Vad Àr ett modernt informationssÀkerhetshanteringssystem. Moderna standarder inom informationssÀkerhet med begreppet riskhantering InformationssÀkerhetshanteringssystem

Shahalov Igor Yurievich

I frÄgan om integrering av kvalitetsledningssystem och informationssÀkerhet

Sammanfattning: De internationella standarderna ISO 27001 och ISO 9001 beaktas. Analysen av likheter och skillnader mellan kvalitetsledningssystemet och informationssÀkerhetsstyrningssystemet utförs. Möjligheten att integrera kvalitetsledningssystemet och informationssÀkerhetshanteringssystemet visas. De viktigaste stadierna av konstruktion och implementering av ett integrerat system för informationssÀkerhet ges. Fördelarna med det integrerade tillvÀgagÄngssÀttet visas.

Nyckelord: informationssÀkerhetshanteringssystem, integrerade ledningssystem, ISMS, QMS, ISO 27001.

Natalia Olegovna

Introduktion

V modern vÀrld med tillkomsten av vanligt och bekvÀmt tekniska anordningar problemet med informationssÀkerhet har dykt upp ganska kraftigt. Tillsammans med lanseringen av kvalitetsprodukter eller tillhandahÄllande av tjÀnster till företag och organisationer Àr det viktigt att hÄlla den nödvÀndiga informationen hemlig för konkurrenter för att förbli i en gynnsam position pÄ marknaden. I tÀvlingskampen Àr olika ÄtgÀrder som syftar till att erhÄlla (erhÄlla, skaffa) konfidentiell information utbredda. olika sÀtt, upp till direkt industrispionage med hjÀlp av moderna tekniska intelligensmedel.

SÄledes blir organisationer som följer vÀrldens bÀsta praxis, som innehÄller krav, riktlinjer för implementering av affÀrsprocesshanteringssystem, ledande pÄ marknaden. De bÀsta standarderna för design, implementering, övervakning och förbÀttring av sÄdana system Àr dokument frÄn International Organization for Standardization (ISO). SÀrskild uppmÀrksamhet bör Àgnas Ät standarderna i ISO 900x- och ISO 2700x -serien, som samlar bÀsta praxis för implementering av ett kvalitetsledningssystem (QMS) och ett informationssÀkerhetshanteringssystem (ISMS).

Kvalitetsstyrningssystemet, implementerat i enlighet med kraven i ISO 9001-standarden, har lÀnge erkÀnts som en integrerad egenskap hos ett framgÄngsrikt företag som producerar produkter av hög kvalitet eller tillhandahÄller tjÀnster av hög klass. Idag Àr tillgÀngligheten av ett intyg om överensstÀmmelse bÄde en effektiv marknadsföringslösning och en mekanism för att kontrollera produktionsprocesser. QMS-revision Àr ett vÀl utvecklat affÀrsomrÄde.

Beroendet av företagets framgÄngsrika aktiviteter pÄ företagssystem informationsskydd. Detta beror pÄ ökningen av mÀngden vitala data som behandlas i företagsinformationssystemet. Informationssystem blir mer komplexa och antalet sÄrbarheter som finns i dem vÀxer ocksÄ. ISMS -granskning gör det möjligt att bedöma företagets nuvarande sÀkerhetslÀge informationssystem,

bedöma och förutsÀga risker, hantera deras inverkan pÄ företagets affÀrsprocesser.

Eftersom ISO 9001 -standarden lÀnge har tagit den ledande positionen i antalet certifikat i vÀrlden, och ISO 27001 -standarden visar en tendens att öka certifieringen av informationssÀkerhetshanteringssystemet, Àr det lÀmpligt att övervÀga den möjliga interaktionen och integration av QMS och ISMS.

Integrering av standarder

Vid första anblicken Ă€r kvalitetshantering och informationssĂ€kerhet helt olika omrĂ„den. Men i praktiken Ă€r de nĂ€ra beslĂ€ktade och bildar en helhet (figur 1). Kundnöjdhet, som Ă€r ett objektivt kvalitetsmĂ„l, beror mer och mer pĂ„ varje Ă„r pĂ„ tillgĂ„ngen pĂ„ informationsteknik och datasĂ€kerhet, för vilken ISO 27001 -standarden anvĂ€nds. Å andra sidan matchar ISO 9001 -standarden exakt organisationens företagsmĂ„l, hjĂ€lper till att sĂ€kerstĂ€lla sĂ€kerheten. Tack vare ett integrerat tillvĂ€gagĂ„ngssĂ€tt kan ISO 27001 effektivt integreras i befintliga QMS eller implementeras tillsammans med QMS.

(ISO 27001) och IT service management (ISO 20000) har en liknande struktur och processmetod. Detta skapar en synergi som lönar sig: i praktiken sparar ett integrerat ledningssystem för pÄgÄende verksamhet 20 till 30 procent av den totala kostnaden för systemoptimering, kontroller och revisioner.

InformationssÀkerhets- och kvalitetshanteringsstandarder syftar till att stÀndigt förbÀttras i enlighet med PDCA-modellen Plan-Do-Check-Act (Deming Cycle) (se figur 2). Dessutom Àr de likartade i strukturen, som visas i korrespondenstabellen i bilaga C till ISO 27001. BÄda standarderna definierar processmetod, omfattning, system- och dokumentationskrav och administrativt ansvar. I bÄda fallen slutar strukturen med internrevision, ledningsgranskning och systemförbÀttring. I detta interagerar bÄda systemen. Till exempel krÀver ISO 9001 hantering av avvikande produkter. PÄ samma sÀtt har standarden ISO 27001 ett incidenthanteringskrav för att lösa fel.

Ris. 1. InteraktionsomrÄden och likhet mellan QMS och ISMS

Ris. 2. Deming -cykel

Mer Àn 27 200 organisationer frÄn olika branscher i mer Àn 100 lÀnder i vÀrlden Àr certifierade för överensstÀmmelse med ISO 9001: 2008 för kvalitetsledning. Beroende pÄ marknaden och lagkrav tvingas mÄnga organisationer alltmer att hantera informationssÀkerhet. I detta avseende erbjuder integrationen av styrsystemet verkliga möjligheter. Ett komplext tillvÀgagÄngssÀtt ocksÄ intressant för företag som inte har anvÀnt nÄgon hanteringsprocess förrÀn nu. ISO -standarder för kvalitet (ISO 9001), miljöskydd (ISO 14000), informationssÀkerhet

Skillnaderna mellan standarderna Àr anvÀndbara för att komplettera varandra, vilket avgörande bidrar till ökad affÀrsframgÄng. Till exempel krÀver ISO 9001 definitionen av företagsmÄl, kundfokus och mÀtbarhet, i vilken utstrÀckning mÄl och mÄl uppnÄs. Det hÀr Àr tre frÄgor som inte stÄr i centrum för ISO 27001: s intressen. I sin tur prioriterar denna standard riskhantering för att upprÀtthÄlla verksamhetens kontinuitet och erbjuder detaljerat stöd vid implementering av ett ISMS. JÀmfört

med detta Àr ISO 9001 mer en teoretisk standard.

ISO 27001 - en standard inte bara för IT

MÄnga tror att ISO 27001 -standarden endast Àr för IT -processer, men i verkligheten Àr det inte sÄ. Den grundlÀggande punkten för implementeringen av ISO 27001 SM & B -standarden Àr definitionen av tillgÄngar.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnsslsc tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Ris. 3. Typer av tillgÄngar

En tillgÄng förstÄs som allt som Àr av vÀrde för företaget (figur 3). Det vill sÀga en tillgÄng kan vara: mÀnskliga resurser, infrastruktur, verktyg, utrustning, kommunikation, tjÀnster och alla andra tillgÄngar, inklusive tjÀnster för leverans av köpta produkter. Baserat pÄ processerna bestÀmmer företaget vilka tillgÄngar det har och vilka tillgÄngar som Àr involverade i kritiska processer och utvÀrderar tillgÄngarnas vÀrde. Och först efter det görs riskbedömningen för alla vÀrdefulla tillgÄngar. SÄledes Àr ISMS inte bara avsett för digital information som behandlas i automatiserat system... Till exempel innebÀr nÄgra av de mest kritiska processerna

Förberedelse

evenemangsplaner

2 Kontrollera H: jag matchar

med lagring av papperskopior av information, som ocksÄ omfattas av ISO 27001. Ett ISMS tÀcker alla sÀtt pÄ vilka viktig information kan lagras i ditt företag, frÄn hur din mejl skyddad, slutar med dÀr personliga filer för anstÀllda lagras i byggnaden.

DĂ€rför Ă€r det en enorm missuppfattning att eftersom standarden syftar till att bygga ett informationssĂ€kerhetshanteringssystem, sĂ„ kan detta bara gĂ€lla data som lagras i en dator. Även i vĂ„r digitala tid Ă„terspeglas mycket information fortfarande pĂ„ papper, vilket ocksĂ„ mĂ„ste skyddas pĂ„ ett tillförlitligt sĂ€tt.

ISO 9001 kan inte tillgodose företagets informationssÀkerhetsbehov, eftersom det Àr snÀvt fokuserat pÄ produktkvalitet. DÀrför Àr det mycket viktigt att implementera ISO 27001 i företaget. Vid en första anblick kan det tyckas för en specialist att bÄda standarderna Àr mycket generella och inte har specificitet. Men sÄ Àr inte fallet: ISO 27001 -standarden beskriver nÀstan varje steg för att implementera och kontrollera funktionen hos ett ISMS (figur 4).

Huvudstadierna för att bygga ett informationssÀkerhetshanteringssystem

Huvudstadierna för att bygga ett ISMS visas i figur 4. LÄt oss övervÀga dem mer detaljerat.

Steg 1. Utarbetande av handlingsplaner. I detta skede samlar specialister in organisatoriska och administrativa dokument (ORD) och annat arbetsmaterial,

3 En typ normal II ORD

4 Analys ii riskbedömningar 11B

Genomförande

5 RyazraOoghya och<>RaeryaOopv -komplex & 00 \ * ieiitii:

strĂ„lningsplaner ■ -> standarder -> evenemang -> CfftpJOTHW *

hÀndelser mÄn> PB ORD Poenpzhenie

Bildande av 10 AiUtuin -utvÀrdering av resultaten frÄn INRsnEsS "IMB

Ris. 4. Etapper för att bygga ett ISMS

om konstruktion och drift av företagets informationssystem, planerade att anvÀnda mekanismer och sÀtt att sÀkerstÀlla informationssÀkerhet. Dessutom upprÀttas handlingsplaner för arbetsfaserna, överenskomms och godkÀnns av företagets ledning.

Steg 2. Kontroll av överensstÀmmelse med ISO / IEC 27001: 2005. Intervjuer och förhör chefer och anstÀllda pÄ avdelningar. Analys av företagets ISMS för överensstÀmmelse med kraven i ISO / IEC 27001: 2005.

Steg 3. Analys av reglerings- och organisations- och administrativa dokument baserade pÄ organisationsstruktur företag. Baserat pÄ dess resultat bestÀms det skyddade omfÄnget (OA) och en skiss över företagets informationssÀkerhetspolicy utvecklas.

Steg 4. Analys och bedömning av informationssÀkerhetsrisker. Utveckling av en metod för att hantera företagsrisker och analysera dem. Analys av företagets informationsresurser, frÀmst LAN, för att identifiera hot och sÄrbarheter för skyddade ML -tillgÄngar. Inventering av tillgÄngar. Genomföra konsultationer för företagets specialister och bedöma överensstÀmmelse med den faktiska och erforderliga sÀkerhetsnivÄn. BerÀkning av risker, bestÀmning av nuvarande och acceptabel risknivÄ för varje specifik tillgÄng. Riskrankning, val av komplex av ÄtgÀrder för att minska dem och berÀkning av implementeringens teoretiska effektivitet.

Steg 5. Utveckling och genomförande av IS -handlingsplaner. Utveckling av ett uttalande om tillÀmpligheten av kontroller i enlighet med ISO / IEC 27001: 2005. Utveckling av en plan för redovisning och eliminering av risker. UpprÀttande av rapporter för företagets chef.

Steg 6. Utveckling av regelverk och OSA. Utveckling och godkÀnnande av den slutliga IB -policyn och tillhörande bestÀmmelser (privata policyer). Utveckling av standarder, procedurer och instruktioner för att sÀkerstÀlla normal funktion och drift av företagets ISMS.

Steg 7. Genomförande av omfattande ÄtgÀrder för att minska IS -risker och bedöma deras effektivitet i enlighet med planen för behandling och eliminering av risker som godkÀnts av ledningen.

Steg 8. Personalutbildning. Utveckling av handlingsplaner och genomförande av program för utbildning och förbÀttring av företagets anstÀlldas kompetens för att effektivt förmedla principer för informationssÀkerhet till alla anstÀllda och

frÀmst de som arbetar i strukturella enheter tillhandahÄlla viktiga affÀrsprocesser.

Steg 9. Bildande av rapportering. Systematisering av undersökningsresultat och upprÀttande av rapporter. Presentation av arbetsresultaten för företagets chefer. Utarbetande av dokument för licensiering för överensstÀmmelse med ISO / IEC 27001: 2005 och överföring till den certifierande organisationen.

Steg 10. Analys och utvÀrdering av resultaten av ISMS -implementeringen baserat pÄ den metodik som bedömer tillförlitligheten i företagets ISMS -funktion. Utveckling av rekommendationer för att förbÀttra företagets IS -hanteringssystem.

Genom att analysera varje steg i ISMS -implementering kan vi sÀga att ISO 27001 har en tydlig struktur och krav som gör att du kan bygga ett fungerande system dÀr det kommer att finnas interaktion pÄ alla nödvÀndiga nivÄer. Men vi fÄr inte glömma att den största skillnaden mellan ISMS och QMS Àr att det första systemet Àr inriktat pÄ informationssÀkerhet.

InformationssÀkerhetens betydelse i den moderna vÀrlden

Dagens verksamhet kan inte existera utan informationsteknik. Det Àr kÀnt att cirka 70% av vÀrldens totala nationella produkt beror pÄ ett eller annat sÀtt pÄ den information som lagras i informationssystem. Den utbredda introduktionen av datorer har skapat inte bara vÀlkÀnda bekvÀmligheter utan ocksÄ problem, varav det allvarligaste Àr informationssÀkerhetsproblemet.

Företagsledare mÄste förstÄ vikten av informationssÀkerhet, lÀra sig att förutsÀga och hantera trender inom detta omrÄde. I detta kan de fÄ hjÀlp av införandet av ett ISMS, som i sin struktur har potential för utveckling, transparens i ledningen, flexibilitet för eventuella förÀndringar. Tillsammans med kontroller för datorer och datornÀt, Àgnar ISO 27001 -standarden stor uppmÀrksamhet Ät utvecklingen av sÀkerhetspolicy, arbete med personal (anstÀllning, utbildning, uppsÀgning frÄn arbetet), vilket sÀkerstÀller kontinuitet produktionsprocess, myndighetskrav, medan vissa tekniska frÄgor Àr detaljerade i andra standarder i serien

ISO 27000. Det finns mÄnga fördelar med att introducera ISIB i företaget, nÄgra av dem visas i fig. 5.

Glbkshl Skala pODr> h; b1 [h-th

Avböja ¥juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | ill s. Ki u:

azhshchtnya # tsn ^ st

Ris. 5. Fördelar med att implementera ett informationssÀkerhetshanteringssystem

Fördelarna med ISO bör pÄpekas

Demonstration av sÀkerhetskompetens. ISO 27001 Àr en praktisk guide för en organisation för att formulera sÀkerhetskrav för att uppnÄ den nödvÀndiga sÀkerhetsnivÄn och uppfylla specifika sÀkerhetsmÄl. Det Àr sÀrskilt viktigt för organisationer att vara kompetenta inom fyra omrÄden inom sÀkerhetshantering, inklusive: identifiera och bedöma företagets tillgÄngar, bedöma risker och definiera kriterier för att acceptera risker, hantera och anta dessa poster och kontinuerlig förbÀttring. allmÀnt program organisationens sÀkerhet.

SÀkerstÀlla kundernas förtroende. ISO 27001 ger oberoende bevis pÄ att bolagsstyrningsprogram stöds av internationell bÀsta praxis. ISO 27001 -certifiering ger sinnesro till företag som vill visa integritet för kunder, aktieÀgare och potentiella partners, och viktigast av allt, för att visa att företaget framgÄngsrikt har implementerat ett robust system för informationssÀkerhet. För mÄnga starkt reglerade branscher som finans eller internettjÀnster kan leverantörsval

begrÀnsas till de organisationer som redan Àr ISO 27001 -certifierade.

Effektivare resursanvÀndning. Tack vare anvÀndning av processmetoden Àr det möjligt att optimera processerna som Àger rum i företaget. Vilket innebÀr en minskning av resursanvÀndningen, till exempel tid.

Kontinuerlig förbÀttring. ISMS anvÀnder PCDA -modellen, som gör att du regelbundet kan kontrollera status för hela systemet, analysera och förbÀttra ledningssystemet

1. Bild, mÀrke. Certifiering för överensstÀmmelse med ISO 27001 öppnar stora möjligheter för företaget: tillgÄng till internationell nivÄ, nya partnerskap, fler kunder, nya kontrakt, framgÄng i anbud. Förekomsten av ett ISMS i ett företag Àr en indikator pÄ en hög utvecklingsnivÄ.

2. ISMS: s flexibilitet. Oavsett förÀndringar i processer, ny teknik, förblir grunden för ISMS -strukturen effektiv. ISMS anpassar sig ganska enkelt till innovationer genom att modernisera befintliga och införa nya motÄtgÀrder.

3. Skalbarhet för implementering av standarden. Eftersom ISO 27001 innebÀr omfattning kan endast en delmÀngd av processerna certifieras. Du kan börja implementera ISMS i den viktigaste OA för företaget och först senare expandera.

4. Granskning. MÄnga Ryska företag uppfatta revisionsarbete som en katastrof. ISO 27001 visar en internationell strategi för revision: först och frÀmst företagets intresse av att faktiskt uppfylla standarderna, och inte göra certifieringen pÄ nÄgot sÀtt, bara "för show".

5. Regelbundna interna eller externa revisioner gör det möjligt att korrigera krÀnkningar, förbÀttra ISMS och minska riskerna avsevÀrt. Först och frÀmst behöver företaget det för sin egen sinnesro, att allt Àr i sin ordning och riskerna med förluster minimeras. Och redan sekundÀrt - ett intyg om överensstÀmmelse, som för partner eller kunder bekrÀftar att detta företag kan lita pÄ.

6. Öppenhet i ledningen. AnvĂ€ndningen av ISO 27001 -standarden ger ganska tydliga instruktioner för att skapa hantering, och

Àven kraven pÄ dokumentationen som mÄste finnas i företaget. Problemet hos mÄnga företag Àr att de befintliga dokumenten för vissa avdelningar helt enkelt inte Àr lÀsbara, eftersom det ofta Àr omöjligt att rÀkna ut vad som Àr avsett för vem pÄ grund av komplexiteten i dokumentationssystemet. Hierarkin av dokumentationsnivÄer, frÄn informationssÀkerhetspolicy till beskrivning av specifika förfaranden, gör anvÀndningen av befintliga regler, förordningar och andra saker mycket enklare. Införandet av SM & B innebÀr ocksÄ personalutbildning: att hÄlla seminarier, utskick, hÀngande varningsaffischer, vilket avsevÀrt ökar medvetenheten om informationssÀkerhet bland vanliga anstÀllda.

Sammanfattningsvis bör det noteras att i moderna affÀrer oförutsÀgbarheten hos det grundlÀggande kvalitetsstyrningssystemet, byggt i enlighet med kraven i ISO 9001 -standarden, och informationssÀkerhetshanteringssystemets stÄndpunkt Àr uppenbar.

Idag kommer marknadsledaren att vara företag som inte bara övervakar indikatorer pÄ kvaliteten pÄ produkter och tjÀnster, utan ocksÄ konfidentialitet, integritet och tillgÀnglighet av information om dem. Prognoser och riskbedömning Àr ocksÄ en viktig framgÄngsfaktor, vilket krÀver ett kompetent tillvÀgagÄngssÀtt och anvÀndning av bÀsta internationella praxis. Gemensamt genomförande och certifiering av kvalitetshanterings- och informationssÀkerhetssystem hjÀlper till att lösa ett brett spektrum av problem för alla branscher eller branscher, vilket i sin tur kommer att leda till en kvalitativ ökning av servicenivÄn.

Litteratur

1. Dorofeev A. V., Shahalov I. Yu. Grunderna i informationssÀkerhetshantering modern organisation// Juridisk informatik. 2013. Nr 3. S. 4-14.

2. Chashkin VN InformationssÀkerhetshantering som en del av organisationens informations- och tekniska aktivitetshanteringssystem // SÀkerhet för informationsteknik. 2009. Nr 1. S. 123-124.

3. Goryachev VV Ny GOST för QMS. Huvudsakliga skillnader frÄn GOST RV 15.002-2003 //

Kvalitetshanteringsmetoder. 2013. Nr 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP TillvÀgagÄngssÀtt för att bygga en modell för informationssÀkerhetshanteringssystem // Polytematiskt nÀtverk elektronisk vetenskaplig tidskrift för Kuban State Agrarian University. 2009. Nr 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modell av informationssÀkerhetshanteringssystemet pÄ företaget (i organisationen) // Intellect. Innovation. Investeringar. 2013. Nr 1. S. 111-114.

6. Soloviev AM Normativ och metodisk bas inom informationssÀkerhet // Ekonomi, statistik och informatik. Bulletin frÄn UMO. 2012. Nr 1. S. 174-181.

7. Kozin IF, Livshits II InformationssÀkerhet. Integrering av internationella standarder i Rysslands informationssÀkerhetssystem // Informatisering och kommunikation. 2010. Nr 1. S. 50-55.

8. Kolodin VS Certifiering av integrerade ledningssystem // Bulletin frÄn Irkutsk State Technical University. 2010. T. 41. Nr 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu A. Integrerade ledningssystem: förutsÀttningar för att skapa pÄ ryska företag // Ung forskare.

2013. Nr 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED InformationssÀkerhetshantering av informations- och telekommunikationssystem baserat pÄ modellen "P1ap-Do-Check-Act" // Science1-sling vid Donetsk National Technical University. Ser1ya: "BerÀkningstekniskt och automatiserat". 2013. Nr 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS InformationssÀkerhetshantering: grundlÀggande begrepp // CybersÀkerhetsfrÄgor.

2014. Nr 1 (2). S. 67-73.

12. Shper VL Om standarden 18O / 1EC 27001 // Metoder för kvalitetshantering. 2008. Nr 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Riskhantering - normativt vakuum för informationssĂ€kerhet // Öppna system... DBMS. 2007. Nr 8. S. 63-67.

14. Matveev V.A., Tsirlov V.L.

tion 2014 // CybersÀkerhetsfrÄgor. 2013. Nr 1 (1). S. 61-64.

15. Trummor A. V. Standardisering av sÀkerhetsprocessen mjukvaruverktyg// CybersÀkerhetsfrÄgor. 2013. Nr 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Riktlinjer för cybersÀkerhet i sammanhanget

ISO 27032 // CybersÀkerhetsproblem. 2014. Nr 1 (2). S. 28-35. 17. Khramtsovskaya N. Vad en chef behöver veta om informationssÀkerhet // Kadrovik. 2009. Nr 4. S. 061-072.

I informationsteknikens vÀrld blir frÄgan om att sÀkerstÀlla informationens integritet, tillförlitlighet och konfidentialitet en prioritet. DÀrför Àr det ett strategiskt beslut att inse behovet av att en organisation har ett informationssÀkerhetshanteringssystem (ISMS).

Den var utformad för att skapa, implementera, underhÄlla och kontinuerligt förbÀttra ett ISMS i ett företag, och genom att tillÀmpa denna standard pÄ externa partners blir det uppenbart att organisationen kan uppfylla sina egna krav pÄ informationssÀkerhet. Denna artikel kommer att diskutera de grundlÀggande kraven i standarden och diskutera dess struktur.

(ADV31)

HuvudmÄlen med ISO 27001 -standarden

Innan vi fortsÀtter med beskrivningen av standardens struktur, lÄt oss faststÀlla dess huvuduppgifter och övervÀga historien om hur standarden sÄg ut i Ryssland.

Syftet med standarden:

  • etablering enhetliga krav för alla organisationer att skapa, implementera och förbĂ€ttra ISMS;
  • sĂ€kerstĂ€lla interaktion mellan ledning och medarbetare;
  • upprĂ€tthĂ„lla konfidentialitet, integritet och tillgĂ€nglighet av information.

Samtidigt Àr de krav som faststÀlls i standarden generella och Àr avsedda att tillÀmpas av alla organisationer, oavsett typ, storlek eller art.

Standardens historia:

  • År 1995 antog British Standards Institute (BSI) Information Security Management Code som en nationell brittisk standard och registrerade den enligt BS 7799 - Del 1.
  • 1998 publicerar BSI BS7799-2 i tvĂ„ delar, en med en uppförandekod och de andra kraven för system för hantering av informationssĂ€kerhet.
  • Under senare revideringar publicerades den första delen som BS 7799: 1999, del 1. År 1999 överfördes denna version av standarden till International Organization for Certification.
  • Detta dokument godkĂ€ndes Ă„r 2000 som den internationella standarden ISO / IEC 17799: 2000 (BS 7799-1: 2000). Den senaste versionen av denna standard, som antogs 2005, Ă€r ISO / IEC 17799: 2005.
  • I september 2002 trĂ€dde den andra delen av BS 7799 "Information Security Management System Specification" i kraft. Den andra delen av BS 7799 reviderades 2002 och i slutet av 2005 antogs av ISO som den internationella standarden ISO / IEC 27001: 2005 " Informationsteknologi- SĂ€kerhetsmetoder - InformationssĂ€kerhetshanteringssystem - Krav.
  • År 2005 inkluderades ISO / IEC 17799 -standarden i standardserien i den 27: e serien och mottogs nytt nummer- ISO / IEC 27002: 2005.
  • Den 25 september 2013 publicerades det uppdaterade ISO / IEC 27001: 2013 ”Information Security Management Systems”. Krav". För nĂ€rvarande Ă€r organisationer certifierade enligt denna version av standarden.

Standardens struktur

En av fördelarna med denna standard Àr likheten mellan dess struktur och ISO 9001, eftersom den innehÄller identiska rubriker i underavsnitt, identisk text, gemensamma termer och grundlÀggande definitioner. Denna omstÀndighet sparar tid och pengar, eftersom en del av dokumentationen redan har utvecklats under ISO 9001 -certifieringen.

Om vi ​​talar om standardens struktur Ă€r det en lista över ISMS -krav som Ă€r obligatoriska för certifiering och bestĂ„r av följande avsnitt:

HuvudsektionerBilaga A
0. Introduktion A.5 InformationssÀkerhetspolicyer
1 anvÀndningsomrÄde A.6 InformationssÀkerhetsorganisation
2. Normativa referenser A.7 SÀkerhet för personal (personal)
3. Termer och definitioner A.8 Kapitalförvaltning
4. Organisationskontext A.9 Åtkomstkontroll
5. Ledarskap A.10 Kryptografi
6. Planering A.11 Fysisk och miljömÀssig sÀkerhet
7. Support A.12 DriftsÀkerhet
8. Verksamhet (drift) A.13 KommunikationssÀkerhet
9. UtvÀrdering (mÀtning) av prestanda A.14 Inköp, utveckling och underhÄll av informationssystem
10. FörbÀttring (förbÀttring) A.15 Leverantörsrelationer
A.16 Incidenthantering
A.17 AffÀrskontinuitet
A.18 Laglig efterlevnad

Kraven i "Bilaga A" Àr obligatoriska, men standarden lÄter dig utesluta omrÄden som inte kan tillÀmpas i företaget.

NÀr du implementerar standarden pÄ ett företag för ytterligare certifiering Àr det vÀrt att komma ihÄg att inga undantag frÄn kraven i avsnitt 4 - 10. Dessa avsnitt kommer att diskuteras vidare.

LÄt oss börja med avsnitt 4 - Organisationskontext

Organisationens sammanhang

I detta avsnitt krÀver standarden att en organisation identifierar externa och interna frÄgor som Àr relevanta för dess mÄl och som pÄverkar dess ISMS förmÄga att uppnÄ förvÀntade resultat. DÀrvid bör du ta hÀnsyn till de lagstadgade, föreskrivande och avtalsenliga skyldigheterna vad gÀller informationssÀkerhet. Organisationen bör ocksÄ definiera och dokumentera ISMS: s omfattning och tillÀmplighet för att faststÀlla dess omfattning.

Ledarskap

Toppledningen bör visa ledarskap och engagemang för informationssÀkerhetshanteringssystemet genom att till exempel sÀkerstÀlla att informationssÀkerhetspolitiken och informationssÀkerhetsmÄlen faststÀlls och överensstÀmmer med organisationens strategi. Toppledningen bör ocksÄ se till att alla nödvÀndiga resurser för ISMS tillhandahÄlls. Med andra ord bör det vara uppenbart för de anstÀllda att ledningen Àr involverad i informationssÀkerhetsfrÄgor.

InformationssÀkerhetspolicy bör dokumenteras och kommuniceras till anstÀllda. Detta dokument pÄminner om kvalitetspolicyn ISO 9001. Det bör ocksÄ vara lÀmpligt för organisationens syfte och innehÄlla informationssÀkerhetsmÄl. Det Àr bra om det hÀr Àr riktiga mÄl, som att bevara sekretessen och integriteten i informationen.

Ledningen förvÀntas ocksÄ fördela funktioner och ansvar relaterade till informationssÀkerhet bland anstÀllda.

Planera

I detta avsnitt kommer vi till den första etappen av PDCA (Plan - Do - Check - Act) förvaltningsprincip - planera, verkstÀlla, kontrollera, agera.

NÀr man planerar ett informationssÀkerhetshanteringssystem bör organisationen ta hÀnsyn till de frÄgor som nÀmns i punkt 4 och bestÀmma de risker och potentiella möjligheter som mÄste beaktas för att sÀkerstÀlla att ISMS kan uppnÄ förvÀntade resultat, förhindra oönskade effekter, och uppnÄ stÀndiga förbÀttringar.

NÀr man planerar hur man ska uppnÄ sina informationssÀkerhetsmÄl bör organisationen bestÀmma:

  • vad kommer att göras;
  • vilka resurser som kommer att krĂ€vas;
  • vem som ska ansvara;
  • nĂ€r mĂ„l uppnĂ„s;
  • hur resultaten kommer att bedömas.

Dessutom ska organisationen bevara data om informationssÀkerhetsmÄl som dokumenterad information.

sÀkerhet

Organisationen ska bestÀmma och tillhandahÄlla de resurser som behövs för att utveckla, implementera, underhÄlla och kontinuerligt förbÀttra ISMS, detta inkluderar bÄde personal och dokumentation. NÀr det gÀller personal förvÀntas organisationen rekrytera kvalificerad och kompetent informationssÀkerhetspersonal. De anstÀlldas kvalifikationer mÄste bekrÀftas av certifikat, diplom etc. Det Àr möjligt att locka till sig tredje parts specialister under ett kontrakt, eller utbilda dina anstÀllda. NÀr det gÀller dokumentationen bör den innehÄlla:

  • dokumenterad information som krĂ€vs enligt standarden;
  • dokumenterad information som organisationen bestĂ€mmer Ă€r nödvĂ€ndig för att sĂ€kerstĂ€lla effektiviteten i informationssĂ€kerhetshanteringssystemet.

Den dokumenterade information som krÀvs av ISMS och standarden mÄste kontrolleras för att sÀkerstÀlla att den:

  • tillgĂ€nglig och lĂ€mplig för anvĂ€ndning dĂ€r och nĂ€r det behövs, och
  • skyddas pĂ„ lĂ€mpligt sĂ€tt (till exempel frĂ„n förlust av konfidentialitet, missbruk eller förlust av integritet).

Fungerar

Det hÀr avsnittet diskuterar den andra fasen av PDCA -styrningsprincipen - behovet av en organisation för att hantera processer för att sÀkerstÀlla efterlevnad och för att följa de aktiviteter som identifieras i planeringsdelen. Den anger ocksÄ att en organisation bör utföra riskbedömningar av informationssÀkerhet med planerade intervaller eller nÀr vÀsentliga förÀndringar föreslÄs eller intrÀffar. Organisationen ska behÄlla resultaten av riskbedömningen av informationssÀkerheten som dokumenterad information.

UtvÀrdering av prestanda

Det tredje steget Àr verifiering. Organisationen ska utvÀrdera ISMS: s funktion och effektivitet. Till exempel mÄste den genomföra en internrevision för att fÄ information om huruvida

  1. Är informationssĂ€kerhetshanteringssystemet kompatibelt
    • organisationens egna krav för sitt informationssĂ€kerhetshanteringssystem;
    • kraven i standarden;
  2. att informationssÀkerhetshanteringssystemet effektivt implementeras och fungerar.

Det Àr sjÀlvklart att omfattningen och tidpunkten för revisioner bör planeras i förvÀg. Alla resultat mÄste dokumenteras och bevaras.

FörbÀttring

PoÀngen med det hÀr avsnittet Àr att bestÀmma handlingssÀttet nÀr en avvikelse identifieras. Organisationen behöver korrigera inkonsekvenser, konsekvenser och analysera situationen sÄ att detta inte hÀnder i framtiden. Alla avvikelser och korrigerande ÄtgÀrder bör dokumenteras.

Detta avslutar huvudavsnitten i standarden. Bilaga A ger mer specifika krav som en organisation ska uppfylla. Till exempel, nÀr det gÀller Ätkomstkontroll, anvÀnd Mobil enheter och informationsbÀrare.

Fördelar med implementering och certifiering av ISO 27001

  • öka organisationens status och följaktligen förtroendet hos partner;
  • öka stabiliteten i organisationens funktion;
  • öka skyddsnivĂ„n mot informationssĂ€kerhetshot;
  • sĂ€kerstĂ€lla den konfidentialitet som krĂ€vs för information frĂ„n berörda parter;
  • utöka organisationens förmĂ„ga att delta i stora kontrakt.

De ekonomiska fördelarna Àr:

  • oberoende bekrĂ€ftelse frĂ„n certifieringsorganet att organisationen har en hög informationssĂ€kerhet som kontrolleras av kompetent personal;
  • bevis pĂ„ överensstĂ€mmelse med tillĂ€mpliga lagar och förordningar (överensstĂ€mmelse med systemet med obligatoriska krav);
  • demonstration av en viss hög nivĂ„ av ledningssystem för att sĂ€kerstĂ€lla rĂ€tt servicenivĂ„ till kunder och partner i organisationen;
  • Demonstration av regelbundna granskningar av ledningssystem, prestationsbedömningar och stĂ€ndiga förbĂ€ttringar.

Certifiering

En organisation kan certifieras av ackrediterade organ i enlighet med denna standard. Certifieringsprocessen bestÄr av tre steg:

  • Steg 1 - revisors studie av viktiga ISMS -dokument för att uppfylla kraven i standarden - kan utföras bĂ„de pĂ„ organisationens territorium och genom att överföra dessa dokument till en extern revisor;
  • Andra etappen - detaljerad granskning, inklusive testning av genomförda Ă„tgĂ€rder och bedömning av deras effektivitet. Inkluderar en fullstĂ€ndig studie av de dokument som krĂ€vs av standarden;
  • Tredje steget - genomförande av en inspektionsrevision för att bekrĂ€fta att den certifierade organisationen uppfyller de angivna kraven. Utförs regelbundet.

Resultat

Som du kan se kommer anvÀndningen av denna standard pÄ företaget att kvalitativt förbÀttra informationssÀkerheten, vilket Àr dyrt under förhÄllandena i modern verklighet. Standarden innehÄller mÄnga krav, men det viktigaste kravet Àr att göra det som Àr skrivet! Utan att faktiskt tillÀmpa kraven i standarden blir det till en tom uppsÀttning papper.

GOST R ISO / IEC 27001-2006 ”Informationsteknik. Metoder och sĂ€tt att sĂ€kerstĂ€lla sĂ€kerheten. InformationssĂ€kerhetshanteringssystem. Krav"

Utvecklarna av standarden noterar att den utarbetades som en modell för utveckling, implementering, drift, övervakning, analys, support och förbÀttring av informationssÀkerhetshanteringssystemet (ISMS). Ett ISMS (informationssÀkerhetshanteringssystem; ISMS) definieras som en del av det övergripande ledningssystemet baserat pÄ anvÀndning av affÀrsriskbedömningsmetoder för utveckling, implementering, drift, övervakning, analys, support och förbÀttring av informationssÀkerhet. Ett ledningssystem inkluderar en organisationsstruktur, policyer, planeringsaktiviteter, ansvar, praxis, procedurer, processer och resurser.

Standarden förutsÀtter att man anvÀnder en processmetod för utveckling, implementering, drift, övervakning, analys, support och förbÀttring av organisationens ISMS. Den Àr baserad pÄ modellen Plan - Do - Check - Act (PDCA), som kan tillÀmpas för att strukturera alla ISMS -processer. I fig. 4.4 visar hur ett ISMS, som anvÀnder informationssÀkerhetskrav och förvÀntade resultat frÄn intresserade parter som input, genom nödvÀndiga ÄtgÀrder och processer, ger informationssÀkerhetsoutput som uppfyller dessa krav och förvÀntade resultat.

Ris. 4.4.

PÄ scenen "Utveckling av ett informationssÀkerhetshanteringssystem" organisationen bör göra följande:

  • - bestĂ€mma omfattningen och grĂ€nserna för ISMS;
  • - faststĂ€lla ISMS -policyn utifrĂ„n verksamhetens, organisationens, dess plats, tillgĂ„ngar och teknologiers egenskaper;
  • - faststĂ€lla tillvĂ€gagĂ„ngssĂ€ttet för riskbedömning i organisationen;
  • - identifiera risker;
  • - analysera och bedöma risker;
  • - identifiera och utvĂ€rdera olika alternativ för riskbehandling.
  • - vĂ€lja mĂ„l och kontroller för riskbehandling.
  • - fĂ„ ledningsgodkĂ€nnande av förvĂ€ntade kvarvarande risker;
  • - fĂ„ tillstĂ„nd frĂ„n ledningen för implementering och drift av ISMS;
  • - utarbeta en tillĂ€mplighetsförklaring.

Skede " Implementering och drift av informationssÀkerhetshanteringssystemet " föreslÄr att organisationen bör:

  • - utveckla en riskbehandlingsplan som definierar lĂ€mpliga hanteringsĂ„tgĂ€rder, resurser, ansvar och prioriteringar för riskhantering av informationssĂ€kerhet.
  • - genomföra en riskbehandlingsplan för att uppnĂ„ de avsedda förvaltningsmĂ„len, som inkluderar finansieringsfrĂ„gor samt fördelning av roller och ansvar.
  • - genomföra de valda hanteringsĂ„tgĂ€rderna;
  • - bestĂ€mma sĂ€ttet att mĂ€ta effektiviteten av de valda kontrollĂ„tgĂ€rderna;
  • - genomföra utbildnings- och yrkesutvecklingsprogram för anstĂ€llda;
  • - hantera ISMS: s arbete;
  • - hantera ISMS -resurser;
  • - genomföra förfaranden och andra kontrollĂ„tgĂ€rder för att sĂ€kerstĂ€lla snabb upptĂ€ckt av informationssĂ€kerhetshĂ€ndelser och svar pĂ„ informationssĂ€kerhetsincidenter.

Den tredje etappen " Övervakning och analys av informationssĂ€kerhetshanteringssystemet " krĂ€ver:

  • - genomföra övervaknings- och analysförfaranden.
  • - regelbundet analysera effektiviteten av ISMS.
  • - mĂ€ta effektiviteten av kontroller för att kontrollera att IS -kraven uppfylls.
  • - se över riskbedömningar vid angivna tidsintervaller, analysera kvarvarande risker och faststĂ€llda acceptabla risknivĂ„er, med beaktande av förĂ€ndringar.
  • - genomföra interna ISMS -granskningar vid angivna tidsintervall;
  • - regelbundet genomföra en analys av ISMS av organisationens ledning för att bekrĂ€fta att funktionen Ă€r tillrĂ€cklig och bestĂ€mma förbĂ€ttringsinriktningar;
  • - uppdatera IS -planer med hĂ€nsyn till resultaten av analys och övervakning.
  • - registrera Ă„tgĂ€rder och hĂ€ndelser som kan pĂ„verka effektiviteten eller driften av ISMS.

Äntligen scenen "Stöd och förbĂ€ttring av informationssĂ€kerhetshanteringssystemet" föreslĂ„r att organisationen regelbundet ska utföra följande aktiviteter:

  • - identifiera möjligheter för att förbĂ€ttra ISMS.
  • - vidta nödvĂ€ndiga korrigerande och förebyggande Ă„tgĂ€rder, i praktiken anvĂ€nda IS -erfarenheterna bĂ„de i sin egen organisation och i andra organisationer;
  • - överföra detaljerad information om Ă„tgĂ€rder för att förbĂ€ttra ISMS till alla berörda parter, medan detaljeringsgraden bör motsvara omstĂ€ndigheterna och vid behov komma överens om ytterligare Ă„tgĂ€rder.
  • - sĂ€kerstĂ€lla genomförandet av förbĂ€ttringar av ISMS för att uppnĂ„ de planerade mĂ„len.

Vidare i standarden ges kraven pÄ dokumentation, som bör innehÄlla bestÀmmelserna i ISMS -policyn och en beskrivning av verksamhetsomrÄdet, en beskrivning av metodiken och en riskbedömningsrapport, en riskbehandlingsplan och dokumentation relaterade förfaranden. En process för hantering av ISMS -dokument bör ocksÄ definieras, inklusive uppdatering, anvÀndning, lagring och bortskaffande.

För att bevisa överensstÀmmelse med kraven och effektiviteten hos ISMS Àr det nödvÀndigt att upprÀtthÄlla och underhÄlla register och register över utförandet av processer. Exempel inkluderar besökarloggar, granskningsrapporter etc.

Standarden anger att organisationens ledning ansvarar för att tillhandahÄlla och hantera de resurser som behövs för att upprÀtta ett ISMS och för att organisera utbildning för personal.

Som tidigare noterats bör organisationen genomföra interna ISMS -granskningar i enlighet med ett godkÀnt schema för att bedöma dess funktionalitet och överensstÀmmelse med standarden. Och ledningen bör göra en analys av informationssÀkerhetshanteringssystemet.

Arbete bör ocksÄ utföras för att förbÀttra informationssÀkerhetshanteringssystemet: att öka dess effektivitet och överensstÀmmelse med systemets nuvarande tillstÄnd och de krav som stÀlls pÄ det.

(ISMS)- den del av det övergripande ledningssystemet som Àr baserat pÄ en affÀrsrisk strategi vid skapande, implementering, drift, övervakning, analys, stöd och förbÀttring av informationssÀkerhet.

Om den Àr byggd i enlighet med kraven i ISO / IEC_27001, Àr den baserad pÄ PDCA -modellen:

    Planen(Planering) - fasen med att skapa ett ISMS, skapa en lista över tillgÄngar, riskbedömning och val av ÄtgÀrder;
    Do(ÅtgĂ€rd) - genomförandefasen och genomförandet av lĂ€mpliga Ă„tgĂ€rder.
    Kontrollera(Verifiering) - Fas för utvÀrdering av ISMS: s effektivitet och prestanda. Vanligtvis utförs av interna revisorer.
    spela teater(FörbÀttringar) - genomförande av förebyggande och korrigerande ÄtgÀrder;

InformationssÀkerhetskoncept

ISO 27001 -standarden definierar informationssĂ€kerhet som: ”upprĂ€tthĂ„lla sekretess, integritet och tillgĂ€nglighet för information; Dessutom kan andra egenskaper inkluderas, sĂ„som Ă€kthet, icke-avvisande, Ă€kthet. "

Sekretess - se till att informationen endast Àr tillgÀnglig för dem som har lÀmplig myndighet (auktoriserade anvÀndare).

Integritet - sÀkerstÀlla att informationen Àr korrekt och fullstÀndig, samt metoder för behandling av den.

TillgÀnglighet - ge tillgÄng till information till behöriga anvÀndare vid behov (pÄ begÀran).

4 InformationssÀkerhetshanteringssystem

4.1 AllmÀnna krav

Organisationen ska upprÀtta, implementera, anvÀnda, kontrollera, revidera, underhÄlla och förbÀttra de dokumenterade ISMS -bestÀmmelserna under organisationens affÀrsverksamhet och de risker den stÄr inför. Av praktiska fördelar med denna internationella standard Àr processen som anvÀnds baserad pÄ PDCA -modellen som visas i fig. 1.

4.2 Etablering och hantering av ett ISMS

4.2.1 Skapa ett ISMS

Organisationen bör göra följande.

a) Med hÀnsyn till de specifika egenskaperna för organisationens verksamhet, organisationen sjÀlv, dess placering, tillgÄngar och teknik, bestÀmma ISMS: s omfattning och grÀnser, inklusive detaljer och motiveringar för att utesluta alla bestÀmmelser i dokumentet frÄn utkastet till ISMS (se 1.2 ).

b) Med hÀnsyn till de specifika egenskaperna för organisationens verksamhet, organisationen sjÀlv, dess lÀge, tillgÄngar och teknik, utveckla en ISMS -policy som:

1) innehÄller ett system för faststÀllande av mÄl (mÄl) och faststÀller den allmÀnna ledningsriktningen och handlingsprinciper för informationssÀkerhet;

2) tar hÀnsyn till affÀrs- och lag- eller lagkrav, avtalsenliga sÀkerhetsförpliktelser;

3) Àr kopplad till den strategiska riskhanteringsmiljö dÀr skapandet och underhÄllet av ett ISMS sker;

4) faststÀller de kriterier mot vilka risken kommer att bedömas (se 4.2.1 c)); och

5) godkÀnd av ledningen.

OBS! I denna internationella standard Àr en ISMS -policy en utökad uppsÀttning informationssÀkerhetspolicyer. Dessa principer kan beskrivas i ett dokument.

c) Utveckla en ram för riskbedömning i organisationen.

1) BestÀm en metod för riskbedömning som Àr lÀmplig för ISMS och etablerade affÀrsinformationssÀkerhets-, lag- och myndighetskrav.

2) Utveckla kriterier för att acceptera risk och bestÀmma acceptabla risknivÄer (se 5.1f).

Den valda riskbedömningsmetoden bör sÀkerstÀlla att riskbedömningen ger jÀmförbara och reproducerbara resultat.

OBS: Det finns olika metoder för riskbedömning. Exempel pÄ riskbedömningsmetoder behandlas i ISO / IEC TU 13335-3, Informationsteknik - Rekommendationer för hanteringDENSÀkerhet - HanteringsteknikerDENSÀkerhet.

d) Identifiera risker.

1) Definiera tillgÄngar som omfattas av ISMS och Àgare2 (2 Termen "Àgare" identifieras med en individ eller enhet som Àr godkÀnd för att ansvara för kontroll av produktion, utveckling UnderhÄll, tillÀmpning och sÀkerhet av tillgÄngar. Uttrycket "Àgare" betyder inte att personen faktiskt har nÄgon ÀganderÀtt till tillgÄngen) av dessa tillgÄngar.

2) Identifiera riskerna för dessa tillgÄngar.

3) Identifiera sÄrbarheter i skyddssystemet.

4) Identifiera effekter som förstör konfidentialitet, integritet och tillgÀnglighet för tillgÄngar.

e) Analysera och utvÀrdera risker.

1) Bedöma skadan pÄ organisationens verksamhet som kan orsakas av bristande skyddssystem, samt en följd av krÀnkning av sekretess, integritet eller tillgÄngar.

2) BestÀm sannolikheten för ett sÀkerhetsfel mot bakgrund av rÄdande faror och sÄrbarheter, tillgÄngsrelaterade effekter och kontroller som för nÀrvarande finns.

3) Bedöm risknivÄerna.

4) BestÀm riskens acceptabilitet, eller krÀva att den reduceras med hjÀlp av kriterierna för riskacceptabilitet som anges i 4.2.1c) 2).

f) Identifiera och utvÀrdera instrument för riskminskning.

Möjliga ÄtgÀrder inkluderar:

1) TillÀmpa lÀmpliga kontroller;

2) Medveten och objektiv acceptans av risker, vilket sÀkerstÀller deras ovillkorliga efterlevnad av kraven i organisationens policy och kriterierna för risktolerans (se 4.2.1c) 2));

3) Riskundvikande; och

4) Överföring av relevanta affĂ€rsrisker till en annan part, till exempel försĂ€kringsbolag, leverantörer.

g) VÀlj uppgifter och kontroller för att minska risker.

MÄl och kontroller bör vÀljas och genomföras i enlighet med de krav som faststÀlls i riskbedömnings- och riskreduceringsprocessen. Detta val bör ta hÀnsyn till bÄde kriterierna för riskacceptabilitet (se 4.2.1c) 2)) och lag-, lag- och kontraktskrav.

Uppgifterna och kontrollerna frÄn bilaga A bör vÀljas som en del av denna process för att uppfylla specifika krav.

Eftersom inte alla uppgifter och kontroller listas i bilaga A kan ytterligare uppgifter vÀljas.

OBS: Bilaga A innehÄller en omfattande lista över förvaltningsmÄl som har identifierats som mest relevanta för organisationer. För att inte missa en enda viktig punkt frÄn kontrollalternativen bör anvÀndning av denna internationella standard vÀgledas av bilaga A som utgÄngspunkt för provtagningskontroll.

h) UppnÄ godkÀnnande av hanteringen av förvÀntade kvarvarande risker.

4) underlÀtta upptÀckten av sÀkerhetshÀndelser och dÀrmed förhindra sÀkerhetsincidenter med hjÀlp av vissa indikatorer; och

5) faststÀlla effektiviteten av de ÄtgÀrder som vidtagits för att förhindra sÀkerhetsövertrÀdelser.

b) Genomföra regelbundna granskningar av ISMS effektivitet (inklusive diskussion av ISMS -policyn och dess mÄl, granskning av sÀkerhetskontroller), med beaktande av resultaten av revisioner, incidenter, resultat av prestandamÀtningar, förslag och rekommendationer frÄn alla intresserade parter .

c) UtvÀrdera kontrollernas effektivitet för att avgöra om sÀkerhetskraven uppfylls.

d) Kontrollera riskbedömningen för de planerade perioderna och kontrollera de kvarvarande riskerna och risktoleranserna, med hÀnsyn till förÀndringar i:

1) organisationer;

2) teknik;

3) affÀrsmÄl och processer;

4) identifierade hot;

5) effektiviteten hos de implementerade hanteringsverktygen; och

6) externa hÀndelser, sÄsom förÀndringar i den juridiska och ledningsmiljön, förÀndrade avtalsförpliktelser, förÀndringar i det sociala klimatet.

e) Genomföra interna revisioner av ISMS under planerade perioder (se 6)

OBS: Interna revisioner, ibland kallade primÀra revisioner, utförs pÄ organisationens vÀgnar för egna ÀndamÄl.

f) Granska hanteringen av ISMS regelbundet för att sÀkerstÀlla att situationen förblir giltig och att ISMS förbÀttras.

g) Uppdatera sÀkerhetsplaner baserade pÄ övervaknings- och granskningsresultat.

h) Registrera ÄtgÀrder och hÀndelser som kan pÄverka ISMS effektivitet eller prestanda (se 4.3.3).

4.2.4 UnderhÄll och förbÀttring av ISMS

Organisationen mÄste kontinuerligt göra följande.

a) Implementera specifika korrigeringar i ISMS.

b) Vidta lÀmpliga korrigerande och förebyggande ÄtgÀrder i enlighet med 8.2 och 8.3. TillÀmpa den kunskap som erhÄllits av organisationen sjÀlv och av erfarenheter frÄn andra organisationer.

c) Kommunicera sina handlingar och förbÀttringar till alla berörda parter i en detaljnivÄ som Àr lÀmplig för situationen; och dÀrför samordna sina handlingar.

d) Kontrollera att förbÀttringarna har uppnÄtt sitt avsedda syfte.

4.3 Krav pÄ dokumentation

4.3.1 AllmÀnt

Dokumentationen bör innehÄlla protokoll (register) över ledningsbeslut för att övertyga att behovet av ÄtgÀrder beror pÄ beslut och förvaltningspolicyer. och sÀkerstÀlla reproducerbarheten av de registrerade resultaten.

Det Àr viktigt att kunna visa Äterkopplingen frÄn de valda kontrollerna till resultaten av riskbedömningen och riskminskningsprocesserna, och sedan till ISMS -policyn och dess mÄl.

ISMS -dokumentationen bör innehÄlla:

a) ett dokumenterat uttalande om ISMS -policyn och mÄlen (se 4.2.1b));

b) ISMS -positionen (se 4.2.1a));

c) konceptet och kontrollerna till stöd för ISMS;

d) en beskrivning av riskbedömningsmetoden (se 4.2.1c)).

e) riskbedömningsrapport (se 4.2.1c) - 4.2.1g));

f) riskminskningsplan (se 4.2.2b));

g) ett dokumenterat koncept som Àr nödvÀndigt för organisationen för att sÀkerstÀlla att dess informationssÀkerhetsprocesser planeras, drivs och hanteras effektivt och beskriver hur kontrollernas effektivitet mÀts (se 4.2.3c).

h) dokument som krÀvs enligt denna internationella standard (se 4.3.3); och

i) TillÀmplighetsförklaring.

OBS 1: I denna internationella standard betyder termen ”dokumenterat koncept” att begreppet implementeras, dokumenteras, implementeras och följs.

OBS 2: Storleken pÄ ISMS -dokumentationen i olika organisationer kan variera beroende pÄ:

Organisationens storlek och typen av dess tillgÄngar; och

Storleken och komplexiteten hos sÀkerhetskraven och det hanterade systemet.

OBS 3: Dokument och rapporter kan skickas i valfri form.

4.3.2 Dokumentkontroll

De dokument som krÀvs av ISMS mÄste skyddas och regleras. Det Àr nödvÀndigt att godkÀnna det dokumentationsförfarande som Àr nödvÀndigt för att beskriva hanteringsÄtgÀrder för:

a) faststÀlla dokumentens överensstÀmmelse med vissa standarder före publiceringen;

b) kontrollera och uppdatera dokument vid behov, godkÀnna dokument pÄ nytt;

c) se till att Àndringarna överensstÀmmer med det aktuella lÀget för reviderade dokument;

d) sÀkerstÀlla tillgÀngligheten av viktiga versioner av giltiga dokument;

e) se till att dokumenten Àr begripliga och lÀsbara;

f) göra dokument tillgÀngliga för dem som behöver dem; samt deras överföring, lagring och slutligen förstöring i enlighet med de förfaranden som tillÀmpas beroende pÄ deras klassificering;

g) faststÀlla Àktheten av dokument frÄn externa kÀllor;

h) kontrollera distributionen av dokument;

i) förhindra oavsiktlig anvÀndning av förÄldrade dokument; och

j) tillÀmpa en lÀmplig identifieringsmetod pÄ dem om de förvaras för sÀkerhets skull.

4.3.3 Kontroll av register

Registreringar bör skapas och underhÄllas för att bevisa överensstÀmmelse och effektiv drift av ISMS. Posterna mÄste skyddas och verifieras. ISMS bör ta hÀnsyn till alla juridiska och regulatoriska krav och avtalsenliga skyldigheter. Registreringar mÄste vara begripliga, lÀtt identifierbara och hÀmtbara. De kontroller som Àr nödvÀndiga för identifiering, lagring, skydd, ÄterstÀllning, lagring och förstörelse av poster mÄste dokumenteras och genomföras.

Registren ska innehÄlla information om genomförandet av de aktiviteter som beskrivs i 4.2 och om alla incidenter och sÀkerhetsrelevanta incidenter relaterade till ISMS.

Exempel pÄ poster Àr gÀstbok, granskningsloggar och ifyllda formulÀr för behörighetsÄtkomst.

Skicka ditt bra arbete i kunskapsbasen Àr enkel. AnvÀnd formulÀret nedan

Studenter, doktorander, unga forskare som anvÀnder kunskapsbasen i sina studier och arbete kommer att vara mycket tacksamma för dig.

Postat den http://www.allbest.ru/

"InformationssÀkerhetshanteringssystem"

ledning internationell standard

Vledande

Ett informationssÀkerhetshanteringssystem Àr en uppsÀttning processer som arbetar i ett företag för att sÀkerstÀlla konfidentialitet, integritet och tillgÀnglighet för informationstillgÄngar. Den första delen av uppsatsen undersöker processen för att implementera ett ledningssystem i en organisation, och ger ocksÄ de viktigaste aspekterna av fördelarna med att implementera ett informationssÀkerhetshanteringssystem.

Figur 1. Kontrollcykel

Listan över processer och rekommendationer om hur man bĂ€st organiserar deras funktion ges i den internationella standarden ISO 27001: 2005, som Ă€r baserad pĂ„ Plan-Do-Check-Act-hanteringscykeln. Enligt honom livscykel ISMS bestĂ„r av fyra typer av aktiviteter: Skapande - Implementering och drift - Övervakning och analys - UnderhĂ„ll och förbĂ€ttring (Fig. 1). Denna standard kommer att diskuteras mer detaljerat i den andra delen.

MEDsystemetförvaltninginformationsÀkerhet

Ett informationssÀkerhetshanteringssystem (ISMS) Àr den del av det övergripande ledningssystemet som Àr baserat pÄ en affÀrsrisk strategi vid skapande, implementering, drift, övervakning, analys, support och förbÀttring av informationssÀkerhet. ISMS -processer Àr utformade i enlighet med kraven i ISO / IEC 27001: 2005, som Àr baserad pÄ cykeln

Systemets arbete Àr baserat pÄ metoderna för den moderna teorin om hanteringsrisker, vilket sÀkerstÀller dess integration i det övergripande riskhanteringssystemet i organisationen.

Implementeringen av ett informationssÀkerhetshanteringssystem innebÀr utveckling och implementering av ett förfarande som syftar till systematisk identifiering, analys och lindring av informationssÀkerhetsrisker, det vill sÀga risker till följd av vilka informationstillgÄngar (information i nÄgon form och av vilken art som helst) kommer att förlora konfidentialitet, integritet och tillgÀnglighet.

För att sÀkerstÀlla systematisk minskning av informationssÀkerhetsrisker, baserat pÄ resultaten av riskbedömningen, implementeras följande processer i organisationen:

· Hantering av den interna organisationen av informationssÀkerhet.

· SÀkerstÀlla informationssÀkerhet vid interaktion med tredje part.

· Hantering av registret över informationstillgÄngar och reglerna för deras klassificering.

· UtrustningssÀkerhetshantering.

· SÀkerstÀlla fysisk sÀkerhet.

· SÀkerstÀlla informationssÀkerhet för personal.

· Planering och antagande av informationssystem.

· SÀkerhetskopiering.

· SÀkra nÀtverket.

InformationssÀkpÄverkar alla aspekter av organisationens IT-infrastrukturhantering, eftersom informationssÀkerhet Àr resultatet av en hÄllbar funktion av informationsteknologirelaterade processer.

NÀr man bygger ett ISMS i företag utför specialister följande arbete:

· Organisera projektledning, bilda ett projektteam frÄn kundens och entreprenörens sida;

· Definiera verksamhetsomrÄdet (AO) för ISMS;

Undersök organisationen i OD ISMS:

o nÀr det gÀller organisationens affÀrsprocesser, inklusive analys negativa konsekvenser informationssÀkerhetsincidenter;

o nÀr det gÀller organisationens ledningsprocesser, inklusive befintliga kvalitetshanterings- och informationssÀkerhetshanteringsprocesser;

o vad gÀller IT -infrastruktur;

o nÀr det gÀller informationssÀkerhetsinfrastruktur.

Utveckla och komma överens om en analytisk rapport som innehÄller en lista över de viktigaste affÀrsprocesserna och en bedömning av konsekvenserna av genomförandet av informationssÀkerhetshot i förhÄllande till dem, en lista över hanteringsprocesser, IT -system, informationssÀkerhetsdelsystem (ISS), en utvÀrdering av i vilken utstrÀckning organisationen uppfyller alla ISO 27001 -krav och en bedömning av processorganisationernas mognad;

· VÀlj initial och mÄlnivÄ för ISMS -mognad, utveckla och godkÀnn ISMS -programmet för mognadsförbÀttring; utveckla informationssÀkerhetsdokumentation pÄ hög nivÄ:

o Begreppet informationssÀkerhet,

o IS- och ISMS -policyer;

· VÀlj och anpassa den riskbedömningsmetod som Àr tillÀmplig i organisationen;

· VÀlj, leverera och distribuera programvara som anvÀnds för att automatisera ISMS -processer, organisera utbildning för företagsspecialister;

· Bedöma och bearbeta risker, under vilka ÄtgÀrderna i tillÀgg A i standard 27001 vÀljs ut för att minska dem och krav för deras genomförande i organisationen formuleras, tekniska informationssÀkerhetsmedel vÀljs i förvÀg;

· Utveckla preliminÀra konstruktioner av PIB, bedöma kostnaden för riskbehandling.

· Sörja för godkÀnnande av riskbedömningen av organisationens högsta ledning och utveckla tillÀmplighetsförklaringen; utveckla organisatoriska ÄtgÀrder för att sÀkerstÀlla informationssÀkerhet;

· Utveckla och genomföra tekniska projekt om implementering av tekniska informationssÀkerhetsdelsystem som stöder genomförandet av de valda ÄtgÀrderna, inklusive leverans av utrustning, driftsÀttning, utveckling av operativ dokumentation och anvÀndarutbildning;

· Ge konsultationer under driften av det konstruerade ISMS;

· Organisera utbildning för interna revisorer och genomföra interna ISMS -granskningar.

Resultatet av dessa arbeten Àr ett fungerande ISMS. Fördelar med implementering av ett ISMS i ett företag uppnÄs genom:

· Effektiv hantering av efterlevnad av lagkrav och affÀrskrav inom informationssÀkerhet.

· Förebyggande av IS -incidenter och minskning av skador i hÀndelse av att de intrÀffar;

· Öka kulturen för informationssĂ€kerhet i organisationen;

· Ökande mognad inom informationssĂ€kerhetshantering.

· Optimering av utgifterna för informationssÀkerhet.

ISO / IEC27001-- internationellstandard-pÄinformationsÀkerhet

Denna standard utvecklades gemensamt av International Organization for Standardization (ISO) och International Electrotechnical Commission (IEC). Standarden innehÄller krav pÄ informationssÀkerhet för skapande, utveckling och underhÄll av ett ISMS. ISO 27001 specificerar krav för ett ISMS för att visa organisationens förmÄga att skydda sina informationstillgÄngar. Den internationella standarden anvÀnder begreppet "informationsskydd" och tolkas som att sÀkerstÀlla konfidentialitet, integritet och tillgÀnglighet av information. Grunden för standarden Àret. Denna standard kan ocksÄ anvÀndas för att bedöma överensstÀmmelse av intresserade interna och externa parter.

Standarden antar en processmetod för att skapa, implementera, driva, kontinuerligt övervaka, analysera, underhÄlla och förbÀttra ett informationssÀkerhetshanteringssystem (ISMS). Det bestÄr i tillÀmpningen av ett system av processer inom en organisation, tillsammans med identifiering och interaktion av dessa processer, liksom deras ledning.

Den internationella standarden antar Plan-Do-Check-Act (PDCA) -modellen, som ocksÄ kallas Shewhart-Deming-cykeln. Denna cykel anvÀnds för att strukturera alla ISMS -processer. Figur 2 visar hur ISMS tar krav pÄ informationssÀkerhet och intressenters förvÀntningar som insatser och genom de nödvÀndiga ÄtgÀrderna och processerna producerar informationssÀkerhetsresultat som uppfyller dessa krav och förvÀntningar.

Planering Àr fasen med att skapa ett ISMS, skapa en inventering av tillgÄngar, bedöma risker och vÀlja ÄtgÀrder.

Figur 2. PDCA -modell tillÀmpad pÄ ISMS -processer

Implementering Àr steget för genomförande och genomförande av lÀmpliga ÄtgÀrder.

Granskning Àr fasen för utvÀrdering av ISMS: s effektivitet och prestanda. Vanligtvis utförs av interna revisorer.

ÅtgĂ€rd - vidta förebyggande och korrigerande Ă„tgĂ€rder.

VSlutsatser

ISO 27001 beskriver en allmÀn modell för implementering och drift av ett ISMS och ÄtgÀrder för att övervaka och förbÀttra ett ISMS. ISO avser att harmonisera olika standarder för ledningssystem som ISO / IEC 9001: 2000, som behandlar kvalitetsledning, och ISO / IEC 14001: 2004, som behandlar miljöledningssystem. Syftet med ISO Àr att sÀkerstÀlla konsekvens och integration av ISMS med andra ledningssystem i företaget. Likheten med standarder tillÄter anvÀndning av liknande verktyg och funktioner för implementering, hantering, revision, verifiering och certifiering. Implikationen Àr att om ett företag har implementerat andra hanteringsstandarder kan det anvÀnda ett enhetligt revisions- och ledningssystem som Àr tillÀmpligt pÄ kvalitetsledning, miljöledning, sÀkerhetsledning etc. Genom att implementera ett ISMS fÄr ledningen möjlighet att övervaka och hantera sÀkerhet, vilket minskar kvarvarande affÀrsrisker. Efter att ha implementerat ett ISMS kan företaget formellt sÀkerstÀlla informationssÀkerheten och fortsÀtta att uppfylla kraven frÄn kunder, lagstiftning, tillsynsmyndigheter och aktieÀgare.

Det bör noteras att i Ryska federationens lagstiftning finns ett dokument GOST R ISO / IEC 27001-2006, som Àr en översatt version av den internationella standarden ISO27001.

MEDgnisslalitteratur

1.Korneev I.R., Belyaev A.V. Företagets informationssÀkerhet. - SPb.: BHV-Petersburg, 2003.- 752 s.: Ill.

2.International standard ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (datum för Ätkomst: 05/23/12)

3. nationell standard Ryska Federationen GOST R ISO/IEC 27003-"Informationsteknik. SÀkerhetsmetoder. Riktlinjer för implementering av ett informationssÀkerhetshanteringssystem" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (Ätkomstdatum: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Riktlinjer för att skydda mot interna hot mot informationssÀkerhet. SPb.: Peter, 2008.- 320 s.: Ill.

5. Artikel i den fria encyklopedin "Wikipedia", "Management system

informationssÀkerhet "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (datum: 23.05.12)

6. Sigurjon Thor Arnason och Keith D. Willett "How to Achieve 27001 Certification"

Publicerat pÄ Allbest.ru

Liknande dokument

    InformationssÀkerhetshot i företaget. Identifiering av brister i informationssÀkerhetssystemet. MÄlen och mÄlen för bildandet av informationssÀkerhetssystemet. Föreslagna ÄtgÀrder för att förbÀttra organisationens informationssÀkerhetssystem.

    termen lÀggs till 02/03/2011

    Analys av informationssÀkerhetssystemet pÄ företaget. InformationssÀkerhetstjÀnst. Företagsspecifika hot mot informationssÀkerhet. Metoder och metoder för informationsskydd. Informationssystemsmodell ur ett sÀkerhetsperspektiv.

    termen lÀggs till 02/03/2011

    Huvudstadierna för att skapa ett ledningssystem pÄ företaget Livsmedelsindustrin... HACCP som ryggraden i alla livsmedelssÀkerhetssystem. Ledningssystem för livsmedelssÀkerhet. Farliga faktorer och förebyggande ÄtgÀrder.

    abstrakt tillagt 14/10/2014

    Moderna ledningssystem och deras integration. Integrerade kvalitetsledningssystem. Beskrivning av JSC "275 ARZ" och dess ledningssystem. Utveckling av ett arbetssÀkerhetsledningssystem. Metoder för att bedöma ett integrerat sÀkerhetssystem.

    avhandling, tillagd 31/07/2011

    Implementering av ett kvalitetsledningssystem. Certifiering av kvalitetsledningssystem (ISO 9000), miljöledning (ISO 14000), organisationer för hÀlso- och sÀkerhetsledning (OHSAS 18 001: 2007) pÄ exemplet med OJSC "Lenta".

    abstrakt, tillagd 10/06/2008

    Utveckling av en standard för att organisera ett integrerat ledningssystem som upprÀttar ett enhetligt förfarande för genomförandet av dokumenthanteringsprocessen. Stadier av skapandet av kvalitetsledningssystemet för JSC "ZSMK". boende elektroniska versioner dokument.

    avhandling, tillagd 2014-06-01

    Hierarkiskt diagram över anstÀllda. InformationssÀkerhetsverktyg. FrÄgor om sÀkerhetslÀget. Diagram över företagsinformationsflöden. Metoder för att övervaka informationssystemets integritet. Modellering av Ätkomstkontroll till serviceinformation.

    term paper, tillagd 30/12/2011

    Konceptet med ett ledningsinformationssystem och dess plats i gemensamt system förvaltning. Typer av informationssystem och deras innehÄll. Begreppet ledning som informationssystem. Ekonomihanteringssystemets funktioner. System för att göra affÀrer och verksamheter.

    abstrakt tillagt 2015-06-01

    Begrepp inom hÀlsa och sÀkerhet pÄ jobbet. Internationella standarder ISO om kvalitetsledningssystem, miljöledningssystem, arbetarskydd och hÀlsohanteringssystem. Anpassning av OHSAS 18001-2007-standarden.

    term paper, tillagt 21/12/2014

    Karakteristisk informationshantering; Àmnen för information och juridiska förbindelser; lagstiftning för att ta emot, överföra, lagra och anvÀnda information. Funktioner och juridiska aspekter av informationsutbyte och informationssÀkerhet.

Liknande publikationer