Система менеджменту інформаційної безпеки. Законодавча база російської федерації. Управління ризиками, пов'язаними з інформацією

В світі інформаційних технологійпріоритетним стає питання забезпечення цілісності, надійності і конфіденційності інформації. Тому визнання необхідності наявності в організації системи менеджменту інформаційної безпеки(СМІБ) є стратегічним рішенням.

Був розроблений для створення, впровадження, підтримки функціонування і безперервного поліпшення СМІБ на предпріятіі.Также завдяки застосуванню даного Стандарту зовнішнім партнерам стає очевидною здатність організації відповідати власним вимогам по інформаційної безпеки. У цій статті піде мова про основні вимоги Стандарту і обговорення його структури.

(ADV31)

Основні завдання Стандарту ISO 27001

Перш, ніж переходити до опису структури Стандарту, обговоримо його основні завдання і розглянемо історію появи Стандарту в Росії.

Завдання Стандарту:

• встановлення єдиних вимогдля всіх організацій до створення, впровадження та поліпшення СМІБ;
• забезпечення взаємодії вищого керівництва і співробітників;
• збереження конфіденційності, цілісності та доступності інформації.

При цьому вимоги, встановлені Стандартом, є загальними і призначені для застосування будь-якими організаціями, незалежно від їх типу, розміру або характеру.

Історія Стандарту:

• У 1995 р Британський інститут стандартів (BSI) прийняв Кодекс управління інформаційною безпекою в якості національного стандарту Великобританії і зареєстрував його під номером BS 7799 - Part 1.
• У 1998 р BSI публікує стандарт BS7799-2, що складається з двох частин, одна з яких включила в себе звід практичних правил, а інша - вимоги до систем менеджменту інформаційної безпеки.
• В процесі таких переглядів перша частина була опублікована як BS 7799: 1999, Частина 1. У 1999 році ця версія стандарту була передана в Міжнародну Організацію по Сертифікації.
• Цей документ був затверджений в 2000 р в якості міжнародного стандарту ISO / IEC 17799: 2000 (BS 7799-1: 2000). останньою версієюданого стандарту, прийнятої в 2005 році, є ISO / IEC 17799: 2005.
• У вересні 2002 року в силу вступила друга частина стандарту BS 7799 «Технічна специфікація системи управління інформаційною безпекою». Друга частина BS 7799 переглядалася у 2002 році, а в кінці 2005 р була прийнята ISO в якості міжнародного стандарту ISO / IEC 27001: 2005 «Інформаційні технології - Методи забезпечення безпеки - Системи управління інформаційною безпекою - Вимоги».
• У 2005 р стандарт ISO / IEC 17799 був включений в лінійку стандартів 27-ої серії і отримав новий номер- ISO / IEC 27002: 2005.
• 25 вересня 2013 року було опубліковано оновлений стандарт ISO / IEC 27001 до: 2013 «Системи Менеджменту Інформаційної Безпеки. Вимоги ». В даний час сертифікація організацій проводиться за цією версією Стандарту.

структура Стандарту

Одним з переваг даного Стандарту є схожість його структури з ISO 9001, так каксодержіт ідентичні заголовки підрозділів, ідентичний текст, загальні терміни і основні визначення. Ця обставина дозволяє заощадити час і гроші, так як частина документації вже була розроблена при сертифікації по ISO 9001.

Якщо говорити про структуру Стандарту, то є перелік вимог до СМІБ, обов'язкових для сертифікації і складається з наступних розділів:

Вимоги «Додатки А» є обов'язковими для виконання, але стандарт дозволяє виключити напрямки, які неможливо застосувати на підприємстві.

При впровадженні Стандарту на підприємстві для проходження подальшої сертифікації варто пам'ятати, що не допускається винятків вимог, встановлених в розділах 4 - 10. Про ці розділах і піде мова далі.

Почнемо з розділу 4 - Контекст організації

контекст організації

В цьому розділі Стандарт вимагає від організації визначити зовнішні та внутрішні проблеми, які значимі з точки зору її цілей, і які впливають на здатність її СМІБ досягати очікуваних результатів. При цьому слід враховувати законодавчі та нормативні вимоги та договірні зобов'язання щодо інформаційної безпеки. Також організація повинна визначити і документально зафіксувати кордони і застосовність СМІБ, щоб встановити її область дії.

лідерство

Найвище керівництво повинне демонструвати лідерство і зобов'язання щодо системи менеджменту інформаційної безпеки за допомогою, наприклад, гарантії того, що інформаційна політика безпеки і цілі в сфері інформаційної безпеки встановлені і узгоджуються зі стратегією організації. Також вище керівництво повинно гарантувати забезпечення всіма необхідними ресурсами для СМІБ. Іншими словами, для працівників має бути очевидним залученість керівництва в питання інформаційної безпеки.

Повинна бути документально зафіксована і доведена до відома працівників політика в області інформаційної безпеки. Цей документ нагадує політику в області якості ISO 9001. Він також повинен відповідати призначенню організації і включати цілі в області інформаційної безпеки. Добре, якщо це будуть реальні цілі, на кшталт збереження конфіденційності і цілісності інформації.

Також від керівництва очікується розподіл функцій і обов'язків, пов'язаних з інформаційною безпекою серед працівників.

планування

У цьому розділі ми підходимо до першого етапу управлінського принципу PDCA (Plan - Do - Check - Act) - плануй, виконуй, перевіряй, дій.

Плануючи систему менеджменту інформаційної безпеки, організація должнапрінять до уваги проблеми, згадані в розділі 4, а також визначити ризики і потенційні можливості, які необхідно прийняти до уваги, щоб гарантувати, що СМІБ може досягати очікуваних результатів, запобігти небажаним ефектам і досягати безперервного вдосконалення.

При плануванні, яким чином досягти своїх цілей в області інформаційної безпеки, організація повинна визначити:

• що буде зроблено;
• які ресурси будуть потрібні;
• хто буде відповідальним;
• коли цілі будуть досягнуті;
• як результати будуть оцінюватися.

Крім того, організація повинна зберігати дані по цілям в області інформаційної безпеки як документовану інформацію.

забезпечення

Організація повинна визначити та забезпечити ресурси, необхідні для розробки, впровадження, підтримки функціонування і безперервного поліпшення СМІБ, це включає в себе як персонал, так і документацію. Відносно персоналу від організації очікується підбір кваліфікованих і компетентних працівників у галузі інформаційної безпеки. Кваліфікація працівників повинна підтверджуватися посвідченнями, дипломами тощо Можливе залучення за контрактом сторонніх фахівців, або навчання своїх працівників. Що стосується документації, вона повинна включати:

• документовану інформацію, необхідну Стандартом;
• документовану інформацію, визнану організацією необхідної для забезпечення результативності системи менеджменту інформаційної безпеки.

Документованої інформацією, необхідної СМІБ і Стандартом, необхідно управляти, щоб гарантувати, що вона:

• доступна і придатна для застосування там, де і коли вона необхідна, і
• належним чином захищена (наприклад, від втрати конфіденційності, неправильного використання або втрати цілісності).

функціонування

В даному розділі йдеться про другий етап управлінського принципу PDCA - необхідність організації управляти процессамідля забезпечення відповідності вимогам, і виконувати дії, визначені в розділі Планування. Також йдеться про те, що організація повинна виконувати оцінку ризиків інформаційної безпеки через заплановані інтервали часу або коли запропоновані або відбулися істотні зміни. Організація повинна зберігати результати оцінки ризиків інформаційної безпеки як документовану інформацію.

Оцінка результатів діяльності

Третій етап - перевірка. Організація повинна оцінювати функціонування і результативність СМІБ. Наприклад, в ній повинен проводитися внутрішній аудит, щоб отримувати інформацію про те,

1. чи відповідає система управління інформаційною безпекою
   • власним вимогам організації до її системі менеджменту інформаційної безпеки;
   • вимогам Стандарту;
2. що система менеджменту інформаційної безпеки результативно впроваджена і функціонує.

Зрозуміло, що обсяг і терміни проведення аудитів повинні плануватися заздалегідь. Всі результати необхідно документувати і зберігати.

поліпшення

Суть цього розділу в тому, щоб визначити порядок дій при виявленні невідповідності. Організації необхідно виправляти невідповідність, наслідки та провести аналіз ситуації, щоб в майбутньому подібне не відбувалося. Всі невідповідності і коригувальні дії повинні документуватися.

На цьому закінчуються основні розділи Стандарту. У Додатку А наведено більш конкретні вимоги, яким повинна відповідати організація. Наприклад, в плані контролю доступу, користування мобільних пристроїві носіїв інформації.

Вигоди від впровадження і сертифікації ISO 27001

• підвищення статусу організації і відповідно довіри партнерів;
• підвищення стабільності функціонування організації;
• повишеніеуровня захисту від загроз інформаційної безпеки;
• обеспеченіенеобходімого рівня конфіденційності інформації зацікавлених сторін;
• розширення можливостей участі організації у великих контрактах.

Економічними перевагами є:

• незалежне підтвердження сертифікаційним органом наявності в організації високого рівня інформаційної безпеки, контрольованого компетентним персоналом;
• доказ дотримання чинних законів і нормативних актів (виконання системи обов'язкових вимог);
• демонстрація певного високого уровнясістем менеджменту для забезпечення належного рівня обслуговування клієнтів і партнерів організації;
• демонстрація проведення регулярних аудитів систем менеджменту, оцінки результативності та постійних поліпшень.

сертифікація

Організація може бути сертифікована акредитованими агентствами відповідно до цього стандарту. Процес сертифікації складається з трьох етапів:

• 1-ий етап вивчення аудитором ключових документів СМІБ на відповідність вимогам Стандарта- може виконуватися як на території організації, так і шляхом передачі цих документів зовнішньому аудитору;
• 2-ий етап детальний аудит, включаючи тестування впроваджених заходів, і оцінка їх ефективності. Включає повне вивчення документів, які вимагає стандарт;
• 3-ий етап - виконання інспекційного аудиту для підтвердження, що сертифікована організація відповідає заявленим вимогам. Виконується на періодичній основі.

підсумок

Як можна побачити, застосування даного стандарту на підприємстві дозволити якісно підвищити рівень інформаційної безпеки, що в умовах сучасних реалій дорогого коштує. Вимог Стандарт містить чимало, але найголовніша вимога - робити те, що написано! Без реального застосування вимог стандарту він перетворюється в порожній набір папірців.

ДСТУ ISO / IEC 27001-2006 «Інформаційна технологія. Методи і засоби забезпечення безпеки. Системи менеджменту інформаційної безпеки. вимоги »

Розробники стандарту відзначають, що він був підготовлений в якості моделі для розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та поліпшення системи менеджменту інформаційної безпеки (СМІБ). СМІБ (англ. - information security management system; ISMS) визначається як частина загальної системи менеджменту, заснована на використанні методів оцінки бізнес-ризиків для розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та поліпшення інформаційної безпеки. Система менеджменту включає в себе організаційну структуру, Політики, діяльність з планування, розподіл відповідальності, практичну діяльність, процедури, процеси і ресурси.

Стандарт передбачає використання процесного підходу для розробки, впровадження, забезпечення функціонування, моніторингу, аналізу, підтримки та поліпшення СМІБ організації. Він заснований на моделі «Планування (Plan) - Здійснення (Do) - Перевірка (Check) - Дія (Act)» (PDCA), яка може бути застосована при структуруванні всіх процесів СМІБ. На рис. 4.4 показано, як СМІБ, використовуючи в якості вхідних даних вимоги ІБ і очікувані результати зацікавлених сторін, за допомогою необхідних дій і процесів видає вихідні дані за результатами забезпечення інформаційної безпеки, які відповідають цим вимогам і очікуваних результатів.

Мал. 4.4.

На етапі «Розробка системи менеджменту інформаційної безпеки»організація повинна здійснити наступне:

• - визначити область і межі дії СМІБ;
• - визначити політику СМІБ на основі характеристик бізнесу, організації, її розміщення, активів і технологій;
• - визначити підхід до оцінки ризику в організації;
• - ідентифікувати ризики;
• - проаналізувати і оцінити ризики;
• - визначити і оцінити різні варіанти обробки ризиків;
• - вибрати цілі і заходи управління для обробки ризиків;
• - отримати твердження керівництвом передбачуваних залишкових ризиків;
• - отримати дозвіл керівництва на впровадження та експлуатацію СМІБ;
• - підготувати Положення про застосування.

етап « Впровадження та функціонування системи менеджменту інформаційної безпеки »передбачає, що організація повинна:

• - розробити план обробки ризиків, що визначає відповідні дії керівництва, ресурси, обов'язки і пріоритети щодо менеджменту ризиків ІБ;
• - реалізувати план обробки ризиків для досягнення намічених цілей управління, що включає в себе питання фінансування, а також розподіл функцій і обов'язків;
• - впровадити обрані заходи управління;
• - визначити спосіб вимірювання результативності обраних заходів управління;
• - реалізувати програми з навчання та підвищення кваліфікації співробітників;
• - керувати роботою СМІБ;
• - управляти ресурсами СМІБ;
• - впровадити процедури та інші заходи управління, що забезпечують швидке виявлення подій ІБ і реагування на інциденти, пов'язані з ІБ.

Третій етап « Проведення моніторингу та аналізу системи менеджменту інформаційної безпеки »вимагає:

• - виконувати процедури моніторингу та аналізу;
• - проводити регулярний аналіз результативності СМІБ;
• - вимірювати результативність заходів управління для перевірки відповідності вимогам ІБ;
• - переглядати оцінки ризиків через встановлені періоди часу, аналізувати залишкові ризики і встановлені прийнятні рівні ризиків, враховуючи зміни;
• - проводити внутрішні аудити СМІБ через встановлені періоди часу;
• - регулярно проводити керівництвом організації аналіз СМІБ з метою підтвердження адекватності сс функціонування і визначення напрямків вдосконалення;
• - оновлювати плани ІБ з урахуванням результатів аналізу і моніторингу;
• - реєструвати дії і події, здатні вплинути па результативність або функціонування СМІБ.

І нарешті, етап «Підтримка та поліпшення системи менеджменту інформаційної безпеки»передбачає, що організація повинна регулярно проводити такі заходи:

• - виявляти можливості поліпшення СМІБ;
• - вживати необхідних коригувальні та запобіжні дії, використовувати на практиці досвід щодо забезпечення ІБ, отриманий як у власній організації, так і в інших організаціях;
• - передавати детальну інформацію про дії щодо поліпшення СМІБ всім зацікавленим сторонам, при цьому ступінь її деталізації повинна відповідати обставинам і, при необхідності, погоджувати подальші дії;
• - забезпечувати впровадження поліпшень СМІБ для досягнення запланованих цілей.

Далі в стандарті наводяться вимоги до документації, яка повинна включати положення політики СМІБ і опис області функціонування, опис методики і звіт про оцінку ризиків, план обробки ризиків, документування пов'язаних процедур. Також повинен бути визначений процес управління документами СМІБ, що включає актуалізацію, використання, зберігання та знищення.

Для надання доказів відповідності вимогам та результативності СМІБ необхідно вести і підтримувати в робочому стані облікові записи та записи про виконання процесів. Як приклади називаються журнали реєстрації відвідувачів, звіти про результати аудиту і т. Рр

Стандарт визначає, що керівництво організації відповідально за забезпечення і управління ресурсами, необхідними для створення СМІБ, а також організацію підготовки персоналу.

Як вже раніше зазначалося, організація повинна відповідно до затвердженого графіка проводити внутрішні аудити СМІБ, що дозволяють оцінити її функціональність і відповідність стандарту. А керівництво повинно проводити аналіз системи менеджменту інформаційної безпеки.

Також повинні проводитися роботи по поліпшенню системи менеджменту інформаційної безпеки: підвищення її результативності та рівня відповідності поточного стану системи і висунутим до неї вимогам.

Вступ

Швидко розвивається, так само як і гігант свого сегмента, зацікавлене в отриманні прибутку і огорожі себе від впливу зловмисників. Якщо раніше основною небезпекою були крадіжки матеріальних цінностей, то на сьогоднішній день основна роль розкрадань відбувається відносно цінної інформації. Переклад значної частини інформації в електронну форму, використання локальних і глобальних мереж створюють якісно нові загрози конфіденційної інформації.

Особливо гостро відчувають витік інформації банки, управлінські організації, страхові підприємства. Захист інформації на підприємстві - це комплекс заходів, що забезпечує безпеку даних клієнтів і співробітників, важливих електронних документіві різного роду інформації, таємниць. Кожне підприємство оснащено комп'ютерною технікою та доступом до всесвітньої павутини Інтернет. Зловмисники вміло підключаються практично до кожної складової цієї системи і за допомогою численного арсеналу (віруси, шкідливі програми, підбір паролів і інше) крадуть цінну інформацію. Система інформаційної безпеки повинна впроваджуватися в кожну організацію. Керівникам необхідно зібрати, проаналізувати та класифікувати всі види інформації, яка потребує захисту, і використовувати належну систему забезпечення безпеки. Але цього буде мало, тому що, крім техніки, існує людський фактор, який також успішно може зливати інформацію конкурентам. Важливо правильно організувати захист свого підприємства на всіх рівнях. Для цих цілей використовується система менеджменту інформаційної безпеки, за допомогою якої керівник налагодить безперервний процес моніторингу бізнесу і забезпечить високий рівень безпеки своїх даних.

1. Актуальність теми

Для кожного сучасного підприємства, Компанії або організації однієї з найголовніших завдань є саме забезпечення інформаційної безпеки. Коли підприємство стабільно захищає свою інформаційну систему, воно створює надійну і безпечну середу для своєї діяльності. Пошкодження, витік, відсутність і крадіжка інформації - це завжди збитки для кожної компанії. Тому створення системи менеджменту інформаційної безпеки на підприємствах є актуальним питанням сучасності.

2. Цілі і завдання дослідження

Проаналізувати шляхи створення системи менеджменту інформаційної безпеки на підприємстві, враховуючи особливості Донецького регіону.

• провести аналіз сучасного станусистем менеджменту інформаційної безпеки на підприємствах;
• виявити причини створення і впровадження системи менеджменту інформаційної безпеки на підприємствах;
• розробити та впровадити систему менеджменту інформаційної безпеки на прикладі підприємства ПАТ Донецький завод гірничорятувальної апаратури;
• оцінити результативність, ефективність і економічну доцільність впровадження системи менеджменту інформаційної безпеки на підприємстві.

3. Система менеджменту інформаційної безпеки

Під інформаційною безпекою розуміють стан захищеності інформації та підтримує інфраструктури від випадкових або навмисних впливів природного або штучного характеру (інформаційних загроз, загроз інформаційній безпеці), які можуть завдати неприйнятного збитку суб'єктам інформаційних відносин.

Доступність інформації - властивість системи забезпечувати своєчасний безперешкодний доступ правомочних (авторизованих) суб'єктів до цікавить їх або здійснювати своєчасний інформаційний обмін між ними.

Цілісність інформації - властивість інформації, що характеризує її стійкість до випадкового або навмисного руйнування чи несанкціонованого зміни. Цілісність можна поділити на статичну (що розуміється як незмінність інформаційних об'єктів) і динамічну (що відноситься до коректного виконання складних дій (транзакцій)).

Конфіденційність інформації - властивість інформації бути відомою і доступною, тільки правомочним суб'єктам системи (користувачам, програмам, процесам). Конфіденційність - самий пророблений у нас в країні аспект інформаційної безпеки.

Система менеджменту інформаційної безпеки (далі СМІБ) - частина загальної системи менеджменту, заснованої на підходах до ділового ризику, призначена для установи, впровадження, управління, моніторингу, підтримки і поліпшення інформаційної безпеки.

Основними чинниками, що впливають на захист інформації та даних на підприємстві, є:

• Примноження співпраці компанії з партнерами;
• Автоматизація бізнес-процесів;
• Тенденція до зростання обсягів інформації підприємства, яка передається за доступними каналами зв'язку;
• Тенденція до зростання комп'ютерних злочинів.

Завдання систем інформаційної безпеки компанії багатогранні. Наприклад, це забезпечення надійного зберігання даних на різних носіях; захист інформації, що передається по каналах зв'язку; обмеження доступу до деяких даних; створення резервних копій і інше.

Повноцінне забезпечення інформаційної безпеки компанії реально тільки при правильному підході до захисту даних. В системі інформаційної безпеки потрібно враховувати всі актуальні на сьогоднішній день загрози і вразливості.

Одним з найбільш ефективних інструментів управління та захисту інформації є система менеджменту інформаційної безпеки, побудована на базі моделі МС ISO / IEC 27001: 2005. В основі стандарту лежить процесний підхіддо розробки, реалізації, експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ компанії. Він полягає в створенні і застосуванні системи процесів управління, які взаємопов'язані в безперервний цикл планування, впровадження, перевірки та поліпшення СУІБ.

Цей державний стандарт був підготовлений з метою створення моделі для впровадження, реалізації, експлуатації, моніторингу, аналізу, підтримки та вдосконалення СМІБ.

Основні чинники реалізації СМІБ:

• законодавчі - вимоги чинного національного законодавства в частині ІБ, міжнародні вимоги;
• конкурентні - відповідність рівню, елітарність, захист своїх НМА, перевага;
• антикримінальні - захист від рейдерів (білих комірців), попередження несанкціонованого доступу і прихованого спостереження, збір доказів для розглядів.

Структура документації в області інформаційної безпеки зображена на малюнку 1.

Малюнок 1 - Структура документації в області ІБ

4. Побудова СМІБ

Прихильники підходів ISO використовують для створення СМІБ модель PDCA. ISO застосовує цю модель у багатьох своїх стандартах по менеджменту та ISO 27001 не є винятком. Крім того, дотримання моделі PDCA при організації процесу менеджменту дозволяє використовувати ті ж прийоми і надалі - для менеджменту якості, екологічного менеджменту, менеджменту безпеки, а також в інших областях менеджменту, що знижує витрати. Тому PDCA є відмінним вибором, повністю відповідає завданням щодо створення і підтримки СМІБ. Іншими словами, етапи PDCA визначають, як встановити політику, цілі, процеси і процедури, відповідні оброблюваних ризиків (етап планування - Plan), впровадити і використовувати (етап виконання - Do), оцінювати і, там де це можливо, вимірювати результати процесу з точки зору політики (етап перевірки - Check), виконувати коригувальні та запобіжні дії (етап поліпшення - Act). Додатковими концепціями, що не входять до складу стандартів ISO, які можуть бути корисні при створенні СМІБ, є: стан як повинно бути (to-be); стан як є (as-is); план переходу (transition plan).

Основа стандарту ІСО 27001 - система управління ризиками, пов'язаними з інформацією.

Етапи створення СУІБ

В рамках робіт зі створення СУІБ можна виділити наступні основні етапи:

Малюнок 2 - Модель PDCA для управління ІБ (анімація: 6 кадрів, 6 повторень, 246 кілобайт)

5. Управління ризиками, пов'язаними з інформацією

Управління ризиками розглядається на адміністративному рівні ІБ, оскільки тільки керівництво організації здатне виділити необхідні ресурси, ініціювати і контролювати виконання відповідних програм.

Використання інформаційних систем пов'язане з певною сукупністю ризиків. Коли можливий збиток неприйнятно великий, необхідно вжити економічно виправдані заходи захисту. Періодична (пере) оцінка ризиків необхідна для контролю ефективності діяльності в області безпеки і для врахування змін обстановки.

Суть заходів з управління ризиками полягає в тому, щоб оцінити їх розмір, виробити ефективні і економічні заходи зниження ризиків, а потім переконатися, що ризики укладені в прийнятні рамки (і залишаються такими).

Процес управління ризиками можна розділити на наступні етапи:

1. Вибір аналізованих об'єктів і рівня деталізації їх розгляду.
2. Вибір методології оцінки ризиків.
3. Ідентифікація активів.
4. Аналіз загроз і їх наслідків, виявлення вразливих місць в захисті.
5. Оцінка ризиків.
6. Вибір захисних заходів.
7. Реалізація та перевірка вибраних заходів.
8. Оцінка залишкового ризику.

Управління ризиками, як і будь-яку іншу діяльність в області інформаційної безпеки, необхідно інтегрувати в життєвий циклІС. Тоді ефект виявляється найбільшим, а витрати - мінімальними.

Дуже важливо вибрати розумну методологію оцінки ризиків. Метою оцінки є одержання відповіді на два питання: прийнятні існуючі ризики, і якщо ні, то які захисні засоби варто використовувати. Значить, оцінка повинна бути кількісною, допускає зіставлення із заздалегідь вибраними межами допустимості і витратами на реалізацію нових регуляторів безпеки. Управління ризиками - типова оптимізаційна задача, і існує досить багато програмних продуктів, здатних допомогти в її вирішенні (іноді подібні продукти просто додаються до книг з інформаційної безпеки). Принципові труднощі, проте, полягає в неточності початкових даних. Можна, звичайно, спробувати отримати для всіх аналізованих величин грошовий вираз, вирахувати всі з точністю до копійки, але великого сенсу в цьому немає. Практичний користуватися умовними одиницями. У найпростішому і цілком допустимому випадку можна користуватися трибальною шкалою.

Основні етапи управління ризиками.

Перший крок в аналізі загроз - їх ідентифікація. Розглянуті види загроз слід вибирати виходячи з міркувань здорового глузду (виключивши, наприклад, землетрусу, проте не забуваючи про можливість захоплення організації терористами), але в межах обраних видів провести максимально детальний аналіз.

Доцільно виявляти не тільки самі загрози, але і джерела їх виникнення - це допоможе у виборі додаткових засобів захисту.

Після ідентифікації загрози необхідно оцінити ймовірність її здійснення. Допустимо використовувати при цьому трибальну шкалу (низька (1), середня (2) і висока (3) ймовірність).

Якщо будь-які ризики виявилися неприпустимо високими, необхідно їх нейтралізувати, реалізувавши додаткові заходи захисту. Як правило, для ліквідації або нейтралізації вразливого місця, зробив загрозу реальної, існує кілька механізмів безпеки, різних по ефективності і вартості.

Як і будь-яку іншу діяльність, реалізацію і перевірку нових регуляторів безпеки слід попередньо планувати. У плані необхідно врахувати наявність фінансових коштіві терміни навчання персоналу. Якщо мова йде про програмно-технічному механізмі захисту, потрібно скласти план тестування (автономного і комплексного).

Коли намічені заходи прийняті, необхідно перевірити їх дієвість, тобто переконатися, що залишкові ризики стали прийнятними. Якщо це насправді так, значить, можна спокійно намічати дату найближчої переоцінки. В іншому випадку доведеться проаналізувати допущені помилки і провести повторний сеанс управління ризиками негайно.

висновки

Кожен керівник підприємства дбає про свій бізнес і тому повинен розуміти, що рішення про впровадження системи менеджменту інформаційної безпеки (СМІБ) - важливий крок, який дозволить мінімізувати ризики втрат активів підприємства / організації і скоротити фінансові втрати, а в деяких випадках уникнути банкрутства.

Інформаційна безпека важлива для підприємств, як приватного, так і державного секторів. Її слід розглядати як інструмент реалізації оцінки, аналізу та мінімізації відповідних ризиків.

Безпека, яка може бути досягнута технічними засобами, має свою обмеженість і її слід підтримувати відповідними методами управління і процедурами.

Визначення засобів управління вимагає ретельного планування і уваги.

Для ефективного захисту інформації, повинні бути розроблені найбільш підходящі заходи безпеки, які можуть бути досягнуті шляхом визначення основних ризиків інформації в системі і впровадженням відповідних заходів.

Біячуев Т.А. Безпека корпоративних мереж/ Під ред. Л.Г. Осовецкого. - СПб.: Изд-во СПб ГУ ІТМО, 2006. - 161 с.

Шахалов Ігор Юрійович

До питання про інтегрування систем менеджменту якості та інформаційної безпеки

Анотація: розглянуті міжнародні стандарти ISO 27001 та ISO 9001. Проведено аналіз подібностей та відмінностей системи менеджменту якості і системи менеджменту інформаційної безпеки. Показана можливість інтегрування системи менеджменту якості і системи менеджменту інформаційної безпеки. Наведено основні етапи побудови та впровадження інтегрованої системи менеджменту інформаційної безпеки. Показано переваги інтегрованого підходу.

Ключові слова: системи менеджменту інформаційна безпека, інтегровані системи менеджменту, СМІБ, СМК, ІСО 27001.

Наталія Олегівна

Вступ

В сучасному світіз появою поширених та зручних технічних пристроївпозначилася досить гостро проблема захисту інформації. Поряд з випуском якісної продукції або наданням послуг підприємствам та організаціям важливо зберігати потрібну інформацію в таємниці від конкурентів, щоб залишатися на вигідних позиціях на ринку. У конкурентній боротьбі широко поширені різноманітні дії, спрямовані на отримання (добування, придбання) конфіденційної інформації самими різними способами, Аж до прямого промислового шпигунства з використанням сучасних технічних засобів розвідки.

Таким чином, лідерами на ринку стають організації, які дотримуються кращих світових практик, що містять вимоги, керівництва по впровадженню систем управління бізнес-процесами організації. Кращими стандартами по розробці, впровадженню, моніторингу та поліпшення таких систем є документи Міжнародної Організації по стандартизації (ISO). Особливу увагу необхідно приділити стандартам серій ISO 900x і ISO 2700x, в яких зібрані кращі практики щодо впровадження системи управління якістю (СУЯ) і системи менеджменту інформаційної безпеки (СМІБ).

Система менеджменту якості, впроваджена відповідно до вимог стандарту ISO 9001, давно визнана невід'ємним атрибутом успішної компанії, що виробляє високоякісну продукцію або надає послуги високого класу. Сьогодні наявність сертифіката відповідності є одночасно ефективним маркетинговим рішенням і механізмом контролю процесів виробництва. Аудит СМК є розвиненим напрямом бізнесу.

Щодня посилюється залежність успішної діяльності компанії від корпоративної системизахисту інформації. Це пояснюється збільшенням обсягу життєво важливих даних, які обробляються в корпоративній інформаційній системі. Інформаційні системи ускладнюються, зростає і число вразливостей, які виявляються в них. Аудит СМІБ дозволяє оцінити поточний стан безпеки функціонування корпоративної інформаційної системи,

оцінити і прогнозувати ризики, управляти їх впливом на бізнес-процеси компанії.

Так як стандарт ISO 9001 давно зайняв лідируюче положення за кількістю сертифікатів в світі, а стандарт ISO 27001 показує тенденцію до зростання сертифікації системи менеджменту інформаційної безпеки, доцільно розглянути можливу взаємодію та інтеграцію СМК і СМІБ.

Інтегрірованіестандартов

На перший погляд, менеджмент якості та інформаційна безпека - абсолютно різні області. Однак на практиці вони тісно пов'язані і утворюють одне ціле (Малюнок 1). Задоволення потреб клієнтів, що становить об'єктивну мету якості, з кожним роком все більше залежить від доступності інформаційних технологій і від безпеки даних, для підтримки яких і використовується стандарт ISO 27001. З іншого боку, стандарт ISO 9001 точно відповідає корпоративним цілям організації, допомагаючи забезпечувати менеджмент інформаційної безпеки. Завдяки комплексному підходу ISO 27001 може бути ефективно інтегрований в існуючі СМК або здійснюватися разом з СМК.

сти (ISO 27001) та управління ІТ-послугами (ISO 20000) мають аналогічну структуру і процесний підхід. Це дає синергію, яка окупається: на практиці інтегрована система менеджменту на поточну експлуатацію економить від 20 до 30 відсотків від загального обсягу видатків на оптимізацію системи, перевірок і ревізій.

Стандарти інформаційної безпеки та управління якістю спрямовані на постійне вдосконалення відповідно до моделі Plan-Do-Check-Act (PDCA, «планування - здійснення - перевірка - дія»), відомої як «цикл Демінга» (див. Рис. 2). Крім того, вони схожі за своєю структурою, як показано в таблиці відповідності в додатку З стандарту ISO 27001. В обох стандартах визначені поняття процесного підходу, області дії, вимоги до системи і документації, а також адміністративна відповідальність. В обох випадках структура закінчується внутрішнім аудитом, аналізом з боку керівництва і поліпшенням системи. В цьому обидві системи взаємодіють. Наприклад, ISO 9001 вимагає управління невідповідною продукцією. Аналогічно, в стандарті ISO 27001 існує вимога щодо управління інцидентами для усунення збоїв.

Мал. 1. Сфери взаємодії і схожості СМК і СМІБ

Мал. 2. Цикл Демінга

Понад 27 200 організацій найрізноманітніших галузей в більш ніж 100 країнах світу сертифіковані на відповідність ISO 9001: 2008 з управління якістю. Залежно від ринку і вимог законодавства, багато організацій все частіше змушені мати справу з ІБ. У зв'язку з цим, інтеграція системи управління пропонує реальні можливості. Комплексний підхідтакож цікавий для компаній, які не використали будь-який процес управління до цих пір. Стандарти ІСО якості (ISO 9001), охорони навколишнього середовища (ISO 14000), інформаційної безопасно-

Відмінності між стандартами корисно доповнюють один одного, що рішуче сприяє підвищенню ділового успіху. Наприклад, ISO 9001 вимагає визначення корпоративних цілей, орієнтованості на клієнта і вимірності, в якій мірі цілі і завдання виконані. Це три питання, які не перебувають в центрі інтересів ISO 27001. У свою чергу, цей стандарт надає першочергового значення управління ризиками для підтримки безперервності бізнесу і пропонує детальну допомогу в реалізації СМІБ. Порівняно

з цим, ISO 9001 є більшою мірою теоретичним стандартом.

ISO 27001 - стандарт не тільки для ІТ

Багато хто вважає, що стандарт ISO 27001 призначений тільки для ІТ-процесів, однак насправді це не так. Основоположним пунктом щодо впровадження СМ І Б стандарту ISO 27001 служить визначення активів.

■ "lilltpHiimiir-J.» IJilllF.lEL ^ OIU.IC.

г т ^ цдкпініж ц нетувк ^ тнслщс tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* КЯДРОМК:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

»D | KtttcCcU H« patitU.

»Jimii 14: ii | vju7JIIIM.

Мал. 3. Види активів

Під активом розуміється все, що представляє для компанії цінність (Малюнок 3). Тобто активом можуть бути: людські ресурси, інфраструктура, інструменти, обладнання, засоби комунікації, служби і будь-які інші активи, включаючи послуги з постачання продукції, що закуповується. Виходячи з процесів, компанія визначає, які у неї є активи і які активи задіяні в критичних процесах, проводить оцінку цінності активів. І вже тільки після цього проводиться оцінка ризиків за всіма цінними активами. Таким чином, СМІБ призначена не тільки для цифрової інформації, яка обробляється в автоматизованої паспортної системи. Наприклад, деякі з найбільш критичних процесів пов'язані

підготовка

планів заході

2 Перевірка H: i відповідність

зі зберіганням друкованих копій інформації, що також враховано в ISO 27001. СМІБ охоплює всі способи, за допомогою яких може зберігатися важлива інформація у вашій компанії: починаючи від того, як ваші електронні листизахищені, закінчуючи тим, де в будівлі зберігаються особисті справи співробітників.

Тому величезна помилка вважати, що раз державний стандарт на побудову системи менеджменту інформаційної безпеки, то це може ставитися тільки до даних, що зберігаються в комп'ютері. Навіть в наш цифровий вік все ще багато інформації відображено на паперових носіях, які теж повинні бути надійно захищені.

ISO 9001 не може задовольняти потреби компанії в ІБ, оскільки він вузько спрямований на якість продукції. Тому дуже важливо впроваджувати в компанії ISO 27001. На перший погляд фахівця може здатися, що обидва стандарти дуже загальні, і не мають конкретики. Однак це не так: в стандарті ISO 27001 описаний практично кожен крок по впровадженню і контролю функціонування СМІБ (Малюнок 4).

Основні етапи побудови системи менеджменту інформаційної безпеки

Основні етапи побудови СМІБ проілюстровані на малюнку 4. Розглянемо їх докладніше.

Етап 1. Підготовка планів заходів. На даному етапі фахівці здійснюють збір організаційно-розпорядчих документів (ОРД) та інших робочих матеріалів,

3 А тип нормальних ii ОРД

4 Аналіз ii оценм ризиків 11Б

впровадження

5 РязраОогхя і<>РаеряОопв комплексних & 00 \ * ieiitii:

радіація п ланів ■ -> норма товнш н -> заході -> CfftpJOTHW *

заходи пн> ПБ ОРД поенпженію

Формування 10 AiUtuin оцінка результатів інОрснЕшС "ММБ

Мал. 4. Етапи побудови СМІБ

що стосуються побудови та функціонування інформаційних систем компанії, що плануються до використання механізмів і засобів забезпечення ІБ. Крім того, складаються, узгоджуються і затверджуються у керівництва компанії плани заходів по етапах робіт.

Етап 2. Перевірка на відповідність ISO / IEC 27001: 2005. Інтерв'ювання та анкетування менеджерів і співробітників підрозділів. Аналіз СМІБ компанії на відповідність вимогам стандарту ISO / IEC 27001: 2005.

Етап 3. Аналіз нормативних і організаційно-розпорядчих документів, що спираються на організаційну структуру компанії. За його результатами визначається захищається область дії (ОД) і розробляється ескіз політики ІБ компанії.

Етап 4. Аналіз і оцінка ризиків ІБ. Розробка методики з управління ризиками компанії і їх аналізу. Аналіз інформаційних ресурсів компанії, в першу чергу ЛВС, з метою виявлення загроз і вразливостей захищаються активів ОД. Інвентаризація активів. Проведення консультацій для спеціалістів компанії і оцінка відповідності фактичного і необхідного рівня безпеки. Розрахунок ризиків, визначення поточного та допустимого рівня ризику для кожного конкретного активу. Ранжування ризиків, вибір комплексів заходів щодо їх зниження і розрахунок теоретичної ефективності впровадження.

Етап 5. Розробка і реалізація планів заходів по ІБ. Розробка положення про можливість застосування контролів відповідно до ISO / IEC 27001: 2005. Розробка плану обліку та усунення ризиків. Підготовка звітів для керівника компанії.

Етап 6. Розробка нормативних і ОРД. Розробка і затвердження остаточної політики І Б та відповідних їй положень (приватних політик). Розробка стандартів, процедур та інструкцій, що забезпечують нормальне функціонування і експлуатацію СМІБ компанії.

Етап 7. Впровадження комплексних заходів щодо зниження ризиків ІБ і оцінка їх ефективності відповідно до затвердженого керівництвом планом обробки і усунення ризиків.

Етап 8. Навчання персоналу. Розробка планів заходів та впровадження програм з навчання та підвищення компетенції співробітників компанії з метою ефективного донесення принципів ІБ до всіх співробітників і

в першу чергу тих, хто працює в структурних підрозділах, Що забезпечують ключові бізнес-процеси.

Етап 9. Формування звітності. Систематизація результатів обстеження і підготовка звітності. Представлення результатів робіт для керівників компанії. Підготовка документів до ліцензування на відповідність ISO / IEC 27001: 2005 та передача їх в сертифікує організації.

Етап 10. Аналіз та оцінка результатів впровадження СМІБ на підставі методики, яка оцінює надійність функціонування СМІБ компанії. Розробка рекомендацій щодо вдосконалення системи управління ІБ компанії.

Аналізуючи кожен етап впровадження СМІБ, можна сказати, що ISO 27001 має чітку структуру і вимоги, які дозволять вибудувати працюючу систему, в якій буде взаємодія на всіх потрібних рівнях. Але не можна забувати, що основна відмінність СМІБ і СМК в тому, що перша система зосереджена на інформаційну безпеку.

Важливість інформаційної безпеки в сучасному світі

Сьогоднішній бізнес не може існувати без інформаційних технологій. Відомо, що близько 70% світового сукупного національного продукту залежать тим чи іншим чином від інформації, що зберігається в інформаційних системах. Повсюдне впровадження комп'ютерів створило не тільки певні зручності, але і проблеми, найбільш серйозною з яких є проблема інформаційної безпеки.

Керівники компаній повинні усвідомити важливість інформаційної безпеки, навчитися прогнозувати тенденції в цій області і управляти ними. У цьому їм може допомогти впровадження СМІБ, яка за своєю структурою має потенціал до розвитку, прозорість управління, гнучкість до змін. Поряд з елементами управління для комп'ютерів і комп'ютерних мереж стандарт ISO 27001 приділяє велику увагу питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпечення безперервності виробничого процесу, Нормативним вимогам, в той же час окремі технічні питання деталізовані в інших стандартах серії

ІСО 27000. Переваг впровадження в компанію СМІБ дуже багато, частина з них представлена ​​на рис. 5.

Глбкшль масш підрив> ч; ь1 [ч.-ть

Зниження ¡juvum

HiKiinimi n II11 \ 11 Ч "Г 1111 111 пуднТ

Пртртшал' уірдоктл

"Ji | m | ill p.Ki u:

ажщтня№ цн ^ ст

Мал. 5. Переваги впровадження системи менеджменту інформаційної безпеки

Слід вказати на переваги ISO

Демонстрація компетентності безпеки. ISO 27001 являє собою практичний посібник для організації, яка допомагає сформулювати вимоги безпеки для забезпечення необхідного рівня захищеності і виконання конкретних цілей безпеки. Особливо важливо організаціям бути компетентними в чотирьох областях управління безпекою, включаючи: визначення та оцінку активів компанії, оцінку ризиків і визначення критеріїв прийому ризику, управління і прийняття цих пунктів, і постійне поліпшення загальної програмибезпеки організації.

Забезпечення впевненості клієнтів. ISO 27001 забезпечує незалежне доказ того, що програми корпоративного управлінняпідтримуються кращими, передовими, міжнародними практиками. Сертифікація на відповідність ISO 27001 забезпечує спокій корпораціям, які прагнуть продемонструвати сумлінність клієнтам, акціонерам і потенційним партнерам, а головне, показати, що в компанії успішно реалізована надійна система менеджменту інформаційної безпеки. Для багатьох серйозно регульованих галузей, таких як фінанси або Інтернет-послуги, вибір постачальника може

бути обмежений тими організаціями, які вже сертифіковані по ISO 27001.

Більш ефективне використання ресурсів. Завдяки використанню процесного підходу можлива оптимізація процесів, що відбуваються в компанії. Що тягне за собою зменшення використання ресурсів, наприклад, часу.

Постійне поліпшення. СМІБ використовує PCDA модель, що дозволяє регулярно перевіряти стан всієї системи, проводити аналіз і вдосконалювати систему управління

1. Імідж, бренд. Сертифікація на відповідність ISO 27001 відкриває перед компанією широкі можливості: вихід на міжнародний рівень, нові партнерства, більшу кількість клієнтів, нові контракти, успіх в тендерах. Наявність СМІБ в компанії - це показник високого рівня розвитку.

2. Гнучкість СМІБ. Незалежно від змін процесів, нових технологій, основа структури СМІБ залишається дієвою. СМІБ досить легко підлаштовується під нововведення, шляхом модернізації існуючих і впровадження нових контрзаходів.

3. Масштабованість впровадження стандарту. Так як ISO 27001 передбачає визначення області дії, це дозволяє сертифікувати лише частина процесів. Можна почати впроваджувати СМІБ в найбільш значиму для компанії ОД, а вже пізніше розширювати.

4. Аудит. багато російські компаніїсприймають аудиторські роботи як катастрофу. ISO 27001 показує міжнародний підхід до проведення аудитів: перш за все зацікавленість компанії в тому, щоб дійсно відповідати стандартам, а не робити сертифікацію абияк, лише «для галочки».

5. Регулярні внутрішні або зовнішні аудити дозволяють виправляти порушення, удосконалювати СМІБ, значно знизити ризики. В першу чергу, це потрібно компанії для власного спокою, що у них все в порядку і ризики збитків мінімізовані. А вже другорядне - сертифікат відповідності, який підтверджує для партнерів або клієнтів, що цієї компанії можна довіряти.

6. Прозорість управління. Використання стандарту ISO 27001 дає досить чіткі інструкції по створенню управління, а

також вимоги до документації, яка повинна бути в компанії. Проблема багатьох компаній в тому, що існуючі документи для певних відділів просто не читаються, бо розібратися, що і кому призначається, часто неможливо через заплутаність системи документації. Ієрархічність рівнів документації, від політики інформаційної безпеки до опису певних процедур, робить використання існуючих правил, регламентів та іншого набагато легше. Також впровадження СМ І Б передбачає навчання персоналу: проведення семінарів, розсилок, вивішування попереджувальних плакатів, що значно підвищує обізнаність про ІБ серед звичайних службовців.

На закінчення слід зазначити, що в сучасному бізнесіневід'ємність базової системи менеджменту якості, вибудуваної відповідно до вимог стандарту ISO 9001, і завойовує позиції системи менеджменту інформаційної безпеки очевидна.

Сьогодні лідером ринку стануть компанії, які відстежують не тільки показники якості продукції та послуг, а й рівні конфіденційності, цілісності та доступності інформації про них. Також важливим фактором успіху є прогнозування і оцінка ризиків, що вимагає грамотного підходу і використання кращих міжнародних практик. Спільне впровадження та сертифікація систем управління якістю та інформаційної безпеки допоможе вирішити широкий спектр завдань для будь-якої галузі промисловості або торгівлі, що в свою чергу призведе до якісної підвищенню рівня послуг, що надаються.

література

1. Дорофєєв А. В., Шахалов І. Ю. Основи управління інформаційною безпекою сучасної організації// Правова інформатика. 2013. № 3. С. 4-14.

2. Чашкин В. Н. Управління інформаційною безпекою як елемент системи управління інформаційно-технологічної діяльністю організації // Безпека інформаційних технологій. 2009. № 1. С. 123-124.

3. Горячев В. В. Новий ГОСТ на СМК. Основні відмінності від ГОСТ РВ 15.002-2003 //

Методи менеджменту якості. 2013. № 7. С. 18-23.

4. Доценко С. П., Пшенецкій С. П. Підхід до побудови моделі систем менеджменту інформаційної безпеки // політематичної мережевий електронний науковий журнал Кубанського державного аграрного університету. 2009. № 53. С. 47-56.

5. Каменєв А. В., Заворітько Е. В. Модель системи менеджменту інформаційної безпеки на підприємстві (в організації) // Інтелект. Інновації. Інвестиції. 2013. № 1. С. 111-114.

6. Соловйов А. М. Нормативно-методична база в галузі забезпечення інформаційної безпеки // Економіка, статистика і інформатика. Вісник УМО. 2012. № 1. С. 174-181.

7. Козин І. Ф., Лівшиць І. І. Інформаційна безпека. Інтеграція міжнародних стандартів в систему інформаційної безпеки Росії // Інформатизація та зв'язок. 2010. № 1. С. 50-55.

8. Колодін В. С. Сертифікація інтегрованих систем менеджменту // Вісник Іркутського державного технічного університету. 2010. Т. 41. № 1. С. 44-48.

9. Меркушова Н. І., Науменко Ю. А., Меркушова Ю. А. Інтегровані системи менеджменту: передумови створення на російських підприємствах // Молодий вчений.

2013. № 12 (59). С. 327-331.

10. Воропаєва В. Я., Щербов І. Л., Хаустова Е. Д. Управління інформаційною безпекою інформаційно-телекомунікаційних систем на базі моделі «Р1ап-Do-Check-Act» // Науков1 пращ Донецько-го нацюнального техшчного ушверсітету. Сер1я: "Обчислювальна техшка та автоматізащя". 2013. № 2 (25). С. 104-110.

11. Дорофєєв А. В., Марков А. С. Менеджмент інформаційної безпеки: основні концепції // Питання кібербезпеки.

2014. № 1 (2). С. 67-73.

12. Шпер В. Л. Про стандарт 18О / 1ЕС 27001 // Методи менеджменту якості. 2008. № 3. С. 60-61.

13. Марков А. С., Цирль В. Л. Управління ризиками - нормативний вакуум інформаційної безпеки // відкриті системи. СУБД. 2007. № 8. С. 63-67.

14. Матвєєв В. А., Цирль В. Л. Стан і перспективи розвитку індустрії інформаційної безпеки Російської Федера-

ції в 2014 р // Питання кібербезпеки. 2013. № 1 (1). С. 61-64.

15. Барабанов О. В. Стандартизація процесу розробки безпечних програмних засобів// Питання кібербезпеки. 2013. № 1 (1). С. 37-41.

16. Марков А. С., Цирль В. Л. Настанови щодо кібербезпеки в контексті

ISO 27032 // Питання кібербезпеки. 2014. № 1 (2). С. 28-35. 17. Храмцовскій Н. Що потрібно знати керівнику про інформаційну безпеку // Кадровик. 2009. № 4. С. 061-072.

Право, ніяково. Ми повідомляли про швидкий вихід стандарту ISO 45001, який повинен замінити нинішній стандарт управління охороною праці OHSAS 18001, говорили, що чекати його треба в кінці 2016 года ... Вже опівночі наближається, а Германа все немає. Пора визнати - ISO 45001 затримується. Правда, з поважних причин. У експертного співтовариства виникло дуже багато запитань до нього. [...]