Aktyvus
PDCA modelio priėmimas taip pat atspindi Ekonominio bendradarbiavimo ir plėtros organizacijos (EBPO) direktyvose, reglamentuojančiose informacinių sistemų ir tinklų saugumą, nustatytus principus. Šiame standarte pateikiamas aiškus šių principų praktinio įgyvendinimo modelis, leidžiantis įvertinti riziką, kurti ir įdiegti informacijos apsaugos sistemą, ją valdyti ir iš naujo įvertinti.
1 Reikalavimas gali būti toks, kad informacijos saugumo pažeidimai nepatirtų didelių finansinių nuostolių organizacijai ir (arba) nesutrikdytų jos veiklos,
2 Tikimasi, kad organizacijoje bus pakankamai gerai apmokytų darbuotojų, kad būtų galima kuo labiau sumažinti procedūras neigiamų pasekmiųįvykus rimtam incidentui, pavyzdžiui, neteisėtai patekus (hakerių atakai) į organizacijos svetainę, per kurią ji vykdo elektroninę prekybą.
| 1 lentelė | |
Šis standartas atitinka standartus "Kokybės vadybos sistemos. Reikalavimai" ir "Vadybos sistemos aplinką. Reikalavimai ir taikymo gairės" siekiant palaikyti nuoseklų ir integruotą įgyvendinimą bei sąveiką su kitais panašiais susijusiais valdymo standartais. Taigi viena gerai suprojektuota valdymo sistema organizacijoje gali patenkinti visų šių standartų reikalavimus.
Šis standartas skirtas naudoti bet kokios nuosavybės formos organizacijoms (pavyzdžiui, komercinėms, vyriausybinėms ir ne pelno organizacijos). Šis standartas apibrėžia dokumentais pagrįstos informacijos saugumo valdymo sistemos (ISMS) kūrimo, diegimo, veikimo, stebėjimo, analizės, palaikymo ir tobulinimo reikalavimus, susijusius su organizacijos bendromis verslo rizikomis. Be to, standartas nustato informacijos saugumo valdymo ir kontrolės priemonių įgyvendinimo reikalavimus, kuriuos gali naudoti organizacijos ar jų padaliniai pagal nustatytus informacijos saugumo (IS) užtikrinimo tikslus ir uždavinius.
ISMS kūrimo tikslas – parinkti tinkamas saugumo kontrolės priemones, skirtas apsaugoti informacijos turtą ir užtikrinti suinteresuotųjų šalių pasitikėjimą.
PASTABA Terminas „verslas“, šiame tarptautiniame standarte vartojamas plačiąja prasme, reiškia visą veiklą, kuri yra esminė organizacijos egzistavimo tikslai.
Šio standarto nustatyti reikalavimai yra skirti visoms organizacijoms, nepriklausomai nuo jų veiklos rūšies, dydžio ir apimties. Bet kurio iš nurodytų reikalavimų pašalinimas,
Galioja Redakcija iš 27.12.2006
| Dokumento pavadinimas | "INFORMACINĖ TECHNOLOGIJA. SAUGUMO METODAI IR PRIEMONĖS. INFORMACIJOS SAUGUMO VALDYMO SISTEMOS. REIKALAVIMAI. GOST R ISO/IEC 27001-2006" (patvirtinta Rostekhregulirovaniya įsakymu, 2006 m. gruodžio 27 d.-N) 3 |
| Dokumento tipas | tvarka, standartas, gost, iso |
| Priimanti institucija | Rostekhregulirovanie |
| Dokumento numeris | ISO/IEC 27001-2006 |
| Priėmimo data | 01.01.1970 |
| Peržiūros DATA | 27.12.2006 |
| Įregistravimo Teisingumo ministerijoje data | 01.01.1970 |
| Būsena | galioja |
| Publikacija |
|
| Navigatorius | Pastabos |
"INFORMACINĖ TECHNOLOGIJA. SAUGUMO METODAI IR PRIEMONĖS. INFORMACIJOS SAUGUMO VALDYMO SISTEMOS. REIKALAVIMAI. GOST R ISO/IEC 27001-2006" (patvirtinta Rostekhregulirovaniya įsakymu, 2006 m. gruodžio 27 d.-N) 3
8. Informacijos saugumo valdymo sistemos tobulinimas
8.1. Nuolatinis tobulinimas
Organizacija turi nuolat gerinti ISMS efektyvumą aiškindama IS politiką, IS tikslus, panaudojant audito rezultatus, peržiūrint kontroliuojamus įvykius, korekcinius ir prevencinius veiksmus, vadovybei naudojant ISMS peržiūros rezultatus (žr. 7 punktą).
8.2. Korekciniai veiksmai
Organizacija turi imtis priemonių pašalinti ISMS reikalavimų nesilaikymo priežastis, kad jos nepasikartotų. Dokumentuota korekcinių veiksmų procedūra nustato reikalavimus:
a) nustatyti neatitikimus;
b) neatitikimų priežasčių nustatymas;
C) įvertinti būtinybę imtis veiksmų siekiant išvengti neatitikimų pasikartojimo;
d) būtinų taisomųjų veiksmų nustatymas ir įgyvendinimas;
e) įrašų apie atliktų veiksmų rezultatus tvarkymas (žr. 4.3.3);
f) atliktų taisomųjų veiksmų peržiūra.
8.3. Prevenciniai veiksmai
Organizacija nustato veiksmus, reikalingus galimų neatitikimų ISMS reikalavimams priežastims pašalinti, siekdama joms užkirsti kelią. vėl atsiradimas. Prevenciniai veiksmai turi atitikti galimų problemų pasekmes. Dokumentuota prevencinių veiksmų tvarka nustato reikalavimus:
a) nustatyti galimus neatitikimus ir jų priežastis;
b) įvertinti būtinybę imtis veiksmų, kad būtų išvengta neatitikimų;
c) būtinų prevencinių veiksmų nustatymas ir įgyvendinimas;
d) registruoti atliktų veiksmų rezultatus (žr. 4.3.3);
e) veiksmų, kurių buvo imtasi, rezultatų analizė.
Organizacija, spręsdama, nustato rizikos vertinimo pokyčius ir nustato prevencinių veiksmų reikalavimus Ypatingas dėmesysį gerokai pasikeitusius kiekybinius rizikos rodiklius.
Prevencinių veiksmų įgyvendinimo prioritetai turėtų būti nustatomi remiantis rizikos vertinimo rezultatais.
PASTABA Paprastai neatitikimų prevencijos veiksmų išlaidos yra ekonomiškesnės nei taisomųjų veiksmų.
Informacinių technologijų pasaulyje prioritetu tampa informacijos vientisumo, patikimumo ir konfidencialumo užtikrinimo klausimas. Todėl pripažinti, kad organizacija turi turėti informacijos saugumo valdymo sistemą (ISMS), yra strateginis sprendimas.
Jis buvo sukurtas ISMS kūrimui, diegimui, priežiūrai ir nuolatiniam tobulinimui įmonėje. Be to, naudojant šį standartą, organizacijos gebėjimas atitikti savo informacijos saugumo reikalavimus tampa akivaizdus išoriniams partneriams. Šiame straipsnyje bus aptariami pagrindiniai standarto reikalavimai ir jo struktūra.
Jūsų verslas pasieks naują kokybės lygį, jei su patyrusių specialistų pagalba gausite teisėtą ISO sertifikatą.
Pagrindiniai ISO 27001 standarto tikslai
Prieš pereidami prie Standarto struktūros aprašymo, apibūdinsime pagrindinius jo tikslus ir apžvelgsime Standarto atsiradimo Rusijoje istoriją.
Standarto tikslai:
- nustatant vienodus reikalavimus visoms organizacijoms kuriant, diegiant ir tobulinant ISMS;
- vyresniosios vadovybės ir darbuotojų sąveikos užtikrinimas;
- išlaikyti informacijos konfidencialumą, vientisumą ir prieinamumą.
Be to, standarte nustatyti reikalavimai yra bendri ir skirti taikyti bet kuriai organizacijai, nepriklausomai nuo jų tipo, dydžio ar pobūdžio.
Standarto istorija:
- 1995 m. Britanijos standartų institucija (BSI) priėmė Informacijos saugumo valdymo kodeksą kaip JK nacionalinį standartą ir įregistravo jį kaip BS 7799 – 1 dalį.
- 1998 m. BSI paskelbė BS7799-2 standartą, susidedantį iš dviejų dalių, iš kurių vienoje buvo veiklos kodeksas, o kitoje – reikalavimai informacijos saugumo valdymo sistemoms.
- Vėlesnių pataisymų metu pirmoji dalis buvo paskelbta kaip BS 7799:1999, 1 dalis. 1999 metais ši standarto versija buvo perduota Tarptautinei sertifikavimo organizacijai.
- Šis dokumentas buvo patvirtintas 2000 m. kaip tarptautinis standartas ISO/IEC 17799:2000 (BS 7799-1:2000). Naujausia versijaŠis standartas, priimtas 2005 m., yra ISO/IEC 17799:2005.
- 2002 m. rugsėjo mėn. įsigaliojo antroji BS 7799 dalis „Informacijos saugumo valdymo sistemos specifikacija“. Antroji BS 7799 dalis buvo peržiūrėta 2002 m., o 2005 m. pabaigoje ISO ją priėmė kaip tarptautinį standartą ISO/IEC 27001:2005. Informacinės technologijos— Saugos metodai — Informacijos saugumo valdymo sistemos — Reikalavimai.
- 2005 m. ISO/IEC 17799 standartas buvo įtrauktas į 27-ąją standartų seriją ir gavo naujas numeris– ISO/IEC 27002:2005.
- 2013 metų rugsėjo 25 dieną atnaujintas standartas ISO/IEC 27001:2013 „Informacijos saugumo valdymo sistemos. Reikalavimai“. Šiuo metu organizacijų sertifikavimas vykdomas pagal šią standarto versiją.
Standarto struktūra
Vienas iš šio standarto privalumų yra jo struktūros panašumas į ISO 9001, nes jame yra identiškos poskyrių antraštės, identiškas tekstas, bendri terminai ir pagrindiniai apibrėžimai. Ši aplinkybė leidžia sutaupyti laiko ir pinigų, nes dalis dokumentacijos jau buvo parengta sertifikuojant ISO 9001.
Jei mes kalbame apie standarto struktūrą, tai yra ISMS reikalavimų, kurie yra privalomi sertifikavimui, sąrašas, kurį sudaro šie skyriai:
| Pagrindiniai skyriai | A priedas |
|---|---|
| 0. Įvadas | A.5 Informacijos saugumo politika |
| 1 naudojimo sritis | A.6 Informacijos saugumo organizacija |
| 2. Norminės nuorodos | A.7 Žmogiškųjų išteklių (personalo) sauga |
| 3. Terminai ir apibrėžimai | A.8 Turto valdymas |
| 4. Organizacinis kontekstas | A.9 Prieigos kontrolė |
| 5. Lyderystė | A.10 Kriptografija |
| 6. Planavimas | A.11 Fizinis ir aplinkos saugumas |
| 7. Parama | A.12 Operacijų saugumas |
| 8. Operacijos (operacija) | A.13 Ryšio saugumas |
| 9. Veiklos įvertinimas (matavimas). | A.14 Informacinių sistemų įsigijimas, kūrimas ir priežiūra |
| 10. Tobulinimas (tobulėjimas) | A.15 Santykiai su tiekėjais |
| A.16 Incidentų valdymas | |
| A.17 Veiklos tęstinumas | |
| A.18 Teisės aktų laikymasis |
„A priedo“ reikalavimai yra privalomi, tačiau standartas leidžia neįtraukti sritis, kurių negalima taikyti įmonėje.
Diegiant Standartą įmonėje tolimesniam sertifikavimui, verta atsiminti, kad išimtys iš reikalavimų, nustatytų 4–10 skyriuose, neleidžiamos.Šie skyriai bus aptariami toliau.
Pradėkime nuo 4 skyriaus – Organizacinis kontekstas
Organizacijos kontekstas
Šiame skyriuje standartas reikalauja, kad organizacija nustatytų išorines ir vidines problemas, kurios yra svarbios jos tikslams ir turi įtakos jos ISMS gebėjimui pasiekti numatytus rezultatus. Tai turėtų būti atliekama atsižvelgiant į teisinius ir reguliavimo reikalavimus bei sutartinius įsipareigojimus, susijusius su informacijos saugumu. Organizacija taip pat turi apibrėžti ir dokumentuoti ISMS ribas ir pritaikymą, kad nustatytų jo taikymo sritį.
Vadovavimas
Aukščiausioji vadovybė turėtų parodyti lyderystę ir įsipareigojimą informacijos saugumo valdymo sistemai, pavyzdžiui, užtikrindama, kad informacijos saugumo politika ir informacijos saugumo tikslai būtų nustatyti ir suderinti su organizacijos strategija. Be to, vyresnioji vadovybė turi užtikrinti, kad visi būtinų išteklių ISMS. Kitaip tariant, darbuotojams turėtų būti akivaizdu, kad vadovybė yra susijusi su informacijos saugumo klausimais.
Informacijos saugumo politika turi būti dokumentuojama ir supažindinta su darbuotojais. Šis dokumentas yra panašus į kokybės politiką ISO 9001. Jis taip pat turi atitikti organizacijos tikslą ir apimti informacijos saugumo tikslus. Bus gerai, jei tai tikri tikslai, pavyzdžiui, informacijos konfidencialumo ir vientisumo palaikymas.
Taip pat tikimasi, kad vadovybė paskirstys su informacijos saugumu susijusias funkcijas ir pareigas tarp darbuotojų.
Planavimas
Šiame skyriuje pereiname prie pirmojo etapo valdymo principas PDCA (Plan - Do - Check - Act) - planuokite, vykdykite, patikrinkite, veikite.
Planuodama informacijos saugumo valdymo sistemą, organizacija turėtų atsižvelgti į 4 punkte paminėtus klausimus, nustatyti rizikas ir galimas galimybes, į kurias reikia atsižvelgti siekiant užtikrinti, kad ISMS galėtų pasiekti numatytus rezultatus, užkirsti kelią nepageidaujamam poveikiui ir pasiekti nuolatinį tobulėjimą.
Planuodama, kaip pasiekti informacijos saugumo tikslus, organizacija turi nustatyti:
- kas bus daroma;
- kokių išteklių reikės;
- kas bus atsakingas;
- kada bus pasiekti tikslai;
- kaip bus vertinami rezultatai.
Be to, organizacija turi išlaikyti informacijos saugumo tikslus kaip dokumentuotą informaciją.
Saugumas
Organizacija turi nustatyti ir suteikti išteklius, reikalingus ISMS kurti, įgyvendinti, prižiūrėti ir nuolat tobulinti, įskaitant personalą ir dokumentaciją. Kalbant apie personalą, organizacija turėtų atrinkti kvalifikuotus ir kompetentingus informacijos saugos srities darbuotojus. Darbuotojų kvalifikacija turi būti patvirtinta pažymėjimais, diplomais ir kt. Galima pagal sutartį samdyti trečiųjų šalių specialistus arba apmokyti savo darbuotojus. Kalbant apie dokumentus, jame turėtų būti:
- Standarto reikalaujama dokumentuota informacija;
- dokumentuota informacija, kurią organizacija nustato kaip reikalinga informacijos saugumo valdymo sistemos veiksmingumui užtikrinti.
ISMS ir standarto reikalaujama dokumentuota informacija turi būti kontroliuojama siekiant užtikrinti, kad ji:
- prieinama ir tinkama naudoti ten, kur ir kada reikia, ir
- yra tinkamai apsaugotas (pavyzdžiui, nuo konfidencialumo praradimo, netinkamo naudojimo ar vientisumo praradimo).
Operacija
Šiame skyriuje kalbama apie antrąjį PDCA valdymo principo etapą – būtinybę organizacijai valdyti procesus, kad būtų užtikrinta atitiktis, ir atlikti planavimo skyriuje nurodytus veiksmus. Jame taip pat teigiama, kad organizacija informacijos saugumo rizikos vertinimus turėtų atlikti numatytais intervalais arba pasiūlius ar įvykus reikšmingiems pakeitimams. Organizacija saugos informacijos saugumo rizikos vertinimo rezultatus kaip dokumentais pagrįstą informaciją.
Veiklos vertinimas
Trečiasis etapas yra patikrinimas. Organizacija turi įvertinti ISMS veikimą ir efektyvumą. Pavyzdžiui, ji turėtų atlikti vidaus auditą, kad gautų informaciją apie
- Ar informacijos saugumo valdymo sistema atitinka reikalavimus?
- pačios organizacijos reikalavimus savo informacijos saugumo valdymo sistemai;
- Standarto reikalavimus;
- kad informacijos saugumo valdymo sistema būtų efektyviai įdiegta ir funkcionuotų.
Žinoma, audito apimtis ir laikas turėtų būti suplanuoti iš anksto. Visi rezultatai turi būti dokumentuojami ir saugomi.
Tobulinimas
Šio skyriaus esmė – nustatyti veiksmų eigą, kai nustatoma neatitiktis. Organizacija turi ištaisyti neatitikimą, pasekmes ir atlikti situacijos analizę, kad taip nenutiktų ateityje. Visi neatitikimai ir korekciniai veiksmai turi būti dokumentuojami.
Taip baigiamos pagrindinės standarto dalys. A priede pateikiami konkretesni reikalavimai, kuriuos turi atitikti organizacija. Pavyzdžiui, kalbant apie prieigos kontrolę, naudojimą mobiliuosius įrenginius ir laikmenas.
ISO 27001 diegimo ir sertifikavimo privalumai
- organizacijos statuso ir atitinkamai partnerių pasitikėjimo didinimas;
- padidinti organizacijos veiklos stabilumą;
- apsaugos nuo informacijos saugumo grėsmių lygio didinimas;
- būtino suinteresuotųjų šalių informacijos konfidencialumo lygio užtikrinimas;
- plečiant organizacijos dalyvavimą didelėse sutartyse.
Ekonominiai pranašumai yra šie:
- nepriklausomas sertifikavimo įstaigos patvirtinimas apie buvimą organizacijoje aukštas lygis informacijos saugumas, prižiūrimas kompetentingo personalo;
- galiojančių įstatymų ir teisės aktų laikymosi įrodymas (atitiktis privalomų reikalavimų sistemai);
- tam tikro aukšto lygio valdymo sistemų demonstravimas, siekiant užtikrinti tinkamą organizacijos klientų ir partnerių aptarnavimo lygį;
- Reguliaraus valdymo sistemų audito, veiklos vertinimo ir nuolatinio tobulinimo demonstravimas.
Sertifikavimas
Organizaciją pagal šį standartą gali sertifikuoti akredituotos agentūros. Sertifikavimo procesas susideda iš trijų etapų:
- 1 etapas - pagrindinių ISMS dokumentų auditoriaus patikrinimas dėl atitikimo Standarto reikalavimams - gali būti atliekamas tiek organizacijos teritorijoje, tiek perduodant šiuos dokumentus išorės auditoriui;
- 2 etapas – detalus auditas, apimantis įgyvendintų priemonių testavimą ir jų efektyvumo įvertinimą. Apima visą standarto reikalaujamų dokumentų tyrimą;
- 3 etapas – priežiūros audito atlikimas, siekiant patvirtinti, kad sertifikuota organizacija atitinka nurodytus reikalavimus. Atliekamas periodiškai.
Apatinė eilutė
Kaip matote, šio standarto naudojimas įmonėje leis kokybiškai padidinti informacijos saugumo lygį, kuris tokiomis sąlygomis šiuolaikinės realybės daug vertas. Standarte yra daug reikalavimų, tačiau svarbiausias reikalavimas – daryti tai, kas parašyta! Be tikras pritaikymas standarto reikalavimus, jis virsta tuščiu popieriaus lapų rinkiniu.
Siųsti savo gerą darbą žinių bazėje yra paprasta. Naudokite žemiau esančią formą
Studentai, magistrantai, jaunieji mokslininkai, kurie naudojasi žinių baze savo studijose ir darbe, bus jums labai dėkingi.
Paskelbta http://www.allbest.ru/
„Informacijos saugumo valdymo sistema“
tarptautinis valdymo standartas
INAtliekant
Informacijos saugumo valdymo sistema – tai visuma procesų, kurie veikia įmonėje, siekiant užtikrinti informacijos turto konfidencialumą, vientisumą ir prieinamumą. Pirmoje santraukos dalyje aptariamas valdymo sistemos diegimo organizacijoje procesas, taip pat pateikiami pagrindiniai informacijos saugumo valdymo sistemos diegimo naudos aspektai.
1 pav. Valdymo ciklas
Procesų sąrašas ir rekomendacijos, kaip tai padaryti geriausias būdas organizuoti jų funkcionavimą yra pateikti tarptautiniame standarte ISO 27001:2005, kuris grindžiamas valdymo ciklu Plan-Do-Check-Act. Pagal jį ISMS gyvavimo ciklas susideda iš keturių rūšių veiklų: Kūrimas - Diegimas ir veikimas - Stebėjimas ir analizė - Priežiūra ir tobulinimas (1 pav.). Šis standartas bus išsamiau aptartas antroje dalyje.
SUsistemavaldymasinformaciniaisaugumo
Informacijos saugumo valdymo sistema (ISMS) yra ta bendros valdymo sistemos dalis, kuri yra pagrįsta verslo rizikos požiūriu kuriant, įgyvendinant, eksploatuojant, stebint, analizuojant, palaikant ir tobulinant informacijos saugumą. ISMS procesai kuriami pagal ISO/IEC 27001:2005 standarto reikalavimus, kurie paremti ciklu.
Sistemos veikimas pagrįstas požiūriais šiuolaikinė teorija rizikos valdymo, o tai užtikrina jos integraciją į bendrą organizacijos rizikos valdymo sistemą.
Informacijos saugumo valdymo sistemos įdiegimas reiškia, kad reikia sukurti ir įgyvendinti procedūrą, kuria siekiama sistemingai identifikuoti, analizuoti ir sumažinti informacijos saugumo rizikas, ty rizikas, dėl kurių informacijos turtas (bet kokios formos ir pobūdžio informacija) prarasti konfidencialumą, vientisumą ir prieinamumą.
Siekiant užtikrinti sistemingą informacijos saugumo rizikos mažinimą, remiantis rizikos vertinimo rezultatais, organizacijoje diegiami šie procesai:
· Vidinės informacijos saugos organizacijos valdymas.
· Informacijos saugumo užtikrinimas bendraujant su trečiosiomis šalimis.
· Informacinių išteklių registro tvarkymas ir jų klasifikavimo taisyklės.
· Įrangos saugos valdymas.
· Fizinio saugumo užtikrinimas.
· Personalo informacijos saugumo užtikrinimas.
· Informacinių sistemų planavimas ir pritaikymas.
· Atsarginė kopija.
· Tinklo saugumo užtikrinimas.
Informacijos saugumo valdymo sistemos procesai veikia visus organizacijos IT infrastruktūros valdymo aspektus, nes informacijos saugumas yra tvaraus procesų, susijusių su informacinėmis technologijomis, funkcionavimo rezultatas.
Kurdami ISMS įmonėse, specialistai atlieka šiuos darbus:
· organizuoti projektų valdymą, formuoti projekto komanda iš užsakovo ir rangovo pusės;
· nustatyti ISMS veiklos sritį (OA);
· ištirti organizaciją OD ISMS:
o apie organizacijos verslo procesus, įskaitant analizę neigiamų pasekmių informacijos saugumo incidentai;
o kalbant apie organizacijos valdymo procesus, įskaitant esamus kokybės valdymo ir informacijos saugumo valdymo procesus;
o dėl IT infrastruktūros;
o dėl informacijos saugumo infrastruktūros.
· parengti ir patvirtinti analitinę ataskaitą, kurioje pateikiamas pagrindinių verslo procesų sąrašas ir su jais susijusių informacijos saugumo grėsmių įgyvendinimo pasekmių įvertinimas, valdymo procesų, IT sistemų, informacijos saugumo posistemių (IS) sąrašas, įvertinimas. apie tai, kiek organizacija atitinka visus ISO 27001 reikalavimus, ir procesų organizacijų brandumo įvertinimą;
· parinkti pradinį ir tikslinį ISMS brandos lygį, parengti ir patvirtinti ISMS brandos tobulinimo programą; parengti aukšto lygio dokumentaciją informacijos saugumo srityje:
o informacijos saugumo palaikymo koncepcija,
o IS ir ISMS politika;
· parinkti ir pritaikyti organizacijoje taikomą rizikos vertinimo metodiką;
· parinkti, tiekti ir diegti programinę įrangą, naudojamą ISMS procesams automatizuoti, organizuoti įmonės specialistų mokymus;
· atlikti rizikų vertinimą ir apdorojimą, kurio metu joms sumažinti parenkamos 27001 standarto „A“ priedo priemonės ir suformuluojami reikalavimai jų įgyvendinimui organizacijoje, iš anksto parenkamos techninės informacijos saugumo užtikrinimo priemonės;
· parengti preliminarius PIB projektus, įvertinti rizikos gydymo kainą;
· organizuoti aukščiausios organizacijos vadovybės patvirtinimą rizikos įvertinimui ir parengti taikymo reglamentus; parengti organizacines priemones informacijos saugumui užtikrinti;
· parengti ir įgyvendinti techninės informacijos saugos posistemių diegimo techninius projektus, kuriais remiamas pasirinktų priemonių įgyvendinimas, įskaitant įrangos tiekimą, paleidimą, eksploatacinės dokumentacijos rengimą ir naudotojų mokymą;
· teikti konsultacijas eksploatuojant pastatytą ISMS;
· organizuoti vidaus auditorių mokymus ir atlikti vidinius ISMS auditus.
Šio darbo rezultatas – veikianti ISMS. ISMS diegimo įmonėje nauda pasiekiama per:
· efektyvus valdymas teisės aktų reikalavimų ir verslo reikalavimų laikymasis informacijos saugumo srityje;
· užkirsti kelią informacijos saugumo incidentams ir sumažinti žalą, jei jie įvyktų;
· gerinti informacijos saugumo kultūrą organizacijoje;
· didėjanti branda informacijos saugumo valdymo srityje;
· lėšų panaudojimo informacijos saugumui optimizavimas.
ISO/IEC27001-- tarptautinisstandartinisAutoriusinformaciniaisaugumo
Šį standartą kartu sukūrė Tarptautinė standartizacijos organizacija (ISO) ir Tarptautinė elektrotechnikos komisija (IEC). Standarte pateikiami reikalavimai informacijos saugumo srityje kuriant, plėtojant ir prižiūrint ISMS. ISO 27001 nustato ISMS reikalavimus, kad parodytų organizacijos gebėjimą apsaugoti savo informacijos išteklius. Tarptautiniame standarte vartojama „informacijos saugumo“ sąvoka ir ji aiškinama kaip užtikrinanti informacijos konfidencialumą, vientisumą ir prieinamumą. Standarto pagrindas – su informacija susijusių rizikų valdymo sistema. Šis standartas taip pat gali būti naudojamas vidaus ir išorės suinteresuotųjų šalių atitikčiai įvertinti.
Siekiant sukurti, įdiegti, eksploatuoti, nuolat stebėti, analizuoti, prižiūrėti ir tobulinti informacijos saugumo valdymo sistemą (ISMS), standartas taiko proceso metodą. Jį sudaro procesų sistemos taikymas organizacijoje, šių procesų identifikavimas ir sąveika bei jų valdymas.
Tarptautinis standartas patvirtina plano-dar-patikrinti-veikimo (PDCA) modelį, kuris dar vadinamas Shewhart-Deming ciklu. Šis ciklas naudojamas visiems ISMS procesams struktūrizuoti. 2 paveiksle parodyta, kaip ISMS priima informacijos saugumo reikalavimus ir suinteresuotųjų šalių lūkesčius ir, atlikdama būtinus veiksmus bei procesus, sukuria tuos reikalavimus ir lūkesčius atitinkančius informacijos saugumo rezultatus.
Planavimas – tai ISMS kūrimo, turto inventoriaus sudarymo, rizikos įvertinimo ir priemonių parinkimo etapas.
2 pav. PDCA modelis, taikomas ISMS procesams
Įgyvendinimas – tai atitinkamų priemonių įgyvendinimo ir įgyvendinimo etapas.
Patikrinimas yra ISMS efektyvumo ir našumo vertinimo etapas. Paprastai atlieka vidaus auditoriai.
Veiksmas – prevencinių ir korekcinių veiksmų atlikimas.
INišvadas
ISO 27001 aprašo bendras modelis ISMS diegimas ir veikimas, taip pat ISMS stebėjimo ir tobulinimo veiksmai. ISO ketina suderinti įvairius vadybos sistemų standartus, tokius kaip ISO/IEC 9001:2000, kuriame kalbama apie kokybės vadybą, ir ISO/IEC 14001:2004, kuriame aptariamos aplinkosaugos vadybos sistemos. ISO tikslas – užtikrinti ISMS nuoseklumą ir integraciją su kitomis įmonės valdymo sistemomis. Standartų panašumas leidžia naudoti panašias priemones ir funkcijas diegiant, valdant, peržiūrint, tikrinant ir sertifikuojant. Tai reiškia, kad jei įmonė įdiegė kitus valdymo standartus, ji gali naudoti vieninga sistema auditas ir vadyba, kuri taikoma kokybės vadybai, aplinkosaugos vadybai, saugos valdymui ir kt. Įdiegę ISMS, vyresnioji vadovybė turi priemonių stebėti ir valdyti saugumą, o tai sumažina likutinę verslo riziką. Įdiegus ISMS, įmonė gali formaliai užtikrinti informacijos saugumą ir toliau tenkinti klientų, teisės aktų, reguliavimo institucijų ir akcininkų reikalavimus.
Verta paminėti, kad Rusijos Federacijos teisės aktuose yra dokumentas GOST R ISO/IEC 27001-2006, kuris yra išversta tarptautinio standarto ISO27001 versija.
SUgirgždėtiliteratūra
1. Kornejevas I.R., Beliajevas A.V. Įmonės informacijos saugumas. - Sankt Peterburgas: BHV-Petersburg, 2003. - 752 p.: iliustr.
2. Tarptautinis standartas ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (prieigos data: 2012-05-23)
3.Nacionalinis standartas Rusijos Federacija GOST R ISO/IEC 27003 - "Informacinės technologijos. Saugos metodai. Informacijos saugumo valdymo sistemos diegimo gairės" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (prisijungimo data: 2012-05-23)
4. Skiba V.Yu., Kurbatovas V.A. Apsaugos nuo viešai neatskleistų grėsmių informacijos saugumui vadovas. Sankt Peterburgas: Petras, 2008. -- 320 p.: iliustr.
5. Laisvosios enciklopedijos „Wikipedia“ straipsnis „Valdymo sistema
informacijos saugumas“ (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (prieigos data: 2012-05-23)
6. Sigurjonas Thoras Arnasonas ir Keithas D. Willettas „Kaip pasiekti 27001 sertifikatą“
Paskelbta Allbest.ru
Panašūs dokumentai
Grėsmės informacijos saugumui įmonėje. Informacijos saugos sistemos trūkumų nustatymas. Informacijos saugumo sistemos formavimo tikslai ir uždaviniai. Siūlomos organizacijos informacijos saugumo sistemos tobulinimo priemonės.
kursinis darbas, pridėtas 2011-02-03
Įmonės informacinės apsaugos sistemos analizė. Informacijos apsaugos tarnyba. Įmonei būdingos informacijos saugumo grėsmės. Informacijos saugos metodai ir priemonės. Informacinės sistemos modelis saugumo požiūriu.
kursinis darbas, pridėtas 2011-02-03
Pagrindiniai valdymo sistemos kūrimo įmonėje etapai Maisto pramone. RVASVT kaip bet kurios maisto saugos vadybos sistemos pagrindas. Apsaugos valdymo sistema maisto produktai. Pavojai ir prevenciniai veiksmai.
santrauka, pridėta 2014-10-14
Šiuolaikinės valdymo sistemos ir jų integravimas. Integruotos kokybės vadybos sistemos. UAB "275 ARZ" ir jos valdymo sistemos charakteristikos. Darbo apsaugos vadybos sistemos sukūrimas. Integruotos apsaugos sistemos vertinimo metodai.
baigiamasis darbas, pridėtas 2011-07-31
Kokybės vadybos sistemos diegimas. Kokybės vadybos sistemų (ISO 9000), aplinkosaugos vadybos (ISO 14 000), organizacijų darbuotojų sveikatos ir saugos vadybos sistemų (OHSAS 18 001: 2007) sertifikavimas OJSC Lenta pavyzdžiu.
santrauka, pridėta 2008-10-06
Integruotos valdymo sistemos organizavimo standarto parengimas, nustatant vieningą dokumentų valdymo proceso įgyvendinimo tvarką. Kokybės vadybos sistemos kūrimo etapai UAB ZSMK. Elektroninių dokumentų versijų talpinimas.
baigiamasis darbas, pridėtas 2014-06-01
Darbuotojų hierarchinė diagrama. Informacijos saugumo priemonės. Klausimai apie saugumo būklę. Schema informacijos srautusįmonių. Informacinės sistemos vientisumo stebėjimo metodai. Prieigos prie paslaugų informacijos modeliavimas.
kursinis darbas, pridėtas 2011-12-30
Valdymo informacinės sistemos samprata ir jos vieta bendra sistema valdymas. Informacinių sistemų tipai ir jų turinys. Vadybos kaip informacinės sistemos samprata. Finansų valdymo sistemos funkcijos. Sistemos sandoriams ir operacijoms atlikti.
santrauka, pridėta 2015-06-01
Sąvokos sveikatos ir saugos srityje. Tarptautiniai standartai ISO dėl kokybės vadybos sistemų, aplinkosaugos vadybos sistemų, darbuotojų saugos ir sveikatos vadybos sistemų. OHSAS 18001-2007 standarto pritaikymas.
kursinis darbas, pridėtas 2014-12-21
Charakteristika informacijos valdymas; informacijos ir teisinių santykių subjektai; informacijos gavimo, perdavimo, saugojimo ir naudojimo teisinis režimas. Savybės ir teisinius aspektus informacijos mainai ir informacijos saugumas.
2011 m. rugsėjo 12 d
Informacijos saugumo valdymas pagal standartą ISO 27001. Dokumentacijos reikalavimai
Laimė egzistuoja. Informacijos saugumo valdymas gali būti kuriamas remiantis ISO 27001 standartu. Kaip tai padaryti, pasakoja FBK Finansų įstaigų audito ir konsultacinių paslaugų departamento Informacinių sistemų audito skyriaus vedėjo pavaduotojas metodiniam darbui Michailas Vinnikovas:
Šiandien kalbėsiu apie procesą, kuris lyg ir neturi nieko bendro su informacijos saugumu, veikiau su dokumentų srautu, bet iš tikrųjų tai yra svarbus procesas, taupantis operatoriui daug laiko ir nervų – apie tai, kokie reikalavimai keliami informacijos dokumentavimui. saugumo procesai, arba - kaip teisingai ir su minimaliomis pastangomis aprašyti ISMS ir atnaujinti šiuos aprašymus. Žinoma, sutelkiant dėmesį į ISO 27001.
Informacijos saugumo (toliau – IS) lygis, adekvatus organizacijos poreikiams, reikalauja aiškiai išdėstyti pagrindines taisykles, principus ir tikslus, tinkamai juos įgyvendinti į kartojamas ir kontroliuojamas apsaugos priemones, priemones įgyvendinti praktiškai. organizacijos darbuotojams, tuo pačiu užtikrinant operatyvų esamos situacijos atspindėjimą, kad būtų galima imtis atitinkamų vadovų veiksmų.
Geriausias būdas to įgyvendinimas - suformuluoti informacijos saugumo veiklos idėjas, praktines mintis ir rezultatus į dokumentinę formą, kuri leis, pirma, nustatyti taisyklių ir jas įgyvendinančių praktinių veiksmų sąveikos struktūrą, antra, perteikti taisykles. kiekvienam darbuotojui atitinkamu verslo proceso lygiu ir informacijos saugumo reikalavimais, kurių jis privalo laikytis vykdydamas savo darbo pareigas, taip pat nustatyti jų atitikties stebėjimo tvarką.
Remiantis tuo, kas išdėstyta aukščiau, gauname naują „šaką“ informacijos saugumo valdymo sistemos (ISMS) diagramoje pagal ISO standartą 27001 (toliau – Standartas):
„SMIB“ – „kuria“ – „dokumentacijos reikalavimai“.
Kodai užduočių pavadinimuose, kaip jau minėta mūsų publikacijų pradžioje, nurodo ISO standarto 27001 skyriaus numerį.
Kaip organizuoti ISMS dokumentų palaikymo sistemą?
Kiekvieną dokumento tipą galima apibūdinti toliau nurodytais atributų klausimais, turinčiais įtakos jo gyvavimo ciklui:
- kam jis skirtas (kas skaitys);
- kas jį koordinuoja ir tvirtina;
- kaip dažnai jis gali keistis.
Kita vertus, formaliai dokumentai gali būti skirstomi į programinius (nuorodinius) ir operatyvinius (kuriuose yra veiklos rezultatų). Pagal standartą tokie dokumentai atitinkamai skirstomi į tikrus dokumentus ir įrašus.
Pagal standartą ISMS dokumentacijoje turi būti informacija apie:
- dokumentuotos ISMS politikos nuostatos, jos tikslai ir veikimo apimtis, IS politika;
- ISMS naudojamos procedūros ir kontrolės priemonės;
- IS rizikos vertinimo metodika;
- rizikos vertinimo rezultatai ir jų gydymo planai;
- ISMOIS veikimo rezultatų vertinimo procedūros;
- ISMS veikimo įrodymai.
Kokiu formatu ši informacija turėtų būti pateikta?
Kuriant ISMS teikiančių dokumentų sistemą, kyla konfliktas tarp pirminio dokumentų kūrimo darbo intensyvumo (resursų poreikio) ir tolesnio jų išlaikymo atnaujintoje būsenoje. Viena vertus, norima, kad rūšių (nomenklatūros) ir pačių dokumentų skaičius būtų kuo mažesnis (nedidelį skaičių lengviau valdyti, galima greitai užbaigti visos pakuotės paruošimą ir pan.). ). Kita vertus, jei ISMS „gyvena“ ir vystosi visą laiką, periodiškai, o kai kuriais kūrimo laikotarpiais – gana dažnai, reikia koreguoti ir užbaigti. Jei informacijos saugumo dokumentai yra įtraukti į bendrą organizacijos „biurokratinį“ ciklą: „kūrimas-derinimas-patvirtinimas“, tai kuo aukštesnis dokumentų patvirtinimo ir tvirtinimo lygis, tuo ilgesnis naujų dokumentų versijų įsigaliojimo ciklas, tuo sunkiau išlaikyti jų naujausią būklę.
Tarkime, kad organizacija yra sukūrusi Informacijos saugumo politiką, apimančią nuostatas dėl veiksmų taisyklių tam tikrose informacijos saugumo srityse (vadinamos privačios informacijos saugumo politikos). Atsižvelgiant į tai, kad visi organizacijos darbuotojai turėtų būti susipažinę su Informacijos saugumo politika, stengtasi, kad dokumentas nebūtų labai didelis ir detalus, o privačios politikos nuostatos buvo aprašytos trumpai, santraukų forma.
Koks buvo rezultatas?
Dokumentas vis tiek pasirodė sunkus – daugiau nei tuzinas puslapių, o tai yra daug. Gautos privačios politikos dėl savo nekonkretumo praktiškai nieko nepaaiškina, todėl jų pritaikyti neįmanoma. Dokumentą sunku prižiūrėti – norint atlikti ir patvirtinti skyriaus koregavimą, pavyzdžiui, saugų naudojimąsi internetu, nusprendus naudoti, tarkime, įsibrovimo aptikimo sistemą (IDS), reikia sulaukti kito susitikimo. direktorių ir kt. Tie. Dokumentas pasirodė neveikiantis.
Informacijos saugumo politika turi būti lengvai suprantama ir idealiai tilpti viename ar dviejuose puslapiuose, nes ji, kaip strateginis dokumentas, yra patvirtintas aukščiausiame valdymo hierarchijos lygyje, su ja turėtų susipažinti visi organizacijos darbuotojai. Bendrosios ir privačios politikos suskirstymas į atskirus dokumentus leidžia efektyviau išgryninti, išplėsti ir koreguoti privačią politiką, atitinkamo dokumento patvirtinimas vyks daug greičiau ir NEKEITANT bendros informacijos saugumo politikos.
Tas pats atsitinka, jei privati politika atspindi konkrečios technologijos ar sistemos naudojimą, jos konfigūraciją. Pakeitus sistemą arba ją perkonfigūruojant, reikia pakeisti direktoriaus lygiu pasirašytą dokumentą. Negerai! Privačioje politikoje lengviau nurodyti antraeilius dokumentus (trečio ir ketvirto lygio), privačios politikos priede numatant valdymui užtikrinti reikalingos informacijos formatą ir sąrašą.
Tikiuosi, kad įtikinau jus mintimi, kad informacijos saugumo dokumentų sistema turi būti kuriama pagal hierarchinę schemą su pačiais bendriausiais ir abstrakčiausiais dokumentais aukščiausiame hierarchijos lygyje ir didinant „specifiškumą“ artėjant prie praktikos. dalis.
Ką mums rekomenduoja standartai?
ISO 13335-1 standartas numato 4 informacijos saugumo politikos lygius (taisykles):
- įmonės saugumo politika;
- informacijos saugumo politika;
- įmonės informacinių ir ryšių technologijų saugumo politika;
- [individualių] informacinių ir ryšių technologijų sistemų saugumo politika.
Rekomendacijose Rusijos banko standartizavimo srityje RS BR IBBS 2.0-2007 siūlome tokį aukščiau paminėto standarto nuostatų aiškinimą:
Kokie dokumentai gali būti klasifikuojami kiekviename lygyje?
Dokumentų lygiai | Dokumentų tipai |
Pirmas lygis | ISMS politika, informacijos saugumo politika, informacijos saugos koncepcija |
Antras lygis | Privačios informacijos saugumo politikos (fizinio saugumo užtikrinimas, prieigos suteikimas, naudojimasis internetu ir El. paštas, IS technologiniuose procesuose ir kt.) |
Trečias lygis | Instrukcijos, taisyklės, procedūros, gairės, metodinius vadovus ir mokymo programos, konfigūracijos reikalavimai ir kt. |
Ketvirtas lygis | Įrašai OS, DBVS ir IS sistemos žurnaluose; informacinio turto registrai; paraiškos ir užpildyti įsakymai suteikti prieigą; įrašai informacijos saugumo mokymo ir instrukcijų žurnaluose, bandymų ataskaitos, aktai, įsipareigojimai dėl konfidencialios informacijos neatskleidimo ir kt. |
Skirtingiems hierarchijos lygiams priskirtų dokumentų gyvavimo ciklas yra skirtingas.
Dokumentų lygiai | Kaip dažnai jie keičiasi? |
Pirmas lygis | retai (kinta strateginis lygis) |
Antras lygis | nedažnai (su pokyčiais taktinių sprendimų lygmenyje) |
Trečias lygis | palyginti dažnai |
Ketvirtas lygis | nuolat |
Aukšto lygio dokumentai turėtų būti kuo bendresni ir abstraktesni bei keistis keičiantis strateginiu lygmeniu – keičiantis verslo strategijai, priimant naujus standartus, kardinaliai keičiantis informacinei sistemai ir kt. Hierarchijoje (trečiame lygyje) pavaldūs dokumentai gali keistis kur kas dažniau – diegiant naujus produktus, informacijos saugos technologijas, formuojant papildomus mokymo kursus ar plėtojant informacijos atsarginės kopijos procedūras. Ketvirtajame lygyje įrašai generuojami nuolat ir laikui bėgant, greičiausiai, jų formatas bus tobulinamas.
Skirtinguose hierarchijos lygiuose esantys dokumentai reikalauja patvirtinimo skirtinguose valdymo lygiuose.
Aukšto lygio dokumentai – ISMS ir IS politika, apibrėžianti strateginius požiūrius į IS užtikrinimą, tvirtinama savininkų arba direktorių tarybos lygmeniu.
Privati politika, apibrėžianti informacijos saugos taisykles tam tikrose srityse, gali būti patvirtinta vykdomojo direktoriaus arba kuruojančio vadovo lygmeniu, tačiau turi turėti platų patvirtinimą padaliniuose, kuriuos veikia šios veiklos sritys.
Nuostatai, instrukcijos ir kiti praktiniai dokumentai yra informacijos saugos infrastruktūrą eksploatuojančių padalinių darbo dokumentai, jie juos kuria, koreguoja ir keičia. IN Kai kuriais atvejais, kai kurie trečiojo dokumentai gali reikalauti patvirtinimo organizacijos vadovybės lygmeniu (pavyzdžiui, padalinių nuostatai ir kt.).
Informacijos saugumo funkcionavimo įrodymas, jei reikia, patvirtinamas atlikėjo parašu.
Kad nesipainiotumėte dokumentų versijose, teisingai paskirstytumėte dokumentus tarp darbuotojų, kuriems jie skirti, visa ši dokumentų krūva turi būti TVARKOMA.
Dokumentų tvarkymo procedūra turėtų užtikrinti:
- dokumentų tvirtinimas atitinkamu organizacijos valdymo struktūros lygiu;
- jei reikia, dokumentų tikslinimas ir modernizavimas;
- užtikrinti atliktų pakeitimų ir esamos dokumentų versijų būklės identifikavimą;
- prieiga prie darbinių dokumentų versijų jų naudojimo vietose;
- dokumentų identifikavimo ir prieigos su jais suteikimo procedūros buvimas;
- susipažinti su įgaliotų asmenų dokumentais, taip pat tai, kad jų gyvavimo ciklas (perdavimas, saugojimas ir sunaikinimas) būtų vykdomas pagal jų konfidencialumo įslaptinimo lygį;
- ne organizacijoje sukurtų dokumentų identifikavimas;
- dokumentų platinimo kontrolė;
- neleisti naudoti pasenusių dokumentų;
- tinkamas pasenusių dokumentų identifikavimas, jei jie saugomi bet kokiam tikslui.
Informacijos saugumo dokumentų tvarkymo tvarką patartina aprašyti atskiru dokumentu, kuriame, be kita ko, būtų nurodytas visų dokumentų sąrašas ir paskirtis, peržiūrėjimo laikotarpis ir (arba) sąlygos, kas yra kiekvieno dokumento savininkas, kas kurį dokumentą tvirtina ir tvirtina, kam skirta kiekviena dokumento rūšis ir pan.
Visos dokumentų rengimo, keitimo, derinimo ir tvirtinimo taisyklės turi atitikti organizacijoje priimtas dokumentų srauto taisykles.
Pažymėtina, kad dokumentų tikslinimo tvarka nebūtinai reiškia dokumentų pakeitimus. Kai kurių tipų dokumentams naudinga numatyti jų tinkamumo patvirtinimo procedūrą, atliekamą dideliais, bet reguliariais intervalais. Remiantis Rusijos banko rekomendacijomis dėl trejų metų laikotarpio STO BR IBBS-1.0 standarto reikalavimų laikymosi įsivertinimui ar auditui atlikti, galima daryti prielaidą, kad toks pat laikotarpis informacijai peržiūrėti/patvirtinti. saugumo politika gali būti laikoma pagrįsta (tam tikra prasme NE MAŽESNE!). Kitų dokumentų patikslinimo procedūrą gali tekti atlikti kiek dažniau.
ISMS veikimo įrodymai taip pat turėtų būti pateikiami įprasto popierinio arba elektroninio formato dokumentais. ISMS funkcionavimo įrodymas – įvairūs prašymai ir įsakymai suteikti prieigą, žurnalo įrašai Operacinės sistemos, DBVS ir taikomosios programos, įsibrovimų prevencijos sistemų veikimo rezultatai ir skverbties testų rezultatų ataskaitos, darbo stočių ir serverių konfigūracijos tikrinimo aktai ir kt. Ši dokumentų klasė standarte įvardijama kaip „įrašai“. Dokumentų tvarkymo tvarka turi užtikrinti jų kontrolę ir apsaugą nuo pakeitimo, nes tam tikromis sąlygomis tai gali būti medžiaga, skirta informacijos saugumo incidentų tyrimui atlikti, o nuo šios medžiagos saugojimo kokybės priklauso, ar ši medžiaga bus pripažinta teisėta, ar, priešingai, nepatikima. Į įrašus taip pat gali būti įtraukti ISMS stebėjimo, informacijos saugumo incidentų tyrimų rezultatai, ISMS veiklos rezultatų ataskaitos ir kt.
Įrašų tvarkymo procedūros turėtų:
- užtikrinti dokumentinių įrodymų aiškumą, paprastumą, atpažįstamumą ir susigrąžinamumą;
- naudoti valdiklius, užtikrinančius identifikavimą, saugojimą, konfidencialumo ir vientisumo apsaugą, paiešką, saugojimo terminų nustatymą ir sunaikinimo procedūras.
Kaip pavyzdį pateikiame nedidelį „vertikalus“ dokumentų tipų, sudarančių ISMS dokumentacijos sistemą, sąrašo fragmentą, pavyzdžiui, užtikrinantį informacijos saugumą prisijungiant prie interneto:
Lygis | Dokumentacija |
Pirmas lygis | > Organizacinė informacijos saugumo politika > Informacijos saugumo koncepcija |
Antras lygis | > Privati organizacijos informacijos saugumo politika dirbant su interneto ištekliais > Informacijos saugumo dokumentuose vartojami terminai (žodynėlis) |
Trečias lygis | > Vartotojo prieigos prie interneto išteklių suteikimo procedūra > Prieigos prie interneto išteklių profilių (leidimų ir apribojimų rinkinio) aprašymas > Prie interneto prijungto kompiuterių tinklo diagrama > Proxy serverio nustatymų kortelė > Ugniasienės konfigūracijos kortelė tarp vidinių tinklo segmentų ir demilitarizuotos zonos ( DMZ) > Darbo stoties sąrankos kortelė [prieigai prie interneto suteikti] > Vartotojo priminimas, kaip naudotis interneto ištekliais > Funkcinio vaidmens „Interneto prieigos sistemų administratorius“ aprašymas ir kvalifikacijos reikalavimai > Darbuotojo, atliekančio „Interneto prieigos sistemų administratoriaus“ funkcinį vaidmenį, pareigybės aprašymas |
Ketvirtas lygis | > Paraiškos forma vartotojui prijungti prie interneto išteklių naudojimo > Prie interneto prisijungusių vartotojų sąrašas su prieigos profilio nuoroda > Proxy serverio žurnalas apie vartotojo prieigą prie interneto išteklių > Įsibrovimų aptikimo sistemos žurnalas ( IDS ) tinklo segmente, esančiame DMZ > Pranešimas apie įsibrovimą DMZ , aptiktas IDS > Užkardos konfigūracijos patikrinimo veiksmas |
Aukščiau pateiktas sąrašas toli gražu nėra baigtinis net pasirinktai sričiai ir priklauso nuo konkrečių technologijų ir paslaugų, kurias gauna ar teikia internetu besinaudojanti organizacija, taip pat nuo požiūrių į informacijos saugumą.
Štai keletas bendrosios rekomendacijos apie ISMS dokumentų kūrimą.
> Atskiras dokumentas turėtų būti parengtas dokumentas pavadinimu „Žodynėlis“, bendras bent pirmųjų dviejų lygių dokumentams, naudojamas rengiant dokumentus ir dokumentuose nurodomas kaip nuoroda.
> Dokumentų formoms standartizuoti galima aukšto lygio dokumentų prieduose nurodyti šalutinių dokumentų blankus, ypač tuos, kurie įrodo pildymą (ataskaitos, prašymų formos ir kt.). Viena vertus, tai šiek tiek apsunkina pirminio dokumento rengimo procedūrą. Kita vertus, jei visi susiję dokumentai yra sukurti kaip procedūros elementai, jūs iš karto turite paruoštą naudoti technologiją.
> Dažna klaida rengiant aukšto lygio dokumentus (politiką ir privačią politiką, reglamentus ir kt.), būtina tiesiogiai į dokumentų tekstą įrašyti konkrečius pavadinimus, sistemų pavadinimus ir pan. Atitinkamai, pasikeitus rangovui, prasideda ilgas „naujos“ dokumento versijos patvirtinimo ciklas. Geriau iš pradžių tokius „kintamuosius“ perkelti į paraiškas, antraeilius dokumentus ar įrašus (ketvirto lygio dokumentus).
> Kuriant „praktinius“ dokumentus, aprašant konkrečios funkcijos atlikimą, patartina nurodyti ne pareigas, o funkcinį vaidmenį, pavyzdžiui, „antivirusinės sistemos administratorius“ arba „atsarginės sistemos operatorius“, o atskiras dokumentas vesti tam tikrą vaidmenį atliekančių darbuotojų registrą. Tai prailgins dokumento gyvavimo ciklą, nereikės jo taisyti, ir suteiks lankstumo jį naudojant, nes galite tvarkyti atskirą „kompetencijų“ registrą ir greitai pakeisti atlikėjus, jei iškyla toks poreikis.
> Kiekviename dokumente turi būti nurodyta jo savininko (atsakingo darbuotojo) tapatybė, peržiūros apimtis ir sąlygos.
> ISMS dokumentai ir įrašai gali egzistuoti tiek „kietais“ (popieriniais), tiek elektronine forma. Norint auditoriams ar inspektoriams pateikti dokumentų kopijas elektronine forma, turi būti nustatytos atitinkamos procedūros ir nustatyti jų atsakingi asmenys.
Prie to, kas išdėstyta aukščiau, galime pridurti, kad jei aukšto lygio dokumentų (politikos, reglamentų ir kt.) rengimas gali būti patikėtas išorės konsultantams, tai žemesnio lygio dokumentus ir įrašus turėtų generuoti ir nuolat atnaujinti įmonės darbuotojai. organizacija, kuri maksimaliai dalyvauja ISMS ir ją sudarančių procedūrų veikimo procese.
Kitame leidinyje aptarsime organizacijos vadovybės dalyvavimą informacijos saugumo valdymo sistemoje.
