Sistemi i menaxhimit të sigurisë së informacionit. Baza legjislative e Federatës Ruse. Menaxhimi i Riskut të Informacionit

Në botë teknologjitë e informacionitçështja e sigurimit të integritetit, besueshmërisë dhe konfidencialitetit të informacionit bëhet prioritet. Prandaj, njohja e nevojës për një sistem menaxhimi në organizatë siguria e informacionit(ISMS) është një vendim strategjik.

Ajo u krijua për të krijuar, zbatuar, mirëmbajtur dhe përmirësuar vazhdimisht një ISMS në një ndërmarrje, dhe duke zbatuar këtë Standard tek partnerët e jashtëm, bëhet e qartë se organizata është në gjendje të përmbushë kërkesat e veta të sigurisë së informacionit. Ky artikull do të diskutojë kërkesat themelore të Standardit dhe do të diskutojë strukturën e tij.

(ADV31)

Objektivat kryesore të Standardit ISO 27001

Para se të vazhdoni me përshkrimin e strukturës së Standardit, le të përcaktojmë detyrat e tij kryesore dhe të marrim parasysh historinë e shfaqjes së Standardit në Rusi.

Objektivat e Standardit:

• themelimi kërkesat uniforme që të gjitha organizatat të krijojnë, zbatojnë dhe përmirësojnë ISMS;
• sigurimi i ndërveprimit midis menaxhmentit të lartë dhe punonjësve;
• ruajtja e konfidencialitetit, integritetit dhe disponueshmërisë së informacionit.

Në të njëjtën kohë, kërkesat e përcaktuara nga Standardi janë të përgjithshme dhe synohen të zbatohen nga çdo organizatë, pavarësisht nga lloji, madhësia ose natyra e tyre.

Historia e Standardit:

• Në 1995, Instituti Britanik i Standardeve (BSI) miratoi Kodin e Menaxhimit të Sigurisë së Informacionit si një standard kombëtar në Mbretërinë e Bashkuar dhe e regjistroi atë nën BS 7799 - Pjesa 1.
• Në 1998, BSI boton BS7799-2 në dy pjesë, njëra përmban një kod praktike dhe kërkesat e tjera për sistemet e menaxhimit të sigurisë së informacionit.
• Gjatë rishikimeve të mëvonshme, pjesa e parë u botua si BS 7799: 1999, Pjesa 1. Në 1999 ky version i standardit u transferua në Organizatën Ndërkombëtare për Certifikim.
• Ky dokument u miratua në vitin 2000 si standard ndërkombëtar ISO / IEC 17799: 2000 (BS 7799-1: 2000). Versioni i fundit i këtij standardi, i miratuar në 2005, është ISO / IEC 17799: 2005.
• Në Shtator 2002, pjesa e dytë e BS 7799 "Specifikimi i Sistemit të Menaxhimit të Sigurisë së Informacionit" hyri në fuqi. Pjesa e dytë e BS 7799 u rishikua në 2002, dhe në fund të 2005 u miratua nga ISO si standard ndërkombëtar ISO / IEC 27001: 2005 "Teknologjia e informacionit - Teknikat e sigurisë - Sistemet e menaxhimit të sigurisë së informacionit - Kërkesat".
• Në 2005, standardi ISO / IEC 17799 u përfshi në linjën e standardeve të serisë së 27 -të dhe u mor numër i ri- ISO / IEC 27002: 2005.
• Më 25 shtator 2013 standardi i përditësuar ISO / IEC 27001: 2013 “Sistemet e Menaxhimit të Sigurisë së Informacionit. Kërkesat". Aktualisht, organizatat janë të certifikuara kundër këtij versioni të Standardit.

Struktura e Standardit

Një nga avantazhet e këtij Standardi është ngjashmëria e strukturës së tij me ISO 9001, pasi përmban tituj identikë të nënseksioneve, tekst identik, terma të zakonshëm dhe përkufizime bazë. Kjo rrethanë kursen kohë dhe para, pasi një pjesë e dokumentacionit është zhvilluar tashmë gjatë certifikimit ISO 9001.

Nëse flasim për strukturën e Standardit, është një listë e kërkesave të ISMS që janë të detyrueshme për certifikim dhe përbëhet nga pjesët e mëposhtme:

Kërkesat e "Shtojcës A" janë të detyrueshme, por standardi ju lejon të përjashtoni zonat që nuk mund të zbatohen në ndërmarrje.

Kur zbatoni Standardin në një ndërmarrje për certifikim të mëtejshëm, vlen të kujtohet se nuk lejohen përjashtime nga kërkesat e përcaktuara në seksionet 4 - 10. Këto pjesë do të diskutohen më tej.

Le të fillojmë me Seksionin 4 - Konteksti i Organizatës

Konteksti i organizimit

Në këtë pjesë, Standardi kërkon që një organizatë të identifikojë çështjet e jashtme dhe të brendshme që janë të rëndësishme për objektivat e saj dhe që ndikojnë në aftësinë e ISMS -së së saj për të arritur rezultatet e pritshme. Duke vepruar kështu, ju duhet të merrni parasysh detyrimet ligjore, rregullatore dhe kontraktuale në lidhje me sigurinë e informacionit. Organizata gjithashtu duhet të përcaktojë dhe dokumentojë fushën dhe zbatueshmërinë e ISMS në mënyrë që të përcaktojë fushëveprimin e saj.

Lidershipi

Menaxhmenti i lartë duhet të demonstrojë lidership dhe përkushtim ndaj sistemit të menaxhimit të sigurisë së informacionit, për shembull, duke siguruar që politika e sigurisë së informacionit dhe objektivat e sigurisë së informacionit të krijohen dhe të jenë në përputhje me strategjinë e organizatës. Gjithashtu, menaxhmenti i lartë duhet të sigurojë që të sigurohen të gjitha burimet e nevojshme për ISMS. Me fjalë të tjera, duhet të jetë e qartë për punonjësit se menaxhmenti është i përfshirë në çështjet e sigurisë së informacionit.

Politika e sigurisë së informacionit duhet të dokumentohet dhe t'u komunikohet punonjësve. Ky dokument të kujton politikën e cilësisë ISO 9001. Gjithashtu duhet të jetë i përshtatshëm për qëllimin e organizatës dhe të përfshijë objektivat e sigurisë së informacionit. Goodshtë mirë nëse këto janë qëllime reale, të tilla si ruajtja e konfidencialitetit dhe integritetit të informacionit.

Menaxhmenti gjithashtu pritet të shpërndajë funksionet dhe përgjegjësitë në lidhje me sigurinë e informacionit midis punonjësve.

Planifikimi

Në këtë seksion ne vijmë në fazën e parë të parimit të menaxhimit të PDCA (Plan - Bëj - Kontrollo - Vepro) - planifikoni, ekzekutoni, kontrolloni, veproni.

Kur planifikoni një sistem të menaxhimit të sigurisë së informacionit, organizata duhet të marrë parasysh çështjet e përmendura në pikën 4 dhe të përcaktojë rreziqet dhe mundësitë e mundshme që duhet të merren parasysh në mënyrë që të sigurohet që ISMS të arrijë rezultatet e pritshme, të parandalojë efektet e padëshiruara, dhe të arrihet përmirësim i vazhdueshëm.

Kur planifikon se si të arrijë objektivat e saj të sigurisë së informacionit, organizata duhet të përcaktojë:

• çfarë do të bëhet;
• çfarë burimesh do të kërkohen;
• kush do të jetë në krye;
• kur arrihen qëllimet;
• si do të vlerësohen rezultatet.

Përveç kësaj, organizata do të mbajë të dhëna mbi objektivat e sigurisë së informacionit si informacion i dokumentuar.

Siguria

Organizata do të përcaktojë dhe sigurojë burimet e nevojshme për zhvillimin, zbatimin, mirëmbajtjen dhe përmirësimin e vazhdueshëm të ISMS, kjo përfshin si personelin ashtu edhe dokumentacionin. Në lidhje me personelin, organizata pritet të rekrutojë personel të kualifikuar dhe kompetent të sigurisë së informacionit. Kualifikimet e punonjësve duhet të konfirmohen me certifikata, diploma, etj. Isshtë e mundur të tërhiqni specialistë të palëve të treta sipas kontratës, ose të trajnoni punonjësit tuaj. Sa i përket dokumentacionit, ai duhet të përfshijë:

• informacion i dokumentuar i kërkuar nga Standardi;
• informacioni i dokumentuar i përcaktuar nga organizata të jetë i nevojshëm për të siguruar efektivitetin e sistemit të menaxhimit të sigurisë së informacionit.

Informacioni i dokumentuar i kërkuar nga ISMS dhe Standardi duhet të kontrollohet për të siguruar që ai:

• të disponueshme dhe të përshtatshme për përdorim ku dhe kur është e nevojshme, dhe
• mbrojtur në mënyrë të përshtatshme (për shembull, nga humbja e konfidencialitetit, keqpërdorimi ose humbja e integritetit).

Duke funksionuar

Ky seksion diskuton fazën e dytë të parimit të qeverisjes PDCA - nevojën që një organizatë të menaxhojë proceset për të siguruar pajtueshmërinë dhe për të kryer aktivitetet e identifikuara në pjesën e Planifikimit. Ai gjithashtu thekson se një organizatë duhet të kryejë vlerësime të rrezikut të sigurisë së informacionit në intervale të planifikuara ose kur propozohen ose ndodhin ndryshime të rëndësishme. Organizata do të mbajë rezultatet e vlerësimit të rrezikut të sigurisë së informacionit si informacion i dokumentuar.

Vlerësimi i performancës

Faza e tretë është verifikimi. Organizata do të vlerësojë funksionimin dhe efektivitetin e ISMS. Për shembull, ai duhet të kryejë një auditim të brendshëm në mënyrë që të marrë informacion nëse

1. A është i qëndrueshëm sistemi i menaxhimit të sigurisë së informacionit
   • kërkesat e vetë organizatës për sistemin e saj të menaxhimit të sigurisë së informacionit;
   • kërkesat e Standardit;
2. se sistemi i menaxhimit të sigurisë së informacionit zbatohet dhe funksionon në mënyrë efektive.

Shkon pa thënë se qëllimi dhe koha e auditimeve duhet të planifikohen paraprakisht. Të gjitha rezultatet duhet të dokumentohen dhe ruhen.

Përmirësimi

Qëllimi i këtij seksioni është përcaktimi i rrjedhës së veprimit kur zbulohet një mospërputhje. Organizata duhet të korrigjojë mospërputhjet, pasojat dhe të analizojë situatën në mënyrë që kjo të mos ndodhë në të ardhmen. Të gjitha mospërputhjet dhe veprimet korrigjuese duhet të dokumentohen.

Kjo përfundon pjesët kryesore të Standardit. Shtojca A siguron kërkesa më specifike që duhet të plotësohen nga një organizatë. Për shembull, në drejtim të kontrollit të hyrjes, përdorni pajisjet mobile dhe bartësit e informacionit.

Përfitimet nga zbatimi dhe certifikimi i ISO 27001

• rritja e statusit të organizatës dhe, në përputhje me rrethanat, besimi i partnerëve;
• rritjen e stabilitetit të funksionimit të organizatës;
• rritjen e nivelit të mbrojtjes kundër kërcënimeve të sigurisë së informacionit;
• sigurimi i nivelit të kërkuar të konfidencialitetit të informacionit të palëve të interesuara;
• zgjerimin e aftësisë së organizatës për të marrë pjesë në kontrata të mëdha.

Përfitimet ekonomike janë:

• konfirmim i pavarur nga organi certifikues se organizata ka një nivel të lartë të sigurisë së informacionit të kontrolluar nga personeli kompetent;
• dëshmi të pajtueshmërisë me ligjet dhe rregulloret në fuqi (pajtueshmëria me sistemin e kërkesave të detyrueshme);
• demonstrimi i një niveli të lartë të sistemeve të menaxhimit për të siguruar nivelin e duhur të shërbimit ndaj klientëve dhe partnerëve të organizatës;
• Demonstrimi i auditimeve të rregullta të sistemeve të menaxhimit, vlerësimi i performancës dhe përmirësimi i vazhdueshëm.

Certifikimi

Një organizatë mund të certifikohet nga agjenci të akredituara në përputhje me këtë standard. Procesi i certifikimit përbëhet nga tre faza:

• Faza e parë - studimi i auditorit për dokumentet kryesore ISMS për pajtueshmërinë me kërkesat e Standardit - mund të kryhet si në territorin e organizatës ashtu edhe duke i transferuar këto dokumente te një auditor i jashtëm;
• Faza e dytë - auditimi i detajuar, përfshirë testimin e masave të zbatuara, dhe vlerësimin e efektivitetit të tyre. Përfshin një studim të plotë të dokumenteve të kërkuara nga standardi;
• Faza e tretë - zbatimi i një kontrolli inspektimi për të konfirmuar që organizata e certifikuar i plotëson kërkesat e deklaruara. Kryhet në baza periodike.

Rezultati

Siç mund ta shihni, përdorimi i këtij standardi në ndërmarrje do të lejojë përmirësimin cilësor të nivelit të sigurisë së informacionit, i cili është i shtrenjtë në kushtet e realiteteve moderne. Standardi përmban shumë kërkesa, por kërkesa më e rëndësishme është të bësh atë që është shkruar! Pa zbatuar në të vërtetë kërkesat e standardit, ai kthehet në një grup të zbrazët copash letre.

GOST R ISO / IEC 27001-2006 “Teknologjia e informacionit. Metodat dhe mjetet për të siguruar sigurinë. Sistemet e menaxhimit të sigurisë së informacionit. Kërkesat"

Zhvilluesit e standardit vërejnë se është përgatitur si një model për zhvillimin, zbatimin, funksionimin, monitorimin, analizën, mbështetjen dhe përmirësimin e sistemit të menaxhimit të sigurisë së informacionit (ISMS). ISMS (anglisht - sistemi i menaxhimit të sigurisë së informacionit; ISMS) përcaktohet si pjesë e sistemit të përgjithshëm të menaxhimit bazuar në përdorimin e metodave të vlerësimit të rrezikut të biznesit për zhvillimin, zbatimin, funksionimin, monitorimin, analizën, mbështetjen dhe përmirësimin e sigurisë së informacionit. Sistemi i menaxhimit përfshin Struktura organizative, politikat, aktivitetet e planifikimit, përgjegjësitë, praktikat, procedurat, proceset dhe burimet.

Standardi supozon përdorimin e një qasjeje procesi për zhvillimin, zbatimin, funksionimin, monitorimin, analizën, mbështetjen dhe përmirësimin e ISMS të organizatës. Ai bazohet në modelin Plan - Bëj - Kontrollo - Akt (PDCA), i cili mund të aplikohet për të strukturuar të gjitha proceset ISMS. Ne fig 4.4 tregon sesi ISMS, duke përdorur kërkesat e sigurisë së informacionit dhe rezultatet e pritshme të palëve të interesuara si input, përmes veprimeve dhe proceseve të nevojshme, siguron rezultate të sigurisë së informacionit që plotësojnë këto kërkesa dhe rezultatet e pritshme.

Oriz. 4.4

Në skenë "Zhvillimi i një sistemi të menaxhimit të sigurisë së informacionit" organizata duhet të bëjë sa më poshtë:

• - të përcaktojë fushëveprimin dhe kufijtë e ISMS;
• - përcaktoni politikën e ISMS bazuar në karakteristikat e biznesit, organizatës, vendndodhjes së tij, aseteve dhe teknologjive;
• - të përcaktojë qasjen ndaj vlerësimit të rrezikut në organizatë;
• - identifikoni rreziqet;
• - të analizojë dhe vlerësojë rreziqet;
• - identifikoni dhe vlerësoni opsionet e ndryshme për trajtimin e rrezikut;
• - zgjidhni objektivat dhe kontrollet për trajtimin e rrezikut;
• - të marrë miratimin e menaxhmentit për rreziqet e pritshme të mbetura;
• - Merrni leje nga menaxhmenti për zbatimin dhe funksionimin e ISMS;
• - përgatitni një Deklaratë të Zbatueshmërisë.

Fazë " Zbatimi dhe funksionimi i sistemit të menaxhimit të sigurisë së informacionit " sugjeron që organizata duhet:

• - të zhvillojë një plan të trajtimit të rrezikut që përcakton veprimet, burimet, përgjegjësitë dhe prioritetet e duhura të menaxhimit për menaxhimin e rrezikut të sigurisë së informacionit;
• - të zbatojë një plan të trajtimit të rrezikut për të arritur objektivat e synuara të menaxhimit, i cili përfshin çështjet e financimit, si dhe shpërndarjen e roleve dhe përgjegjësive;
• - të zbatojë masat e përzgjedhura të menaxhimit;
• - të përcaktojë mënyrën e matjes së efektivitetit të masave të përzgjedhura të kontrollit;
• - të zbatojë programe trajnimi dhe zhvillimi profesional për punonjësit;
• - të menaxhojë punën e ISMS;
• - të menaxhojë burimet e ISMS;
• - të zbatojë procedurat dhe masat e tjera të kontrollit për të siguruar zbulimin e shpejtë të ngjarjeve të sigurisë së informacionit dhe përgjigjen ndaj incidenteve të sigurisë së informacionit.

Faza e tretë " Monitorimi dhe analiza e sistemit të menaxhimit të sigurisë së informacionit " kërkon:

• - të kryejë procedura monitorimi dhe analize;
• - të bëjë analiza të rregullta të efektivitetit të ISMS;
• - mat efektivitetin e kontrolleve për të verifikuar pajtueshmërinë me kërkesat e IS;
• - të rishikojë vlerësimet e rrezikut në periudha të caktuara kohore, të analizojë rreziqet e mbetura dhe të përcaktojë nivelet e pranueshme të rrezikut, duke marrë parasysh ndryshimet;
• - të kryejë auditime të brendshme të ISMS në intervale të caktuara kohore;
• - të kryejë rregullisht një analizë të ISMS nga menaxhmenti i organizatës në mënyrë që të konfirmojë përshtatshmërinë e funksionimit të ss dhe të përcaktojë drejtimet për përmirësim;
• - përditësimi i planeve të IS duke marrë parasysh rezultatet e analizës dhe monitorimit;
• - regjistroni veprimet dhe ngjarjet që mund të ndikojnë në efektivitetin ose funksionimin e ISMS.

Më në fund, skena "Mbështetje dhe përmirësim i sistemit të menaxhimit të sigurisë së informacionit" sugjeron që organizata duhet të kryejë rregullisht aktivitetet e mëposhtme:

• - identifikoni mundësitë për përmirësimin e ISMS;
• - të ndërmarrin veprimet e nevojshme korrigjuese dhe parandaluese, të përdorin në praktikë përvojën e IS të fituar si në organizatën e tyre ashtu edhe në organizatat e tjera;
• - transmetoni informacion të detajuar mbi veprimet për përmirësimin e ISMS tek të gjitha palët e interesuara, ndërsa shkalla e detajeve të tij duhet të korrespondojë me rrethanat dhe, nëse është e nevojshme, të pajtohet për veprime të mëtejshme;
• - të sigurojë zbatimin e përmirësimeve në ISMS për të arritur objektivat e planifikuara.

Më tej në standard, jepen kërkesat për dokumentacion, të cilat duhet të përfshijnë dispozitat e politikës ISMS dhe një përshkrim të zonës së operimit, një përshkrim të metodologjisë dhe një raport të vlerësimit të rrezikut, një plan trajtimi të rrezikut dhe dokumentacion të procedurave të ndërlidhura. Gjithashtu duhet të përcaktohet një proces për menaxhimin e dokumenteve ISMS, duke përfshirë përditësimin, përdorimin, ruajtjen dhe asgjësimin.

Për të siguruar dëshmi të pajtueshmërisë me kërkesat dhe efektivitetin e ISMS, është e nevojshme të mbani dhe mbani shënime dhe regjistrime të ekzekutimit të proceseve. Shembujt përfshijnë regjistrat e vizitorëve, raportet e auditimit, etj.

Standardi specifikon që menaxhmenti i organizatës është përgjegjës për sigurimin dhe menaxhimin e burimeve të nevojshme për krijimin e një ISMS, si dhe organizimin e trajnimeve për personelin.

Siç është theksuar më parë, organizata duhet të kryejë auditime të brendshme ISMS në përputhje me një orar të miratuar për të vlerësuar funksionalitetin dhe përputhshmërinë e tij me standardin. Dhe menaxhmenti duhet të bëjë një analizë të sistemit të menaxhimit të sigurisë së informacionit.

Gjithashtu, duhet të punohet për të përmirësuar sistemin e menaxhimit të sigurisë së informacionit: për të rritur efektivitetin e tij dhe nivelin e pajtueshmërisë me gjendjen aktuale të sistemit dhe kërkesat e vendosura ndaj tij.

Prezantimi

Një kompani me rritje të shpejtë, si dhe një gjigant në segmentin e saj, është i interesuar të fitojë dhe të mbrojë veten nga ndikimi i ndërhyrësve. Nëse më parë vjedhja e vlerave materiale ishte rreziku kryesor, atëherë sot roli kryesor i vjedhjes ndodh në lidhje me informacionin e vlefshëm. Përkthimi i një pjese të konsiderueshme të informacionit në formë elektronike, përdorimi i rrjeteve lokale dhe globale krijojnë kërcënime cilësisht të reja për informacionin konfidencial.

Bankat janë veçanërisht të ndjeshme ndaj rrjedhjes së informacionit, organizatat e menaxhimit, kompanitë e sigurimeve. Mbrojtja e informacionit në ndërmarrje është një grup masash që sigurojnë sigurinë e të dhënave të klientëve dhe punonjësve, të rëndësishme dokumente elektronike dhe të gjitha llojet e informacioneve, sekreteve. Çdo ndërmarrje është e pajisur me pajisje kompjuterike dhe qasje në World Wide Web. Sulmuesit lidhen me shkathtësi me pothuajse çdo përbërës të këtij sistemi dhe përdorin një arsenal të madh (viruse, malware, supozime për fjalëkalime, etj.) Për të vjedhur informacione të vlefshme. Një sistem sigurie informacioni duhet të zbatohet në çdo organizatë. Drejtuesit duhet të mbledhin, analizojnë dhe kategorizojnë të gjitha llojet e informacionit që duhet të mbrohen dhe të përdorin një sistem të përshtatshëm sigurie. Por kjo nuk do të jetë e mjaftueshme, sepse, përveç teknologjisë, ekziston një faktor njerëzor që gjithashtu mund të rrjedhë me sukses informacion tek konkurrentët. Shtë e rëndësishme që të organizoni siç duhet mbrojtjen e ndërmarrjes tuaj në të gjitha nivelet. Për këto qëllime, përdoret një sistem i menaxhimit të sigurisë së informacionit, me ndihmën e të cilit menaxheri do të krijojë një proces të vazhdueshëm të monitorimit të biznesit dhe do të sigurojë një nivel të lartë të sigurisë së të dhënave të tij.

1. Rëndësia e temës

Per secilin ndërmarrje moderne, kompani apo organizatë, një nga detyrat më të rëndësishme është pikërisht sigurimi i sigurisë së informacionit. Kur një ndërmarrje mbron në mënyrë të qëndrueshme sistemin e saj të informacionit, ajo krijon një mjedis të besueshëm dhe të sigurt për operacionet e saj. Dëmtimi, rrjedhja, mungesa dhe vjedhja e informacionit janë gjithmonë humbje për çdo kompani. Prandaj, krijimi i një sistemi të menaxhimit të sigurisë së informacionit në ndërmarrje është një çështje urgjente e kohës sonë.

2. Qëllimet dhe objektivat e studimit

Analizoni mënyrat e krijimit të një sistemi të menaxhimit të sigurisë së informacionit në ndërmarrje, duke marrë parasysh veçoritë e rajonit të Donetsk.

• analizoj Shteti i artit sistemet e menaxhimit të sigurisë së informacionit në ndërmarrje;
• identifikojnë arsyet për krijimin dhe zbatimin e një sistemi të menaxhimit të sigurisë së informacionit në ndërmarrje;
• për të zhvilluar dhe zbatuar një sistem të menaxhimit të sigurisë së informacionit në shembullin e ndërmarrjes PJSC Impianti i Pajisjeve të Shpëtimit të Minierave Donetsk;
• vlerësoni efektivitetin, efikasitetin dhe realizueshmërinë ekonomike të futjes së një sistemi të menaxhimit të sigurisë së informacionit në ndërmarrje.

3. Sistemi i menaxhimit të sigurisë së informacionit

Siguria e informacionit kuptohet si gjendja e mbrojtjes së informacionit dhe infrastrukturës mbështetëse nga ndikimet aksidentale ose të qëllimshme të një natyre natyrore ose artificiale (kërcënimet e informacionit, kërcënimet ndaj sigurisë së informacionit), të cilat mund të shkaktojnë dëme të papranueshme për subjektet e marrëdhënieve të informacionit.

Disponueshmëria e informacionit - pronë e sistemit për të siguruar qasje në kohë të papenguar të subjekteve të autorizuar (të autorizuar) në informacionin me interes për ta ose për të kryer shkëmbimin e informacionit në kohë midis tyre.

Integriteti i informacionit është një pronë e informacionit që karakterizon rezistencën e tij ndaj shkatërrimit aksidental ose të qëllimshëm ose ndryshimit të paautorizuar. Integriteti mund të ndahet në statik (kuptohet si pandryshueshmëria e objekteve të informacionit) dhe dinamik (i lidhur me ekzekutimin e saktë të veprimeve (transaksioneve) komplekse).

Konfidencialiteti i informacionit është pronë e informacionit që të jetë i njohur dhe i arritshëm vetëm për subjektet e autorizuara të sistemit (përdoruesit, programet, proceset). Konfidencialiteti është aspekti më i zhvilluar i sigurisë së informacionit në vendin tonë.

Sistemi i menaxhimit të sigurisë së informacionit (në tekstin e mëtejmë: ISMS) është pjesë e sistemit të përgjithshëm të menaxhimit të bazuar në qasjet ndaj rrezikut të biznesit, të destinuara për krijimin, zbatimin, menaxhimin, monitorimin, mirëmbajtjen dhe përmirësimin e sigurisë së informacionit.

Faktorët kryesorë që ndikojnë në mbrojtjen e informacionit dhe të dhënave në ndërmarrje janë:

• Rritja e bashkëpunimit të kompanisë me partnerët;
• Automatizimi i proceseve të biznesit;
• Tendenca për një rritje të vëllimit të informacionit të ndërmarrjes, e cila transmetohet përmes kanaleve të komunikimit në dispozicion;
• Tendenca rritëse e krimeve kompjuterike.

Detyrat e sistemeve të sigurisë së informacionit të kompanisë janë të shumëanshme. Për shembull, kjo është sigurimi i ruajtjes së besueshme të të dhënave në media të ndryshme; mbrojtja e informacionit të transmetuar përmes kanaleve të komunikimit; kufizimi i qasjes në disa të dhëna; krijimi i kopjeve rezervë dhe më shumë.

Një siguri e plotë informacioni e një kompanie është e vërtetë vetëm me qasjen e duhur për mbrojtjen e të dhënave. Në sistemin e sigurisë së informacionit, është e nevojshme të merren parasysh të gjitha kërcënimet dhe dobësitë aktuale.

Një nga mjetet më efektive për menaxhimin dhe mbrojtjen e informacionit është sistemi i menaxhimit të sigurisë së informacionit i ndërtuar në bazë të modelit MS ISO / IEC 27001: 2005. Standardi bazohet në qasja e procesit për zhvillimin, zbatimin, funksionimin, monitorimin, analizën, mirëmbajtjen dhe përmirësimin e ISMS -it të kompanisë. Ai konsiston në krijimin dhe zbatimin e një sistemi të proceseve të menaxhimit që janë të ndërlidhura në një cikël të vazhdueshëm të planifikimit, zbatimit, verifikimit dhe përmirësimit të ISMS.

Ky Standard Ndërkombëtar është përgatitur me qëllim krijimin e një modeli për zbatimin, zbatimin, funksionimin, monitorimin, analizën, mirëmbajtjen dhe përmirësimin e një ISMS.

Faktorët kryesorë për zbatimin e një ISMS:

• legjislative - kërkesat e legjislacionit aktual kombëtar përsa i përket IS, kërkesat ndërkombëtare;
• konkurruese - pajtueshmëria me nivelin, elitizmi, mbrojtja e pasurive të tyre jo -materiale, superioriteti;
• kundër krimit - mbrojtja nga sulmuesit (jakë të bardhë), parandalimi i keqtrajtimit dhe mbikëqyrja sekrete, mbledhja e provave për procedurat.

Struktura e dokumentacionit të sigurisë së informacionit është treguar në Figurën 1.

Figura 1 - Struktura e dokumentacionit në fushën e sigurisë së informacionit

4. Ndërtimi i një ISMS

Përkrahësit e ISO përdorin modelin PDCA për të krijuar një ISMS. ISO e zbaton këtë model në shumë nga standardet e tij të menaxhimit dhe ISO 27001 nuk bën përjashtim. Për më tepër, ndjekja e modelit PDCA në organizimin e procesit të menaxhimit ju lejon të përdorni të njëjtat teknika në të ardhmen - për menaxhimin e cilësisë, menaxhimin e mjedisit, menaxhimin e sigurisë, si dhe në fusha të tjera të menaxhimit, gjë që zvogëlon kostot. Prandaj, PDCA është një zgjedhje e shkëlqyer, duke përmbushur plotësisht detyrat e krijimit dhe mirëmbajtjes së një ISMS. Me fjalë të tjera, fazat e PDCA përcaktojnë mënyrën e krijimit të politikave, objektivave, proceseve dhe procedurave të përshtatshme për rreziqet që trajtohen (faza e planit), zbatimi dhe përdorimi (faza Do), vlerësimi dhe, kur është e mundur, matja e rezultateve të procesit nga perspektiva e politikave të pikave (faza e kontrollit), ndërmarrja e veprimeve korrigjuese dhe parandaluese (faza e përmirësimit - Akti). Koncepte shtesë që nuk janë pjesë e standardeve ISO që mund të jenë të dobishme në krijimin e një ISMS janë: gjendja siç duhet (të jetë); gjendja siç është (siç është); plani i tranzicionit.

Baza e ISO 27001 është një sistem i menaxhimit të rrezikut të informacionit.

Fazat e krijimit të një ISMS

Si pjesë e punës për krijimin e një ISMS, mund të dallohen fazat kryesore të mëposhtme:

Figura 2 - Modeli PDCA për menaxhimin e sigurisë së informacionit (animacion: 6 korniza, 6 përsëritje, 246 kilobajt)

5. Menaxhimi i rrezikut të informacionit

Menaxhimi i rrezikut konsiderohet në nivelin administrativ të sigurisë së informacionit, pasi vetëm menaxhmenti i organizatës është në gjendje të ndajë burimet e nevojshme, të inicojë dhe kontrollojë zbatimin e programeve përkatëse.

Përdorimi i sistemeve të informacionit shoqërohet me një grup të caktuar rreziqesh. Kur dëmi i mundshëm është i madh në mënyrë të papranueshme, është e nevojshme të merren masa mbrojtëse të justifikuara ekonomikisht. Vlerësimi periodik (i) i rreziqeve është i nevojshëm për të monitoruar efektivitetin e aktiviteteve të sigurisë dhe për të marrë parasysh ndryshimet në mjedis.

Thelbi i aktiviteteve të menaxhimit të rrezikut është të vlerësojë madhësinë e tyre, të zhvillojë masa efektive dhe me kosto efektive për të zbutur rreziqet, dhe më pas të sigurohet që rreziqet të përmbahen brenda kufijve të pranueshëm (dhe të mbeten të tillë).

Procesi i menaxhimit të rrezikut mund të ndahet në fazat e mëposhtme:

1. Zgjedhja e objekteve të analizuara dhe niveli i detajeve të shqyrtimit të tyre.
2. Zgjedhja e metodologjisë së vlerësimit të rrezikut.
3. Identifikimi i aseteve.
4. Analiza e kërcënimeve dhe pasojat e tyre, identifikimi i dobësive në mbrojtje.
5. Vlerësimi i rrezikut.
6. Përzgjedhja e masave mbrojtëse.
7. Zbatimi dhe verifikimi i masave të zgjedhura.
8. Vlerësimi i rrezikut të mbetur.

Menaxhimi i rrezikut, si çdo aktivitet tjetër i sigurisë së informacionit, duhet të integrohet cikli i jetes IP. Atëherë efekti është më i madhi, dhe kostot janë minimale.

Veryshtë shumë e rëndësishme të zgjedhësh një metodologji të arsyeshme të vlerësimit të rrezikut. Qëllimi i vlerësimit është të marrë një përgjigje për dy pyetje: a janë rreziqet ekzistuese të pranueshme, dhe nëse jo, cilat pajisje mbrojtëse duhet të përdoren. Kjo do të thotë që vlerësimi duhet të jetë sasior, duke lejuar krahasimin me kufijtë e para-zgjedhur të pranueshmërisë dhe kostot e zbatimit të rregullatorëve të rinj të sigurisë. Menaxhimi i rrezikut është një detyrë tipike optimizimi, dhe ka mjaft produkte softuerike që mund të ndihmojnë në zgjidhjen e tij (ndonjëherë produkte të tilla thjesht i bashkëngjiten librave mbi sigurinë e informacionit). Vështirësia themelore, megjithatë, është pasaktësia e të dhënave fillestare. Sigurisht, mund të përpiqeni të merrni një shprehje monetare për të gjitha sasitë e analizuara, të llogaritni gjithçka në qindarkën më të afërt, por nuk ka shumë kuptim në këtë. Moreshtë më praktike të përdorni njësi konvencionale. Në rastin më të thjeshtë dhe krejtësisht të pranueshëm, mund të përdorni një shkallë me tre pika.

Fazat kryesore të menaxhimit të rrezikut.

Hapi i parë në analizën e kërcënimeve është identifikimi i tyre. Llojet e kërcënimeve në shqyrtim duhet të zgjidhen bazuar në konsideratat e arsyeshme (duke përjashtuar, për shembull, tërmetet, por duke mos harruar mundësinë e kapjes së organizatës nga terroristët), por brenda llojeve të zgjedhura, të kryejnë analizën më të detajuar.

Këshillohet që të identifikohen jo vetëm vetë kërcënimet, por edhe burimet e shfaqjes së tyre - kjo do të ndihmojë në zgjedhjen e mjeteve shtesë të mbrojtjes.

Pas identifikimit të kërcënimit, është e nevojshme të vlerësohet mundësia e zbatimit të tij. Isshtë e lejueshme të përdoret një shkallë me tre pika (probabilitet i ulët (1), i mesëm (2) dhe i lartë (3).

Nëse ndonjë rrezik rezulton të jetë i papranueshëm i lartë, është e nevojshme t'i neutralizoni ato duke zbatuar masa shtesë mbrojtëse. Në mënyrë tipike, për të eleminuar ose neutralizuar cenueshmërinë që e bëri kërcënimin real, ekzistojnë disa mekanizma të sigurisë, të ndryshëm në efikasitet dhe kosto.

Ashtu si me çdo aktivitet tjetër, zbatimi dhe testimi i rregullatorëve të rinj të sigurisë duhet të planifikohen paraprakisht. Plani duhet të marrë parasysh praninë burimet financiare dhe koha e trajnimit të stafit. Nëse po flasim për një mekanizëm mbrojtës të softuerit dhe harduerit, duhet të hartoni një plan testimi (autonom dhe kompleks).

Kur merren masat e synuara, është e nevojshme të kontrolloni efektivitetin e tyre, domethënë të siguroheni që rreziqet e mbetura janë bërë të pranueshme. Nëse kjo është në të vërtetë kështu, atëherë mund të caktoni me siguri datën e rivlerësimit të radhës. Përndryshe, do të duhet të analizoni gabimet e bëra dhe të ri-drejtoni sesionin e menaxhimit të rrezikut menjëherë.

përfundimet

Secili drejtues i ndërmarrjes kujdeset për biznesin e tij dhe për këtë arsye duhet të kuptojë se vendimi për të zbatuar një sistem të menaxhimit të sigurisë së informacionit (ISMS) është një hap i rëndësishëm që do të minimizojë rreziqet e humbjes së aseteve të ndërmarrjes / organizatës dhe do të zvogëlojë humbjet financiare, dhe në disa raste shmangni falimentimin.

Siguria e informacionit është e rëndësishme për bizneset, si në sektorin privat ashtu edhe në atë publik. Duhet të shihet si një mjet për vlerësimin, analizimin dhe minimizimin e rreziqeve të lidhura.

Siguria që mund të arrihet me teknologji është e kufizuar dhe duhet të ruhet me kontrolle dhe procedura të përshtatshme.

Përcaktimi i kontrolleve kërkon planifikim dhe vëmendje të kujdesshme.

Për të mbrojtur në mënyrë efektive informacionin, duhet të zhvillohen masat më të përshtatshme të sigurisë, të cilat mund të arrihen duke identifikuar rreziqet kryesore të informacionit në sistem dhe duke zbatuar masat e duhura.

Biyachuev T.A. Siguria rrjetet e korporatave/ ed. L.G. Osovetsky. - SPb .: Shtëpia botuese e SPb GU ITMO, 2006 .-- 161 f.

Shahalov Igor Yurievich

Për çështjen e integrimit të sistemeve të menaxhimit të cilësisë dhe sigurisë së informacionit

Abstrakt: Merren parasysh standardet ndërkombëtare ISO 27001 dhe ISO 9001. Analiza e ngjashmërive dhe dallimeve midis sistemit të menaxhimit të cilësisë dhe sistemit të menaxhimit të sigurisë së informacionit është kryer. Tregohet mundësia e integrimit të sistemit të menaxhimit të cilësisë dhe sistemit të menaxhimit të sigurisë së informacionit. Janë dhënë fazat kryesore të ndërtimit dhe zbatimit të një sistemi të integruar të menaxhimit të sigurisë së informacionit. Janë treguar përparësitë e qasjes së integruar.

Fjalët kyçe: sistemet e menaxhimit të sigurisë së informacionit, sistemet e integruara të menaxhimit, ISMS, QMS, ISO 27001.

Natalia Olegovna

Prezantimi

V bota moderne me ardhjen e zakonshme dhe të përshtatshme pajisjet teknike problemi i mbrojtjes së informacionit është shfaqur mjaft ashpër. Së bashku me lëshimin e produkteve cilësore ose ofrimin e shërbimeve për ndërmarrjet dhe organizatat, është e rëndësishme të mbani sekret informacionin e nevojshëm nga konkurrentët në mënyrë që të qëndroni në një pozitë të favorshme në treg. Në luftën konkurruese, veprimet e ndryshme që synojnë marrjen (marrjen, marrjen) e informacionit konfidencial janë të përhapura. menyra te ndryshme, deri te spiunazhi i drejtpërdrejtë industrial duke përdorur mjete teknike moderne të inteligjencës.

Kështu, organizatat që i përmbahen praktikave më të mira botërore, që përmbajnë kërkesa, udhëzime për zbatimin e sistemeve të menaxhimit të proceseve të biznesit, po bëhen liderë në treg. Standardet më të mira për zhvillimin, zbatimin, monitorimin dhe përmirësimin e sistemeve të tilla janë dokumentet nga Organizata Ndërkombëtare për Standardizim (ISO). Vëmendje e veçantë duhet t'i kushtohet standardeve të serisë ISO 900x dhe ISO 2700x, të cilat mbledhin praktikat më të mira për zbatimin e një sistemi të menaxhimit të cilësisë (QMS) dhe një sistemi të menaxhimit të sigurisë së informacionit (ISMS).

Sistemi i menaxhimit të cilësisë, i zbatuar në përputhje me kërkesat e standardit ISO 9001, është njohur prej kohësh si një atribut integral i një kompanie të suksesshme që prodhon produkte me cilësi të lartë ose ofron shërbime të klasit të lartë. Sot, disponueshmëria e një certifikate konformiteti është një zgjidhje efektive marketingu dhe një mekanizëm për kontrollin e proceseve të prodhimit. Auditimi i QMS është një fushë e zhvilluar mirë e biznesit.

Varësia e aktiviteteve të suksesshme të kompanisë nga sistemi i korporatës mbrojtjen e informacionit. Kjo është për shkak të rritjes së vëllimit të të dhënave vitale të përpunuara në sistemin e informacionit të korporatës. Sistemet e informacionit po bëhen më komplekse, dhe numri i dobësive të gjetura në to po rritet gjithashtu. Auditimi ISMS lejon vlerësimin e gjendjes aktuale të sigurisë së funksionimit të sistemit të informacionit të korporatës,

vlerësoni dhe parashikoni rreziqet, menaxhoni ndikimin e tyre në proceset e biznesit të kompanisë.

Meqenëse standardi ISO 9001 ka marrë prej kohësh pozicionin drejtues në numrin e certifikatave në botë, dhe standardi ISO 27001 tregon një tendencë drejt një rritje të certifikimit të sistemit të menaxhimit të sigurisë së informacionit, këshillohet të merret parasysh ndërveprimi i mundshëm dhe integrimi i QMS dhe ISMS.

Integrimi i standardeve

Në shikim të parë, menaxhimi i cilësisë dhe siguria e informacionit janë fusha krejtësisht të ndryshme. Sidoqoftë, në praktikë, ato janë të lidhura ngushtë dhe formojnë një tërësi (Figura 1). Kënaqësia e klientit, e cila është një objektiv objektiv i cilësisë, çdo vit gjithnjë e më shumë varet nga disponueshmëria e teknologjisë së informacionit dhe nga siguria e të dhënave, për mirëmbajtjen e të cilave përdoret standardi ISO 27001. Nga ana tjetër, standardi ISO 9001 përputhet saktësisht qëllimet e korporatës së organizatës, duke ndihmuar në sigurimin e sigurisë. Falë një qasjeje të integruar, ISO 27001 mund të integrohet në mënyrë efektive në QMS ekzistuese ose të zbatohet së bashku me QMS.

(ISO 27001) dhe menaxhimi i shërbimit të TI (ISO 20000) kanë një strukturë dhe qasje të ngjashme procesi. Kjo krijon një sinergji që shpaguhet: në praktikë, një sistem i integruar menaxhimi për operacionet e vazhdueshme kursen 20 deri në 30 përqind të kostos totale të optimizmit, kontrolleve dhe rishikimeve të sistemit.

Standardet e sigurisë së informacionit dhe menaxhimit të cilësisë synojnë përmirësimin e vazhdueshëm në përputhje me modelin Plan-Do-Check-Act (PDCA) i njohur si Cikli Deming (shih Figurën 2). Përveç kësaj, ato janë të ngjashme në strukturë, siç tregohet në tabelën e korrespondencës në Shtojcën C të ISO 27001. Të dy standardet përcaktojnë qasjen e procesit, fushëveprimin, kërkesat e sistemit dhe dokumentacionit, si dhe përgjegjësinë administrative. Në të dy rastet, struktura përfundon me një auditim të brendshëm, rishikim të menaxhimit dhe përmirësim të sistemit. Në këtë, të dy sistemet ndërveprojnë. Për shembull, ISO 9001 kërkon menaxhimin e produkteve jokonformuese. Gjithashtu, standardi ISO 27001 ka një kërkesë për menaxhimin e incidentit për zgjidhjen e dështimeve.

Oriz. 1. Sferat e ndërveprimit dhe ngjashmërisë së QMS dhe ISMS

Oriz. 2. Cikli Deming

Më shumë se 27,200 organizata të industrive të ndryshme në më shumë se 100 vende të botës janë të certifikuara për pajtueshmëri me ISO 9001: 2008 për menaxhimin e cilësisë. Në varësi të tregut dhe kërkesave ligjore, shumë organizata janë gjithnjë e më të detyruara të merren me sigurinë e informacionit. Në këtë drejtim, integrimi i sistemit të kontrollit ofron mundësi reale. Një qasje komplekse gjithashtu interesante për kompanitë që nuk kanë përdorur asnjë proces menaxhimi deri më tani. Standardet ISO për cilësinë (ISO 9001), mbrojtjen e mjedisit (ISO 14000), sigurinë e informacionit

Dallimet midis standardeve janë të dobishme në plotësimin e njëri -tjetrit, gjë që kontribuon në mënyrë vendimtare në rritjen e suksesit të biznesit. Për shembull, ISO 9001 kërkon përkufizimin e qëllimeve të korporatës, fokusin tek klienti dhe matshmërinë, në çfarë mase janë arritur qëllimet dhe objektivat. Këto janë tri çështje që nuk janë në fokusin e ISO 27001. Nga ana tjetër, ky standard i jep përparësi menaxhimit të rrezikut për të ruajtur vazhdimësinë e biznesit dhe ofron ndihmë të detajuar në zbatimin e një ISMS. Krahasuar

me këtë, ISO 9001 është më shumë një standard teorik.

ISO 27001 - një standard jo vetëm për IT

Shumë njerëz mendojnë se standardi ISO 27001 është vetëm për proceset e TI -së, por në realitet nuk është kështu. Pika themelore për zbatimin e standardit ISO 27001 SM & B është përcaktimi i aseteve.

"LilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ ireiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Oriz. 3. Llojet e pasurive

Një aktiv kuptohet si gjithçka që ka vlerë për kompaninë (Figura 3). Kjo do të thotë, një aktiv mund të jetë: burimet njerëzore, infrastruktura, mjetet, pajisjet, komunikimet, shërbimet dhe çdo pasuri tjetër, përfshirë shërbimet për furnizimin e produkteve të blera. Bazuar në proceset, kompania përcakton se cilat asete ka dhe cilat asete përfshihen në procese kritike, dhe vlerëson vlerën e aseteve. Dhe vetëm pas kësaj bëhet vlerësimi i rrezikut për të gjitha pasuritë e vlefshme. Kështu, ISMS nuk ka për qëllim vetëm informacionin dixhital që përpunohet në sistem i automatizuar... Për shembull, përfshijnë disa nga proceset më kritike

Përgatitja

planet e ngjarjeve

2 Kontrolloni H: unë përputhem

me ruajtjen e kopjeve të forta të informacionit, i cili gjithashtu mbulohet nga ISO 27001. ISMS mbulon të gjitha mënyrat në të cilat informacion i rendesishem në kompaninë tuaj: duke filluar nga mënyra se si jeni email -e të mbrojtura, duke përfunduar me vendin ku dosjet personale të punonjësve ruhen në ndërtesë.

Prandaj, është një keqkuptim i madh që meqenëse standardi ka për qëllim ndërtimin e një sistemi të menaxhimit të sigurisë së informacionit, atëherë kjo mund të zbatohet vetëm për të dhënat e ruajtura në një kompjuter. Edhe në epokën tonë dixhitale, shumë informacione ende pasqyrohen në letër, të cilat gjithashtu duhet të mbrohen me besueshmëri.

ISO 9001 nuk mund të përmbushë nevojat e kompanisë për sigurinë e informacionit, pasi ajo është e përqendruar ngushtë në cilësinë e produktit. Prandaj, është shumë e rëndësishme të zbatohet ISO 27001 në kompani. Në shikim të parë, një specialisti mund t'i duket se të dy standardet janë shumë të përgjithshme dhe nuk kanë specifikë. Sidoqoftë, ky nuk është rasti: standardi ISO 27001 përshkruan pothuajse çdo hap të zbatimit dhe kontrollit të funksionimit të një ISMS (Figura 4).

Fazat kryesore të ndërtimit të një sistemi të menaxhimit të sigurisë së informacionit

Fazat kryesore të ndërtimit të një ISMS janë ilustruar në Figurën 4. Le t'i konsiderojmë ato në më shumë detaje.

Faza 1. Përgatitja e planeve të veprimit. Në këtë fazë, specialistët mbledhin dokumente organizative dhe administrative (ORD) dhe materiale të tjera pune,

3 Një tip II ORD normale

4 Analiza ii vlerësimet e rrezikut 11B

Zbatimi

5 RyazraOoghya dhe<>Kompleksi RaeryaOopv & 00 \ * ieiitii:

planet e rrezatimit ■ -> standardet -> ngjarjet -> CfftpJOTHW *

ngjarjet Mon> PB ORD Poenpzhenie

Formimi i 10 vlerësimeve AiUtuin të rezultateve të INRsnEsS "IMB

Oriz. 4. Fazat e ndërtimit të një ISMS

në lidhje me ndërtimin dhe funksionimin e sistemeve të informacionit të kompanisë, të planifikuara për të përdorur mekanizma dhe mjete për të siguruar sigurinë e informacionit. Për më tepër, planet e veprimit për fazat e punës hartohen, bien dakord dhe miratohen nga menaxhmenti i kompanisë.

Faza 2. Kontrollimi i përputhshmërisë me ISO / IEC 27001: 2005. Intervistimi dhe pyetja e menaxherëve dhe punonjësve të departamenteve. Analiza e ISMS -it të kompanisë për pajtueshmërinë me kërkesat e ISO / IEC 27001: 2005.

Faza 3. Analiza e dokumenteve rregullatore dhe organizative dhe administrative bazuar në strukturën organizative të kompanisë. Bazuar në rezultatet e tij, përcaktohet qëllimi i mbrojtur (OA) dhe zhvillohet një skicë e politikës së sigurisë së informacionit të kompanisë.

Faza 4. Analiza dhe vlerësimi i rreziqeve të sigurisë së informacionit. Zhvillimi i një metodologjie për menaxhimin e rreziqeve të kompanisë dhe analizimin e tyre. Analiza e burimeve të informacionit të kompanisë, kryesisht LAN, në mënyrë që të identifikohen kërcënimet dhe dobësitë e aseteve të mbrojtura të PP. Inventarizimi i pasurive. Kryerja e konsultimeve për specialistët e kompanisë dhe vlerësimi i përputhshmërisë së nivelit aktual dhe të kërkuar të sigurisë. Llogaritja e rreziqeve, përcaktimi i nivelit aktual dhe të pranueshëm të rrezikut për çdo aktiv specifik. Renditja e rrezikut, përzgjedhja e komplekseve të masave për zvogëlimin e tyre dhe llogaritja e efikasitetit teorik të zbatimit.

Faza 5. Zhvillimi dhe zbatimi i planeve të veprimit të IS. Zhvillimi i një deklarate mbi zbatueshmërinë e kontrolleve në përputhje me ISO / IEC 27001: 2005. Zhvillimi i një plani për kontabilitetin dhe eliminimin e rreziqeve. Përgatitja e raporteve për kreun e kompanisë.

Faza 6. Zhvillimi i rregullatorit dhe OSA. Zhvillimi dhe miratimi i politikës përfundimtare të IB dhe dispozitave të lidhura (politikat private). Zhvillimi i standardeve, procedurave dhe udhëzimeve për të siguruar funksionimin dhe funksionimin normal të ISMS të kompanisë.

Faza 7. Zbatimi i masave gjithëpërfshirëse për të zvogëluar rreziqet e IS dhe vlerësuar efektivitetin e tyre në përputhje me planin për përpunimin dhe eliminimin e rreziqeve të miratuar nga menaxhmenti.

Faza 8. Trajnimi i personelit. Zhvillimi i planeve të veprimit dhe zbatimi i programeve për trajnimin dhe përmirësimin e kompetencës së punonjësve të kompanisë në mënyrë që të përcjellin në mënyrë efektive parimet e sigurisë së informacionit për të gjithë punonjësit dhe

kryesisht ata që punojnë në njësitë strukturore duke ofruar proceset kryesore të biznesit.

Faza 9. Formimi i raportimit. Sistematizimi i rezultateve të sondazhit dhe përgatitja e raporteve. Prezantimi i rezultateve të punës për drejtuesit e kompanisë. Përgatitja e dokumenteve për licencim për pajtueshmëri me ISO / IEC 27001: 2005 dhe transferimi i tyre tek organizata certifikuese.

Faza 10. Analiza dhe vlerësimi i rezultateve të zbatimit të ISMS bazuar në metodologjinë që vlerëson besueshmërinë e funksionimit ISMS të kompanisë. Zhvillimi i rekomandimeve për përmirësimin e sistemit të menaxhimit të sigurisë së informacionit të kompanisë.

Duke analizuar secilën fazë të zbatimit të ISMS, mund të themi se ISO 27001 ka një strukturë dhe kërkesa të qarta që do t'ju lejojnë të ndërtoni një sistem pune në të cilin do të ketë ndërveprim në të gjitha nivelet e nevojshme. Por ne nuk duhet të harrojmë se ndryshimi kryesor midis ISMS dhe QMS është se sistemi i parë është i fokusuar në sigurinë e informacionit.

Rëndësia e sigurisë së informacionit në botën moderne

Biznesi i sotëm nuk mund të ekzistojë pa teknologjinë e informacionit. Dihet se rreth 70% e produktit të përgjithshëm kombëtar në botë varet në një mënyrë ose në një tjetër nga informacioni i ruajtur në sistemet e informacionit... Prezantimi i përhapur i kompjuterëve ka krijuar jo vetëm komoditete të njohura, por edhe probleme, nga të cilat më serioze është problemi i sigurisë së informacionit.

Drejtuesit e biznesit duhet të kuptojnë rëndësinë e sigurisë së informacionit, të mësojnë të parashikojnë dhe menaxhojnë trendet në këtë fushë. Në këtë ata mund të ndihmohen nga futja e një ISMS, e cila në strukturën e saj ka potencial për zhvillim, transparencë të menaxhimit, fleksibilitet ndaj çdo ndryshimi. Së bashku me kontrollet për kompjuterët dhe rrjetet kompjuterike, standardi ISO 27001 i kushton vëmendje të madhe zhvillimit të politikës së sigurisë, punës me personelin (punësimi, trajnimi, largimi nga puna), duke siguruar vazhdimësinë procesi i prodhimit, kërkesat rregullatore, ndërsa disa çështje teknike janë të detajuara në standardet e tjera të serisë

ISO 27000 Ka shumë përparësi për të futur ISIB në kompani, disa prej tyre janë treguar në Fig. 5

Shkalla Glbkshl pODr> h; b1 [h-th

Rënia ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | ill p. Ki u:

azhshchtnya # tsn ^ rr

Oriz. 5. Përfitimet e zbatimit të një sistemi të menaxhimit të sigurisë së informacionit

Duhet të theksohen përfitimet e ISO

Demonstrimi i kompetencës së sigurisë. ISO 27001 është një udhëzues praktik për një organizatë për të ndihmuar në formulimin e kërkesave të sigurisë për të arritur nivelin e kërkuar të sigurisë dhe për të përmbushur objektivat specifike të sigurisë. Especiallyshtë veçanërisht e rëndësishme që organizatat të jenë kompetente në katër fusha të menaxhimit të sigurisë, duke përfshirë: identifikimin dhe vlerësimin e aseteve të kompanisë, vlerësimin e rreziqeve dhe përcaktimin e kritereve për pranimin e rreziqeve, menaxhimin dhe pranimin e këtyre artikujve, dhe përmirësimin e vazhdueshëm. program i përgjithshëm sigurinë e organizatës.

Sigurimi i besimit të klientit. ISO 27001 siguron dëshmi të pavarur që programet qeverisja korporative mbështetur nga praktikat më të mira, më të mira, ndërkombëtare. Certifikimi ISO 27001 siguron paqen e mendjes për korporatat që kërkojnë të demonstrojnë integritet ndaj klientëve, aksionarëve dhe partnerëve të mundshëm, dhe më e rëndësishmja, për të treguar që kompania ka zbatuar me sukses një sistem të fuqishëm të menaxhimit të sigurisë së informacionit. Për shumë industri të rregulluara rëndë siç janë financat ose shërbimet e internetit, përzgjedhja e furnizuesve mund

kufizohen në ato organizata që tashmë janë të certifikuara me ISO 27001.

Përdorimi më efikas i burimeve. Falë përdorimit të qasjes së procesit, është e mundur të optimizohen proceset që ndodhin në kompani. Kjo nënkupton një rënie në përdorimin e burimeve, për shembull, kohën.

Përmirësim të vazhdueshëm. ISMS përdor modelin PCDA, i cili ju lejon të kontrolloni rregullisht statusin e të gjithë sistemit, të analizoni dhe përmirësoni sistemin e menaxhimit

1. Imazhi, markë. Certifikimi për pajtueshmërinë me ISO 27001 hap mundësi të mëdha për kompaninë: qasje në nivelin ndërkombëtar, partneritete të reja, më shumë klientë, kontrata të reja, sukses në tenderë. Prania e një ISMS në një kompani është një tregues i një niveli të lartë të zhvillimit.

2. Fleksibiliteti i ISMS. Pavarësisht nga ndryshimet në proceset, teknologjitë e reja, baza e strukturës ISMS mbetet efektive. ISMS përshtatet mjaft lehtë me risitë duke modernizuar ekzistencën dhe duke futur kundërmasa të reja.

3. Shkallëzueshmëria e zbatimit të standardit. Meqenëse ISO 27001 kërkon fushëveprim, vetëm një nëngrup i proceseve mund të certifikohet. Mund të filloni të zbatoni ISMS në OA më të rëndësishme për kompaninë, dhe vetëm më vonë të zgjeroheni.

4. Auditimi. Shumë Kompanitë ruse perceptojnë punën e auditimit si një fatkeqësi. ISO 27001 tregon një qasje ndërkombëtare ndaj auditimit: para së gjithash, interesi i kompanisë për të përmbushur në të vërtetë standardet, dhe për të mos bërë certifikimin disi, vetëm për shfaqje.

5. Auditimet e rregullta të brendshme ose të jashtme lejojnë korrigjimin e shkeljeve, përmirësimin e ISMS dhe zvogëlimin e ndjeshëm të rreziqeve. Para së gjithash, kompania ka nevojë për paqen e saj mendore, që gjithçka të jetë në rregull dhe rreziqet e humbjeve të minimizohen. Dhe tashmë dytësore - një certifikatë konformiteti, e cila konfirmon për partnerët ose klientët se kësaj kompanie mund t'i besohet.

6. Transparenca e menaxhimit. Përdorimi i standardit ISO 27001 siguron udhëzime mjaft të qarta për krijimin e menaxhimit, dhe

gjithashtu kërkesat për dokumentacionin që duhet të jetë në kompani. Problemi për shumë kompani është se dokumentet ekzistues për departamente të caktuara thjesht nuk janë të lexueshme, sepse shpesh është e pamundur të kuptohet se çfarë është menduar për kë për shkak të kompleksitetit të sistemit të dokumentacionit. Hierarkia e niveleve të dokumentacionit, nga politika e sigurisë së informacionit deri në përshkrimin e procedurave të veçanta, e bën përdorimin e rregullave, rregulloreve dhe gjërave të tjera shumë më të lehta. Gjithashtu, prezantimi i SM & B përfshin trajnimin e stafit: mbajtjen e seminareve, postimeve, varjen e posterave paralajmërues, gjë që rrit ndjeshëm ndërgjegjësimin për sigurinë e informacionit tek punonjësit e zakonshëm.

Si përfundim, duhet të theksohet se në biznes modern integraliteti i sistemit bazë të menaxhimit të cilësisë, i ndërtuar në përputhje me kërkesat e standardit ISO 9001, dhe pozicioni fitues i sistemit të menaxhimit të sigurisë së informacionit është i dukshëm.

Sot, udhëheqësi i tregut do të jenë kompanitë që monitorojnë jo vetëm treguesit e cilësisë së produkteve dhe shërbimeve, por edhe nivelet e konfidencialitetit, integritetit dhe disponueshmërisë së informacionit rreth tyre. Parashikimi dhe vlerësimi i rrezikut është gjithashtu një faktor i rëndësishëm suksesi, i cili kërkon një qasje kompetente dhe përdorimin e praktikave më të mira ndërkombëtare. Zbatimi dhe certifikimi i përbashkët i sistemeve të menaxhimit të cilësisë dhe sigurisë së informacionit do të ndihmojë në zgjidhjen e një game të gjerë problemesh për çdo industri ose tregti, të cilat nga ana e tyre do të çojnë në një rritje cilësore të nivelit të shërbimeve të ofruara.

Letërsi

1. Dorofeev A. V., Shahalov I. Yu. Bazat e menaxhimit të sigurisë së informacionit organizim modern// Informatika ligjore. 2013. Nr. 3. S. 4-14.

2. Chashkin VN Menaxhimi i sigurisë së informacionit si një element i sistemit të menaxhimit të informacionit dhe aktivitetit teknologjik të organizatës // Siguria e teknologjive të informacionit. 2009. Nr. 1. S. 123-124.

3. Goryachev VV GOST i ri për QMS. Dallimet kryesore nga GOST RV 15.002-2003 //

Metodat e menaxhimit të cilësisë. 2013. Nr. 7. S. 18-23.

4. Dotsenko PS, Pshenetskiy PS Qasja për ndërtimin e një modeli të sistemeve të menaxhimit të sigurisë së informacionit // Gazeta elektronike shkencore e rrjetit politematik të Universitetit Agrar Shtetëror të Kubanit. 2009. Nr 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modeli i sistemit të menaxhimit të sigurisë së informacionit në ndërmarrje (në organizatë) // Intelekt. Inovacioni. Investimet. 2013. Nr. 1. S. 111-114.

6. Soloviev A. M. Baza normative dhe metodologjike në fushën e sigurisë së informacionit // Ekonomia, statistikat dhe informatika. Buletini i UMO. 2012. Nr. 1. S. 174-181.

7. Kozin IF, Livshits II Siguria e informacionit. Integrimi standardet ndërkombëtare në sistemin e sigurisë së informacionit të Rusisë // Informatizimi dhe komunikimi. 2010. Nr. 1. S. 50-55.

8. Kolodin VS Certifikimi i sistemeve të integruara të menaxhimit // Buletini i Universitetit Teknik Shtetëror të Irkutsk. 2010. T. 41. Nr. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu A. Sistemet e integruara të menaxhimit: parakushtet për krijimin në ndërmarrjet ruse // Shkencëtar i ri.

2013. Nr. 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Menaxhimi i sigurisë së informacionit të sistemeve të informacionit dhe telekomunikacionit bazuar në modelin "P1ap-Do-Check-Act" // Sling Science1 i Universitetit Teknik Kombëtar të Donetsk. Ser1ya: "Teknika llogaritëse që automatizmi". 2013. Nr. 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Menaxhimi i sigurisë së informacionit: konceptet bazë // Çështjet e sigurisë kibernetike.

2014. Nr. 1 (2). S. 67-73.

12. Shper VL Rreth standardit 18O / 1EC 27001 // Metodat e menaxhimit të cilësisë. 2008. Nr. 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Menaxhimi i rrezikut - vakum normativ i sigurisë së informacionit // Sisteme të hapura... DBMS. 2007. Nr. 8. S. 63-67.

14. Matveev V.A., Tsirlov V.L.

tion në 2014 // Çështjet e Sigurisë Kibernetike. 2013. Nr. 1 (1). S. 61-64.

15. Barabanov A. V. Standardizimi i procesit të zhvillimit të softuerit të sigurt // Çështje të sigurisë kibernetike. 2013. Nr. 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Udhëzimet për sigurinë kibernetike në kontekst

ISO 27032 // Çështje të sigurisë kibernetike. 2014. Nr. 1 (2). S. 28-35. 17. Khramtsovskaya N. Çfarë duhet të dijë një menaxher për sigurinë e informacionit // Kadrovik. 2009. Nr 4. S. 061-072.

Me të vërtetë e turpshme. Ne informuam për lëshimin e afërt të standardit ISO 45001, i cili duhet të zëvendësojë standardin aktual të menaxhimit të shëndetit dhe sigurisë në punë OHSAS 18001, dhe thamë se duhet ta presim në fund të vitit 2016 ... Mesnata po afron, por Herman është ende ikur. Koha për të pranuar - ISO 45001 është në pritje. E vërtetë, për arsye të mira. Komuniteti i ekspertëve ka shumë pyetje për të. […]