Informacijos saugumo valdymo sistema. Rusijos Federacijos įstatymų bazė. Informacijos rizikos valdymas

Pasaulyje informacines technologijas informacijos vientisumo, patikimumo ir konfidencialumo užtikrinimo klausimas tampa prioritetu. Todėl organizacijos valdymo sistemos poreikio pripažinimas informacijos saugumas(ISMS) yra strateginis sprendimas.

Ji buvo sukurta siekiant sukurti, įdiegti, prižiūrėti ir nuolat tobulinti ISMS įmonėje, o pritaikius šį standartą išoriniams partneriams, tampa akivaizdu, kad organizacija gali įvykdyti savo pačios informacijos saugumo reikalavimus. Šiame straipsnyje bus aptarti pagrindiniai standarto reikalavimai ir jo struktūra.

(ADV31)

Pagrindiniai ISO 27001 standarto tikslai

Prieš pradėdami aprašyti standarto struktūrą, apibrėžkime pagrindines jo užduotis ir apsvarstykime standarto atsiradimo Rusijoje istoriją.

Standarto tikslai:

• įsteigimas vienodus reikalavimus visoms organizacijoms sukurti, įgyvendinti ir tobulinti ISMS;
• užtikrinti aukštesnės vadovybės ir darbuotojų sąveiką;
• išlaikyti informacijos konfidencialumą, vientisumą ir prieinamumą.

Tuo pačiu metu standarte nustatyti reikalavimai yra bendri ir yra skirti bet kuriai organizacijai, nepriklausomai nuo jų tipo, dydžio ar pobūdžio.

Standarto istorija:

• 1995 m. Britų standartų institutas (BSI) priėmė Informacijos saugumo valdymo kodeksą kaip nacionalinį JK standartą ir užregistravo jį pagal BS 7799 - 1 dalį.
• 1998 m. BSI paskelbia BS7799-2 iš dviejų dalių: vienoje yra praktikos kodeksas, o kituose-reikalavimai informacijos saugumo valdymo sistemoms.
• Vėlesnių peržiūrų metu pirmoji dalis buvo paskelbta kaip BS 7799: 1999, 1 dalis. 1999 m. Ši standarto versija buvo perduota Tarptautinei sertifikavimo organizacijai.
• Šis dokumentas buvo patvirtintas 2000 m. Kaip tarptautinis standartas ISO / IEC 17799: 2000 (BS 7799-1: 2000). Naujausia versijašio standarto, priimto 2005 m., yra ISO / IEC 17799: 2005.
• 2002 m. Rugsėjo mėn. Įsigaliojo antroji BS 7799 dalis „Informacijos saugumo valdymo sistemos specifikacija“. Antroji BS 7799 dalis buvo peržiūrėta 2002 m., O 2005 m. Pabaigoje ISO buvo priimta kaip tarptautinis standartas ISO / IEC 27001: 2005 „Informacinės technologijos. Saugos metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“.
• 2005 m. ISO / IEC 17799 standartas buvo įtrauktas į 27 -osios serijos standartų eilutę ir buvo gautas naujas numeris- ISO / IEC 27002: 2005.
• 2013 m. Rugsėjo 25 d. Atnaujintas standartas ISO / IEC 27001: 2013 „Informacijos saugumo valdymo sistemos. Reikalavimai “. Šiuo metu organizacijos yra sertifikuotos pagal šią standarto versiją.

Standarto struktūra

Vienas iš šio standarto privalumų yra jo struktūros panašumas į ISO 9001, nes jame yra identiškos antraštinės dalies antraštės, identiškas tekstas, bendri terminai ir pagrindinės apibrėžtys. Ši aplinkybė taupo laiką ir pinigus, nes dalis dokumentų jau buvo parengta ISO 9001 sertifikavimo metu.

Jei mes kalbame apie standarto struktūrą, tai yra ISMS reikalavimų, kurie yra privalomi sertifikavimui, sąrašas ir susideda iš šių skyrių:

„A priedo“ reikalavimai yra privalomi, tačiau standartas leidžia neįtraukti sričių, kurių negalima taikyti įmonėje.

Įdiegiant standartą įmonėje tolesniam sertifikavimui, verta prisiminti, kad 4–10 skyriuose nustatytų reikalavimų išimtys neleidžiamos. Šie skyriai bus aptarti toliau.

Pradėkime nuo 4 skyriaus - Organizacijos kontekstas

Organizacijos kontekstas

Šiame skyriuje standartas reikalauja, kad organizacija nustatytų išorines ir vidines problemas, susijusias su jos tikslais ir turinčias įtakos jos ISMS gebėjimui pasiekti laukiamų rezultatų. Tai darydami turėtumėte atsižvelgti į teisinius, reguliavimo ir sutartinius įsipareigojimus dėl informacijos saugumo. Organizacija taip pat turėtų apibrėžti ir dokumentuoti ISMS taikymo sritį ir taikomumą, kad nustatytų jos taikymo sritį.

Vadovavimas

Aukščiausioji vadovybė turėtų parodyti lyderystę ir atsidavimą informacijos saugumo valdymo sistemai, pavyzdžiui, užtikrindama, kad informacijos saugumo politika ir informacijos saugumo tikslai būtų nustatyti ir suderinti su organizacijos strategija. Be to, aukščiausioji vadovybė turėtų užtikrinti, kad būtų suteikti visi ISMS reikalingi ištekliai. Kitaip tariant, darbuotojams turėtų būti akivaizdu, kad vadovybė yra susijusi su informacijos saugumo klausimais.

Informacijos saugumo politika turėtų būti dokumentuota ir perduota darbuotojams. Šis dokumentas primena kokybės politiką ISO 9001. Jis taip pat turėtų būti tinkamas organizacijos tikslams ir apimti informacijos saugumo tikslus. Gerai, jei tai yra tikri tikslai, pavyzdžiui, išlaikyti informacijos konfidencialumą ir vientisumą.

Taip pat tikimasi, kad vadovybė paskirstys funkcijas ir pareigas, susijusias su informacijos saugumu tarp darbuotojų.

Planavimas

Šiame skyriuje mes pasiekiame pirmąjį PDCA (planas - daryti - tikrinti - veikti) valdymo principo etapą - planuoti, vykdyti, tikrinti, veikti.

Planuodama informacijos saugumo valdymo sistemą, organizacija turėtų atsižvelgti į 4 punkte nurodytus klausimus ir nustatyti riziką bei galimas galimybes, į kurias reikia atsižvelgti, siekiant užtikrinti, kad ISMS galėtų pasiekti laukiamų rezultatų, užkirsti kelią nepageidaujamam poveikiui, ir pasiekti nuolatinį tobulėjimą.

Planuodama, kaip pasiekti savo informacijos saugumo tikslus, organizacija turėtų nustatyti:

• kas bus daroma;
• kokių išteklių reikės;
• kas bus atsakingas;
• kai tikslai pasiekiami;
• kaip bus vertinami rezultatai.

Be to, organizacija duomenis apie informacijos saugumo tikslus saugo kaip dokumentuotą informaciją.

Saugumas

Organizacija nustato ir suteikia išteklius, reikalingus ISMS plėtoti, įgyvendinti, prižiūrėti ir nuolat tobulinti, įskaitant personalą ir dokumentus. Kalbant apie personalą, tikimasi, kad organizacija įdarbins kvalifikuotus ir kompetentingus informacijos apsaugos darbuotojus. Darbuotojų kvalifikacija turi būti patvirtinta pažymėjimais, diplomais ir kt. Galima pritraukti trečiųjų šalių specialistus pagal sutartį arba apmokyti savo darbuotojus. Kalbant apie dokumentus, jie turėtų apimti:

• dokumentuota informacija, kurios reikalauja standartas;
• organizacijos dokumentuota informacija, kuri yra būtina informacijos saugumo valdymo sistemos veiksmingumui užtikrinti.

ISMS ir standarto reikalaujama dokumentuota informacija turi būti kontroliuojama siekiant užtikrinti, kad ji:

• prieinamas ir tinkamas naudoti ten, kur reikia, ir
• tinkamai apsaugoti (pavyzdžiui, nuo konfidencialumo praradimo, netinkamo naudojimo ar vientisumo praradimo).

Veikiantis

Šiame skyriuje kalbama apie antrąjį PDCA valdymo principo etapą - poreikį organizacijai valdyti savo procesus, kad būtų užtikrintas atitiktis, ir atlikti planavimo skyriuje nurodytą veiklą. Jame taip pat teigiama, kad organizacija turėtų atlikti informacijos saugumo rizikos vertinimus planuojamais intervalais arba kai siūlomi ar įvyko reikšmingi pokyčiai. Informacijos saugumo rizikos vertinimo rezultatus organizacija saugo kaip dokumentuotą informaciją.

Veiklos vertinimas

Trečias etapas yra patikrinimas. Organizacija įvertina ISMS veikimą ir veiksmingumą. Pavyzdžiui, ji turi atlikti vidaus auditą, kad gautų informacijos apie tai, ar

1. Ar informacijos saugumo valdymo sistema yra nuosekli
   • pačios organizacijos reikalavimai jos informacijos saugumo valdymo sistemai;
   • standarto reikalavimus;
2. kad informacijos saugumo valdymo sistema būtų veiksmingai įdiegta ir veikianti.

Savaime suprantama, kad audito apimtis ir laikas turėtų būti suplanuoti iš anksto. Visi rezultatai turi būti dokumentuoti ir išsaugoti.

Tobulinimas

Šio skyriaus tikslas yra nustatyti veiksmų eigą, kai aptinkamas neatitikimas. Organizacija turi ištaisyti neatitikimus, pasekmes ir išanalizuoti situaciją, kad taip neatsitiktų ateityje. Visi neatitikimai ir taisomieji veiksmai turi būti dokumentuoti.

Tuo baigiamos pagrindinės standarto dalys. A priede pateikiami konkretesni reikalavimai, kuriuos turi atitikti organizacija. Pavyzdžiui, kalbant apie prieigos kontrolę, naudokite mobiliuosius įrenginius ir informacijos nešėjai.

Naudos diegimas ir sertifikavimas pagal ISO 27001

• organizacijos statuso ir atitinkamai partnerių pasitikėjimo didinimas;
• padidinti organizacijos veiklos stabilumą;
• didinti apsaugos nuo informacijos saugumo grėsmių lygį;
• užtikrinti reikiamą suinteresuotųjų šalių informacijos konfidencialumo lygį;
• išplėsti organizacijos galimybes dalyvauti stambiose sutartyse.

Ekonominė nauda yra tokia:

• nepriklausomas sertifikavimo įstaigos patvirtinimas, kad organizacija turi aukštą informacijos saugumo lygį, kurį kontroliuoja kompetentingi darbuotojai;
• galiojančių įstatymų ir kitų teisės aktų laikymosi įrodymas (privalomų reikalavimų sistemos laikymasis);
• tam tikro aukšto lygio valdymo sistemų demonstravimas, siekiant užtikrinti tinkamą klientų ir organizacijos partnerių aptarnavimo lygį;
• Reguliaraus valdymo sistemų audito, veiklos vertinimo ir nuolatinio tobulinimo demonstravimas.

Sertifikavimas

Organizaciją gali sertifikuoti akredituotos agentūros pagal šį standartą. Sertifikavimo procesas susideda iš trijų etapų:

• 1 etapas - auditoriaus pagrindinių ISMS dokumentų tyrimas dėl atitikties standartui - gali būti atliekamas tiek organizacijos teritorijoje, tiek perduodant šiuos dokumentus išorės auditoriui;
• 2 etapas - išsamus auditas, įskaitant įgyvendintų priemonių testavimą ir jų veiksmingumo įvertinimą. Apima išsamų standarto reikalaujamų dokumentų tyrimą;
• 3 etapas - patikrinimo audito atlikimas, siekiant patvirtinti, kad sertifikuota organizacija atitinka nurodytus reikalavimus. Atliekama periodiškai.

Rezultatas

Kaip matote, šio standarto naudojimas įmonėje leis kokybiškai pagerinti informacijos saugumo lygį, kuris šiuolaikinės realybės sąlygomis yra brangus. Standarte yra daug reikalavimų, tačiau svarbiausias reikalavimas yra daryti tai, kas parašyta! Iš tikrųjų netaikant standarto reikalavimų, jis virsta tuščiu popieriaus lapų rinkiniu.

GOST R ISO / IEC 27001-2006 „Informacinės technologijos. Saugos užtikrinimo metodai ir priemonės. Informacijos saugumo valdymo sistemos. Reikalavimai "

Standarto kūrėjai pažymi, kad jis buvo parengtas kaip informacinio saugumo valdymo sistemos (ISMS) kūrimo, diegimo, veikimo, stebėsenos, analizės, palaikymo ir tobulinimo modelis. ISMS (angl. - angl. Information security management system; ISMS) apibrėžiama kaip bendros valdymo sistemos dalis, pagrįsta verslo rizikos vertinimo metodų naudojimu kuriant, įgyvendinant, valdant, stebint, analizuojant, palaikant ir tobulinant informacijos saugumą. Valdymo sistema apima organizacinė struktūra, politika, planavimo veikla, atsakomybė, praktika, procedūros, procesai ir ištekliai.

Standartas numato procesinio metodo naudojimą organizacijos ISMS kūrimui, įgyvendinimui, veikimui, stebėsenai, analizei, palaikymui ir tobulinimui. Jis pagrįstas planuoti - daryti - tikrinti - veikti (PDCA) modeliu, kurį galima pritaikyti struktūrizuojant visus ISMS procesus. Fig. 4.4 parodytas, kaip ISMS, naudodama informacijos saugumo reikalavimus ir tikėtinus suinteresuotųjų šalių rezultatus, atlikdama reikiamus veiksmus ir procesus, pateikia šiuos reikalavimus ir laukiamus rezultatus atitinkančius informacijos saugumo rezultatus.

Ryžiai. 4.4.

Scenoje „Informacijos saugumo valdymo sistemos kūrimas“ organizacija turėtų atlikti šiuos veiksmus:

• - apibrėžti ISMS taikymo sritį ir ribas;
• - nustatyti ISMS politiką, pagrįstą verslo, organizacijos, jos vietos, turto ir technologijų ypatybėmis;
• - nustatyti požiūrį į rizikos vertinimą organizacijoje;
• - nustatyti riziką;
• - analizuoti ir vertinti riziką;
• - nustatyti ir įvertinti įvairias rizikos gydymo galimybes;
• - pasirinkti rizikos valdymo tikslus ir kontrolės priemones;
• - gauti vadovybės patvirtinimą dėl numatomos likutinės rizikos;
• - gauti vadovybės leidimą įgyvendinti ir valdyti ISMS;
• - parengti pareiškimą apie taikymą.

Scena " Informacijos saugumo valdymo sistemos diegimas ir veikimas “ siūlo organizacijai:

• - parengti rizikos valdymo planą, kuriame apibrėžiami tinkami valdymo veiksmai, ištekliai, atsakomybė ir informacijos saugumo rizikos valdymo prioritetai;
• - įgyvendinti rizikos valdymo planą, kad būtų pasiekti numatyti valdymo tikslai, įskaitant finansavimo klausimus, taip pat vaidmenų ir atsakomybės paskirstymą;
• - įgyvendinti pasirinktas valdymo priemones;
• - nustatyti būdą, kaip įvertinti pasirinktų kontrolės priemonių veiksmingumą;
• - įgyvendinti darbuotojų mokymo ir kvalifikacijos kėlimo programas;
• - valdyti ISMS darbą;
• - valdyti ISMS išteklius;
• - įgyvendinti procedūras ir kitas kontrolės priemones, skirtas užtikrinti greitą informacijos saugumo įvykių aptikimą ir reagavimą į informacijos saugumo incidentus.

Trečias etapas " Informacijos saugumo valdymo sistemos stebėjimas ir analizė " reikalauja:

• - vykdyti stebėsenos ir analizės procedūras;
• - reguliariai atlikti ISMS veiksmingumo analizę;
• - išmatuoti kontrolės veiksmingumą, siekiant patikrinti atitiktį IS reikalavimams;
• - peržiūrint rizikos vertinimus tam tikrais laiko intervalais, išanalizavus likutinę riziką ir nustatant priimtiną rizikos lygį, atsižvelgiant į pokyčius;
• - atlikti vidinius ISMS auditus tam tikrais laiko tarpais;
• - reguliariai atlikti organizacijos vadovybės ISMS analizę, kad būtų patvirtintas sistemos veikimo tinkamumas ir nustatytos tobulinimo kryptys;
• - atnaujinti IS planus, atsižvelgiant į analizės ir stebėsenos rezultatus;
• - įrašyti veiksmus ir įvykius, kurie gali turėti įtakos ISMS veiksmingumui ar veikimui.

Galiausiai, scena „Informacijos saugumo valdymo sistemos palaikymas ir tobulinimas“ siūlo organizacijai reguliariai vykdyti šią veiklą:

• - nustatyti galimybes tobulinti ISMS;
• - imtis būtinų taisomųjų ir prevencinių veiksmų, praktiškai panaudoti IS patirtį, įgytą tiek savo, tiek kitose organizacijose;
• - perduoti visoms suinteresuotosioms šalims išsamią informaciją apie veiksmus, kuriais siekiama patobulinti ISMS, o jos išsamumo laipsnis turėtų atitikti aplinkybes ir prireikus susitarti dėl tolesnių veiksmų;
• - užtikrinti ISMS patobulinimų įgyvendinimą, kad būtų pasiekti numatyti tikslai.

Be to, standarte pateikiami reikalavimai dokumentams, kurie turėtų apimti ISMS politikos nuostatas ir veiklos srities aprašymą, metodikos aprašymą ir rizikos vertinimo ataskaitą, rizikos gydymo planą ir dokumentus susijusių procedūrų. Taip pat reikėtų apibrėžti ISMS dokumentų tvarkymo procesą, įskaitant atnaujinimą, naudojimą, saugojimą ir šalinimą.

Norint pateikti įrodymų apie atitiktį reikalavimams ir ISMS veiksmingumą, būtina tvarkyti ir tvarkyti procesų vykdymo ir įrašus. Pavyzdžiui, lankytojų žurnalai, audito ataskaitos ir kt.

Standartas nurodo, kad organizacijos vadovybė yra atsakinga už ISMS sukūrimui reikalingų išteklių tiekimą ir valdymą bei personalo mokymų organizavimą.

Kaip minėta anksčiau, organizacija turėtų atlikti vidinius ISMS auditus pagal patvirtintą grafiką, kad įvertintų savo funkcionalumą ir atitiktį standartui. O vadovybė turėtų atlikti informacijos saugumo valdymo sistemos analizę.

Be to, reikėtų tobulinti informacijos saugumo valdymo sistemą: didinti jos veiksmingumą ir atitikimą dabartinei sistemos būklei bei jai keliamiems reikalavimams.

Įvadas

Sparčiai auganti įmonė, taip pat milžinas savo segmente, yra suinteresuota gauti pelno ir apsisaugoti nuo įsibrovėlių įtakos. Jei anksčiau pagrindinis pavojus buvo materialinių vertybių vagystė, tai šiandien pagrindinis vagystės vaidmuo tenka vertingos informacijos atžvilgiu. Didelės informacijos dalies vertimas į elektroninę formą, vietinių ir pasaulinių tinklų naudojimas sukuria kokybiškai naujas grėsmes konfidencialiai informacijai.

Bankai, valdymo organizacijos ir draudimo bendrovės ypač aiškiai suvokia informacijos nutekėjimą. Informacijos apsauga įmonėje yra priemonių rinkinys, užtikrinantis svarbų klientų ir darbuotojų duomenų saugumą elektroninius dokumentus ir visa informacija, paslaptys. Kiekviena įmonė turi kompiuterinę įrangą ir prieigą prie pasaulinio tinklo. Užpuolikai sumaniai prisijungia prie beveik visų šios sistemos komponentų ir naudoja didelį arsenalą (virusus, kenkėjiškas programas, slaptažodžių atspėjimą ir kt.), Kad pavogtų vertingą informaciją. Informacijos saugumo sistema turi būti įdiegta kiekvienoje organizacijoje. Lyderiai turi rinkti, analizuoti ir suskirstyti į kategorijas visų rūšių informaciją, kurią reikia apsaugoti, ir naudoti tinkamą apsaugos sistemą. Tačiau to nepakaks, nes be technologijų yra ir žmogiškasis faktorius, kuris taip pat gali sėkmingai nutekinti informaciją konkurentams. Svarbu tinkamai organizuoti savo įmonės apsaugą visais lygiais. Šiems tikslams naudojama informacijos saugumo valdymo sistema, kurios pagalba vadovas sukurs nuolatinį verslo stebėjimo procesą ir užtikrins aukštą savo duomenų saugumo lygį.

1. Temos aktualumas

Kiekvienam moderni įmonė, įmonė ar organizacija, viena iš svarbiausių užduočių yra būtent užtikrinti informacijos saugumą. Kai įmonė stabiliai saugo savo informacinę sistemą, ji sukuria patikimą ir saugią aplinką savo veiklai. Žala, nutekėjimas, informacijos trūkumas ir vagystė visada yra kiekvienos įmonės nuostolis. Todėl informacijos saugumo valdymo sistemos kūrimas įmonėse yra skubus mūsų laikų klausimas.

2. Tyrimo tikslai ir uždaviniai

Išanalizuokite informacijos saugumo valdymo sistemos kūrimo būdus įmonėje, atsižvelgiant į Donecko srities ypatumus.

• analizuoti pažangiausia technika informacijos saugumo valdymo sistemos įmonėse;
• nustatyti informacijos saugumo valdymo sistemos kūrimo ir įdiegimo įmonėse priežastis;
• įmonės PJSC Donecko minų gelbėjimo įrangos gamyklos pavyzdžiu sukurti ir įdiegti informacijos saugumo valdymo sistemą;
• įvertinti informacijos saugumo valdymo sistemos įdiegimo įmonėje efektyvumą, efektyvumą ir ekonominį pagrįstumą.

3. Informacijos saugumo valdymo sistema

Informacijos saugumas suprantamas kaip informacijos ir pagalbinės infrastruktūros apsaugos būsena nuo atsitiktinio ar sąmoningo natūralaus ar dirbtinio poveikio (informacijos grėsmės, grėsmės informacijos saugumui), galinčios padaryti nepriimtiną žalą informacinių santykių subjektams.

Informacijos prieinamumas - sistemos savybė laiku suteikti netrukdomą prieigą prie įgaliotų (įgaliotų) subjektų prie juos dominančios informacijos arba laiku keistis informacija.

Informacijos vientisumas yra informacijos savybė, apibūdinanti jos atsparumą atsitiktiniam ar tyčiniam sunaikinimui ar neteisėtam pakeitimui. Sąžiningumą galima suskirstyti į statinį (suprantamą kaip informacijos objektų nekintamumą) ir dinaminį (susijusį su teisingu sudėtingų veiksmų (sandorių) vykdymu).

Informacijos konfidencialumas yra informacijos savybė būti žinoma ir prieinama tik įgaliotiems sistemos subjektams (vartotojams, programoms, procesams). Konfidencialumas yra labiausiai išvystytas informacijos saugumo aspektas mūsų šalyje.

Informacijos saugumo valdymo sistema (toliau ISMS) yra bendros valdymo sistemos, pagrįstos požiūriais į verslo riziką, dalis, skirta informacijos saugumui sukurti, įgyvendinti, valdyti, stebėti, prižiūrėti ir tobulinti.

Pagrindiniai veiksniai, turintys įtakos informacijos ir duomenų apsaugai įmonėje, yra šie:

• Bendrovės bendradarbiavimo su partneriais stiprinimas;
• Verslo procesų automatizavimas;
• Tendencija didinti įmonės informacijos apimtį, kuri perduodama turimais ryšio kanalais;
• Didėjanti kompiuterinių nusikaltimų tendencija.

Įmonės informacijos saugumo sistemų užduotys yra daugialypės. Pavyzdžiui, tai yra patikimas duomenų saugojimas įvairiose laikmenose; ryšių kanalais perduodamos informacijos apsauga; apriboti prieigą prie kai kurių duomenų; kurti atsargines kopijas ir dar daugiau.

Visavertis įmonės informacijos saugumas yra tikras tik tinkamai laikantis duomenų apsaugos. Informacijos saugumo sistemoje būtina atsižvelgti į visas dabartines grėsmes ir pažeidžiamumą.

Viena iš efektyviausių informacijos valdymo ir apsaugos priemonių yra informacijos saugumo valdymo sistema, sukurta remiantis MS ISO / IEC 27001: 2005 modeliu. Standartas yra pagrįstas proceso požiūrisįmonės ISMS kūrimui, diegimui, veikimui, stebėsenai, analizei, priežiūrai ir tobulinimui. Jį sudaro valdymo procesų sistemos, kurios yra tarpusavyje susijusios nuolatiniu ISMS planavimo, įgyvendinimo, tikrinimo ir tobulinimo ciklu, sukūrimas ir taikymas.

Šis tarptautinis standartas buvo parengtas siekiant sukurti ISMS diegimo, įgyvendinimo, veikimo, stebėsenos, analizės, priežiūros ir tobulinimo modelį.

Pagrindiniai ISMS įgyvendinimo veiksniai:

• teisėkūra - galiojančių nacionalinių teisės aktų reikalavimai IS atžvilgiu, tarptautiniai reikalavimai;
• konkurencingumas - atitikimas lygiui, elitizmas, jų nematerialaus turto apsauga, pranašumas;
• kova su nusikalstamumu - apsauga nuo reidų (baltos apykaklės), piktadarių prevencija ir slaptas stebėjimas, įrodymų rinkimas bylos nagrinėjimui.

Informacijos saugumo dokumentų struktūra parodyta 1 paveiksle.

1 pav. Informacijos saugumo srities dokumentų struktūra

4. ISMS kūrimas

ISO šalininkai naudoja PDCA modelį kurdami ISMS. ISO taiko šį modelį daugeliui savo valdymo standartų ir ISO 27001 nėra išimtis. Be to, vadovaujantis PDCA modeliu organizuojant valdymo procesą, galima naudoti tuos pačius metodus ir ateityje - kokybės valdymui, aplinkos valdymui, saugos valdymui, taip pat kitose valdymo srityse, o tai sumažina išlaidas. Todėl PDCA yra puikus pasirinkimas, visiškai atitinkantis ISMS kūrimo ir priežiūros užduotis. Kitaip tariant, PDCA etapuose apibrėžiama, kaip nustatyti politiką, tikslus, procesus ir procedūras, atitinkančias valdomą riziką (planavimo etapas), įgyvendinti ir naudoti (atlikti etapą), įvertinti ir, jei įmanoma, išmatuoti proceso rezultatus iš politinės perspektyvos (patikrinimo etapas), imtis taisomųjų ir prevencinių veiksmų (tobulinimo etapas - aktas). Papildomos sąvokos, kurios nėra ISO standartų dalis ir kurios gali būti naudingos kuriant ISMS: yra tokia, kokia turėtų būti (būsima); būsena tokia, kokia yra (tokia, kokia yra); perėjimo planas.

ISO 27001 pagrindas yra informacinės rizikos valdymo sistema.

ISMS kūrimo etapai

Kuriant ISMS, galima išskirti šiuos pagrindinius etapus:

2 paveikslas. Informacijos saugumo valdymo PDCA modelis (animacija: 6 kadrai, 6 pakartojimai, 246 kilobaitai)

5. Informacijos rizikos valdymas

Rizikos valdymas laikomas administraciniu informacijos saugumo lygmeniu, nes tik organizacijos vadovybė gali skirti reikiamus išteklius, inicijuoti ir kontroliuoti atitinkamų programų įgyvendinimą.

Informacinių sistemų naudojimas yra susijęs su tam tikra rizika. Kai galima žala yra nepriimtinai didelė, būtina imtis ekonomiškai pagrįstų apsaugos priemonių. Norint stebėti saugumo veiklos efektyvumą ir atsižvelgti į aplinkos pokyčius, būtina periodiškai (iš naujo) įvertinti riziką.

Rizikos valdymo veiklos esmė yra įvertinti jos dydį, parengti veiksmingas ir ekonomiškai efektyvias priemones rizikai sušvelninti, o tada užtikrinti, kad rizika būtų apribota priimtinose ribose (ir išliktų tokia).

Rizikos valdymo procesą galima suskirstyti į šiuos etapus:

1. Analizuojamų objektų pasirinkimas ir jų svarstymo detalumas.
2. Rizikos vertinimo metodikos pasirinkimas.
3. Turto identifikavimas.
4. Grėsmių ir jų pasekmių analizė, apsaugos pažeidžiamumų nustatymas.
5. Rizikos vertinimas.
6. Apsaugos priemonių pasirinkimas.
7. Pasirinktų priemonių įgyvendinimas ir tikrinimas.
8. Likusios rizikos vertinimas.

Rizikos valdymas, kaip ir bet kuri kita informacijos saugumo veikla, turi būti integruotas gyvenimo ciklas IP. Tada poveikis yra didžiausias, o išlaidos yra minimalios.

Labai svarbu pasirinkti pagrįstą rizikos vertinimo metodiką. Vertinimo tikslas - gauti atsakymą į du klausimus: ar esama rizika yra priimtina, o jei ne, kokias apsaugos priemones reikėtų naudoti. Tai reiškia, kad vertinimas turėtų būti kiekybinis, kad būtų galima palyginti su iš anksto pasirinktomis leistinumo ribomis ir naujų saugos reguliatorių įgyvendinimo sąnaudomis. Rizikos valdymas yra tipiška optimizavimo problema, o ją išspręsti gali padėti nemažai programinės įrangos produktų (kartais tokie produktai tiesiog pridedami prie knygų apie informacijos saugumą). Tačiau pagrindinis sunkumas yra pradinių duomenų netikslumas. Žinoma, galite pabandyti gauti piniginę išraišką visiems analizuojamiems kiekiams, viską apskaičiuoti iki cento, tačiau tai neturi daug prasmės. Praktiškiau naudoti įprastus įrenginius. Paprasčiausiu ir visiškai priimtinu atveju galite naudoti trijų balų skalę.

Pagrindiniai rizikos valdymo etapai.

Pirmasis žingsnis analizuojant grėsmes yra jų nustatymas. Nagrinėjamos grėsmės rūšys turėtų būti parenkamos atsižvelgiant į sveiko proto sumetimus (neįtraukiant, pavyzdžiui, žemės drebėjimų, tačiau nepamirštant galimybės, kad organizaciją užgrobs teroristai), tačiau pagal pasirinktas rūšis atlikite išsamiausią analizę.

Patartina nustatyti ne tik pačias grėsmes, bet ir jų atsiradimo šaltinius - tai padės pasirinkti papildomas apsaugos priemones.

Nustačius grėsmę, būtina įvertinti jos įgyvendinimo tikimybę. Leidžiama naudoti trijų balų skalę (maža (1), vidutinė (2) ir didelė (3) tikimybė).

Jei kokia nors rizika pasirodė nepriimtinai didelė, būtina ją neutralizuoti, įgyvendinant papildomas apsaugos priemones. Paprastai, norint pašalinti ar neutralizuoti pažeidimą, dėl kurio grėsmė tapo reali, yra keli saugos mechanizmai, kurie skiriasi efektyvumu ir kaina.

Kaip ir bet kuri kita veikla, naujų saugos reguliatorių diegimas ir bandymas turėtų būti suplanuotas iš anksto. Planuojant reikia atsižvelgti į buvimą finansiniai ištekliai ir personalo mokymo laikas. Jei mes kalbame apie programinės ir aparatinės įrangos apsaugos mechanizmą, turite parengti bandymo planą (savarankišką ir sudėtingą).

Kai imamasi numatytų priemonių, būtina patikrinti jų veiksmingumą, tai yra įsitikinti, kad likutinė rizika tapo priimtina. Jei taip yra iš tikrųjų, galite saugiai suplanuoti kito perkainojimo datą. Priešingu atveju turėsite išanalizuoti padarytas klaidas ir nedelsdami pakartoti rizikos valdymo sesiją.

išvadas

Kiekvienas įmonės vadovas rūpinasi savo verslu ir todėl turi suprasti, kad sprendimas įdiegti informacijos saugumo valdymo sistemą (ISMS) yra svarbus žingsnis, kuris sumažins įmonės / organizacijos turto praradimo riziką ir sumažins finansinius nuostolius, ir kai kuriais atvejais išvengti bankroto.

Informacijos saugumas yra svarbus verslui, tiek privačiam, tiek viešajam sektoriui. Tai turėtų būti laikoma priemone, skirta įvertinti, analizuoti ir sumažinti susijusią riziką.

Sauga, kurią galima pasiekti naudojant technologiją, yra ribota ir turėtų būti palaikoma tinkama kontrole ir procedūromis.

Kontrolės nustatymas reikalauja kruopštaus planavimo ir dėmesio.

Siekiant veiksmingai apsaugoti informaciją, turėtų būti sukurtos tinkamiausios saugumo priemonės, kurias galima pasiekti nustatant pagrindinę informacijos riziką sistemoje ir įgyvendinant tinkamas priemones.

Biyachuev T.A. Saugumas įmonių tinklai/ red. L.G. Osovetsky. - SPb .: SPb GU ITMO leidykla, 2006.- 161 p.

Šahalovas Igoris Jurjevičius

Kokybės valdymo sistemų ir informacijos saugumo integravimo klausimu

Santrauka: Nagrinėjami tarptautiniai standartai ISO 27001 ir ISO 9001. Atliekama kokybės valdymo sistemos ir informacijos saugumo valdymo sistemos panašumų ir skirtumų analizė. Parodyta galimybė integruoti kokybės valdymo sistemą ir informacijos saugumo valdymo sistemą. Pateikiami pagrindiniai integruotos informacijos saugumo valdymo sistemos kūrimo ir diegimo etapai. Parodyti integruoto požiūrio privalumai.

Raktažodžiai: informacijos saugumo valdymo sistemos, integruotos valdymo sistemos, ISMS, QMS, ISO 27001.

Natalija Olegovna

Įvadas

V šiuolaikinis pasaulis atsiradus bendram ir patogiam techniniai prietaisai gana ryškiai iškilo informacijos apsaugos problema. Kartu su kokybiškų produktų išleidimu ar paslaugų teikimu įmonėms ir organizacijoms svarbu išlaikyti reikiamą informaciją nuo konkurentų, kad ji išliktų palankioje padėtyje rinkoje. Konkurencinėje kovoje plačiai paplitę įvairūs veiksmai, kuriais siekiama gauti (gauti, įgyti) konfidencialios informacijos. Skirtingi keliai, iki tiesioginio pramoninio šnipinėjimo naudojant šiuolaikines technines žvalgybos priemones.

Taigi organizacijos, kurios laikosi geriausios pasaulio praktikos, kuriose yra reikalavimai, verslo procesų valdymo sistemų diegimo gairės, tampa rinkos lyderėmis. Geriausi tokių sistemų kūrimo, diegimo, stebėsenos ir tobulinimo standartai yra Tarptautinės standartizacijos organizacijos (ISO) dokumentai. Ypatingas dėmesys turėtų būti skiriamas ISO 900x ir ISO 2700x serijų standartams, kurie renka geriausią kokybės valdymo sistemos (KVS) ir informacijos saugumo valdymo sistemos (ISMS) diegimo praktiką.

Kokybės vadybos sistema, įdiegta pagal ISO 9001 standarto reikalavimus, jau seniai pripažinta neatskiriama sėkmingos įmonės, gaminančios aukštos kokybės produktus ar teikiančios aukštos kokybės paslaugas, atributu. Šiandien atitikties sertifikato prieinamumas yra ir efektyvus rinkodaros sprendimas, ir gamybos procesų kontrolės mechanizmas. KVS auditas yra gerai išvystyta verslo sritis.

Sėkmingos įmonės veiklos priklausomybė nuo korporacinė sistema informacijos apsauga. Taip yra dėl to, kad padidėjo įmonių informacinėje sistemoje apdorojamų gyvybiškai svarbių duomenų apimtis. Informacinės sistemos tampa vis sudėtingesnės, o jose aptinkamų pažeidžiamumų skaičius taip pat auga. ISMS auditas leidžia įvertinti dabartinę įmonės informacinės sistemos veikimo saugumo būklę,

įvertinti ir numatyti rizikas, valdyti jų įtaką įmonės verslo procesams.

Kadangi ISO 9001 standartas jau seniai užima pirmaujančią poziciją pagal sertifikatų skaičių pasaulyje, o ISO 27001 standartas rodo tendenciją didinti informacijos saugumo valdymo sistemos sertifikavimą, patartina apsvarstyti galimą sąveiką ir KVS ir ISMS integracija.

Standartų integravimas

Iš pirmo žvilgsnio kokybės valdymas ir informacijos saugumas yra visiškai skirtingos sritys. Tačiau praktikoje jie yra glaudžiai susiję ir sudaro vieną visumą (1 pav.). Klientų pasitenkinimas, kuris yra objektyvus kokybės tikslas, kasmet vis labiau priklauso nuo informacinių technologijų prieinamumo ir duomenų saugumo, kurių priežiūrai naudojamas ISO 27001 standartas. Kita vertus, ISO 9001 standartas tiksliai atitinka organizacijos tikslus, padedančius užtikrinti saugumą. Integruoto požiūrio dėka ISO 27001 gali būti veiksmingai integruotas į esamą KVS arba įdiegtas kartu su KVS.

(ISO 27001) ir IT paslaugų valdymas (ISO 20000) turi panašią struktūrą ir procesą. Taip sukuriama sąveika, kuri pasiteisina: praktiškai integruota vykdomų operacijų valdymo sistema sutaupo nuo 20 iki 30 procentų visų sistemos optimizavimo, patikrinimų ir peržiūrų išlaidų.

Informacijos saugumo ir kokybės valdymo standartais siekiama nuolat tobulėti laikantis plano-patikrinimo akto (PDCA) plano, žinomo kaip Demingo ciklas (žr. 2 pav.). Be to, jų struktūra panaši, kaip parodyta ISO 27001 C priedo atitikmenų lentelėje. Abu standartai apibrėžia proceso metodą, apimtį, sistemos ir dokumentacijos reikalavimus bei administracinę atsakomybę. Abiem atvejais struktūra baigiama vidaus auditu, vadovybės peržiūra ir sistemos tobulinimu. Šiuo atveju abi sistemos sąveikauja. Pavyzdžiui, ISO 9001 reikalauja valdyti neatitinkančius produktus. Panašiai ISO 27001 standartas turi įvykių valdymo reikalavimą, kad būtų galima išspręsti gedimus.

Ryžiai. 1. KVS ir ISMS sąveikos ir panašumo sritys

Ryžiai. 2. Demingo ciklas

Daugiau nei 27 200 įvairių pramonės šakų organizacijų daugiau nei 100 pasaulio šalių yra sertifikuotos pagal kokybės vadybos ISO 9001: 2008. Priklausomai nuo rinkos ir teisinių reikalavimų, daugelis organizacijų vis labiau priverstos spręsti informacijos saugumo klausimus. Šiuo atžvilgiu valdymo sistemos integravimas suteikia realių galimybių. Sudėtingas požiūris taip pat įdomu įmonėms, kurios iki šiol nenaudojo jokio valdymo proceso. ISO kokybės standartai (ISO 9001), aplinkos apsauga (ISO 14000), informacijos saugumas

Standartų skirtumai yra naudingi vienas kitą papildant, o tai lemia verslo sėkmę. Pavyzdžiui, ISO 9001 reikalauja apibrėžti įmonės tikslus, orientaciją į klientą ir išmatuojamumą, kiek tikslai ir uždaviniai yra pasiekti. Tai trys klausimai, kurie nėra ISO 27001 interesų centre. Savo ruožtu šiame standarte prioritetas teikiamas rizikos valdymui, siekiant išlaikyti veiklos tęstinumą, ir siūloma išsami pagalba įgyvendinant ISMS. Palyginti

todėl ISO 9001 yra daugiau teorinis standartas.

ISO 27001 - standartas ne tik IT

Daugelis žmonių mano, kad ISO 27001 standartas skirtas tik IT procesams, tačiau iš tikrųjų taip nėra. Esminis ISO 27001 SM&B standarto įgyvendinimo momentas yra turto apibrėžimas.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

„Jimii 14: ii | vju7JIIIM.

Ryžiai. 3. Turto rūšys

Turtas suprantamas kaip viskas, kas yra vertinga įmonei (3 pav.). Tai yra, turtas gali būti: žmogiškieji ištekliai, infrastruktūra, įrankiai, įranga, ryšiai, paslaugos ir bet koks kitas turtas, įskaitant įsigytų produktų tiekimo paslaugas. Remdamasi procesais, įmonė nustato, kokį turtą ji turi ir kuris turtas yra įtrauktas į svarbiausius procesus, ir įvertina turto vertę. Ir tik po to atliekamas viso vertingo turto rizikos vertinimas. Taigi ISMS skirta ne tik skaitmeninei informacijai, kuri yra apdorojama automatizuota sistema... Pavyzdžiui, kai kurie iš svarbiausių procesų yra susiję

Paruošimas

renginių planai

2 Patikrinkite H: i match

saugojant popierines informacijos kopijas, kurioms taip pat taikomas ISO 27001. ISMS apima visus būdus, kaip jūsų įmonėje gali būti saugoma svarbi informacija, nuo to, kaip jūsų laiškus saugoma, baigiant tuo, kur pastate saugomos darbuotojų asmeninės bylos.

Todėl yra didžiulė klaidinga nuomonė, kad kadangi standartu siekiama sukurti informacijos saugumo valdymo sistemą, tai gali būti taikoma tik kompiuteryje saugomiems duomenims. Net mūsų skaitmeniniame amžiuje daug informacijos vis dar atsispindi popieriuje, kuris taip pat turi būti patikimai apsaugotas.

ISO 9001 negali patenkinti įmonės informacijos saugumo poreikių, nes jis yra siaurai orientuotas į produktų kokybę. Todėl labai svarbu įmonėje įdiegti ISO 27001. Iš pirmo žvilgsnio specialistui gali atrodyti, kad abu standartai yra labai bendri ir neturi specifiškumo. Tačiau taip nėra: ISO 27001 standartas apibūdina beveik kiekvieną ISMS diegimo ir kontrolės žingsnį (4 pav.).

Pagrindiniai informacijos saugumo valdymo sistemos kūrimo etapai

Pagrindiniai ISMS kūrimo etapai pavaizduoti 4 paveiksle. Panagrinėkime juos išsamiau.

1 etapas. Veiksmų planų rengimas. Šiame etape specialistai renka organizacinius ir administracinius dokumentus (ORD) ir kitą darbo medžiagą,

3 A tipo normalus II ORD

4 II analizė rizikos vertinimai 11B

Įgyvendinimas

5 RyazraOoghya ir<>„RaeryaOopv“ kompleksas ir 00 \ * ieiitii:

radiacijos planai ■ -> standartai -> įvykiai -> CfftpJOTHW *

veikla P> PB ORD Poenpzhenie

Sudarytas 10 AiUtuin INRsnEsS "IMB rezultatų vertinimo

Ryžiai. 4. ISMS kūrimo etapai

susijusius su įmonės informacinių sistemų kūrimu ir eksploatavimu, planuojama naudoti informacijos saugumo užtikrinimo mechanizmus ir priemones. Be to, rengiami darbo etapų veiksmų planai, dėl kurių susitaria ir juos patvirtina įmonės vadovybė.

2 etapas. Tikrinimas, ar laikomasi ISO / IEC 27001: 2005. Pokalbiai ir apklausos skyrių vadovai ir darbuotojai. Įmonės ISMS analizė, ar ji atitinka ISO / IEC 27001: 2005 reikalavimus.

3 etapas. Reguliavimo ir organizacinių bei administracinių dokumentų analizė, pagrįsta įmonės organizacine struktūra. Remiantis jo rezultatais, nustatoma saugoma apimtis (OA) ir sudaromas įmonės informacijos saugumo politikos eskizas.

4 etapas. Informacijos saugumo rizikos analizė ir įvertinimas. Įmonės rizikos valdymo ir jos analizės metodikos sukūrimas. Įmonės informacinių išteklių, pirmiausia LAN, analizė, siekiant nustatyti saugomo ML turto grėsmes ir pažeidžiamumą. Turto inventorius. Vykdyti konsultacijas įmonės specialistams ir vertinti tikrojo ir reikalaujamo saugumo lygio atitiktį. Rizikos apskaičiavimas, esamo ir priimtino kiekvieno konkretaus turto rizikos lygio nustatymas. Rizikos reitingas, priemonių mažinimo priemonių kompleksų parinkimas ir teorinio įgyvendinimo efektyvumo apskaičiavimas.

5 etapas. IS veiksmų planų kūrimas ir įgyvendinimas. Pareiškimo dėl valdiklių taikymo parengimas pagal ISO / IEC 27001: 2005. Rizikos apskaitos ir pašalinimo plano parengimas. Ataskaitų rengimas įmonės vadovui.

6 etapas. Reguliavimo ir OSA kūrimas. Galutinės IB politikos ir susijusių nuostatų (privačios politikos) rengimas ir patvirtinimas. Standartų, procedūrų ir instrukcijų kūrimas, siekiant užtikrinti normalų įmonės ISMS funkcionavimą ir veikimą.

7 etapas. Išsamų priemonių, skirtų IS rizikai sumažinti, įgyvendinimas ir jų efektyvumo įvertinimas pagal vadovybės patvirtintą tvarkymo ir pašalinimo planą.

8 etapas. Personalo mokymas. Veiksmų planų rengimas ir programų, skirtų įmonės darbuotojų mokymui ir kompetencijai tobulinti, įgyvendinimas, siekiant efektyviai perteikti informacijos saugumo principus visiems darbuotojams ir

pirmiausia tie, kurie dirba struktūriniai vienetai teikia pagrindinius verslo procesus.

9 etapas. Ataskaitų formavimas. Apklausos rezultatų sisteminimas ir ataskaitų rengimas. Darbo rezultatų pristatymas įmonės vadovams. Dokumentų, skirtų licencijavimui, kad jie atitiktų ISO / IEC 27001: 2005, parengimas ir perdavimas sertifikavimo organizacijai.

10 etapas. ISMS diegimo rezultatų analizė ir įvertinimas, remiantis įmonės ISMS veikimo patikimumo vertinimo metodika. Įmonės informacijos saugumo valdymo sistemos tobulinimo rekomendacijų rengimas.

Analizuodami kiekvieną ISMS diegimo etapą galime pasakyti, kad ISO 27001 turi aiškią struktūrą ir reikalavimus, kurie leis jums sukurti veikiančią sistemą, kurioje būtų sąveika visais reikalingais lygiais. Tačiau neturime pamiršti, kad pagrindinis skirtumas tarp ISMS ir QMS yra tas, kad pirmoji sistema yra orientuota į informacijos saugumą.

Informacijos saugumo svarba šiuolaikiniame pasaulyje

Šiandieninis verslas negali egzistuoti be informacinių technologijų. Yra žinoma, kad apie 70% viso pasaulio nacionalinio produkto vienaip ar kitaip priklauso nuo informacijos, saugomos informacinėse sistemose. Plačiai paplitus kompiuteriams, atsirado ne tik gerai žinomų patogumų, bet ir problemų, iš kurių rimčiausia yra informacijos saugumo problema.

Verslo lyderiai turi suprasti informacijos saugumo svarbą, išmokti prognozuoti ir valdyti tendencijas šioje srityje. Tai jiems gali padėti įdiegti ISMS, kuri savo struktūra turi plėtros potencialą, valdymo skaidrumą ir lankstumą bet kokiems pokyčiams. Kartu su kompiuterių ir kompiuterių tinklų valdikliais ISO 27001 standartas daug dėmesio skiria saugumo politikos kūrimui, darbui su personalu (samdymas, mokymas, atleidimas iš darbo), užtikrinančiam tęstinumą gamybos procesas, norminiai reikalavimai, o kai kurios techninės problemos išsamiai aprašytos kituose serijos standartuose

ISO 27000. ISIB įvedimas į įmonę turi daug privalumų, kai kurie iš jų parodyti fig. 5.

Glbkshl skalė pODr> h; b1 [h-oji

Atmesti juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

„Ji | m | ill p. Ki u:

azhshchtnya # tsn ^ st

Ryžiai. 5. Informacijos saugumo valdymo sistemos diegimo nauda

Reikėtų pabrėžti ISO privalumus

Saugos kompetencijos demonstravimas. ISO 27001 yra praktinis organizacijos vadovas, padedantis suformuluoti saugumo reikalavimus, kad būtų pasiektas reikiamas saugumo lygis ir pasiekti konkretūs saugumo tikslai. Ypač svarbu, kad organizacijos būtų kompetentingos keturiose saugumo valdymo srityse, įskaitant: įmonės turto nustatymą ir įvertinimą, rizikos įvertinimą ir rizikos priėmimo kriterijų nustatymą, šių elementų valdymą ir priėmimą bei nuolatinį tobulėjimą. bendroji programa organizacijos saugumą.

Klientų pasitikėjimo užtikrinimas. ISO 27001 pateikia nepriklausomus programų įrodymus įmonių valdymas paremta geriausia, geriausia tarptautine praktika. ISO 27001 sertifikatas suteikia ramybę korporacijoms, siekiančioms parodyti sąžiningumą klientams, akcininkams ir potencialiems partneriams, o svarbiausia - parodyti, kad bendrovė sėkmingai įdiegė patikimą informacijos saugumo valdymo sistemą. Daugeliui griežtai reguliuojamų pramonės šakų, tokių kaip finansai ar interneto paslaugos, tiekėjų pasirinkimas gali

apsiriboti tomis organizacijomis, kurios jau yra sertifikuotos pagal ISO 27001.

Efektyvesnis išteklių naudojimas. Naudojant procesinį metodą, galima optimizuoti įmonėje vykstančius procesus. Tai reiškia, kad sumažėja išteklių naudojimas, pavyzdžiui, laikas.

Nuolatinis tobulinimas. ISMS naudoja PCDA modelį, kuris leidžia reguliariai tikrinti visos sistemos būseną, analizuoti ir tobulinti valdymo sistemą

1. Įvaizdis, prekės ženklas. Sertifikavimas, atitinkantis ISO 27001, atveria įmonei plačias galimybes: prieigą prie tarptautinio lygio, naujas partnerystes, daugiau klientų, naujų sutarčių, sėkmingų konkursų. ISMS buvimas įmonėje yra aukšto išsivystymo rodiklis.

2. ISMS lankstumas. Nepaisant procesų, naujų technologijų pokyčių, ISMS struktūros pagrindas išlieka veiksmingas. ISMS gana lengvai prisitaiko prie naujovių, modernizuodama esamas ir įdiegdama naujas atsakomąsias priemones.

3. Standarto įgyvendinimo mastelis. Kadangi ISO 27001 reikalauja taikyti apimtį, galima sertifikuoti tik dalį procesų. Galite pradėti diegti ISMS svarbiausiame bendrovės OA ir tik vėliau išplėsti.

4. Auditas. Daugelis Rusijos kompanijos audito darbą suvokti kaip nelaimę. ISO 27001 parodo tarptautinį požiūrį į auditą: visų pirma, įmonės suinteresuotumą faktiškai atitikti standartus ir kažkaip neatlikti sertifikavimo, tik parodyti.

5. Reguliarus vidaus ar išorės auditas leidžia ištaisyti pažeidimus, patobulinti ISMS ir žymiai sumažinti riziką. Visų pirma, įmonei to reikia dėl savo ramybės, kad viskas būtų tvarkoje ir nuostolių rizika būtų sumažinta iki minimumo. Ir jau antraeilis - atitikties sertifikatas, patvirtinantis partneriams ar klientams, kad šia įmone galima pasitikėti.

6. Valdymo skaidrumas. Naudojant ISO 27001 standartą pateikiamos gana aiškios valdymo kūrimo instrukcijos ir

taip pat reikalavimai dokumentams, kurie turi būti įmonėje. Daugelio įmonių problema yra ta, kad esami tam tikrų padalinių dokumentai yra tiesiog neįskaitomi, nes dėl dokumentacijos sistemos sudėtingumo dažnai neįmanoma išsiaiškinti, kas kam skirta. Dokumentų lygių hierarchija - nuo informacijos saugumo politikos iki konkrečių procedūrų aprašymo - žymiai palengvina esamų taisyklių, reglamentų ir kitų dalykų naudojimą. Be to, SM ir B įvedimas apima darbuotojų mokymą: seminarų, laiškų siuntimą, įspėjamųjų plakatų kabinimą, o tai žymiai padidina paprastų darbuotojų informuotumą apie informacijos saugumą.

Apibendrinant reikia pažymėti, kad į šiuolaikinis verslas pagrindinės kokybės valdymo sistemos, sukurtos pagal ISO 9001 standarto reikalavimus, neatimamumas ir įgyjama informacijos saugumo valdymo sistemos pozicija yra akivaizdi.

Šiandien rinkos lyderis bus įmonės, kurios stebi ne tik produktų ir paslaugų kokybės rodiklius, bet ir konfidencialumo, vientisumo ir informacijos apie juos lygį. Prognozavimas ir rizikos vertinimas taip pat yra svarbus sėkmės veiksnys, kuriam reikalingas kompetentingas požiūris ir geriausia tarptautinė praktika. Bendras kokybės valdymo ir informacijos saugumo sistemų diegimas ir sertifikavimas padės išspręsti daugybę problemų bet kuriai pramonei ar prekybai, o tai savo ruožtu lems kokybišką teikiamų paslaugų lygio padidėjimą.

Literatūra

1. Dorofejevas A. V., Šahalovas I. Yu. Informacijos saugumo valdymo pagrindai moderni organizacija// Teisinė informatika. 2013. Nr. 3. S. 4-14.

2. Chashkin VN Informacijos saugumo valdymas kaip organizacijos informacijos ir technologinės veiklos valdymo sistemos elementas // Informacinių technologijų saugumas. 2009. Nr. 1. S. 123-124.

3. Gorjačiovas VV Naujas GOST, skirtas KVS. Pagrindiniai skirtumai nuo GOST RV 15.002-2003 //

Kokybės valdymo metodai. 2013. Nr. 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Metodas kuriant informacinio saugumo valdymo sistemų modelį // Kubano valstybinio agrarinio universiteto politematinio tinklo elektroninis mokslinis žurnalas. 2009. Nr. 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Informacijos saugumo valdymo sistemos modelis įmonėje (organizacijoje) // Intelektas. Inovacijos. Investicijos. 2013. Nr. 1. S. 111-114.

6. Solovjevas AM Normatyvinė ir metodinė bazė informacijos saugumo srityje // Ekonomika, statistika ir informatika. UMO biuletenis. 2012. Nr. 1. S. 174-181.

7. Kozin IF, Livshits II Informacijos saugumas. Tarptautinių standartų integravimas į Rusijos informacijos saugumo sistemą // Informatizacija ir komunikacija. 2010. Nr. 1. S. 50-55.

8. Kolodin VS Integruotų valdymo sistemų sertifikavimas // Irkutsko valstybinio technikos universiteto biuletenis. 2010. T. 41. Nr. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu A. Integruotos valdymo sistemos: prielaidos kurti Rusijos įmonėse // Jaunasis mokslininkas.

2013. Nr. 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Informacijos ir telekomunikacijų sistemų informacijos saugumo valdymas pagal modelį „P1ap-Do-Check-Act“ // Donecko nacionalinio technikos universiteto mokslas1. „Ser1ya“: „Kompiuteriškai techninis ir automatizuotas“. 2013. Nr. 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Informacijos saugumo valdymas: pagrindinės sąvokos // Kibernetinio saugumo problemos.

2014. Nr. 1 (2). S. 67-73.

12. Shper VL Apie standartą 18O / 1EC 27001 // Kokybės valdymo metodai. 2008. Nr. 3. S. 60-61.

13. Markovas A.S., Tsirlovas V.L. Rizikos valdymas - norminis informacijos saugumo vakuumas // Atviros sistemos... DBVS. 2007. Nr. 8. S. 63-67.

14. Matvejevas V. A., Tsirlovas V. L. Rusijos Federacijos informacijos saugumo pramonės būklė ir plėtros perspektyvos

2014 m. // Kibernetinio saugumo problemos. 2013. Nr. 1 (1). S. 61-64.

15. Būgnai A. V. Seifo kūrimo proceso standartizavimas programinės įrangos įrankiai// Kibernetinio saugumo problemos. 2013. Nr. 1 (1). S. 37-41.

16. Markovas A. S., Tsirlovas V. L. Kibernetinio saugumo gairės kontekste

ISO 27032 // Kibernetinio saugumo problemos. 2014. Nr. 1 (2). S. 28-35. 17. Khramtsovskaya N. Ką vadovas turi žinoti apie informacijos saugumą // Kadrovikas. 2009. Nr. 4. S. 061-072.

Tikrai gėda. Informavome apie netrukus išleistą ISO 45001 standartą, kuris turėtų pakeisti dabartinį OHSAS 18001 darbuotojų sveikatos ir saugos valdymo standartą, pasakėme, kad turėtume jo laukti 2016 m. Pabaigoje ... Artėja vidurnaktis, bet Hermanas vis dar dingo. Laikas pripažinti - ISO 45001 yra sulaikytas. Tiesa, dėl rimtų priežasčių. Ekspertų bendruomenė jam per daug klausimų. […]