Standarto kūrėjai pažymi, kad jis buvo parengtas kaip informacijos saugumo valdymo sistemos (ISVS) kūrimo, diegimo, veikimo, stebėjimo, analizės, palaikymo ir tobulinimo modelis. ISMS (angl. information security management system; ISMS) apibrėžiama kaip bendros valdymo sistemos dalis, pagrįsta verslo rizikos vertinimo metodų naudojimu kuriant, įgyvendinant, eksploatuojant, stebint, analizuojant, palaikant ir tobulinant. informacijos saugumas. Sistema valdymas apima organizacinę struktūrą, politiką, planavimo veiklą, atsakomybę, praktiką, procedūras, procesus ir išteklius.

Standartas reiškia naudojimą proceso požiūris organizacijos ISMS kūrimui, diegimui, priežiūrai, stebėsenai, analizei, palaikymui ir tobulinimui. Jis pagrįstas planu – daryk – patikrink – veik (PDCA) modeliu, kurį galima pritaikyti struktūrizuojant visus ISMS procesus. Fig. 2.3 paveiksle parodyta, kaip ISMS, naudodamas informacijos saugos reikalavimus ir suinteresuotųjų šalių lūkesčius kaip įvestį, sukuria informacijos saugos rezultatus, atitinkančius tuos reikalavimus ir laukiamus rezultatus per reikiamą veiklą ir procesus.

Informacijos saugumo valdymo sistemos kūrimo etape organizacija turi įgyvendinti:

• nustatyti ISMS apimtį ir ribas;
• apibrėžti ISMS politiką, pagrįstą verslo, organizacijos, vietos, turto ir technologijų savybėmis;
• nustatyti požiūrį į rizikos vertinimą organizacijoje;
• nustatyti rizikas;
• analizuoti ir įvertinti rizikas;
• nustatyti ir įvertinti įvairias rizikos gydymo galimybes;
• pasirinkti rizikos valdymo tikslus ir kontrolę;
• gauti pasiūlymo vadovybės patvirtinimą liekamoji rizika;
• gauti vadovybės leidimą diegti ir eksploatuoti ISMS;
• parengti pareiškimą dėl taikymo.

Ryžiai. 2.3.

„Informacijos saugumo valdymo sistemos diegimo ir eksploatavimo“ etape daroma prielaida, kad organizacija turi atlikti šiuos veiksmus:

• parengti rizikos valdymo planą, kuriame būtų nustatyti tinkami valdymo veiksmai, ištekliai, atsakomybė ir prioritetai, susiję su informacijos saugumo rizikos valdymu;
• įgyvendinti rizikos valdymo planą, kad būtų pasiekti numatyti valdymo tikslai, įskaitant finansavimo klausimus, taip pat vaidmenų ir atsakomybės paskirstymas;
• įgyvendinti pasirinktas valdymo priemones;
• nustatyti, kaip išmatuoti pasirinktų valdymo priemonių efektyvumą;
• įgyvendinti darbuotojų mokymo ir kvalifikacijos kėlimo programas;
• valdyti ISMS darbą;
• valdyti ISMS išteklius;
• įgyvendinti procedūras ir kitas valdymo priemones, užtikrinančias greitą informacijos saugumo įvykių aptikimą ir reagavimą į informacijos saugumo incidentus.

Trečiasis etapas „Informacijos saugumo valdymo sistemos stebėjimas ir analizė“ reikalauja:

• atlikti stebėsenos ir analizės procedūras;
• reguliariai atlikti ISMS efektyvumo analizę;
• išmatuoti kontrolės priemonių efektyvumą siekiant patikrinti, ar laikomasi informacijos saugumo reikalavimų;
• nustatytais laikotarpiais peržiūrėti rizikos vertinimus, peržiūrėti liekamąją riziką ir nustatytus priimtinus rizikos lygius, atsižvelgiant į pokyčius;
• nustatytais laikotarpiais atlieka ISMS vidaus auditus;
• Organizacijos vadovybė reguliariai atlieka ISMS analizę, siekdama patvirtinti jos funkcionavimo adekvatumą ir nustatyti tobulintinas sritis;
• atnaujina informacijos saugumo planus, atsižvelgiant į analizės ir stebėsenos rezultatus;
• įrašyti veiksmus ir įvykius, kurie gali turėti įtakos ISMS efektyvumui arba veikimui.

Galiausiai etape „Informacijos saugumo valdymo sistemos palaikymas ir tobulinimas“ daroma prielaida, kad organizacija turi reguliariai vykdyti šias veiklas:

• nustatyti galimybes tobulinti ISMS;
• imtis reikiamų korekcinių ir prevencinių veiksmų, praktiškai panaudoti informacijos saugumo patirtį, įgytą tiek savo, tiek kitose organizacijose;
• perduoti visoms suinteresuotoms šalims išsamią informaciją apie ISMS tobulinimo veiksmus, atsižvelgiant į aplinkybes ir, jei reikia, susitarti dėl tolesnių veiksmų;
• užtikrinti ISMS patobulinimų įgyvendinimą, kad būtų pasiekti numatyti tikslai.

Be to, standartas numato reikalavimus dokumentacijai, į kurią visų pirma turi būti įtrauktos ISMS politikos nuostatos ir veiklos apimties aprašymas, metodikos aprašymas ir rizikos vertinimo ataskaita, rizikos gydymo planas ir dokumentai. susijusias procedūras. Taip pat turėtų būti apibrėžtas ISMS dokumentų tvarkymo procesas, įskaitant atnaujinimą, naudojimą, saugojimą ir naikinimą.

Norint pateikti įrodymus apie atitiktį reikalavimams ir ISMS efektyvumą, būtina tvarkyti ir tvarkyti procesų vykdymo įrašus. Pavyzdžiui, lankytojų žurnalai, audito ataskaitos ir kt.

Standartas nurodo, kad organizacijos vadovybė yra atsakinga už išteklių, reikalingų ISMS sukurti, suteikimą ir valdymą, taip pat už personalo mokymo organizavimą.

Kaip minėta anksčiau, organizacija, vadovaudamasi patvirtintu grafiku, turi atlikti vidinius ISMS auditus, kad įvertintų jos funkcionalumą ir atitiktį standartui. O vadovybė turi atlikti informacijos saugumo valdymo sistemos analizę.

Taip pat reikėtų tobulinti informacijos saugumo valdymo sistemą: didinti jos efektyvumą ir atitikties esamai sistemos būklei bei jai keliamiems reikalavimams lygį.

BS ISO/IEC 27001:2005 standartas aprašo informacijos saugumo valdymo sistemos (ISMS) modelį ir siūlo informacijos saugos organizavimo įmonėje reikalavimų rinkinį, neatsižvelgiant į organizacijos vykdytojų pasirinktus įgyvendinimo būdus.

Standarte siūloma taikyti PDCA (Plan-Do-Check-Act) modelį ISMS gyvavimo ciklui, kuris apima kūrimą, diegimą, veikimą, kontrolę, analizę, palaikymą ir tobulinimą (1 pav.).

Planas – ISMS kūrimo etapas, turto sąrašo sudarymas, rizikos įvertinimas ir priemonių parinkimas;

Do (Veiksmas) – atitinkamų priemonių įgyvendinimo ir įgyvendinimo etapas;

Patikrinimas – ISMS efektyvumo ir našumo vertinimo etapas. Paprastai atlieka vidaus auditoriai.

Veikti – imtis prevencinių ir korekcinių veiksmų.

Sprendimą sukurti (ir vėliau sertifikuoti) ISMS priima aukščiausioji organizacijos vadovybė. Tai parodo vadovybės palaikymą ir ISMS vertės verslui patvirtinimą. Organizacijos vadovybė inicijuoja ISMS planavimo grupės sukūrimą.

Už ISMS planavimą atsakinga grupė turėtų apimti:

· organizacijos aukščiausios vadovybės atstovai;

· verslo padalinių, kuriems taikoma ISMS, atstovai;

· informacijos saugos skyrių specialistai;

· trečiųjų šalių konsultantai (jei reikia).

IS komitetas teikia paramą ISMS veiklai ir nuolatiniam jos tobulinimui.

Darbo grupė turėtų vadovautis reguliacine ir metodine baze, susijusia tiek su ISMS kūrimu, tiek su organizacijos veiklos sritimi, ir, žinoma, bendra valstybės įstatymų sistema.

ISMS kūrimo reguliavimo sistema:

· ISO/IEC 27000:2009 Žodynas ir apibrėžimai.

· ISO/IEC 27001:2005 Bendrieji ISMS reikalavimai.

· ISO/IEC 27002:2005 Praktinės informacijos saugumo valdymo gairės.

· ISO/IEC 27003:2010 Praktinės ISMS diegimo gairės.

· ISO/IEC 27004:2009 Informacijos saugumo metrika (matavimai).

· ISO/IEC 27005:2011 informacijos saugumo rizikos valdymo vadovas.

· ISO/IEC vadovas 73:2002, Rizikos valdymas. Žodynas. Naudojimo standartuose gairės.

· ISO/IEC 13335-1:2004, Informacinės technologijos. Saugos metodai. Informacijos ir ryšių technologijų saugumo valdymas. 1 dalis. Informacijos ir ryšių technologijų saugumo valdymo koncepcijos ir modeliai.

· ISO/IEC TR 18044 Informacinės technologijos. Saugos metodai. Informacijos saugumo incidentų valdymas.

· ISO/IEC 19011:2002 Kokybės ir (arba) aplinkosaugos vadybos sistemų audito gairės.

· Britų standartų instituto ISMS kūrimo metodų serija (anksčiau: PD 3000 serijos dokumentai).

ISMS kūrimo procesas susideda iš 4 etapų:

1 etapas. ISMS planavimas.

Politikos, tikslų, procesų ir procedūrų, susijusių su rizikos valdymu ir informacijos saugumu, nustatymas pagal bendrą organizacijos politiką ir tikslus.

a) ISMS taikymo srities ir ribų apibrėžimas:

· Organizacijos veiklos rūšies ir verslo tikslų aprašymas;

· ISMS apimamų sistemų ribų nurodymas;

· Organizacijos turto aprašymas (informacijos išteklių rūšys, programinė ir techninė įranga, personalas ir organizacinė struktūra);

· Verslo procesų, kuriuose naudojama apsaugota informacija, aprašymas.

Sistemos ribų aprašymas apima:

Esamos organizacijos struktūros aprašymas (su galimais pokyčiais, kurie gali atsirasti dėl informacinės sistemos kūrimo).

Saugotini informacinės sistemos ištekliai (kompiuterinės technologijos, informacija, sisteminė ir taikomoji programinė įranga). Jiems įvertinti turi būti parinkta kriterijų sistema ir įvertinimų pagal šiuos kriterijus gavimo metodika (kategorizacija).

Informacijos apdorojimo technologija ir sprendžiamos problemos. Kad uždaviniai būtų sprendžiami, informacijos apdorojimo modeliai turi būti sukurti išteklių požiūriu.

Organizacijos informacinės sistemos ir pagalbinės infrastruktūros schema.

Paprastai šiame etape surašomas dokumentas, kuriame nustatomos informacinės sistemos ribos, išvardijami įmonės informaciniai ištekliai, kuriems taikoma apsauga, pateikiama kriterijų ir metodų sistema įmonės informacinio turto vertei įvertinti. .

b) Organizacijos ISMS politikos (išplėstinė SDS versija) apibrėžimas.

· Informacijos saugumo tikslai, kryptys ir veiklos principai;

· Rizikos valdymo strategijos (požiūrių) organizacijoje aprašymas, struktūrizuojant atsakomąsias priemones informacijai apsaugoti pagal tipus (teisinė, organizacinė, techninė ir programinė įranga, inžinerija);

· Rizikos reikšmingumo kriterijų aprašymas;

· Vadovybės pareigos, susitikimų informacijos saugumo temomis dažnumo nustatymas valdymo lygmeniu, įskaitant periodinį informacijos saugumo politikos nuostatų peržiūrą, taip pat visų kategorijų informacinės sistemos vartotojų mokymo informacijos saugumo klausimais tvarka. Problemos.

c) Nustatyti požiūrį į rizikos vertinimą organizacijoje.

Rizikos vertinimo metodika parenkama atsižvelgiant į ISMS, nustatytus verslo reikalavimus informacijos saugumui, teisinius ir reguliavimo reikalavimus.

Rizikos vertinimo metodikos pasirinkimas priklauso nuo informacijos saugumo režimo reikalavimų organizacijoje lygio, grėsmių, į kurias atsižvelgiama, pobūdžio (grėsmių poveikio spektro) ir galimų atsakomųjų priemonių informacijai apsaugoti efektyvumo. Visų pirma, informacijos saugumo režimui keliami pagrindiniai, taip pat padidinti arba išsamūs reikalavimai.

Minimalūs informacijos saugumo režimo reikalavimai atitinka pagrindinį informacijos saugumo lygį. Tokie reikalavimai paprastai taikomi standartiniams projektiniams sprendimams. Yra keletas standartų ir specifikacijų, kuriose atsižvelgiama į minimalų (tipinį) labiausiai tikėtinų grėsmių rinkinį, pvz.: virusus, aparatinės įrangos gedimus, neteisėtą prieigą ir kt. Norint neutralizuoti šias grėsmes, reikia imtis atsakomųjų priemonių, neatsižvelgiant į jų tikimybę. jų įgyvendinimo ir pažeidžiamumo ištekliai. Taigi nebūtina nagrinėti grėsmių savybių pagrindiniu lygiu. Užsienio standartai šioje srityje yra ISO 27002, BSI, NIST ir kt.

Tais atvejais, kai informacijos saugumo režimo pažeidimai sukelia rimtų pasekmių, keliami papildomi sustiprinti reikalavimai.

Norint suformuluoti papildomus padidintus reikalavimus, būtina:

Nustatyti išteklių vertę;

Į standartinį rinkinį įtraukti grėsmių, susijusių su tiriama informacine sistema, sąrašą;

Įvertinti grėsmių tikimybę;

Nustatyti išteklių pažeidžiamumą;

Įvertinkite galimą žalą dėl įsibrovėlių įtakos.

Būtina parinkti tokią rizikos vertinimo metodiką, kurią būtų galima naudoti su minimaliais pakeitimais nuolat. Yra du būdai: rizikos įvertinimui naudoti rinkoje esamus metodus ir priemones arba susikurti savo metodiką, pritaikytą įmonės specifikai ir ISMS apimamai veiklos sričiai.

Paskutinis variantas yra tinkamiausias, nes iki šiol dauguma rinkoje esančių gaminių, kuriuose įdiegta viena ar kita rizikos analizės technika, neatitinka Standarto reikalavimų. Tipiški tokių metodų trūkumai yra šie:

· standartinis grėsmių ir pažeidžiamumų rinkinys, kurio dažnai neįmanoma pakeisti;

· priimant turtu tik programinius, techninius ir informacinius išteklius – neįvertinant žmogiškųjų išteklių, paslaugų ir kitų svarbių išteklių;

· bendras technikos sudėtingumas tvaraus ir pakartotinio naudojimo požiūriu.

· Rizikos priėmimo kriterijai ir priimtini rizikos lygiai (turi būti pagrįsti organizacijos strateginių, organizacinių ir valdymo tikslų pasiekimu).

d) rizikos nustatymas.

· Turto ir jo savininkų identifikavimas

Informacijos įvestis;

Informacijos išvedimas;

Informacijos įrašai;

Ištekliai: žmonės, infrastruktūra, įranga, programinė įranga, įrankiai, paslaugos.

· Grėsmių nustatymas (rizikos vertinimo standartai dažnai siūlo grėsmių klases, kurias galima papildyti ir išplėsti).

· Pažeidžiamumo nustatymas (taip pat yra dažniausiai pasitaikančių pažeidžiamumų sąrašai, kuriais galite pasikliauti analizuodami savo organizaciją).

· Turto vertės nustatymas (galimos konfidencialumo, vientisumo ir turto prieinamumo praradimo pasekmės). Informaciją apie turto vertę galima gauti iš jo savininko arba iš asmens, kuriam savininkas perdavė visus įgaliojimus valdyti turtą, įskaitant jo saugumo užtikrinimą.

e) Rizikos įvertinimas.

· Žalos, kurią verslui gali padaryti praradus konfidencialumą, vientisumą ir turto prieinamumą, įvertinimas.

· Grėsmių realizavimo per esamus pažeidžiamumus tikimybės įvertinimas, atsižvelgiant į esamas informacijos saugumo kontrolės priemones ir įvertinus galimą padarytą žalą;

· Rizikos lygio nustatymas.

Rizikos priimtinumo kriterijų taikymas (priimtinas / reikalaujantis gydymo).

f) Rizikos gydymas (pagal pasirinktą rizikos valdymo strategiją).

Galimi veiksmai:

Pasyvūs veiksmai:

Rizikos priėmimas (sprendimas dėl susidariusio rizikos lygio priimtinumo);

Rizikos vengimas (sprendimas pakeisti veiklą, sukeliančią tam tikrą rizikos lygį – žiniatinklio serverio perkėlimas už vietinio tinklo ribų);

Aktyvūs veiksmai:

Rizikos mažinimas (naudojant organizacines ir technines atsakomąsias priemones);

Rizikos perkėlimas (draudimas (gaisras, vagystė, programinės įrangos klaidos)).

Galimų veiksmų pasirinkimas priklauso nuo priimtų rizikos kriterijų (nurodomas priimtinas rizikos lygis, rizikos lygiai, kuriuos galima sumažinti informacijos saugumo kontrolės priemonėmis, rizikos lygiai, kuriems esant rekomenduojama atsisakyti arba transformuoti ją sukeliančios veiklos rūšį, ir rizika, kurią pageidautina perduoti kitoms šalims).

g) rizikos valdymo tikslų ir kontrolės priemonių parinkimas.

Tikslai ir kontrolės priemonės turi įgyvendinti rizikos valdymo strategiją, atsižvelgti į rizikos prisiėmimo kriterijus ir teisės aktų, norminių aktų ir kitus reikalavimus.

ISO 27001-2005 standartas pateikia tikslų ir kontrolės priemonių sąrašą, kaip pagrindą kuriant rizikos valdymo planą (ISMS reikalavimai).

Rizikos gydymo plane pateikiamas prioritetinių rizikos lygių mažinimo priemonių sąrašas, nurodant:

· asmenys, atsakingi už šios veiklos ir priemonių įgyvendinimą;

· veiklų įgyvendinimo laikas ir jų įgyvendinimo prioritetai;

· išteklių tokiai veiklai įgyvendinti;

· likutinės rizikos lygiai įgyvendinus priemones ir kontrolę.

Rizikos valdymo plano priėmimą ir jo įgyvendinimo kontrolę vykdo aukščiausioji organizacijos vadovybė. Pagrindinių plano veiklų įvykdymas yra kriterijus priimant sprendimą pradėti ISMS eksploatuoti.

Šiame etape pagrįstas įvairių atsakomųjų priemonių, skirtų informacijos saugumui, parinkimas, struktūrizuotas pagal reguliavimo, organizacinį, vadybinį, technologinį ir aparatinį-programinį informacijos saugumo lygius. (Toliau įgyvendinamas atsakomųjų priemonių kompleksas pagal pasirinktą informacinės rizikos valdymo strategiją). Pilnoje rizikos analizės versijoje kiekvienai rizikai papildomai vertinamas atsakomųjų priemonių efektyvumas.

h) vadovybės patvirtinimas dėl siūlomos likutinės rizikos.

i) gauti vadovybės patvirtinimą diegti ir paleisti ISMS.

j) Pritaikymo pareiškimas (pagal ISO 27001-2005).

ISMS pradėjimo veikti data yra data, kai įmonės aukščiausioji vadovybė patvirtino Kontrolės taikymo reglamentą, kuriame aprašomi tikslai ir organizacijos pasirinktos rizikos valdymo priemonės:

· rizikos gydymo etape parinktos valdymo ir kontrolės priemonės;

· organizacijoje jau egzistuojančios valdymo ir kontrolės priemonės;

· priemones, užtikrinančias teisės aktų reikalavimų ir reguliuojančių organizacijų reikalavimų laikymąsi;

· priemonės, užtikrinančios klientų reikalavimų įvykdymą;

· priemones, užtikrinančias bendrųjų įmonės reikalavimų laikymąsi;

· bet kokios kitos tinkamos kontrolės ir kontrolės priemonės.

2 etapas. ISMS diegimas ir veikimas.

Siekiant įgyvendinti ir vykdyti informacijos saugumo politiką, kontrolę, procesus ir procedūras informacijos saugumo srityje, atliekami šie veiksmai:

a) Rizikos valdymo plano parengimas (planuotų kontrolės priemonių, joms įgyvendinti reikalingų išteklių (programinės įrangos, techninės įrangos, personalo) aprašymas, palaikymas, kontrolė ir valdymo atsakomybė už informacijos saugumo rizikos valdymą (dokumentų rengimas planavimo etape, palaikymas). informacijos saugos tikslai, vaidmenų ir atsakomybės apibrėžimas, ISMS kūrimui reikalingų išteklių suteikimas, auditas ir analizė).

b) finansavimo paskirstymas, vaidmenys ir atsakomybė už rizikos valdymo plano įgyvendinimą.

c) Suplanuotų kontrolės priemonių įgyvendinimas.

d) Kontrolės veiklos rodiklių (metrikų) ir jų matavimo metodų, kurie duos palyginamus ir atkuriamus rezultatus, nustatymas.

e) Informacijos saugos srities darbuotojų kvalifikacijos ir supratimo kėlimas pagal jų darbo pareigas.

f) ISMS veikimo valdymas, išteklių valdymas ISMS priežiūrai, kontrolei ir tobulinimui.

g) procedūrų ir kitų kontrolės priemonių įgyvendinimas, siekiant greitai aptikti informacijos saugumo incidentus ir į juos reaguoti.

3 etapas. Nuolatinis ISMS veikimo stebėjimas ir analizė.

Etapas apima pagrindinių proceso veiklos rodiklių įvertinimą arba matavimą, rezultatų analizę ir ataskaitų teikimą vadovybei analizei.

a) Nuolatinis stebėjimas ir analizė (leidžia greitai aptikti ISMS veikimo klaidas, greitai nustatyti saugumo incidentus ir į juos reaguoti, diferencijuoti personalo ir automatizuotų sistemų vaidmenis ISMS, užkirsti kelią saugumo incidentams analizuojant neįprastą elgesį, nustatyti saugumo incidentų apdorojimo veiksmingumas).

b) Reguliarus ISMS efektyvumo peržiūras (analizuojamas ISMS politikos ir tikslų laikymasis, auditas, pagrindiniai veiklos rodikliai, pasiūlymai ir suinteresuotųjų šalių reakcijos).

c) Kontrolės priemonių veiksmingumo matavimas siekiant patikrinti, ar laikomasi apsaugos reikalavimų

d) Periodiškas rizikos vertinimas, likusių rizikų analizė ir priimtinų rizikos lygių nustatymas bet kokiems organizacijos pokyčiams (verslo tikslams ir procesams, nustatytoms grėsmėms, naujai nustatytiems pažeidžiamumui ir kt.)

e) Periodiškas ISMS vidaus auditas.

ISMS auditas – patikrinama, ar pasirinktos atsakomosios priemonės atitinka organizacijos pramonės saugos politikoje deklaruotus veiklos tikslus ir uždavinius, remiantis jo rezultatais įvertinamos liekamosios rizikos ir, esant poreikiui, atliekama jų optimizacija.

f) Reguliari vadovybės ISMS apimties ir tendencijų peržiūra.

g) Rizikos valdymo planų atnaujinimas, kad jie atspindėtų kontrolės ir analizės rezultatus.

h) Įvykių, kurios turėjo neigiamos įtakos ISMS efektyvumui ar kokybei, žurnalų tvarkymas.

4 etapas. ISMS palaikymas ir tobulinimas.

Remiantis vidinio ISMS audito ir valdymo analizės rezultatais, kuriami ir įgyvendinami korekciniai ir prevenciniai veiksmai, kuriais siekiama nuolat tobulinti ISMS:

a) Informacijos saugumo politikos, informacijos apsaugos tikslų tobulinimas, auditų atlikimas, pastebėtų įvykių analizė.

b) Korekcinių ir prevencinių veiksmų, skirtų ISMS neatitikimui reikalavimams pašalinti, kūrimas ir įgyvendinimas.

c) ISMS patobulinimų stebėjimas.

Siųsti savo gerą darbą žinių bazėje yra paprasta. Naudokite žemiau esančią formą

Studentai, magistrantai, jaunieji mokslininkai, kurie naudojasi žinių baze savo studijose ir darbe, bus jums labai dėkingi.

Paskelbta http://www.allbest.ru/

„Informacijos saugumo valdymo sistema“

tarptautinis valdymo standartas

INAtliekant

Informacijos saugumo valdymo sistema – tai visuma procesų, kurie veikia įmonėje, siekiant užtikrinti informacijos turto konfidencialumą, vientisumą ir prieinamumą. Pirmoje santraukos dalyje aptariamas valdymo sistemos diegimo organizacijoje procesas, taip pat pateikiami pagrindiniai informacijos saugumo valdymo sistemos diegimo naudos aspektai.

1 pav. Valdymo ciklas

Procesų sąrašas ir rekomendacijos, kaip geriausiai organizuoti jų funkcionavimą, pateikiamos tarptautiniame standarte ISO 27001:2005, kuris yra pagrįstas valdymo ciklu Plan-Do-Check-Act. Pagal jį ISMS gyvavimo ciklas susideda iš keturių rūšių veiklų: Kūrimas - Diegimas ir veikimas - Stebėjimas ir analizė - Priežiūra ir tobulinimas (1 pav.). Šis standartas bus išsamiau aptartas antroje dalyje.

SUsistemavaldymasinformaciniaisaugumo

Informacijos saugumo valdymo sistema (ISMS) yra ta bendros valdymo sistemos dalis, kuri yra pagrįsta verslo rizikos požiūriu kuriant, įgyvendinant, eksploatuojant, stebint, analizuojant, palaikant ir tobulinant informacijos saugumą. ISMS procesai kuriami pagal ISO/IEC 27001:2005 standarto reikalavimus, kurie paremti ciklu.

Sistemos veikimas grindžiamas šiuolaikinės rizikos valdymo teorijos požiūriais, o tai užtikrina jos integraciją į bendrą organizacijos rizikos valdymo sistemą.

Informacijos saugumo valdymo sistemos įdiegimas reiškia, kad reikia sukurti ir įgyvendinti procedūrą, kuria siekiama sistemingai identifikuoti, analizuoti ir sumažinti informacijos saugumo rizikas, ty rizikas, dėl kurių informacijos turtas (bet kokios formos ir pobūdžio informacija) prarasti konfidencialumą, vientisumą ir prieinamumą.

Siekiant užtikrinti sistemingą informacijos saugumo rizikos mažinimą, remiantis rizikos vertinimo rezultatais, organizacijoje diegiami šie procesai:

· Vidinės informacijos saugos organizacijos valdymas.

· Informacijos saugumo užtikrinimas bendraujant su trečiosiomis šalimis.

· Informacinių išteklių registro tvarkymas ir jų klasifikavimo taisyklės.

· Įrangos saugos valdymas.

· Fizinio saugumo užtikrinimas.

· Personalo informacijos saugumo užtikrinimas.

· Informacinių sistemų planavimas ir pritaikymas.

· Atsarginė kopija.

· Tinklo saugumo užtikrinimas.

Informacijos saugumo valdymo sistemos procesai veikia visus organizacijos IT infrastruktūros valdymo aspektus, nes informacijos saugumas yra tvaraus procesų, susijusių su informacinėmis technologijomis, funkcionavimo rezultatas.

Kurdami ISMS įmonėse, specialistai atlieka šiuos darbus:

· organizuoti projektų valdymą, formuoti projekto komandą iš užsakovo ir rangovo pusės;

· nustatyti ISMS veiklos sritį (OA);

· ištirti organizaciją OD ISMS:

o organizacijos verslo procesų požiūriu, įskaitant informacijos saugumo incidentų neigiamų pasekmių analizę;

o kalbant apie organizacijos valdymo procesus, įskaitant esamus kokybės valdymo ir informacijos saugumo valdymo procesus;

o dėl IT infrastruktūros;

o dėl informacijos saugumo infrastruktūros.

· parengti ir patvirtinti analitinę ataskaitą, kurioje pateikiamas pagrindinių verslo procesų sąrašas ir su jais susijusių informacijos saugumo grėsmių įgyvendinimo pasekmių įvertinimas, valdymo procesų, IT sistemų, informacijos saugumo posistemių (IS) sąrašas, įvertinimas. apie tai, kiek organizacija atitinka visus ISO 27001 reikalavimus, ir procesų organizacijų brandumo įvertinimą;

· parinkti pradinį ir tikslinį ISMS brandos lygį, parengti ir patvirtinti ISMS brandos tobulinimo programą; parengti aukšto lygio dokumentaciją informacijos saugumo srityje:

o informacijos saugumo palaikymo koncepcija,

o IS ir ISMS politika;

· parinkti ir pritaikyti organizacijoje taikomą rizikos vertinimo metodiką;

· parinkti, tiekti ir diegti programinę įrangą, naudojamą ISMS procesams automatizuoti, organizuoti įmonės specialistų mokymus;

· atlikti rizikų vertinimą ir apdorojimą, kurio metu joms sumažinti parenkamos 27001 standarto „A“ priedo priemonės ir suformuluojami reikalavimai jų įgyvendinimui organizacijoje, iš anksto parenkamos techninės informacijos saugumo užtikrinimo priemonės;

· parengti preliminarius PIB projektus, įvertinti rizikos gydymo kainą;

· organizuoti aukščiausios organizacijos vadovybės patvirtinimą rizikos įvertinimui ir parengti taikymo reglamentus; parengti organizacines priemones informacijos saugumui užtikrinti;

· parengti ir įgyvendinti techninės informacijos saugos posistemių diegimo techninius projektus, kuriais remiamas pasirinktų priemonių įgyvendinimas, įskaitant įrangos tiekimą, paleidimą, eksploatacinės dokumentacijos rengimą ir naudotojų mokymą;

· teikti konsultacijas eksploatuojant pastatytą ISMS;

· organizuoti vidaus auditorių mokymus ir atlikti vidinius ISMS auditus.

Šio darbo rezultatas – veikianti ISMS. ISMS diegimo įmonėje nauda pasiekiama per:

· efektyvus teisės aktų reikalavimų ir verslo reikalavimų laikymosi informacijos saugumo srityje valdymas;

· užkirsti kelią informacijos saugumo incidentams ir sumažinti žalą, jei jie įvyktų;

· gerinti informacijos saugumo kultūrą organizacijoje;

· didėjanti branda informacijos saugumo valdymo srityje;

· lėšų panaudojimo informacijos saugumui optimizavimas.

ISO/IEC27001-- tarptautinisstandartinisAutoriusinformaciniaisaugumo

Šį standartą kartu sukūrė Tarptautinė standartizacijos organizacija (ISO) ir Tarptautinė elektrotechnikos komisija (IEC). Standarte pateikiami reikalavimai informacijos saugumo srityje kuriant, plėtojant ir prižiūrint ISMS. ISO 27001 nustato ISMS reikalavimus, kad parodytų organizacijos gebėjimą apsaugoti savo informacijos išteklius. Tarptautiniame standarte vartojama „informacijos saugumo“ sąvoka ir ji aiškinama kaip užtikrinanti informacijos konfidencialumą, vientisumą ir prieinamumą. Standarto pagrindas – su informacija susijusių rizikų valdymo sistema. Šis standartas taip pat gali būti naudojamas vidaus ir išorės suinteresuotųjų šalių atitikčiai įvertinti.

Siekiant sukurti, įdiegti, eksploatuoti, nuolat stebėti, analizuoti, prižiūrėti ir tobulinti informacijos saugumo valdymo sistemą (ISMS), standartas taiko proceso metodą. Jį sudaro procesų sistemos taikymas organizacijoje, šių procesų identifikavimas ir sąveika bei jų valdymas.

Tarptautinis standartas patvirtina plano-dar-patikrinti-veikimo (PDCA) modelį, kuris dar vadinamas Shewhart-Deming ciklu. Šis ciklas naudojamas visiems ISMS procesams struktūrizuoti. 2 paveiksle parodyta, kaip ISMS priima informacijos saugumo reikalavimus ir suinteresuotųjų šalių lūkesčius ir, atlikdama būtinus veiksmus bei procesus, sukuria tuos reikalavimus ir lūkesčius atitinkančius informacijos saugumo rezultatus.

Planavimas – tai ISMS kūrimo, turto inventoriaus sudarymo, rizikos įvertinimo ir priemonių parinkimo etapas.

2 pav. PDCA modelis, taikomas ISMS procesams

Įgyvendinimas – tai atitinkamų priemonių įgyvendinimo ir įgyvendinimo etapas.

Patikrinimas yra ISMS efektyvumo ir našumo vertinimo etapas. Paprastai atlieka vidaus auditoriai.

Veiksmas – prevencinių ir korekcinių veiksmų atlikimas.

INišvadas

ISO 27001 aprašo bendrą ISMS diegimo ir veikimo modelį, taip pat ISMS stebėjimo ir tobulinimo veiklas. ISO ketina suderinti įvairius vadybos sistemų standartus, tokius kaip ISO/IEC 9001:2000, kuriame kalbama apie kokybės vadybą, ir ISO/IEC 14001:2004, kuriame aptariamos aplinkosaugos vadybos sistemos. ISO tikslas – užtikrinti ISMS nuoseklumą ir integraciją su kitomis įmonės valdymo sistemomis. Standartų panašumas leidžia naudoti panašias priemones ir funkcijas diegiant, valdant, peržiūrint, tikrinant ir sertifikuojant. Suprantama, kad jei įmonė yra įdiegusi kitus vadybos standartus, ji gali naudoti vieną audito ir vadybos sistemą, kuri yra taikoma kokybės vadybai, aplinkosaugos vadybai, saugos valdymui ir kt. Įdiegę ISMS, vyresnioji vadovybė turi priemonių stebėti ir valdyti saugumą, o tai sumažina likutinę verslo riziką. Įdiegus ISMS, įmonė gali formaliai užtikrinti informacijos saugumą ir toliau tenkinti klientų, teisės aktų, reguliavimo institucijų ir akcininkų reikalavimus.

Verta paminėti, kad Rusijos Federacijos teisės aktuose yra dokumentas GOST R ISO/IEC 27001-2006, kuris yra išversta tarptautinio standarto ISO27001 versija.

SUgirgždėtiliteratūra

1. Kornejevas I.R., Beliajevas A.V. Įmonės informacijos saugumas. - Sankt Peterburgas: BHV-Petersburg, 2003. - 752 p.: iliustr.

2. Tarptautinis standartas ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (prieigos data: 2012-05-23)

3. Nacionalinis Rusijos Federacijos standartas GOST R ISO/IEC 27003 - "Informacinės technologijos. Saugos metodai. Informacijos saugumo valdymo sistemos diegimo gairės" (http://niisokb.ru/news/documents/IDT%20ISO% 20IEC%2027003- 2011-09-14.pdf) (prisijungimo data: 2012-05-23)

4. Skiba V.Yu., Kurbatovas V.A. Apsaugos nuo viešai neatskleistų grėsmių informacijos saugumui vadovas. Sankt Peterburgas: Petras, 2008. -- 320 p.: iliustr.

5. Laisvosios enciklopedijos „Wikipedia“ straipsnis „Valdymo sistema

informacijos saugumas“ (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (prieigos data: 2012-05-23)

6. Sigurjonas Thoras Arnasonas ir Keithas D. Willettas „Kaip pasiekti 27001 sertifikatą“

Paskelbta Allbest.ru

Panašūs dokumentai

Grėsmės informacijos saugumui įmonėje. Informacijos saugos sistemos trūkumų nustatymas. Informacijos saugumo sistemos formavimo tikslai ir uždaviniai. Siūlomos organizacijos informacijos saugumo sistemos tobulinimo priemonės.

kursinis darbas, pridėtas 2011-02-03


Įmonės informacinės apsaugos sistemos analizė. Informacijos apsaugos tarnyba. Įmonei būdingos informacijos saugumo grėsmės. Informacijos saugos metodai ir priemonės. Informacinės sistemos modelis saugumo požiūriu.

kursinis darbas, pridėtas 2011-02-03


Pagrindiniai maisto pramonės įmonės valdymo sistemos kūrimo etapai. RVASVT kaip bet kurios maisto saugos vadybos sistemos pagrindas. Maisto saugos valdymo sistema. Pavojai ir prevenciniai veiksmai.

santrauka, pridėta 2014-10-14


Šiuolaikinės valdymo sistemos ir jų integravimas. Integruotos kokybės vadybos sistemos. UAB "275 ARZ" ir jos valdymo sistemos charakteristikos. Darbo apsaugos vadybos sistemos sukūrimas. Integruotos apsaugos sistemos vertinimo metodai.

baigiamasis darbas, pridėtas 2011-07-31


Kokybės vadybos sistemos diegimas. Kokybės vadybos sistemų (ISO 9000), aplinkosaugos vadybos (ISO 14 000), organizacijų darbuotojų sveikatos ir saugos vadybos sistemų (OHSAS 18 001: 2007) sertifikavimas OJSC Lenta pavyzdžiu.

santrauka, pridėta 2008-10-06


Integruotos valdymo sistemos organizavimo standarto parengimas, nustatant vieningą dokumentų valdymo proceso įgyvendinimo tvarką. Kokybės vadybos sistemos kūrimo etapai UAB ZSMK. Elektroninių dokumentų versijų talpinimas.

baigiamasis darbas, pridėtas 2014-06-01


Darbuotojų hierarchinė diagrama. Informacijos saugumo priemonės. Klausimai apie saugumo būklę. Įmonės informacijos srautų schema. Informacinės sistemos vientisumo stebėjimo metodai. Prieigos prie paslaugų informacijos modeliavimas.

kursinis darbas, pridėtas 2011-12-30


Valdymo informacinės sistemos samprata ir jos vieta bendroje valdymo sistemoje. Informacinių sistemų tipai ir jų turinys. Vadybos kaip informacinės sistemos samprata. Finansų valdymo sistemos funkcijos. Sistemos sandoriams ir operacijoms atlikti.

santrauka, pridėta 2015-06-01


Sąvokos sveikatos ir saugos srityje. ISO tarptautiniai kokybės vadybos sistemų, aplinkosaugos vadybos sistemų, darbuotojų saugos ir sveikatos vadybos sistemų standartai. OHSAS 18001-2007 standarto pritaikymas.

kursinis darbas, pridėtas 2014-12-21


Informacijos valdymo charakteristikos; informacijos ir teisinių santykių subjektai; informacijos gavimo, perdavimo, saugojimo ir naudojimo teisinis režimas. Keitimosi informacija ir informacijos saugumo ypatumai ir teisiniai aspektai.

GOST R ISO/IEC 27001-2006 „Informacinė technologija. Saugumo užtikrinimo būdai ir priemonės. Informacijos saugumo valdymo sistemos. Reikalavimai"

Standarto kūrėjai pažymi, kad jis buvo parengtas kaip informacijos saugumo valdymo sistemos (ISVS) kūrimo, diegimo, veikimo, stebėjimo, analizės, palaikymo ir tobulinimo modelis. ISMS (angl. – information security management system; ISMS) apibrėžiama kaip bendros valdymo sistemos dalis, pagrįsta verslo rizikos vertinimo metodų naudojimu kuriant, diegiant, eksploatuojant, stebint, analizuojant, palaikant ir tobulinant informacijos saugumą. Valdymo sistema apima organizacinę struktūrą, politiką, planavimo veiklą, atsakomybę, praktiką, procedūras, procesus ir išteklius.

Standartas numato, kad organizacijos ISMS kūrimui, įgyvendinimui, veikimui, stebėjimui, analizei, palaikymui ir tobulinimui naudojamas proceso metodas. Jis pagrįstas planu – daryk – patikrink – veik (PDCA) modeliu, kurį galima pritaikyti struktūrizuojant visus ISMS procesus. Fig. 4.4 paveiksle parodyta, kaip ISMS, naudodama informacijos saugos reikalavimus ir suinteresuotųjų šalių lūkesčius kaip įvestį, sukuria informacijos saugos rezultatus, atitinkančius tuos reikalavimus ir laukiamus rezultatus per reikiamą veiklą ir procesus.

Ryžiai. 4.4.

Scenoje „Informacijos saugumo valdymo sistemos kūrimas“ Organizacija turi atlikti šiuos veiksmus:

• - nustatyti ISMS apimtį ir ribas;
• - nustatyti ISMS politiką pagal verslo, organizacijos, jos vietos, turto ir technologijų ypatybes;
• - nustatyti požiūrį į rizikos vertinimą organizacijoje;
• - nustatyti rizikas;
• - analizuoti ir įvertinti rizikas;
• - nustatyti ir įvertinti įvairias rizikos gydymo galimybes;
• - pasirinkti rizikos valdymo tikslus ir kontrolės priemones;
• - gauti vadovybės patvirtinimą dėl numatomos likutinės rizikos;
• - gauti vadovybės leidimą diegti ir eksploatuoti ISMS;
• - parengti pareiškimą dėl taikymo.

Scena" Informacijos saugumo valdymo sistemos diegimas ir veikimas“ siūlo, kad organizacija turėtų:

• - parengti rizikos valdymo planą, kuris apibrėžia atitinkamus valdymo veiksmus, išteklius, atsakomybę ir prioritetus, susijusius su informacijos saugumo rizikos valdymu;
• - įgyvendinti rizikos valdymo planą, kad būtų pasiekti numatyti valdymo tikslai, įskaitant finansavimo klausimus, taip pat funkcijų ir atsakomybės paskirstymą;
• - įgyvendinti pasirinktas valdymo priemones;
• - nustatyti, kaip išmatuoti pasirinktų valdymo priemonių efektyvumą;
• - įgyvendinti darbuotojų mokymo ir kvalifikacijos tobulinimo programas;
• - vadovauti ISMS darbui;
• - valdyti ISMS išteklius;
• - įgyvendinti procedūras ir kitas valdymo priemones, užtikrinančias greitą informacijos saugumo įvykių aptikimą ir reagavimą į incidentus, susijusius su informacijos saugumu.

Trečias etapas" Informacijos saugumo valdymo sistemos stebėjimo ir analizės vykdymas“ reikalauja:

• - atlikti stebėsenos ir analizės procedūras;
• - reguliariai atlikti ISMS efektyvumo analizę;
• - išmatuoti kontrolės priemonių efektyvumą siekiant patikrinti, ar laikomasi informacijos saugumo reikalavimų;
• - nustatytais laikotarpiais peržiūrėti rizikos vertinimus, analizuoti liekamąją riziką ir nustatytus priimtinus rizikos lygius, atsižvelgiant į pokyčius;
• - nustatytais laikotarpiais atlikti ISMS vidaus auditus;
• - reguliariai atlieka organizacijos vadovybės ISMS analizę, kad patvirtintų sistemos funkcionavimo adekvatumą ir nustatytų tobulinimo sritis;
• - atnaujinti informacijos saugumo planus, atsižvelgiant į analizės ir stebėsenos rezultatus;
• - įrašyti veiksmus ir įvykius, kurie gali turėti įtakos ISMS efektyvumui arba veikimui.

Ir galiausiai scena „Informacijos saugumo valdymo sistemos palaikymas ir tobulinimas“ siūlo, kad organizacija reguliariai vykdytų šią veiklą:

• - nustatyti galimybes tobulinti ISMS;
• - imtis reikiamų korekcinių ir prevencinių veiksmų, praktiškai panaudoti informacijos saugumo patirtį, įgytą tiek savo, tiek kitose organizacijose;
• - perduoti išsamią informaciją apie veiksmus siekiant tobulinti ISMS visoms suinteresuotoms šalims, o detalumo lygis turi atitikti aplinkybes ir, jei reikia, susitarti dėl tolesnių veiksmų;
• - užtikrinti ISMS patobulinimų įgyvendinimą, kad būtų pasiekti numatyti tikslai.

Be to, standartas numato reikalavimus dokumentacijai, į kurią turi būti įtrauktos ISMS politikos nuostatos ir veiklos apimties aprašymas, metodikos aprašymas ir rizikos vertinimo ataskaita, rizikos gydymo planas ir susijusių procedūrų dokumentacija. Taip pat turėtų būti apibrėžtas ISMS dokumentų tvarkymo procesas, įskaitant atnaujinimą, naudojimą, saugojimą ir naikinimą.

Norint pateikti įrodymus apie atitiktį reikalavimams ir ISMS efektyvumą, būtina tvarkyti ir tvarkyti procesų vykdymo įrašus. Pavyzdžiui, lankytojų žurnalai, audito ataskaitos ir kt.

Standartas nurodo, kad organizacijos vadovybė yra atsakinga už išteklių, reikalingų ISMS sukurti, suteikimą ir valdymą, taip pat už personalo mokymo organizavimą.

Kaip minėta anksčiau, organizacija, vadovaudamasi patvirtintu grafiku, turi atlikti vidinius ISMS auditus, kad įvertintų jos funkcionalumą ir atitiktį standartui. O vadovybė turi atlikti informacijos saugumo valdymo sistemos analizę.

Taip pat reikėtų tobulinti informacijos saugumo valdymo sistemą: didinti jos efektyvumą ir atitikties esamai sistemos būklei bei jai keliamiems reikalavimams lygį.

Šachalovas Igoris Jurjevičius

Kokybės vadybos ir informacijos saugumo sistemų integravimo klausimu

Anotacija: Apžvelgti tarptautiniai standartai ISO 27001 ir ISO 9001, išanalizuoti kokybės vadybos sistemos ir informacijos saugumo vadybos sistemos panašumai ir skirtumai. Parodyta galimybė integruoti kokybės vadybos sistemą ir informacijos saugumo valdymo sistemą. Pateikiami pagrindiniai integruotos informacijos saugumo valdymo sistemos kūrimo ir diegimo etapai. Pateikiami integruoto požiūrio pranašumai.

Raktažodžiai: valdymo sistemos, informacijos saugumas, integruotos valdymo sistemos, ISMS, QMS, ISO 27001.

Natalija Olegovna

Įvadas

Šiuolaikiniame pasaulyje, atsiradus plačiai paplitusioms ir patogioms techninėms priemonėms, informacijos saugumo problema tapo gana opi. Kartu gaminant kokybiškus produktus ar teikiant paslaugas įmonėms ir organizacijoms, norint išlikti pranašesnėje rinkoje, reikiamą informaciją svarbu išlaikyti paslaptyje nuo konkurentų. Konkurencijos metu plačiai paplitę įvairūs veiksmai, kuriais siekiama įvairiais būdais gauti (išgauti, gauti) konfidencialią informaciją, įskaitant tiesioginį pramoninį šnipinėjimą naudojant šiuolaikines techninės žvalgybos priemones.

Taigi organizacijos, besilaikančios geriausios pasaulinės praktikos, kuriose yra reikalavimai ir organizacijos verslo procesų valdymo sistemų diegimo gairės, tampa rinkos lyderėmis. Geriausi standartai kuriant, diegiant, stebint ir tobulinant tokias sistemas yra Tarptautinės standartizacijos organizacijos (ISO) dokumentai. Ypatingas dėmesys turėtų būti skiriamas ISO 900x ir ISO 2700x serijų standartams, kuriuose yra geriausios kokybės valdymo sistemos (KVS) ir informacijos saugumo valdymo sistemos (ISMS) diegimo praktikos.

Kokybės vadybos sistema, įdiegta pagal ISO 9001 standarto reikalavimus, jau seniai pripažinta neatsiejama sėkmingos įmonės, gaminančios aukštos kokybės produkciją ar teikiančios aukštos klasės paslaugas, atributu. Šiandien atitikties sertifikato buvimas yra ir efektyvus rinkodaros sprendimas, ir gamybos procesų stebėjimo mechanizmas. KVS auditas yra išvystyta verslo sritis.

Įmonės sėkmingos veiklos priklausomybė nuo įmonės informacijos saugos sistemos kasdien didėja. Taip yra dėl padidėjusio gyvybiškai svarbių duomenų, apdorojamų įmonės informacinėje sistemoje, apimties. Informacinės sistemos tampa vis sudėtingesnės, jose aptinkamų pažeidžiamumų daugėja. ISMS auditas leidžia įvertinti esamą įmonės informacinės sistemos veikimo saugumo būklę,

įvertinti ir numatyti rizikas, valdyti jų poveikį įmonės veiklos procesams.

Kadangi ISO 9001 standartas jau seniai užima pirmaujančias pozicijas pagal sertifikatų skaičių pasaulyje, o ISO 27001 standartas rodo tendenciją didinti informacijos saugumo valdymo sistemų sertifikavimą, patartina apsvarstyti galimą KVS sąveiką ir integravimą. ir ISMS.

Standartų integravimas

Iš pirmo žvilgsnio kokybės valdymas ir informacijos saugumas yra visiškai skirtingos sritys. Tačiau praktiškai jie yra glaudžiai susiję ir sudaro vieną visumą (1 pav.). Klientų pasitenkinimas, kuris yra objektyvus kokybės tikslas, kasmet vis labiau priklauso nuo informacinių technologijų prieinamumo ir duomenų saugumo, kuriam palaikyti naudojamas ISO 27001 standartas, kita vertus, ISO 9001 standartas glaudžiai atitinka įmonės tikslus. organizacijos, padedančios užtikrinti informacijos valdymo saugumą. Dėl visapusiško požiūrio ISO 27001 gali būti veiksmingai integruotas į esamas KVS arba įdiegtas kartu su KVS.

STI (ISO 27001) ir IT paslaugų valdymas (ISO 20000) turi panašią struktūrą ir procesą. Tai sukuria sinergiją, kuri pasiteisina: praktiškai integruota nuolatinės veiklos valdymo sistema sutaupo nuo 20 iki 30 procentų visų sistemos optimizavimo, patikrų ir auditų išlaidų.

Informacijos saugumo ir kokybės valdymo standartai orientuoti į nuolatinį tobulėjimą pagal planą-dar-patikrinti-veikti (PDCA) modelį, žinomą kaip Demingo ciklas (žr. 2 pav.). Jie taip pat yra panašios struktūros, kaip parodyta ISO 27001 C priede pateiktoje atitikmenų lentelėje. Abu standartai apibrėžia proceso metodo sąvokas, taikymo sritį, sistemos ir dokumentų reikalavimus bei administracines pareigas. Abiem atvejais sistema baigiasi vidaus auditu, vadovybės peržiūra ir sistemos tobulinimu. Šiuo atveju abi sistemos sąveikauja. Pavyzdžiui, pagal ISO 9001 reikalaujama tvarkyti neatitinkančius gaminius. Taip pat ISO 27001 reikalauja incidentų valdymo, kad būtų pašalintos gedimai.

Ryžiai. 1. KVS ir ISMS sąveikos sritys ir panašumai

Ryžiai. 2. Demingo ciklas

Daugiau nei 27 200 organizacijų įvairiose pramonės šakose daugiau nei 100 šalių yra sertifikuotos pagal ISO 9001:2008 kokybės vadybos standartą. Priklausomai nuo rinkos ir teisinių reikalavimų, daugelis organizacijų vis dažniau yra priverstos spręsti informacijos saugumo klausimus. Šiuo atžvilgiu valdymo sistemų integravimas suteikia realių galimybių. Integruotas požiūris įdomus ir įmonėms, kurios anksčiau nenaudojo jokio valdymo proceso. ISO kokybės (ISO 9001), aplinkos apsaugos (ISO 14000), informacijos saugumo standartai

Standartų skirtumai naudingai papildo vienas kitą, o tai stipriai prisideda prie verslo sėkmės. Pavyzdžiui, ISO 9001 reikalauja apibrėžti įmonės tikslus, orientaciją į klientus ir išmatuoti, kiek tikslai ir uždaviniai yra pasiekti. Tai yra trys klausimai, kurie nėra ISO 27001 dėmesio centre. Savo ruožtu šis standartas teikia pirmenybę rizikos valdymui, siekiant išlaikyti veiklos tęstinumą, ir siūlo išsamią pagalbą diegiant ISMS. Palyginti

taigi ISO 9001 yra daugiau teorinis standartas.

ISO 27001 yra ne tik IT standartas

Daugelis žmonių mano, kad ISO 27001 skirtas tik IT procesams, tačiau iš tikrųjų taip nėra. Pagrindinis MS&B standarto ISO 27001 įgyvendinimo aspektas yra turto apibrėžimas.

■ "lilltpHiimiir-J. » iJillllF.lEL^OIU.IC.

g t^tsdkpinizh ts netuvk^tnslschs tEp.tna.

» ■irreiiKinfundu «GcTMHiiociv

* KYADROMK:

■ JI!l"|"l"L>4_l]Jil"HIIL,k

» D|KtttcCcU H «patitU.

» jimii 14: ii |vju7JIIIM.

Ryžiai. 3. Turto rūšys

Turtas yra bet kas, kas yra vertinga įmonei (3 pav.). Tai yra, turtas gali būti: žmogiškieji ištekliai, infrastruktūra, įrankiai, įranga, ryšiai, paslaugos ir bet koks kitas turtas, įskaitant įsigytų produktų tiekimo paslaugas. Pagal procesus įmonė nustato, kokį turtą turi ir koks turtas dalyvauja kritiniuose procesuose, įvertina turto vertę. Ir tik po to įvertinama rizika visam vertingam turtui. Taigi ISMS skirtas ne tik skaitmeninei informacijai, kuri apdorojama automatizuotoje sistemoje. Pavyzdžiui, kai kurie iš svarbiausių procesų apima

Paruošimas

renginių planai

2 Patikrinkite H:i atitiktį

su popierinių informacijos kopijų saugojimu, kuriam taip pat taikomas ISO 27001. ISMS apima visus būdus, kuriais jūsų įmonėje gali būti saugoma svarbi informacija, nuo jūsų el. laiškų saugojimo iki to, kur pastate yra darbuotojų asmeninės bylos. saugomi.

Todėl labai klaidinga manyti, kad kadangi standartas skirtas sukurti informacijos saugumo valdymo sistemą, tai gali būti taikoma tik kompiuteryje saugomiems duomenims. Net ir mūsų skaitmeniniame amžiuje daug informacijos vis dar atsispindi popieriuje, kuri taip pat turi būti patikimai apsaugota.

ISO 9001 negali patenkinti įmonės informacijos saugumo poreikių, nes yra siaurai orientuotas į produktų kokybę. Todėl labai svarbu įmonėje diegti ISO 27001. Specialistui iš pirmo žvilgsnio gali pasirodyti, kad abu standartai yra labai bendri ir jiems trūksta specifikos. Tačiau taip nėra: ISO 27001 standartas aprašo beveik kiekvieną ISMS diegimo ir veikimo stebėjimo žingsnį (4 pav.).

Pagrindiniai informacijos saugumo valdymo sistemos kūrimo etapai

Pagrindiniai ISMS kūrimo etapai pavaizduoti 4 pav. Pažvelkime į juos atidžiau.

1 etapas. Veiksmų planų rengimas. Šiame etape specialistai renka organizacinius ir administracinius dokumentus (ORD) ir kitą darbo medžiagą,

3 A tipo normalus ii ORD

4 Analizė ii rizikos vertinimas 11B

Įgyvendinimas

5 RyazraOoghya ir<>RaeryaOopv kompleksas ir 00\*ieeiitii:

radiacijos planai ■-> aktyvumo norma -> įvykis -> CfftpJOTHW*

renginiai Pirm.>PB ORD atidarymo dieną

10 AiUtuin INORSNESS"IMB rezultatų įvertinimo formavimas

Ryžiai. 4. ISMS kūrimo etapai

susiję su įmonės informacinių sistemų kūrimu ir eksploatavimu, planuojama naudoti informacijos saugumo mechanizmus ir priemones. Be to, sudaromi, suderinami ir tvirtinami įmonės vadovybės darbų etapų veiksmų planai.

2 etapas: atitikties ISO/IEC 27001:2005 bandymas. Apklausti ir apklausti vadovus ir skyriaus darbuotojus. Įmonės ISMS atitikties ISO/IEC 27001:2005 standarto reikalavimams analizė.

3 etapas. Norminių ir organizacinių dokumentų analizė remiantis įmonės organizacine struktūra. Remiantis jos rezultatais, nustatoma saugoma apimtis (SA) ir parengiamas įmonės informacijos saugumo politikos eskizas.

4 etapas. Informacijos saugumo rizikos analizė ir įvertinimas. Įmonės rizikos valdymo ir analizės metodikos sukūrimas. Įmonės informacinių išteklių, pirmiausia LAN, analizė, siekiant nustatyti saugomo ML turto grėsmes ir pažeidžiamumą. Turto inventorius. Įmonės specialistų konsultacijų vykdymas ir esamų bei reikalaujamų saugumo lygių atitikties įvertinimas. Rizikų skaičiavimas, esamo ir priimtino rizikos lygio nustatymas kiekvienam konkrečiam turtui. Rizikų reitingavimas, priemonių rinkinių joms mažinti parinkimas ir teorinio įgyvendinimo efektyvumo skaičiavimas.

5 etapas. Informacijos saugumo veiksmų planų rengimas ir įgyvendinimas. Valdymo priemonių taikymo nuostatų rengimas pagal ISO/IEC 27001:2005. Apskaitos ir rizikos pašalinimo plano parengimas. Ataskaitų ruošimas įmonės vadovui.

6 etapas. Reguliavimo ir veiklos reglamentų kūrimas. Galutinės IS politikos ir atitinkamų nuostatų (privačių polisų) parengimas ir patvirtinimas. Standartų, procedūrų ir instrukcijų kūrimas, užtikrinantis normalų įmonės ISMS funkcionavimą ir veikimą.

7 etapas. Kompleksinių informacijos saugumo rizikos mažinimo priemonių įgyvendinimas ir jų efektyvumo įvertinimas pagal vadovybės patvirtintą rizikos apdorojimo ir pašalinimo planą.

8 etapas. Personalo mokymas. Įmonės darbuotojų kompetencijos mokymo ir tobulinimo veiksmų planų rengimas ir programų įgyvendinimas, siekiant efektyviai perteikti informacijos saugumo principus visiems darbuotojams ir

pirmiausia tie, kurie dirba struktūriniuose padaliniuose, kurie teikia pagrindinius verslo procesus.

9 etapas. Ataskaitų teikimas. Apklausos rezultatų sisteminimas ir ataskaitų rengimas. Darbo rezultatų pristatymas įmonių vadovams. Dokumentų licencijavimui pagal ISO/IEC 27001:2005 parengimas ir jų perdavimas sertifikuojančiai organizacijai.

10 etapas. ISMS diegimo rezultatų analizė ir įvertinimas remiantis metodika, įvertinančia įmonės ISMS patikimumą. Rekomendacijų, kaip tobulinti įmonės informacijos saugumo valdymo sistemą, rengimas.

Analizuodami kiekvieną ISMS diegimo etapą, galime teigti, kad ISO 27001 turi aiškią struktūrą ir reikalavimus, kurie leis sukurti veikiančią sistemą, kurioje bus sąveika visais reikalingais lygiais. Tačiau nereikia pamiršti, kad pagrindinis skirtumas tarp ISMS ir QMS yra tas, kad pirmoji sistema yra orientuota į informacijos saugumą.

Informacijos saugumo svarba šiuolaikiniame pasaulyje

Šiandieninis verslas negali egzistuoti be informacinių technologijų. Yra žinoma, kad apie 70% viso pasaulio nacionalinio produkto vienaip ar kitaip priklauso nuo informacinėse sistemose saugomos informacijos. Plačiai paplitus kompiuteriams atsirado ne tik visiems žinomų patogumų, bet ir problemų, iš kurių rimčiausia – informacijos saugumo problema.

Įmonės vadovai turi suprasti informacijos saugumo svarbą ir išmokti numatyti bei valdyti šios srities tendencijas. Tam gali padėti ISMS, kurios struktūra savo struktūroje turi plėtros potencialą, valdymo skaidrumą ir lankstumą bet kokiems pokyčiams, diegimas. Be kompiuterių ir kompiuterių tinklų valdymo, ISO 27001 standarte didelis dėmesys skiriamas saugumo politikos kūrimui, darbui su personalu (įdarbinimas, mokymas, atleidimas), gamybos proceso tęstinumo užtikrinimui, norminiams reikalavimams, tuo pačiu tam tikriems techniniai klausimai, aprašyti kituose serijos standartuose

ISO 27000. ISMS įdiegimas įmonėje turi daug privalumų, kai kurie iš jų pateikti pav. 5.

Glbkshl skalė subdr>h;b1[dal

¡juvum sumažėjimas

HiKiinimi n II11 \ 11 Ch"G 1111 111 pudnT

Prtrtshal uirdoktl

" Ji|m|ill p.Ki u:

azhshchtnya № tsn^st

Ryžiai. 5. Informacijos saugumo valdymo sistemos diegimo privalumai

Reikėtų pabrėžti ISO pranašumus

Saugos kompetencijos demonstravimas. ISO 27001 pateikia praktines gaires organizacijai, padedančias suformuluoti saugos reikalavimus, kad būtų pasiektas reikiamas saugos lygis ir atitiktų konkrečius saugos tikslus. Ypač svarbu, kad organizacijos būtų kompetentingos keturiose saugumo valdymo srityse, įskaitant: įmonės turto nustatymą ir įvertinimą, rizikos įvertinimą ir rizikos priėmimo kriterijų apibrėžimą, šių dalykų valdymą ir priėmimą bei nuolatinį organizacijos bendros saugumo programos tobulinimą.

Suteikti klientų pasitikėjimą. ISO 27001 pateikia nepriklausomus įrodymus, kad įmonių valdymo programas remia geriausia tarptautinė praktika. Sertifikatas pagal ISO 27001 suteikia ramybę korporacijoms, siekiančioms pademonstruoti sąžiningumą klientams, akcininkams ir potencialiems partneriams, o svarbiausia – įrodyti, kad įmonė sėkmingai įdiegė patikimą informacijos saugumo valdymo sistemą. Daugelyje griežtai reguliuojamų pramonės šakų, pavyzdžiui, finansų ar interneto paslaugų, tiekėjas gali būti pasirinktas

apsiriboti tomis organizacijomis, kurios jau yra sertifikuotos pagal ISO 27001.

Efektyvesnis išteklių panaudojimas. Procesinio požiūrio panaudojimo dėka galima optimizuoti įmonėje vykstančius procesus. Tai reiškia, kad reikia sumažinti išteklių, pvz., laiko, naudojimą.

Nuolatinis tobulinimas. ISMS naudoja PCDA modelį, kuris leidžia reguliariai tikrinti visos sistemos būseną, atlikti analizę ir tobulinti valdymo sistemą

1. Įvaizdis, prekės ženklas. Sertifikavimas, atitinkantis ISO 27001 standartą, atveria įmonei plačias galimybes: patekti į tarptautinį lygmenį, naujas partnerystes, daugiau klientų, sudaryti naujas sutartis, sėkmingai dalyvauti konkursuose. ISMS buvimas įmonėje yra aukšto išsivystymo lygio rodiklis.

2. ISMS lankstumas. Nepriklausomai nuo proceso pokyčių ar naujų technologijų, ISMS struktūros pagrindas išlieka veiksmingas. ISMS gali lengvai prisitaikyti prie naujovių, atnaujindama esamas ir įdiegdama naujas atsakomąsias priemones.

3. Standarto diegimo mastelio keitimas. Kadangi ISO 27001 apima taikymo srities apibrėžimą, tai leidžia sertifikuoti tik tam tikrą procesų poaibį. Galite pradėti diegti ISMS įmonei reikšmingiausiame OD, o tik vėliau jį išplėsti.

4. Auditas. Daugelis Rusijos įmonių audito darbą suvokia kaip katastrofą. ISO 27001 parodo tarptautinį požiūrį į auditų atlikimą: pirmiausia įmonė yra suinteresuota realiai atitikti standartus, o ne kažkaip daryti sertifikavimą, tik pademonstruoti.

5. Reguliarus vidinis ar išorinis auditas leidžia ištaisyti pažeidimus, tobulinti ISMS ir ženkliai sumažinti riziką. Visų pirma to įmonei reikia dėl jų pačių ramybės, kad viskas būtų tvarkoje ir būtų sumažinta nuostolių rizika. O antra – atitikties sertifikatas, patvirtinantis partneriams ar klientams, kad šia įmone galima pasitikėti.

6. Valdymo skaidrumas. Naudojant ISO 27001 standartą pateikiamos gana aiškios instrukcijos, kaip nustatyti valdiklius ir

taip pat reikalavimai dokumentacijai, kurią įmonė privalo turėti. Daugelio įmonių problema yra ta, kad esami dokumentai tam tikriems padaliniams tiesiog neįskaitomi, nes išsiaiškinti, kas kam skirta, dažnai neįmanoma dėl dokumentacijos sistemos sudėtingumo. Dokumentacijos lygių hierarchija nuo informacijos saugumo politikos iki tam tikrų procedūrų aprašymo labai palengvina esamų taisyklių, reglamentų ir kitų dalykų naudojimą. Taip pat įgyvendinant informacijos saugumo valdymą apmokomi darbuotojai: vedami seminarai, siunčiami laiškai, kabinami įspėjamieji plakatai, o tai ženkliai padidina paprastų darbuotojų informuotumą apie informacijos saugumą.

Apibendrinant pažymėtina, kad šiuolaikiniame versle akivaizdus pagrindinės kokybės vadybos sistemos, sukurtos pagal ISO 9001 standarto reikalavimus, neatskiriamumas ir informacijos saugos vadybos sistemos užimtumas.

Šiandien rinkos lyderiais taps įmonės, kurios stebi ne tik produktų ir paslaugų kokybę, bet ir informacijos apie juos konfidencialumo, vientisumo ir prieinamumo lygį. Taip pat svarbus sėkmės veiksnys yra rizikos prognozavimas ir įvertinimas, kuriam reikalingas kompetentingas požiūris ir geriausios tarptautinės praktikos panaudojimas. Bendras kokybės valdymo ir informacijos saugos sistemų diegimas ir sertifikavimas padės išspręsti įvairiausias bet kurios pramonės ar prekybos problemas, o tai savo ruožtu lems kokybišką teikiamų paslaugų lygio kilimą.

Literatūra

1. Dorofejevas A.V., Shakhalov I.Yu. Šiuolaikinės organizacijos informacijos saugumo valdymo pagrindai // Teisinė informatika. 2013. Nr. 3. P. 4-14.

2. Chashkin V. N. Informacijos saugumo valdymas kaip organizacijos informacinių technologijų veiklos valdymo sistemos elementas // Informacinių technologijų saugumas. 2009. Nr.1. P. 123-124.

3. Goryachev V.V. Naujas GOST dėl QMS. Pagrindiniai skirtumai nuo GOST RV 15.002-2003 //

Kokybės vadybos metodai. 2013. Nr.7. 18-23 p.

4. Dotsenko S. P., Pshenetsky S. P. Informacijos saugumo valdymo sistemų modelio kūrimo metodas // Kubano valstybinio agrarinio universiteto politeminis tinklas elektroninis mokslo žurnalas. 2009. Nr.53. 47-56 p.

5. Kamenev A.V., Zavoritko E.V. Informacijos saugumo valdymo sistemos modelis įmonėje (organizacijoje) // Intelektas. Inovacijos. Investicijos. 2013. Nr.1. P. 111-114.

6. Solovjovas A. M. Reguliacinė ir metodinė bazė informacijos saugumo užtikrinimo srityje // Ekonomika, statistika ir informatika. UMO biuletenis. 2012. Nr.1. P. 174-181.

7. Kozin I. F., Livshits I. I. Informacijos saugumas. Tarptautinių standartų integravimas į Rusijos informacijos saugumo sistemą // Informatizacija ir ryšiai. 2010. Nr.1. P. 50-55.

8. Kolodin V. S. Integruotų valdymo sistemų sertifikavimas // Irkutsko valstybinio technikos universiteto biuletenis. 2010. T. 41. Nr. 1. P. 44-48.

9. Merkushova N. I., Naumenko Yu. A., Merkushova Yu. A. Integruotos valdymo sistemos: būtinos kūrimo Rusijos įmonėse sąlygos // Jaunasis mokslininkas.

2013. Nr.12 (59). 327-331 p.

10. Voropaeva V. Ya., Shcherbov I. L., Khaustova E. D. Informacijos ir telekomunikacijų sistemų informacijos saugumo valdymas, pagrįstas modeliu „P1ap-Do-Check-Act“ // Donecko nacionalinio technikos universiteto Mokslai1. Ser1ya: „Apskaičiuota techninė įranga ir automatika“. 2013. Nr.2 (25). 104-110 p.

11. Dorofejevas A.V., Markov A.S. Informacijos saugumo valdymas: pagrindinės sąvokos // Kibernetinio saugumo problemos.

2014. Nr.1 ​​(2). 67-73 p.

12. Shper V.L. Apie standartą 18O/1EC 27001 // Kokybės vadybos metodai. 2008. Nr. 3. P. 60-61.

13. Markovas A. S., Tsirlovas V. L. Rizikos valdymas – informacijos saugumo reguliavimo vakuumas // Atviros sistemos. DBVS. 2007. Nr 8. P. 63-67.

14. Matvejevas V. A., Tsirlovas V. L. Rusijos Federacijos informacijos saugumo pramonės būklė ir plėtros perspektyvos

2014 m. // Kibernetinio saugumo problemos. 2013. Nr.1(1). 61-64 p.

15. Barabanovas A. V. Saugios programinės įrangos kūrimo proceso standartizavimas // Kibernetinio saugumo problemos. 2013. Nr.1(1). 37-41 p.

16. Markovas A. S., Tsirlovas V. L. Kibernetinio saugumo gairės kontekste

ISO 27032 // Kibernetinio saugumo problemos. 2014. Nr.1(2). 28-35 p. 17. Khramtsovskaya N. Ką vadovas turi žinoti apie informacijos saugumą // Personalo pareigūnas. 2009. Nr.4. P. 061-072.