Axborot xavfsizligini boshqarish tizimi. Rossiya Federatsiyasining qonunchilik bazasi. Axborot xavfini boshqarish

Dunyoda axborot texnologiyalari axborotning yaxlitligi, ishonchliligi va maxfiyligini ta'minlash masalasi ustuvor vazifaga aylanadi. Shu sababli, tashkilotda boshqaruv tizimining zarurligini tan olish axborot xavfsizligi(ISMS) - bu strategik qaror.

U korxonada BMSni yaratish, joriy etish, saqlash va doimiy ravishda takomillashtirish uchun ishlab chiqilgan va ushbu standartni tashqi sheriklarga qo'llash orqali tashkilotning axborot xavfsizligi bo'yicha o'z talablariga javob berishi aniq bo'ladi. Ushbu maqolada standartning asosiy talablari muhokama qilinadi va uning tuzilishi muhokama qilinadi.

(ADV31)

ISO 27001 standartining asosiy maqsadlari

Standart tuzilishini tavsiflashga o'tishdan oldin, uning asosiy vazifalarini belgilab olamiz va Rossiyada standartning paydo bo'lish tarixini ko'rib chiqamiz.

Standartning maqsadlari:

• muassasa yagona talablar barcha tashkilotlar uchun XYSSni yaratish, joriy etish va takomillashtirish;
• yuqori rahbariyat va xodimlarning o'zaro ta'sirini ta'minlash;
• ma'lumotlarning maxfiyligini, yaxlitligini va mavjudligini saqlash.

Shu bilan birga, Standart tomonidan belgilangan talablar umumiydir va ularning turi, hajmi yoki tabiatidan qat'i nazar, har qanday tashkilot tomonidan qo'llanilishi ko'zda tutilgan.

Standart tarixi:

• 1995 yilda Britaniya Standartlar Instituti (BSI) Axborot xavfsizligini boshqarish kodeksini Buyuk Britaniyaning milliy standarti sifatida qabul qildi va uni BS 7799 - 1 -qism ostida ro'yxatdan o'tkazdi.
• 1998 yilda BSI BS7799-2 ni ikki qismda nashr etadi, ulardan biri amaliyot kodeksidan, ikkinchisi esa axborot xavfsizligini boshqarish tizimlariga qo'yiladigan talablardan iborat.
• Keyingi qayta ko'rib chiqish jarayonida birinchi qism BS 7799: 1999, 1 -qism sifatida nashr etildi. 1999 yilda standartning ushbu versiyasi Xalqaro sertifikatlashtirish tashkilotiga taqdim etilgan.
• Ushbu hujjat 2000 yilda ISO / IEC 17799: 2000 (BS 7799-1: 2000) xalqaro standarti sifatida tasdiqlangan. Oxirgi versiya 2005 yilda qabul qilingan ushbu standart ISO / IEC 17799: 2005 hisoblanadi.
• 2002 yil sentyabr oyida BS 7799 "Axborot xavfsizligini boshqarish tizimining spetsifikatsiyasi" ning ikkinchi qismi kuchga kirdi. BS 7799 ning ikkinchi qismi 2002 yilda qayta ko'rib chiqilgan va 2005 yil oxirida ISO tomonidan ISO / IEC 27001: 2005 "Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot xavfsizligini boshqarish tizimlari - Talablar" xalqaro standarti sifatida ISO tomonidan qabul qilingan.
• 2005 yilda ISO / IEC 17799 standarti 27 -seriyali standartlar qatoriga kiritildi va qabul qilindi yangi raqam- ISO / IEC 27002: 2005.
• 2013 yil 25 sentyabrda yangilangan ISO / IEC 27001: 2013 "Axborot xavfsizligini boshqarish tizimlari" nashr etildi. Talablar ". Hozirgi vaqtda tashkilotlar ushbu standart versiyasi bo'yicha sertifikatlangan.

Standartning tuzilishi

Ushbu standartning afzalliklaridan biri uning tuzilishining ISO 9001 ga o'xshashligi, chunki u bir xil bo'limlar sarlavhalarini, bir xil matnni, umumiy atamalarni va asosiy ta'riflarni o'z ichiga oladi. Bu holat vaqt va pulni tejaydi, chunki hujjatlarning bir qismi ISO 9001 sertifikati davomida ishlab chiqilgan.

Agar standartning tuzilishi haqida gapiradigan bo'lsak, bu sertifikatlash uchun majburiy bo'lgan ISMS talablari ro'yxati va quyidagi bo'limlardan iborat:

"Qo'shimcha A" talablari majburiydir, lekin standart korxonada qo'llanilishi mumkin bo'lmagan sohalarni istisno qilishga imkon beradi.

Standartni keyingi sertifikatlash uchun korxonada joriy etishda shuni yodda tutish kerakki, 4 - 10 -bo'limlarda belgilangan talablardan istisno qilinmaydi, bu bo'limlar bundan keyin muhokama qilinadi.

4 -bo'lim - Tashkilot kontekstidan boshlaylik

Tashkilot konteksti

Ushbu bo'limda Standart tashkilotdan o'z maqsadlariga mos keladigan va uning BMSni kutilgan natijalarga erishish qobiliyatiga ta'sir etuvchi tashqi va ichki muammolarni aniqlashni talab qiladi. Bunda siz axborot xavfsizligi bo'yicha qonuniy, tartibga soluvchi va shartnomaviy majburiyatlarni hisobga olishingiz kerak. Tashkilot, shuningdek, uning doirasini aniqlash uchun XBTTning ko'lami va qo'llanilishini aniqlab, hujjatlashtirishi kerak.

Etakchilik

Yuqori menejment, masalan, axborot xavfsizligi siyosati va axborot xavfsizligi maqsadlari tashkilot strategiyasiga muvofiqligini ta'minlash orqali, axborot xavfsizligini boshqarish tizimiga etakchilik va sadoqatni namoyish qilishi kerak. Shuningdek, yuqori menejment ISMS uchun zarur bo'lgan barcha resurslar bilan ta'minlanishini ta'minlashi kerak. Boshqacha aytganda, menejment axborot xavfsizligi masalalarida ishtirok etishi xodimlarga tushunarli bo'lishi kerak.

Axborot xavfsizligi siyosati hujjatlashtirilishi va xodimlarga etkazilishi kerak. Bu hujjat ISO 9001 sifat siyosatiga o'xshaydi, u tashkilot maqsadiga mos bo'lishi va axborot xavfsizligi maqsadlarini o'z ichiga olishi kerak. Agar bu aniq maqsadlar bo'lsa, masalan, ma'lumotlarning maxfiyligi va yaxlitligini saqlash yaxshi.

Shuningdek, rahbariyat xodimlar o'rtasida axborot xavfsizligi bilan bog'liq vazifalar va majburiyatlarni taqsimlashi kutilmoqda.

Rejalashtirish

Bu bo'limda biz PDCA (Plan - Do - Check - Act) boshqaruv tamoyilining birinchi bosqichiga - reja tuzish, bajarish, tekshirish, harakat qilish bosqichiga o'tamiz.

Axborot xavfsizligi menejmenti tizimini rejalashtirayotganda, tashkilot 4 -bandda ko'rsatilgan muammolarni hisobga olishi va XTYS kutilgan natijalarga erishishi, kiruvchi ta'sirlarning oldini olish va unga erishish uchun hisobga olinishi kerak bo'lgan xavf va potentsial imkoniyatlarni aniqlashi kerak. doimiy takomillashtirish.

Axborot xavfsizligi maqsadlariga qanday erishishni rejalashtirayotganda, tashkilot quyidagilarni aniqlashi kerak.

• nima qilinadi;
• qanday resurslar kerak bo'ladi;
• kim javobgar bo'ladi;
• maqsadlarga erishilganda;
• natijalar qanday baholanadi.

Bundan tashqari, tashkilot axborot xavfsizligi maqsadlari to'g'risidagi ma'lumotlarni hujjatlashtirilgan ma'lumot sifatida saqlaydi.

Xavfsizlik

Tashkilot XMSni ishlab chiqish, joriy etish, saqlash va doimiy ravishda takomillashtirish uchun zarur bo'lgan resurslarni belgilashi va taqdim etishi kerak, bu ham xodimlarni, ham hujjatlarni o'z ichiga oladi. Xodimlarga kelsak, tashkilot axborot xavfsizligi bo'yicha malakali va malakali xodimlarni yollashi kutilmoqda. Xodimlarning malakasi sertifikatlar, diplomlar va boshqalar bilan tasdiqlanishi kerak. Shartnoma bo'yicha uchinchi tomon mutaxassislarini jalb qilish yoki xodimlaringizni o'qitish mumkin. Hujjatlarga kelsak, u quyidagilarni o'z ichiga olishi kerak.

• standart talab qiladigan hujjatlashtirilgan ma'lumotlar;
• axborot xavfsizligini boshqarish tizimining samaradorligini ta'minlash uchun zarur bo'lgan tashkilot tomonidan aniqlangan hujjatlashtirilgan ma'lumotlar.

ISMS va Standart tomonidan talab qilinadigan hujjatlashtirilgan ma'lumotlar quyidagilar ta'minlanishi uchun nazorat qilinishi kerak:

• qaerda va qachon kerak bo'lsa foydalanish uchun mos va
• tegishli tarzda himoyalangan (masalan, maxfiylik yo'qolishidan, noto'g'ri foydalanish yoki daxlsizlikni yo'qotishdan).

Ishlash

Bu bo'limda PDCA boshqaruv tamoyilining ikkinchi bosqichi - tashkilotning rejalashtirish bo'limida ko'rsatilgan tadbirlarga rioya etilishini ta'minlash va jarayonlarni boshqarishi zarurligi muhokama qilinadi. Shuningdek, tashkilot axborot xavfsizligi xavfini baholashni rejalashtirilgan vaqt oralig'ida yoki muhim o'zgarishlar taklif qilingan yoki sodir bo'lganda amalga oshirishi kerakligini bildiradi. Tashkilot axborot xavfsizligi xavfini baholash natijalarini hujjatlashtirilgan ma'lumot sifatida saqlaydi.

Ish faoliyatini baholash

Uchinchi bosqich - bu tekshirish. Tashkilot AXBT faoliyati va samaradorligini baholaydi. Masalan, u ma'lumot olish uchun ichki audit o'tkazishi kerak

1. Axborot xavfsizligini boshqarish tizimi mos keladi
   • tashkilotning axborot xavfsizligini boshqarish tizimiga qo'yiladigan o'z talablari;
   • standart talablari;
2. axborot xavfsizligini boshqarish tizimi samarali joriy etilgani va ishlayotgani.

O'z -o'zidan ma'lumki, auditning ko'lami va vaqtini oldindan rejalashtirish kerak. Barcha natijalar hujjatlashtirilishi va saqlanishi kerak.

Yaxshilash

Ushbu bo'limning maqsadi, nomuvofiqlik aniqlanganda, harakat yo'nalishini aniqlashdir. Tashkilot kelajakda bunday bo'lmasligi uchun nomuvofiqliklar, oqibatlarni tuzatishi va vaziyatni tahlil qilishi kerak. Barcha nomuvofiqliklar va tuzatuvchi harakatlar hujjatlashtirilishi kerak.

Bu standartning asosiy bo'limlarini yakunlaydi. A ilovasi tashkilot tomonidan bajarilishi kerak bo'lgan aniq talablarni beradi. Masalan, kirishni boshqarish nuqtai nazaridan, foydalaning mobil qurilmalar va axborot tashuvchilar.

ISO 27001 standartini joriy etish va sertifikatlashning afzalliklari

• tashkilot maqomini va shunga muvofiq sheriklar ishonchini oshirish;
• tashkilot faoliyatining barqarorligini oshirish;
• axborot xavfsizligi tahdidlaridan himoya darajasini oshirish;
• manfaatdor shaxslar ma'lumotlarining maxfiyligini zarur darajasini ta'minlash;
• tashkilotning yirik shartnomalarda ishtirok etish qobiliyatini kengaytirish.

Iqtisodiy foyda quyidagilar:

• sertifikatlashtirish organining tashkilotning malakali xodimlar tomonidan nazorat qilinadigan axborot xavfsizligi yuqori darajasiga ega ekanligini mustaqil tasdiqlash;
• amaldagi qonun va qoidalarga muvofiqligini tasdiqlovchi hujjat (majburiy talablar tizimiga muvofiqligi);
• tashkilot mijozlari va sheriklariga xizmat ko'rsatishning to'g'ri darajasini ta'minlash uchun boshqaruv tizimining ma'lum bir yuqori darajasini namoyish etish;
• Boshqaruv tizimlarining muntazam auditini, ish faoliyatini baholash va doimiy takomillashtirishni ko'rsatish.

Sertifikatlash

Tashkilot ushbu standartga muvofiq akkreditatsiyalangan agentliklar tomonidan sertifikatlanishi mumkin. Sertifikatlashtirish jarayoni uch bosqichdan iborat:

• 1 -bosqich - standart talablariga muvofiqligi uchun ISMSning asosiy hujjatlarini auditor tomonidan o'rganilishi - tashkilot hududida ham, bu hujjatlarni tashqi auditorga topshirish orqali ham amalga oshirilishi mumkin;
• 2 -bosqich - batafsil audit, shu jumladan amalga oshirilgan chora -tadbirlarni sinab ko'rish va ularning samaradorligini baholash. Standart talab qiladigan hujjatlarni to'liq o'rganishni o'z ichiga oladi;
• 3 -bosqich - sertifikatlangan tashkilot belgilangan talablarga javob berishini tekshirish uchun audit auditini o'tkazish. Vaqti -vaqti bilan amalga oshiriladi.

Natija

Ko'rib turganingizdek, korxonada ushbu standartdan foydalanish zamonaviy voqelik sharoitida qimmat bo'lgan axborot xavfsizligi darajasini sifat jihatidan yaxshilash imkonini beradi. Standart ko'plab talablarni o'z ichiga oladi, lekin eng muhim talab - yozilganini bajarish! Standart talablarini amalda qo'llamasdan, u bo'sh qog'ozlar to'plamiga aylanadi.

GOST R ISO / IEC 27001-2006 "Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligini boshqarish tizimlari. Talablar "

Standartni ishlab chiquvchilar, bu axborot xavfsizligini boshqarish tizimini (ISMS) ishlab chiqish, joriy etish, ishlatish, monitoring qilish, tahlil qilish, qo'llab -quvvatlash va takomillashtirish uchun namuna sifatida tayyorlanganligini ta'kidlaydilar. ISMS (inglizcha - axborot xavfsizligini boshqarish tizimi; ISMS) axborot xavfsizligini ishlab chiqish, joriy etish, ishlatish, monitoring qilish, tahlil qilish, qo'llab -quvvatlash va takomillashtirish uchun biznes xavfini baholash usullaridan foydalanishga asoslangan umumiy boshqaruv tizimining bir qismi sifatida tavsiflanadi. Boshqaruv tizimi o'z ichiga oladi tashkiliy tuzilma, siyosat, rejalashtirish faoliyati, mas'uliyat, amaliyot, protsedura, jarayon va resurslar.

Standart tashkilotning BMSni ishlab chiqish, joriy etish, ishlatish, monitoring qilish, tahlil qilish, qo'llab -quvvatlash va takomillashtirish uchun texnologik yondashuvdan foydalanishni nazarda tutadi. U barcha ISMS jarayonlarini tuzishda qo'llanilishi mumkin bo'lgan Plan - Do - Check - Act (PDCA) modeliga asoslangan. Fig. 4.4, axborot xavfsizligi talablari va manfaatdor tomonlarning kutilgan natijalarini kerakli harakatlar va jarayonlar orqali, bu talablarga va kutilgan natijalarga javob beradigan axborot xavfsizligi natijalarini qanday ta'minlaganligini ko'rsatuvchi ISMS ko'rsatadi.

Guruch. 4.4.

Sahnada "Axborot xavfsizligini boshqarish tizimini ishlab chiqish" tashkilot quyidagilarni bajarishi kerak:

• - AXBT doirasi va chegaralarini aniqlash;
• - korxona, tashkilot, uning joylashuvi, aktivlari va texnologiyalarining xususiyatlaridan kelib chiqqan holda, XBTQ siyosatini aniqlash;
• - tashkilotda tavakkalchilikni baholashga yondashuvni aniqlash;
• - xavflarni aniqlash;
• - xavflarni tahlil qilish va baholash;
• - xavflarni davolashning turli variantlarini aniqlash va baholash;
• - xavflarni davolash maqsadlari va nazoratini tanlash;
• - kutilayotgan qoldiq xatarlarning ma'muriyatidan ruxsat olish;
• - ATBTni joriy etish va ishlatish uchun rahbariyatdan ruxsat olish;
• - ariza berish to'g'risidagi deklaratsiyani tayyorlash.

Sahna " Axborot xavfsizligini boshqarish tizimini joriy etish va ishlatish " tashkilot quyidagilarni bajarishi kerakligini taklif qiladi:

• - axborot xavfsizligi xavfini boshqarishning tegishli boshqaruv harakatlari, resurslari, mas'uliyati va ustuvorliklarini belgilaydigan tavakkalchilikni davolash rejasini ishlab chiqish;
• - rejalashtirilgan boshqaruv maqsadlariga erishish uchun tavakkalchilikni davolash rejasini amalga oshirish, shu jumladan moliyalashtirish masalalari, shuningdek, rol va majburiyatlarni taqsimlash;
• - tanlangan boshqaruv choralarini amalga oshirish;
• - tanlangan nazorat choralari samaradorligini o'lchash usulini aniqlash;
• - xodimlarni o'qitish va malakasini oshirish dasturlarini amalga oshirish;
• - AXBT ishini boshqarish;
• - XBTM resurslarini boshqarish;
• - axborot xavfsizligi hodisalarini tezkor aniqlash va axborot xavfsizligi hodisalariga javob berishni ta'minlash uchun protseduralar va boshqa nazorat choralarini amalga oshirish.

Uchinchi bosqich " Axborot xavfsizligini boshqarish tizimini monitoring qilish va tahlil qilish " talab qiladi:

• - monitoring va tahlil jarayonlarini amalga oshirish;
• - AXBT samaradorligini muntazam tahlil qilish;
• - IS talablariga muvofiqligini tekshirish uchun nazorat samaradorligini o'lchash;
• - belgilangan vaqt oralig'ida tavakkalchiliklarni qayta ko'rib chiqish, o'zgarishlarni hisobga olgan holda qoldiq xatarlarni va tavakkalchilikning maqbul darajasini tahlil qilish;
• - belgilangan vaqt oralig'ida BTYS ichki auditini o'tkazish;
• - tashkilot rahbariyati tomonidan SMSning adekvatligini tasdiqlash va takomillashtirish yo'nalishlarini aniqlash maqsadida muntazam ravishda ISMS tahlilini o'tkazish;
• - tahlil va monitoring natijalarini hisobga olgan holda IS rejalarini yangilash;
• - AXBT samaradorligi yoki ishlashiga ta'sir ko'rsatishi mumkin bo'lgan harakatlar va hodisalarni yozib olish.

Nihoyat, sahna "Axborot xavfsizligini boshqarish tizimini qo'llab -quvvatlash va takomillashtirish" tashkilot quyidagi tadbirlarni muntazam ravishda olib borishni taklif qiladi:

• - XBYSni takomillashtirish imkoniyatlarini aniqlash;
• - kerakli tuzatish va profilaktika choralarini ko'rish, o'z tashkilotida ham, boshqa tashkilotlarda ham to'plangan IS tajribasidan foydalanish;
• - barcha manfaatdor tomonlarga AXBTni takomillashtirish bo'yicha harakatlar to'g'risida batafsil ma'lumotni etkazish, uning tafsilotlari darajasi vaziyatga mos kelishi va kerak bo'lganda keyingi harakatlar to'g'risida kelishib olishi kerak;
• - rejalashtirilgan maqsadlarga erishish uchun BMSni takomillashtirishni amalga oshirishni ta'minlash.

Standartda, shuningdek, XBTT siyosati qoidalari va faoliyat sohasining tavsifi, metodologiyasi tavsifi va tavakkalchilikni baholash hisoboti, tavakkalchilikni davolash rejasi va hujjatlarni o'z ichiga olishi kerak bo'lgan hujjatlar talablari berilgan. tegishli protseduralar. Shuningdek, ISMS hujjatlarini boshqarish jarayonini aniqlash kerak, shu jumladan yangilash, ishlatish, saqlash va yo'q qilish.

ISMSning talablari va samaradorligiga muvofiqligini isbotlash uchun jarayonlarning bajarilishi to'g'risidagi yozuvlar va yozuvlarni yuritish va yuritish zarur. Masalan, tashrif buyuruvchilar jurnallari, audit hisobotlari va boshqalar.

Standart shuni ko'rsatadiki, tashkilot menejmenti ISMSni yaratish uchun zarur bo'lgan resurslarni taqdim etish va boshqarish, shuningdek xodimlar uchun treninglar tashkil etish uchun javobgardir.

Yuqorida aytib o'tilganidek, tashkilot ISMS ichki auditini tasdiqlangan jadvalga muvofiq o'tkazishi va uning funksionalligi va standartga muvofiqligini baholashi kerak. Rahbariyat esa axborot xavfsizligini boshqarish tizimining tahlilini o'tkazishi kerak.

Shuningdek, axborot xavfsizligini boshqarish tizimini takomillashtirish bo'yicha ishlar olib borilishi kerak: uning samaradorligini oshirish va tizimning hozirgi holati va unga qo'yiladigan talablarga muvofiqlik darajasini oshirish.

Kirish

Tez rivojlanayotgan kompaniya, shuningdek, o'z segmentidagi gigant, daromad olish va o'zini tajovuzkorlar ta'siridan himoya qilishdan manfaatdor. Agar ilgari moddiy qadriyatlarni o'g'irlash asosiy xavf bo'lgan bo'lsa, bugungi kunda o'g'irlikning asosiy roli qimmatli ma'lumotlarga bog'liq. Ma'lumotlarning katta qismini elektron shaklga o'tkazish, mahalliy va global tarmoqlardan foydalanish maxfiy ma'lumotlarga sifat jihatidan yangi tahdidlarni keltirib chiqaradi.

Banklar, boshqaruv tashkilotlari va sug'urta kompaniyalari, ayniqsa, ma'lumotlarning chiqib ketishini juda yaxshi bilishadi. Korxonada axborotni muhofaza qilish - bu mijozlar va xodimlar ma'lumotlarining xavfsizligini ta'minlaydigan muhim chora -tadbirlar majmui elektron hujjatlar va har xil ma'lumotlar, sirlar. Har bir korxona kompyuter uskunalari bilan jihozlangan va World Wide Web -ga kira oladi. Hujumkorlar ushbu tizimning deyarli har bir komponentiga mohirona ulanishadi va qimmatli ma'lumotlarni o'g'irlash uchun katta arsenaldan (viruslar, zararli dasturlar, parollarni topish va boshqalar) foydalanadilar. Har bir tashkilotda axborot xavfsizligi tizimi joriy etilishi kerak. Rahbarlar himoyalanishi kerak bo'lgan barcha turdagi ma'lumotlarni to'plashi, tahlil qilishi va toifalarga ajratishi va tegishli xavfsizlik tizimidan foydalanishi kerak. Ammo bu etarli bo'lmaydi, chunki texnologiyadan tashqari, inson omili ham bor, u ham raqobatchilarga ma'lumotni muvaffaqiyatli etkazishi mumkin. Sizning korxonangizni barcha darajalarda himoya qilishni to'g'ri tashkil etish muhimdir. Bu maqsadlar uchun axborot xavfsizligini boshqarish tizimi ishlatiladi, uning yordamida menejer biznesni monitoring qilishning uzluksiz jarayonini o'rnatadi va o'z ma'lumotlarining yuqori darajadagi xavfsizligini ta'minlaydi.

1. Mavzuning dolzarbligi

Har biriga zamonaviy korxona, kompaniya yoki tashkilot, eng muhim vazifalardan biri aynan axborot xavfsizligini ta'minlashdir. Agar korxona axborot tizimini barqaror himoya qilsa, u o'z faoliyati uchun ishonchli va xavfsiz muhitni yaratadi. Axborotning shikastlanishi, oqishi, etishmasligi va o'g'irlanishi har bir kompaniya uchun har doim yo'qotishdir. Shu bois korxonalarda axborot xavfsizligini boshqarish tizimini yaratish zamonamizning dolzarb masalasidir.

2. Tadqiqotning maqsad va vazifalari

Donetsk viloyatining o'ziga xos xususiyatlarini hisobga olgan holda korxonada axborot xavfsizligini boshqarish tizimini yaratish yo'llarini tahlil qiling.

• tahlil qilmoq zamonaviy korxonalarda axborot xavfsizligini boshqarish tizimlari;
• korxonalarda axborot xavfsizligini boshqarish tizimini yaratish va joriy etish sabablarini aniqlash;
• "Donetsk konlarini qutqarish uskunalari zavodi" YoAJ misolida axborot xavfsizligini boshqarish tizimini ishlab chiqish va joriy etish;
• korxonada axborot xavfsizligini boshqarish tizimini joriy etishning samaradorligi, samaradorligi va iqtisodiy maqsadga muvofiqligini baholash.

3. Axborot xavfsizligini boshqarish tizimi

Axborot xavfsizligi deganda, axborot munosabatlarining sub'ektlariga qabul qilinmaydigan zarar etkazishi mumkin bo'lgan tabiiy yoki sun'iy tasodifiy tasodifiy ta'sirlardan (axborot tahdidlari, tahdidlar) axborotni himoya qilish va infratuzilmani qo'llab -quvvatlash holati tushuniladi.

Axborotning mavjudligi - vakolatli (vakolatli) sub'ektlarning o'zlarini qiziqtirgan ma'lumotlarga o'z vaqtida to'siqsiz kirishini ta'minlash yoki ular o'rtasida o'z vaqtida ma'lumot almashishni amalga oshirish tizimining mulki.

Axborotning yaxlitligi - bu uning tasodifiy yoki qasddan yo'q qilinishiga yoki ruxsatsiz o'zgarishiga qarshilik ko'rsatuvchi xususiyatidir. Butunlikni statik (axborot ob'ektlarining o'zgarmasligi tushuniladi) va dinamik (murakkab harakatlar (bitimlar) ning to'g'ri bajarilishi bilan bog'liq) bo'linishi mumkin.

Axborotning maxfiyligi - bu ma'lumotlarning faqat tizim vakolatli sub'ektlari (foydalanuvchilar, dasturlar, jarayonlar) bilishi va ularga kirish huquqi. Maxfiylik - mamlakatimizda axborot xavfsizligining eng rivojlangan jihati.

Axborot xavfsizligi menejmenti tizimi (bundan buyon matnda ISMS) axborot xavfsizligini o'rnatish, joriy etish, boshqarish, monitoring qilish, saqlash va takomillashtirishga mo'ljallangan biznes -tavakkalchilik yondashuvlariga asoslangan umumiy boshqaruv tizimining bir qismidir.

Korxonadagi ma'lumotlar va ma'lumotlarni himoya qilishga ta'sir qiluvchi asosiy omillar:

• Kompaniyaning sheriklar bilan hamkorligini kuchaytirish;
• Biznes jarayonlarini avtomatlashtirish;
• Mavjud aloqa kanallari orqali uzatiladigan korxona ma'lumotlari hajmini oshirish tendentsiyasi;
• Kompyuter jinoyatlarining o'sish tendentsiyasi.

Kompaniyaning axborot xavfsizligi tizimlarining vazifalari ko'p qirrali. Masalan, bu turli xil axborot tashuvchilarda ishonchli ma'lumotlarni saqlashni ta'minlash; aloqa kanallari orqali uzatiladigan ma'lumotlarni himoya qilish; ba'zi ma'lumotlarga kirishni cheklash; zaxira nusxalarini yaratish va boshqalar.

Kompaniyaning to'liq axborot xavfsizligi faqat ma'lumotlarni himoya qilishga to'g'ri yondashuv bilan haqiqiydir. Axborot xavfsizligi tizimida barcha mavjud tahdid va zaifliklarni hisobga olish zarur.

Axborotni boshqarish va himoya qilishning eng samarali vositalaridan biri MS ISO / IEC 27001: 2005 modeli asosida yaratilgan axborot xavfsizligini boshqarish tizimi hisoblanadi. Standart bunga asoslanadi jarayon yondashuvi kompaniyaning BMSni ishlab chiqish, joriy etish, ishlatish, monitoring, tahlil qilish, texnik xizmat ko'rsatish va takomillashtirish. U XMSni rejalashtirish, amalga oshirish, tekshirish va takomillashtirishning uzluksiz tsiklida o'zaro bog'liq bo'lgan boshqaruv jarayonlari tizimini yaratish va qo'llashdan iborat.

Ushbu xalqaro standart ISMSni joriy etish, joriy etish, ishlatish, monitoring, tahlil qilish, texnik xizmat ko'rsatish va takomillashtirish modelini yaratish maqsadida tayyorlangan.

ISMSni joriy etishning asosiy omillari:

• qonunchilik - amaldagi milliy qonunchilik talablari, IS talablari, xalqaro talablar;
• raqobatbardoshlik - darajaga rioya qilish, elitizm, ularning nomoddiy aktivlarini himoya qilish, ustunlik;
• jinoyatchilikka qarshi - bosqinchilardan (oq yoqali) himoya qilish, buzg'unchilik va maxfiy kuzatuvlarning oldini olish, ish yuritish uchun dalil to'plash.

Axborot xavfsizligi hujjatlarining tuzilishi 1 -rasmda ko'rsatilgan.

1 -rasm - Axborot xavfsizligi sohasidagi hujjatlarning tuzilishi

4. ISMSni yaratish

ISO tarafdorlari ISMS yaratish uchun PDCA modelidan foydalanadilar. ISO ushbu modelni ko'plab boshqaruv standartlariga qo'llaydi va ISO 27001 bundan mustasno emas. Bundan tashqari, boshqaruv jarayonini tashkil qilishda PDCA modeliga amal qilish sizga kelajakda ham xuddi shunday texnikadan - sifat menejmenti, atrof -muhitni muhofaza qilish, xavfsizlikni boshqarish, shuningdek boshqaruvning boshqa sohalarida foydalanish imkonini beradi, bu esa xarajatlarni kamaytiradi. Shuning uchun, PDCA - bu AXBTni yaratish va yuritish vazifalariga to'liq javob beradigan ajoyib tanlovdir. Boshqacha qilib aytganda, PDCA bosqichlari qanday xavf -xatarlarga muvofiq siyosat, maqsadlar, jarayonlar va protseduralarni belgilashni (rejalashtirish bosqichi), amalga oshirish va ishlatishni (Do bosqichi), jarayon natijalarini baholash va iloji boricha o'lchashni belgilaydi. nuqta siyosati nuqtai nazari (tekshirish bosqichi - Tekshirish), tuzatish va profilaktika choralarini ko'rish (takomillashtirish bosqichi - Qonun). ISMSni yaratishda foydali bo'lishi mumkin bo'lgan ISO standartlari tarkibiga kirmaydigan qo'shimcha tushunchalar quyidagilardir: bo'lishi kerak bo'lgan holat (bo'lajak); holati (bo'lgani kabi); o'tish rejasi.

ISO 27001 asosi axborot xavfini boshqarish tizimi hisoblanadi.

ISMSni yaratish bosqichlari

ISMSni yaratish bo'yicha ishlar doirasida quyidagi asosiy bosqichlarni ajratish mumkin:

2 -rasm - axborot xavfsizligini boshqarish uchun PDCA modeli (animatsiya: 6 kadr, 6 marta takrorlash, 246 kilobayt)

5. Axborot xatarlarini boshqarish

Xavflarni boshqarish axborot xavfsizligining ma'muriy darajasida ko'rib chiqiladi, chunki faqat tashkilot rahbariyati kerakli resurslarni ajratish, tegishli dasturlarning bajarilishini boshlash va nazorat qilish imkoniyatiga ega.

Axborot tizimlaridan foydalanish ma'lum bir risklar bilan bog'liq. Potentsial zarar qabul qilinmaydigan darajada katta bo'lganda, iqtisodiy jihatdan oqlangan himoya choralarini ko'rish zarur. Vaqti -vaqti bilan (qayta) xavf -xatarni baholash xavfsizlik choralari samaradorligini nazorat qilish va atrof -muhitdagi o'zgarishlarni hisobga olish uchun zarur.

Xavflarni boshqarish faoliyatining mohiyati ularning hajmini baholash, tavakkalchiliklarni yumshatish bo'yicha samarali va iqtisodiy chora-tadbirlarni ishlab chiqish, so'ngra tavakkalchiliklarning maqbul chegaralar ichida bo'lishini ta'minlash (va shundayligicha qolmoqda).

Xavflarni boshqarish jarayonini quyidagi bosqichlarga bo'lish mumkin.

1. Tahlil qilinayotgan ob'ektlarni tanlash va ularni ko'rib chiqish tafsilotlari darajasi.
2. Xavfni baholash metodologiyasini tanlash.
3. Aktivlarni aniqlash.
4. Tahdidlar va ularning oqibatlarini tahlil qilish, himoyadagi zaifliklarni aniqlash.
5. Xavf-xatarni baholash.
6. Himoya choralarini tanlash.
7. Tanlangan tadbirlarni amalga oshirish va tekshirish.
8. Qolgan xavflarni baholash.

Xavflarni boshqarish, har qanday boshqa axborot xavfsizligi kabi, birlashtirilishi kerak hayot sikli IP. Keyin ta'sir eng katta bo'ladi va xarajatlar minimal bo'ladi.

Xavfni oqilona baholash metodologiyasini tanlash juda muhimdir. Baholashning maqsadi ikkita savolga javob olishdir: mavjud xavflar maqbulmi va agar bo'lmasa, qaysi himoya vositalarini ishlatish kerak. Bu shuni anglatadiki, baholash miqdoriy bo'lishi kerak, bu oldindan tanlangan ruxsat etilgan chegaralar va yangi xavfsizlik regulyatorlarini joriy etish xarajatlari bilan solishtirish imkonini beradi. Xavflarni boshqarish - optimallashtirishning odatiy muammosi va uni hal qilishga yordam beradigan dasturiy mahsulotlar juda ko'p (ba'zida bunday mahsulotlar faqat axborot xavfsizligi bo'yicha kitoblarga ilova qilinadi). Ammo asosiy qiyinchilik - bu dastlabki ma'lumotlarning noaniqligi. Siz, albatta, barcha tahlil qilingan qiymatlar uchun pul ifodasini olishga harakat qilishingiz, hamma narsani eng yaqin tinga qadar hisoblashingiz mumkin, lekin buning ma'nosi yo'q. An'anaviy birliklardan foydalanish amaliyroq. Oddiy va mukammal qabul qilinadigan holatda siz uch balli shkaladan foydalanishingiz mumkin.

Xavflarni boshqarishning asosiy bosqichlari.

Tahdidlarni tahlil qilishda birinchi qadam ularni aniqlashdir. Ko'rib chiqilayotgan tahdidlarning turlari sog'lom fikrlarni hisobga olgan holda tanlanishi kerak (masalan, zilzilalar bundan mustasno, lekin tashkilot terrorchilar tomonidan bosib olinishi mumkinligini unutmasdan), lekin tanlangan turlar ichida eng batafsil tahlilni o'tkazing. .

Nafaqat tahdidlarni, balki ularning kelib chiqish manbalarini ham aniqlash maqsadga muvofiq - bu qo'shimcha himoya vositalarini tanlashda yordam beradi.

Tahdid aniqlangach, uni amalga oshirish ehtimolini baholash kerak. Uch balli shkaladan foydalanish mumkin (past (1), o'rta (2) va yuqori (3) ehtimollik).

Agar xavflar qabul qilinmaydigan darajada yuqori bo'lsa, ularni qo'shimcha himoya choralarini qo'llash orqali zararsizlantirish kerak. Odatda, tahdidni haqiqatga aylantirgan zaiflikni yo'q qilish yoki yo'q qilish uchun samaradorlik va narx jihatidan farq qiladigan bir nechta xavfsizlik mexanizmlari mavjud.

Boshqa har qanday faoliyatda bo'lgani kabi, yangi xavfsizlik regulyatorlarini joriy etish va sinovdan o'tkazish oldindan rejalashtirilgan bo'lishi kerak. Rejada mavjudligini hisobga olish kerak moliyaviy resurslar va xodimlarni o'qitish vaqti. Agar biz dasturiy ta'minot va uskunalarni himoya qilish mexanizmi haqida gapiradigan bo'lsak, siz sinov rejasini tuzishingiz kerak (avtonom va murakkab).

Ko'zda tutilgan choralar ko'rilganda, ularning samaradorligini tekshirish, ya'ni qoldiq tavakkalchiliklar maqbul bo'lib qolganligiga ishonch hosil qilish kerak. Agar bu haqiqatan ham shunday bo'lsa, unda siz keyingi qayta baholash sanasini ishonchli tarzda rejalashtirishingiz mumkin. Aks holda, siz xatolarni tahlil qilishingiz va tavakkalchilikni boshqarish sessiyasini zudlik bilan qayta boshlashingiz kerak bo'ladi.

xulosalar

Har bir korxona rahbari o'z ishi haqida qayg'uradi va shuning uchun ham axborot xavfsizligini boshqarish tizimini (AXBT) joriy etish qarori korxona / tashkilot aktivlarini yo'qotish xavfini minimallashtirish va moliyaviy yo'qotishlarni kamaytirish uchun muhim qadam ekanligini tushunishi kerak. ba'zi hollarda bankrotlikdan saqlaning.

Axborot xavfsizligi xususiy va davlat sektori uchun muhim ahamiyatga ega. Bu bog'liq xavflarni baholash, tahlil qilish va minimallashtirish vositasi sifatida qaralishi kerak.

Texnologiyalar yordamida erishish mumkin bo'lgan xavfsizlik cheklangan va tegishli nazorat va protseduralar yordamida saqlanishi kerak.

Nazoratni aniqlash ehtiyotkorlik bilan rejalashtirish va e'tiborni talab qiladi.

Axborotni samarali himoya qilish uchun tizimda axborotning asosiy xavfini aniqlash va tegishli choralarni amalga oshirish orqali erishish mumkin bo'lgan eng to'g'ri xavfsizlik choralarini ishlab chiqish kerak.

Biyachuev T.A. Xavfsizlik korporativ tarmoqlar/ tahr. L.G. Osovetskiy. - SPb .: SPb GU ITMO nashriyoti, 2006.- 161 p.

Shahalov Igor Yurievich

Sifat menejmenti tizimlari va axborot xavfsizligini birlashtirish masalasida

Xulosa: ISO 27001 va ISO 9001 xalqaro standartlari ko'rib chiqilgan, sifat menejmenti tizimi va axborot xavfsizligini boshqarish tizimi o'rtasidagi o'xshashlik va farqlar tahlili o'tkazilgan. Sifat menejmenti tizimi va axborot xavfsizligini boshqarish tizimini birlashtirish imkoniyati ko'rsatilgan. Axborot xavfsizligini boshqarishning yaxlit tizimini yaratish va joriy etishning asosiy bosqichlari berilgan. Integratsiyalashgan yondashuvning afzalliklari ko'rsatilgan.

Kalit so'zlar: axborot xavfsizligini boshqarish tizimlari, integratsiyalashgan boshqaruv tizimlari, ISMS, QMS, ISO 27001.

Natalya Olegovna

Kirish

V zamonaviy dunyo umumiy va qulay kelishi bilan texnik qurilmalar axborotni himoya qilish muammosi keskin ravishda paydo bo'ldi. Korxona va tashkilotlarga sifatli mahsulot chiqarish yoki xizmatlar ko'rsatish bilan bir qatorda, bozorda qulay pozitsiyada qolish uchun raqobatchilardan zarur ma'lumotlarni sir saqlash muhim ahamiyatga ega. Raqobat kurashida maxfiy ma'lumotlarni olish (olish, olish) ga qaratilgan har xil harakatlar keng tarqalgan. har xil yo'llar, zamonaviy texnik razvedka vositalaridan foydalangan holda to'g'ridan -to'g'ri sanoat josusligiga qadar.

Shunday qilib, biznes -jarayonlarni boshqarish tizimlarini joriy etish bo'yicha talablar, ko'rsatmalarni o'z ichiga oladigan, dunyoning eng yaxshi tajribalariga amal qiladigan tashkilotlar bozorda etakchiga aylanmoqda. Bunday tizimlarni loyihalash, joriy etish, monitoring qilish va takomillashtirishning eng yaxshi standartlari - Xalqaro standartlashtirish tashkilotining (ISO) hujjatlari. Sifat menejmenti tizimi (QMS) va axborot xavfsizligini boshqarish tizimini (ISMS) joriy etish bo'yicha eng yaxshi tajribalarni to'playdigan ISO 900x va ISO 2700x seriyali standartlariga alohida e'tibor qaratish lozim.

ISO 9001 standarti talablariga muvofiq amalga oshirilgan sifat menejmenti tizimi uzoq vaqtdan beri yuqori sifatli mahsulotlar ishlab chiqaruvchi yoki yuqori darajali xizmatlar ko'rsatuvchi muvaffaqiyatli kompaniyaning ajralmas atributi sifatida e'tirof etilgan. Bugungi kunda muvofiqlik sertifikatining mavjudligi ham samarali marketing yechimi, ham ishlab chiqarish jarayonlarini nazorat qilish mexanizmidir. QMS auditi biznesning yaxshi rivojlangan sohasidir.

Kompaniyaning muvaffaqiyatli faoliyatining bog'liqligi korporativ tizim axborotni himoya qilish. Bu korporativ axborot tizimida qayta ishlanadigan muhim ma'lumotlar hajmining oshishi bilan bog'liq. Axborot tizimlari murakkablashib bormoqda va ularda topilgan zaifliklar soni ham oshib bormoqda. ISMS auditi korporativ axborot tizimining ishlashi xavfsizligining hozirgi holatini baholashga imkon beradi.

xavflarni baholash va bashorat qilish, ularning kompaniyaning biznes jarayonlariga ta'sirini boshqarish.

ISO 9001 standarti uzoq vaqtdan buyon dunyodagi sertifikatlar soni bo'yicha etakchi o'rinni egallab kelayotgani va ISO 27001 standarti axborot xavfsizligini boshqarish tizimini sertifikatlashtirishni oshirish tendentsiyasini ko'rsatganligi sababli, mumkin bo'lgan o'zaro ta'sirni ko'rib chiqish maqsadga muvofiqdir. QMS va XMSni integratsiyasi.

Standartlarning integratsiyasi

Bir qarashda, sifat menejmenti va axborot xavfsizligi butunlay boshqa sohalardir. Biroq, amalda ular bir -biri bilan chambarchas bog'liq va bir butunni tashkil qiladi (1 -rasm). Iste'molchilarni qondirish - bu sifat maqsadlari, har yili tobora ko'proq ISO 27001 standarti qo'llaniladigan axborot texnologiyalari va ma'lumotlarning xavfsizligiga bog'liq. Boshqa tomondan, ISO 9001 standarti to'liq mos keladi. xavfsizlikni ta'minlashga yordam beradigan tashkilotning korporativ maqsadlari. Integratsiyalashgan yondashuv tufayli ISO 27001 mavjud QMSga samarali qo'shilishi yoki QMS bilan birgalikda qo'llanilishi mumkin.

(ISO 27001) va IT -xizmatlarni boshqarish (ISO 20000) o'xshash tuzilishga va jarayon yondashuviga ega. Bu o'z samarasini beradigan sinergiya hosil qiladi: amalda davom etayotgan operatsiyalarni boshqarishning yaxlit tizimi tizimni optimallashtirish, tekshirish va qayta ko'rib chiqish xarajatlarining 20-30 foizini tejaydi.

Axborot xavfsizligi va sifat menejmenti standartlari Deming tsikli deb nomlanuvchi Plan-Do-Check-Act (PDCA) modeliga muvofiq doimiy ravishda takomillashishga qaratilgan (2-rasmga qarang). Bundan tashqari, ular ISO 27001 C ilovasidagi yozishmalar jadvalida ko'rsatilgandek, tuzilish jihatidan o'xshashdir. Ikkala standart ham jarayonga yondashuvni, ko'lamni, tizim va hujjatlarga qo'yiladigan talablarni va ma'muriy javobgarlikni belgilaydi. Ikkala holatda ham tuzilma ichki audit, boshqaruvni tekshirish va tizimni takomillashtirish bilan yakunlanadi. Bunda ikkala tizim ham o'zaro ta'sir qiladi. Masalan, ISO 9001 mos kelmaydigan mahsulotlarni boshqarishni talab qiladi. Xuddi shunday, ISO 27001 standarti xatolarni hal qilish uchun hodisalarni boshqarish talabiga ega.

Guruch. 1. QMS va ISMSning o'zaro ta'siri va o'xshashligi

Guruch. 2. Deming tsikli

Dunyoning 100 dan ortiq mamlakatlaridagi 27,200 dan ortiq turli sanoat tashkilotlari sifat menejmenti bo'yicha ISO 9001: 2008 standartlariga muvofiqligi uchun sertifikatlangan. Bozor va qonun talablariga qarab, ko'plab tashkilotlar axborot xavfsizligi bilan shug'ullanishga majbur bo'lmoqda. Shu nuqtai nazardan, boshqaruv tizimining integratsiyasi haqiqiy imkoniyatlarni taqdim etadi. Kompleks yondashuv shu paytgacha hech qanday boshqaruv jarayonidan foydalanmagan kompaniyalar uchun ham qiziq. ISO sifat standartlari (ISO 9001), atrof -muhitni muhofaza qilish (ISO 14000), axborot xavfsizligi

Standartlar o'rtasidagi farqlar bir -birini to'ldirishda foydalidir, bu esa biznes muvaffaqiyatining oshishiga hal qiluvchi ta'sir ko'rsatadi. Masalan, ISO 9001 standarti korporativ maqsadlarni, xaridorlarning e'tiborini va o'lchovliligini, maqsad va vazifalarga qay darajada erishilishini aniqlashni talab qiladi. Bu uchta masala, ISO 27001 manfaatlarining markazida emas, o'z navbatida, bu standart biznesning uzluksizligini ta'minlash uchun tavakkalchiliklarni boshqarishga ustuvor ahamiyat beradi va XBTTni joriy etishda batafsil yordam beradi. Taqqoslandi

bu bilan ISO 9001 ko'proq nazariy standart hisoblanadi.

ISO 27001 - nafaqat AT uchun standart

Ko'pchilik ISO 27001 standarti faqat IT jarayonlari uchun mo'ljallangan deb o'ylaydi, lekin aslida bunday emas. ISO 27001 SM&B standartini joriy etishning asosiy nuqtasi aktivlarning ta'rifidir.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L> 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimiy 14: ii | vju7JIIIM.

Guruch. 3. Aktivlar turlari

Aktiv deganda kompaniya uchun qimmatli bo'lgan hamma narsa tushuniladi (3 -rasm). Ya'ni, aktiv bo'lishi mumkin: inson resurslari, infratuzilma, asboblar, uskunalar, aloqa, xizmatlar va boshqa har qanday aktivlar, shu jumladan sotib olingan mahsulotlarni etkazib berish bo'yicha xizmatlar. Jarayonlarga asoslanib, kompaniya qaysi aktivlarga ega ekanligini va qaysi aktivlar muhim jarayonlarda ishtirok etishini aniqlaydi va aktivlarning qiymatini baholaydi. Va shundan keyingina barcha qimmatli aktivlar uchun tavakkalchilik bahosi qo'yiladi. Shunday qilib, ISMS nafaqat raqamli axborotni qayta ishlash uchun mo'ljallangan avtomatlashtirilgan tizim... Masalan, eng muhim jarayonlarning ba'zilari o'z ichiga oladi

Tayyorgarlik

tadbir rejalari

2 H: i mos kelishini tekshiring

ISO 27001 standarti bilan qamrab olingan ma'lumotlarning nusxalarini saqlash bilan. ISMS sizning kompaniyangizda qanday muhim ma'lumotlarni saqlashning barcha usullarini o'z ichiga oladi. elektron pochta xabarlari himoyalangan, xodimlarning shaxsiy fayllari binoda saqlanadigan joy bilan tugaydi.

Shuning uchun, bu standart axborot xavfsizligini boshqarish tizimini yaratishga qaratilganligi sababli, bu faqat kompyuterda saqlanadigan ma'lumotlarga tegishli bo'lishi mumkin, degan noto'g'ri tushuncha. Hatto bizning raqamli asrimizda ham ko'p ma'lumotlar qog'ozda aks ettirilgan, ular ham ishonchli himoyalanishi kerak.

ISO 9001 kompaniyaning axborot xavfsizligi ehtiyojlarini qondira olmaydi, chunki u faqat mahsulot sifatiga e'tibor qaratadi. Shuning uchun kompaniyada ISO 27001ni joriy etish juda muhim.Bir qarashda, mutaxassisga har ikkala standart ham juda umumiy va o'ziga xosligi yo'qdek tuyulishi mumkin. Biroq, bunday emas: ISO 27001 standarti XBYSni joriy etish va uning ishlashini nazorat qilishning deyarli har bir bosqichini tavsiflaydi (4 -rasm).

Axborot xavfsizligini boshqarish tizimini qurishning asosiy bosqichlari

AXBTni qurishning asosiy bosqichlari 4 -rasmda tasvirlangan. Keling, ularni batafsilroq ko'rib chiqaylik.

1 -bosqich. Harakat rejalarini tayyorlash. Ushbu bosqichda mutaxassislar tashkiliy va ma'muriy hujjatlar (ORD) va boshqa ishchi materiallarni to'playdi,

3 Oddiy II turdagi ORD

4 Tahlil ii xavflarni baholash 11B

Amalga oshirish

5 RyazraOogya va<>RaeryaOopv kompleksi va 00 \ * ieiitii:

radiatsiya rejalari ■ -> standartlar -> hodisalar -> CfftpJOTHW *

faoliyat Mon> PB ORD Poenpzhenie

INRsnEsS IMB natijalarini 10 ta AiUtuin baholashni shakllantirish

Guruch. 4. AXBTni qurish bosqichlari

axborot xavfsizligini ta'minlash mexanizmlari va vositalaridan foydalanish rejalashtirilgan kompaniyaning axborot tizimlarini qurish va ulardan foydalanish to'g'risida. Bundan tashqari, ish bosqichlari bo'yicha harakatlar rejalari tuziladi, kompaniya rahbariyati tomonidan kelishiladi va tasdiqlanadi.

2 -bosqich. ISO / IEC 27001: 2005 standartlariga muvofiqligini tekshirish. Bo'limlar rahbarlari va xodimlaridan so'roq va so'roq. ISO / IEC 27001: 2005 talablariga muvofiqligi uchun kompaniyaning BMSni tahlil qilish.

3 -bosqich. Kompaniyaning tashkiliy tuzilmasi asosida normativ -tashkiliy va ma'muriy hujjatlarni tahlil qilish. Uning natijalariga ko'ra, himoyalangan doirasi (OA) aniqlanadi va kompaniyaning axborot xavfsizligi siyosati eskizi ishlab chiqiladi.

4 -bosqich. Axborot xavfsizligi xavfini tahlil qilish va baholash. Kompaniya tavakkalchiliklarini boshqarish va ularni tahlil qilish metodologiyasini ishlab chiqish. Korxona ML aktivlarining tahdidlari va zaifliklarini aniqlash maqsadida kompaniyaning axborot resurslarini, birinchi navbatda, LANni tahlil qilish. Aktivlarni inventarizatsiya qilish. Kompaniya mutaxassislari uchun maslahatlar o'tkazish va xavfsizlikning haqiqiy va zarur darajasiga muvofiqligini baholash. Har bir aniq aktiv uchun tavakkalchilikni hisoblash, tavakkalchilikning joriy va maqbul darajasini aniqlash. Xavflarni aniqlash, ularni kamaytirish bo'yicha chora -tadbirlar kompleksini tanlash va amalga oshirishning nazariy samaradorligini hisoblash.

5 -bosqich. ISning harakat rejalarini ishlab chiqish va amalga oshirish. ISO / IEC 27001: 2005 ga muvofiq boshqaruvning qo'llanilishi to'g'risida bayonot ishlab chiqish. Buxgalteriya hisobi va tavakkalchiliklarni bartaraf etish rejasini ishlab chiqish. Kompaniya boshlig'i uchun hisobotlarni tayyorlash.

6 -bosqich. Normativ va operativ hujjatlarni ishlab chiqish. IBning yakuniy siyosati va unga tegishli qoidalarni (xususiy siyosat) ishlab chiqish va tasdiqlash. Kompaniya BYYSning normal ishlashi va ishlashini ta'minlash uchun standartlar, tartib va ​​ko'rsatmalarni ishlab chiqish.

7 -bosqich. Rahbariyat tomonidan tasdiqlangan tavakkalchiliklarni qayta ishlash va bartaraf etish rejasiga muvofiq IS xavflarini kamaytirish va ularning samaradorligini baholash bo'yicha kompleks chora -tadbirlarni amalga oshirish.

8 -bosqich. Kadrlar tayyorlash. Axborot xavfsizligi tamoyillarini barcha xodimlarga samarali etkazish maqsadida harakatlar rejalarini ishlab chiqish va kompaniya xodimlarining malakasini oshirish dasturlarini amalga oshirish.

birinchi navbatda ishlayotganlar tarkibiy bo'linmalar asosiy biznes jarayonlarini ta'minlash.

9 -bosqich. Hisobotni shakllantirish. So'rov natijalarini tizimlashtirish va hisobotlarni tayyorlash. Kompaniya rahbarlari uchun ish natijalarini taqdim etish. ISO / IEC 27001: 2005 standartlariga muvofiqligini litsenziyalash uchun hujjatlarni tayyorlash va ularni sertifikatlashtiruvchi tashkilotga o'tkazish.

10 -bosqich. Kompaniyaning ISMS ishlashining ishonchliligini baholaydigan metodologiya asosida BMSni amalga oshirish natijalarini tahlil qilish va baholash. Kompaniyaning axborot xavfsizligini boshqarish tizimini takomillashtirish bo'yicha tavsiyalar ishlab chiqish.

ISMSni amalga oshirishning har bir bosqichini tahlil qilib, shuni aytishimiz mumkinki, ISO 27001 aniq tuzilishi va talablariga ega, bu sizga barcha kerakli darajalarda o'zaro ta'sir o'tkaziladigan ishchi tizimni qurishga imkon beradi. Lekin shuni unutmasligimiz kerakki, XBT va QMS o'rtasidagi asosiy farq birinchi tizim axborot xavfsizligiga qaratilgan.

Zamonaviy dunyoda axborot xavfsizligining ahamiyati

Hozirgi biznes axborot texnologiyalarisiz mavjud bo'la olmaydi. Ma'lumki, dunyodagi jami milliy mahsulotning qariyb 70 foizi u yoki bu tarzda axborot tizimlarida saqlanadigan ma'lumotlarga bog'liq. Kompyuterlarning keng joriy etilishi nafaqat ma'lum qulayliklarni, balki muammolarni ham yuzaga keltirdi, ularning eng jiddiysi axborot xavfsizligi muammosi.

Ishbilarmonlar axborot xavfsizligining muhimligini tushunishlari, bu sohadagi tendentsiyalarni bashorat qilishni va boshqarishni o'rganishlari kerak. Bunda ularga tuzilishida rivojlanish salohiyati, boshqaruv shaffofligi, har qanday o'zgarishlarga moslashuvchanligi bo'lgan XBYSni kiritish yordam berishi mumkin. Kompyuter va kompyuter tarmoqlarini boshqarish bilan bir qatorda, ISO 27001 standarti xavfsizlik siyosatini ishlab chiqishga, xodimlar bilan ishlashga (ishga qabul qilish, o'qitish, ishdan bo'shatish), uzluksizlikni ta'minlashga katta e'tibor beradi. ishlab chiqarish jarayoni, tartibga solish talablari, ba'zi texnik masalalar esa seriyaning boshqa standartlarida batafsil bayon etilgan

ISO 27000. Kompaniyaga ISIB -ni joriy qilishning ko'plab afzalliklari bor, ularning ba'zilari rasmda ko'rsatilgan. 5.

Glbkshl shkalasi pODr> h; b1 [h-th

Qabul qiling

HiKiinimi n II11 \ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | kasal p. Ki u:

azhshchtnya # tsn ^ st

Guruch. 5. Axborot xavfsizligini boshqarish tizimini joriy etishning afzalliklari

ISO -ning afzalliklarini ta'kidlash kerak

Xavfsizlik bo'yicha kompetentsiyani namoyish etish. ISO 27001 - bu tashkilot uchun zarur xavfsizlik darajasiga erishish va aniq xavfsizlik maqsadlariga erishish uchun xavfsizlik talablarini shakllantirishga yordam beradigan amaliy qo'llanma. Ayniqsa, tashkilotlarning xavfsizlikni boshqarishning to'rtta sohasida malakali bo'lishi muhim, jumladan: kompaniya aktivlarini aniqlash va baholash, tavakkalchiliklarni baholash va tavakkalchiliklarni qabul qilish mezonlarini belgilash, ushbu elementlarni boshqarish va qabul qilish hamda doimiy takomillashtirish. umumiy dastur tashkilot xavfsizligi.

Xaridor ishonchini ta'minlash. ISO 27001 dasturlarning mustaqil isbotini beradi Korporativ boshqaruv eng yaxshi, eng yaxshi xalqaro amaliyotlar tomonidan qo'llab -quvvatlanadi. ISO 27001 sertifikati mijozlarga, aktsiyadorlarga va potentsial sheriklarga halollikni namoyish etishga intilayotgan korporatsiyalarga xotirjamlikni beradi va eng muhimi, kompaniya axborot xavfsizligini boshqarishning mustahkam tizimini muvaffaqiyatli joriy qilganligini ko'rsatishdir. Moliya yoki Internet xizmatlari kabi ko'plab qattiq tartibga solinadigan tarmoqlar uchun etkazib beruvchilarni tanlash mumkin

ISO 27001 sertifikatiga ega bo'lgan tashkilotlar bilan chegaralanishi mumkin.

Resurslardan yanada samarali foydalanish. Texnologik yondashuvdan foydalanish tufayli kompaniyada sodir bo'layotgan jarayonlarni optimallashtirish mumkin. Bu resurslardan foydalanishning kamayishiga olib keladi, masalan, vaqt.

Doimiy takomillashtirish. ISMS butun tizimning holatini muntazam tekshirish, boshqaruv tizimini tahlil qilish va takomillashtirish imkonini beruvchi PCDA modelidan foydalanadi.

1. Rasm, brend. ISO 27001 standartiga muvofiqlik sertifikati kompaniya uchun keng imkoniyatlar ochadi: xalqaro darajaga chiqish, yangi sherikliklar, mijozlar soni, yangi shartnomalar, tenderlarda muvaffaqiyat. Kompaniyada BYYS mavjudligi yuqori darajadagi rivojlanish ko'rsatkichidir.

2. AXBTning moslashuvchanligi. Jarayonlarning o'zgarishiga, yangi texnologiyalarga qaramasdan, XBYS strukturasining asosi samarali bo'lib qolmoqda. ISMS mavjud bo'lganlarni modernizatsiya qilish va yangi qarshi choralarni joriy etish orqali yangiliklarga osongina moslashadi.

3. Standartni amalga oshirishning miqyosi. ISO 27001 ko'lamini talab qiladiganligi sababli, jarayonlarning faqat bir qismi sertifikatlanishi mumkin. Siz ISMSni kompaniya uchun eng muhim OAda amalga oshirishni boshlashingiz mumkin va faqat keyinchalik kengaytirasiz.

4. Audit. Ko'pchilik Rossiya kompaniyalari audit ishini falokat sifatida qabul qilish. ISO 27001 auditga xalqaro yondashuvni ko'rsatadi: birinchi navbatda, kompaniyaning standartlarga amal qilishdan manfaatdorligi va qandaydir tarzda sertifikat bermaslik, shunchaki ko'rsatish uchun.

5. Muntazam ichki yoki tashqi auditorlik qoidabuzarliklarni tuzatish, XBTTni takomillashtirish va xatarlarni sezilarli darajada kamaytirish imkonini beradi. Birinchidan, bu kompaniyaga o'z tinchligi uchun kerak, hamma narsa tartibda va yo'qotishlar xavfi minimallashtiriladi. Va allaqachon ikkinchi darajali - muvofiqlik sertifikati, bu sheriklar yoki mijozlar uchun ushbu kompaniyaga ishonish mumkinligini tasdiqlaydi.

6. Menejmentning ochiqligi. ISO 27001 standartidan foydalanish menejmentni yaratish bo'yicha aniq ko'rsatmalar beradi va

shuningdek, kompaniyada bo'lishi kerak bo'lgan hujjatlarga qo'yiladigan talablar. Ko'pgina kompaniyalarning muammosi shundaki, ba'zi bo'limlar uchun mavjud hujjatlarni o'qib bo'lmaydi, chunki hujjatlar tizimining murakkabligi tufayli kim uchun mo'ljallanganligini aniqlash ko'pincha mumkin emas. Hujjatlar darajasining ierarxiyasi, axborot xavfsizligi siyosatidan tortib, muayyan protseduralar tavsifigacha, mavjud qoidalar, qoidalar va boshqa narsalardan foydalanishni ancha osonlashtiradi. Shuningdek, SM & B ni joriy etish xodimlarni o'qitishni o'z ichiga oladi: seminarlar, pochta jo'natmalari, ogohlantirish plakatlarini osib qo'yish, bu oddiy xodimlar o'rtasida axborot xavfsizligi to'g'risida xabardorlikni sezilarli darajada oshiradi.

Xulosa qilib shuni ta'kidlash kerakki, yilda zamonaviy biznes ISO 9001 standarti talablariga muvofiq qurilgan sifat menejmenti tizimining ajralmasligi va axborot xavfsizligini boshqarish tizimining mavqeini egallashi aniq.

Bugungi kunda bozor yetakchisi nafaqat mahsulot va xizmatlar sifatining ko'rsatkichlarini, balki maxfiylik, yaxlitlik va ular haqidagi ma'lumotlarning mavjudligini kuzatuvchi kompaniyalar bo'ladi. Bashorat qilish va tavakkalchilikni baholash ham muvaffaqiyatning muhim omilidir, bu esa malakali yondashuvni va eng yaxshi xalqaro tajribadan foydalanishni talab qiladi. Sifat menejmenti va axborot xavfsizligi tizimlarini birgalikda joriy etish va sertifikatlash har qanday soha yoki savdo uchun keng ko'lamli muammolarni hal qilishga yordam beradi, bu esa o'z navbatida ko'rsatiladigan xizmatlar sifatining sifatli o'sishiga olib keladi.

Adabiyot

1. Dorofeev A. V., Shahalov I. Yu. Axborot xavfsizligini boshqarish asoslari zamonaviy tashkilot// Huquqiy informatika. 2013. No 3. S. 4-14.

2. Chashkin VN Axborot xavfsizligini boshqarish tashkilotning axborot -texnologik faoliyatini boshqarish tizimining elementi sifatida // Axborot texnologiyalari xavfsizligi. 2009. No 1. S. 123-124.

3. Goryachev VV QMS uchun yangi GOST. GOST RV 15.002-2003 dan asosiy farqlar //

Sifatni boshqarish usullari. 2013. No 7. S. 18-23.

4. Dotsenko S.P., Pshenetskiy SP Axborot xavfsizligini boshqarish tizimlari modelini tuzishga yondashuv // Kuban davlat agrar universitetining polimatik tarmog'i elektron ilmiy jurnali. 2009. No 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Korxonada axborot xavfsizligini boshqarish tizimining modeli (tashkilotda) // Intellekt. Innovatsiya. Investitsiyalar. 2013. No 1. S. 111-114.

6. Soloviev A.M. Axborot xavfsizligi sohasidagi me'yoriy -uslubiy baza // Iqtisodiyot, statistika va informatika. UMO byulleteni. 2012. No 1. S. 174-181.

7. Kozin IF, Livshits II Axborot xavfsizligi. Xalqaro standartlarning Rossiya axborot xavfsizligi tizimiga integratsiyasi // Axborotlashtirish va aloqa. 2010. No 1. S. 50-55.

8. Kolodin VS Birlashgan boshqaruv tizimlarini sertifikatlash // Irkutsk davlat texnika universiteti xabarnomasi. 2010. T. 41. No 1. S. 44-48.

9. Merkushova N.I., Naumenko Yu.A., Merkushova Yu.A. Integratsiyalashgan boshqaruv tizimlari: Rossiya korxonalarida yaratilishining old shartlari // Yosh olim.

2013. No 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Xaustova ED "P1ap-Do-Check-Act" modeli asosida axborot va telekommunikatsiya tizimlarining axborot xavfsizligini boshqarish // Donetsk milliy texnika universitetining Science1 slingi. Ser1ya: "Hisoblash texnik va avtomatlashtirilgan". 2013. 2 -son (25). S. 104-110.

11. Dorofeev AV, Markov AS Axborot xavfsizligini boshqarish: asosiy tushunchalar // Kiberxavfsizlik masalalari.

2014. No 1 (2). S. 67-73.

12. Shper VL 18O / 1EC 27001 standarti haqida // Sifatni boshqarish usullari. 2008. No 3. S. 60-61.

13. Markov A.S., Tsirlov V.L. Xatarlarni boshqarish - axborot xavfsizligining normativ vakuumi // Ochiq tizimlar... DBMS. 2007. No 8. S. 63-67.

14. Matveev V. A., Tsirlov V. L. Rossiya Federatsiyasi axborot xavfsizligi sanoatining holati va rivojlanish istiqbollari

Tion 2014 yilda // Kiberxavfsizlik muammolari. 2013. No 1 (1). S. 61-64.

15. Barabanlar A. V. Seyfni ishlab chiqish jarayonini standartlashtirish dasturiy vositalar// Kiberxavfsizlik muammolari. 2013. No 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Kiberxavfsizlik bo'yicha kontekst bo'yicha ko'rsatmalar

ISO 27032 // Kiberxavfsizlik muammolari. 2014. No 1 (2). S. 28-35. 17. Xramtsovskaya N. Axborot xavfsizligi haqida menejer nimani bilishi kerak // Kadrovik. 2009. No 4. S. 061-072.

Haqiqatan ham uyat. Biz ISO 45001 standartining yaqinda chiqarilishi haqida xabar berdik, u amaldagi OHSAS 18001 mehnatni muhofaza qilish standarti o'rnini bosishi kerak, biz uni 2016 yil oxirida kutishimiz kerakligini aytdik ... Yarim tunda yaqinlashmoqda, lekin Xerman hali ham ketdi Qabul qilish vaqti keldi - ISO 45001 to'xtatildi. To'g'ri, yaxshi sabablarga ko'ra. Ekspertlar jamoasida unga savollar juda ko'p. […]