actual
Adoptarea modelului PDCA reflectă, de asemenea, principiile stabilite în Directivele Organizației pentru Cooperare și Dezvoltare Economică (OCDE) care guvernează securitatea sistemelor și rețelelor de informații. Acest standard internațional oferă un model ilustrativ pentru implementarea practică a acestor principii, care permit evaluarea riscurilor, proiectarea și implementarea sistemului de securitate a informațiilor, managementul și reevaluarea.
1 Cerința poate fi ca încălcările securității informațiilor să nu conducă la daune financiare semnificative organizației și/sau la dificultăți semnificative în activitățile acesteia,
2 Rezultatul așteptat ar putea fi acela că organizația are suficient personal instruit pentru a implementa proceduri pentru a minimiza posibilele efecte adverseîn cazul unui incident grav, cum ar fi o intruziune neautorizată (atac de hacker) pe site-ul web al organizației prin care aceasta desfășoară comerț electronic.
| tabelul 1 | |
Acest standard este aliniat cu standardele „Sisteme de management al calității. Cerințe” și „Sisteme de management mediu inconjurator. Cerințe și îndrumări pentru aplicații” pentru a sprijini implementarea consecventă și integrată și interoperabilitatea cu alte standarde de management conexe. Astfel, un sistem de management bine conceput dintr-o organizație poate satisface cerințele tuturor acestor standarde.
Acest standard internațional este destinat utilizării de către organizații cu orice formă de proprietate (de exemplu, comerciale, guvernamentale și organizatii non-profit). Acest standard internațional specifică cerințele pentru dezvoltarea, implementarea, operarea, monitorizarea, revizuirea, menținerea și îmbunătățirea unui sistem de management al securității informațiilor (ISMS) documentat, ca parte a riscurilor globale de afaceri ale unei organizații. În plus, standardul stabilește cerințe pentru implementarea măsurilor de management și control al securității informațiilor care pot fi utilizate de organizații sau departamentele acestora în conformitate cu scopurile și obiectivele stabilite ale securității informațiilor (IS).
Scopul construirii unui ISMS este de a selecta controalele de securitate adecvate menite să protejeze activele informaționale și să asigure încrederea părților interesate.
NOTĂ Termenul „afacere”, în acest standard internațional, este folosit într-un sens larg pentru a se referi la toate acele activități care stau la baza în scopul existenței unei organizații.
Cerințele stabilite în prezentul standard internațional sunt destinate să se aplice tuturor organizațiilor, indiferent de tipul, dimensiunea și domeniul de aplicare al activităților lor. Excluderea oricăreia dintre cerințele specificate în ,
Activ Ediție de la 27.12.2006
| Numele documentului | "TEHNOLOGIA INFORMATIEI. METODE SI MIJLOACE DE SECURITATE. SISTEME DE MANAGEMENT AL SECURITATII INFORMATIILOR. CERINTE. GOST R ISO/IEC 27001-2006" |
| Tipul documentului | ordine, standard, gost, izo |
| Corpul gazdă | Rostekhregulirovanie |
| numarul documentului | ISO/IEC 27001-2006 |
| Data acceptarii | 01.01.1970 |
| Data revizuirii | 27.12.2006 |
| Data înregistrării în Ministerul Justiției | 01.01.1970 |
| stare | valabil |
| Publicare |
|
| Navigator | Note |
"TEHNOLOGIA INFORMATIEI. METODE SI MIJLOACE DE SECURITATE. SISTEME DE MANAGEMENT AL SECURITATII INFORMATIILOR. CERINTE. GOST R ISO/IEC 27001-2006"
8. Îmbunătățirea sistemului de management al securității informațiilor
8.1. Imbunatatire continua
Organizația trebuie să îmbunătățească continuu eficacitatea ISMS prin rafinarea politicii de securitate a informațiilor, a obiectivelor de securitate a informațiilor, folosind rezultatele auditurilor, analizând evenimente controlate, acțiuni corective și preventive și folosind rezultatele revizuirii ISMS de către conducere (a se vedea clauza 7). ).
8.2. Acțiuni corective
Organizația trebuie să ia măsuri pentru a elimina cauzele neconformităților cu cerințele ISMS pentru a preveni reapariția acestora. O procedură de acțiune corectivă documentată stabilește cerințe pentru:
a) identificarea neconformităților;
b) determinarea cauzelor neconformităţilor;
C) evaluarea necesității de acțiune pentru a evita reapariția neconformităților;
d) determinarea și implementarea acțiunilor corective necesare;
e) ținerea evidenței rezultatelor acțiunilor întreprinse (vezi 4.3.3);
f) revizuirea acţiunii corective întreprinse.
8.3. Acțiuni preventive
Organizația trebuie să determine acțiunile necesare pentru a elimina cauzele potențialelor neconformități cu cerințele ISMS pentru a le preveni. reaparitie. Acțiunile preventive întreprinse trebuie să fie proporționale cu consecințele potențialelor probleme. Procedura documentată pentru acțiunea preventivă întreprinsă va specifica cerințele pentru:
a) identificarea potenţialelor neconformităţi şi cauzele acestora;
b) evaluarea necesității de acțiune pentru prevenirea apariției neconformităților;
c) determinarea si implementarea actiunii preventive necesare;
d) înregistrări ale rezultatelor acțiunii întreprinse (vezi 4.3.3);
e) revizuirea rezultatelor acţiunii întreprinse.
Organizația trebuie să identifice schimbările în evaluările riscurilor și să stabilească cerințe pentru acțiuni preventive, abordând în același timp Atentie speciala la indicatorii cantitativi ai riscurilor modificați semnificativ.
Prioritățile privind implementarea acțiunilor preventive ar trebui stabilite pe baza rezultatelor evaluării riscurilor.
NOTĂ În general, costul acțiunii pentru prevenirea neconformităților este mai economic decât acțiunile corective.
În lumea tehnologiei informației, problema asigurării integrității, fiabilității și confidențialității informațiilor devine o prioritate. Prin urmare, recunoașterea necesității unui sistem de management al securității informațiilor (ISMS) într-o organizație este o decizie strategică.
Acesta a fost dezvoltat pentru a crea, implementa, menține și îmbunătăți continuu ISMS în întreprindere.De asemenea, prin utilizarea acestui Standard, devine evidentă pentru partenerii externi capacitatea organizației de a îndeplini propriile cerințe de securitate a informațiilor. Acest articol va discuta principalele cerințe ale standardului și va discuta structura acestuia.
Afacerea dumneavoastră va atinge un nou nivel de calitate dacă obțineți un certificat ISO legitim cu ajutorul unor profesioniști cu experiență.
Obiectivele principale ale standardului ISO 27001
Înainte de a trece la descrierea structurii standardului, să specificăm principalele sale sarcini și să luăm în considerare istoria apariției standardului în Rusia.
Obiectivele standardului:
- stabilirea cerințelor uniforme pentru toate organizațiile pentru a crea, implementa și îmbunătăți ISMS;
- asigurarea interactiunii dintre conducerea superioara si angajatii;
- menținerea confidențialității, integrității și disponibilității informațiilor.
În același timp, cerințele stabilite de Standard sunt generale și sunt destinate a fi aplicate de orice organizație, indiferent de tipul, mărimea sau natura acestora.
Istoria standardului:
- În 1995, Institutul Britanic de Standarde (BSI) a adoptat Codul de management al securității informațiilor ca standard național al Regatului Unit și l-a înregistrat sub numărul BS 7799 - Partea 1.
- În 1998, BSI publică BS7799-2, care constă din două părți, dintre care una include un cod de practică, iar cealaltă - cerințe pentru sistemele de management al securității informațiilor.
- În cursul revizuirilor ulterioare, prima parte a fost publicată ca BS 7799:1999, Partea 1. În 1999, această versiune a standardului a fost transmisă Organizației Internaționale de Certificare.
- Acest document a fost aprobat în 2000 ca standard internațional ISO/IEC 17799:2000 (BS 7799-1:2000). ultima versiune al acestui standard, adoptat în 2005, este ISO/IEC 17799:2005.
- În septembrie 2002, a intrat în vigoare a doua parte a BS 7799 „Specificația sistemului de management al securității informațiilor”. A doua parte a BS 7799 a fost revizuită în 2002, iar la sfârșitul anului 2005 a fost adoptată de ISO ca standard internațional ISO/IEC 27001:2005 " Tehnologia de informație- Metode de securitate - Sisteme de management al securității informațiilor - Cerințe.
- În 2005, standardul ISO/IEC 17799 a fost inclus în a 27-a serie de standarde și a primit numar nou- ISO/IEC 27002:2005.
- La 25 septembrie 2013, standardul actualizat ISO/IEC 27001:2013 „Sisteme de management al securității informațiilor. Cerințe”. În prezent, organizațiile sunt certificate conform acestei versiuni a Standardului.
Structura standardului
Unul dintre avantajele acestui standard este similaritatea structurii sale cu ISO 9001, deoarece conține titluri identice de subsecțiuni, text identic, termeni comuni și definiții de bază. Această circumstanță economisește timp și bani, deoarece o parte din documentație a fost deja elaborată în timpul certificării conform ISO 9001.
Dacă vorbim despre structura Standardului, este o listă de cerințe ISMS care sunt obligatorii pentru certificare și constă din următoarele secțiuni:
| Secțiunile principale | anexa a |
|---|---|
| 0. Introducere | A.5 Politici de securitate a informațiilor |
| 1 domeniu de utilizare | A.6 Organizarea securității informațiilor |
| 2. Referințe normative | A.7 Siguranța resurselor umane (personal) |
| 3. Termeni și definiții | A.8 Gestionarea activelor |
| 4. Contextul organizaţiei | A.9 Controlul accesului |
| 5. Conducere | A.10 Criptografia |
| 6. Planificare | A.11 Securitatea fizică și protecția mediului |
| 7. Suport | A.12 Securitate operațională |
| 8. Operațiuni (Operațiune) | A.13 Securitatea comunicațiilor |
| 9. Evaluarea (Măsurarea) performanței | A.14 Achiziția, dezvoltarea și întreținerea sistemelor informaționale |
| 10. Îmbunătățire (Îmbunătățire) | A.15 Relații cu furnizorii |
| A.16 Managementul incidentelor | |
| A.17 Asigurarea continuității afacerii | |
| A.18 Conformitate legală |
Cerințele din „Anexa A” sunt obligatorii, dar standardul vă permite să excludeți zonele care nu pot fi aplicate la întreprindere.
La implementarea standardului la o întreprindere pentru certificare ulterioară, merită să ne amintim că nu sunt permise excepții de la cerințele stabilite în secțiunile 4 - 10. Aceste secțiuni vor fi discutate în continuare.
Să începem cu Secțiunea 4 - Contextul organizațional
Contextul organizației
În această secțiune, Standardul cere unei organizații să identifice problemele externe și interne care sunt relevante pentru obiectivele sale și care afectează capacitatea ISMS de a obține rezultatele așteptate. Acest lucru ar trebui să ia în considerare cerințele legale și de reglementare și obligațiile contractuale privind securitatea informațiilor. De asemenea, organizația ar trebui să definească și să documenteze domeniul de aplicare și aplicabilitatea ISMS pentru a stabili domeniul de aplicare al acestuia.
Conducere
Conducerea de vârf ar trebui să demonstreze leadership și angajament față de sistemul de management al securității informațiilor, de exemplu, asigurându-se că politica de securitate a informațiilor și obiectivele de securitate a informațiilor sunt stabilite și în concordanță cu strategia organizației. De asemenea, conducerea de vârf trebuie să se asigure că toate resursele necesare pentru SMIB. Cu alte cuvinte, ar trebui să fie evident pentru angajați că managementul este implicat în problemele de securitate a informațiilor.
Politica de securitate a informațiilor trebuie să fie documentată și comunicată angajaților. Acest document seamănă cu politica de calitate ISO 9001. De asemenea, ar trebui să fie în concordanță cu scopul organizației și să includă obiective de securitate a informațiilor. Ei bine, dacă acestea sunt obiective reale, cum ar fi menținerea confidențialității și integrității informațiilor.
De asemenea, se așteaptă ca managementul să distribuie funcțiile și responsabilitățile legate de securitatea informațiilor între angajați.
Planificare
În această secțiune, ajungem la prima etapă principiul managementului PDCA (Plan - Do - Check - Act) - planifică, execută, verifică, acționează.
La planificarea sistemului de management al securității informațiilor, organizația trebuie să țină cont de aspectele menționate în Clauza 4 și să identifice riscurile și oportunitățile care trebuie luate în considerare pentru a se asigura că ISMS poate obține rezultatele așteptate, poate preveni efectele nedorite și poate obține o îmbunătățire continuă. .
Atunci când planifică cum să-și atingă obiectivele de securitate a informațiilor, o organizație ar trebui să determine:
- ce se va face;
- ce resurse vor fi necesare;
- cine va fi responsabil;
- când vor fi atinse obiectivele;
- cum vor fi evaluate rezultatele.
În plus, organizația ar trebui să rețină datele privind obiectivele de securitate a informațiilor ca informații documentate.
Securitate
Organizația trebuie să determine și să furnizeze resursele necesare pentru a dezvolta, implementa, menține și îmbunătăți continuu ISMS, aceasta include atât personalul, cât și documentația. În ceea ce privește personalul, se așteaptă ca organizația să recruteze personal calificat și competent pentru securitatea informațiilor. Calificările angajaților trebuie confirmate prin certificate, diplome etc. Este posibil să atrageți specialiști terți în cadrul contractului sau să vă instruiți proprii angajați. În ceea ce privește documentația, aceasta ar trebui să includă:
- informații documentate cerute de standard;
- informații documentate determinate de organizație ca fiind necesare pentru eficacitatea sistemului de management al securității informațiilor.
Informațiile documentate cerute de ISMS și standard trebuie controlate pentru a se asigura că:
- disponibil și utilizabil unde și când este necesar și
- protejate în mod corespunzător (de exemplu, împotriva pierderii confidențialității, a utilizării abuzive sau a pierderii integrității).
Functionare
Această secțiune vorbește despre al doilea pas al principiului de guvernare PDCA - necesitatea unei organizații de a gestiona procesele pentru a asigura conformitatea și de a desfășura activitățile identificate în secțiunea Planificare. De asemenea, prevede că o organizație ar trebui să efectueze o evaluare a riscului de securitate a informațiilor la intervale programate sau atunci când sunt propuse sau apar modificări semnificative. Organizația trebuie să rețină rezultatele evaluării riscului de securitate a informațiilor ca informații documentate.
Evaluarea performanței
A treia etapă este verificarea. Organizația trebuie să evalueze funcționarea și eficacitatea ISMS. De exemplu, ar trebui să efectueze un audit intern pentru a obține informații despre
- dacă sistemul de management al securității informațiilor este conform
- cerințele proprii ale organizației pentru sistemul său de management al securității informațiilor;
- cerințele Standardului;
- că sistemul de management al securității informațiilor este implementat și operațional eficient.
Desigur, volumul și calendarul auditurilor ar trebui planificate în avans. Toate rezultatele trebuie să fie documentate și păstrate.
Îmbunătăţire
Scopul acestei secțiuni este de a defini cursul acțiunii atunci când este identificată o neconformitate. Organizația trebuie să corecteze discrepanța, consecințele și să efectueze o analiză a situației, astfel încât acest lucru să nu se întâmple în viitor. Toate neconformitățile și acțiunile corective vor fi documentate.
Aceasta încheie principalele secțiuni ale standardului. Anexa A oferă cerințe mai specifice pe care trebuie să le îndeplinească o organizație. De exemplu, în ceea ce privește controlul accesului, utilizarea dispozitive mobileși purtători de informații.
Beneficiile implementării și certificării ISO 27001
- ridicarea statutului organizației și, în consecință, a încrederii partenerilor;
- creșterea stabilității funcționării organizației;
- creșterea nivelului de protecție împotriva amenințărilor la securitatea informațiilor;
- asigurarea nivelului necesar de confidențialitate a informațiilor părților interesate;
- extinderea oportunităților organizației de a participa la contracte majore.
Beneficiile economice sunt:
- confirmarea independentă de către organismul de certificare a prezenței în organizație nivel inalt securitatea informatiilor controlata de personal competent;
- dovada conformității cu legile și reglementările aplicabile (respectarea sistemului de cerințe obligatorii);
- demonstrarea unui anumit nivel înalt de sisteme de management pentru a asigura un nivel adecvat de servicii clienților și partenerilor organizației;
- Demonstrarea efectuării de audituri regulate ale sistemelor de management, evaluarea performanței și îmbunătățirea continuă.
Certificare
O organizație poate fi certificată de agenții acreditate în conformitate cu acest standard. Procesul de certificare constă din trei etape:
- Etapa 1 - studierea de către auditor a documentelor cheie ISMS pentru conformitatea cu cerințele Standardului - poate fi efectuată atât pe teritoriul organizației, cât și prin transferarea acestor documente către un auditor extern;
- Etapa 2 - audit detaliat, inclusiv testarea măsurilor implementate și evaluarea eficacității acestora. Include un studiu complet al documentelor cerute de standard;
- Etapa 3 - efectuarea unui audit de supraveghere pentru a confirma că organizația certificată îndeplinește cerințele stabilite. Efectuat periodic.
Rezultat
După cum puteți vedea, utilizarea acestui standard într-o întreprindere va permite o creștere calitativă a nivelului de securitate a informațiilor, care în condiții realități moderne valoreaza mult. Standardul conține o mulțime de cerințe, dar cea mai importantă cerință este să faci ceea ce este scris! Fără aplicație reală cerințele standardului, se transformă într-un set gol de bucăți de hârtie.
Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos
Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.
postat pe http://www.allbest.ru/
„Sistemul de management al securității informațiilor”
standard internațional de management
ÎNdirijarea
Un sistem de management al securității informațiilor este un set de procese care funcționează în cadrul unei companii pentru a asigura confidențialitatea, integritatea și disponibilitatea activelor informaționale. În prima parte a rezumatului este luat în considerare procesul de implementare a unui sistem de management într-o organizație, precum și principalele aspecte ale beneficiilor implementării unui sistem de management al securității informațiilor.
Fig.1. Ciclu de control
Lista de procese și recomandări cum să cel mai bun mod organizarea funcționării acestora sunt date în standardul internațional ISO 27001:2005, care se bazează pe ciclul de management Plan-Do-Check-Act. În conformitate cu acesta, ciclul de viață ISMS constă din patru tipuri de activități: Creare - Implementare și exploatare - Monitorizare și analiză - Întreținere și îmbunătățire (Fig. 1). Acest standard va fi discutat mai detaliat în a doua parte.
CUsistemmanagementinformativSecuritate
Un sistem de management al securității informațiilor (ISMS) este acea parte a sistemului de management general care se bazează pe o abordare a riscului de afaceri în crearea, implementarea, operarea, monitorizarea, analizarea, menținerea și îmbunătățirea securității informațiilor. Procesele ISMS sunt proiectate în conformitate cu cerințele standardului ISO/IEC 27001:2005, care se bazează pe ciclu
Funcționarea sistemului se bazează pe abordări teoria modernă managementul riscurilor, care asigură integrarea acestuia în sistemul general de management al riscului al organizației.
Implementarea unui sistem de management al securității informațiilor presupune dezvoltarea și implementarea unei proceduri care vizează identificarea, analizarea și atenuarea sistematică a riscurilor de securitate a informațiilor, adică riscurile care au ca rezultat pierderea confidențialității activelor informaționale (informații sub orice formă și orice natură). , integritate și disponibilitate.
Pentru a se asigura că riscurile de securitate a informațiilor sunt atenuate sistematic, pe baza rezultatelor evaluării riscurilor, organizația implementează următoarele procese:
· Managementul organizației interne de securitate a informațiilor.
· Asigurarea securității informațiilor atunci când interacționați cu terți.
· Gestionarea registrului bunurilor informaţionale şi regulile de clasificare a acestora.
· Managementul siguranței echipamentelor.
· Asigurarea securității fizice.
· Asigurarea securității informaționale a personalului.
· Planificarea si adoptarea sistemelor informatice.
· Backup.
· Asigurarea securității rețelei.
Procesele sistemului de management al securității informațiilor afectează toate aspectele gestionării infrastructurii IT a unei organizații, deoarece securitatea informației este rezultatul funcționării stabile a proceselor asociate cu tehnologia informației.
Atunci când construiesc un ISMS în companii, specialiștii efectuează următoarele lucrări:
Organizați managementul proiectelor echipă de proiect din partea clientului și a antreprenorului;
determinați aria de activitate (OD) a ISMS;
Examinați organizația în OD ISMS:
o în ceea ce privește procesele de afaceri ale organizației, inclusiv analiza consecințe negative incidente de securitate a informațiilor;
o în ceea ce privește procesele de management ale organizației, inclusiv procesele existente de management al calității și management al securității informațiilor;
o din punct de vedere al infrastructurii IT;
o în ceea ce privește securitatea informațională a infrastructurii.
să elaboreze și să convină asupra unui raport analitic care să conțină o listă a principalelor procese de afaceri și o evaluare a consecințelor implementării amenințărilor IS în legătură cu acestea, o listă a proceselor de management, sisteme IT, subsisteme de securitate a informațiilor (ISS), o evaluare a gradului în care organizația respectă toate cerințele ISO 27001 și o evaluare a maturității proceselor organizațiilor;
· selectați nivelurile de maturitate inițiale și țintă ISMS, dezvoltați și aprobați Programul de îmbunătățire a maturității ISMS; elaborarea documentației la nivel înalt în domeniul securității informațiilor:
o Conceptul de furnizare IS,
o Politici IS și ISMS;
selectează și adaptează metodologia de evaluare a riscurilor aplicabilă în organizație;
· selectarea, furnizarea și implementarea software-ului utilizat pentru automatizarea proceselor ISMS, organizarea de instruire pentru specialiștii companiei;
efectuează o evaluare și tratare a riscurilor, în cadrul căreia se selectează măsurile din Anexa „A” la standardul 27001 pentru reducerea acestora și se formulează cerințele pentru implementarea lor în organizație, se selectează în prealabil mijloacele tehnice de asigurare a securității informațiilor;
· elaborarea proiectelor de proiecte de PIB, estimarea costului tratamentului riscului;
· organizează aprobarea evaluării riscurilor de către conducerea de vârf a organizației și elaborează Regulamente de aplicabilitate; dezvoltarea măsurilor organizatorice pentru asigurarea securității informațiilor;
· elaborarea și implementarea proiectelor tehnice pentru implementarea subsistemelor tehnice de securitate a informațiilor care sprijină implementarea măsurilor selectate, inclusiv furnizarea de echipamente, punerea în funcțiune, elaborarea documentației operaționale și instruirea utilizatorilor;
să ofere consiliere în timpul funcționării ISMS construit;
· organizează instruirea auditorilor interni și efectuează audituri interne ISMS.
Rezultatul acestor lucrări este un ISMS funcțional. Beneficiile implementării ISMS în companie sunt obținute prin:
· management eficient respectarea cerințelor legale și a cerințelor de afaceri în domeniul securității informațiilor;
prevenirea apariției incidentelor de securitate a informațiilor și reducerea daunelor în cazul apariției acestora;
Îmbunătățirea culturii securității informațiilor în organizație;
· creșterea maturității în domeniul managementului securității informațiilor;
Optimizarea cheltuielilor pentru securitatea informațiilor.
ISO/IEC27001-- internaţionalstandardDeinformativSecuritate
Acest standard a fost dezvoltat în comun de către Organizația Internațională de Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC). Standardul conține cerințe în domeniul securității informațiilor pentru crearea, dezvoltarea și întreținerea ISMS. ISO 27001 specifică cerințele pentru un ISMS pentru a demonstra capacitatea unei organizații de a-și proteja activele informaționale. Standardul internațional folosește conceptul de „securitate a informațiilor” și este interpretat ca asigurând confidențialitatea, integritatea și disponibilitatea informațiilor. Baza standardului este sistemul de management al riscului informațional. Acest standard poate fi folosit și pentru a evalua conformitatea de către părțile interne și externe interesate.
Pentru stabilirea, implementarea, operarea, monitorizarea continuă, analiza, întreținerea și îmbunătățirea unui sistem de management al securității informațiilor (ISMS), standardul adoptă o abordare de proces. Constă în aplicarea unui sistem de procese în cadrul unei organizații, împreună cu identificarea și interacțiunea acestor procese, precum și controlul acestora.
Standardul internațional adoptă modelul Plan-Do-Check-Act (PDCA), care este numit și ciclul Shewhart-Deming. Acest ciclu este folosit pentru a structura toate procesele ISMS. Figura 2 arată cum ISMS ia ca intrare cerințele de securitate a informațiilor și așteptările părților interesate și, prin activitățile și procesele necesare, produce rezultate de securitate a informațiilor care îndeplinesc acele cerințe și așteptări.
Planificarea este faza de creare a unui ISMS, crearea unei liste de active, evaluarea riscurilor și alegerea măsurilor.
Figura 2. Modelul PDCA aplicat proceselor ISMS
Implementarea este etapa de implementare și implementare a măsurilor relevante.
Verificarea este faza de evaluare a eficacității și performanței ISMS. Efectuat de obicei de auditori interni.
Acțiune - luarea de acțiuni preventive și corective.
ÎNconcluzii
ISO 27001 descrie model general implementarea și funcționarea ISMS, precum și acțiuni de monitorizare și îmbunătățire a ISMS. ISO intentioneaza sa armonizeze diverse standarde ale sistemelor de management, precum ISO/IEC 9001:2000, care se ocupa de managementul calitatii, si ISO/IEC 14001:2004, care se ocupa de sistemele de management de mediu. Scopul ISO este de a se asigura că ISMS este consecvent și integrat cu alte sisteme de management din companie. Similitudinea standardelor permite utilizarea unor instrumente și funcționalități similare pentru implementare, management, revizuire, verificare și certificare. Se înțelege că, dacă o companie a implementat alte standarde de management, poate folosi sistem unic audit și management, care este aplicabil managementului calității, managementului de mediu, managementului siguranței etc. Prin implementarea unui ISMS, managementul superior câștigă mijloacele de a monitoriza și gestiona securitatea, ceea ce reduce riscurile reziduale de afaceri. După implementarea ISMS, compania poate asigura în mod oficial securitatea informațiilor și poate continua să respecte cerințele clienților, legislației, autorităților de reglementare și acționarilor.
Trebuie remarcat faptul că în legislația Federației Ruse există un document GOST R ISO / IEC 27001-2006, care este o versiune tradusă a standardului internațional ISO27001.
CUchiţăitliteratură
1. Korneev I.R., Belyaev A.V. Securitatea informațiilor întreprinderii. - Sankt Petersburg: BHV-Petersburg, 2003. - 752 p.: ill.
2. Standard internațional ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (data accesării: 23.05.12)
3.Standard național Federația Rusă GOST R ISO / IEC 27003 - "Tehnologia informației. Metode de securitate. Linii directoare pentru implementarea unui Sistem de Management al Securității Informației" pdf) (data accesului: 23.05.12)
4. Skiba V.Yu., Kurbatov V.A. Îndrumări privind protecția împotriva amenințărilor interne la adresa securității informațiilor. Sankt Petersburg: Peter, 2008. - 320 p.: ill.
5. Articol al enciclopediei libere „Wikipedia”, „Sistem de management
securitatea informațiilor” (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (data accesului: 23.05.12)
6. Sigurjon Thor Arnason și Keith D. Willett „Cum să obțineți certificarea 27001”
Găzduit pe Allbest.ru
Documente similare
Amenințări la adresa securității informațiilor în întreprindere. Identificarea deficiențelor în sistemul de securitate a informațiilor. Scopurile și obiectivele formării unui sistem de securitate a informațiilor. Măsuri propuse pentru îmbunătățirea sistemului de securitate a informațiilor al organizației.
lucrare de termen, adăugată 02/03/2011
Analiza sistemului de securitate a informatiilor la intreprindere. Serviciul de securitate a informațiilor. Amenințări la securitatea informațiilor specifice întreprinderii. Metode și mijloace de protecție a informațiilor. Model de sistem informatic dintr-o pozitie de securitate.
lucrare de termen, adăugată 02/03/2011
Principalele etape ale creării unui sistem de management la întreprindere Industria alimentară. HACCP este baza oricărui sistem de management al siguranței alimentelor. Sistem de management al securității Produse alimentare. Pericole și acțiuni preventive.
rezumat, adăugat 14.10.2014
Sisteme moderne de management și integrarea acestora. Sisteme integrate de management al calității. Descrierea SA „275 ARZ” și a sistemului său de management. Dezvoltarea unui sistem de management al protecției muncii. Metode de evaluare a sistemului integrat de securitate.
teză, adăugată 31.07.2011
Implementarea unui sistem de management al calitatii. Certificarea sistemelor de management al calității (ISO 9000), sistemelor de management de mediu (ISO 14 000), sistemelor de management al sănătății și securității în muncă ale organizațiilor (OHSAS 18 001:2007) pe exemplul OJSC Lenta.
rezumat, adăugat 06.10.2008
Elaborarea unui standard de organizare a unui sistem de management integrat care stabilește o procedură unificată de implementare a procesului de management al documentației. Etapele creării sistemului de management al calității al OAO „ZSMK”. Plasarea versiunilor electronice ale documentelor.
teză, adăugată 06.01.2014
Schema ierarhică a salariaților. Mijloace de protecție a informațiilor. Întrebări despre starea securității. Sistem fluxurile de informațiiîntreprinderilor. Modalități de control al integrității sistemului informațional. Modelarea controlului accesului la informațiile de service.
lucrare de termen, adăugată 30.12.2011
Conceptul de sistem informațional de management și locul acestuia în sistem comun management. Tipuri de sisteme informatice si continutul acestora. Conceptul de management ca sistem informatic. Funcțiile sistemului de management financiar. Sisteme de efectuare a tranzacțiilor și operațiunilor.
rezumat, adăugat la 01.06.2015
Concepte în domeniul sănătății și securității. Standarde internaționale ISO privind sistemele de management al calității, sistemele de management de mediu, sistemele de management al securității și sănătății în muncă. Adaptarea standardului OHSAS 18001-2007.
lucrare de termen, adăugată 21.12.2014
Caracteristică administrarea informației; subiecte de informare și raporturi juridice; regimul juridic de primire, transfer, stocare și utilizare a informațiilor. Caracteristici și aspecte legale schimbul de informații și securitatea informațiilor.
12 septembrie 2011
Managementul securității informațiilor conform standardului ISO 27001. Cerințe de documentare
Fericirea există. Managementul securității informațiilor poate fi construit pe baza standardului ISO 27001. Mihail Vinnikov, șef adjunct pentru lucrări metodologice al Departamentului de audit și servicii de consiliere pentru instituțiile financiare al FBK „Audit sistemelor informaționale”, spune cum să faceți acest lucru:
Astăzi voi vorbi despre un proces care nu pare a fi legat de securitatea informației, mai degrabă de managementul documentelor, ci de fapt - un proces important care economisește operatorului mult timp și nervi - despre ce cerințe sunt impuse documentării informațiilor. procesele de securitate, sau - cum să descrieți corect și cu ISMS cu efort minim și să păstrați aceste descrieri la zi. Desigur, concentrându-ne pe ISO 27001.
Nivelul de securitate a informațiilor (denumit în continuare IS), adecvat nevoilor organizației, necesită o declarație clară a regulilor, principiilor și sarcinilor de bază, implementarea lor adecvată în măsuri de protecție repetabile și controlate, implementarea măsurilor în practică. de către angajații organizației, asigurând în același timp o reflectare promptă a situației actuale pentru adoptarea acțiunilor adecvate ale managerilor.
Cel mai bun mod implementarea acestuia - să îmbrace ideile, gândurile practice și rezultatele activităților pentru a asigura securitatea informațiilor într-o formă documentară, ceea ce va permite, în primul rând, să se determine structura interacțiunii regulilor și acțiunile practice care le implementează și, în al doilea rând, să aducă regulile fiecărui angajat la nivelul corespunzător al procesului de afaceri și cerințele pentru asigurarea securității informațiilor, după care trebuie să se ghideze în îndeplinirea activității sale; atributii oficialeși determină procedura de monitorizare a conformității acestora.
Pe baza celor de mai sus, obținem o nouă „ramură” în schema sistemului de management IS (ISMS) conform standardului ISO 27001 (denumit în continuare Standard):
„ISMS” - „dezvoltă” - „cerințe de documentare”.
Codurile din titlurile sarcinilor, așa cum sa menționat deja la începutul publicațiilor noastre, indică numărul de secțiune al standardului ISO 27001.
Cum se organizează un sistem de suport documentar ISMS?
Fiecare tip de document poate fi caracterizat în continuare prin următoarele întrebări cu atribute care îi afectează ciclul de viață:
- cui este destinat (cine o va citi);
- cine îl coordonează și îl aprobă;
Cât de des se schimbă.
Pe de altă parte, formal documentele pot fi împărțite în program (de referință) și operaționale (conținând rezultatele activităților). În ceea ce privește Standardul, astfel de documente sunt împărțite în documente și, respectiv, înregistrări.
Conform Standardului, documentația ISMS ar trebui să includă informații despre:
- prevederi documentate ale politicii ISMS, obiectivele și domeniul de operare ale acesteia, politica IS;
— procedurile și controalele utilizate de ISMS;
- Metodologia de evaluare a riscului IS;
— rezultatele evaluării riscurilor și ale planurilor de tratament;
- proceduri de evaluare a rezultatelor funcţionării ISMS;
- dovezi ale funcționării ISMS.
În ce format ar trebui să fie prezentate aceste informații?
La dezvoltarea unui sistem de documente care oferă ISMS, există un conflict între complexitatea (cerința de resurse) creării inițiale a documentelor și menținerea lor ulterioară într-o stare actualizată. Pe de o parte, există dorința ca numărul de tipuri (nomenclatură) și numărul de documente în sine să fie cât mai mic posibil (este mai ușor să gestionați o cantitate mică, puteți termina mai repede pregătirea întregului pachet etc.) . Pe de altă parte, dacă ISMS „trăiește” și se dezvoltă tot timpul, documentele periodic și în unele perioade de dezvoltare - destul de des, trebuie corectate și finalizate. Dacă documentele IS sunt incluse în ciclul general „birocratic” al organizației: „dezvoltare-coordonare-aprobare”, atunci cu cât nivelul de aprobare și aprobare a documentelor este mai mare, cu atât ciclul de punere în aplicare a noilor versiuni de documente va fi mai lung. , cu atât este mai dificil să le ținem la zi.
Să presupunem că o organizație a elaborat o Politică de securitate a informațiilor, incluzând în ea prevederi privind regulile de acțiune în anumite domenii ale securității informațiilor (numite politici de securitate a informațiilor private). Având în vedere faptul că toți angajații organizației ar trebui să fie familiarizați cu Politica de securitate a informațiilor, aceștia au încercat să facă documentul puțin voluminos și detaliat, iar prevederile politicilor private au fost descrise pe scurt, sub formă de rezumate.
Ce s-a întâmplat ca urmare?
Documentul s-a dovedit încă greu - mai mult de o duzină de pagini, ceea ce este mult. Politicile private rezultate, din cauza vagului, nu explică practic nimic, deci este imposibil să le aplici. Documentul este dificil de întreținut - pentru a face și a aproba o ajustare la, de exemplu, utilizarea în siguranță a Internetului atunci când decideți să utilizați, de exemplu, un sistem de detectare a intruziunilor (IDS), trebuie să așteptați următoarea întâlnire a directori etc. Acestea. documentul nu funcționează.
Politica de securitate a informațiilor ar trebui să fie ușor de înțeles și să se potrivească, în mod ideal, pe una sau două pagini, deoarece ca document strategic este aprobat la cel mai înalt nivel al ierarhiei de management, iar toți angajații organizației ar trebui să se familiarizeze cu ea. Împărțirea politicilor generale și private în documente separate vă permite să rafinați, să extindeți și să ajustați politicile private mai eficient, aprobarea documentului corespunzător va fi mult mai rapidă, în timp ce FĂRĂ A SCHIMBA politica generală de securitate a informațiilor.
În mod similar, se dovedește dacă politica privată reflectă utilizarea unei anumite tehnologii sau sistem, configurația acestuia. Schimbarea sistemului sau reconfigurarea acestuia presupune modificarea documentului semnat la nivel de director. Gresit! Este mai ușor să punctăm documente subordonate (de nivelul al treilea și al patrulea) într-o poliță privată, dând în anexa la politica privată formatul și lista informațiilor necesare pentru asigurarea controlului.
Sper că v-am convins de ideea că sistemul de documente de securitate a informațiilor ar trebui să fie construit după o schemă ierarhică cu documentele cele mai generale și abstracte la cel mai înalt nivel al ierarhiei, iar „concretitatea” crescând pe măsură ce vă apropiați de partea practică.
Ce ne recomandă standardele?
Standardul ISO 13335-1 oferă 4 niveluri de politici de securitate a informațiilor (reguli):
- politica de securitate corporativa;
- politica de securitate a informatiilor;
- politica corporativă de securitate a tehnologiilor informaţiei şi comunicaţiilor;
- politica de securitate a sistemelor de tehnologie a informației și comunicațiilor [individuale].
Recomandările în domeniul standardizării Băncii Rusiei RS BR IBBS 2.0-2007 oferă următoarea interpretare a prevederilor standardului de mai sus:
Ce documente pot fi atribuite fiecărui nivel?
Nivelurile documentelor | Tipuri de documente |
Primul nivel | Politica ISMS, Politica de securitate a informațiilor, Conceptul de securitate a informațiilor |
Al doilea nivel | Politicile de securitate a informațiilor private (securitate fizică, asigurarea accesului, utilizarea Internetului și E-mail, securitatea informațiilor în procesele tehnologice etc.) |
Al treilea nivel | Instrucțiuni, regulamente, proceduri, linii directoare, mijloace didacticeși programe de formare, cerințe de configurare etc. |
Al patrulea nivel | Intrări în jurnalele de sistem ale OS, DBMS și IS; registre ale bunurilor informaționale; cereri și ordine executate pentru acordarea accesului; intrări în jurnalele de instruire și briefing IS, rapoarte de testare, acte, obligații de nedezvăluire etc. |
Documentele alocate la diferite niveluri ale ierarhiei au cicluri de viață diferite.
Nivelurile documentelor | Cât de des se schimbă? |
Primul nivel | rare (modificări nivel strategic) |
Al doilea nivel | nu des (cu schimbări la nivel de decizii tactice) |
Al treilea nivel | relativ des |
Al patrulea nivel | continuu |
Documentele la nivel înalt trebuie să fie cât mai generale și abstracte posibil și să se modifice odată cu schimbările la nivel strategic - o schimbare a strategiei de afaceri, adoptarea de noi standarde, o schimbare radicală a sistemului informațional etc. Documentele subordonate ierarhic (al treilea nivel) se pot schimba mult mai des - atunci când sunt introduse noi produse, tehnologii de securitate a informațiilor, se formează cursuri de formare suplimentare sau se dezvoltă proceduri de backup a informațiilor. La al patrulea nivel, înregistrările se formează continuu și în timp, cel mai probabil, formatul acestora se va rafina.
Documentele situate la diferite niveluri ale ierarhiei necesită aprobare la diferite niveluri de management.
Documente la nivel înalt - politicile ISMS și IS care definesc abordări strategice pentru asigurarea că IS sunt aprobate la nivelul proprietarilor sau al consiliului de administrație.
Politicile private care definesc regulile de securitate a informațiilor în anumite domenii pot fi aprobate la nivelul directorului executiv sau al șefului supraveghetor, dar în același timp trebuie să aibă o gamă largă de coordonare în unitățile pe care le afectează aceste domenii de activitate.
Reglementările, instrucțiunile și alte documente practice sunt documentele de lucru ale departamentelor care operează infrastructura de securitate a informațiilor, acestea le creează, le corectează și le modifică. ÎN cazuri individuale, unele documente ale celui de-al treilea pot necesita aprobare la nivelul conducerii organizației (de exemplu, reglementări privind diviziile etc.).
Dovada funcționării SI, dacă este necesar, se autentifică prin semnătura executorului.
Pentru a nu se încurca în versiunile de documente, pentru a distribui corect documentele între angajații cărora le sunt destinate, toată această grămadă de documente trebuie GESTIONATĂ.
Procedura de gestionare a documentelor trebuie să asigure:
- aprobarea documentelor la nivelul corespunzator al structurii de conducere a organizatiei;
- revizuirea si modernizarea, daca este cazul, a documentelor;
- asigurarea identificării modificărilor efectuate și a stării actuale a versiunilor documentelor;
- acces la versiunile de lucru ale documentelor în locurile de utilizare ale acestora;
- existența unei proceduri de identificare a documentelor și de asigurare a accesului la acestea;
- accesul la documentele persoanelor autorizate, precum și faptul că ciclul de viață al acestora (transfer, depozitare și distrugere) se realizează în conformitate cu nivelul de clasificare a confidențialității acestora;
- identificarea documentelor create in afara organizatiei;
- control asupra distribuirii documentelor;
- prevenirea folosirii documentelor învechite;
— identificarea adecvată a documentelor învechite în cazul în care acestea sunt păstrate în orice scop.
Este de dorit să se descrie procedura de gestionare a documentelor IS sub forma unui document separat care conține, printre altele, o listă și scopul tuturor documentelor, perioada și/sau condițiile de revizuire, cine deține fiecare dintre documente, cine aprobă și aprobă ce document, cui este destinat fiecare tip de document și așa mai departe.
Toate regulile pentru crearea, modificarea, aprobarea și aprobarea documentelor trebuie să respecte regulile de flux de documente adoptate în organizație.
Trebuie menționat că procedura de revizuire a documentelor nu implică neapărat modificări ale documentelor. Este util să se prevadă pentru anumite tipuri de documente o procedură de confirmare a relevanței acestora, efectuată la intervale mari, dar regulate. Din recomandările Băncii Rusiei privind o perioadă de trei ani pentru efectuarea unei autoevaluări sau audit a conformității cu cerințele standardului STO BR IBBS-1.0, se poate presupune că aceeași perioadă pentru revizuirea/confirmarea informațiilor politica de securitate poate fi considerată rezonabilă (în sensul, NU MAI MAI!). Pentru alte documente, este posibil ca procedura de revizuire să fie efectuată mai frecvent.
Dovada funcționării ISMS ar trebui, de asemenea, formată sub forma unor documente care există în forma obișnuită de hârtie sau electronică. Dovezile funcționării ISMS pot include diverse aplicații și comenzi pentru furnizarea de acces, intrări de jurnal sisteme de operare, SGBD și programe de aplicație, rezultate de funcționare a sistemelor de prevenire a intruziunilor și rapoarte privind rezultatele unui test de penetrare, acte de verificare a configurației stațiilor de lucru și serverelor etc. Această clasă de documente este denumită în standard „înregistrări”. Procedura de gestionare a înregistrărilor ar trebui să asigure controlul acestora și protecția împotriva modificării, deoarece în anumite condiții, ele pot fi materiale pentru investigarea incidentelor de securitate a informațiilor, iar calitatea stocării acestor materiale determină dacă aceste materiale vor fi recunoscute ca legitime sau, dimpotrivă, necredibile. Înregistrările pot include și rezultatele monitorizării ISMS, investigațiile incidentelor IS, rapoarte privind rezultatele funcționării ISMS etc.
Procedurile de gestionare a înregistrărilor ar trebui:
— se asigură că dovezile documentare sunt clare, simple, identificabile și recuperabile;
- utilizați controale care asigură identificarea, stocarea, confidențialitatea și protecția integrității, căutarea, determinarea perioadelor de păstrare și a procedurilor de distrugere.
De exemplu, iată un mic fragment „vertical” al listei de tipuri de documente care alcătuiesc sistemul de documentare ISMS, de exemplu, oferind securitatea informațiilor la accesarea internetului:
Nivel | Documentație |
Primul nivel | > Politica de securitate a informațiilor organizației > Conceptul de securitate a informațiilor |
Al doilea nivel | > Politica de securitate a informațiilor private a organizației atunci când lucrează cu resurse de Internet > Termeni folosiți în documentele de securitate a informațiilor (glosar) |
Al treilea nivel | > Procedura de acordare a accesului utilizatorului la resursele Internet > Descrierea profilurilor de acces (un set de permisiuni și interdicții) la resursele de internet > Schema unei rețele de calculatoare conectate la Internet > Card de setări proxy > Card de configurare firewall între segmentele rețelei interne și DMZ ( DMZ) > Card de configurare a stației de lucru [pentru acces la Internet] > Notă utilizator privind procedura de utilizare a resurselor de pe Internet > Descrierea și cerințele de calificare ale rolului funcțional „administrator sisteme de acces la Internet” > Descrierea postului unui angajat care îndeplinește rolul funcțional „administrator sisteme de acces la internet” |
Al patrulea nivel | > Ordinea aplicației pentru conectarea utilizatorului la utilizarea resurselor Internet > Lista utilizatorilor conectați la Internet cu un profil de acces > Jurnalul serverului proxy despre accesul utilizatorului la resursele de Internet > Jurnalul sistemului de detectare a intruziunilor ( IDS ) în segmentul de rețea situat în DMZ > Raport de intruziune DMZ detectat de IDS > Acțiunea de a verifica configurația firewall-ului |
Lista de mai sus este departe de a fi exhaustivă chiar și pentru direcția aleasă și depinde de tehnologiile și serviciile specifice primite sau furnizate de organizația care utilizează Internetul, precum și de abordările de asigurare a securității informațiilor.
Iată câteva recomandari generale pentru crearea documentelor ISMS.
> Sub forma unui document separat, ar trebui elaborat un document numit „Glosar”, comun cel puțin pentru documentele din primele două niveluri, utilizat în elaborarea documentelor și indicat în documente ca link.
> Pentru realizarea standardizării formularelor de documente este posibil să se indice în anexele la documentele de nivel înalt formularele documentelor subordonate, în special cele care constituie dovezi de completare (rapoarte, formulare de cerere etc.). Pe de o parte, acest lucru complică oarecum procedura de dezvoltare inițială a documentului. Pe de altă parte, dacă toate documentele aferente sunt dezvoltate ca elemente ale unei proceduri, obțineți imediat o tehnologie gata de utilizare.
> Greseala comuna la pregătirea documentelor de nivel înalt (politici și politici private, reglementări etc.) este introducerea directă în textul documentelor de nume specifice, denumiri de sisteme etc. În consecință, schimbarea contractantului duce și la lansarea unui ciclu lung de aprobare a versiunii „noii” a documentului. Astfel de valori „variabile” sunt cel mai bine transferate inițial către aplicații, documente subordonate sau înregistrări (documente de al patrulea nivel).
> Când se creează documente „practice”, când se descrie performanța unei anumite funcții, este recomandabil să se indice nu o poziție, ci un rol funcțional, de exemplu, „administrator de sistem antivirus” sau „operator de sistem de rezervă”, iar în un document separat, ține un registru al angajaților care îndeplinesc un anumit rol. Acest lucru va prelungi ciclul de viață al documentului, fără a fi necesară corectarea acestuia, și va oferi flexibilitate în aplicarea acestuia, deoarece este posibilă menținerea unui registru separat de „competențe” și înlocuirea rapidă a interpreților dacă apare o astfel de nevoie.
> Fiecare document trebuie să conțină semnul proprietarului său (angajat responsabil), domeniul de aplicare și condițiile de revizuire.
> Documentele și înregistrările ISMS pot exista atât în format „hard” (hârtie) cât și formular electronic. Pentru a furniza auditorilor sau verificatorilor copii ale copiilor documentelor în formă electronică, trebuie să existe proceduri adecvate și trebuie identificați executorii lor responsabili.
Se mai poate adăuga la cele de mai sus că, dacă elaborarea documentelor de nivel înalt (politici, reglementări etc.) poate fi încredințată consultanților externi, atunci documentele și evidențele de la nivelurile inferioare ar trebui formate și ținute la zi de către angajații din organizația care este cel mai implicată în procesul de funcționare a ISMS și procedurile sale constitutive.
În următoarea publicație, vom discuta despre participarea conducerii organizației la sistemul de management al securității informațiilor.
