში წარმატება. კომპანიაში ISMS– ის არსებობა განვითარების მაღალი დონის მაჩვენებელია.

    2. ISMS– ის მოქნილობა. პროცესების, ახალი ტექნოლოგიების ცვლილების მიუხედავად, ISMS სტრუქტურის საფუძველი რჩება ეფექტური. ISMS საკმაოდ ადვილად ეგუება სიახლეებს არსებული მოდერნიზაციით და ახალი კონტრ ზომების შემოღებით.

    3. სტანდარტის დანერგვის მასშტაბურობა. ვინაიდან ISO 27001 გულისხმობს სფეროს განსაზღვრას, პროცესების მხოლოდ ქვეჯგუფის დამოწმება შეიძლება. თქვენ შეგიძლიათ დაიწყოთ ISMS– ის დანერგვა კომპანიის ყველაზე მნიშვნელოვან OA– ში და მხოლოდ მოგვიანებით გააფართოვოთ.

    4. აუდიტი. ბევრი რუსული კომპანიებიაუდიტის მუშაობას კატასტროფად აღიქვამს. ISO 27001 გვიჩვენებს აუდიტის საერთაშორისო მიდგომას: უპირველეს ყოვლისა, კომპანიის ინტერესი რეალურად დააკმაყოფილოს სტანდარტები და არა როგორმე სერტიფიცირება, მხოლოდ საჩვენებლად.

    5. რეგულარული შიდა თუ გარე აუდიტი იძლევა დარღვევების გამოსწორების, ISMS გაუმჯობესების და რისკების მნიშვნელოვნად შემცირების საშუალებას. უპირველეს ყოვლისა, კომპანიას ეს სჭირდება საკუთარი სიმშვიდისთვის, რომ ყველაფერი წესრიგშია და დანაკარგების რისკები მინიმუმამდეა დაყვანილი. და უკვე მეორეხარისხოვანი - შესაბამისობის სერტიფიკატი, რომელიც ადასტურებს პარტნიორებს ან მომხმარებლებს, რომ ამ კომპანიის ნდობა შეიძლება.

    6. მენეჯმენტის გამჭვირვალობა. ISO 27001 სტანდარტის გამოყენება იძლევა საკმაოდ მკაფიო მითითებებს მენეჯმენტის შესაქმნელად და

    ასევე მოთხოვნები დოკუმენტაციისათვის, რომელიც უნდა იყოს კომპანიაში. მრავალი კომპანიის პრობლემა იმაში მდგომარეობს, რომ გარკვეული განყოფილებების არსებული დოკუმენტები უბრალოდ არ იკითხება, რადგან ხშირად შეუძლებელია იმის გარკვევა, თუ ვისთვის არის განკუთვნილი დოკუმენტაციის სისტემის სირთულის გამო. დოკუმენტაციის დონის იერარქია, ინფორმაციის უსაფრთხოების პოლიტიკიდან დაწყებული კონკრეტული პროცედურების აღწერით, ბევრად ამარტივებს არსებული წესების, რეგულაციებისა და სხვა საკითხების გამოყენებას. ასევე, SM & B– ის დანერგვა გულისხმობს პერსონალის მომზადებას: სემინარების, ფოსტის გაგზავნას, გამაფრთხილებელი პლაკატების დაკიდებას, რაც მნიშვნელოვნად ზრდის ინფორმაციული უსაფრთხოების ცნობიერებას რიგით თანამშრომლებს შორის.

    დასასრულს, უნდა აღინიშნოს, რომ ს თანამედროვე ბიზნესი ISO 9001 სტანდარტის მოთხოვნების შესაბამისად აგებული ხარისხის მართვის ძირითადი სისტემის უცვლელობა და ინფორმაციული უსაფრთხოების მართვის სისტემის პოზიციის მოპოვება აშკარაა.

    დღეს ბაზრის ლიდერი იქნება ის კომპანიები, რომლებიც გააკონტროლებენ არა მხოლოდ პროდუქციისა და მომსახურების ხარისხის მაჩვენებლებს, არამედ მათ შესახებ ინფორმაციის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის დონეს. პროგნოზირება და რისკის შეფასება ასევე არის წარმატების მნიშვნელოვანი ფაქტორი, რომელიც მოითხოვს კომპეტენტურ მიდგომას და საუკეთესო საერთაშორისო პრაქტიკის გამოყენებას. ხარისხის მართვისა და ინფორმაციის უსაფრთხოების სისტემების ერთობლივი დანერგვა და სერტიფიცირება დაეხმარება პრობლემების ფართო სპექტრს ნებისმიერი ინდუსტრიისთვის ან ვაჭრობისთვის, რაც თავის მხრივ გამოიწვევს გაწეული მომსახურების დონის ხარისხობრივ ზრდას.

    ლიტერატურა

    1. დოროფეევი ა. ვ., შაჰალოვი ი. ინფორმაციული უსაფრთხოების მართვის საფუძვლები თანამედროვე ორგანიზაცია// სამართლებრივი ინფორმატიკა. 2013. No 3. S. 4-14.

    2. ჩაშკინი VN ინფორმაციის უსაფრთხოების მენეჯმენტი, როგორც ორგანიზაციის საინფორმაციო და ტექნოლოგიური საქმიანობის მართვის სისტემის ელემენტი // ინფორმაციული ტექნოლოგიების უსაფრთხოება. 2009. No 1. S. 123-124.

    3. გორიაჩოვი VV ახალი GOST QMS– ისთვის. ძირითადი განსხვავებები GOST RV 15.002-2003 //

    ხარისხის მართვის მეთოდები. 2013. No 7. S. 18-23.

    4. დოცენკო SP, Pshenetskiy SP მიდგომა ინფორმაციული უსაფრთხოების მართვის სისტემების მოდელის შესაქმნელად // ყუბანის სახელმწიფო აგრარული უნივერსიტეტის ელექტრონული სამეცნიერო ჟურნალის პოლიტემატური ქსელი. 2009. No 53. S. 47-56.

    5. კამენევი AV, Zavoritko EV საინფორმაციო უსაფრთხოების მართვის სისტემის მოდელი საწარმოში (ორგანიზაციაში) // ინტელექტი. ინოვაცია. ინვესტიციები. 2013. No 1. S. 111-114.

    6. სოლოვიევი A.M. ნორმატიული და მეთოდოლოგიური ბაზა ინფორმაციული უსაფრთხოების სფეროში // ეკონომიკა, სტატისტიკა და ინფორმატიკა. UMO– ს ბიულეტენი. 2012. No 1. S. 174-181.

    7. კოზინი IF, ლივშიცი II ინფორმაციული უსაფრთხოება. საერთაშორისო სტანდარტების ინტეგრაცია რუსეთის საინფორმაციო უსაფრთხოების სისტემაში // ინფორმატიზაცია და კომუნიკაცია. 2010. No 1. S. 50-55.

    8. კოლოდინი VS ინტეგრირებული მართვის სისტემების სერტიფიცირება // ირკუტსკის სახელმწიფო ტექნიკური უნივერსიტეტის ბიულეტენი. 2010. T. 41. No 1. S. 44-48.

    9. მერკუშოვა NI, ნაუმენკო იუ. ა., მერკუშოვა იუ. ა. ინტეგრირებული მართვის სისტემები: წინაპირობები რუსულ საწარმოებში შექმნისთვის // ახალგაზრდა მეცნიერი.

    2013. No 12 (59). ს. 327-331.

    10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED საინფორმაციო და სატელეკომუნიკაციო სისტემების ინფორმაციის უსაფრთხოების მართვა, რომელიც დაფუძნებულია მოდელზე "P1ap-Do-Check-Act" // დონეცკის ეროვნული ტექნიკური უნივერსიტეტის Naukov1. Ser1ya: "გამოთვლითი ტექნიკა, რომ ავტომატიზმი". 2013. No2 (25). ს. 104-110.

    11. დოროფეევი AV, მარკოვი AS ინფორმაციის უსაფრთხოების მენეჯმენტი: ძირითადი ცნებები // კიბერუსაფრთხოების საკითხები.

    2014. No1 (2). ს. 67-73.

    12. Shper VL სტანდარტის შესახებ 18O / 1EC 27001 // ხარისხის მართვის მეთოდები. 2008. No 3. S. 60-61.

    13. მარკოვი A.S., ცირლოვი V.L. რისკების მართვა - ინფორმაციული უსაფრთხოების ნორმატიული ვაკუუმი // ღია სისტემები... DBMS. 2007. No 8. S. 63-67.

    14. მატვეევი ვ.ა., ცირლოვი ვ.ლ.

    2014 წელს // კიბერუსაფრთხოების საკითხები. 2013. No1 (1). ს. 61-64.

    15. Drums A.V. უსაფრთხოების განვითარების პროცესის სტანდარტიზაცია პროგრამული ინსტრუმენტები// კიბერუსაფრთხოების საკითხები. 2013. No1 (1). S. 37-41.

    16. მარკოვი ა.ს., ცირლოვი ვ.ლ. სახელმძღვანელო კიბერუსაფრთხოებისათვის კონტექსტში

    ISO 27032 // კიბერუსაფრთხოების საკითხები. 2014. No1 (2). ს. 28-35. 17. ხრამცოვსკაია ნ. რა უნდა იცოდეს მენეჯერმა ინფორმაციის უსაფრთხოების შესახებ // კადროვიკი. 2009. No 4. S. 061-072.

    ნამდვილად შემრცხვა. ჩვენ შევატყობინეთ ISO 45001 სტანდარტის გარდაუვალი გამოშვების შესახებ, რომელმაც უნდა შეცვალოს OHSAS 18001 პროფესიული ჯანმრთელობისა და უსაფრთხოების მართვის სტანდარტი, ჩვენ ვთქვით, რომ მას უნდა დაველოდოთ 2016 წლის ბოლოს ... შუაღამე ახლოვდება, მაგრამ ჰერმანი ჯერ კიდევ წავიდა. აღიარების დრო - ISO 45001 შეჩერებულია. მართალია, კარგი მიზეზების გამო. საექსპერტო საზოგადოებას ძალიან ბევრი შეკითხვა აქვს მისთვის. […]

  • ორმაგი სტატია გამოკვეთილია. სტანდარტიზაციის საერთაშორისო ორგანიზაციამ ნათლად გამოხატა თავისი პოზიცია პროდუქტებზე თავისი სტანდარტების მარკირების გამოყენების შესახებ - ISO ამბობს "არა". თუმცა, მეწარმეებს მაინც სურთ ამის გაკეთება. როგორ უნდა იყვნენ ისინი? რატომაც არა, სინამდვილეში? კითხვის ფონი ასეთია. როგორც გესმით ISO სტანდარტებიპირდაპირ არ არის დაკავშირებული სერტიფიცირებული საწარმოების მიერ წარმოებულ პროდუქტებთან. […]

  • დავამთავროთ თემა. ბოლო სტატიაში ჩვენ დავიწყეთ საუბარი QMS რვა პრინციპზე. პრინციპები, რომელზედაც აგებულია ხარისხის მართვის ნებისმიერი სისტემა. ჩვენი მიზანია ამ პრინციპების თარგმნა ბიზნეს მწვრთნელების ენიდან ადამიანურ ენაზე. ასე რომ თქვენ შეგიძლიათ მიიღოთ რეალური სარგებელი მათგან. მათ ისაუბრეს მომხმარებელზე ორიენტირებაზე. მათ ისაუბრეს იმაზე, თუ როგორ უნდა აწარმოონ არა „რაღაც [...]

  • ბევრი საუბრობს ხარისხის მენეჯმენტზე. მაგრამ რატომღაც ისინი ამბობენ, რომ საბოლოოდ არაფერია გაუგებარი. ეს ნიშნავს, რომ ხარისხის მენეჯმენტი რჩება სიტყვებად. ზედმეტად ჭკვიანი სიტყვებია. მოდით გადავთარგმნოთ ისინი ნორმალურ ენაზე და გავიგოთ, როგორ უწყობს ხელს ხარისხის მენეჯმენტის პრინციპები კომპანიის საქმიანობის გაუმჯობესებას. მოდით გავაკეთოთ გრძელი პრელუდიების გარეშე. საერთო ჯამში, ამჟამად შესაბამისი ხარისხის მართვის სისტემები, რომელთაგან ყველაზე პოპულარულია [...]

  • პროექტის მენეჯმენტი ... დარწმუნებული ვარ, ბევრი ადამიანია, ვინც ძალიან დიდი ხანია ესაუბრება ყველა სახის ბიზნეს კონსულტანტს - და ახლა ისინი იწყებენ გულისრევის შეგრძნებას ერთი ასეთი ფრაზისგან. Რა უნდა ვქნა? მოდი, უბრალოდ, ბიზნეს კონსულტანტები ამოვიგდოთ თავიდან და საქმე ადამიანურ ენაზე დავაყენოთ. პროექტის მენეჯმენტი არ არის აუცილებლად თეთრი პერანგიანი ადამიანი, რომელიც ხატავს რთულ დიაგრამებს და დიაგრამებს მარკერით [...]

    • მსგავსი გამოცემები