Що таке сучасна система менеджменту інформаційної безпеки. Сучасні стандарти в області інформаційної безпеки, що використовують концепцію управління ризиками Система менеджменту інформаційної безпеки

Шахалов Ігор Юрійович

До питання про інтегрування систем менеджменту якості та інформаційної безпеки

Анотація: розглянуті міжнародні стандарти ISO 27001 та ISO 9001. Проведено аналіз подібностей та відмінностей системи менеджменту якості і системи менеджменту інформаційної безпеки. Показана можливість інтегрування системи менеджменту якості і системи менеджменту інформаційної безпеки. Наведено основні етапи побудови та впровадження інтегрованої системи менеджменту інформаційної безпеки. Показано переваги інтегрованого підходу.

Ключові слова: системи менеджменту інформаційна безпека, інтегровані системи менеджменту, СМІБ, СМК, ІСО 27001.

Наталія Олегівна

Вступ

В сучасному світіз появою поширених та зручних технічних пристроївпозначилася досить гостро проблема захисту інформації. Поряд з випуском якісної продукції або наданням послуг підприємствам та організаціям важливо зберігати потрібну інформацію в таємниці від конкурентів, щоб залишатися на вигідних позиціях на ринку. У конкурентній боротьбі широко поширені різноманітні дії, спрямовані на отримання (добування, придбання) конфіденційної інформації самими різними способами, Аж до прямого промислового шпигунства з використанням сучасних технічних засобів розвідки.

Таким чином, лідерами на ринку стають організації, які дотримуються кращих світових практик, що містять вимоги, керівництва по впровадженню систем управління бізнес-процесами організації. Кращими стандартами по розробці, впровадженню, моніторингу та поліпшення таких систем є документи Міжнародної Організації по стандартизації (ISO). Особливу увагу необхідно приділити стандартам серій ISO 900x і ISO 2700x, в яких зібрані кращі практики щодо впровадження системи управління якістю (СУЯ) і системи менеджменту інформаційної безпеки (СМІБ).

Система менеджменту якості, впроваджена відповідно до вимог стандарту ISO 9001, давно визнана невід'ємним атрибутом успішної компанії, що виробляє високоякісну продукцію або надає послуги високого класу. Сьогодні наявність сертифіката відповідності є одночасно ефективним маркетинговим рішенням і механізмом контролю процесів виробництва. Аудит СМК є розвиненим напрямом бізнесу.

Щодня посилюється залежність успішної діяльності компанії від корпоративної системизахисту інформації. Це пояснюється збільшенням обсягу життєво важливих даних, які обробляються в корпоративній інформаційній системі. Інформаційні системи ускладнюються, зростає і число вразливостей, які виявляються в них. Аудит СМІБ дозволяє оцінити поточний стан безпеки функціонування корпоративної інформаційної системи,

оцінити і прогнозувати ризики, управляти їх впливом на бізнес-процеси компанії.

Так як стандарт ISO 9001 давно зайняв лідируюче положення за кількістю сертифікатів в світі, а стандарт ISO 27001 показує тенденцію до зростання сертифікації системи менеджменту інформаційної безпеки, доцільно розглянути можливу взаємодію та інтеграцію СМК і СМІБ.

Інтегрірованіестандартов

На перший погляд, менеджмент якості та інформаційна безпека - абсолютно різні області. Однак на практиці вони тісно пов'язані і утворюють одне ціле (Малюнок 1). Задоволення потреб клієнтів, що становить об'єктивну мету якості, з кожним роком все більше залежить від доступності інформаційних технологій і від безпеки даних, для підтримки яких і використовується стандарт ISO 27001. З іншого боку, стандарт ISO 9001 точно відповідає корпоративним цілям організації, допомагаючи забезпечувати менеджмент інформаційної безпеки. Завдяки комплексному підходу ISO 27001 може бути ефективно інтегрований в існуючі СМК або здійснюватися разом з СМК.

сти (ISO 27001) та управління ІТ-послугами (ISO 20000) мають аналогічну структуру і процесний підхід. Це дає синергію, яка окупається: на практиці інтегрована система менеджменту на поточну експлуатацію економить від 20 до 30 відсотків від загального обсягу видатків на оптимізацію системи, перевірок і ревізій.

Стандарти інформаційної безпеки та управління якістю спрямовані на постійне вдосконалення відповідно до моделі Plan-Do-Check-Act (PDCA, «планування - здійснення - перевірка - дія»), відомої як «цикл Демінга» (див. Рис. 2). Крім того, вони схожі за своєю структурою, як показано в таблиці відповідності в додатку З стандарту ISO 27001. В обох стандартах визначені поняття процесного підходу, області дії, вимоги до системи і документації, а також адміністративна відповідальність. В обох випадках структура закінчується внутрішнім аудитом, аналізом з боку керівництва і поліпшенням системи. В цьому обидві системи взаємодіють. Наприклад, ISO 9001 вимагає управління невідповідною продукцією. Аналогічно, в стандарті ISO 27001 існує вимога щодо управління інцидентами для усунення збоїв.

Мал. 1. Сфери взаємодії і схожості СМК і СМІБ

Мал. 2. Цикл Демінга

Понад 27 200 організацій найрізноманітніших галузей в більш ніж 100 країнах світу сертифіковані на відповідність ISO 9001: 2008 з управління якістю. Залежно від ринку і вимог законодавства, багато організацій все частіше змушені мати справу з ІБ. У зв'язку з цим, інтеграція системи управління пропонує реальні можливості. Комплексний підхідтакож цікавий для компаній, які не використали будь-який процес управління до цих пір. Стандарти ІСО якості (ISO 9001), охорони навколишнього середовища (ISO 14000), інформаційної безопасно-

Відмінності між стандартами корисно доповнюють один одного, що рішуче сприяє підвищенню ділового успіху. Наприклад, ISO 9001 вимагає визначення корпоративних цілей, орієнтованості на клієнта і вимірності, в якій мірі цілі і завдання виконані. Це три питання, які не перебувають в центрі інтересів ISO 27001. У свою чергу, цей стандарт надає першочергового значення управління ризиками для підтримки безперервності бізнесу і пропонує детальну допомогу в реалізації СМІБ. Порівняно

з цим, ISO 9001 є більшою мірою теоретичним стандартом.

ISO 27001 - стандарт не тільки для ІТ

Багато хто вважає, що стандарт ISO 27001 призначений тільки для ІТ-процесів, однак насправді це не так. Основоположним пунктом щодо впровадження СМ І Б стандарту ISO 27001 служить визначення активів.

■ "lilltpHiimiir-J.» IJilllF.lEL ^ OIU.IC.

г т ^ цдкпініж ц нетувк ^ тнслщс tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* КЯДРОМК:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

»D | KtttcCcU H« patitU.

»Jimii 14: ii | vju7JIIIM.

Мал. 3. Види активів

Під активом розуміється все, що представляє для компанії цінність (Малюнок 3). Тобто активом можуть бути: людські ресурси, інфраструктура, інструменти, обладнання, засоби комунікації, служби і будь-які інші активи, включаючи послуги з постачання продукції, що закуповується. Виходячи з процесів, компанія визначає, які у неї є активи і які активи задіяні в критичних процесах, проводить оцінку цінності активів. І вже тільки після цього проводиться оцінка ризиків за всіма цінними активами. Таким чином, СМІБ призначена не тільки для цифрової інформації, яка обробляється в автоматизованої паспортної системи. Наприклад, деякі з найбільш критичних процесів пов'язані

підготовка

планів заході

2 Перевірка H: i відповідність

зі зберіганням друкованих копій інформації, що також враховано в ISO 27001. СМІБ охоплює всі способи, за допомогою яких може зберігатися важлива інформація у вашій компанії: починаючи від того, як ваші електронні листизахищені, закінчуючи тим, де в будівлі зберігаються особисті справи співробітників.

Тому величезна помилка вважати, що раз державний стандарт на побудову системи менеджменту інформаційної безпеки, то це може ставитися тільки до даних, що зберігаються в комп'ютері. Навіть в наш цифровий вік все ще багато інформації відображено на паперових носіях, які теж повинні бути надійно захищені.

ISO 9001 не може задовольняти потреби компанії в ІБ, оскільки він вузько спрямований на якість продукції. Тому дуже важливо впроваджувати в компанії ISO 27001. На перший погляд фахівця може здатися, що обидва стандарти дуже загальні, і не мають конкретики. Однак це не так: в стандарті ISO 27001 описаний практично кожен крок по впровадженню і контролю функціонування СМІБ (Малюнок 4).

Основні етапи побудови системи менеджменту інформаційної безпеки

Основні етапи побудови СМІБ проілюстровані на малюнку 4. Розглянемо їх докладніше.

Етап 1. Підготовка планів заходів. На даному етапі фахівці здійснюють збір організаційно-розпорядчих документів (ОРД) та інших робочих матеріалів,

3 А тип нормальних ii ОРД

4 Аналіз ii оценм ризиків 11Б

впровадження

5 РязраОогхя і<>РаеряОопв комплексних & 00 \ * ieiitii:

радіація п ланів ■ -> норма товнш н -> заході -> CfftpJOTHW *

заходи пн> ПБ ОРД поенпженію

Формування 10 AiUtuin оцінка результатів інОрснЕшС "ММБ

Мал. 4. Етапи побудови СМІБ

що стосуються побудови та функціонування інформаційних систем компанії, що плануються до використання механізмів і засобів забезпечення ІБ. Крім того, складаються, узгоджуються і затверджуються у керівництва компанії плани заходів по етапах робіт.

Етап 2. Перевірка на відповідність ISO / IEC 27001: 2005. Інтерв'ювання та анкетування менеджерів і співробітників підрозділів. Аналіз СМІБ компанії на відповідність вимогам стандарту ISO / IEC 27001: 2005.

Етап 3. Аналіз нормативних і організаційно-розпорядчих документів, що спираються на організаційну структурукомпанії. За його результатами визначається захищається область дії (ОД) і розробляється ескіз політики ІБ компанії.

Етап 4. Аналіз і оцінка ризиків ІБ. Розробка методики з управління ризиками компанії і їх аналізу. Аналіз інформаційних ресурсів компанії, в першу чергу ЛВС, з метою виявлення загроз і вразливостей захищаються активів ОД. Інвентаризація активів. Проведення консультацій для спеціалістів компанії і оцінка відповідності фактичного і необхідного рівня безпеки. Розрахунок ризиків, визначення поточного та допустимого рівня ризику для кожного конкретного активу. Ранжування ризиків, вибір комплексів заходів щодо їх зниження і розрахунок теоретичної ефективності впровадження.

Етап 5. Розробка і реалізація планів заходів по ІБ. Розробка положення про можливість застосування контролів відповідно до ISO / IEC 27001: 2005. Розробка плану обліку та усунення ризиків. Підготовка звітів для керівника компанії.

Етап 6. Розробка нормативних і ОРД. Розробка і затвердження остаточної політики І Б та відповідних їй положень (приватних політик). Розробка стандартів, процедур та інструкцій, що забезпечують нормальне функціонування і експлуатацію СМІБ компанії.

Етап 7. Впровадження комплексних заходів щодо зниження ризиків ІБ і оцінка їх ефективності відповідно до затвердженого керівництвом планом обробки і усунення ризиків.

Етап 8. Навчання персоналу. Розробка планів заходів та впровадження програм з навчання та підвищення компетенції співробітників компанії з метою ефективного донесення принципів ІБ до всіх співробітників і

в першу чергу тих, хто працює в структурних підрозділах, Що забезпечують ключові бізнес-процеси.

Етап 9. Формування звітності. Систематизація результатів обстеження і підготовка звітності. Представлення результатів робіт для керівників компанії. Підготовка документів до ліцензування на відповідність ISO / IEC 27001: 2005 та передача їх в сертифікує організації.

Етап 10. Аналіз та оцінка результатів впровадження СМІБ на підставі методики, яка оцінює надійність функціонування СМІБ компанії. Розробка рекомендацій щодо вдосконалення системи управління ІБ компанії.

Аналізуючи кожен етап впровадження СМІБ, можна сказати, що ISO 27001 має чітку структуру і вимоги, які дозволять вибудувати працюючу систему, в якій буде взаємодія на всіх потрібних рівнях. Але не можна забувати, що основна відмінність СМІБ і СМК в тому, що перша система зосереджена на інформаційну безпеку.

Важливість інформаційної безпеки в сучасному світі

Сьогоднішній бізнес не може існувати без інформаційних технологій. Відомо, що близько 70% світового сукупного національного продукту залежать тим чи іншим чином від інформації, що зберігається в інформаційних системах. Повсюдне впровадження комп'ютерів створило не тільки певні зручності, але і проблеми, найбільш серйозною з яких є проблема інформаційної безпеки.

Керівники компаній повинні усвідомити важливість інформаційної безпеки, навчитися прогнозувати тенденції в цій області і управляти ними. У цьому їм може допомогти впровадження СМІБ, яка за своєю структурою має потенціал до розвитку, прозорість управління, гнучкість до змін. Поряд з елементами управління для комп'ютерів і комп'ютерних мереж стандарт ISO 27001 приділяє велику увагу питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпечення безперервності виробничого процесу, Нормативним вимогам, в той же час окремі технічні питання деталізовані в інших стандартах серії

ІСО 27000. Переваг впровадження в компанію СМІБ дуже багато, частина з них представлена ​​на рис. 5.

Глбкшль масш підрив> ч; ь1 [ч.-ть

Зниження ¡juvum

HiKiinimi n II11 \ 11 Ч "Г 1111 111 пуднТ

Пртртшал' уірдоктл

"Ji | m | ill p.Ki u:

ажщтня№ цн ^ ст

Мал. 5. Переваги впровадження системи менеджменту інформаційної безпеки

Слід вказати на переваги ISO

Демонстрація компетентності безпеки. ISO 27001 являє собою практичний посібник для організації, яка допомагає сформулювати вимоги безпеки для забезпечення необхідного рівня захищеності і виконання конкретних цілей безпеки. Особливо важливо організаціям бути компетентними в чотирьох областях управління безпекою, включаючи: визначення та оцінку активів компанії, оцінку ризиків і визначення критеріїв прийому ризику, управління і прийняття цих пунктів, і постійне поліпшення загальної програмибезпеки організації.

Забезпечення впевненості клієнтів. ISO 27001 забезпечує незалежне доказ того, що програми корпоративного управління підтримуються кращими, передовими, міжнародними практиками. Сертифікація на відповідність ISO 27001 забезпечує спокій корпораціям, які прагнуть продемонструвати сумлінність клієнтам, акціонерам і потенційним партнерам, а головне, показати, що в компанії успішно реалізована надійна система менеджменту інформаційної безпеки. Для багатьох серйозно регульованих галузей, таких як фінанси або Інтернет-послуги, вибір постачальника може

бути обмежений тими організаціями, які вже сертифіковані по ISO 27001.

Більш ефективне використання ресурсів. Завдяки використанню процесного підходу можлива оптимізація процесів, що відбуваються в компанії. Що тягне за собою зменшення використання ресурсів, наприклад, часу.

Постійне поліпшення. СМІБ використовує PCDA модель, що дозволяє регулярно перевіряти стан всієї системи, проводити аналіз і вдосконалювати систему управління

1. Імідж, бренд. Сертифікація на відповідність ISO 27001 відкриває перед компанією широкі можливості: вихід на міжнародний рівень, нові партнерства, більшу кількість клієнтів, нові контракти, успіх в тендерах. Наявність СМІБ в компанії - це показник високого рівня розвитку.

2. Гнучкість СМІБ. Незалежно від змін процесів, нових технологій, основа структури СМІБ залишається дієвою. СМІБ досить легко підлаштовується під нововведення, шляхом модернізації існуючих і впровадження нових контрзаходів.

3. Масштабованість впровадження стандарту. Так як ISO 27001 передбачає визначення області дії, це дозволяє сертифікувати лише частина процесів. Можна почати впроваджувати СМІБ в найбільш значиму для компанії ОД, а вже пізніше розширювати.

4. Аудит. багато російські компаніїсприймають аудиторські роботи як катастрофу. ISO 27001 показує міжнародний підхід до проведення аудитів: перш за все зацікавленість компанії в тому, щоб дійсно відповідати стандартам, а не робити сертифікацію абияк, лише «для галочки».

5. Регулярні внутрішні або зовнішні аудити дозволяють виправляти порушення, удосконалювати СМІБ, значно знизити ризики. В першу чергу, це потрібно компанії для власного спокою, що у них все в порядку і ризики збитків мінімізовані. А вже другорядне - сертифікат відповідності, який підтверджує для партнерів або клієнтів, що цієї компанії можна довіряти.

6. Прозорість управління. Використання стандарту ISO 27001 дає досить чіткі інструкції по створенню управління, а

також вимоги до документації, яка повинна бути в компанії. Проблема багатьох компаній в тому, що існуючі документи для певних відділів просто не читаються, бо розібратися, що і кому призначається, часто неможливо через заплутаність системи документації. Ієрархічність рівнів документації, від політики інформаційної безпеки до опису певних процедур, робить використання існуючих правил, регламентів та іншого набагато легше. Також впровадження СМ І Б передбачає навчання персоналу: проведення семінарів, розсилок, вивішування попереджувальних плакатів, що значно підвищує обізнаність про ІБ серед звичайних службовців.

На закінчення слід зазначити, що в сучасному бізнесіневід'ємність базової системи менеджменту якості, вибудуваної відповідно до вимог стандарту ISO 9001, і завойовує позиції системи менеджменту інформаційної безпеки очевидна.

Сьогодні лідером ринку стануть компанії, які відстежують не тільки показники якості продукції та послуг, а й рівні конфіденційності, цілісності та доступності інформації про них. Також важливим фактором успіху є прогнозування і оцінка ризиків, що вимагає грамотного підходу і використання кращих міжнародних практик. Спільне впровадження та сертифікація систем управління якістю та інформаційної безпеки допоможе вирішити широкий спектр завдань для будь-якої галузі промисловості або торгівлі, що в свою чергу призведе до якісної підвищенню рівня послуг, що надаються.

література

1. Дорофєєв А. В., Шахалов І. Ю. Основи управління інформаційною безпекою сучасної організації// Правова інформатика. 2013. № 3. С. 4-14.

2. Чашкин В. Н. Управління інформаційною безпекою як елемент системи управління інформаційно-технологічної діяльністю організації // Безпека інформаційних технологій. 2009. № 1. С. 123-124.

3. Горячев В. В. Новий ГОСТ на СМК. Основні відмінності від ГОСТ РВ 15.002-2003 //

Методи менеджменту якості. 2013. № 7. С. 18-23.

4. Доценко С. П., Пшенецкій С. П. Підхід до побудови моделі систем менеджменту інформаційної безпеки // політематичної мережевий електронний науковий журнал Кубанського державного аграрного університету. 2009. № 53. С. 47-56.

5. Каменєв А. В., Заворітько Е. В. Модель системи менеджменту інформаційної безпеки на підприємстві (в організації) // Інтелект. Інновації. Інвестиції. 2013. № 1. С. 111-114.

6. Соловйов А. М. Нормативно-методична база в галузі забезпечення інформаційної безпеки // Економіка, статистика і інформатика. Вісник УМО. 2012. № 1. С. 174-181.

7. Козин І. Ф., Лівшиць І. І. Інформаційна безпека. Інтеграція міжнародних стандартів в систему інформаційної безпеки Росії // Інформатизація та зв'язок. 2010. № 1. С. 50-55.

8. Колодін В. С. Сертифікація інтегрованих систем менеджменту // Вісник Іркутського державного технічного університету. 2010. Т. 41. № 1. С. 44-48.

9. Меркушова Н. І., Науменко Ю. А., Меркушова Ю. А. Інтегровані системи менеджменту: передумови створення на російських підприємствах // Молодий вчений.

2013. № 12 (59). С. 327-331.

10. Воропаєва В. Я., Щербов І. Л., Хаустова Е. Д. Управління інформаційною безпекою інформаційно-телекомунікаційних систем на базі моделі «Р1ап-Do-Check-Act» // Науков1 пращ Донецько-го нацюнального техшчного ушверсітету. Сер1я: "Обчислювальна техшка та автоматізащя". 2013. № 2 (25). С. 104-110.

11. Дорофєєв А. В., Марков А. С. Менеджмент інформаційної безпеки: основні концепції // Питання кібербезпеки.

2014. № 1 (2). С. 67-73.

12. Шпер В. Л. Про стандарт 18О / 1ЕС 27001 // Методи менеджменту якості. 2008. № 3. С. 60-61.

13. Марков А. С., Цирль В. Л. Управління ризиками - нормативний вакуум інформаційної безпеки // відкриті системи. СУБД. 2007. № 8. С. 63-67.

14. Матвєєв В. А., Цирль В. Л. Стан і перспективи розвитку індустрії інформаційної безпеки Російської Федера-

ції в 2014 р // Питання кібербезпеки. 2013. № 1 (1). С. 61-64.

15. Барабанов О. В. Стандартизація процесу розробки безпечних програмних засобів// Питання кібербезпеки. 2013. № 1 (1). С. 37-41.

16. Марков А. С., Цирль В. Л. Настанови щодо кібербезпеки в контексті

ISO 27032 // Питання кібербезпеки. 2014. № 1 (2). С. 28-35. 17. Храмцовскій Н. Що потрібно знати керівнику про інформаційну безпеку // Кадровик. 2009. № 4. С. 061-072.

У світі інформаційних технологій пріоритетним стає питання забезпечення цілісності, надійності і конфіденційності інформації. Тому визнання необхідності наявності в організації системи менеджменту інформаційної безпеки (СМІБ) є стратегічним рішенням.

Був розроблений для створення, впровадження, підтримки функціонування і безперервного поліпшення СМІБ на предпріятіі.Также завдяки застосуванню даного Стандарту зовнішнім партнерам стає очевидною здатність організації відповідати власним вимогам по інформаційної безпеки. У цій статті піде мова про основні вимоги Стандарту і обговорення його структури.

(ADV31)

Основні завдання Стандарту ISO 27001

Перш, ніж переходити до опису структури Стандарту, обговоримо його основні завдання і розглянемо історію появи Стандарту в Росії.

Завдання Стандарту:

• встановлення єдиних вимогдля всіх організацій до створення, впровадження та поліпшення СМІБ;
• забезпечення взаємодії вищого керівництва і співробітників;
• збереження конфіденційності, цілісності та доступності інформації.

При цьому вимоги, встановлені Стандартом, є загальними і призначені для застосування будь-якими організаціями, незалежно від їх типу, розміру або характеру.

Історія Стандарту:

• У 1995 р Британський інститут стандартів (BSI) прийняв Кодекс управління інформаційною безпекою в якості національного стандарту Великобританії і зареєстрував його під номером BS 7799 - Part 1.
• У 1998 р BSI публікує стандарт BS7799-2, що складається з двох частин, одна з яких включила в себе звід практичних правил, а інша - вимоги до систем менеджменту інформаційної безпеки.
• В процесі таких переглядів перша частина була опублікована як BS 7799: 1999, Частина 1. У 1999 році ця версія стандарту була передана в Міжнародну Організацію по Сертифікації.
• Цей документ був затверджений в 2000 р в якості міжнародного стандарту ISO / IEC 17799: 2000 (BS 7799-1: 2000). Останньою версією даного стандарту, прийнятої в 2005 році, є ISO / IEC 17799: 2005.
• У вересні 2002 року в силу вступила друга частина стандарту BS 7799 «Технічна специфікація системи управління інформаційною безпекою». Друга частина BS 7799 переглядалася у 2002 році, а в кінці 2005 р була прийнята ISO в якості міжнародного стандарту ISO / IEC 27001: 2005 « Інформаційні технології- Методи забезпечення безпеки - Системи управління інформаційною безпекою - Вимоги ».
• У 2005 р стандарт ISO / IEC 17799 був включений в лінійку стандартів 27-ої серії і отримав новий номер- ISO / IEC 27002: 2005.
• 25 вересня 2013 року було опубліковано оновлений стандарт ISO / IEC 27001 до: 2013 «Системи Менеджменту Інформаційної Безпеки. Вимоги ». В даний час сертифікація організацій проводиться за цією версією Стандарту.

структура Стандарту

Одним з переваг даного Стандарту є схожість його структури з ISO 9001, так каксодержіт ідентичні заголовки підрозділів, ідентичний текст, загальні терміни і основні визначення. Ця обставина дозволяє заощадити час і гроші, так як частина документації вже була розроблена при сертифікації по ISO 9001.

Якщо говорити про структуру Стандарту, то є перелік вимог до СМІБ, обов'язкових для сертифікації і складається з наступних розділів:

Вимоги «Додатки А» є обов'язковими для виконання, але стандарт дозволяє виключити напрямки, які неможливо застосувати на підприємстві.

При впровадженні Стандарту на підприємстві для проходження подальшої сертифікації варто пам'ятати, що не допускається винятків вимог, встановлених в розділах 4 - 10. Про ці розділах і піде мова далі.

Почнемо з розділу 4 - Контекст організації

контекст організації

В цьому розділі Стандарт вимагає від організації визначити зовнішні та внутрішні проблеми, які значимі з точки зору її цілей, і які впливають на здатність її СМІБ досягати очікуваних результатів. При цьому слід враховувати законодавчі та нормативні вимоги та договірні зобов'язання щодо інформаційної безпеки. Також організація повинна визначити і документально зафіксувати кордони і застосовність СМІБ, щоб встановити її область дії.

лідерство

Найвище керівництво повинне демонструвати лідерство і зобов'язання щодо системи менеджменту інформаційної безпеки за допомогою, наприклад, гарантії того, що інформаційна політика безпеки і цілі в сфері інформаційної безпеки встановлені і узгоджуються зі стратегією організації. Також вище керівництво повинно гарантувати забезпечення всіма необхідними ресурсами для СМІБ. Іншими словами, для працівників має бути очевидним залученість керівництва в питання інформаційної безпеки.

Повинна бути документально зафіксована і доведена до відома працівників політика в області інформаційної безпеки. Цей документ нагадує політику в області якості ISO 9001. Він також повинен відповідати призначенню організації і включати цілі в області інформаційної безпеки. Добре, якщо це будуть реальні цілі, на кшталт збереження конфіденційності і цілісності інформації.

Також від керівництва очікується розподіл функцій і обов'язків, пов'язаних з інформаційною безпекою серед працівників.

планування

У цьому розділі ми підходимо до першого етапу управлінського принципу PDCA (Plan - Do - Check - Act) - плануй, виконуй, перевіряй, дій.

Плануючи систему менеджменту інформаційної безпеки, організація должнапрінять до уваги проблеми, згадані в розділі 4, а також визначити ризики і потенційні можливості, які необхідно прийняти до уваги, щоб гарантувати, що СМІБ може досягати очікуваних результатів, запобігти небажаним ефектам і досягати безперервного вдосконалення.

При плануванні, яким чином досягти своїх цілей в області інформаційної безпеки, організація повинна визначити:

• що буде зроблено;
• які ресурси будуть потрібні;
• хто буде відповідальним;
• коли цілі будуть досягнуті;
• як результати будуть оцінюватися.

Крім того, організація повинна зберігати дані по цілям в області інформаційної безпеки як документовану інформацію.

забезпечення

Організація повинна визначити та забезпечити ресурси, необхідні для розробки, впровадження, підтримки функціонування і безперервного поліпшення СМІБ, це включає в себе як персонал, так і документацію. Відносно персоналу від організації очікується підбір кваліфікованих і компетентних працівників у галузі інформаційної безпеки. Кваліфікація працівників повинна підтверджуватися посвідченнями, дипломами тощо Можливе залучення за контрактом сторонніх фахівців, або навчання своїх працівників. Що стосується документації, вона повинна включати:

• документовану інформацію, необхідну Стандартом;
• документовану інформацію, визнану організацією необхідної для забезпечення результативності системи менеджменту інформаційної безпеки.

Документованої інформацією, необхідної СМІБ і Стандартом, необхідно управляти, щоб гарантувати, що вона:

• доступна і придатна для застосування там, де і коли вона необхідна, і
• належним чином захищена (наприклад, від втрати конфіденційності, неправильного використання або втрати цілісності).

функціонування

В даному розділі йдеться про другий етап управлінського принципу PDCA - необхідність організації управляти процессамідля забезпечення відповідності вимогам, і виконувати дії, визначені в розділі Планування. Також йдеться про те, що організація повинна виконувати оцінку ризиків інформаційної безпеки через заплановані інтервали часу або коли запропоновані або відбулися істотні зміни. Організація повинна зберігати результати оцінки ризиків інформаційної безпеки як документовану інформацію.

Оцінка результатів діяльності

Третій етап - перевірка. Організація повинна оцінювати функціонування і результативність СМІБ. Наприклад, в ній повинен проводитися внутрішній аудит, щоб отримувати інформацію про те,

1. чи відповідає система управління інформаційною безпекою
   • власним вимогам організації до її системі менеджменту інформаційної безпеки;
   • вимогам Стандарту;
2. що система менеджменту інформаційної безпеки результативно впроваджена і функціонує.

Зрозуміло, що обсяг і терміни проведення аудитів повинні плануватися заздалегідь. Всі результати необхідно документувати і зберігати.

поліпшення

Суть цього розділу в тому, щоб визначити порядок дій при виявленні невідповідності. Організації необхідно виправляти невідповідність, наслідки та провести аналіз ситуації, щоб в майбутньому подібне не відбувалося. Всі невідповідності і коригувальні дії повинні документуватися.

На цьому закінчуються основні розділи Стандарту. У Додатку А наведено більш конкретні вимоги, яким повинна відповідати організація. Наприклад, в плані контролю доступу, користування мобільних пристроїві носіїв інформації.

Вигоди від впровадження і сертифікації ISO 27001

• підвищення статусу організації і відповідно довіри партнерів;
• підвищення стабільності функціонування організації;
• повишеніеуровня захисту від загроз інформаційної безпеки;
• обеспеченіенеобходімого рівня конфіденційності інформації зацікавлених сторін;
• розширення можливостей участі організації у великих контрактах.

Економічними перевагами є:

• незалежне підтвердження сертифікаційним органом наявності в організації високого рівня інформаційної безпеки, контрольованого компетентним персоналом;
• доказ дотримання чинних законів і нормативних актів (виконання системи обов'язкових вимог);
• демонстрація певного високого уровнясістем менеджменту для забезпечення належного рівня обслуговування клієнтів і партнерів організації;
• демонстрація проведення регулярних аудитів систем менеджменту, оцінки результативності та постійних поліпшень.

сертифікація

Організація може бути сертифікована акредитованими агентствами відповідно до цього стандарту. Процес сертифікації складається з трьох етапів:

• 1-ий етап вивчення аудитором ключових документів СМІБ на відповідність вимогам Стандарта- може виконуватися як на території організації, так і шляхом передачі цих документів зовнішньому аудитору;
• 2-ий етап детальний аудит, включаючи тестування впроваджених заходів, і оцінка їх ефективності. Включає повне вивчення документів, які вимагає стандарт;
• 3-ий етап - виконання інспекційного аудиту для підтвердження, що сертифікована організація відповідає заявленим вимогам. Виконується на періодичній основі.

підсумок

Як можна побачити, застосування даного стандарту на підприємстві дозволити якісно підвищити рівень інформаційної безпеки, що в умовах сучасних реалій дорогого коштує. Вимог Стандарт містить чимало, але найголовніша вимога - робити те, що написано! Без реального застосування вимог стандарту він перетворюється в порожній набір папірців.

ДСТУ ISO / IEC 27001-2006 «Інформаційна технологія. Методи і засоби забезпечення безпеки. Системи менеджменту інформаційної безпеки. вимоги »

Розробники стандарту відзначають, що він був підготовлений в якості моделі для розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та поліпшення системи менеджменту інформаційної безпеки (СМІБ). СМІБ (англ. - information security management system; ISMS) визначається як частина загальної системи менеджменту, заснована на використанні методів оцінки бізнес-ризиків для розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та поліпшення інформаційної безпеки. Система менеджменту включає в себе організаційну структуру, політики, діяльність з планування, розподіл відповідальності, практичну діяльність, процедури, процеси і ресурси.

Стандарт передбачає використання процесного підходу для розробки, впровадження, забезпечення функціонування, моніторингу, аналізу, підтримки та поліпшення СМІБ організації. Він заснований на моделі «Планування (Plan) - Здійснення (Do) - Перевірка (Check) - Дія (Act)» (PDCA), яка може бути застосована при структуруванні всіх процесів СМІБ. На рис. 4.4 показано, як СМІБ, використовуючи в якості вхідних даних вимоги ІБ і очікувані результати зацікавлених сторін, за допомогою необхідних дій і процесів видає вихідні дані за результатами забезпечення інформаційної безпеки, які відповідають цим вимогам і очікуваних результатів.

Мал. 4.4.

На етапі «Розробка системи менеджменту інформаційної безпеки»організація повинна здійснити наступне:

• - визначити область і межі дії СМІБ;
• - визначити політику СМІБ на основі характеристик бізнесу, організації, її розміщення, активів і технологій;
• - визначити підхід до оцінки ризику в організації;
• - ідентифікувати ризики;
• - проаналізувати і оцінити ризики;
• - визначити і оцінити різні варіанти обробки ризиків;
• - вибрати цілі і заходи управління для обробки ризиків;
• - отримати твердження керівництвом передбачуваних залишкових ризиків;
• - отримати дозвіл керівництва на впровадження та експлуатацію СМІБ;
• - підготувати Положення про застосування.

етап « Впровадження та функціонування системи менеджменту інформаційної безпеки »передбачає, що організація повинна:

• - розробити план обробки ризиків, що визначає відповідні дії керівництва, ресурси, обов'язки і пріоритети щодо менеджменту ризиків ІБ;
• - реалізувати план обробки ризиків для досягнення намічених цілей управління, що включає в себе питання фінансування, а також розподіл функцій і обов'язків;
• - впровадити обрані заходи управління;
• - визначити спосіб вимірювання результативності обраних заходів управління;
• - реалізувати програми з навчання та підвищення кваліфікації співробітників;
• - керувати роботою СМІБ;
• - управляти ресурсами СМІБ;
• - впровадити процедури та інші заходи управління, що забезпечують швидке виявлення подій ІБ і реагування на інциденти, пов'язані з ІБ.

Третій етап « Проведення моніторингу та аналізу системи менеджменту інформаційної безпеки »вимагає:

• - виконувати процедури моніторингу та аналізу;
• - проводити регулярний аналіз результативності СМІБ;
• - вимірювати результативність заходів управління для перевірки відповідності вимогам ІБ;
• - переглядати оцінки ризиків через встановлені періоди часу, аналізувати залишкові ризики і встановлені прийнятні рівні ризиків, враховуючи зміни;
• - проводити внутрішні аудити СМІБ через встановлені періоди часу;
• - регулярно проводити керівництвом організації аналіз СМІБ з метою підтвердження адекватності сс функціонування і визначення напрямків вдосконалення;
• - оновлювати плани ІБ з урахуванням результатів аналізу і моніторингу;
• - реєструвати дії і події, здатні вплинути па результативність або функціонування СМІБ.

І нарешті, етап «Підтримка та поліпшення системи менеджменту інформаційної безпеки»передбачає, що організація повинна регулярно проводити такі заходи:

• - виявляти можливості поліпшення СМІБ;
• - вживати необхідних коригувальні та запобіжні дії, використовувати на практиці досвід щодо забезпечення ІБ, отриманий як у власній організації, так і в інших організаціях;
• - передавати детальну інформацію про дії щодо поліпшення СМІБ всім зацікавленим сторонам, при цьому ступінь її деталізації повинна відповідати обставинам і, при необхідності, погоджувати подальші дії;
• - забезпечувати впровадження поліпшень СМІБ для досягнення запланованих цілей.

Далі в стандарті наводяться вимоги до документації, яка повинна включати положення політики СМІБ і опис області функціонування, опис методики і звіт про оцінку ризиків, план обробки ризиків, документування пов'язаних процедур. Також повинен бути визначений процес управління документами СМІБ, що включає актуалізацію, використання, зберігання та знищення.

Для надання доказів відповідності вимогам та результативності СМІБ необхідно вести і підтримувати в робочому стані облікові записи та записи про виконання процесів. Як приклади називаються журнали реєстрації відвідувачів, звіти про результати аудиту і т. Рр

Стандарт визначає, що керівництво організації відповідально за забезпечення і управління ресурсами, необхідними для створення СМІБ, а також організацію підготовки персоналу.

Як вже раніше зазначалося, організація повинна відповідно до затвердженого графіка проводити внутрішні аудити СМІБ, що дозволяють оцінити її функціональність і відповідність стандарту. А керівництво повинно проводити аналіз системи менеджменту інформаційної безпеки.

Також повинні проводитися роботи по поліпшенню системи менеджменту інформаційної безпеки: підвищення її результативності та рівня відповідності поточного стану системи і висунутим до неї вимогам.

У разі побудови відповідно до вимог ISO / IEC_27001 грунтується на PDCA моделі:

Plan(Планування) - фаза створення СМІБ, створення переліку активів, оцінки ризиків та вибору заходів;

Do(Дія) - етап реалізації і впровадження відповідних заходів;

Check(Перевірка) - фаза оцінки ефективності та продуктивності СМІБ. Зазвичай виконується внутрішніми аудиторами.

Act(Покращення) - виконання превентивних і коригуючих дій;

Поняття інформаційної безпеки

Стандарт ISO 27001 визначає інформаційну безпеку як: «збереження конфіденційності, цілісності та доступності інформації; крім того, можуть бути включені і інші властивості, такі як справжність, неможливість відмови від авторства, достовірність ».

Конфіденційність - забезпечення доступності інформації тільки для тих, хто має відповідні повноваження (авторизовані користувачі).

цілісність - забезпечення точності і повноти інформації, а також методів її обробки.

доступність - забезпечення доступу до інформації авторизованим користувачам, коли це необхідно (на вимогу).

4 Система менеджменту інформаційної безпеки

4.1 Загальні вимоги

Організація повинна вводити, виконувати, використовувати, контролювати, переглядати, підтримувати та вдосконалювати документовані положення СМІБ в рамках всієї бізнес-діяльності організації, а також ризиків, з якими вона стикається. Заради практичної користі даного Міжнародного Стандарту використовуваний процес ґрунтується на моделі PDCA, показаної на рис. 1.

4.2 Створення і менеджмент СМІБ

4.2.1 Створення СМІБ

Організація повинна зробити наступне.

a) З огляду на особливості діяльності організації, самої організації, її місця розташування, активів і технології, визначити масштаб і межі СМІБ, включаючи деталі і обгрунтування виключень будь-яких положень документа з проекту СМІБ (см.1.2).

b) З огляду на особливості діяльності організації, самої організації, її місця розташування, активів і технології, розробити політику СМІБ яка:

1) включає систему постановки цілей (завдань) і встановлює загальний напрямок керівництва і принципи дії щодо інформаційної безпеки;

2) приймає до уваги ділові і юридичні або регулятивні вимоги, договірні зобов'язання з безпеки;

3) приєднана до стратегічної середовищі управління ризиком, в якій має місце створення і підтримка СМІБ;

4) встановлює критерії, за якими буде оцінюватися ризик (див. 4.2.1 с)); і

5) затверджена керівництвом.

ПРИМІТКА: З метою цього Міжнародного Стандарту, політикою СМІБ вважається розширений набір політик інформаційної безпеки. Ці політики можуть бути описані в одному документі.

c) Розробити концепцію оцінки ризику в організації.

1) Визначити методологію оцінки ризику, яка підходить СМІБ, і встановленої ділової інформаційної безпеки, юридичним і регулятивним вимогам.

2) Розробляти критерії прийняття ризику і визначати прийнятні рівні ризику (див. 5.1f).

Обрана методологія оцінки ризику повинна гарантувати, що оцінка ризику приносить порівняльні та відтворювані результати.

ПРИМІТКА: Існують різні методології оцінки ризику. Приклади методологій оцінки ризику розглянуті в МОС / МЕК ТУ 13335-3, Інформаційні технології - Рекомендації до менеджментуITБезпеки - Методи менеджментуITБезпеки.

d) Виявити ризики.

1) Визначити активи в рамках положень СМІБ, і владельцев2 (2 Термін «власник» ототожнюється з індивідом або суб'єктом, яка затверджена нести відповідальність за контроль виробництва, розвитку, технічного обслуговування, Застосування і безпеки активів. Термін «власник» не означає, що персона дійсно має будь-які права власності на актив) цих активів.

2) Виявити небезпеки для цих активів.

3) Виявити вразливі місця в системі захисту.

4) Виявити впливу, які руйнують конфіденційність, цілісність і доступність активів.

e) Проаналізувати та оцінити ризики.

1) Оцінити збиток бізнесу організації, який може бути нанесений внаслідок неспроможності системи захисту, а також бути наслідком порушення конфіденційності, цілісності, або доступності активів.

2) Визначити ймовірність провалу системи безпеки в світлі переважаючих небезпек і вразливостей, ударів, пов'язаних з активами, і впроваджених в даний час елементів управління.

3) Оцінити рівні ризику.

4) Визначити прийнятність ризику, або ж вимагати його скорочення, використовуючи критерії допустимості ризику, встановлені в 4.2.1с) 2).

f) Виявити і оцінити інструменти для скорочення ризику.

Можливі дії включають:

1) Застосування відповідних елементів управління;

2) Свідоме і об'єктивне прийняття ризиків, що гарантує їх безумовну відповідність вимогам політики організації і критеріям допустимості ризику (див. 4.2.1с) 2));

3) Уникнення ризику; і

4) Передача відповідних бізнес-ризиків іншій стороні, наприклад, страховим компаніям, постачальникам.

g) Вибрати завдання і засоби управління для скорочення ризиків.

Завдання і засоби управління повинні бути обрані та впроваджені відповідно до вимог, встановлених процесом оцінкою ризику і скорочення ризику. Цей вибір повинен враховувати як критерії допустимості ризику (див. 4.2.1с) 2)), так і юридичні, регулятивні і договірні вимоги.

Завдання і засоби управління з Додатка A повинні бути обрані як частина цього процесу, що відповідають встановленим вимогам.

Т. к. В Додатку А перераховані не всі завдання і засоби управління, то можуть бути обрані додаткові.

ПРИМІТКА: Додаток А містить всебічний список цілей управління, які були визначені як найбільш значущі для організацій. Щоб не пропустити жоден важливий пункт з опцій управління, які користуються даними Міжнародним Стандартом слід орієнтуватися на Додаток А як на відправний пункт для контролю вибірки.

h) Досягти затвердження управління передбачуваними залишковими ризиками.

4) сприяти виявленню подій безпеки і таким чином, використовуючи певні показники, попереджати інциденти безпеки; і

5) визначити ефективність заходів, вжитих для запобігання порушенню безпеки.

b) Проводити регулярні перевірки ефективності СМІБ (включаючи обговорення політики СМІБ і її завдань, перевірку засобів управління безпекою), беручи до уваги результати аудитів, інцидентів, результати вимірювань ефективності, пропозиції і рекомендації всіх зацікавлених сторін.

c) Оцінити ефективність засобів управління, щоб виявити, чи задоволені вимоги безпеки.

d) Перевірити оцінку ризиків по запланованим періодів і перевірити залишкові ризики та допустимі рівні ризиків, беручи до уваги зміни в:

1) організації;

2) технології;

3) бізнес-цілях і процесах;

4) ідентифікованих загрозах;

5) ефективності впроваджених коштів управління; і

6) зовнішніх подіях, таких як зміни в юридичній та управлінському середовищі, змінені договірні зобов'язання, зміни соціального клімату.

e) Проводити внутрішні аудити СМІБ в заплановані періоди (див. 6)

ПРИМІТКА: Внутрішні аудити, які іноді називають первинними аудитами, проводяться від імені самої організації в її власних цілях.

f) На регулярній основі проводити перевірку управління СМІБ, щоб переконатися, що положення залишається придатним, а СМІБ вдосконалюється.

g) Оновлювати плани безпеки з урахуванням даних, отриманих в результаті моніторингу та перевірки.

h) Записувати дії і події, які можуть вплинути на ефективність або продуктивність СМІБ (див. 4.3.3).

4.2.4 Підтримка і вдосконалення СМІБ

Організація повинна постійно робити наступне.

a) Впроваджувати в СМІБ певні виправлення.

b) Вживати відповідні коригувальні та запобіжні заходи відповідно до 8.2 і 8.3. Застосовувати знання, накопичені самою організацією і отримані з досвіду інших організацій.

c) Запитувати про свої дії і вдосконалення всім зацікавленим сторонам в ступеня деталізації, відповідної обстановці; і, відповідно, узгоджувати свої дії.

d) Переконатися, що поліпшення досягли поставленої мети.

4.3 Вимоги забезпечення документацією

4.3.1 Загальні положення

Документація повинна включати протоколи (записи) управлінських рішень, переконувати в тому, що необхідність дій обумовлена ​​рішеннями і політикою менеджменту; і переконувати у відтворюваності записаних результатів.

Важливо вміти демонструвати зворотний зв'язок обраних засобів управління з результатами процесів оцінки ризику та його скорочення, і далі з політикою СМІБ і її цілями.

В документацію СМІБ необхідно включити:

a) задокументовані формулювання політики і цілей СМІБ (див. 4.2.1b));

b) положення СМІБ (див. 4.2.1а));

c) концепцію і засоби управління в підтримку СМІБ;

d) опис методології оцінки ризику (див. 4.2.1с));

e) звіт про оцінку ризику (див. 4.2.1с) - 4.2.1g));

f) план скорочення ризику (див. 4.2.2b));

g) документовану концепцію, необхідну організації для забезпечення ефективності планування, функціонування та управління процесами її інформаційної безпеки і опису способів вимірювання ефективності засобів управління (див. 4.2.3с));

h) документи, необхідні даними Міжнародним Стандартом (див. 4.3.3); і

i) Твердження про Застосовності.

Примітка 1. В рамках даного Міжнародного Стандарту Термін «задокументована концепція» означає, що концепція впроваджена, документована, виконується і дотримується.

Примітка 2. Розмір документації СМІБ в різних організаціях може коливатися в залежності від:

Розміру організації та типу її активів; і

Масштабу і складності вимог безпеки та керованої системи.

Примітка 3. Документи та звіти можуть надаватися в будь-якій формі.

4.3.2 Контроль документів

Документи, необхідні СМІБ, необхідно захищати і регулювати. Необхідно затвердити процедуру документації, необхідну для опису управлінських дій по:

a) встановлення відповідності документів певним нормам до їх опублікування;

b) перевірці та оновленню документів як необхідність, перезатвердження документів;

c) забезпечення відповідності змін поточному стану виправлених документів;

d) забезпечення доступності важливих версій чинних документів;

e) забезпечення зрозумілості і читабельності документів;

f) забезпечення доступності документів тим, кому вони необхідні; а також їх передачі, зберігання і, нарешті, знищення відповідно до процедур, які застосовуються в залежності від їх класифікації;

g) встановлення автентичності документів із зовнішніх джерел;

h) контролювання поширення документів;

i) запобігання ненавмисному використанню вийшли з ужитку документів; і

j) застосування до них відповідного способу ідентифікації, якщо вони зберігаються просто на всякий випадок.

4.3.3 Контроль записів

Записи повинні створюватися і зберігатися для того, щоб забезпечити підтвердження відповідності вимогам і ефективне функціонування СМІБ. Записи необхідно захищати і перевіряти. СМІБ повинна враховувати будь-які юридичні і регулятивні вимоги і договірні зобов'язання. Записи повинні бути зрозумілі, легко ідентифіковані і відновити події. Управлінські дії, а необхідні для ідентифікації, зберігання, захисту, відновлення, тривалості зберігання та знищення записів, повинні бути документально затверджено та введено в дію.

У записі необхідно включати інформацію про проведення заходів, описаних в 4.2, і про всі події і значущих для безпеки інциденти, що відносяться до СМІБ.

Прикладами записів є гостьова книга, протоколи аудиту та заповнені форми авторизації доступу.

Надіслати свою хорошу роботу в базу знань просто. Використовуйте форму, розташовану нижче

Студенти, аспіранти, молоді вчені, які використовують базу знань в своє навчання і роботи, будуть вам дуже вдячні.

Розміщено на http://www.allbest.ru/

"Система менеджменту інформаційної безпеки"

менеджмент міжнародний стандарт

Введення

Система менеджменту інформаційної безпеки - це сукупність процесів, які працюють в компанії для обеспеченіяконфіденціальності, целостностіідоступностіінформаціонних активів. У першій частині реферату розглядається процес впровадження системи менеджменту в організації, а також наведені основні аспекти вигоди від реалізації системи менеджменту інформаційної безпеки.

Рис.1. цикл управління

Перелік процесів і рекомендації, як найкращим чином організувати їх функціонування, наведені в міжнародному стандарті ISO 27001: 2005, в основі якого лежить цикл управління Plan-Do-Check-Act. Відповідно до нього життєвий циклСМІБ складається з чотирьох типів діяльності: Створення - Впровадження та експлуатація - Моніторинг та аналіз - Супровід і вдосконалення (Рис.1). Цей стандарт буде розглянуто докладніше у другій частині.

Зистемаменеджментуінформаційноїбезпеки

Системою менеджменту інформаційної безпеки (СМІБ) називають ту частину загальної системи менеджменту, яка заснована на підході бізнес-ризиків при створенні, впровадженні, функціонуванні, моніторингу, аналізі, підтримки і поліпшення інформаційної безпеки. Процеси СМІБ створені відповідно до вимог стандарту ISO / IEC 27001: 2005, в основі якого лежить цикл

Робота системи заснована на підходах сучасної теорії ризиків менеджменту, що забезпечує її інтеграцію в загальну систему управління ризиками організації.

Впровадження системи менеджменту інформаційної безпеки має на увазі розробку і впровадження процедури, спрямованої на систематичну ідентифікацію, аналіз і пом'якшення ризиків інформаційної безпеки, тобто ризиків, в результаті яких інформаційні активи (інформацію в будь-якій формі і будь-якого характеру) втратять конфіденційність, цілісність і доступність.

Для забезпечення систематичного пом'якшення ризиків інформаційної безпеки, на підставі отриманих результатів оцінки ризиків, в організації впроваджуються наступні процеси:

· Управління внутрішньої організацією інформаційної безпеки.

· Забезпечення інформаційної безпеки при взаємодії з третіми сторонами.

· Управління реєстром інформаційних активів і правила їх класифікації.

· Управління безпекою обладнання.

· Забезпечення фізичного захисту.

· Забезпечення інформаційної безпеки персоналу.

· Планування і прийняття інформаційних систем.

· Резервне копіювання.

· Забезпечення безпеки мережі.

Процеси системи менеджменту інформаційної безпеки зачіпають всі аспекти управління ІТ інфраструктурою організації, так як інформаційна безпека - це результат стійкого функціонування процесів, пов'язаних з інформаційними технологіями.

При побудові СМІБ в компаніях фахівці проводять наступні роботи:

· Організовують управління проектом, формують проектну групу з боку замовника і виконавця;

· Визначають область діяльності (ОД) СМІБ;

· Обстежують організацію в ОД СМІБ:

o в частині бізнес-процесів організації, включаючи аналіз негативних наслідківінцидентів ІБ;

o в частині процесів менеджменту організації, включаючи існуючі процеси управління якістю та управління забезпеченням ІБ;

o в частині ІТ інфраструктури;

o в частині ІБ інфраструктури.

· Розробляють і узгоджують аналітичний звіт, що містить перелік основних бізнес-процесів і оцінку наслідків реалізації загроз ІБ в їх відношенні, перелік процесів менеджменту, ІТ-систем, підсистем інформаційної безпеки (ПІБ), оцінку ступеня виконання організацією всіх вимог ISO 27001 та оцінку зрілості процесів організації;

· Вибирають вихідний і цільовий рівень зрілості СМІБ, розробляють і затверджують Програму підвищення зрілості СМІБ; розробляють високорівневу документацію в області ІБ:

o Концепцію забезпечення ІБ,

o Політики ІБ і СМІБ;

· Вибирають і адаптують методику оцінки ризиків, яка застосовується в організації;

· Вибирають, поставляють і розгортають ПО, що використовується для автоматизації процесів СМІБ, організовують навчання фахівців компанії;

· Проводять оцінку і обробку ризиків, в ході якої для їх зниження вибираються заходи Програми «А» стандарту 27001 і формулюються вимоги до їх реалізації в організації, попередньо вибирають технічні засоби забезпечення ІБ;

· Розробляють ескізні проекти ПІБ, роблять оцінку вартості обробки ризиків;

· Організовують затвердження оцінки ризиків вищим керівництвом організації і розробляють Положення про застосування; розробляють організаційні заходи забезпечення ІБ;

· Розробляють і реалізують технічні проектипо впровадженню технічних підсистем інформаційної безпеки, що підтримують виконання обраних заходів, включаючи поставку обладнання, пуско-налагоджувальні роботи, розробку експлуатаційної документації та навчання користувачів;

· Надають консультації в ході експлуатації побудованої СМІБ;

· Організовують навчання внутрішніх аудиторів та проведення внутрішніх аудитів СМІБ.

Результатом даних робіт є функціонуюча СМІБ. Вигода від реалізації СМІБ в компанії досягаються за рахунок:

· Ефективного управління відповідністю вимогам законодавства і бізнес-вимогам в області ІБ;

· Попередження виникнення інцидентів ІБ і зниження шкоди в разі їх виникнення;

· Підвищення культури ІБ в організації;

· Підвищення зрілості в галузі управління забезпеченням ІБ;

· Оптимізації витрачання коштів на забезпечення ІБ.

ISO / IEC27001-- міжнароднийстандартпоінформаційноїбезпеки

Цей стандарт розроблений спільно Міжнародною Організацією по Стандартизації (ISO) і Міжнародної електротехнічної комісією (IEC). Стандарт містить вимоги в області інформаційної безпеки для створення, розвитку та підтримки СМІБ. ISO 27001 встановлює вимоги до СМІБ для демонстрації здатності організації захищати свої інформаційні ресурси. У міжнародному стандарті використовується поняття «захисту інформації» і трактується як забезпечення конфіденційності, цілісності та доступності інформації. Основою стандарту є система управління ризиками, пов'язаними з інформацією. Цей стандарт також можна використовувати для оцінки відповідності зацікавленими внутрішніми та зовнішніми сторонами.

Для створення, впровадження, експлуатації, постійного контролю, аналізу, підтримки в робочому стані і поліпшення системи управління у сфері захисту інформації (СМЗІ) стандарт приймає процесний підхід. Він полягає в застосуванні системи процесів в рамках організації разом з ідентифікацією і взаємодією цих процесів, а також їх управлінням.

Міжнародний стандарт приймає модель «Plan-Do-Check-Act» (PDCA), який ще називають циклом Шухарта-Демінга. Цей цикл застосовується для структуризації всіх процесів СМЗІ. На рисунку 2 показано, як СМЗІ бере в якості вхідних даних вимоги захисту інформації та очікування зацікавлених сторін і за допомогою необхідних дій і процесів видає результати по захисту інформації, які задовольняють цим вимогам і очікуванням.

Планування - це фаза створення СМЗІ, створення переліку активів, оцінки ризиків та вибору заходів.

Малюнок 2. Модель PDCA, застосована до процесів СМЗІ

Здійснення - це етап реалізації і впровадження відповідних заходів.

Перевірка - фаза оцінки ефективності та продуктивності СМІБ. Зазвичай виконується внутрішніми аудиторами.

Дія - виконання превентивних і коригуючих дій.

ВВисновки

ISO 27001 описує загальну модель впровадження та функціонування СМІБ, а також дій з моніторингу та поліпшення СМІБ. ISO має намір гармонізувати різні стандарти по системам менеджменту, такі як ISO / IEC 9001: 2000, який присвячений менеджменту якості, і ISO / IEC 14001: 2004, призначений для систем екологічного менеджменту. Мета ISO полягає в тому, щоб забезпечити узгодженість і інтеграцію СМІБ з іншими системами менеджменту в компанії. Подібність стандартів дозволяє використовувати схожий інструментарій та функціонал для впровадження, управління, перегляду, перевірки і сертифікації. Мається на увазі, що якщо компанія впровадила інші стандарти менеджменту, вона може використовувати єдину систему аудиту та управління, яка може бути застосована до менеджменту якості, екологічного менеджменту, менеджменту безпеки і т.д. Впровадивши СМІБ, вище керівництво отримує кошти моніторингу та управління безпекою, що знижує залишкові бізнес-ризики. Після впровадження СМІБ, компанія може офіційно забезпечувати безпеку інформації і продовжувати виконувати вимоги клієнтів, законодавства, регуляторів і акціонерів.

Варто зазначити, що в законодавстві РФ існує документ ДСТУ ISO / IEC 27001-2006, який представляє собою перекладену версію міжнародного стандарту ISO27001.

Зписоклітератури

1.Корнеев І.Р., Бєляєв А.В. Інформаційна безпека підприємства. - СПб .: БХВ-Петербург, 2003. - 752 с .: іл.

2.Международний стандартISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (дата звернення: 23.05.12)

3.Національний стандарт Російської ФедераціїДСТУ ISO / IEC 27003 - "Інформаційні технології. Методи забезпечення безпеки. Керівництво по впровадженню Системи Менеджменту Інформаційної Безпеки" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14. pdf) (дата звернення: 23.05.12)

4.Скіба В.Ю., Курбатов В.А. Керівництво по захисту від внутрішніх загроз інформаційної безпеки. СПб .: Пітер, 2008. - 320 с .: іл.

5.Статья вільної енциклопедії »Вікіпедія», «Система менеджменту

інформаційної безпеки »(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (дата звернення: 23.05.12)

6.Sigurjon Thor Arnasonі Keith D. Willett "How to Achieve 27001 Certification" ( «Какподготовітьсяксертіфікацііпостандарту ISO 27001»)

Розміщено на Allbest.ru

подібні документи

Загрози інформаційної безпеки на підприємстві. Виявлення недоліків в системі захисту інформації. Цілі і завдання формування системи інформаційної безпеки. Пропоновані заходи щодо поліпшення системи інформаційної безпеки організації.

курсова робота, доданий 03.02.2011


Аналіз системи інформаційної безпеки на підприємстві. Служба з питань захисту інформації. Загрози інформаційної безпеки, характерні для підприємства. Методи і засоби захисту інформації. Модель інформаційної системи з позиції безпеки.

курсова робота, доданий 03.02.2011


Основні етапи створення системи менеджменту на підприємстві харчової промисловості. HACCP як основа будь-якої системи менеджменту безпеки харчового продукту. Система менеджменту безпеки харчових продуктів. Небезпечні фактори та запобіжні дії.

реферат, доданий 14.10.2014


Сучасні системи менеджменту і їх інтегрування. Інтегровані системи менеджменту якості. Характеристика ВАТ "275 АРЗ" і його системи менеджменту. Розробка системи управління охороною праці. Методи оцінки інтегрованої системи безпеки.

дипломна робота, доданий 31.07.2011


Впровадження системи менеджменту якості. Сертифікація систем менеджменту якості (ISO 9000), екологічного менеджменту (ISO 14 000), системи управління охороною праці і технікою безпеки організацій (OHSAS 18 001: 2007) на прикладі ВАТ "Лента".

реферат, доданий 06.10.2008


Розробка стандарту організації інтегрованої системи менеджменту, що встановлює єдиний порядок здійснення процесу управління документацією. Етапи створення системи менеджменту якості ВАТ "ЗСМК". Розміщення електронних версійдокументів.

дипломна робота, доданий 01.06.2014


Ієрархічна схема співробітників. Засоби інформаційного захисту. Питання про стан безпеки. Схема інформаційних потоків підприємства. Способи контролю за цілісністю інформаційної системи. Моделювання управління доступом до службової інформації.

курсова робота, доданий 30.12.2011


Поняття системи управлінської інформації та її місце в загальній системіменеджменту. Види інформаційних систем і їх зміст. Поняття менеджменту як інформаційної системи. Функції системи управління фінансами. Системи здійснення угод і операцій.

реферат, доданий 06.01.2015


Поняття в галузі охорони здоров'я та безпеки праці. міжнародні стандарти ISO про системах менеджменту якості, системах екологічного менеджменту, системах менеджменту професійної безпеки та здоров'я. Адаптація стандарту OHSAS 18001-2007.

курсова робота, доданий 21.12.2014


характеристика інформаційного менеджменту; суб'єктів інформаційно-правових відносин; правового режиму отримання, передачі, зберігання і використання інформації. Особливості та юридичні аспекти інформаційного обміну та інформаційної безпеки.