Çfarë është një sistem modern i menaxhimit të sigurisë së informacionit. Standardet moderne në fushën e sigurisë së informacionit duke përdorur konceptin e menaxhimit të rrezikut Sistemi i menaxhimit të sigurisë së informacionit

Shahalov Igor Yurievich

Për çështjen e integrimit të sistemeve të menaxhimit të cilësisë dhe sigurisë së informacionit

Abstrakt: Merren parasysh standardet ndërkombëtare ISO 27001 dhe ISO 9001. Analiza e ngjashmërive dhe dallimeve midis sistemit të menaxhimit të cilësisë dhe sistemit të menaxhimit të sigurisë së informacionit është kryer. Tregohet mundësia e integrimit të sistemit të menaxhimit të cilësisë dhe sistemit të menaxhimit të sigurisë së informacionit. Janë dhënë fazat kryesore të ndërtimit dhe zbatimit të një sistemi të integruar të menaxhimit të sigurisë së informacionit. Janë treguar përparësitë e qasjes së integruar.

Fjalët kyçe: sistemet e menaxhimit të sigurisë së informacionit, sistemet e integruara të menaxhimit, ISMS, QMS, ISO 27001.

Natalia Olegovna

Prezantimi

V bota moderne me ardhjen e zakonshme dhe të përshtatshme pajisjet teknike problemi i mbrojtjes së informacionit është shfaqur mjaft ashpër. Së bashku me lëshimin e produkteve cilësore ose ofrimin e shërbimeve për ndërmarrjet dhe organizatat, është e rëndësishme të mbani sekret informacionin e nevojshëm nga konkurrentët në mënyrë që të qëndroni në një pozitë të favorshme në treg. Në luftën konkurruese, veprimet e ndryshme që synojnë marrjen (marrjen, marrjen) e informacionit konfidencial janë të përhapura. menyra te ndryshme, deri në spiunazhin e drejtpërdrejtë industrial duke përdorur mjete teknike moderne të inteligjencës.

Kështu, organizatat që i përmbahen praktikave më të mira botërore, që përmbajnë kërkesa, udhëzime për zbatimin e sistemeve të menaxhimit të proceseve të biznesit, po bëhen liderë në treg. Standardet më të mira për projektimin, zbatimin, monitorimin dhe përmirësimin e sistemeve të tilla janë dokumentet nga Organizata Ndërkombëtare për Standardizim (ISO). Vëmendje e veçantë duhet t'i kushtohet standardeve të serisë ISO 900x dhe ISO 2700x, të cilat mbledhin praktikat më të mira për zbatimin e një sistemi të menaxhimit të cilësisë (QMS) dhe një sistemi të menaxhimit të sigurisë së informacionit (ISMS).

Sistemi i menaxhimit të cilësisë, i zbatuar në përputhje me kërkesat e standardit ISO 9001, është njohur prej kohësh si një atribut integral i një kompanie të suksesshme që prodhon produkte me cilësi të lartë ose ofron shërbime të klasit të lartë. Sot, disponueshmëria e një certifikate konformiteti është një zgjidhje efektive marketingu dhe një mekanizëm për kontrollin e proceseve të prodhimit. Auditimi i QMS është një fushë e zhvilluar mirë e biznesit.

Varësia e aktiviteteve të suksesshme të kompanisë nga sistemi i korporatës mbrojtjen e informacionit. Kjo është për shkak të rritjes së vëllimit të të dhënave vitale të përpunuara në sistemin e informacionit të korporatës. Sistemet e informacionit po bëhen më komplekse, dhe numri i dobësive të gjetura në to po rritet gjithashtu. Auditimi ISMS lejon vlerësimin e gjendjes aktuale të sigurisë së korporatës sistemi i informacionit,

vlerësoni dhe parashikoni rreziqet, menaxhoni ndikimin e tyre në proceset e biznesit të kompanisë.

Meqenëse standardi ISO 9001 ka marrë prej kohësh pozicionin drejtues në numrin e certifikatave në botë, dhe standardi ISO 27001 tregon një tendencë drejt një rritje të certifikimit të sistemit të menaxhimit të sigurisë së informacionit, këshillohet të merret parasysh ndërveprimi i mundshëm dhe integrimi i QMS dhe ISMS.

Integrimi i standardeve

Në shikim të parë, menaxhimi i cilësisë dhe siguria e informacionit janë fusha krejtësisht të ndryshme. Sidoqoftë, në praktikë, ato janë të lidhura ngushtë dhe formojnë një tërësi (Figura 1). Kënaqësia e klientit, e cila është një objektiv objektiv i cilësisë, çdo vit gjithnjë e më shumë varet nga disponueshmëria e teknologjisë së informacionit dhe nga siguria e të dhënave, për mirëmbajtjen e të cilave përdoret standardi ISO 27001. Nga ana tjetër, standardi ISO 9001 përputhet saktësisht qëllimet e korporatës së organizatës, duke ndihmuar në sigurimin e sigurisë. Falë një qasjeje të integruar, ISO 27001 mund të integrohet në mënyrë efektive në QMS ekzistuese ose të zbatohet së bashku me QMS.

(ISO 27001) dhe menaxhimi i shërbimit të TI (ISO 20000) kanë një strukturë dhe qasje të ngjashme procesi. Kjo krijon një sinergji që shpaguhet: në praktikë, një sistem i integruar menaxhimi për operacionet në vazhdim kursen 20 deri në 30 përqind të kostos totale të optimizmit, kontrolleve dhe rishikimeve të sistemit.

Standardet e sigurisë së informacionit dhe menaxhimit të cilësisë synojnë përmirësimin e vazhdueshëm në përputhje me modelin Plan-Do-Check-Act (PDCA) i njohur si Cikli Deming (shih Figurën 2). Përveç kësaj, ato janë të ngjashme në strukturë, siç tregohet në tabelën e korrespondencës në Shtojcën C të ISO 27001. Të dy standardet përcaktojnë qasjen e procesit, fushëveprimin, kërkesat e sistemit dhe dokumentacionit, si dhe përgjegjësinë administrative. Në të dy rastet, struktura përfundon me një auditim të brendshëm, rishikim të menaxhimit dhe përmirësim të sistemit. Në këtë, të dy sistemet ndërveprojnë. Për shembull, ISO 9001 kërkon menaxhimin e produkteve jokonformuese. Gjithashtu, standardi ISO 27001 ka një kërkesë për menaxhimin e incidentit për zgjidhjen e dështimeve.

Oriz. 1. Sferat e ndërveprimit dhe ngjashmërisë së QMS dhe ISMS

Oriz. 2. Cikli Deming

Më shumë se 27,200 organizata të industrive të ndryshme në më shumë se 100 vende të botës janë të certifikuara për pajtueshmëri me ISO 9001: 2008 për menaxhimin e cilësisë. Në varësi të tregut dhe kërkesave ligjore, shumë organizata janë gjithnjë e më të detyruara të merren me sigurinë e informacionit. Në këtë drejtim, integrimi i sistemit të kontrollit ofron mundësi reale. Një qasje komplekse gjithashtu interesante për kompanitë që nuk kanë përdorur asnjë proces menaxhimi deri më tani. Standardet ISO për cilësinë (ISO 9001), mbrojtjen e mjedisit (ISO 14000), sigurinë e informacionit

Dallimet midis standardeve janë të dobishme në plotësimin e njëri -tjetrit, gjë që kontribuon në mënyrë vendimtare në rritjen e suksesit të biznesit. Për shembull, ISO 9001 kërkon përkufizimin e qëllimeve të korporatës, fokusin tek klienti dhe matshmërinë, në çfarë mase janë arritur qëllimet dhe objektivat. Këto janë tri çështje që nuk janë në qendër të interesave të ISO 27001. Nga ana tjetër, ky standard i jep përparësi menaxhimit të rrezikut për të ruajtur vazhdimësinë e biznesit dhe ofron ndihmë të detajuar në zbatimin e një ISMS. Krahasuar

me këtë, ISO 9001 është më shumë një standard teorik.

ISO 27001 - një standard jo vetëm për IT

Shumë njerëz mendojnë se standardi ISO 27001 është vetëm për proceset e TI -së, por në realitet nuk është kështu. Pika themelore për zbatimin e standardit ISO 27001 SM & B është përcaktimi i aseteve.

"LilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ ireiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Oriz. 3. Llojet e pasurive

Një aktiv kuptohet si gjithçka që ka vlerë për kompaninë (Figura 3). Kjo do të thotë, një aktiv mund të jetë: burimet njerëzore, infrastruktura, mjetet, pajisjet, komunikimet, shërbimet dhe çdo pasuri tjetër, përfshirë shërbimet për furnizimin e produkteve të blera. Bazuar në proceset, kompania përcakton se cilat asete ka dhe cilat asete përfshihen në procese kritike, dhe vlerëson vlerën e aseteve. Dhe vetëm pas kësaj bëhet vlerësimi i rrezikut për të gjitha pasuritë e vlefshme. Kështu, ISMS nuk ka për qëllim vetëm informacionin dixhital që përpunohet në sistem i automatizuar... Për shembull, përfshijnë disa nga proceset më kritike

Përgatitja

planet e ngjarjeve

2 Kontrolloni H: unë përputhem

me ruajtjen e kopjeve të forta të informacionit, i cili gjithashtu mbulohet nga ISO 27001. Një ISMS mbulon të gjitha mënyrat në të cilat informacioni i rëndësishëm mund të ruhet në kompaninë tuaj, nga mënyra se si email -e të mbrojtura, duke përfunduar me atë se ku ruhen dosjet personale të punonjësve në ndërtesë.

Prandaj, është një keqkuptim i madh që meqenëse standardi ka për qëllim ndërtimin e një sistemi të menaxhimit të sigurisë së informacionit, atëherë kjo mund të zbatohet vetëm për të dhënat e ruajtura në një kompjuter. Edhe në epokën tonë dixhitale, shumë informacione ende pasqyrohen në letër, të cilat gjithashtu duhet të mbrohen me besueshmëri.

ISO 9001 nuk mund të plotësojë nevojat e kompanisë për sigurinë e informacionit, pasi është i përqendruar ngushtë në cilësinë e produktit. Prandaj, është shumë e rëndësishme të zbatohet ISO 27001 në kompani. Në shikim të parë, një specialisti mund t'i duket se të dy standardet janë shumë të përgjithshme dhe nuk kanë specifikë. Sidoqoftë, ky nuk është rasti: standardi ISO 27001 përshkruan pothuajse çdo hap të zbatimit dhe kontrollit të funksionimit të një ISMS (Figura 4).

Fazat kryesore të ndërtimit të një sistemi të menaxhimit të sigurisë së informacionit

Fazat kryesore të ndërtimit të një ISMS janë ilustruar në Figurën 4. Le t'i konsiderojmë ato në më shumë detaje.

Faza 1. Përgatitja e planeve të veprimit. Në këtë fazë, specialistët mbledhin dokumente organizative dhe administrative (ORD) dhe materiale të tjera pune,

3 Një ORD normale e tipit II

4 Analiza ii vlerësimet e rrezikut 11B

Zbatimi

5 RyazraOoghya dhe<>Kompleksi RaeryaOopv & 00 \ * ieiitii:

planet e rrezatimit ■ -> standardet -> ngjarjet -> CfftpJOTHW *

aktivitetet Hënë> PB ORD Poenpzhenie

Formimi i 10 vlerësimeve AiUtuin të rezultateve të INRsnEsS "IMB

Oriz. 4. Fazat e ndërtimit të një ISMS

në lidhje me ndërtimin dhe funksionimin e sistemeve të informacionit të kompanisë, të planifikuara për të përdorur mekanizma dhe mjete për të siguruar sigurinë e informacionit. Për më tepër, planet e veprimit për fazat e punës hartohen, bien dakord dhe miratohen nga menaxhmenti i kompanisë.

Faza 2. Kontrollimi i përputhshmërisë me ISO / IEC 27001: 2005. Intervistimi dhe pyetja e menaxherëve dhe punonjësve të departamenteve. Analiza e ISMS -it të kompanisë për pajtueshmërinë me kërkesat e ISO / IEC 27001: 2005.

Faza 3. Analiza e dokumenteve rregullatore dhe organizative dhe administrative bazuar në Struktura organizative kompanive. Bazuar në rezultatet e tij, përcaktohet fusha e mbrojtur (OA) dhe zhvillohet një skicë e politikës së sigurisë së informacionit të kompanisë.

Faza 4. Analiza dhe vlerësimi i rreziqeve të sigurisë së informacionit. Zhvillimi i një metodologjie për menaxhimin e rreziqeve të kompanisë dhe analizimin e tyre. Analiza e burimeve të informacionit të kompanisë, kryesisht LAN, në mënyrë që të identifikohen kërcënimet dhe dobësitë e aseteve të mbrojtura të PP. Inventarizimi i pasurive. Kryerja e konsultimeve për specialistët e kompanisë dhe vlerësimi i pajtueshmërisë me nivelin aktual dhe të kërkuar të sigurisë. Llogaritja e rreziqeve, përcaktimi i nivelit aktual dhe të pranueshëm të rrezikut për secilin aktiv specifik. Renditja e rrezikut, përzgjedhja e komplekseve të masave për zvogëlimin e tyre dhe llogaritja e efikasitetit teorik të zbatimit.

Faza 5. Zhvillimi dhe zbatimi i planeve të veprimit të IS. Zhvillimi i një deklarate mbi zbatueshmërinë e kontrolleve në përputhje me ISO / IEC 27001: 2005. Zhvillimi i një plani për kontabilitetin dhe eliminimin e rreziqeve. Përgatitja e raporteve për kreun e kompanisë.

Faza 6. Zhvillimi i dokumenteve normative dhe operacionale. Zhvillimi dhe miratimi i politikës përfundimtare të IB dhe dispozitave të lidhura (politikat private). Zhvillimi i standardeve, procedurave dhe udhëzimeve për të siguruar funksionimin dhe funksionimin normal të ISMS të kompanisë.

Faza 7. Zbatimi i masave gjithëpërfshirëse për të zvogëluar rreziqet e IS dhe vlerësuar efektivitetin e tyre në përputhje me planin për përpunimin dhe eliminimin e rreziqeve të miratuar nga menaxhmenti.

Faza 8. Trajnimi i personelit. Zhvillimi i planeve të veprimit dhe zbatimi i programeve për trajnimin dhe përmirësimin e kompetencës së punonjësve të kompanisë në mënyrë që të përcjellin në mënyrë efektive parimet e sigurisë së informacionit për të gjithë punonjësit dhe

kryesisht ata që punojnë në njësitë strukturore duke ofruar proceset kryesore të biznesit.

Faza 9. Formimi i raportimit. Sistematizimi i rezultateve të sondazhit dhe përgatitja e raporteve. Prezantimi i rezultateve të punës për drejtuesit e kompanisë. Përgatitja e dokumenteve për licencim për pajtueshmëri me ISO / IEC 27001: 2005 dhe transferimi i tyre tek organizata certifikuese.

Faza 10. Analiza dhe vlerësimi i rezultateve të zbatimit të ISMS bazuar në metodologjinë që vlerëson besueshmërinë e funksionimit ISMS të kompanisë. Zhvillimi i rekomandimeve për përmirësimin e sistemit të menaxhimit të sigurisë së informacionit të kompanisë.

Duke analizuar secilën fazë të zbatimit të ISMS, mund të themi se ISO 27001 ka një strukturë dhe kërkesa të qarta që do t'ju lejojnë të ndërtoni një sistem pune në të cilin do të ketë ndërveprim në të gjitha nivelet e nevojshme. Por ne nuk duhet të harrojmë se ndryshimi kryesor midis ISMS dhe QMS është se sistemi i parë është i fokusuar në sigurinë e informacionit.

Rëndësia e sigurisë së informacionit në botën moderne

Biznesi i sotëm nuk mund të ekzistojë pa teknologjinë e informacionit. Dihet se rreth 70% e produktit të përgjithshëm kombëtar në botë varet në një mënyrë ose në një tjetër nga informacioni i ruajtur në sistemet e informacionit. Prezantimi i përhapur i kompjuterëve ka krijuar jo vetëm komoditete të njohura, por edhe probleme, nga të cilat më serioze është problemi i sigurisë së informacionit.

Drejtuesit e biznesit duhet të kuptojnë rëndësinë e sigurisë së informacionit, të mësojnë të parashikojnë dhe menaxhojnë tendencat në këtë fushë. Në këtë ata mund të ndihmohen nga futja e një ISMS, e cila në strukturën e saj ka potencial për zhvillim, transparencë të menaxhimit, fleksibilitet ndaj çdo ndryshimi. Së bashku me kontrollet për kompjuterët dhe rrjetet kompjuterike, standardi ISO 27001 i kushton vëmendje të madhe zhvillimit të politikës së sigurisë, punës me personelin (punësimi, trajnimi, largimi nga puna), duke siguruar vazhdimësinë procesi i prodhimit, kërkesat rregullatore, ndërsa disa çështje teknike janë të detajuara në standardet e tjera të serisë

ISO 27000 Ka shumë përparësi për të futur ISIB në kompani, disa prej tyre janë treguar në Fig. 5

Shkalla Glbkshl pODr> h; b1 [h-th

Rënia ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | ill p. Ki u:

azhshchtnya # tsn ^ rr

Oriz. 5. Përfitimet e zbatimit të një sistemi të menaxhimit të sigurisë së informacionit

Përfitimet e ISO duhet të theksohen

Demonstrimi i kompetencës së sigurisë. ISO 27001 është një udhëzues praktik për një organizatë për të ndihmuar në formulimin e kërkesave të sigurisë për të arritur nivelin e kërkuar të sigurisë dhe për të përmbushur objektivat specifike të sigurisë. Especiallyshtë veçanërisht e rëndësishme që organizatat të jenë kompetente në katër fusha të menaxhimit të sigurisë, duke përfshirë: identifikimin dhe vlerësimin e aseteve të kompanisë, vlerësimin e rreziqeve dhe përcaktimin e kritereve për pranimin e rreziqeve, menaxhimin dhe miratimin e këtyre artikujve, dhe përmirësimin e vazhdueshëm. program i përgjithshëm sigurinë e organizatës.

Sigurimi i besimit të klientit. ISO 27001 siguron dëshmi të pavarura se programet e qeverisjes së korporatës mbështeten nga praktikat më të mira ndërkombëtare. Certifikimi ISO 27001 siguron paqen e mendjes për korporatat që kërkojnë të demonstrojnë integritet ndaj klientëve, aksionarëve dhe partnerëve të mundshëm, dhe më e rëndësishmja, për të treguar se kompania ka zbatuar me sukses një sistem të fuqishëm të menaxhimit të sigurisë së informacionit. Për shumë industri të rregulluara rëndë siç janë financat ose shërbimet e internetit, përzgjedhja e furnizuesve mund

të kufizohen në ato organizata që tashmë janë të certifikuara me ISO 27001.

Përdorimi më efikas i burimeve. Falë përdorimit të qasjes së procesit, është e mundur të optimizohen proceset që ndodhin në kompani. Kjo nënkupton një rënie në përdorimin e burimeve, për shembull, kohën.

Përmirësim të vazhdueshëm. ISMS përdor modelin PCDA, i cili ju lejon të kontrolloni rregullisht statusin e të gjithë sistemit, të analizoni dhe përmirësoni sistemin e menaxhimit

1. Imazhi, markë. Certifikimi për pajtueshmërinë me ISO 27001 hap mundësi të mëdha për kompaninë: qasje në nivelin ndërkombëtar, partneritete të reja, më shumë klientë, kontrata të reja, sukses në tenderë. Prania e një ISMS në një kompani është një tregues i një niveli të lartë të zhvillimit.

2. Fleksibiliteti i ISMS. Pavarësisht nga ndryshimet në proceset, teknologjitë e reja, baza e strukturës ISMS mbetet efektive. ISMS përshtatet mjaft lehtë me risitë duke modernizuar ekzistencën dhe duke futur kundërmasa të reja.

3. Shkallëzueshmëria e zbatimit të standardit. Meqenëse ISO 27001 nënkupton fushëveprimin, vetëm një nëngrup i proceseve mund të certifikohet. Mund të filloni të zbatoni ISMS në OA më të rëndësishme për kompaninë, dhe vetëm më vonë të zgjeroheni.

4. Auditimi. Shumë Kompanitë ruse perceptojnë punën e auditimit si një fatkeqësi. ISO 27001 tregon një qasje ndërkombëtare ndaj auditimit: para së gjithash, interesi i kompanisë për të përmbushur në të vërtetë standardet, dhe për të mos bërë certifikimin disi, vetëm për shfaqje.

5. Auditimet e rregullta të brendshme ose të jashtme lejojnë korrigjimin e shkeljeve, përmirësimin e ISMS dhe zvogëlimin e ndjeshëm të rreziqeve. Para së gjithash, kompania ka nevojë për paqen e saj mendore, që gjithçka të jetë në rregull dhe rreziqet e humbjeve të minimizohen. Dhe tashmë dytësore - një certifikatë konformiteti, e cila konfirmon për partnerët ose klientët se kësaj kompanie mund t'i besohet.

6. Transparenca e menaxhimit. Përdorimi i standardit ISO 27001 siguron udhëzime mjaft të qarta për krijimin e menaxhimit, dhe

gjithashtu kërkesat për dokumentacionin që duhet të jetë në kompani. Problemi për shumë kompani është se dokumentet ekzistues për departamente të caktuara thjesht nuk janë të lexueshme, sepse shpesh është e pamundur të kuptohet se çfarë është menduar për kë për shkak të kompleksitetit të sistemit të dokumentacionit. Hierarkia e niveleve të dokumentacionit, nga politika e sigurisë së informacionit deri në përshkrimin e procedurave të veçanta, e bën përdorimin e rregullave, rregulloreve dhe gjërave të tjera shumë më të lehta. Gjithashtu, prezantimi i SM & B përfshin trajnimin e stafit: mbajtjen e seminareve, postimeve, varjen e posterave paralajmërues, gjë që rrit ndjeshëm ndërgjegjësimin për sigurinë e informacionit tek punonjësit e zakonshëm.

Si përfundim, duhet të theksohet se në biznes modern patjetërsueshmëria e sistemit bazë të menaxhimit të cilësisë, e ndërtuar në përputhje me kërkesat e standardit ISO 9001, dhe pozicioni fitues i sistemit të menaxhimit të sigurisë së informacionit është i dukshëm.

Sot, udhëheqësi i tregut do të jenë kompanitë që monitorojnë jo vetëm treguesit e cilësisë së produkteve dhe shërbimeve, por edhe nivelet e konfidencialitetit, integritetit dhe disponueshmërisë së informacionit rreth tyre. Parashikimi dhe vlerësimi i rrezikut është gjithashtu një faktor i rëndësishëm suksesi, i cili kërkon një qasje kompetente dhe përdorimin e praktikave më të mira ndërkombëtare. Zbatimi dhe certifikimi i përbashkët i sistemeve të menaxhimit të cilësisë dhe sigurisë së informacionit do të ndihmojë në zgjidhjen e një game të gjerë problemesh për çdo industri apo tregti, të cilat nga ana e tyre do të çojnë në një rritje cilësore të nivelit të shërbimeve të ofruara.

Letërsi

1. Dorofeev A. V., Shahalov I. Yu. Bazat e menaxhimit të sigurisë së informacionit organizim modern// Informatika ligjore. 2013. Nr. 3. S. 4-14.

2. Chashkin VN Menaxhimi i sigurisë së informacionit si një element i sistemit të menaxhimit të informacionit dhe aktivitetit teknologjik të organizatës // Siguria e teknologjive të informacionit. 2009. Nr. 1. S. 123-124.

3. Goryachev VV GOST i ri për QMS. Dallimet kryesore nga GOST RV 15.002-2003 //

Metodat e menaxhimit të cilësisë. 2013. Nr. 7. S. 18-23.

4. Dotsenko PS, Pshenetskiy PS Qasja për ndërtimin e një modeli të sistemeve të menaxhimit të sigurisë së informacionit // Gazeta elektronike shkencore e rrjetit politematik të Universitetit Agrar Shtetëror të Kubanit. 2009. Nr 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modeli i sistemit të menaxhimit të sigurisë së informacionit në ndërmarrje (në organizatë) // Intelekt. Inovacioni. Investimet. 2013. Nr. 1. S. 111-114.

6. Soloviev A. M. Baza normative dhe metodologjike në fushën e sigurisë së informacionit // Ekonomia, statistikat dhe informatika. Buletini i UMO. 2012. Nr. 1. S. 174-181.

7. Kozin IF, Livshits II Siguria e informacionit. Integrimi i standardeve ndërkombëtare në sistemin e sigurisë së informacionit të Rusisë // Informatizimi dhe komunikimi. 2010. Nr. 1. S. 50-55.

8. Kolodin VS Certifikimi i sistemeve të integruara të menaxhimit // Buletini i Universitetit Teknik Shtetëror të Irkutsk. 2010. T. 41. Nr. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu A. Sistemet e integruara të menaxhimit: parakushtet për krijimin në ndërmarrjet ruse // Shkencëtar i ri.

2013. Nr. 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Menaxhimi i sigurisë së informacionit të sistemeve të informacionit dhe telekomunikacionit bazuar në modelin "P1an-Do-Check-Act" // hobe Naukov1 e Universitetit Teknik Kombëtar Donetsk. Ser1ya: "Kompjuterikisht teknike dhe e automatizuar". 2013. Nr. 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Menaxhimi i sigurisë së informacionit: konceptet bazë // Çështjet e sigurisë kibernetike.

2014. Nr. 1 (2). S. 67-73.

12. Shper VL Rreth standardit 18O / 1EC 27001 // Metodat e menaxhimit të cilësisë. 2008. Nr. 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Menaxhimi i rrezikut - vakum normativ i sigurisë së informacionit // Sisteme të hapura... DBMS. 2007. Nr. 8. S. 63-67.

14. Matveev V.A., Tsirlov V.L.

tion në 2014 // Çështjet e Sigurisë Kibernetike. 2013. Nr. 1 (1). S. 61-64.

15. Daullet A. V. Standardizimi i procesit të zhvillimit të kasafortës mjete softuerike// Çështjet e sigurisë kibernetike. 2013. Nr. 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Udhëzimet për sigurinë kibernetike në kontekst

ISO 27032 // Çështje të sigurisë kibernetike. 2014. Nr. 1 (2). S. 28-35. 17. Khramtsovskaya N. Çfarë duhet të dijë një menaxher për sigurinë e informacionit // Kadrovik. 2009. Nr 4. S. 061-072.

Në botën e teknologjisë së informacionit, çështja e sigurimit të integritetit, besueshmërisë dhe konfidencialitetit të informacionit po bëhet prioritet. Prandaj, njohja e nevojës që një organizatë të ketë një sistem të menaxhimit të sigurisë së informacionit (ISMS) është një vendim strategjik.

Ajo u krijua për të krijuar, zbatuar, mirëmbajtur dhe përmirësuar vazhdimisht një ISMS në një ndërmarrje, dhe duke zbatuar këtë Standard tek partnerët e jashtëm, bëhet e qartë se organizata është në gjendje të përmbushë kërkesat e veta të sigurisë së informacionit. Ky artikull do të diskutojë kërkesat themelore të Standardit dhe do të diskutojë strukturën e tij.

(ADV31)

Objektivat kryesore të Standardit ISO 27001

Para se të vazhdoni me përshkrimin e strukturës së Standardit, le të përcaktojmë detyrat e tij kryesore dhe të marrim parasysh historinë e shfaqjes së Standardit në Rusi.

Objektivat e Standardit:

  • themelimi kërkesat uniforme që të gjitha organizatat të krijojnë, zbatojnë dhe përmirësojnë ISMS;
  • sigurimi i ndërveprimit midis menaxhmentit të lartë dhe punonjësve;
  • ruajtja e konfidencialitetit, integritetit dhe disponueshmërisë së informacionit.

Në të njëjtën kohë, kërkesat e përcaktuara nga Standardi janë të përgjithshme dhe synohen të zbatohen nga çdo organizatë, pavarësisht nga lloji, madhësia ose natyra e tyre.

Historia e Standardit:

  • Në 1995, Instituti Britanik i Standardeve (BSI) miratoi Kodin e Menaxhimit të Sigurisë së Informacionit si një standard kombëtar në Mbretërinë e Bashkuar dhe e regjistroi atë nën BS 7799 - Pjesa 1.
  • Në 1998, BSI boton BS7799-2 në dy pjesë, njëra përmban një kod praktike dhe kërkesat e tjera për sistemet e menaxhimit të sigurisë së informacionit.
  • Gjatë rishikimeve të mëvonshme, pjesa e parë u botua si BS 7799: 1999, Pjesa 1. Në 1999 ky version i standardit u transferua në Organizatën Ndërkombëtare për Certifikim.
  • Ky dokument u miratua në vitin 2000 si standard ndërkombëtar ISO / IEC 17799: 2000 (BS 7799-1: 2000). Versioni i fundit i këtij standardi, i miratuar në 2005, është ISO / IEC 17799: 2005.
  • Në Shtator 2002, pjesa e dytë e BS 7799 "Specifikimi i Sistemit të Menaxhimit të Sigurisë së Informacionit" hyri në fuqi. Pjesa e dytë e BS 7799 u rishikua në 2002, dhe në fund të 2005 u miratua nga ISO si standard ndërkombëtar ISO / IEC 27001: 2005 " Teknologjia e informacionit- Metodat e Sigurisë - Sistemet e Menaxhimit të Sigurisë së Informacionit - Kërkesat.
  • Në 2005, standardi ISO / IEC 17799 u përfshi në linjën e standardeve të serisë së 27 -të dhe u mor numër i ri- ISO / IEC 27002: 2005.
  • Më 25 shtator 2013, u publikua ISO / IEC 27001: 2013 "Sistemet e Menaxhimit të Sigurisë së Informacionit". Kërkesat". Aktualisht, organizatat janë të certifikuara sipas këtij versioni të Standardit.

Struktura e Standardit

Një nga avantazhet e këtij Standardi është ngjashmëria e strukturës së tij me ISO 9001, pasi përmban tituj identikë të nënseksioneve, tekst identik, terma të zakonshëm dhe përkufizime bazë. Kjo rrethanë kursen kohë dhe para, pasi një pjesë e dokumentacionit është zhvilluar tashmë gjatë certifikimit ISO 9001.

Nëse flasim për strukturën e Standardit, është një listë e kërkesave të ISMS që janë të detyrueshme për certifikim dhe përbëhet nga pjesët e mëposhtme:

Seksionet kryesoreShtojca A
0. Hyrje A.5 Politikat e sigurisë së informacionit
1 zonë përdorimi A.6 Organizimi i sigurisë së informacionit
2. Referencat normative A.7 Siguria e burimeve njerëzore (personelit)
3. Termat dhe përkufizimet A.8 Menaxhimi i aseteve
4. Konteksti i organizimit A.9 Kontrolli i aksesit
5. Udhëheqja A.10 Kriptografia
6. Planifikimi A.11 Siguria fizike dhe mjedisore
7. Mbështetje A.12 Siguria e operacioneve
8. Operacionet (Operacioni) A.13 Siguria e komunikimit
9. Vlerësimi (Matja) e performancës A.14 Blerja, zhvillimi dhe mirëmbajtja e sistemeve të informacionit
10. Përmirësimi (Përmirësimi) A.15 Marrëdhëniet me furnizuesit
A.16 Menaxhimi i incidentit
A.17 Vazhdimësia e biznesit
A.18 Pajtueshmëria ligjore

Kërkesat e "Shtojcës A" janë të detyrueshme, por standardi ju lejon të përjashtoni zonat që nuk mund të zbatohen në ndërmarrje.

Kur futni Standardin në një ndërmarrje për certifikim të mëtejshëm, vlen të kujtohet se nuk lejohen përjashtime nga kërkesat e përcaktuara në seksionet 4-10. Këto pjesë do të diskutohen më tej.

Le të fillojmë me Seksionin 4 - Konteksti i Organizatës

Konteksti i organizimit

Në këtë pjesë, Standardi kërkon që një organizatë të identifikojë çështjet e jashtme dhe të brendshme që janë të rëndësishme për objektivat e saj dhe që ndikojnë në aftësinë e ISMS -së së saj për të arritur rezultatet e pritshme. Duke vepruar kështu, ju duhet të merrni parasysh detyrimet ligjore, rregullatore dhe kontraktuale të sigurisë së informacionit. Organizata gjithashtu duhet të përcaktojë dhe dokumentojë fushën dhe zbatueshmërinë e ISMS në mënyrë që të përcaktojë fushëveprimin e saj.

Lidershipi

Menaxhmenti i lartë duhet të demonstrojë lidership dhe përkushtim ndaj sistemit të menaxhimit të sigurisë së informacionit, për shembull, duke siguruar që politika e sigurisë së informacionit dhe objektivat e sigurisë së informacionit të krijohen dhe të përafrohen me strategjinë e organizatës. Gjithashtu, menaxhmenti i lartë duhet të sigurojë që të sigurohen të gjitha burimet e nevojshme për ISMS. Me fjalë të tjera, duhet të jetë e qartë për punonjësit se menaxhmenti është i përfshirë në çështjet e sigurisë së informacionit.

Politika e sigurisë së informacionit duhet të dokumentohet dhe t'u komunikohet punonjësve. Ky dokument i ngjan politikës së cilësisë ISO 9001. Ai gjithashtu duhet të jetë i përshtatshëm për qëllimin e organizatës dhe të përfshijë objektivat e sigurisë së informacionit. Goodshtë mirë nëse këto janë qëllime reale, të tilla si ruajtja e konfidencialitetit dhe integritetit të informacionit.

Menaxhmenti gjithashtu pritet të shpërndajë funksionet dhe përgjegjësitë në lidhje me sigurinë e informacionit midis punonjësve.

Planifikimi

Në këtë seksion ne vijmë në fazën e parë të parimit të menaxhimit të PDCA (Plan - Bëj - Kontrollo - Vepro) - planifikoni, ekzekutoni, kontrolloni, veproni.

Kur planifikoni një sistem të menaxhimit të sigurisë së informacionit, organizata duhet të marrë parasysh çështjet e përmendura në pikën 4 dhe të përcaktojë rreziqet dhe mundësitë e mundshme që duhet të merren parasysh në mënyrë që të sigurohet që ISMS të arrijë rezultatet e pritshme, të parandalojë efektet e padëshiruara, dhe të arrihet përmirësim i vazhdueshëm.

Kur planifikon se si të arrijë objektivat e saj të sigurisë së informacionit, organizata duhet të përcaktojë:

  • çfarë do të bëhet;
  • çfarë burimesh do të kërkohen;
  • kush do të jetë në krye;
  • kur arrihen qëllimet;
  • si do të vlerësohen rezultatet.

Përveç kësaj, organizata do të mbajë të dhëna mbi objektivat e sigurisë së informacionit si informacion i dokumentuar.

Siguria

Organizata do të përcaktojë dhe sigurojë burimet e nevojshme për zhvillimin, zbatimin, mirëmbajtjen dhe përmirësimin e vazhdueshëm të ISMS, kjo përfshin si personelin ashtu edhe dokumentacionin. Në lidhje me personelin, organizata pritet të rekrutojë personel të kualifikuar dhe kompetent të sigurisë së informacionit. Kualifikimet e punonjësve duhet të konfirmohen me certifikata, diploma, etj. Isshtë e mundur të tërhiqni specialistë të palëve të treta sipas një kontrate, ose të trajnoni punonjësit tuaj. Sa i përket dokumentacionit, ai duhet të përfshijë:

  • informacion i dokumentuar i kërkuar nga Standardi;
  • informacioni i dokumentuar i përcaktuar nga organizata të jetë i nevojshëm për të siguruar efektivitetin e sistemit të menaxhimit të sigurisë së informacionit.

Informacioni i dokumentuar i kërkuar nga ISMS dhe Standardi duhet të kontrollohet për të siguruar që ai:

  • të disponueshme dhe të përshtatshme për përdorim ku dhe kur është e nevojshme, dhe
  • mbrojtur në mënyrë të përshtatshme (për shembull, nga humbja e konfidencialitetit, keqpërdorimi ose humbja e integritetit).

Duke funksionuar

Ky seksion flet për fazën e dytë të parimit të qeverisjes PDCA - nevojën që një organizatë të menaxhojë proceset e saj për të siguruar pajtueshmërinë dhe për të kryer aktivitetet e identifikuara në pjesën e Planifikimit. Ai gjithashtu thekson se një organizatë duhet të kryejë vlerësime të rrezikut të sigurisë së informacionit në intervale të planifikuara ose kur propozohen ose ndodhin ndryshime të rëndësishme. Organizata do të mbajë rezultatet e vlerësimit të rrezikut të sigurisë së informacionit si informacion i dokumentuar.

Vlerësimi i performancës

Faza e tretë është verifikimi. Organizata do të vlerësojë funksionimin dhe efektivitetin e ISMS. Për shembull, ai duhet të kryejë një auditim të brendshëm në mënyrë që të marrë informacion nëse

  1. A është i qëndrueshëm sistemi i menaxhimit të sigurisë së informacionit
    • kërkesat e vetë organizatës për sistemin e saj të menaxhimit të sigurisë së informacionit;
    • kërkesat e Standardit;
  2. se sistemi i menaxhimit të sigurisë së informacionit zbatohet dhe funksionon në mënyrë efektive.

Shkon pa thënë se qëllimi dhe koha e auditimeve duhet të planifikohen paraprakisht. Të gjitha rezultatet duhet të dokumentohen dhe ruhen.

Përmirësimi

Qëllimi i këtij seksioni është përcaktimi i rrjedhës së veprimit kur zbulohet një mospërputhje. Organizata duhet të korrigjojë mospërputhjet, pasojat dhe të analizojë situatën në mënyrë që kjo të mos ndodhë në të ardhmen. Të gjitha mospërputhjet dhe veprimet korrigjuese duhet të dokumentohen.

Kjo përfundon pjesët kryesore të Standardit. Shtojca A siguron kërkesa më specifike që duhet të plotësohen nga një organizatë. Për shembull, në drejtim të kontrollit të hyrjes, përdorni pajisjet mobile dhe bartësit e informacionit.

Përfitimet nga zbatimi dhe certifikimi i ISO 27001

  • rritja e statusit të organizatës dhe, në përputhje me rrethanat, besimi i partnerëve;
  • rritjen e stabilitetit të funksionimit të organizatës;
  • rritjen e nivelit të mbrojtjes kundër kërcënimeve të sigurisë së informacionit;
  • sigurimi i nivelit të kërkuar të konfidencialitetit të informacionit të palëve të interesuara;
  • zgjerimin e aftësisë së organizatës për të marrë pjesë në kontrata të mëdha.

Përfitimet ekonomike janë:

  • konfirmim i pavarur nga organi certifikues se organizata ka një nivel të lartë të sigurisë së informacionit të kontrolluar nga personeli kompetent;
  • dëshmi të pajtueshmërisë me ligjet dhe rregulloret në fuqi (pajtueshmëria me sistemin e kërkesave të detyrueshme);
  • demonstrimi i një niveli të caktuar të lartë të sistemeve të menaxhimit për të siguruar nivelin e duhur të shërbimit ndaj klientëve dhe partnerëve të organizatës;
  • Demonstrimi i auditimeve të rregullta të sistemeve të menaxhimit, vlerësimi i performancës dhe përmirësimi i vazhdueshëm.

Certifikimi

Një organizatë mund të certifikohet nga agjenci të akredituara në përputhje me këtë standard. Procesi i certifikimit përbëhet nga tre faza:

  • Faza e parë - studimi i auditorit për dokumentet kryesore ISMS për pajtueshmërinë me kërkesat e Standardit - mund të kryhet si në territorin e organizatës ashtu edhe duke i transferuar këto dokumente te një auditor i jashtëm;
  • Faza e dytë - auditimi i detajuar, përfshirë testimin e masave të zbatuara, dhe vlerësimin e efektivitetit të tyre. Përfshin një studim të plotë të dokumenteve të kërkuara nga standardi;
  • Faza e tretë - zbatimi i një kontrolli inspektimi për të konfirmuar që organizata e certifikuar plotëson kërkesat e deklaruara. Kryhet në mënyrë periodike.

Rezultati

Siç mund ta shihni, përdorimi i këtij standardi në ndërmarrje do të lejojë përmirësimin cilësor të nivelit të sigurisë së informacionit, i cili është i shtrenjtë në kushtet e realiteteve moderne. Standardi përmban shumë kërkesa, por kërkesa më e rëndësishme është të bësh atë që është shkruar! Pa zbatuar në të vërtetë kërkesat e standardit, ai kthehet në një grup të zbrazët copash letre.

GOST R ISO / IEC 27001-2006 “Teknologjia e informacionit. Metodat dhe mjetet për të siguruar sigurinë. Sistemet e menaxhimit të sigurisë së informacionit. Kërkesat"

Zhvilluesit e standardit vërejnë se është përgatitur si një model për zhvillimin, zbatimin, funksionimin, monitorimin, analizën, mbështetjen dhe përmirësimin e sistemit të menaxhimit të sigurisë së informacionit (ISMS). Një ISMS (sistemi i menaxhimit të sigurisë së informacionit; ISMS) përcaktohet si pjesë e sistemit të përgjithshëm të menaxhimit bazuar në përdorimin e metodave të vlerësimit të rrezikut të biznesit për zhvillimin, zbatimin, funksionimin, monitorimin, analizën, mbështetjen dhe përmirësimin e sigurisë së informacionit. Një sistem menaxhimi përfshin një strukturë organizative, politika, aktivitete planifikimi, përgjegjësi, praktika, procedura, procese dhe burime.

Standardi supozon përdorimin e një qasjeje procesi për zhvillimin, zbatimin, funksionimin, monitorimin, analizën, mbështetjen dhe përmirësimin e ISMS të organizatës. Ai bazohet në modelin Plan - Bëj - Kontrollo - Akt (PDCA), i cili mund të zbatohet për të strukturuar të gjitha proceset ISMS. Ne fig 4.4 tregon sesi një ISMS, duke përdorur kërkesat e sigurisë së informacionit dhe rezultatet e pritshme të palëve të interesuara si input, përmes veprimeve dhe proceseve të nevojshme, prodhon rezultate të sigurisë së informacionit që plotësojnë këto kërkesa dhe rezultatet e pritshme.

Oriz. 4.4

Në skenë "Zhvillimi i një sistemi të menaxhimit të sigurisë së informacionit" organizata duhet të bëjë sa më poshtë:

  • - të përcaktojë fushëveprimin dhe kufijtë e ISMS;
  • - përcaktoni politikën e ISMS bazuar në karakteristikat e biznesit, organizatës, vendndodhjes së tij, aseteve dhe teknologjive;
  • - të përcaktojë qasjen ndaj vlerësimit të rrezikut në organizatë;
  • - identifikoni rreziqet;
  • - të analizojë dhe vlerësojë rreziqet;
  • - identifikoni dhe vlerësoni opsionet e ndryshme për trajtimin e rrezikut;
  • - zgjidhni objektivat dhe kontrollet për trajtimin e rrezikut;
  • - të marrë miratimin e menaxhmentit për rreziqet e pritshme të mbetura;
  • - të marrë leje nga menaxhmenti për zbatimin dhe funksionimin e ISMS;
  • - përgatitni një Deklaratë të Zbatueshmërisë.

Fazë " Zbatimi dhe funksionimi i sistemit të menaxhimit të sigurisë së informacionit " sugjeron që organizata duhet:

  • - të zhvillojë një plan të trajtimit të rrezikut që përcakton veprimet, burimet, përgjegjësitë dhe përparësitë e duhura të menaxhimit për menaxhimin e rrezikut të sigurisë së informacionit;
  • - të zbatojë një plan të trajtimit të rrezikut për të arritur objektivat e synuara të menaxhimit, i cili përfshin çështjet e financimit, si dhe shpërndarjen e roleve dhe përgjegjësive;
  • - të zbatojë masat e përzgjedhura të menaxhimit;
  • - të përcaktojë mënyrën e matjes së efektivitetit të masave të përzgjedhura të kontrollit;
  • - të zbatojë programe trajnimi dhe zhvillimi profesional për punonjësit;
  • - të menaxhojë punën e ISMS;
  • - të menaxhojë burimet e ISMS;
  • - të zbatojë procedurat dhe masat e tjera të kontrollit për të siguruar zbulimin e shpejtë të ngjarjeve të sigurisë së informacionit dhe përgjigjen ndaj incidenteve të sigurisë së informacionit.

Faza e tretë " Monitorimi dhe analiza e sistemit të menaxhimit të sigurisë së informacionit " kërkon:

  • - të kryejë procedura monitorimi dhe analize;
  • - të bëjë analiza të rregullta të efektivitetit të ISMS;
  • - mat efektivitetin e kontrolleve për të verifikuar pajtueshmërinë me kërkesat e IS;
  • - të rishikojë vlerësimet e rrezikut në intervale të caktuara kohore, të analizojë rreziqet e mbetura dhe të përcaktojë nivelet e pranueshme të rrezikut, duke marrë parasysh ndryshimet;
  • - të kryejë auditime të brendshme të ISMS në intervale të caktuara kohore;
  • - të kryejë rregullisht një analizë të ISMS nga menaxhmenti i organizatës në mënyrë që të konfirmojë përshtatshmërinë e funksionimit të ss dhe të përcaktojë drejtimet për përmirësim;
  • - përditësimi i planeve të IS duke marrë parasysh rezultatet e analizës dhe monitorimit;
  • - regjistroni veprimet dhe ngjarjet që mund të ndikojnë në efektivitetin ose funksionimin e ISMS.

Më në fund, skena "Mbështetje dhe përmirësim i sistemit të menaxhimit të sigurisë së informacionit" sugjeron që organizata duhet të kryejë rregullisht aktivitetet e mëposhtme:

  • - identifikoni mundësitë për përmirësimin e ISMS;
  • - të ndërmarrin veprimet e nevojshme korrigjuese dhe parandaluese, të përdorin në praktikë përvojën e IS të fituar si në organizatën e tyre ashtu edhe në organizatat e tjera;
  • - transferimi i informacionit të detajuar mbi veprimet për përmirësimin e ISMS tek të gjitha palët e interesuara, ndërsa shkalla e detajeve të tij duhet të korrespondojë me rrethanat dhe, nëse është e nevojshme, të pajtohet për veprime të mëtejshme;
  • - të sigurojë zbatimin e përmirësimeve në ISMS për të arritur objektivat e planifikuara.

Më tej në standard, jepen kërkesat për dokumentacion, të cilat duhet të përfshijnë dispozitat e politikës ISMS dhe një përshkrim të zonës së operimit, një përshkrim të metodologjisë dhe një raport të vlerësimit të rrezikut, një plan të trajtimit të rrezikut dhe dokumentacion të procedurave të ndërlidhura. Një proces për menaxhimin e dokumenteve ISMS gjithashtu duhet të përcaktohet, duke përfshirë azhurnimin, përdorimin, ruajtjen dhe asgjësimin.

Për të siguruar dëshmi të pajtueshmërisë me kërkesat dhe efektivitetin e ISMS, është e nevojshme të mbani dhe mbani shënime dhe regjistrime të ekzekutimit të proceseve. Shembujt përfshijnë regjistrat e vizitorëve, raportet e auditimit, etj.

Standardi specifikon që menaxhmenti i organizatës është përgjegjës për sigurimin dhe menaxhimin e burimeve të nevojshme për krijimin e një ISMS dhe për organizimin e trajnimeve për personelin.

Siç është theksuar më parë, organizata duhet të kryejë auditime të brendshme ISMS në përputhje me një orar të miratuar për të vlerësuar funksionalitetin dhe përputhshmërinë e tij me standardin. Dhe menaxhmenti duhet të bëjë një analizë të sistemit të menaxhimit të sigurisë së informacionit.

Gjithashtu, duhet të punohet për të përmirësuar sistemin e menaxhimit të sigurisë së informacionit: për të rritur efektivitetin e tij dhe nivelin e pajtueshmërisë me gjendjen aktuale të sistemit dhe kërkesat për të.

(ISMS)- ajo pjesë e sistemit të përgjithshëm të menaxhimit që bazohet në një qasje të rrezikut të biznesit në krijimin, zbatimin, funksionimin, monitorimin, analizën, mbështetjen dhe përmirësimin e sigurisë së informacionit.

Nëse është ndërtuar në përputhje me kërkesat e ISO / IEC_27001, bazohet në modelin PDCA:

    Planifikoni(Planifikimi) - faza e krijimit të një ISMS, krijimi i një liste të aseteve, vlerësimi i rrezikut dhe përzgjedhja e masave;
    Bëj(Veprimi) - faza e zbatimit dhe zbatimit të masave të përshtatshme;
    Kontrolloni(Verifikimi) - Faza e vlerësimit të efektivitetit dhe performancës së ISMS. Zakonisht kryhet nga auditorë të brendshëm.
    Vepro(Përmirësimet) - zbatimi i veprimeve parandaluese dhe korrigjuese;

Koncepti i sigurisë së informacionit

Standardi ISO 27001 përcakton sigurinë e informacionit si: “ruajtja e konfidencialitetit, integritetit dhe disponueshmërisë së informacionit; përveç kësaj, pronat e tjera mund të përfshihen, të tilla si origjinaliteti, mospranimi, besueshmëria ".

Konfidencialiteti - sigurimi i disponueshmërisë së informacionit vetëm për ata që kanë autoritetin e duhur (përdoruesit e autorizuar).

Integriteti - sigurimi i saktësisë dhe plotësisë së informacionit, si dhe metodave të përpunimit të tij.

Disponueshmëria - sigurimi i qasjes në informacion për përdoruesit e autorizuar kur është e nevojshme (sipas kërkesës).

4 Sistemi i menaxhimit të sigurisë së informacionit

4.1 Kërkesat e përgjithshme

Organizata do të krijojë, zbatojë, përdorë, kontrollojë, rishikojë, mirëmbajë dhe përmirësojë dispozitat e dokumentuara të ISMS përgjatë aktiviteteve të biznesit të organizatës dhe rreziqet me të cilat përballet. Për përfitimin praktik të këtij Standardi Ndërkombëtar, procesi i përdorur bazohet në modelin PDCA të treguar në Fig. 1

4.2 Krijimi dhe menaxhimi i një ISMS

4.2.1 Krijimi i një ISMS

Organizata duhet të bëjë sa më poshtë.

a) Duke marrë parasysh specifikat e aktiviteteve të organizatës, vetë organizata, vendndodhja, asetet dhe teknologjia e saj, përcaktoni fushëveprimin dhe kufijtë e ISMS, duke përfshirë detaje dhe arsyetime për përjashtimin e çdo dispozite të dokumentit nga drafti ISMS (shih 1.2 )

b) Duke marrë parasysh specifikat e aktiviteteve të organizatës, vetë organizata, vendndodhja, asetet dhe teknologjia e saj, zhvilloni një politikë ISMS që:

1) përfshin një sistem për përcaktimin e qëllimeve (objektivave) dhe përcakton drejtimin e përgjithshëm të menaxhimit dhe parimet e veprimit në lidhje me sigurinë e informacionit;

2) merr parasysh kërkesat e biznesit dhe ligjore ose rregullatore, detyrimet e sigurisë kontraktuale;

3) i bashkëngjitet mjedisit strategjik të menaxhimit të rrezikut në të cilin bëhet krijimi dhe mirëmbajtja e një ISMS;

4) përcakton kriteret kundër të cilëve rreziku do të vlerësohet (shih 4.2.1 c)); dhe

5) miratuar nga menaxhmenti.

SH NOTNIM: Për qëllimet e këtij Standardi Ndërkombëtar, një politikë ISMS është një grup i zgjeruar i politikave të sigurisë së informacionit. Këto politika mund të përshkruhen në një dokument.

c) Zhvilloni një kuadër për vlerësimin e rrezikut në organizatë.

1) Përcaktoni një metodologji të vlerësimit të rrezikut që është e përshtatshme për ISMS dhe kërkesat e përcaktuara të sigurisë së informacionit të biznesit, ligjore dhe rregullatore.

2) Zhvilloni kritere për pranimin e rrezikut dhe përcaktoni nivelet e pranueshme të rrezikut (shih 5.1f).

Metodologjia e zgjedhur e vlerësimit të rrezikut duhet të sigurojë që vlerësimi i rrezikut të prodhojë rezultate të krahasueshme dhe të riprodhueshme.

SHENIM: Ekzistojnë metodologji të ndryshme të vlerësimit të rrezikut. Shembuj të metodologjive të vlerësimit të rrezikut merren parasysh në ISO / IEC TU 13335-3, Teknologjia e informacionit - Rekomandimet e MenaxhimitITSiguria - Teknikat e MenaxhimitITSiguria.

d) Identifikoni rreziqet.

1) Përcaktoni aktivet brenda fushëveprimit të ISMS dhe pronarëve2 (2 Termi "pronar" identifikohet me një individ ose njësi ekonomike që është miratuar të jetë përgjegjës për kontrollin e prodhimit, zhvillimit Mirëmbajtja, aplikimi dhe siguria e aseteve. Termi "pronar" nuk do të thotë që personi në fakt ka ndonjë të drejtë pronësie mbi aktivin) e këtyre pasurive.

2) Identifikoni rreziqet për këto pasuri.

3) Identifikoni dobësitë në sistemin e mbrojtjes.

4) Identifikoni ndikimet që shkatërrojnë konfidencialitetin, integritetin dhe disponueshmërinë e aseteve.

e) Analizoni dhe vlerësoni rreziqet.

1) Vlerësoni dëmin ndaj biznesit të organizatës që mund të shkaktohet nga dështimi i sistemit të mbrojtjes, si dhe pasojë e shkeljes së konfidencialitetit, integritetit ose disponueshmërisë së aseteve.

2) Përcaktoni gjasat e një dështimi të sigurisë në dritën e rreziqeve dhe dobësive mbizotëruese, ndikimeve dhe kontrolleve të lidhura me pasuritë aktualisht në fuqi.

3) Vlerësoni nivelet e rrezikut.

4) Përcaktoni pranueshmërinë e rrezikut, ose kërkoni që ai të zvogëlohet, duke përdorur kriteret e pranueshmërisë së rrezikut të përcaktuara në 4.2.1c) 2).

f) Identifikoni dhe vlerësoni instrumentet për zvogëlimin e rrezikut.

Veprimet e mundshme përfshijnë:

1) Aplikimi i kontrolleve të përshtatshme;

2) Pranimi i ndërgjegjshëm dhe objektiv i rreziqeve, duke siguruar pajtueshmërinë e tyre të pakushtëzuar me kërkesat e politikës së organizatës dhe kriteret për tolerancën ndaj rrezikut (shih 4.2.1c) 2));

3) Shmangia e rrezikut; dhe

4) Transferimi i rreziqeve përkatëse të biznesit tek një palë tjetër, për shembull, kompanitë e sigurimeve, furnizuesit.

g) Zgjidhni detyrat dhe kontrollet për të zbutur rreziqet.

Detyrat dhe kontrollet duhet të zgjidhen dhe zbatohen në përputhje me kërkesat e përcaktuara nga procesi i vlerësimit dhe zvogëlimit të rrezikut. Kjo zgjedhje duhet të marrë parasysh si kriteret për tolerancën ndaj rrezikut (shih 4.2.1c) 2)) ashtu edhe kërkesat ligjore, rregullatore dhe kontraktuale.

Detyrat dhe kontrollet nga Shtojca A duhet të zgjidhen si pjesë e këtij procesi për të përmbushur kërkesat e specifikuara.

Meqenëse jo të gjitha detyrat dhe kontrollet janë të listuara në Shtojcën A, mund të zgjidhen detyra shtesë.

SH NOTNIM: Shtojca A përmban një listë gjithëpërfshirëse të objektivave të menaxhimit që janë identifikuar si më të rëndësishme për organizatat. Për të mos humbur një pikë të vetme të rëndësishme nga opsionet e kontrollit, përdorimi i këtij Standardi Ndërkombëtar duhet të udhëhiqet nga Shtojca A si pika fillestare për kontrollin e kampionimit.

h) Të arrijë miratimin e menaxhimit të rreziqeve të pritshme të mbetura.

4) të lehtësojë zbulimin e ngjarjeve të sigurisë dhe kështu, duke përdorur tregues të caktuar, të parandalojë incidentet e sigurisë; dhe

5) përcaktoni efektivitetin e veprimeve të ndërmarra për të parandaluar shkeljet e sigurisë.

b) Kryeni rishikime të rregullta të efektivitetit të ISMS (përfshirë diskutimin e politikës ISMS dhe objektivat e tij, rishikimin e kontrolleve të sigurisë), duke marrë parasysh rezultatet e auditimeve, incidentet, rezultatet e matjeve të performancës, sugjerimet dhe rekomandimet e të gjitha palëve të interesuara Me

c) Vlerësoni efektivitetin e kontrolleve për të përcaktuar nëse kërkesat e sigurisë po përmbushen.

d) Kontrolloni vlerësimin e rrezikut për periudhat e planifikuara dhe kontrolloni rreziqet e mbetura dhe tolerancat e rrezikut, duke marrë parasysh ndryshimet në:

1) organizatat;

2) teknologjia;

3) qëllimet dhe proceset e biznesit;

4) kërcënimet e identifikuara;

5) efektiviteti i mjeteve të zbatuara të menaxhimit; dhe

6) ngjarjet e jashtme, të tilla si ndryshimet në mjedisin ligjor dhe menaxhues, ndryshuan detyrimet kontraktuale, ndryshimet në klimën shoqërore.

e) Kryerja e auditimeve të brendshme të ISMS gjatë periudhave të planifikuara (shih 6)

SH NOTNIM: Auditimet e brendshme, nganjëherë të quajtura auditime parësore, kryhen në emër të vetë organizatës për qëllimet e veta.

f) Rishikoni menaxhimin e ISMS në baza të rregullta për të siguruar që situata të mbetet e vlefshme dhe që ISMS është duke u përmirësuar.

g) Përditësimi i planeve të sigurisë bazuar në gjetjet e monitorimit dhe auditimit.

h) Regjistroni veprimet dhe ngjarjet që mund të ndikojnë në efektivitetin ose performancën e ISMS (shih 4.3.3).

4.2.4 Mirëmbajtja dhe përmirësimi i ISMS

Organizata duhet të bëjë vazhdimisht sa vijon.

a) Zbatimi i rregullimeve specifike në ISMS.

b) Të ndërmarrë veprimet e duhura korrigjuese dhe parandaluese në përputhje me 8.2 dhe 8.3. Aplikoni njohuritë e marra nga vetë organizata dhe nga përvoja e organizatave të tjera.

c) Komunikojnë veprimet dhe përmirësimet e tyre për të gjitha palët e interesuara në një nivel detajesh të përshtatshme për situatën; dhe, në përputhje me rrethanat, të koordinojnë veprimet e tyre.

d) Verifikoni që përmirësimet kanë arritur qëllimin e tyre të synuar.

4.3 Kërkesat për dokumentacion

4.3.1 Të përgjithshme

Dokumentacioni duhet të përfshijë protokolle (regjistrime) të vendimeve të menaxhimit, për të bindur se nevoja për veprim është për shkak të vendimeve dhe politikave të menaxhimit; dhe sigurojnë riprodhueshmërinë e rezultateve të regjistruara.

Shtë e rëndësishme të jeni në gjendje të demonstroni reagimet e kontrolleve të përzgjedhura në rezultatet e proceseve të vlerësimit të rrezikut dhe zvogëlimit të rrezikut, dhe më tej në politikën ISMS dhe objektivat e saj.

Dokumentacioni ISMS duhet të përfshijë:

a) një deklaratë të dokumentuar të politikës dhe objektivave të ISMS (shih 4.2.1b));

b) sigurimin e ISMS (shih 4.2.1a));

c) konceptin dhe kontrollet në mbështetje të ISMS;

d) një përshkrim të metodologjisë së vlerësimit të rrezikut (shih 4.2.1c));

e) raportin e vlerësimit të rrezikut (shih 4.2.1c) - 4.2.1g));

f) plani i zvogëlimit të rrezikut (shih 4.2.2b));

g) një koncept i dokumentuar i nevojshëm për organizatën që të planifikojë, operojë dhe menaxhojë në mënyrë efektive proceset e saj të sigurisë së informacionit dhe të përshkruajë sesi matet efektiviteti i kontrolleve (shih 4.2.3c));

h) dokumentet e kërkuara nga ky Standard Ndërkombëtar (shih 4.3.3); dhe

i) Deklarata e Zbatueshmërisë.

SH NOTNIM 1: Për qëllimet e këtij Standardi Ndërkombëtar, termi "koncept i dokumentuar" do të thotë që koncepti zbatohet, dokumentohet, zbatohet dhe ndiqet.

SH NOTNIM 2: Madhësia e dokumentacionit ISMS në organizata të ndryshme mund të ndryshojë në varësi të:

Madhësia e organizatës dhe lloji i aseteve të saj; dhe

Shkalla dhe kompleksiteti i kërkesave të sigurisë dhe sistemit të menaxhuar.

SHENIM 3: Dokumentet dhe raportet mund të dorëzohen në çdo formë.

4.3.2 Kontrolli i dokumentit

Dokumentet e kërkuara nga ISMS duhet të mbrohen dhe rregullohen. Shtë e nevojshme të miratohet procedura e dokumentacionit e nevojshme për të përshkruar veprimet e menaxhimit për:

a) përcaktimin e përputhshmërisë së dokumenteve me standarde të caktuara para publikimit të tyre;

b) kontrollimin dhe përditësimin e dokumenteve sipas nevojës, ri-miratimin e dokumenteve;

c) duke siguruar që ndryshimet të jenë në përputhje me gjendjen aktuale të dokumenteve të rishikuara;

d) sigurimin e disponueshmërisë së versioneve të rëndësishme të dokumenteve të vlefshme;

e) sigurimi që dokumentet janë të kuptueshëm dhe të lexueshëm;

f) vënien në dispozicion të dokumenteve për ata që kanë nevojë për to; si dhe transferimin, ruajtjen dhe përfundimisht shkatërrimin e tyre në përputhje me procedurat e aplikuara në varësi të klasifikimit të tyre;

g) përcaktimin e vërtetësisë së dokumenteve nga burime të jashtme;

h) kontrollimin e shpërndarjes së dokumenteve;

i) parandalimin e përdorimit të paqëllimshëm të dokumenteve të vjetëruara; dhe

j) aplikimi i një metode të përshtatshme identifikimi ndaj tyre nëse ato mbahen për çdo rast.

4.3.3 Kontrolli i regjistrimeve

Të dhënat duhet të krijohen dhe mirëmbahen për të siguruar dëshmi të përputhshmërisë dhe funksionimit efektiv të ISMS. Regjistrimet duhet të mbrohen dhe verifikohen. ISMS duhet të marrë parasysh çdo kërkesë ligjore dhe rregullatore dhe detyrimet kontraktuale. Regjistrimet duhet të jenë të kuptueshme, lehtësisht të identifikueshme dhe të rikuperueshme. Kontrollet e nevojshme për identifikimin, ruajtjen, mbrojtjen, rikuperimin, ruajtjen dhe shkatërrimin e shënimeve duhet të dokumentohen dhe zbatohen.

Të dhënat duhet të përfshijnë informacion mbi zbatimin e aktiviteteve të përshkruara në 4.2, dhe mbi të gjitha incidentet dhe incidentet që lidhen me sigurinë në lidhje me ISMS.

Shembuj të shënimeve janë libri i mysafirëve, regjistrat e auditimit dhe formularët e kompletuar të autorizimit të aksesit.

Dërgimi i punës suaj të mirë në bazën e njohurive është e thjeshtë. Përdorni formularin më poshtë

Studentët, studentët e diplomuar, shkencëtarët e rinj që përdorin bazën e njohurive në studimet dhe punën e tyre do t'ju jenë shumë mirënjohës.

Postuar ne http://www.allbest.ru/

"Sistemi i Menaxhimit të Sigurisë së Informacionit"

menaxhimin e standardeve ndërkombëtare

Vdrejtues

Një sistem i menaxhimit të sigurisë së informacionit është një grup procesesh që punojnë në një kompani për të siguruar konfidencialitetin, integritetin dhe disponueshmërinë e aseteve të informacionit. Pjesa e parë e esesë shqyrton procesin e zbatimit të një sistemi menaxhimi në një organizatë, dhe gjithashtu siguron aspektet kryesore të përfitimeve të zbatimit të një sistemi të menaxhimit të sigurisë së informacionit.

Fig. 1 Cikli i kontrollit

Lista e proceseve dhe rekomandimeve se si të organizohet më mirë funksionimi i tyre jepet në standardin ndërkombëtar ISO 27001: 2005, i cili bazohet në ciklin e menaxhimit Plan-Do-Check-Act. Sipas tij cikli i jetes ISMS përbëhet nga katër lloje të aktiviteteve: Krijimi - Zbatimi dhe funksionimi - Monitorimi dhe analiza - Mirëmbajtja dhe përmirësimi (Fig. 1). Ky standard do të diskutohet më hollësisht në pjesën e dytë.

MEsistemmenaxhimiinformacionsigurinë

Një sistem i menaxhimit të sigurisë së informacionit (ISMS) është ajo pjesë e sistemit të përgjithshëm të menaxhimit që bazohet në një qasje të rrezikut të biznesit në krijimin, zbatimin, funksionimin, monitorimin, analizën, mbështetjen dhe përmirësimin e sigurisë së informacionit. Proceset ISMS janë krijuar në përputhje me kërkesat e standardit ISO / IEC 27001: 2005, i cili bazohet në ciklin

Puna e sistemit bazohet në qasjet e teorisë moderne të rreziqeve të menaxhimit, e cila siguron integrimin e tij në sistemin e përgjithshëm të menaxhimit të rrezikut të organizatës.

Zbatimi i një sistemi të menaxhimit të sigurisë së informacionit nënkupton zhvillimin dhe zbatimin e një procedure që synon identifikimin, analizën dhe zbutjen sistematike të rreziqeve të sigurisë së informacionit, domethënë rreziqet si rezultat i të cilave pasuritë e informacionit (informacion në çdo formë dhe të çdo natyre) do të humbasë konfidencialitetin, integritetin dhe disponueshmërinë.

Për të siguruar zbutjen sistematike të rreziqeve të sigurisë së informacionit, bazuar në rezultatet e vlerësimit të rrezikut, proceset e mëposhtme po zbatohen në organizatë:

· Menaxhimi i organizimit të brendshëm të sigurisë së informacionit.

· Sigurimi i sigurisë së informacionit gjatë ndërveprimit me palët e treta.

· Menaxhimi i regjistrit të pasurive të informacionit dhe rregullat për klasifikimin e tyre.

· Menaxhimi i sigurisë së pajisjeve.

· Sigurimi i sigurisë fizike.

· Sigurimi i sigurisë së informacionit të personelit.

· Planifikimi dhe miratimi i sistemeve të informacionit.

· Rezervimi.

· Sigurimi i rrjetit.

Proceset e sistemit të menaxhimit të sigurisë së informacionit ndikojnë në të gjitha aspektet e menaxhimit të infrastrukturës IT të organizatës, pasi siguria e informacionit është rezultat i funksionimit të qëndrueshëm të proceseve të lidhura me teknologjinë e informacionit.

Kur ndërtoni një ISMS në kompani, specialistët kryejnë punën e mëposhtme:

· Organizoni menaxhimin e projektit, formoni një ekip projekti nga ana e klientit dhe kontraktuesit;

· Përcaktoni fushën e veprimtarisë (AO) të ISMS;

Anketoni organizatën në OMS ISMS:

o përsa i përket proceseve të biznesit të organizatës, përfshirë analizën pasojat negative incidentet e sigurisë së informacionit;

o përsa i përket proceseve të menaxhimit të organizatës, duke përfshirë menaxhimin ekzistues të cilësisë dhe proceset e menaxhimit të sigurisë së informacionit;

o përsa i përket infrastrukturës së TI -së;

o përsa i përket infrastrukturës së sigurisë së informacionit.

Zhvilloni dhe bini dakord për një raport analitik që përmban një listë të proceseve kryesore të biznesit dhe një vlerësim të pasojave të zbatimit të kërcënimeve të sigurisë së informacionit në lidhje me to, një listë të proceseve të menaxhimit, sistemeve të TI -së, nënsistemeve të sigurisë së informacionit (ISS), një vlerësimi i shkallës në të cilën organizata përmbush të gjitha kërkesat ISO 27001 dhe një vlerësim i pjekurisë së proceseve të organizatave;

· Zgjidhni nivelin fillestar dhe të synuar të maturimit të ISMS, zhvilloni dhe miratoni Programin e Përmirësimit të Pjekurisë ISMS; zhvilloni dokumentacion të nivelit të lartë të sigurisë së informacionit:

o Koncepti i sigurisë së informacionit,

o Politikat e IS dhe ISMS;

· Zgjedh dhe përshtat metodologjinë e vlerësimit të rrezikut të zbatueshëm në organizatë;

· Zgjedhni, shpërndani dhe vendosni softuer të përdorur për të automatizuar proceset ISMS, organizoni trajnime për specialistët e kompanisë;

· Vlerësoni dhe përpunoni rreziqet, gjatë të cilave përzgjidhen masat e Shtojcës A të standardit 27001 për t'i zvogëluar ato dhe formulohen kërkesat për zbatimin e tyre në organizatë, mjetet teknike të sigurisë së informacionit janë para-zgjedhur;

· Zhvilloni modele paraprake të PIB, vlerësoni koston e trajtimit të rrezikut;

· Organizoni miratimin e vlerësimit të rrezikut nga menaxhmenti i lartë i organizatës dhe zhvilloni Deklaratën e Zbatueshmërisë; zhvillojnë masa organizative për të siguruar sigurinë e informacionit;

· Zhvilloni dhe zbatoni projekte teknike mbi zbatimin e nënsistemeve teknike të sigurisë së informacionit që mbështesin zbatimin e masave të zgjedhura, duke përfshirë furnizimin me pajisje, komisionimin, zhvillimin e dokumentacionit operacional dhe trajnimin e përdoruesve;

· Siguroni konsultime gjatë funksionimit të ISMS -it të ndërtuar;

· Organizimi i trajnimeve për auditorët e brendshëm dhe kryerja e auditimeve të brendshme të ISMS.

Rezultati i këtyre punimeve është një ISMS funksionale. Përfitimet nga zbatimi i një ISMS në një kompani arrihen përmes:

· Menaxhim efektiv i pajtueshmërisë me kërkesat ligjore dhe kërkesat e biznesit në fushën e sigurisë së informacionit;

· Parandalimi i incidenteve të IS dhe zvogëlimi i dëmit në rast të ndodhjes së tyre;

· Rritja e kulturës së sigurisë së informacionit në organizatë;

· Rritja e pjekurisë në fushën e menaxhimit të sigurisë së informacionit;

· Optimizimi i shpenzimeve për sigurinë e informacionit.

ISO / IEC27001-- ndërkombëtarestandardeinformacionsigurinë

Ky standard është zhvilluar së bashku nga Organizata Ndërkombëtare për Standardizim (ISO) dhe Komisioni Elektroteknik Ndërkombëtar (IEC). Standardi përmban kërkesa për sigurinë e informacionit për krijimin, zhvillimin dhe mirëmbajtjen e një ISMS. ISO 27001 specifikon kërkesat për një ISMS për të demonstruar aftësinë e një organizate për të mbrojtur asetet e saj të informacionit. Standardi ndërkombëtar përdor konceptin e "mbrojtjes së informacionit" dhe interpretohet si sigurimi i konfidencialitetit, integritetit dhe disponueshmërisë së informacionit. Baza e standardit është sistemi i menaxhimit të rrezikut të informacionit. Ky standard mund të përdoret gjithashtu për të vlerësuar konformitetin nga palët e interesuara të brendshme dhe të jashtme.

Standardi miraton një qasje procesi për të krijuar, zbatuar, operuar, monitoruar vazhdimisht, analizuar, mirëmbajtur dhe përmirësuar një sistem të menaxhimit të sigurisë së informacionit (ISMS). Ai konsiston në aplikimin e një sistemi procesesh brenda një organizate, së bashku me identifikimin dhe ndërveprimin e këtyre proceseve, si dhe menaxhimin e tyre.

Standardi ndërkombëtar miraton modelin Plan-Do-Check-Act (PDCA), i cili quhet edhe cikli Shewhart-Deming. Ky cikël përdoret për të strukturuar të gjitha proceset ISMS. Figura 2 tregon se si ISMS merr kërkesat e sigurisë së informacionit dhe pritjet e palëve të interesuara si input dhe përmes veprimeve dhe proceseve të nevojshme prodhon rezultate të sigurisë së informacionit që plotësojnë ato kërkesa dhe pritshmëri.

Planifikimi është faza e krijimit të një ISMS, krijimi i një inventari të pasurive, vlerësimi i rreziqeve dhe zgjedhja e masave.

Figura 2. Modeli PDCA i aplikuar në proceset ISMS

Zbatimi është faza e zbatimit dhe zbatimit të masave të përshtatshme.

Rishikimi është faza e vlerësimit të efektivitetit dhe performancës së ISMS. Zakonisht kryhet nga auditorë të brendshëm.

Veprim - marrja e veprimeve parandaluese dhe korrigjuese.

Vpërfundimet

ISO 27001 përshkruan një model të përgjithshëm për zbatimin dhe funksionimin e një ISMS dhe veprimet për të monitoruar dhe përmirësuar një ISMS. ISO synon të harmonizojë standardet e ndryshme të sistemit të menaxhimit siç janë ISO / IEC 9001: 2000, që merret me menaxhimin e cilësisë, dhe ISO / IEC 14001: 2004, i cili merret me sistemet e menaxhimit të mjedisit. Qëllimi i ISO është të sigurojë qëndrueshmëri dhe integrim të ISMS me sistemet e tjera të menaxhimit në kompani. Ngjashmëria e standardeve lejon përdorimin e mjeteve dhe funksioneve të ngjashme për zbatimin, menaxhimin, rishikimin, verifikimin dhe certifikimin. Nënkuptimi është se nëse një kompani ka zbatuar standarde të tjera të menaxhimit, ajo mund të përdorë një sistem të unifikuar të auditimit dhe menaxhimit që është i zbatueshëm për menaxhimin e cilësisë, menaxhimin e mjedisit, menaxhimin e sigurisë, etj. Duke zbatuar një ISMS, menaxhmenti i lartë fiton mjetet për të monitoruar dhe menaxhuar sigurinë, gjë që zvogëlon rreziqet e biznesit të mbetur. Pas zbatimit të një ISMS, kompania mund të sigurojë zyrtarisht sigurinë e informacionit dhe të vazhdojë të jetë në përputhje me kërkesat e klientëve, legjislacionit, rregullatorëve dhe aksionarëve.

Duhet të theksohet se në legjislacionin e Federatës Ruse ekziston një dokument GOST R ISO / IEC 27001-2006, i cili është një version i përkthyer i standardit ndërkombëtar ISO27001.

MEkërcitjeletërsi

1. Korneev I.R., Belyaev A.V. Siguria e informacionit të ndërmarrjes. - SPb.: BHV-Petersburg, 2003 .-- 752 f.: Sëmurë.

2. Standardi ndërkombëtar ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (data e qasjes: 05/23/12)

3. Standardi kombëtar Federata Ruse GOST R ISO/IEC 27003-"Teknologjia e informacionit. Metodat e sigurisë. Udhëzime për zbatimin e një sistemi të menaxhimit të sigurisë së informacionit" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (data e aksesuar: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Udhëzime për mbrojtjen nga kërcënimet e brendshme ndaj sigurisë së informacionit. SPb.: Peter, 2008.- 320 f.: Sëmurë

5. Artikulli i enciklopedisë falas "Wikipedia", "Sistemi i menaxhimit

siguria e informacionit "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (data e qasur: 23.05.12)

6. Sigurjon Thor Arnason dhe Keith D. Willett "Si të Arrini Certifikimin 27001"

Postuar në Allbest.ru

Dokumente të ngjashme

    Kërcënimet e sigurisë së informacionit në ndërmarrje. Identifikimi i mangësive në sistemin e sigurisë së informacionit. Qëllimet dhe objektivat e formimit të sistemit të sigurisë së informacionit. Masat e propozuara për të përmirësuar sistemin e sigurisë së informacionit të organizatës.

    letër me afat, shtuar 02/03/2011

    Analiza e sistemit të sigurisë së informacionit në ndërmarrje. Shërbimi i Sigurisë së Informacionit. Kërcënimet e sigurisë së informacionit të ndërmarrjeve specifike. Metodat dhe mjetet e mbrojtjes së informacionit. Modeli i sistemit të informacionit nga një perspektivë e sigurisë.

    letër me afat, shtuar 02/03/2011

    Fazat kryesore të krijimit të një sistemi menaxhimi në ndërmarrje Industria ushqimore... HACCP si shtylla kurrizore e çdo sistemi të menaxhimit të sigurisë ushqimore. Sistemi i menaxhimit të sigurisë së ushqimit. Faktorët e rrezikshëm dhe veprimet parandaluese.

    abstrakte e shtuar më 10/10/2014

    Sistemet moderne të menaxhimit dhe integrimi i tyre. Sisteme të integruara të menaxhimit të cilësisë. Përshkrimi i SHA "275 ARZ" dhe sistemit të tij të menaxhimit. Zhvillimi i një sistemi të menaxhimit të sigurisë në punë. Metodat për vlerësimin e një sistemi të integruar të sigurisë.

    tezë, shtuar 07/31/2011

    Zbatimi i një sistemi të menaxhimit të cilësisë. Certifikimi i sistemeve të menaxhimit të cilësisë (ISO 9000), menaxhimi mjedisor (ISO 14000), sistemet e menaxhimit të shëndetit dhe sigurisë së organizatave (OHSAS 18 001: 2007) në shembullin e OJSC "Lenta".

    abstrakte, shtuar 10/06/2008

    Zhvillimi i një standardi për organizimin e një sistemi të integruar menaxhimi që krijon një procedurë të unifikuar për zbatimin e procesit të menaxhimit të dokumenteve. Fazat e krijimit të sistemit të menaxhimit të cilësisë të SHA "ZSMK". Akomodimi versionet elektronike dokumentet.

    tezë, shtuar 06/01/2014

    Diagrami hierarkik i punonjësve. Mjetet e sigurisë së informacionit. Pyetje për gjendjen e sigurisë. Diagrami i rrjedhave të informacionit të ndërmarrjes. Metodat për monitorimin e integritetit të sistemit të informacionit. Modelimi i kontrollit të aksesit në informacionin e shërbimit.

    letër me afat, shtuar 12/30/2011

    Koncepti i një sistemi informacioni menaxhimi dhe vendi i tij në sistem të përbashkët menaxhimi. Llojet e sistemeve të informacionit dhe përmbajtja e tyre. Koncepti i menaxhimit si një sistem informacioni. Funksionet e sistemit të menaxhimit financiar. Sistemet për të bërë marrëveshje dhe operacione.

    abstrakte e shtuar më 01/06/2015

    Konceptet në fushën e shëndetit dhe sigurisë në punë. Standardet ndërkombëtare ISO në sistemet e menaxhimit të cilësisë, sistemet e menaxhimit të mjedisit, sistemet e menaxhimit të sigurisë dhe shëndetit në punë. Përshtatja e standardit OHSAS 18001-2007.

    letër me afat, shtuar 21/12/2014

    Karakteristike Menaxhimi i informacionit; subjektet e informacionit dhe marrëdhënieve juridike; regjimi ligjor për marrjen, transferimin, ruajtjen dhe përdorimin e informacionit. Karakteristikat dhe aspektet ligjore të shkëmbimit të informacionit dhe sigurisë së informacionit.

Publikime të ngjashme