Apropiado
La adopción del modelo PDCA también refleja los principios establecidos en las directivas de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) y la seguridad definitoria de los sistemas de información y las redes. Esta norma es un modelo visual para la implementación en la práctica de estos principios que nos permiten evaluar los riesgos, el diseño e implementación del sistema de seguridad de la información, su gestión y revaluación.
1 El requisito puede aprobar que las violaciones de seguridad de la información no conducen a un daño financiero significativo a la organización y / o a dificultades significativas en sus actividades,
2 El resultado esperado puede estar en la organización de empleados bastante bien capacitados para realizar procedimientos que le permitan minimizar la posible consecuencias desfavorables En el caso de un incidente grave, como la penetración no autorizada (ataque de piratas informáticos) en el sitio web de la organización a través del cual ejerce el comercio electrónico.
| tabla 1 | |
Esta norma se acuerda con los estándares de "Sistemas de gestión de la calidad. Requisitos" y "Sistemas de gestión ambiental. Requisitos y guía para la aplicación "para apoyar la implementación y la interacción coherentes e integradas con otras normas similares en el campo de la gerencia. Por lo tanto, un sistema de gestión integrado en una organización puede cumplir con los requisitos de todos estos estándares.
Esta norma está destinada al uso de cualquier forma de propiedad (por ejemplo, comercial, estado y organizaciones sin ánimo de lucro). Esta norma establece los requisitos para el desarrollo, la implementación, la operación, el monitoreo, el análisis, el apoyo y la mejora de un sistema de gestión de seguridad de la información documentado (ISM) entre los riesgos comerciales generales de la Organización. Además, la norma establece los requisitos para la implementación de las medidas de gestión de la seguridad de la información y su control, que pueden ser utilizadas por organizaciones o sus divisiones de conformidad con los objetivos y objetivos establecidos de proporcionar seguridad de la información (IB).
El objetivo de construir los ISI es la elección de las medidas de gestión de seguridad adecuadas diseñadas para proteger los activos de la información y garantizar la confianza de las partes interesadas.
Nota: el término "negocio", en este estándar entendido en un sentido amplio, denota toda la actividad que es la base para el propósito de la existencia de la organización.
Los requisitos establecidos por esta norma están destinados a su uso en todas las organizaciones, independientemente del tipo, escala y esfera de sus actividades. Eliminación de cualquiera de los requisitos especificados en
actuar Editorial 27.12.2006
| Documento de nombre | "Tecnología de la información. Métodos y herramientas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos. GOST R ISO / IEC 27001-2006" (aprobado por orden de regulación de rostechregulación desde 27.12.2006 n 375-ST) |
| Tipo de Documento | orden, Estándar, GOST, ISO |
| Aceptado por | regulación de rostech |
| Número del Documento | ISO / IEC 27001-2006 |
| Fecha de adopción | 01.01.1970 |
| Fecha de editorial | 27.12.2006 |
| Fecha de inscripción en el Ministerio de Justicia. | 01.01.1970 |
| Estado | actuar |
| Publicación |
|
| Navegador | Notas |
"Tecnología de la información. Métodos y herramientas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos. GOST R ISO / IEC 27001-2006" (aprobado por orden de regulación de rostechregulación desde 27.12.2006 n 375-ST)
8. Mejora del sistema de gestión de seguridad de la información.
8.1. Mejora continua
La organización debe mejorar constantemente la efectividad de los ISI al refinar la política del IB, los objetivos del IB, el uso de los resultados de la auditoría, el análisis de los eventos controlados, las acciones correctivas y preventivas, así como el uso de la gestión de los resultados del análisis ImiM (ver SECCIÓN 7).
8.2. Acciones correctivas
La organización debe tener medidas para eliminar los motivos de las inconsistencias con los requisitos de los ISM para prevenir su reaparición. El procedimiento de acción correctivo documentado debe establecer los requisitos en:
a) identificar inconsistencias;
b) determinar las causas de las inconsistencias;
C) evaluar la necesidad de acción para evitar repetir inconsistencias;
d) la definición y la implementación de las acciones correctivas necesarias;
(e) Mantener los resultados de las acciones tomadas (ver 4.3.3);
f) Análisis de la acción correctiva realizada.
8.3. Acciones de advertencia
La organización debe determinar las acciones necesarias para eliminar las causas de las inconsistencias potenciales con los requisitos de los ISM, para prevenirlos. apariencia repetida. Las acciones de advertencia emprendidas deben cumplir con las consecuencias de los problemas potenciales. El procedimiento documentado de las acciones preferidas debe establecer los requisitos en:
a) identificar inconsistencias potenciales y sus razones;
b) evaluar la necesidad de robar para prevenir la aparición de inconsistencias;
c) la definición y la implementación de la acción de advertencia necesaria;
d) registrar los resultados de la acción tomada (ver 4.3.3);
e) Analizar los resultados de la acción.
La organización debe determinar los cambios en las evaluaciones de riesgo y establecer los requisitos para las acciones de advertencia, al tiempo que paga atención especial En indicadores de riesgo cuantitativos sustancialmente modificados.
Las prioridades relacionadas con la implementación de las acciones de advertencia deben determinarse en función de los resultados de la evaluación de riesgos.
Nota: normalmente, los costos de llevar a cabo medidas de prevención de incumplimiento son más económicas que en las acciones correctivas.
En el mundo de la tecnología de la información, la cuestión de garantizar la integridad, la confiabilidad y la confidencialidad de la información se convierte en prioridad. Por lo tanto, el reconocimiento de la necesidad de un sistema de gestión de seguridad de la información (ISMS) es una solución estratégica.
Se desarrolló para crear, implementar, mantener el funcionamiento y la mejora continua del ISMIM en la empresa. Además, gracias a la aplicación de esta norma, los socios externos se están convirtiendo en la capacidad de una organización obvia para cumplir con sus propios requisitos de seguridad de la información. Este artículo tratará los requisitos básicos del estándar y discutirá su estructura.
Su negocio llegará a un nuevo nivel de calidad, si obtiene un certificado ISO legítimo con la ayuda de especialistas con experiencia.
Las principales tareas de la norma ISO 27001.
Antes de cambiar a la descripción de la estructura estándar, discutiremos sus tareas principales y consideraremos la historia del surgimiento de la norma en Rusia.
Tareas de la norma:
- establecer requisitos uniformes para que todas las organizaciones creen, implementen y mejoren los ismos;
- asegurar la interacción del más alto liderazgo y empleados;
- ahorrar confidencialidad, integridad y disponibilidad de información.
Al mismo tiempo, los requisitos establecidos por la norma son comunes y están destinados a su uso por cualquier organización, independientemente de su tipo, tamaño o carácter.
Historia estándar:
- En 1995, el Instituto Británico de Normas (BSI) adoptó el Código de Gestión de la Seguridad de la Información como Normal Nacional de Gran Bretaña y la registró en el número BS 7799 - Parte 1.
- En 1998, BSI publica la norma BS7799-2, que consta de dos partes, una de las cuales incluía un conjunto de reglas prácticas y los otros requisitos para los sistemas de gestión de seguridad de la información.
- En el proceso de las siguientes revisiones, la primera parte fue publicada como BS 7799: 1999, Part1. En 1999, esta versión de la norma se transfirió a la Organización de Certificación Internacional.
- Este documento fue aprobado en 2000 como una norma internacional ISO / IEC 17799: 2000 (BS 7799-1: 2000). Última versión Esta norma adoptada en 2005 es ISO / IEC 17799: 2005.
- En septiembre de 2002, se entró en vigor la segunda parte de la "especificación del sistema de gestión de la seguridad de la información" BS 7799 ". La segunda parte del BS 7799 se revisó en 2002, y a fines de 2005 se adoptó ISO como estándar internacional ISO / IEC 27001: 2005 " Tecnologías de la información - Métodos de seguridad - Sistemas de gestión de seguridad de la información - Requisitos.
- En 2005, la norma ISO / IEC 17799 se incluyó en la línea de estándares de la serie 27 y se recibió nuevo número - ISO / IEC 27002: 2005.
- El 25 de septiembre de 2013, se publicó una norma ISO / IEC 27001 actualizada. "Sistemas de gestión de seguridad de la información. Requisitos. Actualmente, la certificación de organizaciones se realiza de acuerdo con esta versión de la norma.
Estructura estándar
Una de las ventajas de esta norma es la similitud de su estructura con ISO 9001, ya que los titulares idénticos de los subsecciones, el texto idéntico, los Términos generales y las definiciones básicas son idénticos. Esta circunstancia ahorra tiempo y dinero, ya que parte de la documentación ya se ha desarrollado cuando está certificado por ISO 9001.
Si hablamos de la estructura de la norma, entonces la lista de requisitos para los ISMS, obligatoria para la certificación y consta de las siguientes secciones:
| Secciones principales | Apéndice A. |
|---|---|
| 0. Introducción | A.5 Políticas de seguridad de la información. |
| 1 área de uso | A.6 Organización de seguridad de la información |
| 2. Referencias regulatorias | A.7 Seguridad de los recursos humanos (personal) |
| 3. Términos y definiciones | A.8 Gestión de activos |
| 4. Contexto de la organización. | A.9 Control de acceso |
| 5. Liderazgo | A.10 Criptografía |
| 6. planificación | A.11 Seguridad física y protección ambiental. |
| 7. Soporte | A.12 Operaciones de Seguridad |
| 8. Operaciones (operación) | A.13 Comunicaciones de seguridad. |
| 9. Evaluación (medición) de rendimiento. | A.14 Sistemas de información de adquisición, desarrollo y servicio. |
| 10. Mejora (mejora) | A.15 Relación con proveedores |
| A.16 Gestión de servicios de incidentes | |
| A.17 Disposición de continuidad de negocios | |
| A.18 Cumplimiento de la legislación. |
Los requisitos de "Anexo A" son obligatorios para la implementación, pero la norma le permite excluir áreas que no se pueden aplicar a la empresa.
Al implementar el estándar en la empresa para pasar la certificación adicional, vale la pena recordar que no se permiten las excepciones de los requisitos establecidas en las secciones 4 a 10. Estas secciones se discutirán más.
Comencemos con la Sección 4 - El contexto de la organización.
Contexto de la organización
En esta sección, la norma requiere que la organización identifique los problemas externos e internos que sean significativos desde el punto de vista de sus objetivos, y que afectan la capacidad de sus issmos para lograr los resultados esperados. Al mismo tiempo, se debe tener en cuenta las legislación y los requisitos reglamentarios y obligaciones contractuales con respecto a la seguridad de la información. Además, la organización debe determinar y documentar los límites y la aplicabilidad de los ISMS para establecer su alcance.
Liderazgo
La alta gerencia debe demostrar liderazgo y obligaciones con respecto al sistema de gestión de seguridad de la información a través de, por ejemplo, la garantía de que la política de información de seguridad de la información y el objetivo de la seguridad de la información se establecen y coherentes con la estrategia de la organización. Además, la guía más alta debe garantizar la provisión de todos los recursos necesarios para los ISMS. En otras palabras, la participación de las directrices para la seguridad de la información debe ser evidente para los trabajadores.
Debe ser documentado y señalado a la atención de los trabajadores en el campo de la seguridad de la información. Este documento recuerda la política de calidad ISO 9001. También debe cumplir con el nombramiento de la organización e incluir objetivos de seguridad de la información. Bueno, si son metas reales, como preservar la confidencialidad e integridad de la información.
Además, se espera que el liderazgo distribuya funciones y responsabilidades relacionadas con la seguridad de la información entre los empleados.
Planificación
En esta sección llegamos a la primera etapa. principios de gerencia PDCA (Plan - Do - Check - Ley): planifique, realice, compruebe, actúe.
Planificación del sistema de gestión de seguridad de la información, la Organización debe tener en cuenta los problemas mencionados en la Sección 4, así como determinar los riesgos y las capacidades potenciales que deben tenerse en cuenta para garantizar que los ISM puedan lograr los resultados esperados, prevenir Efectos indeseables y lograr una mejora continua.
Al planificar, cómo lograr sus objetivos de seguridad de la información, la organización debe determinar:
- lo que se hará;
- ¿Qué recursos se requerirán?
- quién será responsable;
- cuando se lograrán metas;
- cómo se evaluarán los resultados.
Además, la organización debe mantener información sobre los objetivos de seguridad de la información como información documentada.
Seguridad
La organización debe determinar y garantizar los recursos necesarios para el desarrollo, la implementación, el mantenimiento del funcionamiento y la mejora continua de los ISMS, esto incluye personal y documentación. En relación con el personal de la organización, se espera la selección de trabajadores de seguridad de la información calificados y competentes. Las calificaciones de los trabajadores deben ser confirmadas por certificados, diplomas, etc. Es posible atraer bajo el contrato de especialistas de terceros, o la capacitación de sus empleados. En cuanto a la documentación, debe incluir:
- información documentada requerida por la norma;
- información documentada reconocida por la organización necesaria para garantizar la efectividad del sistema de gestión de seguridad de la información.
La información documentada requerida por los ISMS y la norma debe gestionarse para asegurarse de que sea:
- disponible y adecuado para su uso donde y cuando sea necesario y
- protegido adecuadamente (por ejemplo, de la pérdida de confidencialidad, uso indebido o pérdida de integridad).
Marcha
Esta sección se refiere a la segunda etapa del principio de gestión de PDCA, la necesidad de organizar los procedimientos para garantizar el cumplimiento de los requisitos y realizar acciones definidas en la sección de planificación. También se dice que la organización debe cumplir la evaluación de riesgos a través de los intervalos de tiempo planificados o cuando se han propuesto u ocurrido cambios significativos. La organización debe mantener los resultados de una evaluación de los riesgos de seguridad de la información como información documentada.
Evaluación del desempeño
Tercera etapa - Cheque. La organización debe evaluar el funcionamiento y la eficacia de los ISMS. Por ejemplo, la auditoría interna debe realizarse en ella para recibir información sobre
- ¿El sistema de gestión de seguridad de la información cumple con
- requisitos propios de la organización a su sistema de gestión de seguridad de la información;
- requisitos de la norma;
- que el sistema de gestión de seguridad de la información es perfecto y funcionando.
Por supuesto, el volumen y el tiempo de las auditorías deben planificarse de antemano. Todos los resultados deben ser documentados y guardados.
Mejora
La esencia de esta sección es determinar el procedimiento al identificar inconsistencias. Las organizaciones deben corregir la inconsistencia, las consecuencias y realizar un análisis de la situación para que no ocurra en el futuro. Todas las inconsistencias y las acciones correctivas deben ser documentadas.
Esto finaliza las particiones principales de la norma. El Anexo A proporciona requisitos más específicos a los que la Organización debe cumplir. Por ejemplo, en términos de control de acceso, uso de dispositivos móviles y medios.
Beneficios de la implementación y certificación ISO 27001.
- aumentar el estado de la organización y respectivamente la confianza de los socios;
- mejorar la estabilidad del funcionamiento de la organización;
- mayor protección contra las amenazas de seguridad de la información;
- asegurar el nivel de confidencialidad de la información de las partes interesadas;
- empoderando las oportunidades de participación de la organización en grandes contratos.
Las ventajas económicas son:
- confirmación independiente por la autoridad de certificación para organizar un alto nivel de seguridad de la información controlada por personal competente;
- comprobante de cumplimiento de las leyes y regulaciones existentes (implementación de un sistema de requisitos obligatorios);
- demostración de ciertos altos niveles de gestión para garantizar el nivel adecuado de servicio al cliente y socios de la organización;
- demostración de auditorías regulares de sistemas de gestión, evaluando el rendimiento y las mejoras permanentes.
Certificación
La organización puede ser certificada por agencias acreditadas de acuerdo con esta norma. El proceso de certificación consta de tres etapas:
- La primera etapa es el estudio del Auditor de los Documentos clave de los ISMS para el cumplimiento de los requisitos de la norma, se puede realizar tanto en el territorio de la organización como al transferir estos documentos un auditor externo;
- La 2ª etapa es una auditoría detallada, incluida la prueba de medidas incrustadas y evaluando su efectividad. Incluye un estudio completo de documentos que requieren estándar;
- 3ª Etapa: realizando una auditoría de inspección para confirmar que la organización certificada cumple con los requisitos establecidos. Base periódica.
Salir
Como puede ver, la aplicación de esta norma en la empresa le permite aumentar cualitativamente el nivel de seguridad de la información, que en condiciones realidades modernas Estimados soportes. Los requisitos de la norma contienen mucho, pero el requisito más importante es hacer lo que está escrito. Sin aplicación real Los requisitos de la norma se convierten en un conjunto vacío de pedazos de papel.
Envíe su buen trabajo en la base de conocimientos es simple. Usa el siguiente formulario
Los estudiantes, los estudiantes de posgrado, los jóvenes científicos que usan la base de conocimientos en sus estudios y el trabajo le estarán muy agradecidos.
publicado por http://www.allbest.ru//
"Sistema de gestión de seguridad de la información"
estándar internacional de gestión
ENmantenimiento
El sistema de gestión de seguridad de la información es una combinación de procesos que trabajan en la empresa para garantizar la confidencialidad, los activos informativos de accesorios de integridad. La primera parte del resumen examina el proceso de implementación del sistema de gestión a la organización, así como los principales aspectos del beneficio de la implementación del sistema de gestión de seguridad de la información.
Figura 1. Ciclo de control
Lista de procesos y recomendaciones como la mejor manera Para organizar su funcionamiento, se dan en la norma internacional ISO 27001: 2005, que se basa en el sistema de control del ACT de plan de control del plan. De acuerdo con esto, el ciclo de vida de los ISMS consiste en cuatro tipos de actividades: la creación - Implementación y operación - Monitoreo y análisis: soporte y mejora (Fig. 1). Esta norma se discutirá con más detalle en la segunda parte.
DEestimacióngestióninformaciónseguridad
El sistema de gestión de seguridad de la información (ISMS) se llama parte del sistema de gestión común, que se basa en el enfoque de los riesgos comerciales al crear, implementar, funcionar, monitorear, analizar, respaldar y mejorar la seguridad de la información. Los procesos ISMIMS se crean de acuerdo con los requisitos de la norma ISO / IEC 27001: 2005, que se basa en el ciclo
La operación del sistema se basa en enfoques. teoría moderna Riesgos de gestión, que garantizan su integración en el sistema general de gestión de riesgos de la organización.
La introducción del sistema de gestión de seguridad de la información implica el desarrollo e implementación de un procedimiento dirigido a la identificación, análisis y mitigación sistemáticas de los riesgos de seguridad de la información, es decir, los riesgos, como resultado de los cuales los activos de la información (información en cualquier forma y cualquier naturaleza) Pierde la confidencialidad, la integridad y la accesibilidad.
Para garantizar la mitigación sistemática de los riesgos de seguridad de la información, sobre la base de los resultados de la evaluación de riesgos, se están implementando los siguientes procesos en la organización:
· Gestión de la organización interna de la seguridad de la información.
· Asegurar la seguridad de la información al interactuar con terceros.
· Gestión del registro de activos de información y las reglas para su clasificación.
· Gestión de la seguridad del equipo.
· Asegurar la seguridad física.
· Proporcionar personal de seguridad de la información.
· Planificación y adopción de sistemas de información.
· Respaldo.
· Asegurar la seguridad de la red.
Los procesos del sistema de gestión de seguridad de la información afectan a todos los aspectos de la gestión de la infraestructura de TI de la organización, ya que la seguridad de la información es el resultado del funcionamiento sostenible de los procesos relacionados con las tecnologías de la información.
Al construir un isms en empresas, los especialistas realizan el siguiente trabajo:
· Organizar la gestión de proyectos, formar un grupo de proyectos por parte del cliente y el contratista;
· Determinar el área de actividad (OD) de los ISM;
· Explorar la organización en OD SMIB:
o En parte de los procesos de negocios de la organización, incluido el análisis. consecuencias negativas Incidentes IB;
o En términos de los procesos de gestión de la organización, incluidos los procesos de gestión de gestión y gestión de la calidad existentes;
o en parte de la infraestructura de TI;
o En parte de la infraestructura IB.
· Desarrollar y coordinar un informe analítico que contiene una lista de procesos de negocios básicos y una evaluación de las consecuencias de la implementación de las amenazas de IB en su respeto, una lista de procesos de gestión, sistemas de TI, subsistemas de seguridad de la información (PIB), una evaluación de la grado de cumplimiento por la organización de todos los requisitos ISO 27001 y evaluar la madurez de las organizaciones de procesos;
· Elija el nivel original y objetivo de madurez de los ISMS, desarrolle y apruebe el programa de madurez del vencimiento; Desarrollar documentación de alto nivel en el campo del IB:
o Concepto de proporcionar IB,
o Político IB y SMIB;
· Elija y adapte la metodología para evaluar los riesgos aplicables a la organización;
· Elija, entregue y despliegue el software utilizado para automatizar los procesos MSIM, organizar la capacitación de los especialistas en la empresa;
· La evaluación y el procesamiento de riesgos, durante los cuales, por su reducción, se seleccionan las medidas de la solicitud "A" de la norma 27001 y los requisitos para su implementación en la organización se seleccionan preliminarmente;
· Desarrollar proyectos de boceto de PIB, evalúe el costo del procesamiento de riesgos;
· Organizar la aprobación de la evaluación de riesgos por la mayor gestión de la organización y desarrollar disposiciones sobre la aplicabilidad; Desarrollar medidas organizativas para proporcionar IB;
· Desarrollar e implementar proyectos técnicos sobre la implementación de subsistemas de seguridad de la información técnica que respaldan la implementación de medidas seleccionadas, incluida la oferta de equipos, trabajos de puesta en servicio, desarrollo de la documentación operativa y la capacitación del usuario;
· Proporcionar consultas durante la operación del SMIS construido;
· Organizar capacitación de auditores internos y realizar auditorías internas de los ISMS.
El resultado de estos trabajos es el funcionamiento de ISMIM. El beneficio de la implementación de los ISMS en la empresa se logra a expensas:
· Gestión efectiva del cumplimiento de los requisitos de la legislación y los requisitos comerciales en el campo del IB;
· Prevenir la aparición de incidentes de IB y reducir el daño en caso de su aparición;
· Mejorar la cultura del IB en la organización;
· Mejorar la madurez en el campo de la gestión de IB;
· Optimización de fondos para la provisión de IB.
ISO / IEC.27001-- internacionalestándarporinformaciónseguridad
Esta norma fue desarrollada conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Internacional Electrotécnica (IEC). El estándar contiene requisitos de seguridad de la información para crear, desarrollar y mantener los ISMS. ISO 27001 establece los requisitos para que los ISMS demuestren la capacidad de la Organización para proteger sus recursos de información. La norma internacional utiliza el concepto de "protección de la información" y se interpreta como garantizar la confidencialidad, la integridad y la disponibilidad de la información. La base del estándar es el sistema de gestión de riesgos asociado con la información. Esta norma también se puede utilizar para evaluar el cumplimiento de las partes internas internas y externas.
Para crear, implementar, operar, control continuo, análisis, mantener en condiciones de trabajo y mejorar el sistema de gestión de seguridad de la información (SMS), el estándar está tomando un enfoque de proceso. Es para aplicar el sistema de procesos en el marco de la organización junto con la identificación e interacción de estos procesos, así como su gestión.
El estándar internacional acepta el modelo "Plan-Do-Check-Act" (PDCA), que también se denomina ciclo de Shujhat-Deming. Este ciclo se usa para destruir todos los procesos SMB. La Figura 2 muestra cómo los SMS toman como requisitos de protección de datos de entrada y las expectativas de las partes interesadas y mediante las acciones y procesos necesarios, los resultados de la protección de la información que cumplen con estos requisitos y expectativas.
La planificación es la fase de crear un SMB, creando una lista de activos, evaluando riesgos y la elección de medidas.
Figura 2. Modelo PDCA aplicado al proceso de SMB.
La implementación es una etapa de implementación e implementación de medidas relevantes.
Verifique: la fase de la evaluación de la efectividad y el rendimiento del SMIS. Generalmente realizado por auditores internos.
Acción: realizando acciones preventivas y correctivas.
ENsirovy.
ISO 27001 describe modelo general La introducción y el funcionamiento de los ISMS, así como las acciones en el monitoreo y la mejora de los ISI. ISO tiene la intención de armonizar diversos estándares para los sistemas de gestión, como ISO / IEC 9001: 2000, que se dedica a la gestión de la calidad, y ISO / IEC 14001: 2004, destinados a sistemas de gestión ambiental. El objetivo ISO es garantizar la consistencia e integración del ISMIM con otros sistemas de gestión en la empresa. La similitud de las normas le permite utilizar herramientas y funciones similares para implementar, controlar, revisar, verificar y certificar. Se entiende que si la compañía ha implementado otros estándares de gestión, puede usarlo sistema unificado Auditoría y gestión, que es aplicable a la gestión de la calidad, la gestión ambiental, la gestión de la seguridad, etc. Implementar los ISMS, la alta gerencia recibe las herramientas de monitoreo y gestión de seguridad, lo que reduce los riesgos de negocio residual. Después de la introducción de los ISI, la compañía puede garantizar oficialmente la seguridad de la información y continuar cumpliendo con los requisitos de clientes, legislación, reguladores y accionistas.
Vale la pena señalar que en la legislación de la Federación de Rusia hay un documento GOST R ISO / IEC 27001-2006, que es la versión traducida de la norma internacional ISO27001.
DEpikovliteratura
1. Korev I.R., Belyaev A.V. Seguridad de la información de la empresa. - SPB.: BHV-PETERSBURG, 2003. - 752 P.: Il.
2. Norma Internacional WISO 27001 (http://www.specon.ru/files/iso27001.pdf) (Fecha de manejo: 23/05/12)
3. Norma Nacional Federación Rusa GOST R ISO / IEC 27003 - "Tecnologías de la información. Métodos de seguridad. Directrices para la implementación del sistema de gestión de seguridad de la información" (http://niisokb.ru/news/documents/idt%20iso%20iec%2027003-2011-09- 14. PDF) (Fecha de manejo: 23/05/12)
4.Serbiba V.Y., Kurbatov v.A. Guía para proteger contra las amenazas internas de seguridad de la información. San Petersburgo: Peter, 2008. - 320 C.: Il.
5. Normas de enciclopedia libre »Wikipedia," Sistema de gestión
seguridad de la información "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (Fecha de manejo: 23/05/12)
6.Sigurjon Thor Arnasony Keith D. Willett "Cómo lograr 27001 CERTIFICACIÓN" ("CertificationPostandArt ISO 27001")
Publicado en AllBest.RU.
Documentos similares
Amenazas de seguridad de la información en la empresa. Detección de deficiencias en el sistema de seguridad de la información. Objetivos y objetivos de la formación del sistema de seguridad de la información. Las medidas propuestas para mejorar el sistema de seguridad de la información de la organización.
trabajo del curso, añadido 02/03/2011
Análisis del sistema de seguridad de la información en la empresa. Información sobre temas de seguridad de la información. Amenazas de seguridad de la información, característica de la empresa. Métodos y medios de protección de la información. Modelo del sistema de información de la posición de seguridad.
trabajo del curso, añadido 02/03/2011
Las principales etapas de la creación de un sistema de gestión en la empresa. industria de alimentos. HACCP como base de cualquier sistema de gestión de alimentos del producto alimenticio. Sistema de gestión de seguridad productos alimenticios. Factores peligrosos y acciones de advertencia.
resumen, añadido 14.10.2014
Sistemas de gestión modernos y su integración. Sistemas de gestión de calidad integrados. Característica de OJSC "275 ARZ" y su sistema de gestión. Desarrollo de un sistema de gestión de la protección de la mano de obra. Métodos para evaluar un sistema de seguridad integrado.
tesis, añadió 31.07.2011
Implementación del sistema de gestión de calidad. Certificación de sistemas de gestión de calidad (ISO 9000), Gestión ambiental (ISO 14 000), Sistemas de gestión de protección de la mano de obra y sistemas de seguridad de la organización (OHSAS 18 001: 2007) en el ejemplo de la cinta OJSC.
resumen, añadido 06.10.2008
Desarrollo de un estándar para organizar un sistema de gestión integrado que establece un solo procedimiento para la implementación del proceso de gestión de la documentación. Etapas de la creación de un sistema de gestión de calidad de JSC "ZSMK". Colocación de versiones electrónicas de documentos.
tesis, añadido 01.06.2014
Esquema jerárquico de empleados. Herramientas de protección de información. Preguntas sobre la seguridad. Esquema flujos de información Empresas. Métodos para monitorear la integridad del sistema de información. Modelado de información de control de acceso.
trabajo del curso, añadido 30.12.2011
El concepto de información de gestión y su lugar en sistema general administración. Tipos de sistemas de información y su contenido. El concepto de gestión como sistema de información. Funciones del sistema de gestión financiera. Sistemas de fabricación de transacciones y operaciones.
resumen, añadido 01/06/2015
Conceptos en el campo de la salud laboral y la seguridad. Estándares internacionales ISO en sistemas de gestión de calidad, sistemas de gestión ambiental, seguridad profesional y sistemas de gestión de la salud. Adaptación del estándar de OHSAS 18001-2007.
cursos, añadido 12/21/2014
Características de la gestión de la información; sujetos de información y relaciones legales; Modo legal de recibo, transferencia, almacenamiento y uso de la información. Características I. aspectos legales Intercambio de información y seguridad de la información.
12 de septiembre de 2011
Gestión de IB según ISO 27001. Requisitos de documentación
Happinnes existe. La seguridad de la información se puede construir sobre la base de la norma ISO 27001. Sobre cómo hacerlo, el jefe adjunto del trabajo metodológico de la dirección de "Auditoría de los sistemas de información" del Departamento de Auditoría y Servicios de Consultoría en las instituciones financieras FBK Mikhail Vinnikov:
Hoy contaré sobre el proceso que aparentemente no está relacionado con IB, más bien, al flujo de documentos, pero de hecho, el proceso es importante, ahorra un montón de tiempo y nervios: cómo se presentan los requisitos para documentar los procesos de IB, o, como correctamente y, con el costo mínimo de fuerza para describir el ISMIM y mantener estas descripciones están actualizadas. Naturalmente, centrándose en ISO 27001.
El nivel de seguridad de la información (en adelante, los IB), las necesidades adecuadas de la organización, requiere una presentación clara de las reglas, principios y tareas básicas, implementándolos adecuadamente a las medidas de protección repetidas y controladas, la encarnación de medidas en la práctica por parte del personal de la organización. Al garantizar el reflejo operativo de la situación actual para la adopción de las acciones de los gerentes relevantes.
Mejor manera La implementación de esto es vestir ideas, pensamientos prácticos y los resultados de las actividades de IB en un formulario documental, que permitirá, en primer lugar, determinar la estructura de la interacción de las reglas e implementar sus acciones prácticas, y en segundo lugar, para traer a a cada empleado en el nivel relevante del proceso de negocio y los requisitos para la provisión de IB, que debe ser guiado al realizar su deberes, así como determinar el procedimiento para monitorear su cumplimiento.
Sobre la base de lo anterior, obtenemos una nueva "sucursal" en el esquema del sistema de gestión de IB (ISO) de acuerdo con la norma ISO 27001 (en lo sucesivo denominada estándar):
"SMIS" - "Desarrolla" - "Requisitos de documentación".
Códigos en los nombres de las tareas, como ya se mencionó al comienzo de nuestras publicaciones, indique el número de la sección estándar ISO 27001.
¿Cómo organizar el sistema de soporte documental del SMIS?
Cada tipo de documento se puede caracterizar adicionalmente por los siguientes problemas de atributo que afectan su ciclo de vida:
- para quien se pretende (quién lo leerá);
- quien lo coordina y las reclamaciones;
- ¿Con qué frecuencia puede cambiar?
Por otro lado, los documentos formales se pueden dividir en software (referencia) y en funcionamiento (desempeño que contiene). En términos de la norma, dichos documentos se dividen, respectivamente, a documentos y registros realmente.
De acuerdo con la norma, la documentación del ISMS debe incluir información sobre:
- Disposiciones documentadas de la política de la Política IB, sus objetivos y el campo de funcionamiento, Política IB;
- Procedimientos y medidas de gestión utilizadas por los ISMS;
- Metodologías de evaluación de riesgos IB;
- Resultados de los planes de evaluación de riesgos y procesamiento;
- procedimientos para evaluar los resultados del funcionamiento de la mezcla;
- Evidencia del funcionamiento del SMIS.
¿Qué formato debe enviarse esta información?
Al desarrollar un sistema de documentos que proporcionan a los ISI, surge una colisión entre la complejidad (la necesidad de recursos) de la creación inicial de documentos y los manténgalos aún más en el estado real. Por un lado, existe el deseo de tener el número de tipos (nomenclatura) y el número de documentos a sí mismos lo más pequeños posible (es más fácil lograr administrar, más rápido es posible terminar la preparación de todo el paquete, etc.). Por otro lado, si el smysman "vive" y se desarrolla todo el tiempo, los documentos son periódicamente, y en algunos períodos de desarrollo, a menudo es necesario ajustar y refinar. Si los documentos para la provisión de IB se incluyen en el ciclo general "burocrático" de la organización: "Coordinación de desarrollo: aprueba E", el mayor nivel de aprobación y coordinación de documentos, más tiempo habrá un ciclo de entrada de nuevas versiones de documentos, más difícil de mantenerlos en la condición actualizada.
Supongamos que la organización ha desarrollado una política de seguridad de la información, incluidas las disposiciones sobre las reglas de las acciones en ciertas direcciones de IB (llamadas políticas privadas por IB). Debido al hecho de que todos los empleados del IB deberían estar familiarizados con las políticas de IB, el documento estaba tratando de no ser muy voluminoso y detallado, y las disposiciones de las políticas privadas se describieron brevemente en forma de tesis.
¿Qué sucedió como resultado?
El documento aún resultó ser pesado, más de una docena de páginas, que es mucho. Las políticas privadas resultantes debidas a la no especificidad prácticamente no se explican, por lo tanto, es imposible aplicarlas. El documento es difícil de acompañar, para hacer y aprobar el ajuste a la sección, por ejemplo, el uso seguro de Internet al tomar una decisión sobre el uso, por ejemplo, los sistemas de detección de intrusos (ID), debe esperar La próxima reunión de directores, etc. Esos. El documento resultó ser inoperante.
La política del IB debe ser simple para la comprensión y ajuste, idealmente, para una o dos páginas, ya que, como un documento estratégico, se aprueba en el más alto nivel de la jerarquía de gestión, y todos los empleados de la organización deben reunirse con él. La división de políticas generales y privadas a documentos individuales le permite refinar, expandir y ajustar las políticas privadas de manera más eficiente, la aprobación del documento relevante será significativamente más rápido, mientras que sin cambiar la política general de IB.
De manera similar, resulta si en una política privada para reflejar el uso de cualquier tecnología o sistema en particular, su configuración. Cambiar el sistema o su reconfiguración conlleva un cambio en el documento suscrito a nivel de director. ¡No adecuadamente! Es más fácil especificar los documentos subordinados (tercero y cuarto nivel) a los documentos subordinados (tercero y cuarto nivel), lo que requiere un formato y lista de información requerida para proporcionar la administración a las políticas privadas.
Espero que lo convencí de que piense que el sistema de documentos del IB debe construirse sobre un esquema jerárquico con los documentos de jerarquía más altos y abstractos, y un aumento en la "concreción", ya que se acercan a la parte práctica.
¿Cuáles son los estándares nos recomiendan?
El estándar ISO 13335-1 proporciona 4 niveles de políticas de seguridad de la información (reglas):
- Política de seguridad corporativa;
- Política de seguridad de la información;
- Política de seguridad corporativa de tecnologías de información y comunicación;
- Política de seguridad [separada] Tecnologías de información y comunicación.
Las recomendaciones en la estandarización del Banco de Rusia RS BR IBBS 2.0-2007 ofrecen la siguiente interpretación de las disposiciones de la norma mencionada anteriormente:
¿Qué documentos se pueden atribuir a cada uno de los niveles?
Niveles de documentos | Tipos de documentos |
Primer nivel | Política SMIS, Política de seguridad de la información, Concepto de Seguridad de la Información |
Segundo nivel | Políticas de seguridad de la información privada (provisión de seguridad física, acceso, el uso de Internet y correo electrónico, IB en procesos tecnológicos, etc.) |
Tercer nivel | Instrucciones, disposiciones, pedidos, manuales, beneficios metodológicos y programas de capacitación, requisitos de configuración, etc. |
Cuarto nivel | Entradas en los registros del sistema OS, DBMS e IP; registros de activos de información; Aplicaciones y acceso logrado al acceso; Entradas en revistas de capacitación e informes sobre IB, informes de pruebas, actos, obligaciones de no divulgación de información confidencial, etc. |
Los documentos relacionados con diferentes niveles de jerarquía tienen diferentes duración del ciclo de vida.
Niveles de documentos | ¿Con qué frecuencia se cambian? |
Primer nivel | rara vez (cambios de nivel estratégico) |
Segundo nivel | no a menudo (si hay cambios en el nivel de soluciones tácticas) |
Tercer nivel | sin importar |
Cuarto nivel | continuo |
Los documentos de alto nivel deben generar maximamente y abstractar y cambiar al cambiar los niveles estratégicos, un cambio en la estrategia empresarial, adoptando nuevos estándares, cambio cardinal del sistema de información, etc. Los subordinados en los documentos de la jerarquía (tercer nivel) pueden variar significativamente más a menudo, en la introducción de nuevos productos, tecnologías de proporcionar IB, formando cursos de capacitación adicionales o desarrollando información de copia de seguridad de información. En el cuarto nivel, los registros se forman continuamente y con el tiempo, lo más probable, su formato se refinará.
Los documentos que se encuentran en diferentes niveles de jerarquía requieren la aprobación en diferentes niveles de gestión.
Documentos de alto nivel: los políticos del ISM y el IB, que definen los enfoques estratégicos para la provisión de IB, se aprueban a nivel de propietarios o a la Junta Directiva.
Las políticas privadas que determinan las reglas de seguridad de la información en áreas individuales pueden ser aprobadas a nivel del Director Ejecutivo o del Supervisor, pero al mismo tiempo deberían tener una amplia gama de coordinación en las divisiones que afectan estas áreas de actividad.
Las disposiciones, instrucciones y otros documentos prácticos son documentos de trabajo de unidades que operan la infraestructura de la seguridad del IB, las crean, se corrigen y cambian. EN algunos casosAlgunos informes de la tercera pueden requerir la aprobación a nivel de gestión de la organización (por ejemplo, las disposiciones sobre divisiones, etc.).
Evidencia del funcionamiento de IB, si es necesario, autenticado por el firmado por el contratista.
Para no confundir en las versiones de los documentos, es necesario administrar todos estos documentos de ebullición para difundir adecuadamente los documentos entre los empleados para quienes.
El procedimiento de gestión de documentos debe proporcionar:
- Aprobación de documentos en el nivel apropiado de la estructura de gestión de la Organización;
- Revisión y actualizaciones, si es necesario, documentos;
- asegurar la identificación de cambios realizados y el estado actual de las versiones de documentos;
- Acceso a las versiones de trabajo de documentos en lugares de uso;
- la presencia del procedimiento para identificar documentos y proporcionarles acceso a ellos;
- acceso a documentos de personas autorizadas, así como el hecho de que su ciclo de vida (transmisión, almacenamiento y destrucción) se realiza de acuerdo con el nivel de clasificación de confidencialidad;
- Identificación de documentos creados fuera de la organización;
- control sobre la difusión de documentos;
- Prevención del uso de documentos obsoletos;
- Identificación relevante de documentos obsoletos en caso de que se guardan para cualquier propósito.
El procedimiento para administrar los documentos de IB es deseable describir en forma de un documento separado que contiene, incluida la lista y el nombramiento de todos los documentos, el período y / o una revisión de la revisión, que es el propietario de cada uno de los documentos que coordinan y aprueba, para quien se pretende cada tipo de documentos, etc.
Todas las reglas para la creación, cambio, coordinación y aprobación de documentos deben cumplir con las reglas de gestión de documentos adoptadas en la organización.
Cabe señalar que el procedimiento para revisar los documentos no implica necesariamente los cambios en los documentos. Es útil proporcionar algunos tipos de documentos para confirmar su relevancia, realizados a través de intervalos grandes, pero regulares. De las recomendaciones del Banco de Rusia en un período de tres años para la autoevaluación o el cumplimiento de la auditoría con los requisitos de la norma STR BR EBS-1.0, se puede suponer que el mismo período de revisión / confirmación de las políticas de IB puede ser Reconocido como razonable (en el sentido, no menos que!). Para otros documentos, es posible que el procedimiento de revisión se realice algo más a menudo.
La evidencia de la operación de los ISMS también debe formarse en forma de documentos que existen en una forma de papel normal o electrónica. La evidencia del funcionamiento de los ISMS se puede atribuir a varias aplicaciones y acceso a acceso, entradas de registro sistemas operativos, DBMS y programas de aplicaciones, los resultados del funcionamiento de los sistemas de prevención de intrusos e informes sobre los resultados de la prueba de penetración, los actos de verificación de la configuración de los lugares de trabajo y los servidores, etc. Esta clase de documentos se indica en la norma como "registros". El procedimiento para administrar registros debe garantizar su control y protección contra la modificación, porque Bajo ciertas condiciones, pueden ser materiales para la investigación de los incidentes de IB y la calidad del almacenamiento de materiales determina si estos materiales serán reconocidos por los materiales legítimos o viceversa, sin dignos de confianza. También puede incluir los resultados del monitoreo de los ISI, la investigación de los incidentes de IB, informa sobre los resultados de la operación de los ISMS, etc.
Los procedimientos de gestión deben:
- Asegurar claridad, simplicidad, identificación y reparabilidad de la evidencia documental;
- Utilice medidas de gestión para proporcionar una identificación, almacenamiento, privacidad e integridad, búsqueda, definición de tiempo de almacenamiento y destrucción.
Como ejemplo, le damos un pequeño fragmento "vertical" de una lista de tipos de documentos que conforman el sistema de documentación del IB, por ejemplo, proporcionando IB al acceder a Internet:
Nivel | Documentación |
Primer nivel | > Organización de la política de seguridad de la información > Concepto de seguridad de la información |
Segundo nivel | > Organización de la política de seguridad de la información privada cuando se trabaja con los recursos de Internet > Términos utilizados en documentos IB (Glosario) |
Tercer nivel | > El procedimiento para proporcionar acceso a los usuarios a los recursos de Internet. > Descripción de los perfiles de acceso (conjunto de permisos y prohibiciones) a recursos de Internet. > Circuito de red de computadoras conectado a Internet. > Tarjeta de configuración de proxy > Tarjeta Configuración de un firewall entre los segmentos de la red interna y la zona desmilitarizada (Dmz) > Tarjeta de configuración de estación de trabajo [para proporcionar acceso a Internet] > Memoria del usuario sobre el procedimiento para utilizar los recursos de Internet. > Descripción y requisitos de calificación para el rol funcional "Administrador de sistemas de acceso a Internet" > Instrucción oficial de un empleado que realiza el papel funcional "Administrador de sistemas de acceso a Internet" |
Cuarto nivel | > Aplicación: atuendo para el usuario que se conecta para usar los recursos de Internet > Lista de usuarios conectados a Internet con una indicación de perfil de acceso. > Diario del servidor proxy en recursos de acceso a Internet > Registro del sistema de detección de intrusos (IDS. ) En el segmento de red ubicado enDMZ. > Informe de invasión enDMZ. IDS detectados > El acto de comprobar la configuración del firewall. |
La lista listada está lejos de ser integral incluso para la dirección seleccionada y depende de las tecnologías y servicios específicos obtenidos o proporcionados por la organización utilizando Internet, así como los enfoques para proporcionar seguridad de la información.
Damos varias recomendaciones generales para la creación de documentos ISMS.
\u003e En la forma de un documento separado, se debe desarrollar un documento bajo el nombre "Glosario", un lugar común, al menos para los documentos de los dos primeros niveles, úselo al desarrollar documentos y especificarlo en los documentos de la forma de referencia.
\u003e Para llevar a cabo las formas de estandarización de los documentos, puede especificar las formas de documentos subordinados a los documentos de alto nivel, especialmente aquellos que son evidencia de ejecución (informes, forma de solicitudes, etc.). Por un lado, complica un poco el procedimiento para el desarrollo inicial del documento. Por otro lado, si todos los documentos relacionados se desarrollan como elementos del procedimiento, inmediatamente se prepara tecnología de preparación para usar.
> Error de marco Al preparar documentos de alto nivel (políticas y políticas privadas, disposiciones, etc.) es una introducción directamente al texto de los documentos de los apellidos específicos, los nombres de los sistemas, etc. En consecuencia, el cambio del artista también conduce al lanzamiento de un ciclo largo de coincidir la versión "nueva" del documento. Las "variables" similares son mejores para transferirse inicialmente a aplicaciones, documentos subordinados o registros (documentos de cuarto nivel).
\u003e Al crear documentos "prácticos", al describir la ejecución de una función en particular, es recomendable no especificar una posición, sino un papel funcional, como el "administrador del sistema antivirus" o "operador del sistema de copia de seguridad", y en Un documento separado, mantenga el registro de empleados que realizan uno u otro rol. Esto extenderá el ciclo de vida del documento, sin la necesidad de su corrección y garantizará la flexibilidad de su aplicación, porque Puede realizar un registro separado de "competencias" y sustituir rápidamente a los intérpretes en caso de que sea necesario.
\u003e Cada documento debe contener un signo de su propietario (empleado responsable), un área de acción y una revisión.
Los documentos y registros de los ISMS pueden existir tanto en "sólidos" (papel) como en forma electrónica. Para proporcionar a los auditores o verificar copias de copias de los documentos en forma electrónica, deben existir procedimientos apropiados y se identifiquen a sus desempeñadores responsables.
A lo anterior, puede agregar que si el desarrollo de documentos de alto nivel (políticas, disposiciones, etc.) se puede confiar a consultores externos, los documentos y registros de los niveles más bajos deben formarse y mantenerse al día con los empleados de la Organización, los más involucrados en el proceso de operación de los ISMS y los componentes de sus procedimientos.
En la próxima publicación, discutiremos la participación de la administración de la organización en el sistema de gestión de la seguridad de la información.
