Managementsystem för informationssäkerhet. Ryska federationens rättsliga ram. Informationsriskhantering

I världen informationsteknik Frågan om att säkerställa informationens integritet, tillförlitlighet och konfidentialitet blir en prioritet. Därför erkännandet av behovet av ett ledningssystem i organisationen informationssäkerhet(ISMS) är ett strategiskt beslut.

Den har utformats för att skapa, implementera, underhålla och ständigt förbättra ett ISMS i ett företag, och genom att tillämpa denna standard på externa partners blir det uppenbart att organisationen kan uppfylla sina egna krav på informationssäkerhet. Den här artikeln kommer att diskutera standardens grundläggande krav och diskutera dess struktur.

(ADV31)

Huvudmålen för ISO 27001-standarden

Innan vi går vidare till beskrivningen av standardens struktur, låt oss fastställa dess huvuduppgifter och överväga historien om standardens utseende i Ryssland.

Mål med standarden:

• etablering enhetliga krav för alla organisationer att skapa, implementera och förbättra ISMS;
• säkerställa interaktion mellan ledande befattningshavare och anställda;
• upprätthålla konfidentialitet, integritet och tillgänglighet av information.

Samtidigt är de krav som fastställs av standarden generella och avsedda att tillämpas av alla organisationer, oavsett deras typ, storlek eller karaktär.

Standardens historia:

• 1995 antog British Standards Institute (BSI) Information Security Management Code som nationell standard Storbritannien och registrerade det under BS 7799 - Del 1.
• 1998 publicerar BSI BS7799-2 i två delar, den ena innehåller en uppförandekod och de andra kraven på ledningssystem för informationssäkerhet.
• I samband med efterföljande revisioner publicerades den första delen som BS 7799: 1999, del 1. 1999 överfördes denna version av standarden till International Organization for Certification.
• Detta dokument godkändes 2000 som den internationella standarden ISO / IEC 17799: 2000 (BS 7799-1: 2000). Senaste versionen av denna standard, som antogs 2005, är ISO/IEC 17799:2005.
• I september 2002 trädde den andra delen av BS 7799 "Information Security Management System Specification" i kraft. Den andra delen av BS 7799 reviderades 2002 och antogs i slutet av 2005 av ISO som den internationella standarden ISO / IEC 27001: 2005 "Informationsteknologi - Säkerhetstekniker - Managementsystem för informationssäkerhet - Krav".
• 2005 inkluderades ISO / IEC 17799-standarden i raden av standarder i den 27:e serien och fick nytt nummer- ISO / IEC 27002: 2005.
• Den 25 september 2013 publicerades den uppdaterade ISO / IEC 27001: 2013 "Information Security Management Systems". Krav". För närvarande är organisationer certifierade enligt denna version av standarden.

Standardens struktur

En av fördelarna med denna standard är likheten mellan dess struktur och ISO 9001, eftersom den innehåller identiska underrubriker, identisk text, vanliga termer och grundläggande definitioner. Denna omständighet sparar tid och pengar, eftersom en del av dokumentationen redan har utvecklats under ISO 9001-certifieringen.

Om vi ​​pratar om standardens struktur är det en lista över ISMS-krav som är obligatoriska för certifiering och består av följande avsnitt:

Kraven i "Bilaga A" är obligatoriska, men standarden tillåter dig att utesluta områden som inte kan tillämpas i företaget.

Vid implementering av standarden på ett företag för vidare certifiering är det värt att komma ihåg att inga undantag är tillåtna från kraven i avsnitt 4 - 10. Dessa avsnitt kommer att diskuteras vidare.

Låt oss börja med avsnitt 4 - Organisationssammanhang

Organisationssammanhang

I detta avsnitt kräver standarden att en organisation identifierar externa och interna frågor som är relevanta för dess mål och som påverkar dess ISMS förmåga att uppnå förväntade resultat. När du gör det bör du ta hänsyn till de juridiska, regulatoriska och avtalsenliga skyldigheterna när det gäller informationssäkerhet. Organisationen bör också definiera och dokumentera omfattningen och tillämpligheten av ISMS för att fastställa dess omfattning.

Ledarskap

Högsta ledningen bör visa ledarskap och engagemang för ledningssystemet för informationssäkerhet genom att till exempel se till att informationssäkerhetspolicyn och informationssäkerhetsmålen är etablerade och anpassade till organisationens strategi. Dessutom bör högsta ledningen se till att alla nödvändiga resurser för ISMS tillhandahålls. Det borde med andra ord vara uppenbart för de anställda att ledningen är involverad i informationssäkerhetsfrågor.

Informationssäkerhetspolicy bör dokumenteras och kommuniceras till anställda. Detta dokument påminner om policyn om ISO-kvalitet 9001. Det bör också vara lämpligt för organisationens syfte och innehålla informationssäkerhetsmål. Det är bra om dessa är verkliga mål, som att upprätthålla informationens konfidentialitet och integritet.

Ledningen förväntas även fördela funktioner och ansvar relaterade till informationssäkerhet mellan anställda.

Planera

I det här avsnittet kommer vi till det första steget av PDCA (Plan - Do - Check - Act) förvaltningsprincipen - planera, verkställ, kontrollera, agera.

Vid planering av ett ledningssystem för informationssäkerhet bör organisationen ta hänsyn till de frågor som nämns i paragraf 4 och fastställa de risker och potentiella möjligheter som måste beaktas för att säkerställa att ISMS kan uppnå förväntade resultat, förhindra oönskade effekter, och uppnå ständiga förbättringar.

När organisationen planerar hur man ska uppnå sina informationssäkerhetsmål bör organisationen fastställa:

• vad kommer att göras;
• vilka resurser kommer att krävas;
• vem kommer att vara ansvarig;
• när målen uppnås;
• hur resultaten kommer att bedömas.

Dessutom ska organisationen bevara uppgifter om informationssäkerhetsmål som dokumenterad information.

säkerhet

Organisationen ska fastställa och tillhandahålla de resurser som behövs för att utveckla, implementera, underhålla och kontinuerligt förbättra ISMS, detta inkluderar både personal och dokumentation. När det gäller personal förväntas organisationen rekrytera kvalificerad och kompetent informationssäkerhetspersonal. Arbetstagarnas kvalifikationer måste bekräftas genom intyg, diplom etc. Det är möjligt att attrahera tredjepartsspecialister enligt ett kontrakt, eller utbilda dina anställda. När det gäller dokumentation bör den innehålla:

• dokumenterad information som krävs av standarden;
• dokumenterad information som organisationen bedömt vara nödvändig för att säkerställa effektiviteten hos ledningssystemet för informationssäkerhet.

Den dokumenterade information som krävs av ISMS och standarden måste kontrolleras för att säkerställa att den:

• tillgänglig och lämplig för användning där och när det behövs, och
• skyddas på lämpligt sätt (till exempel från förlust av konfidentialitet, missbruk eller förlust av integritet).

Fungerande

Det här avsnittet diskuterar den andra fasen av PDCA-styrningsprincipen - behovet för en organisation att hantera processer för att säkerställa efterlevnad och för att följa de aktiviteter som identifieras i planeringsavsnittet. Den anger också att en organisation ska utföra informationssäkerhetsriskbedömningar med planerade intervaller eller när föreslagna eller inträffade. betydande förändringar... Organisationen ska behålla resultaten av informationssäkerhetsriskbedömningen som dokumenterad information.

Utvärdering av prestanda

Det tredje steget är verifiering. Organisationen ska utvärdera ISMS:s funktion och effektivitet. Den ska till exempel genomföra en internrevision för att få information om huruvida

1. Är ledningssystemet för informationssäkerhet kompatibelt
   • organisationens egna krav på sitt ledningssystem för informationssäkerhet;
   • kraven i standarden;
2. att ledningssystemet för informationssäkerhet är effektivt implementerat och fungerar.

Det säger sig självt att revisionernas omfattning och tidpunkt bör planeras i förväg. Alla resultat måste dokumenteras och bevaras.

Förbättring

Poängen med detta avsnitt är att bestämma handlingssättet när en avvikelse upptäcks. Organisationen behöver korrigera inkonsekvenser, konsekvenser och analysera situationen så att detta inte sker i framtiden. Alla avvikelser och korrigerande åtgärder bör dokumenteras.

Detta avslutar huvuddelarna av standarden. Bilaga A innehåller mer specifika krav som en organisation ska uppfylla. Till exempel när det gäller åtkomstkontroll, användning Mobil enheter och informationsbärare.

Fördelar med implementering och certifiering av ISO 27001

• öka organisationens status och följaktligen partnernas förtroende;
• öka organisationens stabilitet;
• öka skyddsnivån mot informationssäkerhetshot;
• säkerställa den erforderliga nivån av konfidentialitet för information från berörda parter;
• utöka organisationens förmåga att delta i stora kontrakt.

De ekonomiska fördelarna är:

• oberoende bekräftelse från certifieringsorganet att organisationen har en hög nivå av informationssäkerhet kontrollerad av kompetent personal;
• bevis på överensstämmelse med tillämpliga lagar och förordningar (efterlevnad av systemet med obligatoriska krav);
• demonstration av en viss hög nivå av ledningssystem för att säkerställa rätt servicenivå till kunder och partners i organisationen;
• Demonstration av regelbundna revisioner av ledningssystem, utvecklingssamtal och ständiga förbättringar.

Certifiering

En organisation kan certifieras av ackrediterade byråer i enlighet med denna standard. Certifieringsprocessen består av tre steg:

• Steg 1 - revisorns studie av viktiga ISMS-dokument för överensstämmelse med kraven i standarden - kan utföras både på organisationens territorium och genom att överföra dessa dokument till en extern revisor;
• 2:a steget - detaljerad revision, inklusive testning av genomförda åtgärder, och bedömning av deras effektivitet. Inkluderar en fullständig studie av de dokument som krävs av standarden;
• 3:e etappen - genomförande av en inspektionsrevision för att bekräfta att den certifierade organisationen uppfyller de angivna kraven. Utförs på periodisk basis.

Resultat

Som du kan se kommer användningen av denna standard på företaget att göra det möjligt att kvalitativt förbättra nivån på informationssäkerhet, vilket är dyrt i den moderna verkligheten. Standarden innehåller många krav, men det viktigaste kravet är att göra det som står! Utan att faktiskt tillämpa standardens krav förvandlas den till en tom uppsättning papper.

GOST R ISO / IEC 27001-2006 "Informationsteknik. Metoder och medel för att säkerställa säkerhet. Ledningssystem för informationssäkerhet. Krav"

Utvecklarna av standarden noterar att den utarbetades som en modell för utveckling, implementering, drift, övervakning, analys, stöd och förbättring av ledningssystemet för informationssäkerhet (ISMS). ISMS (informationssäkerhetsledningssystem; ISMS) definieras som en del av gemensamt system ledning baserad på användning av affärsriskbedömningsmetoder för utveckling, implementering, drift, övervakning, analys, stöd och förbättring av informationssäkerhet. I ledningssystemet ingår organisationsstruktur, policyer, planeringsaktiviteter, ansvar, praxis, procedurer, processer och resurser.

Standarden förutsätter användning av en processmetod för utveckling, implementering, drift, övervakning, analys, stöd och förbättring av organisationens ISMS. Den är baserad på PDCA-modellen (Plan - Do - Check - Act), som kan användas för att strukturera alla ISMS-processer. I fig. 4.4 visar hur ISMS, med informationssäkerhetskrav och förväntade resultat från berörda parter som input, genom nödvändiga åtgärder och processer, ger informationssäkerhetsresultat som uppfyller dessa krav och förväntade resultat.

Ris. 4.4.

På scenen "Utveckling av ett ledningssystem för informationssäkerhet" organisationen bör göra följande:

• - fastställa omfattningen och gränserna för ISMS;
• - fastställa ISMS-policyn baserat på egenskaperna hos verksamheten, organisationen, dess läge, tillgångar och teknologier;
• - bestämma tillvägagångssättet för riskbedömning i organisationen;
• - identifiera risker;
• - analysera och bedöma risker;
• - identifiera och utvärdera olika alternativ för riskbehandling;
• - Välja mål och kontroller för riskhantering;
• - erhålla ledningens godkännande av de förväntade kvarvarande riskerna;
• - Skaffa tillstånd från ledningen för implementering och drift av ISMS;
• - förbereda ett uttalande om tillämplighet.

Skede " Implementering och drift av ledningssystemet för informationssäkerhet " föreslår att organisationen bör:

• - utveckla en riskhanteringsplan som definierar lämpliga förvaltningsåtgärder, resurser, ansvar och prioriteringar för riskhantering för informationssäkerhet;
• - implementera en riskhanteringsplan för att uppnå de avsedda förvaltningsmålen, inklusive finansieringsfrågor, såväl som fördelningen av roller och ansvar;
• - genomföra de utvalda förvaltningsåtgärderna;
• - bestämma sättet att mäta effektiviteten av de valda kontrollåtgärderna;
• - genomföra utbildnings- och professionella utvecklingsprogram för anställda;
• - hantera ISMS:s arbete;
• - hantera ISMS-resurser;
• - implementera procedurer och andra kontrollåtgärder för att säkerställa snabb upptäckt av informationssäkerhetshändelser och svar på incidenter relaterade till informationssäkerhet.

Den tredje etappen" Övervakning och analys av ledningssystemet för informationssäkerhet " kräver:

• - utföra övervaknings- och analysförfaranden;
• - genomföra regelbunden analys av ISMS:s effektivitet;
• - mäta effektiviteten av kontrollåtgärder för att kontrollera efterlevnaden av IS-kraven;
• - revidera riskbedömningar vid specificerade tidsperioder, analysera kvarvarande risker och fastställa acceptabla risknivåer, med hänsyn till förändringar;
• - genomföra interna ISMS-revisioner vid specificerade tidsintervall;
• - regelbundet genomföra en analys av ISMS av organisationens ledning för att bekräfta att ss fungerar och fastställa riktningar för förbättringar;
• - Uppdatera IS-planer med hänsyn till resultaten av analys och övervakning.
• - registrera åtgärder och händelser som kan påverka effektiviteten eller driften av ISMS.

Äntligen scenen "Underhålla och förbättra ledningssystemet för informationssäkerhet" föreslår att organisationen regelbundet bör bedriva följande aktiviteter:

• - identifiera möjligheter för att förbättra ISMS;
• - vidta nödvändiga korrigerande och förebyggande åtgärder, i praktiken använda erfarenheten av att säkerställa informationssäkerhet, som erhållits både i den egna organisationen och i andra organisationer;
• - Överföra detaljerad information om åtgärder för att förbättra ISMS till alla berörda parter, medan graden av dess detaljering bör överensstämma med omständigheterna och vid behov komma överens om ytterligare åtgärder.
• - säkerställa genomförandet av förbättringar av ISMS för att uppnå de planerade målen.

Längre fram i standarden anges kraven på dokumentation som bör innehålla bestämmelserna i ISMS-policyn och en beskrivning av verksamhetsområdet, en beskrivning av metodiken och en riskbedömningsrapport, en riskbehandlingsplan och dokumentation relaterade förfaranden. En process för att hantera ISMS-dokument bör också definieras, inklusive uppdatering, användning, lagring och kassering.

För att bevisa överensstämmelse med kraven och effektiviteten av ISMS:s funktion är det nödvändigt att upprätthålla och underhålla register och register över utförandet av processer. Exempel är besöksloggar, revisionsrapporter etc.

Standarden anger att ledningen för en organisation ansvarar för att tillhandahålla och förvalta de resurser som krävs för att upprätta ett ISMS och för att organisera utbildning för personal.

Som tidigare noterats bör organisationen genomföra interna ISMS-revisioner i enlighet med ett godkänt schema för att bedöma dess funktionalitet och överensstämmelse med standarden. Och ledningen bör göra en analys av ledningssystemet för informationssäkerhet.

Arbete bör också utföras för att förbättra ledningssystemet för informationssäkerhet: att öka dess effektivitet och nivån på överensstämmelse med systemets nuvarande tillstånd och kraven för det.

Introduktion

Ett snabbt växande företag, såväl som en jätte i sitt segment, är intresserade av att göra vinst och skydda sig från inkräktares inflytande. Om tidigare stöld av materiella värden var den största faran, uppstår idag stöldens huvudroll i förhållande till värdefull information. Översättning av en betydande del av informationen till elektronisk form, skapar användningen av lokala och globala nätverk kvalitativt nya hot mot konfidentiell information.

Banker är särskilt känsliga för informationsläckage, förvaltningsorganisationer, försäkringsbolag. Informationsskydd på ett företag är en uppsättning åtgärder för att säkerställa säkerheten för kund- och anställdas data, viktiga elektroniska dokument och alla typer av information, hemligheter. Varje företag är utrustat med datorutrustning och tillgång till World Wide Web. Angripare ansluter skickligt till nästan varje komponent i det här systemet och använder en stor arsenal (virus, skadlig programvara, lösenordsgissning, etc.) för att stjäla värdefull information. Ett informationssäkerhetssystem måste implementeras i varje organisation. Ledare måste samla in, analysera och kategorisera alla typer av information som behöver skyddas och använda ett lämpligt säkerhetssystem. Men detta kommer inte att räcka, för förutom tekniken finns det en mänsklig faktor som också framgångsrikt kan läcka information till konkurrenter. Det är viktigt att ordentligt organisera skyddet av ditt företag på alla nivåer. För dessa ändamål används ett ledningssystem för informationssäkerhet, med hjälp av vilket chefen kommer att upprätta en kontinuerlig process för att övervaka verksamheten och säkerställa en hög säkerhetsnivå för sina uppgifter.

1. Ämnets relevans

För alla modernt företag, företag eller organisation, är en av de viktigaste uppgifterna just att säkerställa informationssäkerheten. När ett företag stabilt skyddar sitt informationssystem skapar det en pålitlig och säker miljö för sin verksamhet. Skador, läckage, bristande och stöld av information är alltid förluster för varje företag. Därför är skapandet av ett ledningssystem för informationssäkerhet på företag en brådskande fråga i vår tid.

2. Mål och syften med studien

Analysera sätten att skapa ett ledningssystem för informationssäkerhet på företaget, med hänsyn till särdragen i Donetsk-regionen.

• analysera toppmodern ledningssystem för informationssäkerhet på företag;
• identifiera skälen till skapandet och implementeringen av ett ledningssystem för informationssäkerhet på företag;
• att utveckla och implementera ett ledningssystem för informationssäkerhet på exemplet med företaget PJSC Donetsk Mine Rescue Equipment Plant;
• utvärdera effektiviteten, effektiviteten och den ekonomiska genomförbarheten av att införa ett ledningssystem för informationssäkerhet på företaget.

3. Ledningssystem för informationssäkerhet

Informationssäkerhet förstås som tillståndet för skydd av information och stödjande infrastruktur från oavsiktlig eller avsiktlig påverkan av naturlig eller artificiell karaktär (informationshot, hot mot informationssäkerhet) som kan orsaka oacceptabel skada för subjekten i informationsrelationer.

Tillgänglighet av information - systemets egendom för att ge godkända (auktoriserade) försökspersoner i rätt tid obehindrad åtkomst till information av intresse för dem eller för att utföra informationsutbyte i rätt tid mellan dem.

Informationsintegritet är en egenskap hos information som kännetecknar dess motståndskraft mot oavsiktlig eller avsiktlig förstörelse eller otillåten ändring. Integritet kan delas in i statisk (uppfattat som informationsobjekts oföränderlighet) och dynamisk (relaterad till korrekt utförande av komplexa handlingar (transaktioner)).

Sekretess för information är informationens egendom att vara känd och tillgänglig endast för auktoriserade personer i systemet (användare, program, processer). Sekretess är den mest utvecklade aspekten av informationssäkerhet i vårt land.

Managementsystem för informationssäkerhet (nedan kallat ISMS) är en del av det allmänna ledningssystemet baserat på strategier för affärsrisk, avsett för upprättande, implementering, förvaltning, övervakning, underhåll och förbättring av informationssäkerhet.

De viktigaste faktorerna som påverkar skyddet av information och data i företaget är:

• Förbättring av företagets samarbete med partners;
• Automatisering av affärsprocesser;
• Tendensen till en ökning av mängden information från företaget, som överförs via tillgängliga kommunikationskanaler;
• Den uppåtgående trenden för databrott.

Arbetsuppgifterna för företagets informationssäkerhetssystem är mångfacetterade. Detta är till exempel tillhandahållandet av tillförlitlig datalagring på olika medier; skydd av information som överförs via kommunikationskanaler; begränsa åtkomst till vissa data; skapa säkerhetskopior och mer.

En fullfjädrad informationssäkerhet för ett företag är verklig endast med rätt inställning till dataskydd. I informationssäkerhetssystemet är det nödvändigt att ta hänsyn till alla aktuella hot och sårbarheter.

Ett av de mest effektiva verktygen för att hantera och skydda information är ledningssystemet för informationssäkerhet byggt på MS ISO/IEC 27001:2005-modellen. Standarden bygger på processtänkande till utveckling, implementering, drift, övervakning, analys, underhåll och förbättring av företagets ISMS. Det består i skapandet och tillämpningen av ett system av förvaltningsprocesser som är sammankopplade i en kontinuerlig cykel av planering, implementering, verifiering och förbättring av ISMS.

Denna internationella standard har utarbetats med syftet att skapa en modell för implementering, implementering, drift, övervakning, analys, underhåll och förbättring av ett ISMS.

De viktigaste faktorerna för implementeringen av ett ISMS:

• lagstiftande - kraven i den nuvarande nationella lagstiftningen när det gäller IS, internationella krav;
• konkurrenskraftig - överensstämmelse med nivån, elitism, skydd av deras immateriella tillgångar, överlägsenhet;
• anti-kriminalitet - skydd mot anfallare (vita kragar), förhindrande av ofog och hemlig övervakning, insamling av bevis för rättegång.

Strukturen för informationssäkerhetsdokumentationen visas i figur 1.

Figur 1 - Dokumentationens struktur inom området informationssäkerhet

4. Bygga ett ISMS

ISO-förespråkare använder PDCA-modellen för att skapa ett ISMS. ISO tillämpar denna modell på många av sina ledningsstandarder och ISO 27001 är inget undantag. Dessutom, genom att följa PDCA-modellen för att organisera förvaltningsprocessen kan du använda samma tekniker i framtiden - för kvalitetsledning, miljöledning, säkerhetsledning, såväl som inom andra förvaltningsområden, vilket minskar kostnaderna. Därför är PDCA ett utmärkt val som till fullo uppfyller uppgifterna att skapa och underhålla ett ISMS. Med andra ord, PDCA-stadierna definierar hur man ska upprätta policyer, mål, processer och procedurer som är lämpliga för de risker som hanteras (Plan stage), implementera och använda (Do stage), utvärdera och om möjligt mäta resultaten av processen från det punktpolitiska perspektivet (kontrollstadiet), vidta korrigerande och förebyggande åtgärder (förbättringsstadiet - Act). Ytterligare koncept som inte ingår i ISO-standarderna som kan vara användbara för att skapa ett ISMS är: state as should (to-be); tillstånd som det är (som det är); övergångsplan.

Grunden för ISO 27001 är ett.

Stadier för att skapa ett ISMS

Som en del av arbetet med att skapa ett ISMS kan följande huvudstadier urskiljas:

Figur 2 - PDCA-modell för informationssäkerhetshantering (animering: 6 bildrutor, 6 repetitioner, 246 kilobyte)

5. Informationsriskhantering

Riskhantering övervägs på den administrativa nivån för informationssäkerhet, eftersom endast organisationens ledning kan allokera nödvändiga resurser, initiera och kontrollera genomförandet av relevanta program.

Användningen av informationssystem är förknippad med en viss uppsättning risker. När den potentiella skadan är oacceptabelt stor är det nödvändigt att vidta ekonomiskt försvarbara skyddsåtgärder. Regelbunden (om)riskbedömning är nödvändig för att övervaka effektiviteten av säkerhetsaktiviteter och för att ta hänsyn till förändringar i miljön.

Kärnan i riskhanteringsaktiviteter är att bedöma deras storlek, utveckla effektiva och kostnadseffektiva åtgärder för att mildra risker och sedan säkerställa att risker är inneslutna inom acceptabla gränser (och förblir så).

Riskhanteringsprocessen kan delas in i följande steg:

1. Valet av de analyserade objekten och detaljnivån för deras övervägande.
2. Val av metod för riskbedömning.
3. Identifiering av tillgångar.
4. Analys av hot och deras konsekvenser, identifiering av sårbarheter i skydd.
5. Riskbedömning.
6. Val av skyddsåtgärder.
7. Genomförande och verifiering av de valda åtgärderna.
8. Restriskbedömning.

Riskhantering, liksom all annan informationssäkerhetsverksamhet, måste integreras i livscykel IP. Då är effekten störst, och kostnaderna minimala.

Det är mycket viktigt att välja en sund riskbedömningsmetod. Syftet med bedömningen är att få svar på två frågor: är de befintliga riskerna acceptabla och om inte, vilken skyddsutrustning som ska användas. Detta innebär att bedömningen bör vara kvantitativ, vilket gör det möjligt att jämföra med förutvalda gränser för tillåtlighet och kostnaderna för att implementera nya säkerhetsregulatorer. Riskhantering är en typisk optimeringsuppgift och det finns en hel del mjukvaruprodukter som kan hjälpa till att lösa det (ibland är sådana produkter helt enkelt kopplade till böcker om informationssäkerhet). Den grundläggande svårigheten ligger dock i felaktigheten i de initiala uppgifterna. Man kan givetvis försöka få ett monetärt uttryck för alla analyserade värden, räkna ut allt till närmaste krona, men det är inte så mycket mening i detta. Det är mer praktiskt att använda konventionella enheter. I det enklaste och helt acceptabla fallet kan du använda en tregradig skala.

De viktigaste stegen i riskhantering.

Det första steget i att analysera hot är att identifiera dem. De typer av hot som övervägs bör väljas utifrån sunt förnuftsöverväganden (exklusive till exempel jordbävningar, men inte att förglömma möjligheten av terroristers beslag av organisationen), men inom de valda typerna, utför den mest detaljerade analysen.

Det är tillrådligt att identifiera inte bara själva hoten utan också källorna till deras förekomst - detta kommer att hjälpa till att välja ytterligare skyddsmedel.

Efter att ha identifierat hotet är det nödvändigt att bedöma sannolikheten för dess genomförande. Det är tillåtet att använda en tregradig skala (låg (1), medel (2) och hög (3) sannolikhet).

Om några risker visade sig vara oacceptabelt höga är det nödvändigt att neutralisera dem genom att implementera ytterligare skyddsåtgärder. Vanligtvis, för att eliminera eller neutralisera sårbarheten som gjorde hotet verkligt, finns det flera säkerhetsmekanismer som skiljer sig i effektivitet och kostnad.

Som med alla aktiviteter bör implementering och testning av nya säkerhetsregulatorer planeras i förväg. Planen ska ta hänsyn till närvaron finansiella resurser och tidpunkten för personalutbildning. Om vi ​​talar om en mjukvaru- och hårdvaruskyddsmekanism måste du upprätta en testplan (autonom och komplex).

När de avsedda åtgärderna vidtas är det nödvändigt att kontrollera deras effektivitet, det vill säga för att säkerställa att de kvarvarande riskerna har blivit acceptabla. Om så faktiskt är fallet kan du säkert schemalägga datumet för nästa omvärdering. Annars måste du analysera de misstag som gjorts och köra om riskhanteringssessionen omedelbart.

Slutsatser

Varje företagschef bryr sig om sin verksamhet och måste därför förstå att beslutet att implementera ett ledningssystem för informationssäkerhet (ISMS) är ett viktigt steg som kommer att minimera riskerna för förlust av företagets/organisationens tillgångar och minska ekonomiska förluster, och i vissa fall undvika konkurs.

Informationssäkerhet är viktigt för företag, både privat och offentlig sektor. Det ska ses som ett verktyg för att bedöma, analysera och minimera riskerna.

Säkerheten som kan uppnås med teknik är begränsad och bör upprätthållas genom lämpliga kontroller och procedurer.

Att fastställa kontroller kräver noggrann planering och uppmärksamhet.

För att effektivt skydda information bör de lämpligaste säkerhetsåtgärderna utvecklas, vilket kan uppnås genom att identifiera huvudriskerna med information i systemet och vidta lämpliga åtgärder.

Biyachuev T.A. Säkerhet företagsnätverk/ ed. L.G. Osovetsky. - SPb.: SPb GU ITMOs förlag, 2006 .-- 161 sid.

Shahalov Igor Yurievich

På frågan om att integrera kvalitetsledningssystem och informationssäkerhet

Sammanfattning: De internationella standarderna ISO 27001 och ISO 9001 beaktas. Analysen av likheter och skillnader mellan kvalitetsledningssystemet och ledningssystemet för informationssäkerhet genomförs. Möjligheten att integrera kvalitetsledningssystemet och ledningssystemet för informationssäkerhet visas. Huvudstadierna för konstruktion och implementering av ett integrerat ledningssystem för informationssäkerhet ges. Fördelarna med det integrerade tillvägagångssättet visas.

Nyckelord: ledningssystem för informationssäkerhet, integrerade ledningssystem, ISMS, QMS, ISO 27001.

Natalia Olegovna

Introduktion

V modern värld med tillkomsten av vanliga och bekväma tekniska anordningar problemet med informationssäkerhet har dykt upp ganska kraftigt. Tillsammans med lanseringen av kvalitetsprodukter eller tillhandahållandet av tjänster till företag och organisationer är det viktigt att hålla den nödvändiga informationen hemlig för konkurrenter för att förbli i en gynnsam position på marknaden. I konkurrenskampen är olika åtgärder som syftar till att skaffa (skaffa, skaffa) konfidentiell information utbredd. olika sätt, upp till direkt industrispionage med hjälp av moderna tekniska underrättelsemedel.

Således blir organisationer som följer världens bästa praxis, innehållande krav, riktlinjer för implementering av affärsprocesshanteringssystem, ledande på marknaden. De bästa standarderna för design, implementering, övervakning och förbättring av sådana system är dokument från International Organization for Standardization (ISO). Särskild uppmärksamhet bör ägnas standarderna för ISO 900x- och ISO 2700x-serierna, som samlar bästa praxis för implementering av ett kvalitetsledningssystem (QMS) och ett ledningssystem för informationssäkerhet (ISMS).

Kvalitetsledningssystemet, implementerat i enlighet med kraven i ISO 9001-standarden, har länge erkänts som en integrerad egenskap hos ett framgångsrikt företag som producerar högkvalitativa produkter eller tillhandahåller högklassiga tjänster. Idag är tillgången på ett intyg om överensstämmelse både en effektiv marknadsföringslösning och en mekanism för att kontrollera produktionsprocesser. QMS-revision är ett välutvecklat affärsområde.

Beroendet av företagets framgångsrika verksamhet av företagssystem informationsskydd. Detta beror på ökningen av volymen av vital data som behandlas i företagsinformationssystemet. Informationssystemen blir mer komplexa och antalet sårbarheter som finns i dem växer också. ISMS-revision gör det möjligt att bedöma det nuvarande säkerhetsläget för hur företagets informationssystem fungerar,

bedöma och förutse risker, hantera deras inverkan på företagets affärsprocesser.

Eftersom ISO 9001-standarden länge har tagit en ledande position i antalet certifikat i världen, och ISO 27001-standarden visar en tendens till en ökning av certifieringen av ledningssystemet för informationssäkerhet, är det lämpligt att överväga den möjliga interaktionen och integration av QMS och ISMS.

Integrering av standarder

Vid en första anblick är kvalitetsledning och informationssäkerhet helt olika områden. Men i praktiken är de nära besläktade och bildar en helhet (Figur 1). Kundnöjdhet, som är ett objektivt kvalitetsmål, beror för varje år mer och mer på tillgången till informationsteknologi och på datasäkerhet, för vars underhåll standarden ISO 27001 används. Å andra sidan är ISO 9001-standarden exakt motsvarar företagets mål för organisationen, vilket bidrar till att säkerställa säkerheten. Tack vare ett integrerat tillvägagångssätt kan ISO 27001 effektivt integreras i befintligt QMS eller implementeras tillsammans med QMS.

(ISO 27001) och IT Service Management (ISO 20000) har en liknande struktur och processansats. Detta skapar en synergi som lönar sig: i praktiken sparar ett integrerat ledningssystem för den löpande verksamheten 20 till 30 procent av den totala kostnaden för systemoptimering, kontroller och revisioner.

Standarder för informationssäkerhet och kvalitetsledning syftar till ständiga förbättringar i enlighet med Plan-Do-Check-Act (PDCA)-modellen känd som Deming-cykeln (se figur 2). Dessutom är de likartade till sin struktur, vilket visas i överensstämmelsetabellen i bilaga C till ISO 27001. Båda standarderna definierar processmetod, omfattning, system- och dokumentationskrav samt administrativt ansvar. I båda fallen avslutas strukturen med en internrevision, ledningsgenomgång och systemförbättring. I detta samverkar båda systemen. Till exempel kräver ISO 9001 hantering av produkter som inte uppfyller kraven. Likaså har ISO 27001-standarden ett krav på incidenthantering för att lösa fel.

Ris. 1. Interaktionssfärer och likheter mellan QMS och ISMS

Ris. 2. Deming-cykel

Mer än 27 200 organisationer från olika branscher i mer än 100 länder i världen är certifierade för överensstämmelse med ISO 9001:2008 för kvalitetsledning. Beroende på marknaden och juridiska krav tvingas många organisationer i allt högre grad ta itu med informationssäkerhet. I detta avseende erbjuder integrationen av styrsystemet verkliga möjligheter. Ett komplext tillvägagångssättäven intressant för företag som inte använt någon förvaltningsprocess förrän nu. ISO-standarder för kvalitet (ISO 9001), miljöskydd (ISO 14000), informationssäkerhet

Skillnaderna mellan standarder är användbara för att komplettera varandra, vilket på ett avgörande sätt bidrar till ökad affärsframgång. Till exempel kräver ISO 9001 definition av företagsmål, kundfokus och mätbarhet, i vilken utsträckning mål och mål uppfylls. Det här är tre frågor som inte står i centrum för ISO 27001:s intressen. I sin tur prioriterar denna standard riskhantering för att upprätthålla kontinuitet i verksamheten och erbjuder detaljerad hjälp med att implementera ett ISMS. Jämfört

därför är ISO 9001 mer av en teoretisk standard.

ISO 27001 - en standard inte bara för IT

Många tror att ISO 27001-standarden bara gäller IT-processer, men i verkligheten är det inte så. Den grundläggande punkten för implementeringen av ISO 27001 SM&B-standarden är definitionen av tillgångar.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnsslsc tEp.tna.

"■ irreiiKinfundu" GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Ris. 3. Typer av tillgångar

En tillgång förstås som allt som är av värde för företaget (Figur 3). Det vill säga en tillgång kan vara: mänskliga resurser, infrastruktur, verktyg, utrustning, kommunikation, tjänster och alla andra tillgångar, inklusive tjänster för leverans av köpta produkter. Utifrån processerna bestämmer företaget vilka tillgångar det har och vilka tillgångar som är involverade i kritiska processer, samt utvärderar tillgångarnas värde. Och först efter det görs riskbedömningen för alla värdefulla tillgångar. Således är ISMS inte bara avsett för digital information som bearbetas i automatiserat system... Till exempel involverar några av de mest kritiska processerna

Träning

evenemangsplaner

2 Markera H: jag matchar

med lagring av papperskopior av information, vilket också omfattas av ISO 27001. ISMS täcker alla sätt som viktig information i ditt företag: från hur din e-postmeddelanden skyddas, slutar med var personalens personliga akter förvaras i byggnaden.

Därför är det en enorm missuppfattning att eftersom standarden syftar till att bygga ett ledningssystem för informationssäkerhet, så kan detta bara gälla data som lagras i en dator. Även i vår digitala tidsålder återspeglas fortfarande mycket information på papper, som också måste skyddas på ett tillförlitligt sätt.

ISO 9001 kan inte tillgodose företagets behov av informationssäkerhet, eftersom den är snävt fokuserad på produktkvalitet. Därför är det mycket viktigt att implementera ISO 27001 i företaget. Vid en första anblick kan det för en specialist tyckas att båda standarderna är väldigt generella och inte har specificitet. Detta är dock inte fallet: ISO 27001-standarden beskriver nästan varje steg för att implementera och kontrollera hur ett ISMS fungerar (Figur 4).

De viktigaste stegen i att bygga ett ledningssystem för informationssäkerhet

Huvudstegen för att bygga ett ISMS illustreras i figur 4. Låt oss överväga dem mer i detalj.

Steg 1. Utarbetande av handlingsplaner. På detta stadium specialister samlar in organisatoriska och administrativa dokument (ORD) och annat arbetsmaterial,

3 A typ normal II ORD

4 Analys ii riskbedömningar 11B

Genomförande

5 RyazraOoghya och<>RaeryaOopv komplex & 00 \ * ieiitii:

strålningsplaner ■ -> standarder -> händelser -> CfftpJOTHW *

aktiviteter mån> PB ORD Poenpzhenie

Bildande av 10 AiUtuin utvärdering av resultaten av INRsnEsS "IMB

Ris. 4. Stadier för att bygga ett ISMS

angående konstruktion och drift av företagets informationssystem, planerade att använda mekanismer och medel för att säkerställa informationssäkerhet. Därutöver upprättas handlingsplaner för arbetsmomenten, som avtalas och godkänns av företagets ledning.

Steg 2. Kontroll av överensstämmelse med ISO/IEC 27001:2005. Intervjua och förhöra chefer och anställda på avdelningar. Analys av företagets ISMS för överensstämmelse med kraven i ISO/IEC 27001:2005.

Steg 3. Analys av regulatoriska och organisatoriska och administrativa dokument utifrån företagets organisationsstruktur. Utifrån dess resultat bestäms det skyddade omfattningen (OA) och en skiss över företagets informationssäkerhetspolicy tas fram.

Steg 4. Analys och bedömning av informationssäkerhetsrisker. Utveckling av metodik för att hantera företagsrisker och analysera dem. Analys av företagets informationsresurser, främst LAN, för att identifiera hot och sårbarheter för skyddade ML-tillgångar. Inventering av tillgångar. Genomföra konsultationer för företagets specialister och bedöma efterlevnad av faktisk och erforderlig säkerhetsnivå. Beräkning av risker, bestämning av aktuell och acceptabel risknivå för varje specifik tillgång. Riskrankning, urval av komplex av åtgärder för att minska dem och beräkning av den teoretiska effektiviteten av genomförandet.

Steg 5. Utveckling och implementering av IS handlingsplaner. Utveckling av ett uttalande om tillämpligheten av kontroller i enlighet med ISO/IEC 27001:2005. Utveckling av en plan för redovisning och eliminering av risker. Upprättande av rapporter till chefen för företaget.

Steg 6. Utveckling av normativa och operativa dokument. Utveckling och godkännande av den slutliga IB-policyn och relaterade bestämmelser (privata policyer). Utveckling av standarder, rutiner och instruktioner för att säkerställa normal funktion och drift av företagets ISMS.

Steg 7. Genomförande av omfattande åtgärder för att minska IS-risker och bedöma deras effektivitet i enlighet med planen för bearbetning och eliminering av risker som godkänts av ledningen.

Steg 8. Personalutbildning. Utveckling av handlingsplaner och genomförande av program för utbildning och förbättring av kompetensen hos företagets anställda för att effektivt förmedla informationssäkerhetsprinciper till alla anställda och

främst de som arbetar inom strukturella uppdelningar tillhandahåller viktiga affärsprocesser.

Steg 9. Bildande av rapportering. Systematisering av undersökningsresultat och upprättande av rapporter. Presentation av resultatet av arbetet för företagets chefer. Förberedelse av dokument för licensiering för överensstämmelse med ISO / IEC 27001: 2005 och deras överföring till den certifierande organisationen.

Steg 10. Analys och bedömning av resultaten av ISMS-implementeringen baserat på metodiken som bedömer tillförlitligheten av företagets ISMS-funktion. Utveckling av rekommendationer för att förbättra företagets IS-ledningssystem.

Genom att analysera varje steg av ISMS-implementeringen kan vi säga att ISO 27001 har en tydlig struktur och krav som gör att du kan bygga ett fungerande system där det kommer att finnas interaktion på alla nödvändiga nivåer. Men vi får inte glömma att den största skillnaden mellan ISMS och QMS är att det första systemet är fokuserat på informationssäkerhet.

Vikten av informationssäkerhet i den moderna världen

Dagens verksamhet kan inte existera utan informationsteknologi. Det är känt att cirka 70 % av världens totala nationalprodukt beror på ett eller annat sätt på den information som lagras i informationssystem... Det utbredda införandet av datorer har skapat inte bara välkända bekvämligheter, utan också problem, varav det allvarligaste är problemet med informationssäkerhet.

Företagsledare måste förstå vikten av informationssäkerhet, lära sig att förutsäga och hantera trender inom detta område. I detta kan de få hjälp av införandet av ett ISMS, som genom sin struktur har potential för utveckling, transparens i förvaltningen, flexibilitet för eventuella förändringar. Tillsammans med kontroller för datorer och datanätverk ägnar ISO 27001-standarden stor uppmärksamhet åt utvecklingen av säkerhetspolicy, arbete med personal (anställning, utbildning, uppsägning från arbetet), säkerställande av kontinuitet produktionsprocess, regulatoriska krav, medan vissa tekniska problem beskrivs i andra standarder i serien

ISO 27000. Det finns många fördelar med att introducera ISIB i företaget, några av dem visas i fig. 5.

Glbkshl Skala pODr> h; b1 [h-th

Avböja ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | ill p. Ki u:

azhshchtnya # tsn ^ st

Ris. 5. Fördelar med att implementera ett ledningssystem för informationssäkerhet

Fördelarna med ISO bör påpekas

Demonstration av säkerhetskompetens. ISO 27001 är en praktisk guide för en organisation som hjälper till att formulera säkerhetskrav för att uppnå den nödvändiga säkerhetsnivån och uppfylla specifika säkerhetsmål. Det är särskilt viktigt för organisationer att vara kompetenta inom fyra områden av säkerhetshantering, inklusive: identifiera och bedöma företagets tillgångar, bedöma risker och definiera kriterier för att acceptera risker, hantera och acceptera dessa poster och ständiga förbättringar. allmänt program organisationens säkerhet.

Säkerställa kundernas förtroende. ISO 27001 ger oberoende bevis på att program företagsstyrning stöds av bästa, bästa internationella praxis. ISO 27001-certifiering ger sinnesfrid för företag som vill visa integritet för kunder, aktieägare och potentiella partners, och viktigast av allt, för att visa att företaget framgångsrikt har implementerat ett robust ledningssystem för informationssäkerhet. För många hårt reglerade branscher som finans eller internettjänster kan leverantörsval

begränsas till de organisationer som redan är ISO 27001-certifierade.

Effektivare användning av resurser. Tack vare användningen av processansatsen är det möjligt att optimera de processer som äger rum i företaget. Vilket innebär en minskning av resursanvändningen, till exempel tid.

Kontinuerlig förbättring. ISMS använder PCDA-modellen, som gör att du regelbundet kan kontrollera hela systemets status, analysera och förbättra ledningssystemet

1. Bild, varumärke. Certifiering för överensstämmelse med ISO 27001 öppnar stora möjligheter för företaget: tillgång till internationell nivå, nya partnerskap, fler kunder, nya kontrakt, framgång i anbudsförfaranden. Närvaron av ett ISMS i ett företag är en indikator på en hög utvecklingsnivå.

2. Flexibilitet hos ISMS. Oavsett förändringar i processer, ny teknik, förblir grunden för ISMS-strukturen effektiv. ISMS anpassar sig ganska lätt till innovationer genom att modernisera befintliga och införa nya motåtgärder.

3. Skalbarhet för implementeringen av standarden. Eftersom ISO 27001 innebär scoping kan endast en delmängd av processerna certifieras. Du kan börja implementera ISMS i den viktigaste OA för företaget och först senare expandera.

4. Revision. Många ryska företag uppfattar revisionsarbetet som en katastrof. ISO 27001 visar ett internationellt förhållningssätt till revision: först och främst företagets intresse av att faktiskt uppfylla standarderna och inte göra certifieringen på något sätt, bara för att visa.

5. Regelbundna interna eller externa revisioner gör det möjligt att korrigera överträdelser, förbättra ISMS och avsevärt minska riskerna. Först och främst behöver företaget det för sin egen sinnesro, att allt är i sin ordning och riskerna för förluster minimeras. Och redan sekundärt - ett intyg om överensstämmelse, som bekräftar för partners eller kunder att detta företag kan lita på.

6. Transparens i förvaltningen. Användningen av ISO 27001-standarden ger ganska tydliga instruktioner för att skapa ledning, och

även kraven på den dokumentation som ska finnas i företaget. Problemet för många företag är att de befintliga dokumenten för vissa avdelningar helt enkelt inte är läsbara, eftersom det ofta är omöjligt att lista ut vad som är avsett för vem på grund av dokumentationssystemets komplexitet. Hierarkin av dokumentationsnivåer, från informationssäkerhetspolicyn till beskrivningen av vissa procedurer, gör användningen av befintliga regler, förordningar och annat mycket lättare. Dessutom innebär införandet av SM & B personalutbildning: att hålla seminarier, utskick, hänga upp varningsaffischer, vilket avsevärt ökar medvetenheten om informationssäkerhet bland vanliga anställda.

Sammanfattningsvis bör det noteras att i modern verksamhet omistligheten hos det grundläggande kvalitetsledningssystemet, byggt i enlighet med kraven i ISO 9001-standarden, och hur informationssäkerhetsledningssystemet vinner position är uppenbart.

Idag kommer marknadsledaren att vara företag som övervakar inte bara indikatorer på kvaliteten på produkter och tjänster, utan också nivåerna av konfidentialitet, integritet och tillgänglighet av information om dem. Prognoser och riskbedömning är också en viktig framgångsfaktor, vilket kräver ett kompetent förhållningssätt och användning av bästa internationella praxis. Gemensam implementering och certifiering av kvalitetsledningssystem och informationssäkerhet kommer att bidra till att lösa ett brett spektrum av problem för alla branscher eller branscher, vilket i sin tur kommer att leda till en kvalitativ ökning av nivån på de tjänster som tillhandahålls.

Litteratur

1. Dorofeev A. V., Shahalov I. Yu. Grunderna för informationssäkerhetshantering modern organisation// Rättsinformatik. 2013. Nr 3. S. 4-14.

2. Chashkin VN Informationssäkerhetshantering som en del av organisationens ledningssystem för informationsteknologiverksamhet // Informationstekniksäkerhet. 2009. Nr 1. S. 123-124.

3. Goryachev VV Ny GOST för QMS. Huvudskillnaderna från GOST RV 15.002-2003 //

Kvalitetsledningsmetoder. 2013. Nr 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Tillvägagångssätt för att bygga en modell av ledningssystem för informationssäkerhet // Polytematisk nätverk elektronisk vetenskaplig tidskrift från Kuban State Agrarian University. 2009. Nr 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modell av ledningssystemet för informationssäkerhet på företaget (i organisationen) // Intellekt. Innovation. Investeringar. 2013. Nr 1. S. 111-114.

6. Soloviev A. M. Normativ och metodisk bas inom området informationssäkerhet // Ekonomi, statistik och informatik. Bulletin från UMO. 2012. Nr 1. S. 174-181.

7. Kozin IF, Livshits II Informationssäkerhet. Integrering av internationella standarder i Rysslands informationssäkerhetssystem // Informatisering och kommunikation. 2010. Nr 1. S. 50-55.

8. Kolodin VS-certifiering av integrerade ledningssystem // Bulletin från Irkutsk State Technical University. 2010. T. 41. Nr 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Integrerade ledningssystem: förutsättningar för att skapa på ryska företag // Ung vetenskapsman.

2013. Nr 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Informationssäkerhetshantering av informations- och telekommunikationssystem baserat på "P1ap-Do-Check-Act"-modellen // Science1 sling från Donetsk National Technical University. Ser1ya: "Computational techshka that automatism". 2013. Nr 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Informationssäkerhetshantering: grundläggande begrepp // Cybersäkerhetsfrågor.

2014. Nr 1 (2). S. 67-73.

12. Shper VL Om standarden 18O / 1EC 27001 // Metoder för kvalitetsledning. 2008. Nr 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Riskhantering - normativt vakuum för informationssäkerhet // Öppna system... DBMS. 2007. Nr 8. S. 63-67.

14. Matveev V. A., Tsirlov V. L. Tillstånd och utvecklingsutsikter för Ryska federationens informationssäkerhetsindustri

tion under 2014 // Cybersäkerhetsfrågor. 2013. Nr 1 (1). S. 61-64.

15. Barabanov A. V. Standardisering av processen för att utveckla säkra mjukvaruverktyg // Issues of cyber security. 2013. Nr 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Riktlinjer för cybersäkerhet i sammanhanget

ISO 27032 // Cybersäkerhetsfrågor. 2014. Nr 1 (2). S. 28-35. 17. Khramtsovskaya N. Vad en chef behöver veta om informationssäkerhet // Kadrovik. 2009. Nr 4. S. 061-072.

Riktigt pinsamt. Vi informerade om det nära förestående släppet av ISO 45001-standarden, som ska ersätta den nuvarande OHSAS 18001-standarden för arbetarskydd, vi sa att vi skulle vänta på den i slutet av 2016 ... Midnatt närmar sig, men Herman är fortfarande borta. Dags att erkänna - ISO 45001 är pausad. Sant, av goda skäl. Expertgruppen har för många frågor för honom. […]