Axborot xavfsizligini boshqarishning zamonaviy tizimi nima. Xavflarni boshqarish kontseptsiyasidan foydalangan holda axborot xavfsizligi sohasidagi zamonaviy standartlar Axborot xavfsizligini boshqarish tizimi

Shahalov Igor Yurievich

Sifat menejmenti tizimlari va axborot xavfsizligini birlashtirish masalasida

Xulosa: ISO 27001 va ISO 9001 xalqaro standartlari ko'rib chiqilgan, sifat menejmenti tizimi va axborot xavfsizligini boshqarish tizimi o'rtasidagi o'xshashlik va farqlar tahlili o'tkazilgan. Sifat menejmenti tizimi va axborot xavfsizligini boshqarish tizimini birlashtirish imkoniyati ko'rsatilgan. Axborot xavfsizligini boshqarishning yaxlit tizimini yaratish va joriy etishning asosiy bosqichlari berilgan. Integratsiyalashgan yondashuvning afzalliklari ko'rsatilgan.

Kalit so'zlar: axborot xavfsizligini boshqarish tizimlari, integratsiyalashgan boshqaruv tizimlari, ISMS, QMS, ISO 27001.

Natalya Olegovna

Kirish

V zamonaviy dunyo umumiy va qulay kelishi bilan texnik qurilmalar axborotni himoya qilish muammosi keskin ravishda paydo bo'ldi. Korxona va tashkilotlarga sifatli mahsulot chiqarish yoki xizmatlar ko'rsatish bilan bir qatorda, bozorda qulay pozitsiyada qolish uchun raqobatchilardan zarur ma'lumotlarni sir saqlash muhim ahamiyatga ega. Raqobat kurashida maxfiy ma'lumotlarni olish (olish, olish) ga qaratilgan har xil harakatlar keng tarqalgan. har xil yo'llar, zamonaviy texnik razvedka vositalaridan foydalangan holda to'g'ridan -to'g'ri sanoat josusligiga qadar.

Shunday qilib, biznes -jarayonlarni boshqarish tizimlarini joriy etish bo'yicha talablar, ko'rsatmalarni o'z ichiga oladigan, dunyoning eng yaxshi tajribalariga amal qiladigan tashkilotlar bozorda etakchiga aylanmoqda. Bunday tizimlarni loyihalash, joriy etish, monitoring qilish va takomillashtirishning eng yaxshi standartlari - Xalqaro standartlashtirish tashkilotining (ISO) hujjatlari. Sifat menejmenti tizimi (QMS) va axborot xavfsizligini boshqarish tizimini (ISMS) joriy etish bo'yicha eng yaxshi tajribalarni to'playdigan ISO 900x va ISO 2700x seriyali standartlariga alohida e'tibor qaratish lozim.

ISO 9001 standarti talablariga muvofiq amalga oshirilgan sifat menejmenti tizimi uzoq vaqtdan beri yuqori sifatli mahsulot ishlab chiqaruvchi yoki yuqori darajali xizmatlar ko'rsatuvchi muvaffaqiyatli kompaniyaning ajralmas atributi sifatida e'tirof etilgan. Bugungi kunda muvofiqlik sertifikatining mavjudligi ham samarali marketing yechimi, ham ishlab chiqarish jarayonlarini nazorat qilish mexanizmi hisoblanadi. QMS auditi biznesning yaxshi rivojlangan sohasidir.

Kompaniyaning muvaffaqiyatli faoliyatining bog'liqligi korporativ tizim axborotni himoya qilish. Bu korporativ axborot tizimida qayta ishlanadigan muhim ma'lumotlar hajmining oshishi bilan bog'liq. Axborot tizimlari murakkablashib bormoqda va ularda topilgan zaifliklar soni ham oshib bormoqda. ISMS auditi korxona xavfsizligining hozirgi holatini baholash imkonini beradi axborot tizimi,

xavflarni baholash va bashorat qilish, ularning kompaniyaning biznes jarayonlariga ta'sirini boshqarish.

ISO 9001 standarti uzoq vaqtdan buyon dunyodagi sertifikatlar soni bo'yicha etakchi o'rinni egallab kelayotgani va ISO 27001 standarti axborot xavfsizligini boshqarish tizimini sertifikatlashtirishni oshirish tendentsiyasini ko'rsatganligi sababli, mumkin bo'lgan o'zaro ta'sirni ko'rib chiqish maqsadga muvofiqdir. QMS va XMSni integratsiyasi.

Standartlarning integratsiyasi

Bir qarashda, sifat menejmenti va axborot xavfsizligi butunlay boshqa sohalar. Biroq, amalda ular bir -biri bilan chambarchas bog'liq va bir butunni tashkil qiladi (1 -rasm). Iste'molchilarni qondirish - bu sifat maqsadlari, har yili tobora ko'proq ISO 27001 standarti qo'llaniladigan axborot texnologiyalari va ma'lumotlarning xavfsizligiga bog'liq. Boshqa tomondan, ISO 9001 standarti to'liq mos keladi. xavfsizlikni ta'minlashga yordam beradigan tashkilotning korporativ maqsadlari. Integratsiyalashgan yondashuv tufayli ISO 27001 mavjud QMSga samarali qo'shilishi yoki QMS bilan birgalikda qo'llanilishi mumkin.

(ISO 27001) va IT -xizmatlarni boshqarish (ISO 20000) o'xshash tuzilishga va jarayon yondashuviga ega. Bu o'z samarasini beradigan sinergiya hosil qiladi: amalda davom etayotgan operatsiyalarni boshqarishning yaxlit tizimi tizimni optimallashtirish, tekshirish va qayta ko'rib chiqish xarajatlarining 20-30 foizini tejaydi.

Axborot xavfsizligi va sifat menejmenti standartlari Deming tsikli deb nomlanuvchi Plan-Do-Check-Act (PDCA) modeliga muvofiq doimiy ravishda takomillashishga qaratilgan (2-rasmga qarang). Bundan tashqari, ular ISO 27001 C ilovasidagi yozishmalar jadvalida ko'rsatilgandek, tuzilish jihatidan o'xshashdir. Ikkala standart ham jarayonga yondashuvni, ko'lamni, tizim va hujjatlarga qo'yiladigan talablarni va ma'muriy javobgarlikni belgilaydi. Ikkala holatda ham tuzilma ichki audit, boshqaruvni tekshirish va tizimni takomillashtirish bilan yakunlanadi. Bunda ikkala tizim ham o'zaro ta'sir qiladi. Masalan, ISO 9001 mos kelmaydigan mahsulotlarni boshqarishni talab qiladi. Xuddi shunday, ISO 27001 standarti xatolarni hal qilish uchun hodisalarni boshqarish talabiga ega.

Guruch. 1. QMS va ISMSning o'zaro ta'siri va o'xshashligi

Guruch. 2. Deming tsikli

Dunyoning 100 dan ortiq mamlakatlaridagi 27,200 dan ortiq turli sanoat tashkilotlari sifat menejmenti bo'yicha ISO 9001: 2008 standartlariga muvofiqligi uchun sertifikatlangan. Bozor va qonun talablariga qarab, ko'plab tashkilotlar axborot xavfsizligi bilan shug'ullanishga majbur bo'lmoqda. Shu nuqtai nazardan, boshqaruv tizimining integratsiyasi haqiqiy imkoniyatlarni taqdim etadi. Kompleks yondashuv shu paytgacha hech qanday boshqaruv jarayonidan foydalanmagan kompaniyalar uchun ham qiziq. ISO sifat standartlari (ISO 9001), atrof -muhitni muhofaza qilish (ISO 14000), axborot xavfsizligi

Standartlar o'rtasidagi farqlar bir -birini to'ldirishda foydalidir, bu esa biznes muvaffaqiyatining oshishiga hal qiluvchi ta'sir ko'rsatadi. Masalan, ISO 9001 standarti korporativ maqsadlarni, xaridorlarning e'tiborini va o'lchovliligini, maqsad va vazifalarga qay darajada erishilishini aniqlashni talab qiladi. Bu ISO 27001 diqqat markazida bo'lmagan uchta masala. O'z navbatida, bu standart biznesning uzluksizligini ta'minlash uchun risklarni boshqarishga ustuvor ahamiyat beradi va XBTTni joriy etishda batafsil yordam beradi. Taqqoslandi

bu bilan ISO 9001 ko'proq nazariy standart hisoblanadi.

ISO 27001 - nafaqat IT uchun standart

Ko'p odamlar ISO 27001 standarti faqat IT jarayonlari uchun mo'ljallangan deb o'ylashadi, lekin aslida bunday emas. ISO 27001 SM&B standartini joriy etishning asosiy nuqtasi aktivlarning ta'rifidir.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimiy 14: ii | vju7JIIIM.

Guruch. 3. Aktivlar turlari

Aktiv deganda kompaniya uchun qimmatli bo'lgan hamma narsa tushuniladi (3 -rasm). Ya'ni, aktiv bo'lishi mumkin: inson resurslari, infratuzilma, asboblar, uskunalar, aloqa, xizmatlar va boshqa har qanday aktivlar, shu jumladan sotib olingan mahsulotlarni etkazib berish bo'yicha xizmatlar. Jarayonlarga asoslanib, kompaniya qaysi aktivlarga ega ekanligini va qaysi aktivlar muhim jarayonlarda ishtirok etishini aniqlaydi va aktivlarning qiymatini baholaydi. Va shundan keyingina barcha qimmatli aktivlar uchun tavakkalchilik bahosi qo'yiladi. Shunday qilib, ISMS nafaqat qayta ishlanadigan raqamli ma'lumotlarga mo'ljallangan avtomatlashtirilgan tizim... Masalan, eng muhim jarayonlarning ba'zilari o'z ichiga oladi

Tayyorgarlik

tadbirlar rejalari

2 H: i mos kelishini tekshiring

ISO 27001 standarti bilan qamrab olingan ma'lumotlarning nusxalarini saqlash bilan. ISMS sizning kompaniyangizda qanday muhim ma'lumotlarni saqlashning barcha usullarini o'z ichiga oladi. elektron pochta xabarlari himoyalangan, xodimlarning shaxsiy fayllari binoda saqlanadigan joy bilan tugaydi.

Shuning uchun, bu standart axborot xavfsizligini boshqarish tizimini yaratishga qaratilganligi sababli, bu faqat kompyuterda saqlanadigan ma'lumotlarga tegishli bo'lishi mumkin, degan noto'g'ri tushuncha. Hatto bizning raqamli asrimizda ham ko'p ma'lumotlar qog'ozda aks ettirilgan, ular ham ishonchli himoyalanishi kerak.

ISO 9001 kompaniyaning axborot xavfsizligi ehtiyojlarini qondira olmaydi, chunki u faqat mahsulot sifatiga e'tibor qaratadi. Shuning uchun kompaniyada ISO 27001ni joriy etish juda muhim.Bir qarashda, mutaxassisga har ikkala standart ham juda umumiy va o'ziga xosligi yo'qdek tuyulishi mumkin. Biroq, bunday emas: ISO 27001 standarti ISMSni joriy etish va uning ishlashini nazorat qilishning deyarli har bir bosqichini tavsiflaydi (4 -rasm).

Axborot xavfsizligini boshqarish tizimini qurishning asosiy bosqichlari

AXBTni qurishning asosiy bosqichlari 4 -rasmda tasvirlangan. Keling, ularni batafsil ko'rib chiqaylik.

1 -bosqich. Harakat rejalarini tayyorlash. Ushbu bosqichda mutaxassislar tashkiliy va ma'muriy hujjatlarni (ORD) va boshqa ish materiallarini to'playdi,

3 Oddiy II turdagi ORD

4 Tahlil ii xavflarni baholash 11B

Amalga oshirish

5 RyazraOogya va<>RaeryaOopv kompleksi va 00 \ * ieiitii:

radiatsiya rejalari ■ -> standartlar -> hodisalar -> CfftpJOTHW *

faoliyat Mon> PB ORD Poenpzhenie

INRsnEsS IMB natijalarini 10 ta AiUtuin baholashni shakllantirish

Guruch. 4. AXBTni qurish bosqichlari

axborot xavfsizligini ta'minlash mexanizmlari va vositalaridan foydalanish rejalashtirilgan kompaniyaning axborot tizimlarini qurish va ulardan foydalanish to'g'risida. Bundan tashqari, ish bosqichlari bo'yicha harakatlar rejalari tuziladi, kelishiladi va kompaniya rahbariyati tomonidan tasdiqlanadi.

2 -bosqich. ISO / IEC 27001: 2005 standartlariga muvofiqligini tekshirish. Bo'limlar rahbarlari va xodimlaridan so'roq va so'roq. ISO / IEC 27001: 2005 talablariga muvofiqligi uchun kompaniyaning BMSni tahlil qilish.

3 -bosqich. Normativ -tashkiliy va ma'muriy hujjatlarni asos qilib tahlil qilish tashkiliy tuzilma kompaniyalar. Uning natijalariga ko'ra, himoyalangan doirasi (OA) aniqlanadi va kompaniyaning axborot xavfsizligi siyosati eskizi ishlab chiqiladi.

4 -bosqich. Axborot xavfsizligi xavfini tahlil qilish va baholash. Kompaniya tavakkalchiliklarini boshqarish va ularni tahlil qilish metodologiyasini ishlab chiqish. Korxona ML aktivlarining tahdidlari va zaifliklarini aniqlash maqsadida kompaniyaning axborot resurslarini, birinchi navbatda, LANni tahlil qilish. Aktivlarni inventarizatsiya qilish. Kompaniya mutaxassislari uchun maslahatlar o'tkazish va xavfsizlikning haqiqiy va zarur darajasiga muvofiqligini baholash. Har bir aniq aktiv uchun tavakkalchilikni hisoblash, tavakkalchilikning joriy va maqbul darajasini aniqlash. Xavflarni aniqlash, ularni kamaytirish bo'yicha chora -tadbirlar kompleksini tanlash va amalga oshirishning nazariy samaradorligini hisoblash.

5 -bosqich. ISning harakat rejalarini ishlab chiqish va amalga oshirish. ISO / IEC 27001: 2005 ga muvofiq boshqaruvning qo'llanilishi to'g'risida bayonot ishlab chiqish. Buxgalteriya hisobi va tavakkalchiliklarni bartaraf etish rejasini ishlab chiqish. Kompaniya boshlig'i uchun hisobotlarni tayyorlash.

6 -bosqich. Normativ va OSAni ishlab chiqish. IBning yakuniy siyosati va unga tegishli qoidalarni (xususiy siyosat) ishlab chiqish va tasdiqlash. Kompaniya BYYSning normal ishlashi va ishlashini ta'minlash uchun standartlar, tartib va ​​ko'rsatmalarni ishlab chiqish.

7 -bosqich. Rahbariyat tomonidan tasdiqlangan tavakkalchiliklarni qayta ishlash va bartaraf etish rejasiga muvofiq IS xavflarini kamaytirish va ularning samaradorligini baholash bo'yicha kompleks chora -tadbirlarni amalga oshirish.

8 -bosqich. Kadrlar tayyorlash. Axborot xavfsizligi tamoyillarini barcha xodimlarga samarali etkazish maqsadida harakatlar rejalarini ishlab chiqish va kompaniya xodimlarining malakasini oshirish dasturlarini amalga oshirish.

birinchi navbatda ishlayotganlar tarkibiy bo'linmalar asosiy biznes jarayonlarini ta'minlash.

9 -bosqich. Hisobotni shakllantirish. So'rov natijalarini tizimlashtirish va hisobotlarni tayyorlash. Kompaniya rahbarlari uchun ish natijalarini taqdim etish. ISO / IEC 27001: 2005 standartlariga muvofiqligini litsenziyalash uchun hujjatlarni tayyorlash va ularni sertifikatlashtiruvchi tashkilotga o'tkazish.

10 -bosqich. Kompaniyaning ISMS ishlashining ishonchliligini baholaydigan metodologiya asosida BMSni amalga oshirish natijalarini tahlil qilish va baholash. Kompaniyaning axborot xavfsizligini boshqarish tizimini takomillashtirish bo'yicha tavsiyalar ishlab chiqish.

ISMSni amalga oshirishning har bir bosqichini tahlil qilib, shuni aytishimiz mumkinki, ISO 27001 aniq tuzilishga va talablarga ega bo'lib, u sizga barcha zarur darajalarda o'zaro ta'sir o'tkazadigan ishchi tizimni qurishga imkon beradi. Lekin shuni unutmasligimiz kerakki, XBT va QMS o'rtasidagi asosiy farq birinchi tizim axborot xavfsizligiga qaratilgan.

Zamonaviy dunyoda axborot xavfsizligining ahamiyati

Hozirgi biznes axborot texnologiyalarisiz mavjud bo'la olmaydi. Ma'lumki, dunyodagi jami milliy mahsulotning qariyb 70 foizi u yoki bu tarzda axborot tizimlarida saqlanadigan ma'lumotlarga bog'liq. Kompyuterlarning keng joriy etilishi nafaqat ma'lum qulayliklarni, balki muammolarni ham yuzaga keltirdi, ularning eng jiddiysi axborot xavfsizligi muammosi.

Ishbilarmonlar axborot xavfsizligining muhimligini tushunishlari, bu sohadagi tendentsiyalarni bashorat qilishni va boshqarishni o'rganishlari kerak. Bunda ularga tuzilishida rivojlanish salohiyati, boshqaruv shaffofligi, har qanday o'zgarishlarga moslashuvchanligi bo'lgan XBYSni kiritish yordam berishi mumkin. Kompyuter va kompyuter tarmoqlarini boshqarish bilan bir qatorda, ISO 27001 standarti xavfsizlik siyosatini ishlab chiqishga, xodimlar bilan ishlashga (ishga qabul qilish, o'qitish, ishdan bo'shatish), uzluksizlikni ta'minlashga katta e'tibor beradi. ishlab chiqarish jarayoni, tartibga solish talablari, ba'zi texnik masalalar esa seriyaning boshqa standartlarida batafsil bayon etilgan

ISO 27000. Kompaniyaga ISIB -ni joriy qilishning ko'plab afzalliklari bor, ularning ba'zilari rasmda ko'rsatilgan. 5.

Glbkshl shkalasi pODr> h; b1 [h-th

Qabul qiling

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | kasal p. Ki u:

azhshchtnya # tsn ^ st

Guruch. 5. Axborot xavfsizligini boshqarish tizimini joriy etishning afzalliklari

ISO -ning afzalliklarini ta'kidlash kerak

Xavfsizlik bo'yicha kompetentsiyani namoyish etish. ISO 27001 - bu tashkilot uchun zarur xavfsizlik darajasiga erishish va aniq xavfsizlik maqsadlariga erishish uchun xavfsizlik talablarini shakllantirishga yordam beradigan amaliy qo'llanma. Ayniqsa, tashkilotlarning xavfsizlikni boshqarishning to'rtta sohasida malakali bo'lishi muhim, jumladan: kompaniya aktivlarini aniqlash va baholash, tavakkalchiliklarni baholash va tavakkalchiliklarni qabul qilish mezonlarini belgilash, ushbu elementlarni boshqarish va qabul qilish hamda doimiy takomillashtirish. umumiy dastur tashkilot xavfsizligi.

Xaridor ishonchini ta'minlash. ISO 27001 korporativ boshqaruv dasturlari eng yaxshi xalqaro tajribalar tomonidan qo'llab -quvvatlanayotgani to'g'risida mustaqil dalillarni taqdim etadi. ISO 27001 sertifikati mijozlarga, aktsiyadorlarga va potentsial sheriklarga halollikni namoyish etishga intilayotgan korporatsiyalarga xotirjamlikni beradi va eng muhimi, kompaniya axborot xavfsizligini boshqarishning mustahkam tizimini muvaffaqiyatli joriy qilganligini ko'rsatishdir. Moliya yoki Internet xizmatlari kabi ko'plab qattiq tartibga solinadigan tarmoqlar uchun etkazib beruvchilarni tanlash mumkin

ISO 27001 sertifikatiga ega bo'lgan tashkilotlar bilan chegaralanishi mumkin.

Resurslardan yanada samarali foydalanish. Texnologik yondashuvdan foydalanish tufayli kompaniyada sodir bo'layotgan jarayonlarni optimallashtirish mumkin. Bu resurslardan foydalanishning kamayishiga olib keladi, masalan, vaqt.

Doimiy takomillashtirish. ISMS butun tizimning holatini muntazam tekshirish, boshqaruv tizimini tahlil qilish va takomillashtirish imkonini beruvchi PCDA modelidan foydalanadi.

1. Rasm, brend. ISO 27001 standartiga muvofiqlik sertifikati kompaniya uchun keng imkoniyatlar ochadi: xalqaro darajaga chiqish, yangi sherikliklar, mijozlar soni, yangi shartnomalar, tenderlarda muvaffaqiyat. Kompaniyada BYYS mavjudligi yuqori darajadagi rivojlanish ko'rsatkichidir.

2. AXBTning moslashuvchanligi. Jarayonlarning o'zgarishiga, yangi texnologiyalarga qaramasdan, XBYS strukturasining asosi samarali bo'lib qolmoqda. ISMS mavjud bo'lganlarni modernizatsiya qilish va yangi qarshi choralarni joriy etish orqali yangiliklarga osongina moslashadi.

3. Standartni amalga oshirishning miqyosi. ISO 27001 ko'lamini talab qiladiganligi sababli, jarayonlarning faqat bir qismi sertifikatlanishi mumkin. Siz ISMSni kompaniya uchun eng muhim OAda joriy etishni boshlashingiz mumkin va faqat keyinchalik kengaytirasiz.

4. Audit. Ko'pchilik Rossiya kompaniyalari audit ishini falokat sifatida qabul qilish. ISO 27001 auditga xalqaro yondashuvni ko'rsatadi: birinchi navbatda, kompaniyaning standartlarga amal qilishdan manfaatdorligi va qandaydir tarzda sertifikat bermaslik, faqat "ko'rsatish uchun".

5. Muntazam ichki yoki tashqi auditorlik qoidabuzarliklarni tuzatish, XBTTni takomillashtirish va xatarlarni sezilarli darajada kamaytirish imkonini beradi. Birinchidan, bu kompaniyaga o'z tinchligi uchun kerak, hamma narsa tartibda va yo'qotishlar xavfi minimallashtiriladi. Va allaqachon ikkinchi darajali - muvofiqlik sertifikati, bu sheriklar yoki mijozlar uchun ushbu kompaniyaga ishonish mumkinligini tasdiqlaydi.

6. Menejmentning ochiqligi. ISO 27001 standartidan foydalanish menejmentni yaratish bo'yicha aniq ko'rsatmalar beradi va

shuningdek, kompaniyada bo'lishi kerak bo'lgan hujjatlarga qo'yiladigan talablar. Ko'pgina kompaniyalarning muammosi shundaki, ba'zi bo'limlar uchun mavjud bo'lgan hujjatlarni o'qib bo'lmaydi, chunki hujjatlar tizimining murakkabligi tufayli kim uchun mo'ljallanganligini aniqlash ko'pincha mumkin emas. Hujjatlar darajasining ierarxiyasi, axborot xavfsizligi siyosatidan tortib, muayyan protseduralar tavsifigacha, mavjud qoidalar, qoidalar va boshqa narsalardan foydalanishni ancha osonlashtiradi. Shuningdek, SM & B ni joriy qilish xodimlarni o'qitishni o'z ichiga oladi: seminarlar, pochta jo'natmalari, ogohlantirish plakatlarini osib qo'yish, bu oddiy xodimlar o'rtasida axborot xavfsizligi to'g'risida xabardorlikni sezilarli darajada oshiradi.

Xulosa qilib shuni ta'kidlash kerakki, yilda zamonaviy biznes ISO 9001 standarti talablariga muvofiq qurilgan sifat menejmentining asosiy tizimining yaxlitligi va axborot xavfsizligini boshqarish tizimining mavqeini egallashi aniq.

Bugungi kunda bozor yetakchisi nafaqat mahsulot va xizmatlar sifatining ko'rsatkichlarini, balki maxfiylik, yaxlitlik va ular haqidagi ma'lumotlarning mavjudligini kuzatuvchi kompaniyalar bo'ladi. Prognozlash va tavakkalchilikni baholash ham muvaffaqiyatning muhim omilidir, bu esa malakali yondashuvni va eng yaxshi xalqaro tajribadan foydalanishni talab qiladi. Sifat menejmenti va axborot xavfsizligi tizimlarini birgalikda joriy etish va sertifikatlash har qanday sanoat yoki savdo sohasidagi keng ko'lamli muammolarni hal qilishga yordam beradi, bu esa o'z navbatida ko'rsatiladigan xizmatlar sifatining sifatli o'sishiga olib keladi.

Adabiyot

1. Dorofeev A. V., Shahalov I. Yu. Axborot xavfsizligini boshqarish asoslari zamonaviy tashkilot// Huquqiy informatika. 2013. No 3. S. 4-14.

2. Chashkin VN Axborot xavfsizligini boshqarish tashkilotning axborot -texnologik faoliyatini boshqarish tizimining elementi sifatida // Axborot texnologiyalari xavfsizligi. 2009. No 1. S. 123-124.

3. Goryachev VV QMS uchun yangi GOST. GOST RV 15.002-2003 dan asosiy farqlar //

Sifatni boshqarish usullari. 2013. No 7. S. 18-23.

4. Dotsenko S.P., Pshenetskiy SP Axborot xavfsizligini boshqarish tizimlari modelini tuzishga yondashuv // Kuban davlat agrar universitetining polimatik tarmog'i elektron ilmiy jurnali. 2009. No 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Korxonada axborot xavfsizligini boshqarish tizimining modeli (tashkilotda) // Intellekt. Innovatsiya. Investitsiyalar. 2013. No 1. S. 111-114.

6. Solovyov A.M. Axborot xavfsizligi sohasidagi normativ -uslubiy baza // Iqtisodiyot, statistika va informatika. UMO byulleteni. 2012. No 1. S. 174-181.

7. Kozin IF, Livshits II Axborot xavfsizligi. Xalqaro standartlarning Rossiya axborot xavfsizligi tizimiga integratsiyasi // Axborotlashtirish va aloqa. 2010. No 1. S. 50-55.

8. Kolodin VS Birlashgan boshqaruv tizimlarini sertifikatlash // Irkutsk davlat texnika universiteti xabarnomasi. 2010. T. 41. No 1. S. 44-48.

9. Merkushova N.I., Naumenko Yu.A., Merkushova Yu.A.A Integratsiyalashgan boshqaruv tizimlari: Rossiya korxonalarida yaratilishining old shartlari // Yosh olim.

2013. No 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Xaustova ED "P1ap-Do-Check-Act" modeli asosida axborot va telekommunikatsiya tizimlarining axborot xavfsizligini boshqarish // Donetsk milliy texnika universitetining Naukov1 slingi. Ser1ya: "Avtomatizmning hisoblash texnikasi". 2013. 2 -son (25). S. 104-110.

11. Dorofeev AV, Markov AS Axborot xavfsizligini boshqarish: asosiy tushunchalar // Kiberxavfsizlik masalalari.

2014. No 1 (2). S. 67-73.

12. Shper VL 18O / 1EC 27001 standarti haqida // Sifatni boshqarish usullari. 2008. No 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Xatarlarni boshqarish - axborot xavfsizligining normativ vakuumi // Ochiq tizimlar... DBMS. 2007. No 8. S. 63-67.

14. Matveev V.A., Tsirlov V.L.

Tion 2014 yilda // Kiberxavfsizlik muammolari. 2013. No 1 (1). S. 61-64.

15. Barabanlar A. V. Seyfni ishlab chiqish jarayonini standartlashtirish dasturiy vositalar// Kiberxavfsizlik muammolari. 2013. No 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Kiberxavfsizlik bo'yicha kontekst bo'yicha ko'rsatmalar

ISO 27032 // Kiberxavfsizlik muammolari. 2014. 1 -son (2). S. 28-35. 17. Xramtsovskaya N. Axborot xavfsizligi haqida menejer nimani bilishi kerak // Kadrovik. 2009. No 4. S. 061-072.

Axborot texnologiyalari dunyosida axborotning yaxlitligi, ishonchliligi va maxfiyligini ta'minlash masalasi ustuvor vazifaga aylanmoqda. Shu sababli, tashkilotda axborot xavfsizligini boshqarish tizimi (ISMS) bo'lishi zarurligini tan olish strategik qaror hisoblanadi.

U korxonada BMSni yaratish, joriy etish, saqlash va doimiy ravishda takomillashtirish uchun ishlab chiqilgan va ushbu standartni tashqi sheriklarga qo'llash orqali tashkilotning axborot xavfsizligi bo'yicha o'z talablariga javob berishi aniq bo'ladi. Ushbu maqolada standartning asosiy talablari muhokama qilinadi va uning tuzilishi muhokama qilinadi.

(ADV31)

ISO 27001 standartining asosiy maqsadlari

Standartning tuzilishini tavsiflashga o'tishdan oldin, uning asosiy vazifalarini belgilab olamiz va Rossiyada standartning paydo bo'lish tarixini ko'rib chiqamiz.

Standartning maqsadlari:

• muassasa yagona talablar barcha tashkilotlar uchun XYSSni yaratish, joriy etish va takomillashtirish;
• yuqori rahbariyat va xodimlarning o'zaro ta'sirini ta'minlash;
• ma'lumotlarning maxfiyligini, yaxlitligini va mavjudligini saqlash.

Shu bilan birga, Standart tomonidan belgilangan talablar umumiydir va ularning turi, hajmi yoki tabiatidan qat'i nazar, har qanday tashkilot tomonidan qo'llanilishi ko'zda tutilgan.

Standart tarixi:

• 1995 yilda Britaniya Standartlar Instituti (BSI) Axborot xavfsizligini boshqarish kodeksini Buyuk Britaniyaning milliy standarti sifatida qabul qildi va uni BS 7799 - 1 -qism ostida ro'yxatdan o'tkazdi.
• 1998 yilda BSI BS7799-2 ni ikki qismda nashr etadi, ulardan biri amaliyot kodeksidan, ikkinchisi esa axborot xavfsizligini boshqarish tizimlariga qo'yiladigan talablardan iborat.
• Keyingi qayta ko'rib chiqish jarayonida birinchi qism BS 7799: 1999, 1 -qism sifatida nashr etildi. 1999 yilda standartning ushbu versiyasi Xalqaro sertifikatlashtirish tashkilotiga topshirildi.
• Ushbu hujjat 2000 yilda ISO / IEC 17799: 2000 (BS 7799-1: 2000) xalqaro standarti sifatida tasdiqlangan. 2005 yilda qabul qilingan ushbu standartning oxirgi versiyasi ISO / IEC 17799: 2005 hisoblanadi.
• 2002 yil sentyabr oyida BS 7799 "Axborot xavfsizligini boshqarish tizimining spetsifikatsiyasi" ning ikkinchi qismi kuchga kirdi. BS 7799 ning ikkinchi qismi 2002 yilda qayta ko'rib chiqilgan va 2005 yil oxirida ISO tomonidan ISO / IEC 27001: 2005 xalqaro standarti sifatida qabul qilingan. Axborot texnologiyalari- Xavfsizlik usullari - Axborot xavfsizligini boshqarish tizimlari - Talablar.
• 2005 yilda ISO / IEC 17799 standarti 27 -seriyali standartlar qatoriga kiritildi va qabul qilindi yangi raqam- ISO / IEC 27002: 2005.
• 2013 yil 25 sentyabrda yangilangan ISO / IEC 27001: 2013 "Axborot xavfsizligini boshqarish tizimlari" nashr etildi. Talablar ". Hozirgi vaqtda tashkilotlar ushbu standart versiyasi bo'yicha sertifikatlangan.

Standartning tuzilishi

Ushbu standartning afzalliklaridan biri uning tuzilmasining ISO 9001 bilan o'xshashligi, chunki u bir xil bo'limlar sarlavhalarini, bir xil matnni, umumiy atamalarni va asosiy ta'riflarni o'z ichiga oladi. Bu holat vaqt va pulni tejaydi, chunki hujjatlarning bir qismi ISO 9001 sertifikati davomida ishlab chiqilgan.

Agar standartning tuzilishi haqida gapiradigan bo'lsak, bu sertifikatlash uchun majburiy bo'lgan ISMS talablari ro'yxati va quyidagi bo'limlardan iborat:

"Qo'shimcha A" talablari majburiydir, lekin standart korxonada qo'llanilishi mumkin bo'lmagan sohalarni istisno qilishga imkon beradi.

Standartni keyingi sertifikatlash uchun korxonaga kiritishda shuni esda tutish kerakki, 4-10-bo'limlarda belgilangan talablardan istisnolarga yo'l qo'yilmaydi, bu bo'limlar bundan keyin muhokama qilinadi.

4 -bo'lim - Tashkilot kontekstidan boshlaylik

Tashkilot konteksti

Ushbu bo'limda Standart tashkilotdan o'z maqsadlariga mos keladigan va uning BMSni kutilgan natijalarga erishish qobiliyatiga ta'sir etuvchi tashqi va ichki muammolarni aniqlashni talab qiladi. Bunda siz qonuniy, tartibga soluvchi va shartnomaviy axborot xavfsizligi majburiyatlarini hisobga olishingiz kerak. Tashkilot, shuningdek, uning doirasini aniqlash uchun XBTTning ko'lami va qo'llanilishini aniqlab, hujjatlashtirishi kerak.

Etakchilik

Yuqori menejment, masalan, axborot xavfsizligi siyosati va axborot xavfsizligi maqsadlari tashkilot strategiyasiga muvofiqligini ta'minlash orqali, axborot xavfsizligini boshqarish tizimiga etakchilik va sadoqatni namoyish qilishi kerak. Shuningdek, yuqori menejment ISMS uchun zarur bo'lgan barcha resurslar bilan ta'minlanishini ta'minlashi kerak. Boshqacha qilib aytganda, xodimlar rahbariyat axborot xavfsizligi masalalari bilan shug'ullanishi aniq bo'lishi kerak.

Axborot xavfsizligi siyosati hujjatlashtirilishi va xodimlarga etkazilishi kerak. Bu hujjat ISO 9001 sifat siyosatini eslatadi. U tashkilot maqsadiga mos bo'lishi va axborot xavfsizligi maqsadlarini o'z ichiga olishi kerak. Agar bu aniq maqsadlar bo'lsa, masalan, ma'lumotlarning maxfiyligi va yaxlitligini saqlash yaxshi.

Shuningdek, rahbariyat xodimlar o'rtasida axborot xavfsizligi bilan bog'liq vazifalar va majburiyatlarni taqsimlashi kutilmoqda.

Rejalashtirish

Bu bo'limda biz PDCA (Plan - Do - Check - Act) boshqaruv tamoyilining birinchi bosqichiga - reja tuzish, bajarish, tekshirish, harakatga o'tamiz.

Axborot xavfsizligini boshqarish tizimini rejalashtirayotganda, tashkilot 4 -bandda ko'rsatilgan muammolarni hisobga olishi va XBTM kutilgan natijalarga erishish, kiruvchi ta'sirlarning oldini olish uchun hisobga olinishi kerak bo'lgan xavf va potentsial imkoniyatlarni aniqlashi kerak. va doimiy takomillashtirishga erishish.

Axborot xavfsizligi maqsadlariga qanday erishishni rejalashtirayotganda, tashkilot quyidagilarni aniqlashi kerak.

• nima qilinadi;
• qanday resurslar kerak bo'ladi;
• kim javobgar bo'ladi;
• maqsadlarga erishilganda;
• natijalar qanday baholanadi.

Bundan tashqari, tashkilot axborot xavfsizligi maqsadlari to'g'risidagi ma'lumotlarni hujjatlashtirilgan ma'lumot sifatida saqlaydi.

Xavfsizlik

Tashkilot XMSni ishlab chiqish, joriy etish, saqlash va doimiy ravishda takomillashtirish uchun zarur bo'lgan resurslarni belgilashi va taqdim etishi kerak, bu ham xodimlarni, ham hujjatlarni o'z ichiga oladi. Xodimlarga kelsak, tashkilot axborot xavfsizligi bo'yicha malakali va malakali xodimlarni yollashi kutilmoqda. Xodimlarning malakasi sertifikatlar, diplomlar va boshqalar bilan tasdiqlanishi kerak. Shartnoma bo'yicha uchinchi tomon mutaxassislarini jalb qilish yoki xodimlaringizni o'qitish mumkin. Hujjatlarga kelsak, u quyidagilarni o'z ichiga olishi kerak.

• standart talab qiladigan hujjatlashtirilgan ma'lumotlar;
• axborot xavfsizligini boshqarish tizimining samaradorligini ta'minlash uchun zarur bo'lgan tashkilot tomonidan aniqlangan hujjatlashtirilgan ma'lumotlar.

ISMS va Standart tomonidan talab qilinadigan hujjatlashtirilgan ma'lumotlar quyidagilar ta'minlanishi uchun nazorat qilinishi kerak:

• qaerda va qachon kerak bo'lsa foydalanish uchun mos va
• tegishli tarzda himoyalangan (masalan, maxfiylik yo'qolishidan, noto'g'ri foydalanish yoki daxlsizlikni yo'qotishdan).

Ishlash

Bu bo'limda PDCA boshqaruv tamoyilining ikkinchi bosqichi - tashkilotga muvofiqlikni ta'minlash va Rejalashtirish bo'limida ko'rsatilgan tadbirlarni bajarish jarayonlarini boshqarish zarurligi muhokama qilinadi. Shuningdek, tashkilot axborot xavfsizligi xavfini baholashni rejalashtirilgan vaqt oralig'ida yoki muhim o'zgarishlar taklif qilingan yoki sodir bo'lganda amalga oshirishi kerakligini bildiradi. Tashkilot axborot xavfsizligi xavfini baholash natijalarini hujjatlashtirilgan ma'lumot sifatida saqlaydi.

Ish faoliyatini baholash

Uchinchi bosqich - bu tekshirish. Tashkilot AXBT faoliyati va samaradorligini baholaydi. Masalan, u ma'lumot olish uchun ichki audit o'tkazishi kerak

1. Axborot xavfsizligini boshqarish tizimi izchil
   • tashkilotning axborot xavfsizligini boshqarish tizimiga qo'yiladigan o'z talablari;
   • standart talablari;
2. axborot xavfsizligini boshqarish tizimi samarali joriy etilgani va ishlayotgani.

Ma'lumki, auditning ko'lami va vaqtini oldindan rejalashtirish kerak. Barcha natijalar hujjatlashtirilishi va saqlanishi kerak.

Yaxshilash

Ushbu bo'limning maqsadi, nomuvofiqlik aniqlanganda, harakat yo'nalishini aniqlashdir. Tashkilot kelajakda bunday bo'lmasligi uchun nomuvofiqliklar, oqibatlarni tuzatishi va vaziyatni tahlil qilishi kerak. Barcha nomuvofiqliklar va tuzatuvchi harakatlar hujjatlashtirilishi kerak.

Bu standartning asosiy bo'limlarini yakunlaydi. A ilovasi tashkilot tomonidan bajarilishi kerak bo'lgan aniq talablarni beradi. Masalan, kirishni boshqarish nuqtai nazaridan, foydalaning mobil qurilmalar va axborot tashuvchilar.

ISO 27001 standartini joriy etish va sertifikatlashning afzalliklari

• tashkilot maqomini va shunga muvofiq sheriklar ishonchini oshirish;
• tashkilot faoliyatining barqarorligini oshirish;
• axborot xavfsizligi tahdidlaridan himoya darajasini oshirish;
• manfaatdor shaxslar ma'lumotlarining zarur maxfiylik darajasini ta'minlash;
• tashkilotning yirik shartnomalarda ishtirok etish qobiliyatini kengaytirish.

Iqtisodiy foyda quyidagilar:

• sertifikatlashtirish organining tashkilotning malakali xodimlar tomonidan nazorat qilinadigan axborot xavfsizligi yuqori darajasiga ega ekanligini mustaqil tasdiqlash;
• amaldagi qonun va qoidalarga muvofiqligini tasdiqlovchi hujjat (majburiy talablar tizimiga muvofiqligi);
• tashkilot mijozlari va sheriklariga xizmat ko'rsatishning to'g'ri darajasini ta'minlash uchun boshqaruv tizimining ma'lum bir yuqori darajasini namoyish etish;
• Boshqaruv tizimlarining muntazam auditini, ish faoliyatini baholash va doimiy takomillashtirishni ko'rsatish.

Sertifikatlash

Tashkilot ushbu standartga muvofiq akkreditatsiyalangan agentliklar tomonidan sertifikatlanishi mumkin. Sertifikatlashtirish jarayoni uch bosqichdan iborat:

• 1 -bosqich - standart talablariga muvofiqligi uchun ISMSning asosiy hujjatlarini auditor tomonidan o'rganilishi - tashkilot hududida ham, bu hujjatlarni tashqi auditorga topshirish orqali ham amalga oshirilishi mumkin;
• 2 -bosqich - batafsil audit, shu jumladan amalga oshirilgan chora -tadbirlarni sinab ko'rish va ularning samaradorligini baholash. Standart talab qiladigan hujjatlarni to'liq o'rganishni o'z ichiga oladi;
• 3 -bosqich - sertifikatlangan tashkilot belgilangan talablarga javob berishini tekshirish uchun audit auditini o'tkazish. Vaqti -vaqti bilan amalga oshiriladi.

Natija

Ko'rib turganingizdek, korxonada ushbu standartdan foydalanish zamonaviy voqelik sharoitida qimmat bo'lgan axborot xavfsizligi darajasini sifat jihatidan yaxshilash imkonini beradi. Standart ko'p talablarni o'z ichiga oladi, lekin eng muhim talab - yozilganini bajarish! Standart talablarini amalda qo'llamasdan, u bo'sh qog'ozlar to'plamiga aylanadi.

GOST R ISO / IEC 27001-2006 "Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligini boshqarish tizimlari. Talablar "

Standartni ishlab chiquvchilar, bu axborot xavfsizligini boshqarish tizimini (ISMS) ishlab chiqish, joriy etish, ishlatish, monitoring qilish, tahlil qilish, qo'llab -quvvatlash va takomillashtirish uchun namuna sifatida tayyorlanganligini ta'kidlaydilar. ISMS (inglizcha - axborot xavfsizligini boshqarish tizimi; ISMS) axborot xavfsizligini ishlab chiqish, joriy etish, ishlatish, monitoring qilish, tahlil qilish, qo'llab -quvvatlash va takomillashtirish uchun biznes xavfini baholash usullaridan foydalanishga asoslangan umumiy boshqaruv tizimining bir qismi sifatida tavsiflanadi. Boshqaruv tizimi tashkiliy tuzilmani, siyosatni, rejalashtirish faoliyatini, mas'uliyatni, amaliyotni, protseduralarni, jarayonlarni va resurslarni o'z ichiga oladi.

Standart tashkilotning BMSni ishlab chiqish, joriy etish, ishlatish, monitoring qilish, tahlil qilish, qo'llab -quvvatlash va takomillashtirish uchun texnologik yondashuvdan foydalanishni nazarda tutadi. U barcha ISMS jarayonlarini tuzishda qo'llanilishi mumkin bo'lgan Plan - Do - Check - Act (PDCA) modeliga asoslangan. Fig. 4.4, axborot xavfsizligi talablari va manfaatdor tomonlarning kutilgan natijalarini kerakli harakatlar va jarayonlar orqali, bu talablarga va kutilgan natijalarga javob beradigan axborot xavfsizligi natijalarini qanday kiritishini ko'rsatuvchi ISBS ko'rsatadi.

Guruch. 4.4.

Sahnada "Axborot xavfsizligini boshqarish tizimini ishlab chiqish" tashkilot quyidagilarni bajarishi kerak:

• - AXBT doirasi va chegaralarini aniqlash;
• - korxona, tashkilot, uning joylashuvi, aktivlari va texnologiyalarining xususiyatlaridan kelib chiqqan holda, XBYS siyosatini aniqlash;
• - tashkilotda tavakkalchilikni baholashga yondashuvni aniqlash;
• - xavflarni aniqlash;
• - xavflarni tahlil qilish va baholash;
• - xavflarni davolashning turli variantlarini aniqlash va baholash;
• - xavflarni davolash maqsadlari va nazoratini tanlash;
• - kutilayotgan qoldiq xatarlarning ma'muriyatidan ruxsat olish;
• - ATBTni joriy etish va ishlatish uchun rahbariyatdan ruxsat olish;
• - ariza berish to'g'risidagi deklaratsiyani tayyorlash.

Sahna " Axborot xavfsizligini boshqarish tizimini joriy etish va ishlatish " taklif qiladi:

• - axborot xavfsizligi xavfini boshqarishning tegishli boshqaruv harakatlari, resurslari, mas'uliyati va ustuvorliklarini belgilaydigan xavflarni davolash rejasini ishlab chiqish;
• - rejalashtirilgan boshqaruv maqsadlariga erishish uchun tavakkalchilikni davolash rejasini amalga oshirish, shu jumladan moliyalashtirish masalalari, shuningdek rol va majburiyatlarni taqsimlash;
• - tanlangan boshqaruv choralarini amalga oshirish;
• - tanlangan nazorat choralari samaradorligini o'lchash usulini aniqlash;
• - xodimlarni o'qitish va malakasini oshirish dasturlarini amalga oshirish;
• - AXBT ishini boshqarish;
• - XBTM resurslarini boshqarish;
• - axborot xavfsizligi hodisalarini tezkor aniqlash va axborot xavfsizligi hodisalariga javob berishni ta'minlash uchun protseduralar va boshqa nazorat choralarini amalga oshirish.

Uchinchi bosqich " Axborot xavfsizligini boshqarish tizimini monitoring qilish va tahlil qilish " talab qiladi:

• - monitoring va tahlil jarayonlarini amalga oshirish;
• - AXBT samaradorligini muntazam tahlil qilish;
• - IS talablariga muvofiqligini tekshirish uchun nazorat samaradorligini o'lchash;
• - belgilangan vaqt oralig'ida tavakkalchilikni baholashni qayta ko'rib chiqish, o'zgarishlarni hisobga olgan holda qoldiq xatarlarni va tavakkalchilikning maqbul darajasini tahlil qilish;
• - belgilangan vaqt oralig'ida BTYS ichki auditini o'tkazish;
• - tashkilot rahbariyati tomonidan SMSning adekvatligini tasdiqlash va takomillashtirish yo'nalishlarini aniqlash maqsadida muntazam ravishda ISMS tahlilini o'tkazish;
• - tahlil va monitoring natijalarini hisobga olgan holda IS rejalarini yangilash;
• - AXBT samaradorligi yoki ishlashiga ta'sir ko'rsatishi mumkin bo'lgan harakatlar va hodisalarni yozib olish.

Nihoyat, sahna "Axborot xavfsizligini boshqarish tizimini qo'llab -quvvatlash va takomillashtirish" tashkilot quyidagi tadbirlarni muntazam ravishda olib borishni taklif qiladi:

• - XBYTni takomillashtirish imkoniyatlarini aniqlash;
• - kerakli tuzatish va profilaktika choralarini ko'rish, o'z tashkilotida ham, boshqa tashkilotlarda ham to'plangan IS tajribasidan foydalanish;
• - ATBni takomillashtirish bo'yicha harakatlar to'g'risida batafsil ma'lumotni barcha manfaatdor tomonlarga etkazish, shu bilan birga uning tafsilotlari darajasi vaziyatga mos kelishi va kerak bo'lganda boshqa harakatlar to'g'risida kelishib olishi kerak;
• - rejalashtirilgan maqsadlarga erishish uchun BMSni takomillashtirishni amalga oshirishni ta'minlash.

Standartda, shuningdek, XBTT siyosati qoidalari va faoliyat sohasining tavsifi, metodologiyasi tavsifi va tavakkalchilikni baholash hisoboti, tavakkalchilikni davolash rejasi va hujjatlarni o'z ichiga olishi kerak bo'lgan hujjatlar talablari berilgan. tegishli protseduralar. Shuningdek, ISMS hujjatlarini boshqarish jarayonini aniqlash kerak, shu jumladan yangilash, ishlatish, saqlash va yo'q qilish.

ISMSning talablari va samaradorligiga muvofiqligini isbotlash uchun jarayonlarning bajarilishi to'g'risidagi yozuvlar va yozuvlarni yuritish va yuritish zarur. Masalan, tashrif buyuruvchilar jurnallari, audit hisobotlari va boshqalar.

Standart shuni ko'rsatadiki, tashkilot menejmenti ISMSni yaratish uchun zarur bo'lgan resurslarni taqdim etish va boshqarish, shuningdek xodimlar uchun treninglar tashkil etish uchun javobgardir.

Yuqorida aytib o'tilganidek, tashkilot ISMS ichki auditini tasdiqlangan jadvalga muvofiq o'tkazishi va uning funksionalligi va standartga muvofiqligini baholashi kerak. Rahbariyat esa axborot xavfsizligini boshqarish tizimining tahlilini o'tkazishi kerak.

Shuningdek, axborot xavfsizligini boshqarish tizimini takomillashtirish bo'yicha ishlar olib borilishi kerak: uning samaradorligini oshirish va tizimning hozirgi holati va unga qo'yiladigan talablarga muvofiqlik darajasini oshirish.

Agar ISO / IEC_27001 talablariga muvofiq qurilgan bo'lsa, u PDCA modeliga asoslanadi:

Reja(Rejalashtirish) - BMSni yaratish, aktivlar ro'yxatini tuzish, tavakkalchilikni baholash va choralarni tanlash bosqichi;

Qil(Harakat) - tegishli chora -tadbirlarni amalga oshirish va amalga oshirish bosqichi;

Tekshirish(Tekshirish) - XBYS samaradorligi va ishlashini baholash bosqichi. Odatda ichki auditorlar tomonidan amalga oshiriladi.

Qonun(Yaxshilashlar) - profilaktik va tuzatuvchi harakatlarni amalga oshirish;

Axborot xavfsizligi tushunchasi

ISO 27001 standarti axborot xavfsizligini quyidagicha ta'riflaydi: “ma'lumotlarning maxfiyligini, yaxlitligini va mavjudligini saqlash; bundan tashqari, haqiqiylik, rad etilmaslik, ishonchlilik kabi boshqa xususiyatlarni kiritish mumkin. "

Maxfiylik - ma'lumotlarning mavjudligini faqat tegishli vakolatga ega bo'lganlar (vakolatli foydalanuvchilar) uchun ta'minlash.

Butunlik - ma'lumotlarning aniqligi va to'liqligini, shuningdek ularni qayta ishlash usullarini ta'minlash.

Mavjudligi - kerak bo'lganda vakolatli foydalanuvchilarga ma'lumotlarga kirishni ta'minlash (talab bo'yicha).

4 Axborot xavfsizligini boshqarish tizimi

4.1 Umumiy talablar

Tashkilot tashkilotning tadbirkorlik faoliyati davomida va u duch kelishi mumkin bo'lgan xavf -xatarlar bilan ta'minlangan ISMSning hujjatlashtirilgan qoidalarini o'rnatishi, amalga oshirishi, ishlatishi, nazorat qilishi, qayta ko'rib chiqishi, saqlanishi va takomillashtirishi kerak. Ushbu Xalqaro standartning amaliy foydasi uchun ishlatilgan jarayon 8 -rasmda ko'rsatilgan PDCA modeliga asoslangan. 1.

4.2 AXBTni tashkil etish va boshqarish

4.2.1 ISBHni yaratish

Tashkilot quyidagilarni bajarishi kerak.

a) Tashkilot faoliyatining o'ziga xos xususiyatlarini inobatga olgan holda, tashkilotning o'zi, uning joylashuvi, aktivlari va texnologiyasi, XBTT doirasi va chegaralarini, shu jumladan hujjatning har qanday qoidalarini XBTT loyihasidan chiqarib tashlashning tafsilotlari va asoslarini belgilaydi (1.2 -bandga qarang). ).

b) Tashkilot faoliyatining o'ziga xos xususiyatlarini inobatga olgan holda, tashkilotning o'zi, uning joylashuvi, aktivlari va texnologiyasi BXBT siyosatini ishlab chiqadi:

1) maqsadlarni (vazifalarni) belgilash tizimini o'z ichiga oladi va axborot xavfsizligi bo'yicha boshqaruvning umumiy yo'nalishini va harakat tamoyillarini belgilaydi;

2) biznes va qonuniy yoki me'yoriy talablarni, shartnomaviy xavfsizlik majburiyatlarini hisobga oladi;

3) XMSni yaratish va yuritish amalga oshiriladigan strategik tavakkalchilik muhitiga biriktirilgan;

4) tavakkalchilik baholanadigan mezonlarni belgilaydi (4.2.1 s ga qarang); va

5) rahbariyat tomonidan tasdiqlangan.

ESLATMA: Ushbu Xalqaro standartning maqsadlariga muvofiq, ISMS siyosati axborot xavfsizligi siyosatining kengaytirilgan to'plamidir. Bu siyosatni bitta hujjatda tasvirlash mumkin.

c) Tashkilotda tavakkalchilikni baholash uchun asos yaratish.

1) XBYS va biznes axborot xavfsizligi, qonuniy va tartibga soluvchi talablarga mos keladigan tavakkalchilikni baholash metodologiyasini aniqlang.

2) tavakkalchilikni qabul qilish mezonlarini ishlab chiqish va tavakkalchilikning maqbul darajasini aniqlash (5.1f ga qarang).

Tanlangan tavakkalchilik metodologiyasi tavakkalchilik bahosining solishtiriladigan va takrorlanadigan natijalar berishini ta'minlashi kerak.

QAYD: Xatarlarni baholashning turli usullari mavjud. Xavflarni baholash metodologiyasining namunalari ISO / IEC TU 13335-3, Axborot texnologiyalari - menejment bo'yicha tavsiyalarITXavfsizlik - boshqaruv texnikasiITXavfsizlik.

d) xavflarni aniqlash.

1) XBTT va mulkdorlar doirasidagi aktivlarni belgilang2 (2 "Egasi" atamasi ishlab chiqarish, rivojlanish, Xizmat, aktivlarning qo'llanilishi va xavfsizligi. "Mulkdor" atamasi, shaxsning ushbu aktivlarga) egalik qilish huquqiga ega ekanligini anglatmaydi.

2) ushbu aktivlarning xavfliligini aniqlash.

3) Himoya tizimidagi zaifliklarni aniqlash.

4) aktivlarning maxfiyligini, yaxlitligini va mavjudligini buzadigan ta'sirlarni aniqlash.

e) Xatarlarni tahlil qilish va baholash.

1) himoya tizimining ishlamay qolishi, shuningdek maxfiylik, yaxlitlik yoki aktivlarning mavjudligi buzilishi oqibatida tashkilot biznesiga etkazilgan zararni baholang.

2) Hozirgi vaqtda mavjud bo'lgan xavf-xatarlar, aktivlar bilan bog'liq ta'sirlar va nazoratni hisobga olgan holda xavfsizlikning buzilishi ehtimolini aniqlang.

3) xavf darajasini baholang.

4) 4.2.1c) 2) da ko'rsatilgan tavakkalchilikning maqbullik mezonlari yordamida tavakkalchilikning maqbulligini aniqlang yoki kamaytirishni talab qiling.

f) xavflarni kamaytirish vositalarini aniqlash va baholash.

Mumkin bo'lgan harakatlarga quyidagilar kiradi:

1) tegishli boshqaruv vositalarini qo'llash;

2) tavakkalchiliklarni ongli va xolis qabul qilish, ularning tashkilot siyosati talablariga va tavakkalchiliklarga bardoshlik mezonlariga so'zsiz muvofiqligini ta'minlash (4.2.1c -ga qarang) 2));

3) xavflardan qochish; va

4) tegishli biznes tavakkalchiliklarini boshqa tomonga o'tkazish, masalan, sug'urta kompaniyalari, etkazib beruvchilar.

g) tavakkalchiliklarni kamaytirish uchun vazifalar va boshqaruv vositalarini tanlang.

Vazifalar va nazoratlar tavakkalchilikni baholash va xavflarni kamaytirish jarayonida belgilangan talablarga muvofiq tanlanishi va amalga oshirilishi kerak. Bu tanlovda tavakkalchilikka bardoshlilik mezonlari (4.2.1c ga qarang) 2)), shuningdek, qonuniy, me'yoriy va shartnoma talablari hisobga olinishi kerak.

Belgilangan talablarga javob berish uchun A ilovasidagi vazifalar va boshqaruv elementlari ushbu jarayonning bir qismi sifatida tanlanishi kerak.

Hamma vazifalar va boshqaruv elementlari A ilovasida ko'rsatilmaganligi uchun qo'shimcha vazifalarni tanlash mumkin.

ESLATMA: Qo'shimcha A tashkilotlarga eng mos keladigan boshqaruv maqsadlarining to'liq ro'yxatini o'z ichiga oladi. Tekshirish variantlaridan bitta muhim nuqtani o'tkazib yubormaslik uchun, ushbu Xalqaro standartdan foydalanishda namunaviy nazoratni boshlash uchun A ilovasi qo'llanilishi kerak.

h) kutilayotgan qoldiq xatarlarni boshqarish ma'qullanishiga erishish.

4) xavfsizlik hodisalarini aniqlashga ko'maklashish va shu tariqa ma'lum ko'rsatkichlar yordamida xavfsizlik hodisalarini oldini olish; va

5) xavfsizlik buzilishlarining oldini olish bo'yicha ko'rilgan harakatlarning samaradorligini aniqlash.

b) audit natijalari, baxtsiz hodisalar, ish faoliyatini o'lchash natijalari, barcha manfaatdor tomonlarning takliflari va tavsiyalarini hisobga olgan holda, AXBT samaradorligini muntazam ko'rib chiqish (shu jumladan, XBTT siyosati va uning maqsadlarini muhokama qilish, xavfsizlik nazoratini qayta ko'rib chiqish). .

c) xavfsizlik talablari bajarilganligini aniqlash uchun nazorat samaradorligini baholang.

d) rejalashtirilgan davrlar uchun tavakkalchilikni baholang va quyidagi o'zgarishlarni hisobga olgan holda qoldiq xatarlarni va tavakkalchiliklarni tekshiring.

1) tashkilotlar;

2) texnologiya;

3) biznes maqsadlari va jarayonlari;

4) aniqlangan tahdidlar;

5) joriy qilingan boshqaruv vositalarining samaradorligi; va

6) qonuniy va boshqaruv muhitining o'zgarishi, shartnoma majburiyatlarining o'zgarishi, ijtimoiy iqlimning o'zgarishi kabi tashqi hodisalar.

e) rejalashtirilgan davrlarda XBYS ichki auditini o'tkazish (6 -bandga qarang)

QAYD: Ichki audit, ba'zida boshlang'ich audit deb ataladi, o'z maqsadlari uchun tashkilotning o'zi nomidan o'tkaziladi.

f) Vaziyat o'z kuchida qolishi va BMSni takomillashtirishga ishonch hosil qilish uchun BMSni boshqarishni muntazam ravishda ko'rib chiqing.

g) monitoring va audit natijalariga asoslangan xavfsizlik rejalarini yangilash.

h) XBYS samaradorligi yoki ishlashiga ta'sir ko'rsatishi mumkin bo'lgan harakatlar va hodisalarni yozib oling (4.3.3 ga qarang).

4.2.4 XABTni saqlash va takomillashtirish

Tashkilot doimiy ravishda quyidagilarni bajarishi kerak.

a) AXBTda maxsus tuzatishlarni amalga oshirish.

b) 8.2 va 8.3 -bandlarga muvofiq tegishli tuzatish va profilaktika choralarini ko'rish. Tashkilotning o'zi va boshqa tashkilotlarning tajribasidan olgan bilimlarini qo'llang.

v) o'z harakatlari va yaxshilanishlarini barcha manfaatdor tomonlarga vaziyatga mos keladigan darajada etkazish; va shunga muvofiq, ularning harakatlarini muvofiqlashtirish.

d) takomillashtirishlar o'z maqsadiga erishganligini tekshirish.

4.3 Hujjatlar talablari

4.3.1 Umumiy

Hujjatlar boshqaruv qarorlarining protokollarini (yozuvlarini) o'z ichiga olishi kerak, bu harakatlarning zarurligi qarorlar va boshqaruv siyosati bilan bog'liqligiga ishonch hosil qilish; va qayd etilgan natijalarning takrorlanuvchanligiga ishonch hosil qiling.

Tanlangan boshqaruv vositalarining tavakkalchiliklarni baholash va yumshatish jarayonlari natijalariga, so'ngra XBTT siyosati va maqsadlariga bo'lgan munosabatini namoyish qila olish muhimdir.

ISMS hujjatlari quyidagilarni o'z ichiga olishi kerak.

a) AXBT siyosati va maqsadlarining hujjatlashtirilgan bayonoti (4.2.1b -ga qarang);

b) AXBT ta'minoti (4.2.1a ga qarang));

c) XBTTni qo'llab -quvvatlovchi tushuncha va boshqaruv;

d) tavakkalchiliklarni baholash metodologiyasining tavsifi (4.2.1c ga qarang);

e) xavflarni baholash hisoboti (4.2.1c ga qarang) - 4.2.1g));

f) xavflarni kamaytirish rejasi (4.2.2b ga qarang));

g) tashkilotning axborot xavfsizligi jarayonlarini samarali rejalashtirish, boshqarish va boshqarish uchun zarur bo'lgan hujjatlashtirilgan kontseptsiya va boshqaruv samaradorligi qanday o'lchanishini tasvirlash (4.2.3c -ga qarang));

h) ushbu standart talab qiladigan hujjatlar (4.3.3 ga qarang); va

i) Qo'llash mumkinligi to'g'risidagi bayonot.

1 -QAYD: Ushbu Xalqaro standart maqsadlari uchun "hujjatlashtirilgan tushuncha" atamasi kontseptsiyaning amalga oshirilishini, hujjatlashtirilishini, amalga oshirilishini va ta'qib qilinishini bildiradi.

2 -QAYD: Turli tashkilotlarda XBTQ hujjatlari hajmi quyidagilarga qarab farq qilishi mumkin.

Tashkilot hajmi va uning aktivlari turi; va

Xavfsizlik talablari va boshqariladigan tizimning ko'lami va murakkabligi.

QAYD 3: Hujjatlar va hisobotlar har qanday shaklda topshirilishi mumkin.

4.3.2 Hujjatlarni nazorat qilish

ISMS talab qiladigan hujjatlar himoyalangan va tartibga solinishi kerak. Boshqaruv harakatlarini tavsiflash uchun zarur bo'lgan hujjatlar tartibini tasdiqlash kerak:

a) hujjatlar e'lon qilinishidan oldin ularning ma'lum standartlarga muvofiqligini aniqlash;

b) kerak bo'lganda hujjatlarni tekshirish va yangilash, hujjatlarni qayta tasdiqlash;

v) o'zgarishlarning qayta ko'rib chiqilgan hujjatlar holatiga mos kelishini ta'minlash;

d) haqiqiy hujjatlarning muhim versiyalari mavjudligini ta'minlash;

e) hujjatlarning tushunarli va tushunarli bo'lishini ta'minlash;

f) hujjatlarni muhtojlarga taqdim etish; shuningdek, tasnifiga qarab qo'llaniladigan tartibda ularni topshirish, saqlash va nihoyat yo'q qilish;

g) tashqi manbalardan olingan hujjatlarning haqiqiyligini aniqlash;

h) hujjatlar tarqatilishini nazorat qilish;

i) eskirgan hujjatlarning maqsadsiz ishlatilishiga yo'l qo'ymaslik; va

j) agar kerak bo'lsa, ularga tegishli identifikatsiya usulini qo'llash.

4.3.3 Yozuvlarni nazorat qilish

XABSning muvofiqligi va samarali ishlashini isbotlovchi yozuvlar tuzilishi va saqlanishi kerak. Yozuvlar himoyalangan va tasdiqlangan bo'lishi kerak. AXBT har qanday qonuniy va tartibga soluvchi talablar va shartnoma majburiyatlarini hisobga olishi kerak. Yozuvlar tushunarli, aniqlanishi va qaytarib olinishi kerak. Yozuvlarni identifikatsiyalash, saqlash, himoya qilish, tiklash, saqlash va yo'q qilish uchun zarur bo'lgan nazorat vositalari hujjatlashtirilishi va amalga oshirilishi kerak.

Yozuvlarda 4.2-bandda tasvirlangan tadbirlarni amalga oshirish to'g'risidagi ma'lumotlar, shuningdek, XMT bilan bog'liq bo'lgan barcha hodisalar va xavfsizlik bilan bog'liq hodisalar to'g'risidagi ma'lumotlar bo'lishi kerak.

Yozuvlarga misollar - mehmonlar daftarchasi, audit jurnallari va to'ldirilgan ruxsatnomalar varaqlari.

O'zingizning yaxshi ishlaringizni ma'lumotlar bazasiga yuborish juda oddiy. Quyidagi formadan foydalaning

Bilimlar bazasidan o'qish va ishda foydalanadigan talabalar, aspirantlar, yosh olimlar sizga juda minnatdor bo'lishadi.

E'lon qilingan http://www.allbest.ru/

"Axborot xavfsizligini boshqarish tizimi"

boshqaruv xalqaro standarti

Vo'tkazish

Axborot xavfsizligini boshqarish tizimi - bu axborot aktivlarining maxfiyligi, yaxlitligi va mavjudligini ta'minlash uchun kompaniyada ishlaydigan jarayonlar majmui. Inshoning birinchi qismida tashkilotda menejment tizimini joriy etish jarayoni ko'rib chiqilgan va axborot xavfsizligini boshqarish tizimini joriy qilishdan olinadigan afzalliklarning asosiy jihatlari berilgan.

Shakl.1. Boshqaruv aylanishi

Jarayonlar va ularning faoliyatini eng yaxshi tashkil etish bo'yicha tavsiyalar ro'yxati ISO 27001: 2005 xalqaro standartida berilgan, u "Plan-Do-Check-Act-Management" tsikliga asoslangan. Uning so'zlariga ko'ra hayot sikli AXBT to'rt turdagi faoliyatdan iborat: Yaratish - Amalga oshirish va ishlatish - Monitoring va tahlil - Xizmat va takomillashtirish (1 -rasm). Ushbu standart ikkinchi qismda batafsilroq muhokama qilinadi.

BILANtizimboshqaruvma `lumotxavfsizlik

Axborot xavfsizligi menejmenti tizimi - axborot xavfsizligini yaratish, joriy etish, ishlatish, monitoring qilish, tahlil qilish, qo'llab -quvvatlash va takomillashtirishda biznes tavakkalchilik yondashuviga asoslangan umumiy boshqaruv tizimining bir qismi. ISMS jarayonlari tsiklga asoslangan ISO / IEC 27001: 2005 talablariga muvofiq ishlab chiqilgan

Tizimning ishi boshqaruvning tavakkalchiliklarining zamonaviy nazariyasining yondashuvlariga asoslangan bo'lib, bu uning tashkilotning tavakkalchiliklarni boshqarishning umumiy tizimiga integratsiyasini ta'minlaydi.

Axborot xavfsizligi menejmenti tizimini joriy etish axborot xavfsizligi xavflarini, ya'ni axborot aktivlari (har qanday shakldagi va har qanday xarakterdagi ma'lumotlar) xavflarini tizimli aniqlash, tahlil qilish va yumshatishga qaratilgan tartibni ishlab chiqish va amalga oshirishni nazarda tutadi. maxfiylik, yaxlitlik va mavjudlikni yo'qotadi.

Axborot xavfsizligi xatarlarini tizimli ravishda yumshatilishini ta'minlash uchun xavflarni baholash natijalariga ko'ra tashkilotda quyidagi jarayonlar amalga oshirilmoqda:

· Axborot xavfsizligini ichki tashkil etishni boshqarish.

· Uchinchi shaxslar bilan muloqot qilishda axborot xavfsizligini ta'minlash.

· Axborot aktivlari reestri va ularni tasniflash qoidalarini boshqarish.

· Uskunalar xavfsizligini boshqarish.

· Jismoniy xavfsizlikni ta'minlash.

· Kadrlarning axborot xavfsizligini ta'minlash.

· Axborot tizimlarini rejalashtirish va qabul qilish.

· Zaxira.

· Tarmoq xavfsizligini ta'minlash.

Axborot xavfsizligini boshqarish tizimi jarayonlari tashkilotning IT-infratuzilmasini boshqarishning barcha jihatlariga ta'sir qiladi, chunki axborot xavfsizligi axborot texnologiyalari bilan bog'liq jarayonlarning barqaror ishlashi natijasidir.

Kompaniyalarda BMSni qurishda mutaxassislar quyidagi ishlarni bajaradilar:

· Loyihani boshqarishni tashkil etish, buyurtmachi va pudratchi tomonidan loyiha guruhini tuzish;

· AXBT faoliyat sohasini (AO) aniqlash;

OD ISMSda tashkilotni o'rganish:

o tashkilotning biznes jarayonlari nuqtai nazaridan, shu jumladan tahlil salbiy oqibatlar axborot xavfsizligi hodisalari;

o tashkilotni boshqarish jarayonlari, shu jumladan mavjud sifat menejmenti va axborot xavfsizligini boshqarish jarayonlari nuqtai nazaridan;

o IT -infratuzilma nuqtai nazaridan;

o axborot xavfsizligi infratuzilmasi nuqtai nazaridan.

Asosiy biznes -jarayonlar ro'yxati va ularga nisbatan axborot xavfsizligi tahdidlarini amalga oshirish oqibatlarini baholash, boshqaruv jarayonlari, AT -tizimlari, axborot xavfsizligi quyi tizimlari (ISS) ro'yxatini o'z ichiga olgan tahliliy hisobotni ishlab chiqish va kelishish. tashkilotning ISO 27001 talablariga javob berish darajasini baholash va tashkilot jarayonlarining etukligini baholash;

· ISHSning yetishishining boshlang'ich va maqsadli darajasini tanlash, ISMSning etukligini yaxshilash dasturini ishlab chiqish va tasdiqlash; yuqori darajadagi axborot xavfsizligi hujjatlarini ishlab chiqish:

o Axborot xavfsizligi kontseptsiyasi,

IS va ISMS siyosati;

· Tashkilotda qo'llaniladigan xavflarni baholash metodologiyasini tanlash va moslashtirish;

· ISMS jarayonlarini avtomatlashtirish uchun ishlatiladigan dasturiy ta'minotni tanlash, etkazib berish va joylashtirish, kompaniya mutaxassislari uchun treninglar tashkil etish;

· Xatarlarni baholash va qayta ishlash, bunda ularni kamaytirish uchun 27001 standarti A ilovasining chora-tadbirlari tanlanadi va ularni tashkilotda joriy etish talablari ishlab chiqiladi, axborot xavfsizligining texnik vositalari oldindan tanlanadi;

· PIBning dastlabki loyihalarini ishlab chiqish, xavflarni davolash xarajatlarini baholash;

· Tashkilotning yuqori rahbariyati tomonidan tavakkalchilikni baholashni tasdiqlashni tashkil etish va Qo'llash mumkinligi to'g'risidagi bayonotni ishlab chiqish; axborot xavfsizligini ta'minlash bo'yicha tashkiliy chora -tadbirlarni ishlab chiqish;

· Ishlab chiqish va amalga oshirish texnik loyihalar tanlangan chora -tadbirlarni amalga oshirishni qo'llab -quvvatlaydigan texnik axborot xavfsizligi quyi tizimlarini joriy etish to'g'risida, shu jumladan asbob -uskunalarni etkazib berish, ishga tushirish, operatsion hujjatlarni ishlab chiqish va foydalanuvchilarni o'qitish;

· Qurilgan BMSni ishga tushirish vaqtida maslahatlar berish;

· Ichki auditorlar uchun treninglar tashkil etish va ISMS ichki auditini o'tkazish.

Bu ishlarning natijasi - bu ishlaydigan ISMS. Kompaniyada ISMSni joriy etishdan quyidagi foyda olinadi:

· Axborot xavfsizligi sohasida qonun talablari va biznes talablariga rioya etilishini samarali boshqarish;

· IS hodisalarining oldini olish va ular paydo bo'lgan taqdirda zararni kamaytirish;

· Tashkilotda axborot xavfsizligi madaniyatini oshirish;

· Axborot xavfsizligini boshqarish sohasida etuklikni oshirish;

· Axborot xavfsizligi xarajatlarini optimallashtirish.

ISO / IEC27001-- xalqarostandartyoqilganma `lumotxavfsizlik

Ushbu standart Xalqaro standartlashtirish tashkiloti (ISO) va Xalqaro elektrotexnika komissiyasi (IEC) tomonidan ishlab chiqilgan. Standartda XBYSni yaratish, ishlab chiqish va yuritish uchun axborot xavfsizligi talablari mavjud. ISO 27001, tashkilotning axborot aktivlarini himoya qilish qobiliyatini namoyish etish uchun ISBSga qo'yiladigan talablarni belgilaydi. Xalqaro standart "axborotni himoya qilish" tushunchasidan foydalanadi va ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini ta'minlash sifatida talqin qilinadi. Standartning asosi axborot xatarlarini boshqarish tizimi hisoblanadi. Ushbu standart manfaatdor ichki va tashqi tomonlarning muvofiqligini baholash uchun ham ishlatilishi mumkin.

Standart axborot xavfsizligini boshqarish tizimini (ISMS) yaratish, amalga oshirish, ishlatish, doimiy monitoring qilish, tahlil qilish, saqlash va takomillashtirish uchun texnologik yondashuvni o'z ichiga oladi. Bu tashkilot ichidagi jarayonlar tizimini, shu jarayonlarni aniqlash va o'zaro ta'sirini, shuningdek ularni boshqarishni o'z ichiga oladi.

Xalqaro standart Shevart-Deming tsikli deb ham ataladigan Plan-Do-Check-Act (PDCA) modelini qabul qiladi. Bu tsikl barcha ISMS jarayonlarini tuzishda ishlatiladi. 2 -rasmda XBTQ axborot xavfsizligi talablari va manfaatdor tomonlarning taxminlarini kirish sifatida qabul qilishi va kerakli harakatlar va jarayonlar orqali ushbu talablar va kutishlarga javob beradigan axborot xavfsizligi natijalarini ko'rsatishi ko'rsatilgan.

Rejalashtirish - bu BMSni yaratish, aktivlar inventarizatsiyasini tuzish, tavakkalchiliklarni baholash va choralarni tanlash bosqichidir.

Shakl 2. ISMS jarayonlariga qo'llaniladigan PDCA modeli

Amalga oshirish - tegishli choralarni amalga oshirish va amalga oshirish bosqichi.

Ko'rib chiqish - XBYS samaradorligi va ish faoliyatini baholash bosqichi. Odatda ichki auditorlar tomonidan amalga oshiriladi.

Harakat - profilaktika va tuzatish choralarini ko'rish.

Vxulosalar

ISO 27001 standarti BXBTni joriy etish va ishlatishning umumiy modelini va BMSni kuzatish va takomillashtirish bo'yicha harakatlarni tavsiflaydi. ISO sifat menejmenti bilan shug'ullanadigan ISO / IEC 9001: 2000 va atrof -muhitni boshqarish tizimlari bilan shug'ullanadigan ISO / IEC 14001: 2004 kabi menejment tizimining turli standartlarini uyg'unlashtirish niyatida. ISOning maqsadi - XYSSni kompaniyaning boshqa boshqaruv tizimlari bilan izchilligi va integratsiyasini ta'minlash. Standartlarning o'xshashligi joriy etish, boshqarish, qayta ko'rib chiqish, tekshirish va sertifikatlash uchun o'xshash vositalar va funktsiyalardan foydalanishga imkon beradi. Buning ma'nosi shundaki, agar kompaniya menejmentning boshqa standartlarini joriy qilgan bo'lsa, u sifat menejmenti, atrof -muhitni muhofaza qilish, xavfsizlikni boshqarish va boshqalarga qo'llaniladigan yagona audit va boshqaruv tizimidan foydalanishi mumkin. ISMSni joriy qilish orqali yuqori menejment xavfsizlikni kuzatish va boshqarish vositalariga ega bo'ladi, bu esa biznesning qolgan xavflarini kamaytiradi. ISMSni amalga oshirgandan so'ng, kompaniya rasmiy ravishda axborot xavfsizligini ta'minlashi va mijozlar, qonun hujjatlari, tartibga solish organlari va aktsiyadorlar talablarini bajarishda davom etishi mumkin.

Shuni ta'kidlash kerakki, Rossiya Federatsiyasi qonunchiligida ISO27001 xalqaro standartining tarjima qilingan versiyasi bo'lgan GOST R ISO / IEC 27001-2006 hujjati mavjud.

BILANchiyillashadabiyot

1. Korneev I.R., Belyaev A.V. Korxonaning axborot xavfsizligi. - SPb.: BHV-Peterburg, 2003.- 752 p.: Kasal.

2. Xalqaro ISO 27001 standarti (http://www.specon.ru/files/ISO27001.pdf) (kirish sanasi: 23.05.212)

3. Milliy standart Rossiya Federatsiyasi GOST R ISO/IEC 27003-"Axborot texnologiyalari. Xavfsizlik usullari. Axborot xavfsizligini boshqarish tizimini joriy etish bo'yicha ko'rsatmalar" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (kirish sanasi: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Axborot xavfsizligiga ichki tahdidlardan himoya qilish bo'yicha ko'rsatmalar. SPb.: Piter, 2008.- 320 p.: Kasal.

5. "Vikipediya" erkin ensiklopediyasi maqolasi, "Boshqaruv tizimi

axborot xavfsizligi "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (kirish sanasi: 23.05.12)

6. Sigurjon Tor Arnason va Keyt D. Uillett "27001 sertifikatiga qanday erishish mumkin"

Allbest.ru saytida joylashtirilgan

Shunga o'xshash hujjatlar

Korxonada axborot xavfsizligiga tahdid. Axborot xavfsizligi tizimidagi kamchiliklarni aniqlash. Axborot xavfsizligi tizimini shakllantirishning maqsad va vazifalari. Tashkilotning axborot xavfsizligi tizimini takomillashtirish bo'yicha taklif qilingan chora -tadbirlar.

muddatli ish, 02/03/2011 qo'shilgan


Korxonada axborot xavfsizligi tizimini tahlil qilish. Axborot xavfsizligi xizmati. Korxonaga xos axborot xavfsizligi tahdidlari. Axborotni himoya qilish usullari va vositalari. Xavfsizlik nuqtai nazaridan axborot tizimi modeli.

muddatli ish, 02/03/2011 qo'shilgan


Korxonada boshqaruv tizimini yaratishning asosiy bosqichlari Oziq -ovqat sanoati... HACCP har qanday oziq -ovqat xavfsizligini boshqarish tizimining asosi sifatida. Oziq -ovqat xavfsizligini boshqarish tizimi. Xavfli omillar va profilaktika choralari.

14.10.2014 qo'shilgan abstrakt


Zamonaviy boshqaruv tizimlari va ularning integratsiyasi. Birlashtirilgan sifat menejmenti tizimlari. "275 ARZ" OAJ va uning boshqaruv tizimining tavsifi. Mehnat xavfsizligini boshqarish tizimini ishlab chiqish. Integratsiyalashgan xavfsizlik tizimini baholash usullari.

tezis, 31.07.2011 qo'shilgan


Sifat menejmenti tizimini joriy etish. "Lenta" OAJ misolida sifat menejmenti tizimlari (ISO 9000), atrof -muhitni boshqarish (ISO 14000), tashkilotlarning sog'lig'i va xavfsizligini boshqarish tizimlarini (OHSAS 18 001: 2007) sertifikatlash.

referat, 06.06.2008 yil qo'shilgan


Hujjatlar aylanish jarayonini amalga oshirishning yagona tartibini belgilaydigan boshqaruvning yaxlit tizimini tashkil etish standartini ishlab chiqish. "ZSMK" AJ sifat menejmenti tizimini yaratish bosqichlari. Turar joy elektron versiyalar hujjatlar.

tezis, 01.06.2014 qo'shilgan


Xodimlarning ierarxik diagrammasi. Axborot xavfsizligi vositalari. Xavfsizlik savollari. Korxona axborot oqimining diagrammasi. Axborot tizimining yaxlitligini kuzatish usullari. Xizmat ma'lumotlariga kirishni boshqarishni modellashtirish.

muddatli ish, 30.12.2011 yil qo'shilgan


Boshqaruv axborot tizimi tushunchasi va uning o'rni umumiy tizim boshqaruv. Axborot tizimlarining turlari va ularning mazmuni. Axborot tizimi sifatida boshqaruv tushunchasi. Moliyaviy boshqaruv tizimining funktsiyalari. Operatsiyalar va bitimlar tuzish tizimlari.

referat 01.06.2015 yilda qo'shilgan


Mehnatni muhofaza qilish sohasidagi tushunchalar. Xalqaro standartlar ISO sifat menejmenti tizimlari, atrof -muhitni boshqarish tizimlari, mehnat xavfsizligi va sog'liqni saqlash menejmenti tizimlari. OHSAS 18001-2007 standartini moslashtirish.

muddatli hujjat, 21.12.2014 yil qo'shilgan


Xarakterli axborotni boshqarish; axborot -huquqiy munosabatlar sub'ektlari; axborotni qabul qilish, uzatish, saqlash va ishlatishning huquqiy rejimi. Axborot almashinuvi va axborot xavfsizligining xususiyatlari va huquqiy jihatlari.