Действующий
Принятие модели PDCA также отражает принципы, установленные в Директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей . Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.
1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности,
2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.
| Таблица 1 | |
Настоящий стандарт согласован со стандартами "Системы менеджмента качества. Требования" и "Системы управления окружающей средой. Требования и руководство по применению" в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.
Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).
Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Примечание - Термин "бизнес", в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации.
Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в ,
Действует Редакция от 27.12.2006
| Наименование документ | "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст) |
| Вид документа | приказ, стандарт, гост, исо |
| Принявший орган | ростехрегулирование |
| Номер документа | ИСО/МЭК 27001-2006 |
| Дата принятия | 01.01.1970 |
| Дата редакции | 27.12.2006 |
| Дата регистрации в Минюсте | 01.01.1970 |
| Статус | действует |
| Публикация |
|
| Навигатор | Примечания |
"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)
8. Улучшение системы менеджмента информационной безопасности
8.1. Постоянное улучшение
Организация должна постоянно повышать результативность СМИБ посредством уточнения политики ИБ, целей ИБ, использования результатов аудитов, анализа контролируемых событий, корректирующих и предупреждающих действий, а также использования руководством результатов анализа СМИБ (см. раздел 7).
8.2. Корректирующие действия
Организация должна проводить мероприятия по устранению причин несоответствий требованиям СМИБ с целью предупредить их повторное возникновение. Документированная процедура корректирующего действия должна устанавливать требования по:
a) выявлению несоответствий;
b) определению причин несоответствий;
C) оцениванию необходимости действий во избежание повторения несоответствий;
d) определению и реализации необходимых корректирующих действий;
e) ведению записей результатов предпринятых действий (см. 4.3.3);
f) анализу предпринятого корректирующего действия.
8.3. Предупреждающие действия
Организация должна определять действия, необходимые для устранения причин потенциальных несоответствий требованиям СМИБ, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать последствиям потенциальных проблем. Документированная процедура предпринятого предупреждающего действия должна устанавливать требования по:
a) выявлению потенциальных несоответствий и их причин;
b) оцениванию необходимости действия с целью предупредить появление несоответствий;
c) определению и реализации необходимого предупреждающего действия;
d) записи результатов предпринятого действия (см. 4.3.3);
e) анализу результатов предпринятого действия.
Организация должна определить изменения в оценках рисков и установить требования к предупреждающим действиям, при этом обращая особое внимание на существенно измененные количественные показатели рисков.
Приоритеты в отношении реализации предупреждающих действий должны быть определены на основе результатов оценки риска.
Примечание - Обычно затраты на проведение мероприятий по предотвращению несоответствий более экономичны, чем на корректирующие действия.
В мире информационных технологий приоритетным становится вопрос обеспечения целостности, надежности и конфиденциальности информации. Поэтому признание необходимости наличия в организации системы менеджмента информационной безопасности (СМИБ) является стратегическим решением.
Был разработан для создания, внедрения, поддержания функционирования и непрерывного улучшения СМИБ на предприятии.Также благодаря применению данного Стандарта внешним партнерам становится очевидной способность организации соответствовать собственным требованиям по информационной безопасности. В этой статье пойдет речь об основных требованиях Стандарта и обсуждение его структуры.
Ваш бизнес выйдет на новый уровень качества, если получить легитимный Сертификат ISO с помощью опытных специалистов.
Основные задачи Стандарта ISO 27001
Прежде, чем переходить к описанию структуры Стандарта, оговорим его основные задачи и рассмотрим историю появления Стандарта в России.
Задачи Стандарта:
- установление единых требований для всех организаций к созданию, внедрению и улучшения СМИБ;
- обеспечение взаимодействия высшего руководства и сотрудников;
- сохранение конфиденциальности, целостности и доступности информации.
При этом требования, установленные Стандартом, являются общими и предназначены для применения любыми организациями, независимо от их типа, размера или характера.
История Стандарта:
- В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 - Part 1.
- В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая - требования к системам менеджмента информационной безопасности.
- В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была передана в Международную Организацию по Сертификации.
- Этот документ был утвержден в 2000 г. в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
- В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 «Спецификация системы управления информационной безопасностью». Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
- В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-ой серии и получил новый номер - ISO/IEC 27002:2005.
- 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования». В настоящее время сертификация организаций проводится по этой версии Стандарта.
Структура Стандарта
Одним из преимуществ данного Стандарта является схожесть его структуры с ИСО 9001, так каксодержит идентичные заголовки подразделов, идентичный текст, общие термины и основные определения. Это обстоятельство позволяет сэкономить время и деньги, так как часть документации уже была разработана при сертификации по ИСО 9001.
Если говорить о структуре Стандарта, то представляет собой перечень требований к СМИБ, обязательных для сертификации и состоит из следующих разделов:
| Основные разделы | Приложение А |
|---|---|
| 0. Введение | A.5 Политики информационной безопасности |
| 1. Область применения | A.6 Организация информационной безопасности |
| 2. Нормативные ссылки | A.7 Безопасность человеческих ресурсов (персонала) |
| 3. Термины и определения | A.8 Управление активами |
| 4. Контекст организации | A.9 Управление доступом |
| 5. Лидерство | A.10 Криптография |
| 6. Планирование | A.11 Физическая безопасность и защита от окружающей среды |
| 7. Поддержка | A.12 Безопасность операций |
| 8. Операции (Эксплуатация) | A.13 Безопасность коммуникаций |
| 9. Оценка (Измерение) результативности | A.14 Приобретение, разработка и обслуживание информационных систем |
| 10. Совершенствование (Улучшение) | A.15 Взаимоотношения с поставщиками |
| A.16 Менеджмент инцидентов | |
| A.17 Обеспечение непрерывности бизнеса | |
| A.18 Соответствие законодательству |
Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить направления, которые невозможно применить на предприятии.
При внедрении Стандарта на предприятии для прохождения дальнейшей сертификации стоит помнить, что не допускается исключений требований, установленных в разделах 4 - 10. Об этих разделах и пойдет речь дальше.
Начнем с раздела 4 - Контекст организации
Контекст организации
В этом разделе Стандарт требует от организации определить внешние и внутренние проблемы, которые значимы с точки зрения ее целей, и которые влияют на способность ее СМИБ достигать ожидаемых результатов. При этом следует учитывать законодательные и нормативные требования и договорные обязательства в отношении информационной безопасности. Также организация должна определить и документально зафиксировать границы и применимость СМИБ, чтобы установить ее область действия.
Лидерство
Высшее руководство должно демонстрировать лидерство и обязательства в отношении системы менеджмента информационной безопасности посредством, например, гарантии того, что информационная политика безопасности и цели в сфере информационной безопасности установлены и согласуются со стратегией организации. Также высшее руководство должно гарантировать обеспечение всеми необходимыми ресурсами для СМИБ. Другими словами, для работников должно быть очевидным вовлеченность руководства в вопросы информационной безопасности.
Должна быть документально зафиксирована и доведена до сведения работников политика в области информационной безопасности. Этот документ напоминает политику в области качества ISO 9001. Он также должен соответствовать назначению организации и включать цели в области информационной безопасности. Хорошо, если это будут реальные цели, вроде сохранения конфиденциальности и целостности информации.
Также от руководства ожидается распределение функций и обязанностей, связанных с информационной безопасностью среди работников.
Планирование
В этом разделе мы подходим к первому этапу управленческого принципа PDCA (Plan - Do - Check - Act) - планируй, выполняй, проверяй, действуй.
Планируя систему менеджмента информационной безопасности, организация должнапринять во внимание проблемы, упомянутые в разделе 4, а также определить риски и потенциальные возможности, которые необходимо принять во внимание, чтобы гарантировать, что СМИБ может достигать ожидаемых результатов, предотвратить нежелательные эффекты и достигать непрерывного совершенствования.
При планировании, каким образом достигнуть своих целей в области информационной безопасности, организация должна определить:
- что будет сделано;
- какие ресурсы потребуются;
- кто будет ответственным;
- когда цели будут достигнуты;
- как результаты будут оцениваться.
Кроме того, организация должна сохранять данные по целям в области информационной безопасности как документированную информацию.
Обеспечение
Организация должна определить и обеспечить ресурсы, необходимые для разработки, внедрения, поддержания функционирования и непрерывного улучшения СМИБ, это включает в себя как персонал, так и документацию. В отношении персонала от организации ожидается подбор квалифицированных и компетентных работников в области информационной безопасности. Квалификация работников должна подтверждаться удостоверениями, дипломами и т.п. Возможно привлечение по контракту сторонних специалистов, либо обучение своих работников. Что касается документации, она должна включать:
- документированную информацию, требуемую Стандартом;
- документированную информацию, признанную организацией необходимой для обеспечения результативности системы менеджмента информационной безопасности.
Документированной информацией, требуемой СМИБ и Стандартом, необходимо управлять, чтобы гарантировать, что она:
- доступна и пригодна для применения там, где и когда она необходима, и
- надлежащим образом защищена (например, от потери конфиденциальности,неправильного использования или потери целостности).
Функционирование
В данном разделе говорится о втором этапе управленческого принципа PDCA - необходимости организации управлять процессамидля обеспечения соответствия требованиям, и выполнять действия, определенные в разделе Планирование. Также говорится, что организация должна выполнять оценку рисков информационной безопасности через запланированные интервалы времени или когда предложены или произошли существенные изменения. Организация должна сохранять результаты оценки рисков информационной безопасности как документированную информацию.
Оценка результатов деятельности
Третий этап - проверка. Организация должна оценивать функционирование и результативность СМИБ. Например, в ней должен проводиться внутренний аудит, чтобы получать информацию о том,
- соответствует ли система менеджмента информационной безопасности
- собственным требованиям организации к ее системе менеджмента информационной безопасности;
- требованиям Стандарта;
- что система менеджмента информационной безопасности результативно внедрена и функционирует.
Разумеется, что объем и сроки проведения аудитов должны планироваться заранее. Все результаты необходимо документировать и сохранять.
Улучшение
Суть этого раздела в том, чтобы определить порядок действий при выявлении несоответствия. Организации необходимо исправлять несоответствие, последствия и провести анализ ситуации, чтобы в будущем подобное не происходило. Все несоответствия и корректирующие действия должны документироваться.
На этом заканчиваются основные разделы Стандарта. В Приложении А приводятся более конкретные требования, которым должна соответствовать организация. Например, в плане контроля доступа, пользования мобильных устройств и носителей информации.
Выгоды от внедрения и сертификации ISO 27001
- повышение статуса организации и соответственно доверия партнеров;
- повышение стабильности функционирования организации;
- повышениеуровня защиты от угроз информационной безопасности;
- обеспечениенеобходимого уровня конфиденциальности информации заинтересованных сторон;
- расширение возможностей участия организации в крупных контрактах.
Экономическими преимуществами являются:
- независимое подтверждение сертификационным органом наличия в организации высокого уровня информационной безопасности, контролируемого компетентным персоналом;
- доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
- демонстрация определенного высокого уровнясистем менеджмента для обеспечения должного уровня обслуживания клиентов и партнеров организации;
- демонстрация проведения регулярных аудитов систем менеджмента, оценки результативности и постоянных улучшений.
Сертификация
Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех этапов:
- 1-ый этап- изучение аудитором ключевых документов СМИБ на соответствие требованиям Стандарта- может выполняться как на территории организации, так и путем передачи этих документов внешнему аудитору;
- 2-ой этап- детальный аудит, включая тестирование внедренных мер, и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
- 3-ий этап - выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.
Итог
Как можно увидеть, применение данного стандарта на предприятии позволить качественно повысить уровень информационной безопасности, что в условиях современных реалий дорогого стоит. Требований Стандарт содержит немало, но самое главное требование - делать то, что написано! Без реального применения требований стандарта он превращается в пустой набор бумажек.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
"Система менеджмента информационной безопасности"
менеджмент международный стандарт
В ведение
Система менеджмента информационной безопасности -- это совокупность процессов, которые работают в компании для обеспеченияконфиденциальности,целостностиидоступностиинформационных активов. В первой части реферата рассматривается процесс внедрения системы менеджмента в организацию, а также приведены основные аспекты выгоды от реализации системы менеджмента информационной безопасности.
Рис.1. Цикл управления
Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование (Рис.1). Этот стандарт будет рассмотрен подробнее во второй части.
С истема менеджмента информационной безопасности
Системой менеджмента информационной безопасности (СМИБ) называют ту часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. Процессы СМИБ созданы в соответствии с требованиям стандарта ISO/IEC 27001:2005, в основе которого лежит цикл
Работа системы основана на подходах современной теории рисков менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.
Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.
Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:
· Управление внутренней организацией информационной безопасности.
· Обеспечение информационной безопасности при взаимодействии с третьими сторонами.
· Управление реестром информационных активов и правила их классификации.
· Управление безопасностью оборудования.
· Обеспечение физической безопасности.
· Обеспечение информационной безопасности персонала.
· Планирование и принятие информационных систем.
· Резервное копирование.
· Обеспечение безопасности сети.
Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность -- это результат устойчивого функционирования процессов, связанных с информационными технологиями.
При построении СМИБ в компаниях специалисты проводят следующие работы:
· организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;
· определяют область деятельности (ОД) СМИБ;
· обследуют организацию в ОД СМИБ:
o в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;
o в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;
o в части ИТ инфраструктуры;
o в части ИБ инфраструктуры.
· разрабатывают и согласовывают аналитический отчет, содержащий перечень основных бизнес-процессов и оценку последствий реализации угроз ИБ в их отношении, перечень процессов менеджмента, ИТ-систем, подсистем информационной безопасности (ПИБ), оценку степени выполнения организацией всех требований ISO 27001 и оценку зрелости процессов организации;
· выбирают исходный и целевой уровень зрелости СМИБ, разрабатывают и утверждают Программу повышения зрелости СМИБ; разрабатывают высокоуровневую документацию в области ИБ:
o Концепцию обеспечения ИБ,
o Политики ИБ и СМИБ;
· выбирают и адаптируют методику оценки рисков, применимую в организации;
· выбирают, поставляют и развертывают ПО, используемое для автоматизации процессов СМИБ, организуют обучение специалистов компании;
· проводят оценку и обработку рисков, в ходе которой для их снижения выбираются меры Приложения «А» стандарта 27001 и формулируются требования к их реализации в организации, предварительно выбирают технические средства обеспечения ИБ;
· разрабатывают эскизные проекты ПИБ, производят оценку стоимости обработки рисков;
· организуют утверждение оценки рисков высшим руководством организации и разрабатывают Положения о применимости; разрабатывают организационные меры обеспечения ИБ;
· разрабатывают и реализуют технические проекты по внедрению технических подсистем информационной безопасности, поддерживающих выполнение выбранных мер, включая поставку оборудования, пуско-наладочные работы, разработку эксплуатационной документации и обучение пользователей;
· предоставляют консультации в ходе эксплуатации построенной СМИБ;
· организуют обучение внутренних аудиторов и проведение внутренних аудитов СМИБ.
Результатом данных работ является функционирующая СМИБ. Выгода от реализации СМИБ в компании достигаются за счет:
· эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;
· предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;
· повышения культуры ИБ в организации;
· повышения зрелости в области управления обеспечением ИБ;
· оптимизации расходования средств на обеспечение ИБ.
ISO/IEC 27001-- международный стандарт по информационной безопасности
Этот стандарт разработан совместно Международной Организацией по Стандартизации (ISO) и Международной электротехнической комиссией (IEC). Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания СМИБ. ISO 27001 устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные ресурсы. В международном стандарте используется понятие «защиты информации» и трактуется как обеспечение конфиденциальности, целостности и доступности информации. Основой стандарта является система управления рисками, связанными с информацией. Этот стандарт также можно использовать для оценки соответствия заинтересованными внутренними и внешними сторонами.
Для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшении системы менеджмента защиты информации (СМЗИ) стандарт принимает процессный подход. Он заключается в применении системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением.
Международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA), который еще называют циклом Шухарта-Деминга. Этот цикл применяется для структуризации всех процессов СМЗИ. На Рисунке 2 показано, как СМЗИ берет в качестве входных данных требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям.
Планирование - это фаза создания СМЗИ, создания перечня активов, оценки рисков и выбора мер.
Рисунок 2. Модель PDCA, примененная к процессам СМЗИ
Осуществление - это этап реализации и внедрения соответствующих мер.
Проверка - фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.
Действие - выполнение превентивных и корректирующих действий.
В ыводы
ISO 27001 описывает общую модель внедрения и функционирования СМИБ, а также действий по мониторингу и улучшению СМИБ. ISO намеревается гармонизировать различные стандарты по системам менеджмента, такие как ISO/IEC 9001:2000, который посвящен менеджменту качества, и ISO/IEC 14001:2004, предназначенный для систем экологического менеджмента. Цель ISO состоит в том, чтобы обеспечить согласованность и интеграцию СМИБ с другими системами менеджмента в компании. Сходство стандартов позволяет использовать схожий инструментарий и функционал для внедрения, управления, пересмотра, проверки и сертификации. Подразумевается, что если компания внедрила другие стандарты менеджмента, она может использовать единую систему аудита и управления, которая применима к менеджменту качества, экологическому менеджменту, менеджменту безопасности и т.д. Внедрив СМИБ, высшее руководство получает средства мониторинга и управления безопасностью, что снижает остаточные бизнес-риски. После внедрения СМИБ, компания может официально обеспечивать безопасность информации и продолжать выполнять требования клиентов, законодательства, регуляторов и акционеров.
Стоит отметить, что в законодательстве РФ существует документ ГОСТ Р ИСО/МЭК 27001-2006, который представляет собой переведенную версию международного стандарта ISO27001.
С писок литературы
1.Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил.
2.Международный стандартISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (дата обращения: 23.05.12)
3.Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27003 - "Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента Информационной Безопасности"(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (дата обращения: 23.05.12)
4.Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. -- 320 с.: ил.
5.Статья свободной энциклопедии»Википедия», «Система менеджмента
информационной безопасности» (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (дата обращения: 23.05.12)
6.Sigurjon Thor Arnasonи Keith D. Willett "How to Achieve 27001 Certification" («Какподготовитьсяксертификациипостандарту ISO 27001»)
Размещено на Allbest.ru
Подобные документы
Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.
курсовая работа , добавлен 03.02.2011
Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа , добавлен 03.02.2011
Основные этапы создания системы менеджмента на предприятии пищевой промышленности. HACCP как основа любой системы менеджмента безопасности пищевого продукта. Система менеджмента безопасности пищевых продуктов. Опасные факторы и предупреждающие действия.
реферат , добавлен 14.10.2014
Современные системы менеджмента и их интегрирование. Интегрированные системы менеджмента качества. Характеристика ОАО "275 АРЗ" и его системы менеджмента. Разработка системы управления охраной труда. Методы оценки интегрированной системы безопасности.
дипломная работа , добавлен 31.07.2011
Внедрение системы менеджмента качества. Сертификация систем менеджмента качества (ISO 9000), экологического менеджмента (ISO 14 000), системы управления охраной труда и техникой безопасности организаций (OHSAS 18 001:2007) на примере ОАО "Лента".
реферат , добавлен 06.10.2008
Разработка стандарта организации интегрированной системы менеджмента, устанавливающего единый порядок осуществления процесса управления документацией. Этапы создания системы менеджмента качества ОАО "ЗСМК". Размещение электронных версий документов.
дипломная работа , добавлен 01.06.2014
Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.
курсовая работа , добавлен 30.12.2011
Понятие системы управленческой информации и ее место в общей системе менеджмента. Виды информационных систем и их содержание. Понятие менеджмента как информационной системы. Функции системы управления финансами. Системы совершения сделок и операций.
реферат , добавлен 06.01.2015
Понятия в области охраны здоровья и безопасности труда. Международные стандарты ISO о системах менеджмента качества, системах экологического менеджмента, системах менеджмента профессиональной безопасности и здоровья. Адаптация стандарта OHSAS 18001-2007.
курсовая работа , добавлен 21.12.2014
Характеристика информационного менеджмента; субъектов информационно-правовых отношений; правового режима получения, передачи, хранения и использования информации. Особенности и юридические аспекты информационного обмена и информационной безопасности.
September 12th, 2011
Управление ИБ по Стандарту ISO 27001. Требования по документированию
Счастье есть. Управление информационной безопасностью возможно построить на основе стандарта ISO 27001. О том, как это сделать, рассказывает заместитель руководителя по методологической работе направления "Аудит информационных систем" департамента аудиторских и консультационных услуг финансовым институтам ФБК Михаил Винников:
Сегодня я расскажу о процессе вроде бы не имеющем отношения к ИБ, скорее - к документообороту, но на самом деле - процессе важном, экономящем эксплуатанту кучу времени и нервов - о том, какие требования предъявляются к документированию процессов ИБ, или - как правильно и с минимальными затратами сил описать СМИБ и поддерживать эти описания в актуальном состоянии. Естественно, ориентируясь на ISO 27001.
Уровень информационной безопасности (далее - ИБ), адекватный потребностям организации, требует ясного изложения основных правил, принципов и задач, адекватной реализации их в повторяемые и контролируемые защитные меры, воплощения мер на практике силами сотрудников организации при обеспечении оперативного отражения текущей ситуации для принятия соответствующих управляющих действий.
Наилучший способ реализации этого - облечь идеи, практические мысли и результаты деятельности по обеспечению ИБ в документальную форму, что позволит, во-первых, определить структуру взаимодействия правил и реализующих их практических действий, а во-вторых, довести до каждого работника на соответствующем уровне делового процесса правила и требования по обеспечению ИБ, которыми он должен руководствоваться при выполнении своих должностных обязанностей, а также определить порядок контроля их соблюдения.
Исходя из изложенного выше, получаем новую «ветку» в схеме системы менеджмента ИБ (СМИБ) по Стандарту ИСО 27001 (далее - Стандарт):
«СМИБ» - «разрабатывает» - «требования по документированию».
Коды в названиях задач, как уже упоминалось в начале наших публикаций, указывают на номер раздела Стандарта ИСО 27001.
Как организовать систему документального обеспечения СМИБ?
Каждый тип документа можно дополнительно охарактеризовать следующими вопросами-атрибутами, влияющими на его жизненный цикл:
- для кого он предназначен (кто его будет читать);
- кто его согласовывает и утверждает;
- как часто он может меняться.
С другой стороны, формально документы можно разделить на программные (справочные) и оперативные (содержащие результаты деятельности). В терминах Стандарта, такие документы разделяются, соответственно, на собственно документы и записи.
Согласно Стандарта, документация СМИБ должна включать в себя информацию о:
- документированных положениях политики СМИБ, ее целей и области функционирования, политике ИБ;
- процедурах и мерах управления, используемых СМИБ;
- методологии оценки рисков ИБ;
- результатах оценки рисков и планы их обработки;
- процедурах оценки результатов функционирования СМОИБ;
- свидетельства функционирования СМИБ.
В каком формате необходимо представить эту информацию?
При разработке системы документов, обеспечивающих СМИБ, возникает коллизия между трудоемкостью (потребностью в ресурсах) первоначального создания документов и дальнейшего поддержания их в актуальном состоянии. С одной стороны, есть желание, чтобы число типов (номенклатура) и количество самих документов было как можно меньше (малым количеством легче управлять, быстрее можно закончить подготовку всего пакета и т.п.). С другой стороны, если СМИБ «живет» и все время развивается, документы периодически, а на некоторых периодах развития - достаточно часто, приходится корректировать и дорабатывать. Если документы по обеспечению ИБ включены в общий «бюрократический» цикл организации: «разработка-согласование-утверждени е», то чем более высокий уровень утверждения и согласования документов, тем дольше будет цикл ввода в действие новых версий документов, тем труднее поддерживать их в актуальном состоянии.
Предположим, организация разработала Политику информационной безопасности, включив в нее положения по правилам действий по отдельным направлениям ИБ (называемые частными политиками ИБ). Ввиду того, что с Политикой ИБ должны быть ознакомлены все сотрудники организации, документ старались сделать не очень объемным и подробным, а положения частных политик описали кратко, в виде тезисов.
Что получилось в результате?
Документ все равно получился тяжеловесным - более десятка страниц, что очень много. Получившиеся частные политики из-за неконкретности практически ничего не объясняют, поэтому применять их невозможно. Документ трудно сопровождать - для того чтобы внести и утвердить корректировку в раздел, например, безопасного использования Интернет при принятии решения об использовании, скажем, системы обнаружения вторжений (IDS), нужно ждать очередного собрания директоров и т.п. Т.е. документ получился нерабочим.
Политика ИБ должна быть проста для понимания и умещаться, в идеале, на одну-две страницы, ведь она как стратегический документ утверждается на самом высоком уровне управленческой иерархии, и знакомиться с ней должны все сотрудники организации. Разделение общей и частных политик на отдельные документы позволяет дорабатывать, расширять и корректировать частные политики эффективнее, утверждение соответствующего документа пройдет существенно быстрее, при этом, БЕЗ ИЗМЕНЕНИЯ общей политики ИБ.
Точно также получается, если в частной политике отражать использование какой-либо конкретной технологии или системы, ее конфигурацию. Смена системы или ее перенастройка влечет изменение документа, подписываемого на уровне директора. Не правильно! Проще в частной политике указать на подчиненные документы (третьего и четвертого уровня), приведя в приложении к частной политике формат и перечень информации, необходимой для обеспечения управления.
Надеюсь, я убедил Вас в мысли, что система документов ИБ должна быть построена по иерархической схеме с максимально общими и абстрактными документами на высшем уровне иерархии, и повышение «конкретности» по мере приближения к практической части.
Что рекомендуют нам стандарты?
Стандарт ISO 13335-1 предусматривает 4 уровня политик (правил) информационной безопасности:
- корпоративная политика безопасности;
- политика информационной безопасности;
- корпоративная политика безопасности информационных и коммуникационных технологий;
- политика безопасности [отдельных] систем информационных и коммуникационных технологий.
Рекомендации в области стандартизации Банка России РС БР ИББС 2.0-2007 предлагают следующую интерпретацию положений упомянутого выше стандарта:
Какие документы могут быть отнесены к каждому из уровней?
Уровни документов | Типы документов |
Первый уровень | Политика СМИБ, Политика информационной безопасности, Концепция информационной безопасности |
Второй уровень | Частные политики информационной безопасности (обеспечение физической безопасности, предоставление доступа, использование Интернет и электронной почты, ИБ в технологических процессах и т.п.) |
Третий уровень | Инструкции, положения, порядки, руководства, методические пособия и программы обучения, требования к конфигурации и т.п. |
Четвертый уровень | Записи в системных журналах ОС, СУБД и ИС; реестры информационных активов; заявки и выполненные наряды по предоставлению доступа; записи в журналах обучения и инструктажа по ИБ, протоколы испытаний, акты, обязательства о неразглашении конфиденциальной информации и т.п. |
Документы, отнесенные к разным уровням иерархии, имеют разный по длительности жизненный цикл.
Уровни документов | Как часто меняются? |
Первый уровень | редко (изменения стратегического уровня) |
Второй уровень | не часто (при изменениях на уровне тактических решений) |
Третий уровень | относительно часто |
Четвертый уровень | непрерывно |
Высокоуровневые документы должны быть максимально обобщающими и абстрактными и изменяться при изменениях стратегического уровня - смене стратегии бизнеса, принятие новых стандартов, кардинальная смена информационной системы и т.п. Подчиненные по иерархии документы (третий уровень) могут меняться существенно чаще - при внедрении новых продуктов, технологий обеспечения ИБ, формировании дополнительных учебных курсов или разработке порядков резервного копирования информации. На четвертом уровне записи формируются непрерывно и со временем, скорее всего, будет уточняться их формат.
Документы, находящиеся на разных уровнях иерархии, требуют утверждения на разных уровнях управления.
Высокоуровневые документы - политики СМИБ и ИБ, определяющие стратегические подходы к обеспечению ИБ, утверждаются на уровне собственников или совета директоров.
Частные политики, определяющие правила информационной безопасности в отдельных сферах, могут утверждаться на уровне исполнительного директора или курирующего руководителя, но при этом должны иметь широкий круг согласования в подразделениях, которых эти сферы деятельности затрагивают.
Положения, инструкции и прочие практические документы являются рабочими документами подразделений, эксплуатирующих инфраструктуру обеспечения ИБ, они их создают, корректируют и изменяют. В отдельных случаях, некоторые документы третьего могут требовать утверждения на уровне руководства организации (например, положения о подразделениях и т.п.).
Свидетельства функционирования ИБ при необходимости аутентифицируются подписью исполнителя.
Чтобы не запутаться в версиях документов, правильно распространять документы среди сотрудников, для кого они предназначены, всей этой кипой документов надо УПРАВЛЯТЬ.
Процедура управления документами должна обеспечивать:
- утверждение документов на соответствующем уровне управляющей структуры организации;
- пересмотр и модернизацию, при необходимости, документов;
- обеспечение идентификации внесенных изменений и текущего статуса версий документов;
- доступ к рабочим версиям документов в местах их использования;
- наличие порядка идентификации документов и предоставления доступа к ним;
- доступ к документам авторизованных лиц, а также то, что их жизненный цикл (передача, хранение и уничтожение) проводится в соответствии с уровнем классификации их конфиденциальности;
- идентификацию документов, созданных вне организации;
- контроль за распространением документов;
- предотвращение использования устаревших документов;
- соответствующую идентификацию устаревших документов в случае, если они сохраняются для какой-либо цели.
Процедуру управления документами ИБ желательно описать в виде отдельного документа, содержащего, в том числе, перечень и назначение всех документов, период и/или условия пересмотра, кто является владельцем каждого из документов, кто какой документ согласовывает и утверждает, для кого каждый тип документов предназначен и т.п.
Все правила создания, изменения, согласования и утверждения документов должны соответствовать принятым в организации правилам документооборота.
Следует отметить, что процедура пересмотра документов не обязательно подразумевает внесение изменений в документы. Полезно предусмотреть для некоторых типов документов процедуру подтверждения их актуальности, проводимую через большие, но регулярные промежутки времени. Из рекомендаций Банка России о периоде в три года для проведения самооценки или аудита соответствия требованиям стандарта СТО БР ИББС-1.0, можно предположить, что такой же период для пересмотра/подтверждения политики ИБ можно признать разумным (в смысле, НЕ РЕЖЕ!). Для остальных документов, возможно, процедуру пересмотра надо проводить несколько чаще.
Свидетельства функционирования СМИБ так же должны формироваться в виде документов, существующих в обычной бумажной форме или электронной. К свидетельствам функционирования СМИБ можно отнести различные заявки и наряды по предоставлению доступа, записи журналов операционных систем, СУБД и прикладных программ, результаты функционирования систем предотвращения вторжения и отчеты по результатам теста на проникновение, акты проверки конфигурации рабочих мест и серверов и т.п. Данный класс документов обозначаются в Стандарте как «записи». Процедура управления записями должна обеспечивать их контроль и защиту от модификации, т.к. при определенных условиях они могут являться материалами для проведения расследования инцидентов ИБ и качество хранения данных материалов определяет, будут ли признаны данные материалы легитимными или наоборот не заслуживающими доверия. К записям также можно отнести результаты мониторинга СМИБ, расследования инцидентов ИБ, отчеты о результатах функционирования СМИБ и т.п.
Процедуры управления записями должны:
- обеспечивать четкость, простоту, идентифицируемость и восстанавливаемость документальных свидетельств;
- использовать меры управления, обеспечивающие идентификацию, хранение, защиту конфиденциальности и целостности, поиск, определение сроков хранения и порядка уничтожения.
В качестве примера, приведем небольшой «вертикальный» фрагмент перечня типов документов, составляющих систему документирования СМИБ, например, обеспечения ИБ при доступе к сети Интернет:
Уровень | Документы |
Первый уровень | > Политика информационной безопасности организации > Концепция обеспечения информационной безопасности |
Второй уровень | > Частная политика информационной безопасности организации при работе с ресурсами сети Интернет > Термины, используемые в документах ИБ (глоссарий) |
Третий уровень | > Порядок предоставления доступа пользователей к ресурсам сети Интернет > Описание профилей доступа (набора разрешений и запретов) к ресурсам сети Интернет > Схема компьютерной сети, подключенной к сети Интернет > Карточка настройки прокси-сервера > Карточка настройки межсетевого экрана между сегментами внутренней сети и демилитаризованной зоной (DMZ ) > Карточка настройки рабочей станции [для обеспечения доступа к Интернет] > Памятка пользователя о порядке использования ресурсов сети Интернет > Описание и квалификационные требования функциональной роли «администратор систем доступа в Интернет» > Должностная инструкция сотрудника, исполняющего функциональную роль «администратор систем доступа в Интернет» |
Четвертый уровень | > Заявка-наряд на подключение пользователя к использованию ресурсов сети Интернет > Перечень пользователей, подключенных к сети Интернет с указание профиля доступа > Журнал прокси-сервера о доступе пользователей к ресурсам сети Интернет > Журнал системы обнаружения вторжений (IDS ) в сегменте сети, расположенном в DMZ > Отчет о вторжениях в DMZ , обнаруженных IDS > Акт проведения проверки конфигурации межсетевого экрана |
Приведенный список является далеко не исчерпывающим даже для выбранного направления и зависит от конкретных технологий и сервисов, получаемых или предоставляемых организацией с использованием сети Интернет, а также подходов для обеспечения информационной безопасности.
Приведем несколько общих рекомендаций по созданию документов СМИБ.
> В виде отдельного документа следует разработать документ под названием «Глоссарий», общий, по крайней мере, для документов первых двух уровней, использовать его при разработке документов и указать его в документах в виде ссылки.
> Для проведения стандартизации форм документов можно в приложениях к документам высокого уровня указывать формы подчиненных документов, особенно тех, которые являются свидетельствами выполнения (отчетами, формами запросов и т.п.). С одной стороны, это несколько усложняет процедуру первоначальной разработки документа. С другой стороны, если все связанные документы разрабатываются как элементы процедуры, вы сразу получаете готовую к использованию технологию.
> Частой ошибкой при подготовке документов высокого уровня (политик и частных политик, положений и т.п.) является внесение непосредственно в текст документов конкретных фамилий, названий систем и т.п. Соответственно, смена исполнителя так же приводит к запуску длительного цикла согласования «новой» версии документа. Подобные «переменные» величины лучше изначально переносить в приложения, подчиненные документы или записи (документы четвертого уровня).
> При создании «практических» документов при описании выполнения той или иной функции желательно указывать не должность, а функциональную роль, например «администратор антивирусной системы» или «оператор системы резервного копирования», а в отдельном документе вести реестр сотрудников, выполняющих ту или иную роль. Это удлинит жизненный цикл документа, без необходимости его коррекции и обеспечит гибкость его применения, т.к. можно вести отдельный реестр «компетенций» и оперативно подменять исполнителей при возникновении такой необходимости.
> Каждый документ должен содержать признак своего владельца (ответственного сотрудника), область действия и условия пересмотра.
> Документы и записи СМИБ могут существовать как в «твердой» (бумажной), так и в электронной форме. Для предоставления аудиторам или проверяющим копий экземпляров документов, находящихся в электронной форме, должны существовать соответствующие процедуры и определены их ответственные исполнители.
К сказанному выше можно добавить, что если разработку документов высокого уровня (политик, положений и т.п.) можно поручить внешним консультантам, то документы и записи нижних уровней должны формировать и поддерживать в актуальном состоянии сотрудники организации, максимально вовлеченные в процесс функционирования СМИБ и составляющих ее процедур.
В следующей публикации обсудим участие руководства организации в системе менеджмента информационной безопасности.
