Ce este un sistem modern de management al securității informațiilor. Standarde moderne în domeniul securității informațiilor folosind conceptul de gestionare a riscurilor Sistem de management al securității informațiilor

Shahalov Igor Yurievich

Cu privire la integrarea sistemelor de management al calității și a securității informațiilor

Rezumat: Sunt avute în vedere standardele internaționale ISO 27001 și ISO 9001. Analiza asemănărilor și diferențelor dintre sistemul de management al calității și sistemul de management al securității informațiilor este efectuată. Este arătată posibilitatea integrării sistemului de management al calității și a sistemului de management al securității informațiilor. Sunt date etapele principale ale construcției și implementării unui sistem integrat de management al securității informațiilor. Sunt prezentate avantajele abordării integrate.

Cuvinte cheie: sisteme de management al securității informațiilor, sisteme integrate de management, ISMS, QMS, ISO 27001.

Natalia Olegovna

Introducere

V lumea modernă odată cu apariția comunului și convenabilului dispozitive tehnice problema protecției informațiilor a apărut destul de brusc. Odată cu lansarea de produse de calitate sau furnizarea de servicii către întreprinderi și organizații, este important să păstrăm secretele informațiilor necesare față de concurenți pentru a rămâne într-o poziție favorabilă pe piață. În lupta competitivă, sunt răspândite diverse acțiuni care vizează obținerea (obținerea, obținerea) informațiilor confidențiale. căi diferite, până la spionajul industrial direct folosind mijloace tehnice moderne de inteligență.

Astfel, organizațiile care aderă la cele mai bune practici din lume, care conțin cerințe, linii directoare pentru implementarea sistemelor de gestionare a proceselor de afaceri, devin lideri pe piață. Cele mai bune standarde pentru proiectarea, implementarea, monitorizarea și îmbunătățirea acestor sisteme sunt documentele Organizației Internaționale pentru Standardizare (ISO). O atenție deosebită ar trebui acordată standardelor din seria ISO 900x și ISO 2700x, care colectează cele mai bune practici pentru implementarea unui sistem de management al calității (QMS) și a unui sistem de management al securității informațiilor (ISMS).

Sistemul de management al calității, implementat în conformitate cu cerințele standardului ISO 9001, a fost recunoscut de mult timp ca un atribut integral al unei companii de succes care produce produse de înaltă calitate sau oferă servicii de înaltă clasă. Astăzi, disponibilitatea unui certificat de conformitate este atât o soluție eficientă de comercializare, cât și un mecanism de control al proceselor de producție. Auditul QMS este un domeniu de afaceri bine dezvoltat.

Dependența activităților de succes ale companiei de sistemul corporativ protecția informațiilor. Acest lucru se datorează creșterii volumului de date vitale procesate în sistemul informațional corporativ. Sistemele informaționale devin din ce în ce mai complexe, iar numărul vulnerabilităților găsite în ele este, de asemenea, în creștere. Auditul ISMS permite evaluarea stării actuale de securitate a companiei Sistem informatic,

evaluează și prezice riscurile, gestionează impactul acestora asupra proceselor de afaceri ale companiei.

Deoarece standardul ISO 9001 a preluat mult timp poziția de lider în numărul de certificate din lume, iar standardul ISO 27001 arată o tendință spre creșterea certificării sistemului de management al securității informațiilor, este recomandabil să se ia în considerare posibila interacțiune și integrarea QMS și ISMS.

Integrarea standardelor

La prima vedere, managementul calității și securitatea informațiilor sunt domenii complet diferite. Cu toate acestea, în practică, acestea sunt strâns legate și formează un întreg (Figura 1). Satisfacția clienților, care este un obiectiv obiectiv al calității, în fiecare an depinde din ce în ce mai mult de disponibilitatea tehnologiei informației și de securitatea datelor, pentru a căror întreținere este utilizat standardul ISO 27001. Pe de altă parte, standardul ISO 9001 se potrivește exact obiectivele corporative ale organizației, contribuind la asigurarea securității. Datorită unei abordări integrate, ISO 27001 poate fi integrat în mod eficient în QMS existent sau implementat împreună cu QMS.

(ISO 27001) și managementul serviciilor IT (ISO 20000) au o structură și o abordare de proces similare. Acest lucru creează o sinergie care dă roade: în practică, un sistem de management integrat pentru operațiuni în desfășurare economisește 20-30 la sută din costul total al optimizării sistemului, verificărilor și reviziilor.

Securitatea informațiilor și standardele de management al calității vizează îmbunătățirea continuă în conformitate cu modelul Plan-Do-Check-Act (PDCA) cunoscut sub numele de Ciclul Deming (vezi Figura 2). În plus, au o structură similară, așa cum se arată în tabelul de corespondență din anexa C la ISO 27001. Ambele standarde definesc abordarea procesului, sfera de aplicare, cerințele de sistem și documentare și responsabilitatea administrativă. În ambele cazuri, structura se încheie cu un audit intern, revizuirea managementului și îmbunătățirea sistemului. În acest sens, ambele sisteme interacționează. De exemplu, ISO 9001 necesită gestionarea produselor neconforme. De asemenea, standardul ISO 27001 are o cerință de gestionare a incidentelor pentru rezolvarea eșecurilor.

Orez. 1. Sferele de interacțiune și similaritatea QMS și ISMS

Orez. 2. Ciclul Deming

Peste 27.200 de organizații din diverse industrii din peste 100 de țări ale lumii sunt certificate pentru conformitatea cu ISO 9001: 2008 pentru managementul calității. În funcție de piață și de cerințele legale, multe organizații sunt din ce în ce mai forțate să se ocupe de securitatea informațiilor. În acest sens, integrarea sistemului de control oferă posibilități reale. O abordare complexă interesant și pentru companiile care nu au folosit niciun proces de management până acum. Standarde ISO pentru calitate (ISO 9001), protecția mediului (ISO 14000), securitatea informațiilor

Diferențele dintre standarde sunt utile pentru a se completa reciproc, ceea ce contribuie decisiv la creșterea succesului în afaceri. De exemplu, ISO 9001 necesită definirea obiectivelor corporative, orientarea către client și măsurabilitatea, în ce măsură sunt îndeplinite obiectivele și obiectivele. Acestea sunt trei aspecte care nu se află în centrul intereselor ISO 27001. La rândul său, acest standard acordă prioritate gestionării riscurilor pentru a menține continuitatea activității și oferă asistență detaliată în implementarea unui ISMS. Comparativ

cu aceasta, ISO 9001 este mai mult un standard teoretic.

ISO 27001 - un standard nu numai pentru IT

Mulți oameni cred că standardul ISO 27001 este doar pentru procesele IT, dar în realitate nu este cazul. Punctul fundamental pentru implementarea standardului ISO 27001 SM & B este definirea activelor.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Orez. 3. Tipuri de active

Un activ este înțeles ca tot ceea ce are valoare pentru companie (Figura 3). Adică, un activ poate fi: resurse umane, infrastructură, instrumente, echipamente, comunicații, servicii și orice alte active, inclusiv servicii pentru furnizarea produselor achiziționate. Pe baza proceselor, compania determină ce active are și ce active sunt implicate în procesele critice și evaluează valoarea activelor. Și numai după aceea se face evaluarea riscului pentru toate activele valoroase. Astfel, ISMS este destinat nu numai informațiilor digitale care sunt procesate în sistem automatizat... De exemplu, unele dintre cele mai critice procese implică

Pregătirea

planuri de evenimente

2 Bifați H: i match

cu stocarea de copii pe hârtie a informațiilor, care este, de asemenea, acoperită de ISO 27001. Un ISMS acoperă toate modurile în care informațiile importante pot fi stocate în compania dvs., de la modul în care e-mailuri protejat, care se termină cu locul în care sunt stocate fișierele personale ale angajaților în clădire.

Prin urmare, este o mare concepție greșită că, deoarece standardul vizează construirea unui sistem de gestionare a securității informațiilor, atunci acest lucru se poate aplica numai datelor stocate într-un computer. Chiar și în era noastră digitală, o mulțime de informații sunt încă reflectate pe hârtie, care trebuie, de asemenea, protejate în mod fiabil.

ISO 9001 nu poate satisface nevoile companiei în materie de securitate a informațiilor, deoarece se concentrează strict pe calitatea produselor. Prin urmare, este foarte important să implementați ISO 27001 în companie. La prima vedere, un specialist poate părea că ambele standarde sunt foarte generale și nu au specificitate. Totuși, acest lucru nu este cazul: standardul ISO 27001 descrie aproape fiecare etapă de implementare și control al funcționării unui ISMS (Figura 4).

Principalele etape ale construirii unui sistem de management al securității informațiilor

Principalele etape ale construirii unui ISMS sunt ilustrate în Figura 4. Să le luăm în considerare mai detaliat.

Etapa 1. Pregătirea planurilor de acțiune. În această etapă, specialiștii colectează documente organizaționale și administrative (ORD) și alte materiale de lucru,

3 A tip II normal ORD

4 Analiza ii evaluări de risc 11B

Implementare

5 RyazraOoghya și<>Complex RaeryaOopv & 00 \ * ieiitii:

planuri de radiații ■ -> standarde -> evenimente -> CfftpJOTHW *

activități luni> PB ORD Poenpzhenie

Formarea a 10 evaluări AiUtuin a rezultatelor INRsnEsS "IMB

Orez. 4. Etapele construirii unui ISMS

referitoare la construcția și funcționarea sistemelor informatice ale companiei, planificate să utilizeze mecanisme și mijloace de asigurare a securității informațiilor. În plus, planurile de acțiune pentru etapele de lucru sunt întocmite, convenite și aprobate de conducerea companiei.

Etapa 2. Verificarea conformității cu ISO / IEC 27001: 2005. Intervievarea și interogarea managerilor și angajaților departamentelor. Analiza ISMS a companiei pentru conformitatea cu cerințele ISO / IEC 27001: 2005.

Etapa 3. Analiza documentelor de reglementare și organizatorice și administrative pe baza structura organizationala companii. Pe baza rezultatelor sale, domeniul de aplicare protejat (OA) este determinat și este elaborată o schiță a politicii de securitate a informațiilor companiei.

Etapa 4. Analiza și evaluarea riscurilor de securitate a informațiilor. Dezvoltarea unei metodologii pentru gestionarea și analizarea riscurilor companiei. Analiza resurselor informaționale ale companiei, în principal LAN, pentru a identifica amenințările și vulnerabilitățile activelor ML protejate. Inventarul activelor. Desfășurarea de consultări pentru specialiștii companiei și evaluarea conformității nivelului de securitate real și necesar. Calculul riscurilor, determinarea nivelului actual și acceptabil de risc pentru fiecare activ specific. Clasarea riscurilor, selectarea complexelor de măsuri pentru reducerea acestora și calcularea eficienței teoretice a implementării.

Etapa 5. Elaborarea și implementarea planurilor de acțiune SI. Elaborarea unei declarații privind aplicabilitatea controalelor în conformitate cu ISO / IEC 27001: 2005. Elaborarea unui plan de contabilitate și eliminare a riscurilor. Pregătirea rapoartelor pentru șeful companiei.

Etapa 6. Dezvoltarea reglementărilor și OSA. Elaborarea și aprobarea politicii finale a OI și a dispozițiilor conexe (politici private). Elaborarea de standarde, proceduri și instrucțiuni pentru a asigura funcționarea și funcționarea normală a ISMS-ului companiei.

Etapa 7. Implementarea măsurilor cuprinzătoare pentru reducerea riscurilor SI și evaluarea eficacității acestora în conformitate cu planul de procesare și eliminare a riscurilor aprobat de conducere.

Etapa 8. Pregătirea personalului. Elaborarea planurilor de acțiune și implementarea programelor de formare și îmbunătățire a competenței angajaților companiei pentru a transmite în mod eficient principiile de securitate a informațiilor către toți angajații și

în primul rând cei care lucrează în unități structurale furnizarea de procese cheie de afaceri.

Etapa 9. Formarea raportării. Sistematizarea rezultatelor sondajului și pregătirea rapoartelor. Prezentarea rezultatelor muncii pentru șefii companiei. Pregătirea documentelor pentru autorizarea conformității cu ISO / IEC 27001: 2005 și transferul acestora către organizația de certificare.

Etapa 10. Analiza și evaluarea rezultatelor implementării ISMS pe baza metodologiei care evaluează fiabilitatea funcționării ISMS a companiei. Elaborarea de recomandări pentru îmbunătățirea sistemului de management al securității informațiilor companiei.

Analizând fiecare etapă a implementării ISMS, putem spune că ISO 27001 are o structură clară și cerințe care vă vor permite să construiți un sistem de lucru în care să existe interacțiune la toate nivelurile necesare. Dar nu trebuie să uităm că principala diferență dintre ISMS și QMS este că primul sistem este axat pe securitatea informațiilor.

Importanța securității informațiilor în lumea modernă

Afacerile de astăzi nu pot exista fără tehnologia informației. Se știe că aproximativ 70% din produsul național total din lume depinde într-un fel sau altul de informațiile stocate în sistemele de informații. Introducerea pe scară largă a computerelor a creat nu numai facilități bine cunoscute, ci și probleme, dintre care cea mai gravă este problema securității informațiilor.

Liderii de afaceri trebuie să înțeleagă importanța securității informațiilor, să învețe să prezică și să gestioneze tendințele din acest domeniu. În acest sens, acestea pot fi ajutate de introducerea unui ISMS, care în structura sa are potențialul de dezvoltare, transparența managementului, flexibilitatea față de orice schimbări. Alături de controalele pentru calculatoare și rețele de calculatoare, standardul ISO 27001 acordă o atenție deosebită dezvoltării politicii de securitate, lucrează cu personalul (angajare, instruire, concediere de la locul de muncă), asigurând continuitatea proces de producție, cerințe de reglementare, în timp ce unele probleme tehnice sunt detaliate în alte standarde ale seriei

ISO 27000. Există multe avantaje ale introducerii ISIB în companie, unele dintre ele sunt prezentate în Fig. 5.

Scala Glbkshl pODr> h; b1 [h-th

Decline ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | ill p. Ki u:

azhshchtnya # tsn ^ st

Orez. 5. Avantajele implementării unui sistem de management al securității informațiilor

Ar trebui subliniate avantajele ISO

Demonstrarea competenței de siguranță. ISO 27001 este un ghid practic pentru o organizație pentru a ajuta la formularea cerințelor de securitate pentru a atinge nivelul de securitate cerut și pentru a îndeplini obiectivele specifice de securitate. Este deosebit de important ca organizațiile să fie competente în patru domenii ale managementului siguranței, inclusiv: identificarea și evaluarea activelor companiei, evaluarea riscurilor și definirea criteriilor de acceptare a riscurilor, gestionarea și adoptarea acestor elemente și îmbunătățirea continuă. program general securitatea organizației.

Asigurarea încrederii clienților. ISO 27001 oferă dovezi independente că programele de guvernanță corporativă sunt susținute de cele mai bune practici internaționale. Certificarea ISO 27001 oferă liniște sufletească corporațiilor care doresc să demonstreze integritatea clienților, acționarilor și potențialilor parteneri și, cel mai important, să arate că compania a implementat cu succes un sistem robust de gestionare a securității informațiilor. Pentru multe industrii puternic reglementate, cum ar fi finanțele sau serviciile de internet, selecția furnizorilor poate

să se limiteze la acele organizații care sunt deja certificate ISO 27001.

Utilizarea mai eficientă a resurselor. Datorită utilizării abordării procesului, este posibilă optimizarea proceselor care au loc în companie. Ceea ce implică o scădere a utilizării resurselor, de exemplu, timpul.

Imbunatatire continua. ISMS utilizează modelul PCDA, care vă permite să verificați în mod regulat starea întregului sistem, să analizați și să îmbunătățiți sistemul de management

1. Imagine, marcă. Certificarea pentru conformitatea cu ISO 27001 deschide oportunități largi pentru companie: acces la nivel internațional, noi parteneriate, mai mulți clienți, noi contracte, succes în licitații. Prezența unui ISMS într-o companie este un indicator al unui nivel ridicat de dezvoltare.

2. Flexibilitatea ISMS. Indiferent de modificările proceselor, noile tehnologii, baza structurii ISMS rămâne eficientă. ISMS se adaptează destul de ușor la inovații, modernizând cele existente și introducând noi contramăsuri.

3. Scalabilitatea implementării standardului. Întrucât ISO 27001 implică extindere, numai un subset de procese poate fi certificat. Puteți începe să implementați ISMS în cel mai semnificativ OA pentru companie și să îl extindeți mai târziu.

4. Audit. Mulți Companii rusești percepe munca de audit ca un dezastru. ISO 27001 arată o abordare internațională a auditului: în primul rând, interesul companiei de a îndeplini de fapt standardele și de a nu face certificarea cumva, doar pentru spectacol.

5. Auditele interne sau externe periodice permit corectarea încălcărilor, îmbunătățirea ISMS și reducerea semnificativă a riscurilor. În primul rând, compania are nevoie de ea pentru propria liniște sufletească, că totul este în regulă și riscurile de pierderi sunt reduse la minimum. Și deja secundar - un certificat de conformitate, care confirmă pentru parteneri sau clienți că această companie poate avea încredere.

6. Transparența managementului. Utilizarea standardului ISO 27001 oferă instrucțiuni destul de clare pentru crearea managementului și

de asemenea, cerințele pentru documentația care trebuie să fie în companie. Problema pentru multe companii este că documentele existente pentru anumite departamente pur și simplu nu pot fi citite, deoarece este adesea imposibil să ne dăm seama ce este destinat cui din cauza complexității sistemului de documentare. Ierarhia nivelurilor de documentare, de la politica de securitate a informațiilor până la descrierea unor proceduri specifice, face utilizarea regulilor, reglementărilor și altor lucruri existente mult mai ușoară. De asemenea, introducerea SM & B implică instruirea personalului: organizarea de seminarii, expediere, afișe de avertizare, ceea ce crește semnificativ gradul de conștientizare a securității informațiilor în rândul angajaților obișnuiți.

În concluzie, trebuie remarcat faptul că în afaceri moderne inalienabilitatea sistemului de bază al managementului calității, construit în conformitate cu cerințele standardului ISO 9001 și poziția câștigătoare a sistemului de management al securității informațiilor este evidentă.

Astăzi, liderul pieței va fi companiile care monitorizează nu numai indicatorii de calitate a produselor și serviciilor, ci și nivelurile de confidențialitate, integritate și disponibilitate a informațiilor despre acestea. Prognoza și evaluarea riscurilor sunt, de asemenea, un factor important de succes, care necesită o abordare competentă și utilizarea celor mai bune practici internaționale. Implementarea și certificarea în comun a sistemelor de management al calității și de securitate a informațiilor vor ajuta la rezolvarea unei game largi de probleme pentru orice industrie sau comerț, ceea ce la rândul său va duce la o creștere calitativă a nivelului serviciilor furnizate.

Literatură

1. Dorofeev A. V., Shahalov I. Yu. Fundamentele managementului securității informațiilor organizare modernă// Informatică juridică. 2013. Nr. 3. S. 4-14.

2. Chashkin VN Managementul securității informațiilor ca element al sistemului de management al activității informaționale și tehnologice al organizației // Securitatea tehnologiilor informaționale. 2009. Nr. 1. S. 123-124.

3. Goryachev VV Nou GOST pentru QMS. Principalele diferențe față de GOST RV 15.002-2003 //

Metode de management al calității. 2013. Nr. 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Abordare pentru construirea unui model de sisteme de management al securității informațiilor // Revistă științifică electronică de rețea politematică a Universității Agrare de Stat Kuban. 2009. Nr. 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modelul sistemului de management al securității informațiilor la întreprindere (în organizație) // Intellect. Inovaţie. Investiții. 2013. Nr. 1. S. 111-114.

6. Soloviev A. M. Baza normativă și metodologică în domeniul securității informației // Economie, statistică și informatică. Buletinul UMO. 2012. Nr. 1. S. 174-181.

7. Kozin IF, Livshits II Securitatea informațiilor. Integrarea standardelor internaționale în sistemul de securitate a informațiilor din Rusia // Informatizare și comunicare. 2010. Nr. 1. S. 50-55.

8. Certificarea Kolodin VS a sistemelor integrate de management // Buletinul Universității Tehnice de Stat din Irkutsk. 2010. T. 41. Nr. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Sisteme integrate de management: premise pentru crearea la întreprinderile rusești // Tânăr om de știință.

2013. Nr. 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Gestionarea securității informațiilor a sistemelor informaționale și de telecomunicații bazate pe modelul „P1an-Do-Check-Act” // Sling Naukov1 de la Universitatea Națională Tehnică din Donețk. Ser1ya: „Computational techshka that automatism”. 2013. Nr. 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Managementul securității informațiilor: concepte de bază // Probleme de securitate cibernetică.

2014. Nr. 1 (2). S. 67-73.

12. Shper VL Despre standardul 18O / 1EC 27001 // Metode de management al calității. 2008. Nr. 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Gestionarea riscurilor - vid normativ al securității informațiilor // Sisteme deschise... SGBD. 2007. Nr. 8. S. 63-67.

14. Matveev V.A., Tsirlov V.L.

în 2014 // Probleme de securitate cibernetică. 2013. Nr. 1 (1). S. 61-64.

15. Tobe A. V. Standardizarea procesului de dezvoltare sigură instrumente software// Probleme de securitate cibernetică. 2013. Nr. 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Liniile directoare pentru securitatea cibernetică în context

ISO 27032 // Probleme de securitate cibernetică. 2014. Nr. 1 (2). S. 28-35. 17. Khramtsovskaya N. Ce trebuie să știe un manager despre securitatea informațiilor // Kadrovik. 2009. Nr. 4. S. 061-072.

În lumea tehnologiei informației, problema asigurării integrității, fiabilității și confidențialității informațiilor devine o prioritate. Prin urmare, recunoașterea necesității unei organizații de a avea un sistem de management al securității informațiilor (ISMS) este o decizie strategică.

A fost conceput pentru a crea, implementa, întreține și îmbunătăți continuu un ISMS într-o întreprindere și, prin aplicarea acestui standard partenerilor externi, devine evident că organizația este capabilă să își îndeplinească propriile cerințe de securitate a informațiilor. Acest articol va discuta cerințele de bază ale standardului și va discuta structura acestuia.

(ADV31)

Principalele obiective ale standardului ISO 27001

Înainte de a trece la descrierea structurii standardului, să stabilim sarcinile sale principale și să luăm în considerare istoria apariției standardului în Rusia.

Obiectivele standardului:

  • stabilire cerințe uniforme pentru toate organizațiile să creeze, să implementeze și să îmbunătățească ISMS;
  • asigurarea interacțiunii dintre conducerea superioară și angajați;
  • păstrarea confidențialității, integrității și disponibilității informațiilor.

În același timp, cerințele stabilite de standard sunt generale și sunt destinate aplicării de către orice organizație, indiferent de tipul, dimensiunea sau natura acestora.

Istoria standardului:

  • În 1995, British Standards Institute (BSI) a adoptat Codul de gestionare a securității informațiilor ca standard național al Regatului Unit și l-a înregistrat sub BS 7799 - Partea 1.
  • În 1998, BSI publică BS7799-2 în două părți, una conținând un cod de practică și cealaltă cerințe pentru sistemele de management al securității informațiilor.
  • În cursul revizuirilor ulterioare, prima parte a fost publicată ca BS 7799: 1999, partea 1. În 1999, această versiune a standardului a fost trimisă Organizației Internaționale pentru Certificare.
  • Acest document a fost aprobat în 2000 ca standard internațional ISO / IEC 17799: 2000 (BS 7799-1: 2000). Cea mai recentă versiune a acestui standard, adoptată în 2005, este ISO / IEC 17799: 2005.
  • În septembrie 2002, a intrat în vigoare a doua parte a BS 7799 „Specificația sistemului de management al securității informațiilor”. A doua parte a BS 7799 a fost revizuită în 2002, iar la sfârșitul anului 2005 a fost adoptată de ISO ca standard internațional ISO / IEC 27001: 2005 " Tehnologia de informație- Metode de securitate - Sisteme de management al securității informațiilor - Cerințe.
  • În 2005, standardul ISO / IEC 17799 a fost inclus în linia de standarde din seria 27 și primit numar nou- ISO / IEC 27002: 2005.
  • La 25 septembrie 2013, a fost publicat ISO / IEC 27001: 2013 „Sisteme de management al securității informațiilor” actualizat. Cerințe ". În prezent, organizațiile sunt certificate conform acestei versiuni a standardului.

Structura standardului

Unul dintre avantajele acestui standard este similaritatea structurii sale cu ISO 9001, deoarece conține titluri identice ale subsecțiunilor, text identic, termeni comuni și definiții de bază. Această circumstanță economisește timp și bani, deoarece o parte a documentației a fost deja dezvoltată în timpul certificării ISO 9001.

Dacă vorbim despre structura standardului, este o listă de cerințe ISMS care sunt obligatorii pentru certificare și constă din următoarele secțiuni:

Secțiuni principaleAnexa A
0. Introducere A.5 Politici de securitate a informațiilor
1 domeniu de utilizare A.6 Organizația de securitate a informațiilor
2. Referințe normative A.7 Securitatea resurselor umane (personal)
3. Termeni și definiții A.8 Gestionarea activelor
4. Contextul organizației A.9 Controlul accesului
5. Conducerea A.10 Criptografie
6. Planificare A.11 Siguranță fizică și de mediu
7. Suport A.12 Securitatea operațiunilor
8. Operațiuni (Operation) A.13 Securitatea comunicării
9. Evaluarea (măsurarea) performanței A.14 Achiziționarea, dezvoltarea și întreținerea sistemelor informatice
10. Îmbunătățirea (Îmbunătățirea) A.15 Relațiile cu furnizorii
A.16 Gestionarea incidentelor
A.17 Continuitatea activității
A.18 Conformitatea legală

Cerințele din „Anexa A” sunt obligatorii, dar standardul vă permite să excludeți zone care nu pot fi aplicate în întreprindere.

La implementarea standardului la o întreprindere pentru certificare ulterioară, merită să ne amintim că nu sunt permise excepții de la cerințele stabilite în secțiunile 4 - 10. Aceste secțiuni vor fi discutate în continuare.

Să începem cu Secțiunea 4 - Contextul organizației

Contextul organizației

În această secțiune, standardul solicită unei organizații să identifice problemele externe și interne care sunt relevante pentru obiectivele sale și care afectează capacitatea ISMS de a obține rezultatele scontate. Procedând astfel, ar trebui să țineți cont de obligațiile legale, de reglementare și contractuale privind securitatea informațiilor. Organizația ar trebui, de asemenea, să definească și să documenteze domeniul de aplicare și aplicabilitatea ISMS pentru a stabili domeniul său de aplicare.

Conducere

Conducerea superioară ar trebui să demonstreze conducerea și angajamentul față de sistemul de management al securității informațiilor, de exemplu, asigurându-se că politica de securitate a informațiilor și obiectivele de securitate a informațiilor sunt stabilite și aliniate cu strategia organizației. De asemenea, conducerea superioară ar trebui să se asigure că sunt furnizate toate resursele necesare pentru ISMS. Cu alte cuvinte, ar trebui să fie evident pentru angajați că managementul este implicat în probleme de securitate a informațiilor.

Politica de securitate a informațiilor trebuie documentată și comunicată angajaților. Acest document seamănă cu politica de calitate ISO 9001. Ar trebui să fie, de asemenea, adecvat scopului organizației și să includă obiective de securitate a informațiilor. Este bine dacă acestea sunt obiective reale, precum păstrarea confidențialității și integrității informațiilor.

De asemenea, se așteaptă ca conducerea să distribuie funcțiile și responsabilitățile legate de securitatea informațiilor între angajați.

Planificare

În această secțiune ajungem la prima etapă a principiului de management PDCA (Plan - Do - Check - Act) - planificați, executați, verificați, acționați.

Atunci când planifică sistemul de management al securității informațiilor, organizația ar trebui să ia în considerare problemele menționate în clauza 4 și să stabilească riscurile și potențialele oportunități care trebuie luate în considerare pentru a se asigura că ISMS poate obține rezultatele așteptate, pentru a preveni efectele nedorite, și să obțină îmbunătățiri continue.

Atunci când planifică cum să își atingă obiectivele de securitate a informațiilor, organizația ar trebui să determine:

  • ce se va face;
  • ce resurse vor fi necesare;
  • cine va fi responsabil;
  • când obiectivele sunt atinse;
  • modul în care vor fi evaluate rezultatele.

În plus, organizația păstrează datele privind obiectivele de securitate a informațiilor ca informații documentate.

Securitate

Organizația trebuie să stabilească și să furnizeze resursele necesare dezvoltării, implementării, întreținerii și îmbunătățirii continue a ISMS, care include atât personal, cât și documentație. În ceea ce privește personalul, se așteaptă ca organizația să recruteze personal calificat și competent pentru securitatea informațiilor. Calificările angajaților trebuie confirmate prin certificate, diplome etc. Este posibil să atrageți specialiști terți în cadrul contractului sau să vă instruiți angajații. În ceea ce privește documentația, aceasta ar trebui să includă:

  • informații documentate solicitate de standard;
  • informații documentate determinate de organizație ca fiind necesare pentru a asigura eficacitatea sistemului de management al securității informațiilor.

Informațiile documentate solicitate de ISMS și Standard trebuie controlate pentru a se asigura că:

  • disponibil și adecvat pentru utilizare acolo unde și când este necesar și
  • protejate în mod corespunzător (de exemplu, împotriva pierderii confidențialității, abuzului sau pierderii integrității).

Funcționarea

Această secțiune vorbește despre a doua fază a principiului guvernanței PDCA - necesitatea unei organizații de a-și gestiona procesele pentru a asigura conformitatea și de a desfășura activitățile identificate în secțiunea Planificare. De asemenea, precizează că o organizație ar trebui să efectueze evaluări ale riscului de securitate a informațiilor la intervale planificate sau când sunt propuse sau au avut loc modificări semnificative. Organizația păstrează rezultatele evaluării riscului de securitate a informațiilor ca informații documentate.

Evaluarea performanței

A treia etapă este verificarea. Organizația trebuie să evalueze funcționarea și eficacitatea ISMS. De exemplu, trebuie să efectueze un audit intern pentru a obține informații despre dacă

  1. Sistemul de management al securității informațiilor este consecvent
    • cerințele proprii ale organizației pentru sistemul său de management al securității informațiilor;
    • cerințele standardului;
  2. că sistemul de management al securității informațiilor este implementat și funcționează eficient.

Este de la sine înțeles că sfera și calendarul auditurilor ar trebui planificate în prealabil. Toate rezultatele trebuie documentate și păstrate.

Îmbunătăţire

Scopul acestei secțiuni este de a determina cursul acțiunii atunci când este detectată o neconformitate. Organizația trebuie să corecteze inconsecvențele, consecințele și să analizeze situația, astfel încât acest lucru să nu se întâmple în viitor. Toate neconformitățile și acțiunile corective trebuie documentate.

Aceasta încheie principalele secțiuni ale standardului. Anexa A prevede cerințe mai specifice care trebuie îndeplinite de o organizație. De exemplu, în ceea ce privește controlul accesului, utilizați dispozitive mobileși purtători de informații.

Beneficii de implementarea și certificarea ISO 27001

  • creșterea statutului organizației și, în consecință, a încrederii partenerilor;
  • creșterea stabilității funcționării organizației;
  • creșterea nivelului de protecție împotriva amenințărilor la adresa securității informațiilor;
  • asigurarea nivelului necesar de confidențialitate a informațiilor părților interesate;
  • extinderea capacității organizației de a participa la contracte mari.

Beneficiile economice sunt:

  • confirmarea independentă de către organismul de certificare a faptului că organizația are un nivel ridicat de securitate a informațiilor controlat de personal competent;
  • dovada conformității cu legile și reglementările aplicabile (respectarea sistemului de cerințe obligatorii);
  • demonstrarea unui anumit nivel ridicat de sisteme de management pentru a asigura nivelul adecvat de servicii pentru clienți și parteneri ai organizației;
  • Demonstrarea auditurilor periodice ale sistemelor de management, evaluarea performanței și îmbunătățirea continuă.

Certificare

O organizație poate fi certificată de agenții acreditate în conformitate cu acest standard. Procesul de certificare cuprinde trei etape:

  • Etapa 1 - studiul auditorului asupra documentelor cheie ISMS pentru respectarea cerințelor standardului - poate fi realizat atât pe teritoriul organizației, cât și prin transferul acestor documente către un auditor extern;
  • A doua etapă - audit detaliat, inclusiv testarea măsurilor implementate și evaluarea eficacității acestora. Include un studiu complet al documentelor cerute de standard;
  • Etapa a 3-a - efectuarea unui audit de inspecție pentru a confirma că organizația certificată îndeplinește cerințele declarate. Efectuat periodic.

Rezultat

După cum puteți vedea, utilizarea acestui standard la întreprindere va permite îmbunătățirea calitativă a nivelului de securitate a informațiilor, care este scump în condițiile realităților moderne. Standardul conține multe cerințe, dar cea mai importantă cerință este să faci ceea ce este scris! Fără a aplica efectiv cerințele standardului, acesta se transformă într-un set gol de bucăți de hârtie.

GOST R ISO / IEC 27001-2006 „Tehnologia informației. Metode și mijloace de asigurare a siguranței. Sisteme de management al securității informațiilor. Cerințe "

Dezvoltatorii standardului notează că a fost pregătit ca model pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, suportul și îmbunătățirea sistemului de management al securității informațiilor (ISMS). Un ISMS (sistem de gestionare a securității informațiilor; ISMS) este definit ca parte a sistemului de management general bazat pe utilizarea metodelor de evaluare a riscurilor de afaceri pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, suportul și îmbunătățirea securității informațiilor. Un sistem de management include o structură organizațională, politici, activități de planificare, responsabilități, practici, proceduri, procese și resurse.

Standardul presupune utilizarea unei abordări de proces pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, suportul și îmbunătățirea ISMS-ului organizației. Se bazează pe modelul Plan - Do - Check - Act (PDCA), care poate fi aplicat pentru a structura toate procesele ISMS. În fig. 4.4 arată cum un ISMS, utilizând cerințele de securitate a informațiilor și rezultatele așteptate ale părților interesate ca input, prin acțiunile și procesele necesare, produce rezultate de securitate a informațiilor care îndeplinesc aceste cerințe și rezultatele scontate.

Orez. 4.4.

La scenă „Dezvoltarea unui sistem de management al securității informațiilor” organizația ar trebui să facă următoarele:

  • - determinați sfera și limitele ISMS;
  • - să stabilească politica ISMS pe baza caracteristicilor afacerii, organizației, locației acesteia, activelor și tehnologiilor;
  • - stabiliți abordarea evaluării riscurilor în organizație;
  • - identificarea riscurilor;
  • - analizează și evaluează riscurile;
  • - identificarea și evaluarea diferitelor opțiuni pentru tratamentul riscului;
  • - selectați obiective și controale pentru tratamentul riscurilor;
  • - obține aprobarea conducerii pentru riscurile reziduale anticipate;
  • - Obțineți permisiunea conducerii pentru implementarea și funcționarea ISMS;
  • - pregătiți o declarație de aplicabilitate.

Etapa " Implementarea și funcționarea sistemului de management al securității informațiilor " sugerează că organizația ar trebui:

  • - elaborarea unui plan de tratare a riscurilor care să definească acțiunile de gestionare adecvate, resursele, responsabilitățile și prioritățile pentru gestionarea riscurilor de securitate a informațiilor;
  • - implementarea unui plan de tratare a riscurilor pentru a atinge obiectivele de management preconizate, inclusiv probleme de finanțare, precum și distribuirea rolurilor și responsabilităților;
  • - implementarea măsurilor de management selectate;
  • - determina modul de masurare a eficacitatii masurilor de control selectate;
  • - implementarea de programe de instruire și dezvoltare profesională pentru angajați;
  • - gestionați activitatea ISMS;
  • - gestionează resursele ISMS;
  • - implementarea procedurilor și a altor măsuri de control pentru a asigura detectarea rapidă a evenimentelor de securitate a informațiilor și răspunsul la incidentele de securitate a informațiilor.

A treia etapă " Monitorizarea și analiza sistemului de management al securității informațiilor " necesită:

  • - efectuează proceduri de monitorizare și analiză;
  • - efectuează analize periodice ale eficienței ISMS;
  • - măsoară eficiența controalelor pentru a verifica conformitatea cu cerințele SI;
  • - revizuirea evaluărilor riscurilor la intervale de timp specificate, analizarea riscurilor reziduale și stabilirea nivelurilor acceptabile de riscuri, luând în considerare modificările;
  • - efectuează audituri interne ale ISMS la intervale de timp specificate;
  • - efectuează în mod regulat o analiză a ISMS de către conducerea organizației, pentru a confirma adecvarea funcționării SS și pentru a determina direcțiile de îmbunătățire;
  • - actualizarea planurilor SI luând în considerare rezultatele analizei și monitorizării;
  • - înregistrează acțiuni și evenimente care ar putea afecta eficacitatea sau funcționarea ISMS.

În cele din urmă, scena „Suport și îmbunătățire a sistemului de management al securității informațiilor” sugerează că organizația ar trebui să desfășoare în mod regulat următoarele activități:

  • - identificarea oportunităților de îmbunătățire a ISMS;
  • - să ia măsurile corective și preventive necesare, să utilizeze în practică experiența în asigurarea securității informațiilor, obținută atât în ​​propria organizație, cât și în alte organizații;
  • - transfera informații detaliate cu privire la acțiunile de îmbunătățire a SGSI tuturor părților interesate, în timp ce gradul de detaliere al acestuia ar trebui să corespundă circumstanțelor și, dacă este necesar, să convină asupra unor acțiuni ulterioare;
  • - să asigure implementarea îmbunătățirilor aduse ISMS pentru a atinge obiectivele planificate.

Mai departe în standard, sunt prezentate cerințele pentru documentare, care ar trebui să includă prevederile politicii ISMS și o descriere a zonei de operare, o descriere a metodologiei și un raport de evaluare a riscurilor, un plan de tratare a riscurilor și documentație a procedurilor conexe. De asemenea, ar trebui definit un proces de gestionare a documentelor ISMS, inclusiv actualizarea, utilizarea, stocarea și eliminarea.

Pentru a furniza dovezi ale conformității cu cerințele și eficacitatea ISMS, este necesar să se păstreze și să se păstreze înregistrări și înregistrări ale execuției proceselor. Exemple includ jurnale de vizitatori, rapoarte de audit etc.

Standardul specifică faptul că managementul organizației este responsabil pentru furnizarea și gestionarea resurselor necesare pentru stabilirea unui ISMS, precum și pentru organizarea instruirii pentru personal.

După cum sa menționat anterior, organizația ar trebui să efectueze audituri ISMS interne în conformitate cu un program aprobat pentru a evalua funcționalitatea și conformitatea cu standardul. Și conducerea ar trebui să efectueze o analiză a sistemului de management al securității informațiilor.

De asemenea, ar trebui să se lucreze pentru a îmbunătăți sistemul de management al securității informațiilor: pentru a spori eficacitatea acestuia și nivelul de conformitate cu starea actuală a sistemului și cerințele pentru acesta.

(ISMS)- acea parte a sistemului general de management care se bazează pe o abordare a riscului de afaceri în crearea, implementarea, operarea, monitorizarea, analiza, suportul și îmbunătățirea securității informațiilor.

Dacă este construit în conformitate cu cerințele ISO / IEC_27001, se bazează pe modelul PDCA:

    Plan(Planificare) - faza de creare a unui ISMS, crearea unei liste de active, evaluarea riscurilor și selectarea măsurilor;
    Do(Acțiune) - stadiul implementării și implementării măsurilor adecvate;
    Verifica(Verificare) - Faza de evaluare a eficacității și performanței ISMS. De obicei efectuate de auditori interni.
    act(Îmbunătățiri) - implementarea acțiunilor preventive și corective;

Conceptul de securitate a informațiilor

Standardul ISO 27001 definește securitatea informațiilor ca: „menținerea confidențialității, integrității și disponibilității informațiilor; în plus, pot fi incluse și alte proprietăți, cum ar fi autenticitatea, non-repudierea, fiabilitatea. "

Confidențialitate - asigurarea disponibilității informațiilor numai pentru cei care au autoritatea corespunzătoare (utilizatori autorizați).

Integritate - asigurarea acurateței și exhaustivității informațiilor, precum și a metodelor de prelucrare a acestora.

Disponibilitate - furnizarea accesului la informații utilizatorilor autorizați, atunci când este necesar (la cerere).

4 Sistem de management al securității informațiilor

4.1 Cerințe generale

Organizația trebuie să stabilească, să implementeze, să utilizeze, să controleze, să revizuiască, să întrețină și să îmbunătățească prevederile ISMS documentate de-a lungul activităților de afaceri ale organizației și riscurile cu care se confruntă. Pentru beneficiul practic al acestui standard internațional, procesul utilizat se bazează pe modelul PDCA prezentat în Fig. 1.

4.2 Înființarea și gestionarea unui ISMS

4.2.1 Crearea unui ISMS

Organizația ar trebui să facă următoarele.

a) Luând în considerare specificul activităților organizației, organizația însăși, locația, activele și tehnologia acesteia, determină sfera și limitele ISMS, inclusiv detalii și justificări pentru excluderea oricăror dispoziții ale documentului din proiectul ISMS (a se vedea 1.2 ).

b) Luând în considerare specificul activităților organizației, organizația însăși, locația, activele și tehnologia acesteia, elaborează o politică ISMS care:

1) include un sistem de stabilire a obiectivelor (obiectivelor) și stabilește direcția generală a managementului și principiile de acțiune privind securitatea informațiilor;

2) ia în considerare cerințele comerciale și legale sau de reglementare, obligațiile contractuale de securitate;

3) este atașat mediului strategic de gestionare a riscurilor în care are loc crearea și întreținerea unui ISMS;

4) stabilește criteriile pe baza cărora va fi evaluat riscul (a se vedea 4.2.1 c)); și

5) aprobat de conducere.

NOTĂ: În sensul prezentului standard internațional, o politică ISMS este un set extins de politici de securitate a informațiilor. Aceste politici pot fi descrise într-un singur document.

c) Elaborați un cadru pentru evaluarea riscurilor în organizație.

1) Determinați o metodologie de evaluare a riscurilor care este adecvată pentru SGSI și cerințele legale și de reglementare stabilite pentru securitatea informațiilor comerciale.

2) Elaborați criterii pentru acceptarea riscului și determinați nivelurile acceptabile de risc (a se vedea 5.1f).

Metodologia selectată de evaluare a riscurilor ar trebui să se asigure că evaluarea riscurilor produce rezultate comparabile și reproductibile.

NOTĂ: Există diferite metodologii de evaluare a riscurilor. Exemple de metodologii de evaluare a riscurilor sunt luate în considerare în ISO / IEC TU 13335-3, Tehnologia informației - Recomandări de managementACEASTASecuritate - Tehnici de managementACEASTASecuritate.

d) Identificați riscurile.

1) Definiți active în domeniul de aplicare al ISMS și proprietari2 (2 Termenul „proprietar” este identificat cu o persoană sau o entitate autorizată să fie responsabilă pentru controlul producției, dezvoltării, întreținere, aplicarea și securitatea activelor. Termenul „proprietar” nu înseamnă că persoana are de fapt drepturi de proprietate asupra activului) asupra acestor active.

2) Identificați pericolele pentru aceste active.

3) Identificați vulnerabilitățile din sistemul de protecție.

4) Identificați impacturile care distrug confidențialitatea, integritatea și disponibilitatea activelor.

e) Analizați și evaluați riscurile.

1) Evaluați daunele aduse afacerii organizației care pot fi cauzate de eșecul sistemului de protecție, precum și o consecință a încălcării confidențialității, integrității sau disponibilității activelor.

2) Determinați probabilitatea unui eșec de securitate în lumina pericolelor și vulnerabilităților predominante, a impacturilor legate de active și a controalelor existente în prezent.

3) Evaluează nivelurile de risc.

4) Determinați acceptabilitatea riscului sau solicitați reducerea acestuia, utilizând criteriile de acceptabilitate a riscului stabilite la 4.2.1c) 2).

f) Identificarea și evaluarea instrumentelor de reducere a riscurilor.

Acțiunile posibile includ:

1) Aplicarea controalelor adecvate;

2) Acceptarea conștientă și obiectivă a riscurilor, asigurând respectarea necondiționată a acestora cu cerințele politicii organizației și cu criteriile de toleranță la risc (a se vedea 4.2.1c) 2));

3) Evitarea riscurilor; și

4) Transferul riscurilor comerciale relevante către o altă parte, de exemplu, companiile de asigurări, furnizorii.

g) Selectați sarcini și controale pentru a atenua riscurile.

Sarcinile și controalele ar trebui selectate și implementate în conformitate cu cerințele stabilite prin procesul de evaluare și reducere a riscurilor. Această alegere ar trebui să ia în considerare atât criteriile de toleranță la risc (a se vedea 4.2.1c) 2), cât și cerințele legale, de reglementare și contractuale.

Sarcinile și controalele din Anexa A ar trebui selectate ca parte a acestui proces pentru a îndeplini cerințele specificate.

Deoarece nu toate sarcinile și controalele sunt enumerate în Anexa A, pot fi selectate sarcini suplimentare.

NOTĂ: Anexa A conține o listă cuprinzătoare a obiectivelor de management care au fost identificate ca fiind cele mai relevante pentru organizații. Pentru a nu rata un singur punct important din opțiunile de control, utilizarea acestui standard internațional ar trebui să fie ghidată de apendicele A ca punct de plecare pentru controlul eșantionării.

h) Obține aprobarea gestionării riscurilor reziduale anticipate.

4) facilitează detectarea evenimentelor de securitate și astfel, utilizând anumiți indicatori, preveni incidentele de securitate; și

5) determinați eficacitatea acțiunilor întreprinse pentru a preveni încălcările securității.

b) Efectuați revizuiri periodice ale eficacității ISMS (inclusiv discutarea politicii ISMS și a obiectivelor sale, revizuirea controalelor de securitate), luând în considerare rezultatele auditurilor, incidentele, rezultatele măsurătorilor de performanță, sugestiile și recomandările tuturor părților interesate .

c) Evaluează eficacitatea controalelor pentru a determina dacă sunt îndeplinite cerințele de siguranță.

d) Verificați evaluarea riscului pentru perioadele planificate și verificați riscurile reziduale și toleranțele la risc, luând în considerare modificările în:

1) organizații;

2) tehnologie;

3) obiective și procese de afaceri;

4) amenințări identificate;

5) eficacitatea instrumentelor de management implementate; și

6) evenimente externe, cum ar fi modificări ale mediului legal și de management, modificări ale obligațiilor contractuale, schimbări ale climatului social.

e) Realizarea auditurilor interne ale ISMS în perioadele planificate (a se vedea 6)

NOTĂ: Auditurile interne, uneori numite audituri primare, sunt efectuate în numele organizației în sine în scopuri proprii.

f) Revizuirea periodică a gestionării ISMS pentru a se asigura că situația rămâne valabilă și că ISMS este îmbunătățit.

g) Actualizați planurile de securitate pe baza constatărilor de monitorizare și audit.

h) Înregistrați acțiunile și evenimentele care ar putea afecta eficacitatea sau performanța ISMS (a se vedea 4.3.3).

4.2.4 Menținerea și îmbunătățirea ISMS

Organizația trebuie să facă în mod continuu următoarele.

a) Implementați remedieri specifice în ISMS.

b) Luați măsurile corective și preventive corespunzătoare în conformitate cu 8.2 și 8.3. Aplicați cunoștințele acumulate de organizația însăși și din experiența altor organizații.

c) să comunice acțiunilor și îmbunătățirile lor tuturor părților interesate într-un nivel de detaliu adecvat situației; și, în consecință, își coordonează acțiunile.

d) Verificați dacă îmbunătățirile și-au atins scopul propus.

4.3 Cerințe privind documentația

4.3.1 Generalități

Documentația trebuie să includă protocoale (înregistrări) ale deciziilor de management, pentru a convinge că nevoia de acțiune se datorează deciziilor și politicilor de management; și asigură reproductibilitatea rezultatelor înregistrate.

Este important să puteți demonstra feedbackul controalelor selectate cu privire la rezultatele proceselor de evaluare și reducere a riscurilor, apoi la politica ISMS și la obiectivele sale.

Documentația ISMS ar trebui să includă:

a) o declarație documentată a politicii și obiectivelor ISMS (a se vedea 4.2.1b));

b) furnizarea ISMS (a se vedea 4.2.1a));

c) conceptul și controalele în sprijinul ISMS;

d) o descriere a metodologiei de evaluare a riscurilor (a se vedea 4.2.1c));

e) raport de evaluare a riscurilor (a se vedea 4.2.1c) - 4.2.1g));

f) planul de reducere a riscurilor (a se vedea 4.2.2b));

g) un concept documentat necesar pentru ca organizația să planifice, să opereze și să gestioneze eficient procesele sale de securitate a informațiilor și să descrie modul în care este măsurată eficacitatea controalelor (a se vedea 4.2.3c));

h) documentele cerute de prezentul standard internațional (a se vedea 4.3.3); și

i) Declarația de aplicabilitate.

NOTĂ 1: În sensul prezentului standard internațional, termenul „concept documentat” înseamnă că conceptul este implementat, documentat, implementat și urmat.

NOTA 2: Dimensiunea documentației ISMS în diferite organizații poate varia în funcție de:

Mărimea organizației și tipul activelor sale; și

Scara și complexitatea cerințelor de securitate și a sistemului gestionat.

NOTĂ 3: Documentele și rapoartele pot fi trimise sub orice formă.

4.3.2 Controlul documentelor

Documentele solicitate de ISMS trebuie protejate și reglementate. Este necesar să se aprobe procedura de documentare necesară pentru a descrie acțiunile de management pentru:

a) stabilirea conformității documentelor cu anumite standarde înainte de publicarea acestora;

b) verificarea și actualizarea documentelor după caz, reaprobarea documentelor;

c) asigurarea conformității modificărilor cu starea actuală a documentelor revizuite;

d) asigurarea disponibilității versiunilor importante ale documentelor valide;

e) asigurarea faptului că documentele sunt ușor de înțeles și lizibile;

f) punerea documentelor la dispoziția celor care au nevoie de ele; precum și transferul, depozitarea și în final distrugerea acestora în conformitate cu procedurile aplicate în funcție de clasificarea lor;

g) stabilirea autenticității documentelor din surse externe;

h) controlul distribuirii documentelor;

i) prevenirea utilizării neintenționate a documentelor învechite; și

j) aplicarea unei metode adecvate de identificare a acestora dacă sunt păstrate pentru orice eventualitate.

4.3.3 Controlul înregistrărilor

Înregistrările ar trebui create și păstrate pentru a furniza dovezi ale conformității și funcționării eficiente a ISMS. Înregistrările trebuie protejate și verificate. ISMS ar trebui să ia în considerare orice cerințe legale și de reglementare și obligații contractuale. Înregistrările trebuie să fie de înțeles, ușor de identificat și de recuperat. Controalele necesare pentru identificarea, stocarea, protecția, recuperarea, păstrarea și distrugerea înregistrărilor trebuie documentate și implementate.

Înregistrările ar trebui să includă informații cu privire la implementarea activităților descrise la punctul 4.2, precum și cu privire la toate incidentele și incidentele relevante pentru siguranță legate de ISMS.

Exemple de intrări sunt cartea de oaspeți, jurnalele de audit și formularele completate de autorizare a accesului.

Trimite-ți munca bună în baza de cunoștințe este simplu. Folosiți formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

postat pe http://www.allbest.ru/

„Sistemul de management al securității informațiilor”

management standard internațional

Vdirijare

Un sistem de management al securității informațiilor este un set de procese care funcționează într-o companie pentru a asigura confidențialitatea, integritatea și disponibilitatea activelor informaționale. Prima parte a eseului examinează procesul de implementare a unui sistem de management într-o organizație și oferă, de asemenea, principalele aspecte ale beneficiilor implementării unui sistem de management al securității informațiilor.

Fig. 1. Ciclul de control

Lista proceselor și recomandărilor privind modul de organizare optimă a funcționării acestora este dată în standardul internațional ISO 27001: 2005, care se bazează pe ciclul de management Plan-Do-Check-Act. Conform lui ciclu de viață ISMS constă din patru tipuri de activități: Creare - Implementare și operare - Monitorizare și analiză - Întreținere și îmbunătățire (Fig. 1). Acest standard va fi discutat mai detaliat în partea a doua.

CUsistemmanagementinformațieSecuritate

Un sistem de management al securității informațiilor (ISMS) este acea parte a sistemului general de management care se bazează pe o abordare a riscului de afaceri în crearea, implementarea, operarea, monitorizarea, analiza, suportul și îmbunătățirea securității informațiilor. Procesele ISMS sunt proiectate în conformitate cu cerințele ISO / IEC 27001: 2005, care se bazează pe ciclu

Activitatea sistemului se bazează pe abordările teoriei moderne a riscurilor de management, care asigură integrarea acestuia în sistemul global de management al riscurilor al organizației.

Implementarea unui sistem de management al securității informațiilor implică dezvoltarea și implementarea unei proceduri care vizează identificarea, analiza și atenuarea sistematică a riscurilor de securitate a informațiilor, adică riscuri ca urmare a activelor informaționale (informații sub orice formă și orice natură) ) va pierde confidențialitatea, integritatea și disponibilitatea.

Pentru a asigura reducerea sistematică a riscurilor de securitate a informațiilor, pe baza rezultatelor evaluării riscurilor, în cadrul organizației sunt implementate următoarele procese:

· Managementul organizării interne a securității informațiilor.

· Asigurarea securității informațiilor atunci când interacționați cu terți.

· Gestionarea registrului activelor informaționale și a regulilor de clasificare a acestora.

· Managementul siguranței echipamentelor.

· Asigurarea securității fizice.

· Asigurarea securității informațiilor a personalului.

· Planificarea și adoptarea sistemelor informatice.

· Backup.

· Securizarea rețelei.

Procesele sistemului de management al securității informațiilor afectează toate aspectele gestionării infrastructurii IT a organizației, deoarece securitatea informațiilor este rezultatul funcționării durabile a proceselor legate de tehnologia informației.

Când construiesc un ISMS în companii, specialiștii efectuează următoarele lucrări:

· Organizați managementul proiectului, formați o echipă de proiect din partea clientului și a contractorului;

· Definiți zona de activitate (AO) a ISMS;

Studiați organizația în OD ISMS:

o în ceea ce privește procesele de afaceri ale organizației, inclusiv analiza consecințe negative incidente de securitate a informațiilor;

o în ceea ce privește procesele de management ale organizației, inclusiv procesele existente de management al calității și de securitate a informațiilor;

o din punct de vedere al infrastructurii IT;

o în ceea ce privește infrastructura de securitate a informațiilor.

Elaborați și conveniți asupra unui raport analitic care conține o listă a principalelor procese de afaceri și o evaluare a consecințelor implementării amenințărilor de securitate a informațiilor în legătură cu acestea, o listă a proceselor de management, sistemelor IT, subsistemelor de securitate a informațiilor (ISS), o evaluarea gradului în care organizația îndeplinește toate cerințele ISO 27001 și o evaluare a maturității organizațiilor de proces;

· Selectați nivelul de maturitate ISMS inițial și țintă, dezvoltați și aprobați Programul de îmbunătățire a maturității ISMS; dezvoltați documentație de securitate a informațiilor la nivel înalt:

o Conceptul de securitate a informațiilor,

o Politici IS și ISMS;

· Selectați și adaptați metodologia de evaluare a riscurilor aplicabilă în organizație;

· Selectați, livrați și implementați software-ul utilizat pentru automatizarea proceselor ISMS, organizați instruire pentru specialiștii companiei;

· Evaluarea și procesarea riscurilor, în timpul cărora sunt selectate măsurile din apendicele A la standardul 27001 pentru a le reduce și sunt formulate cerințele pentru implementarea lor în organizație, sunt preselectate mijloacele tehnice de securitate a informațiilor;

· Elaborarea proiectelor preliminare ale PIB, evaluarea costului tratamentului riscului;

· Aranjați aprobarea evaluării riscurilor de către conducerea superioară a organizației și elaborați declarația de aplicabilitate; elaborează măsuri organizatorice pentru a asigura securitatea informațiilor;

· Dezvoltați și implementați proiecte tehnice privind implementarea subsistemelor de securitate a informațiilor tehnice care sprijină implementarea măsurilor selectate, inclusiv furnizarea de echipamente, punerea în funcțiune, dezvoltarea documentației operaționale și instruirea utilizatorilor;

· Oferiți consultări în timpul funcționării ISMS construit;

· Organizați instruirea pentru auditorii interni și efectuați audituri ISMS interne.

Rezultatul acestor lucrări este un ISMS funcțional. Beneficiile din implementarea unui ISMS într-o companie sunt obținute prin:

· Gestionarea eficientă a conformității cu cerințele legale și cerințele de afaceri în domeniul securității informațiilor;

· Prevenirea incidentelor SI și reducerea daunelor în cazul apariției acestora;

· Creșterea culturii securității informațiilor în organizație;

· Creșterea maturității în domeniul managementului securității informațiilor;

· Optimizarea cheltuielilor pentru securitatea informațiilor.

ISO / IEC27001-- internaţionalstandardpeinformațieSecuritate

Acest standard a fost dezvoltat în comun de Organizația Internațională pentru Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC). Standardul conține cerințe de securitate a informațiilor pentru crearea, dezvoltarea și întreținerea unui ISMS. ISO 27001 specifică cerințele pentru un ISMS pentru a demonstra capacitatea unei organizații de a-și proteja activele informaționale. Standardul internațional folosește conceptul de „protecție a informațiilor” și este interpretat ca asigurând confidențialitatea, integritatea și disponibilitatea informațiilor. Baza standardului este sistemul de management al riscului informațional. Acest standard poate fi, de asemenea, utilizat pentru a evalua conformitatea de către părțile interne și externe interesate.

Standardul adoptă o abordare de proces pentru a crea, implementa, opera, monitoriza continuu, analiza, întreține și îmbunătăți un sistem de management al securității informațiilor (ISMS). Acesta constă în aplicarea unui sistem de procese în cadrul unei organizații, împreună cu identificarea și interacțiunea acestor procese, precum și gestionarea acestora.

Standardul internațional adoptă modelul Plan-Do-Check-Act (PDCA), care se mai numește și ciclul Shewhart-Deming. Acest ciclu este utilizat pentru a structura toate procesele ISMS. Figura 2 arată cum ISMS ia cerințele de securitate a informațiilor și așteptările părților interesate ca intrări și prin acțiunile și procesele necesare produce rezultate ale securității informațiilor care îndeplinesc acele cerințe și așteptări.

Planificarea este faza de creare a unui ISMS, crearea unui inventar al activelor, evaluarea riscurilor și alegerea măsurilor.

Figura 2. Modelul PDCA aplicat proceselor ISMS

Implementarea este etapa implementării și implementării măsurilor adecvate.

Revizuirea este faza evaluării eficacității și performanței ISMS. De obicei efectuate de auditori interni.

Acțiune - luarea de acțiuni preventive și corective.

Vconcluzii

ISO 27001 descrie un model general pentru implementarea și operarea unui ISMS și acțiuni de monitorizare și îmbunătățire a unui ISMS. ISO intenționează să armonizeze diferite standarde ale sistemului de management, cum ar fi ISO / IEC 9001: 2000, care se ocupă de managementul calității și ISO / IEC 14001: 2004, care se ocupă cu sistemele de management de mediu. Scopul ISO este de a asigura coerența și integrarea ISMS cu alte sisteme de management din companie. Similitudinea standardelor permite utilizarea unor instrumente și funcționalități similare pentru implementare, gestionare, revizuire, verificare și certificare. Implicația este că, dacă o companie a implementat alte standarde de management, poate folosi un sistem de audit și management unificat care este aplicabil managementului calității, managementului mediului, managementului siguranței etc. Prin implementarea unui ISMS, managementul de vârf câștigă mijloacele de monitorizare și gestionare a securității, ceea ce reduce riscurile reziduale ale afacerii. După implementarea unui ISMS, compania poate asigura în mod formal securitatea informațiilor și poate continua să respecte cerințele clienților, legislației, autorităților de reglementare și acționarilor.

Trebuie remarcat faptul că în legislația Federației Ruse există un document GOST R ISO / IEC 27001-2006, care este o versiune tradusă a standardului internațional ISO27001.

CUchiţăitliteratură

1. Korneev I.R., Belyaev A.V. Securitatea informațiilor întreprinderii. - SPb.: BHV-Petersburg, 2003. - 752 p.: Bolnav.

2. Standard internațional ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (data accesului: 23/05/12)

3. Standard național Federația Rusă GOST R ISO / IEC 27003 - "Tehnologia informației. Metode de securitate. Liniile directoare pentru implementarea unui sistem de management al securității informațiilor" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (data accesării: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Liniile directoare pentru protecția împotriva amenințărilor interne la adresa securității informațiilor. SPb.: Peter, 2008. - 320 p.: Bolnav.

5. Articol al enciclopediei libere „Wikipedia”, „Sistem de gestionare”

securitatea informațiilor "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (data accesării: 23.05.12)

6. Sigurjon Thor Arnason și Keith D. Willett "Cum să obțineți certificarea 27001"

Postat pe Allbest.ru

Documente similare

    Amenințări de securitate a informațiilor în întreprindere. Identificarea deficiențelor din sistemul de securitate a informațiilor. Scopurile și obiectivele formării sistemului de securitate a informațiilor. Măsuri propuse pentru îmbunătățirea sistemului de securitate a informației al organizației.

    termen de hârtie adăugat 02/03/2011

    Analiza sistemului de securitate a informațiilor la întreprindere. Serviciul de securitate a informațiilor. Amenințări de securitate a informațiilor specifice întreprinderii. Metode și mijloace de protecție a informațiilor. Model de sistem informațional din perspectiva securității.

    termen de hârtie adăugat 02/03/2011

    Principalele etape ale creării unui sistem de management la întreprindere Industria alimentară... HACCP ca coloană vertebrală a oricărui sistem de management al siguranței alimentelor. Sistem de management al siguranței alimentare. Factori periculoși și acțiuni preventive.

    rezumat adăugat în 14/10/2014

    Sisteme moderne de management și integrarea acestora. Sisteme integrate de management al calității. Descrierea SA "275 ARZ" și a sistemului său de management. Dezvoltarea unui sistem de management al securității muncii. Metode de evaluare a unui sistem integrat de securitate.

    teză, adăugată 31.07.2011

    Implementarea unui sistem de management al calității. Certificarea sistemelor de management al calității (ISO 9000), managementului mediului (ISO 14000), sistemelor de management al sănătății și securității organizațiilor (OHSAS 18 001: 2007) pe exemplul OJSC "Lenta".

    rezumat, adăugat 10/06/2008

    Elaborarea unui standard pentru organizarea unui sistem de management integrat care stabilește o procedură unificată pentru implementarea procesului de gestionare a documentelor. Etapele de creare a sistemului de management al calității al SA „ZSMK”. Cazare versiuni electronice documente.

    teză, adăugată 06/01/2014

    Diagrama ierarhică a angajaților. Instrumente de securitate a informațiilor. Intrebari de securitate. Diagrama fluxurilor de informații ale întreprinderii. Metode de monitorizare a integrității sistemului informațional. Modelarea controlului accesului la informațiile despre servicii.

    hârtie la termen, adăugată 30.12.2011

    Conceptul de sistem informațional de management și locul său în sistem comun management. Tipuri de sisteme informaționale și conținutul acestora. Conceptul de management ca sistem informațional. Funcțiile sistemului de management financiar. Sisteme pentru realizarea de tranzacții și operațiuni.

    rezumat adăugat la 01/06/2015

    Concepte în domeniul sănătății și securității la locul de muncă. Standarde internaționale ISO privind sistemele de management al calității, sistemele de management de mediu, sistemele de management al securității și sănătății în muncă. Adaptarea standardului OHSAS 18001-2007.

    hârtie de termen, adăugată 21.12.2014

    Caracteristică administrarea informației; subiecții informației și raporturilor juridice; regim juridic pentru primirea, transferul, stocarea și utilizarea informațiilor. Caracteristici și aspecte juridice ale schimbului de informații și securității informațiilor.

Publicații similare