Dezvoltatorii standardului notează că acesta a fost pregătit ca model pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, suportul și îmbunătățirea unui sistem de management al securității informațiilor (ISMS). ISMS (în engleză: sistem de management al securității informațiilor; ISMS) este definit ca parte a sistemului de management general, bazat pe utilizarea metodelor de evaluare a riscurilor de afaceri pentru dezvoltare, implementare, operare, monitorizare, analiză, sprijin și îmbunătățire. securitatea informatiei. Sistem managementul include structura organizațională, politicile, activitățile de planificare, responsabilitățile, practicile, procedurile, procesele și resursele.

Standardul presupune utilizarea abordarea procesuala pentru dezvoltarea, implementarea, întreținerea, monitorizarea, analiza, sprijinirea și îmbunătățirea ISMS al organizației. Se bazează pe modelul Plan - Do - Check - Act (PDCA), care poate fi aplicat în structurarea tuturor proceselor ISMS. În fig. Figura 2.3 arată cum un ISMS, folosind cerințele de securitate a informațiilor și așteptările părților interesate ca intrare, produce rezultate de securitate a informațiilor care îndeplinesc acele cerințe și rezultate așteptate prin activitățile și procesele necesare.

În etapa de dezvoltare a unui sistem de management al securității informațiilor, organizația trebuie să implementeze următoarele:

• determina domeniul de aplicare și limitele ISMS;
• definiți o politică ISMS bazată pe caracteristicile afacerii, organizației, locației, activelor și tehnologiei;
• determina abordarea evaluării riscurilor în organizație;
• identificarea riscurilor;
• analiza și evaluarea riscurilor;
• să identifice și să evalueze diferite opțiuni de tratament a riscurilor;
• selectarea obiectivelor și controalelor pentru tratarea riscurilor;
• obține aprobarea de la conducerea propusă riscuri reziduale;
• obține permisiunea conducerii pentru implementarea și operarea ISMS;
• pregătiți o declarație de aplicabilitate.

Orez. 2.3.

Etapa „implementarea și funcționarea sistemului de management al securității informațiilor” presupune că organizația trebuie să facă următoarele:

• elaborarea unui plan de tratare a riscurilor care definește acțiunile de management adecvate, resursele, responsabilitățile și prioritățile în legătură cu managementul riscului de securitate a informațiilor;
• implementează un plan de management al riscului pentru a atinge obiectivele de management preconizate, inclusiv problemele de finanțare, precum și repartizarea rolurilor și responsabilităților;
• implementarea măsurilor de management selectate;
• determinarea modului de măsurare a eficacității măsurilor de management selectate;
• implementează programe de formare și dezvoltare profesională pentru angajați;
• gestionează activitatea ISMS;
• gestionarea resurselor ISMS;
• implementează proceduri și alte măsuri de management pentru a asigura detectarea rapidă a evenimentelor de securitate a informațiilor și răspunsul la incidentele de securitate a informațiilor.

A treia etapă „Monitorizarea și analiza sistemului de management al securității informațiilor” necesită:

• efectuează proceduri de monitorizare și analiză;
• efectuează o analiză regulată a eficacității ISMS;
• măsurarea eficacității măsurilor de control pentru verificarea respectării cerințelor de securitate a informațiilor;
• revizuirea evaluărilor riscurilor la perioade specificate, revizuirea riscurilor reziduale și nivelurile de risc acceptabile stabilite, ținând cont de modificări;
• efectuează audituri interne ale ISMS la perioade stabilite;
• Conducerea organizației efectuează în mod regulat o analiză a ISMS pentru a confirma caracterul adecvat al funcționării acestuia și pentru a identifica domeniile de îmbunătățire;
• actualizarea planurilor de securitate a informațiilor ținând cont de rezultatele analizei și monitorizării;
• înregistrați acțiunile și evenimentele care pot afecta eficacitatea sau funcționarea ISMS.

În sfârșit, etapa „Menținerea și îmbunătățirea sistemului de management al securității informațiilor” presupune că organizația trebuie să desfășoare în mod regulat următoarele activități:

• identificarea oportunităților de îmbunătățire a ISMS;
• luați acțiunile corective și preventive necesare, folosiți în practică experiența în securitatea informațiilor acumulată atât în ​​propria organizație, cât și în alte organizații;
• să comunice tuturor părților interesate informații detaliate despre acțiunile de îmbunătățire a ISMS, cu nivelul de detaliu adecvat circumstanțelor și, dacă este necesar, convenirea asupra acțiunilor ulterioare;
• asigura implementarea îmbunătățirilor ISMS pentru a atinge obiectivele planificate.

În plus, standardul prevede cerințe pentru documentație, care, în special, ar trebui să includă prevederile politicii ISMS și o descriere a domeniului de operare, o descriere a metodologiei și un raport de evaluare a riscurilor, un plan de tratare a riscurilor și documentația privind proceduri aferente. Ar trebui definit și procesul de gestionare a documentelor ISMS, inclusiv actualizarea, utilizarea, stocarea și distrugerea.

Pentru a furniza dovezi ale conformității cu cerințele și eficacității ISMS, este necesară menținerea și menținerea înregistrărilor privind execuția proceselor. Exemplele includ jurnalele vizitatorilor, rapoartele de audit etc.

Standardul precizează că conducerea organizației este responsabilă de furnizarea și gestionarea resurselor necesare pentru crearea unui ISMS, precum și de organizarea formării personalului.

După cum sa menționat anterior, organizația trebuie, în conformitate cu programul aprobat, să efectueze audituri interne ISMS pentru a-și evalua funcționalitatea și conformitatea cu standardul. Și conducerea trebuie să efectueze o analiză a sistemului de management al securității informațiilor.

De asemenea, ar trebui să se lucreze pentru a îmbunătăți sistemul de management al securității informațiilor: pentru a crește eficacitatea acestuia și nivelul de conformitate cu starea actuală a sistemului și cerințele pentru acesta.

Standardul BS ISO/IEC 27001:2005 descrie un model de sistem de management al securității informațiilor (ISMS) și oferă un set de cerințe pentru organizarea securității informațiilor într-o întreprindere fără referire la metodele de implementare alese de performanții organizației.

Standardul propune aplicarea modelului PDCA (Plan-Do-Check-Act) la ciclul de viață ISMS, care include dezvoltarea, implementarea, operarea, controlul, analiza, suportul și îmbunătățirea (Figura 1).

Plan - faza de creare a unui ISMS, crearea unei liste de active, evaluarea riscurilor și selectarea măsurilor;

Do (Acțiune) - stadiul implementării și implementării măsurilor adecvate;

Verificare - faza de evaluare a eficacitatii si performantei ISMS. Efectuat de obicei de auditori interni.

Act - Luarea de măsuri preventive și corective.

Decizia de a crea (și ulterior de a certifica) un ISMS este luată de conducerea de vârf a organizației. Acest lucru demonstrează sprijinul managementului și confirmarea valorii ISMS pentru afacere. Conducerea organizației inițiază crearea unui grup de planificare ISMS.

Grupul responsabil pentru planificarea ISMS ar trebui să includă:

· reprezentanți ai conducerii de vârf a organizației;

· reprezentanți ai unităților de afaceri acoperite de ISMS;

· specialiști ai departamentelor de securitate a informațiilor;

· consultanți terți (dacă este necesar).

Comitetul IS oferă sprijin pentru funcționarea ISMS și îmbunătățirea continuă a acestuia.

Grupul de lucru ar trebui să fie ghidat de cadrul normativ și metodologic, atât în ​​ceea ce privește crearea unui ISMS, cât și în domeniul de activitate al organizației, cât și, bineînțeles, sistemul general de legi ale statului.

Cadrul de reglementare pentru crearea unui ISMS:

· ISO/IEC 27000:2009 Vocabular și definiții.

· ISO/IEC 27001:2005 Cerințe generale pentru ISMS.

· ISO/IEC 27002:2005 Ghid practice pentru managementul securității informațiilor.

· ISO/IEC 27003:2010 Ghid practice pentru implementarea unui ISMS.

· ISO/IEC 27004:2009 Metrici (Măsurări) securității informațiilor.

· Ghid ISO/IEC 27005:2011 pentru managementul riscului de securitate a informațiilor.

· Ghidul ISO/IEC 73:2002, Managementul riscurilor - Vocabular - Ghid pentru utilizare în standarde.

· ISO/IEC 13335-1:2004, Tehnologia informației - Tehnici de securitate - Managementul securității tehnologiei informației și comunicațiilor - Partea 1: Concepte și modele pentru managementul securității tehnologiei informației și comunicațiilor.

· ISO/IEC TR 18044 Tehnologia informației - Tehnici de securitate - Managementul incidentelor de securitate a informațiilor.

· ISO/IEC 19011:2002 Ghid pentru auditul sistemelor de management al calității și/sau al mediului.

· Seria de metode British Standards Institute pentru crearea unui ISMS (anterior: documente seria PD 3000).

Procesul de creare a unui ISMS constă din 4 etape:

Etapa 1. planificarea ISMS.

Stabilirea politicilor, obiectivelor, proceselor și procedurilor legate de managementul riscurilor și securitatea informațiilor în conformitate cu politicile și obiectivele generale ale organizației.

a) Definirea domeniului și limitelor ISMS:

· Descrierea tipului de activitate și a obiectivelor de afaceri ale organizației;

· Indicarea limitelor sistemelor acoperite de ISMS;

· Descrierea activelor organizației (tipuri de resurse informaționale, software și hardware, personal și structura organizatorică);

· Descrierea proceselor de afaceri care utilizează informații protejate.

Descrierea limitelor sistemului include:

Descrierea structurii existente a organizației (cu posibile modificări care pot apărea în legătură cu dezvoltarea sistemului informațional).

Resursele sistemului informatic care trebuie protejate (tehnologia informatică, informații, software de sistem și aplicații). Pentru evaluarea acestora trebuie selectat un sistem de criterii și o metodologie de obținere a evaluărilor în funcție de aceste criterii (categorizare).

Tehnologia procesării informației și probleme de rezolvat. Pentru ca sarcinile să fie rezolvate, trebuie construite modele de procesare a informațiilor din punct de vedere al resurselor.

Diagrama sistemului informatic al organizației și a infrastructurii suport.

De regulă, în această etapă, se întocmește un document care fixează limitele sistemului informațional, enumeră resursele informaționale ale companiei care sunt supuse protecției și oferă un sistem de criterii și metode de evaluare a valorii activelor informaționale ale companiei. .

b) Definirea politicii ISMS a organizației (versiunea extinsă a SDS).

· Scopuri, direcții și principii de activitate privind securitatea informațiilor;

· Descrierea strategiei (abordărilor) de management al riscului în organizație, structurarea contramăsurilor de protejare a informațiilor pe tipuri (juridice, organizaționale, hardware și software, inginerie);

· Descrierea criteriilor de semnificație a riscului;

· Poziția conducerii, determinarea frecvenței ședințelor pe teme de securitate a informațiilor la nivel de conducere, inclusiv revizuirea periodică a prevederilor politicii de securitate a informațiilor, precum și procedura de instruire a tuturor categoriilor de utilizatori ai sistemului informațional privind securitatea informațională. probleme.

c) Determinați abordarea evaluării riscurilor în organizație.

Metodologia de evaluare a riscurilor este selectată în funcție de ISMS, cerințele de afaceri stabilite pentru securitatea informațiilor, cerințele legale și de reglementare.

Alegerea metodologiei de evaluare a riscurilor depinde de nivelul cerințelor pentru regimul de securitate a informațiilor din organizație, de natura amenințărilor luate în considerare (spectrul impactului amenințărilor) și de eficacitatea potențialelor contramăsuri de protejare a informațiilor. În special, există cerințe de bază, precum și sporite sau complete pentru regimul de securitate a informațiilor.

Cerințele minime pentru modul de securitate a informațiilor corespund nivelului de bază de securitate a informațiilor. Astfel de cerințe se aplică, de regulă, soluțiilor standard de proiectare. Există o serie de standarde și specificații care iau în considerare un set minim (tipic) de amenințări cele mai probabile, cum ar fi: viruși, defecțiuni hardware, acces neautorizat etc. Pentru a neutraliza aceste amenințări, trebuie luate contramăsuri, indiferent de probabilitatea de apariție. implementarea lor și resursele de vulnerabilitate. Astfel, nu este necesar să se ia în considerare caracteristicile amenințărilor la un nivel de bază. Standardele străine în acest domeniu sunt ISO 27002, BSI, NIST etc.

În cazurile în care încălcările regimului de securitate a informațiilor conduc la consecințe grave, se impun cerințe suplimentare sporite.

Pentru a formula cerințe suplimentare suplimentare, este necesar:

Determinați valoarea resurselor;

Adaugă la setul standard o listă de amenințări relevante pentru sistemul informațional studiat;

Evaluează probabilitatea amenințărilor;

Identificarea vulnerabilităților resurselor;

Evaluați daunele potențiale cauzate de influența intrușilor.

Este necesar să se selecteze o metodologie de evaluare a riscurilor care să poată fi utilizată cu modificări minime în mod continuu. Există două moduri: utilizați metodele și instrumentele existente pe piață pentru evaluarea riscurilor sau creați propria metodologie, adaptată specificului companiei și domeniului de activitate acoperit de ISMS.

Ultima varianta este cea mai de preferat, intrucat pana acum majoritatea produselor existente pe piata care implementeaza una sau alta tehnica de analiza a riscului nu indeplinesc cerintele Standardului. Dezavantajele tipice ale unor astfel de metode sunt:

· set standard de amenințări și vulnerabilități, care adesea nu pot fi schimbate;

· acceptarea doar a resurselor software, hardware și informaționale ca active – fără a lua în considerare resursele umane, serviciile și alte resurse importante;

· complexitatea generală a tehnicii în ceea ce privește utilizarea durabilă și repetată a acesteia.

· Criterii de acceptare a riscurilor și niveluri acceptabile de risc (trebuie să se bazeze pe atingerea obiectivelor strategice, organizaționale și de management ale organizației).

d) Identificarea riscurilor.

· Identificarea bunurilor și a proprietarilor acestora

Intrări de informații;

Ieșire de informații;

Înregistrări de informații;

Resurse: oameni, infrastructură, echipamente, software, instrumente, servicii.

· Identificarea amenințărilor (standardele de evaluare a riscurilor propun adesea clase de amenințări care pot fi completate și extinse).

· Identificarea vulnerabilităților (există și liste cu cele mai comune vulnerabilități pe care vă puteți baza atunci când vă analizați organizația).

· Determinarea valorii activelor (posibile consecințe ale pierderii confidențialității, integrității și disponibilității activelor). Informațiile despre valoarea unui activ pot fi obținute de la proprietarul acestuia sau de la o persoană căreia proprietarul i-a delegat toată autoritatea asupra activului, inclusiv pentru asigurarea securității acestuia.

e) Evaluarea riscurilor.

· Evaluarea prejudiciului care poate fi cauzat unei afaceri din pierderea confidențialității, integrității și disponibilității activelor.

· Evaluarea probabilității ca amenințările să fie realizate prin vulnerabilitățile existente, luând în considerare controalele existente de securitate a informațiilor și evaluând posibilele daune cauzate;

· Determinarea nivelului de risc.

Aplicarea criteriilor de acceptare a riscului (acceptabil/care necesită tratament).

f) Tratarea riscului (în conformitate cu strategia de management al riscului selectată).

Acțiuni posibile:

Acțiuni pasive:

Acceptarea riscului (decizie privind acceptabilitatea nivelului de risc rezultat);

Evitarea riscurilor (decizia de modificare a activităților care provoacă un anumit nivel de risc - mutarea serverului web în afara rețelei locale);

Acțiuni active:

Reducerea riscului (folosind contramăsuri organizatorice și tehnice);

Transferul riscului (asigurare (incendiu, furt, erori software)).

Alegerea acțiunilor posibile depinde de criteriile de risc acceptate (se precizează un nivel acceptabil de risc, niveluri de risc care pot fi reduse prin controale de securitate a informațiilor, niveluri de risc la care se recomandă abandonarea sau transformarea tipului de activitate care o determină, și riscurile pe care este de dorit să se transfere altor părți) .

g) Selectarea obiectivelor și controalelor pentru tratarea riscurilor.

Obiectivele și controalele trebuie să implementeze strategia de management al riscului, să țină cont de criteriile de acceptare a riscurilor și de cerințele legislative, de reglementare și de altă natură.

Standardul ISO 27001-2005 oferă o listă de obiective și controale ca bază pentru construirea unui plan de tratare a riscurilor (cerințele ISMS).

Planul de tratare a riscurilor conține o listă de măsuri prioritare pentru reducerea nivelurilor de risc, indicând:

· persoanele responsabile cu implementarea acestor activități și mijloace;

· calendarul de implementare a activităților și prioritățile pentru implementarea acestora;

· resurse pentru implementarea unor astfel de activități;

· nivelurile riscurilor reziduale după implementarea măsurilor și controalelor.

Adoptarea planului de tratare a riscurilor și controlul asupra implementării acestuia sunt efectuate de conducerea de vârf a organizației. Finalizarea activităților cheie ale planului este un criteriu pentru luarea unei decizii privind punerea în funcțiune a ISMS.

În această etapă se justifică selecția diferitelor contramăsuri pentru securitatea informațiilor, structurate în funcție de nivelurile de reglementare, organizatorice, manageriale, tehnologice și hardware-software de securitate a informațiilor. (În plus, un set de contramăsuri este implementat în conformitate cu strategia de management al riscului informațional selectată). În versiunea completă a analizei de risc, eficacitatea contramăsurilor este evaluată suplimentar pentru fiecare risc.

h) Aprobarea conducerii asupra riscului rezidual propus.

i) Obținerea aprobării conducerii pentru implementarea și punerea în funcțiune a ISMS.

j) Declarație de aplicabilitate (în conformitate cu ISO 27001-2005).

Data punerii în funcțiune a ISMS este data aprobării de către conducerea de vârf a companiei a Regulamentului privind aplicabilitatea controalelor, care descrie scopurile și mijloacele alese de organizație pentru gestionarea riscurilor:

· instrumente de management și control selectate în etapa de tratare a riscului;

· instrumente de management și control existente deja în organizație;

· mijloace de asigurare a conformității cu cerințele legale și cerințele organizațiilor de reglementare;

· mijloace pentru a asigura îndeplinirea cerințelor clienților;

· mijloace de asigurare a conformității cu cerințele corporative generale;

· orice alte controale și controale adecvate.

Etapa 2. Implementarea și funcționarea ISMS.

Pentru implementarea și operarea politicii, controalelor, proceselor și procedurilor de securitate a informațiilor în domeniul securității informațiilor se realizează următoarele acțiuni:

a) Elaborarea unui plan de tratare a riscurilor (descrierea controalelor planificate, a resurselor (software, hardware, personal) necesare implementării acestora, suport, control și responsabilități de management pentru managementul riscului de securitate a informațiilor (elaborarea documentelor în faza de planificare, suport pentru obiectivele de securitate a informațiilor, definirea rolurilor și responsabilităților, furnizarea de resurse necesare pentru crearea unui ISMS, audit și analiză).

b) Alocarea de fonduri, roluri și responsabilități pentru implementarea planului de tratare a riscurilor.

c) Implementarea controalelor planificate.

d) Determinarea indicatorilor de performanță a controlului (metrici) și a metodelor de măsurare a acestora care să ofere rezultate comparabile și reproductibile.

e) Îmbunătățirea calificărilor și conștientizării personalului în domeniul securității informațiilor în concordanță cu atribuțiile de serviciu.

f) Managementul operațiunii ISMS, managementul resurselor pentru menținerea, controlul și îmbunătățirea ISMS.

g) Implementarea procedurilor și a altor controale pentru a detecta și a răspunde rapid incidentelor de securitate a informațiilor.

Etapa 3. Monitorizarea și analiza constantă a funcționării ISMS.

Etapa implică evaluarea sau măsurarea indicatorilor cheie de performanță a procesului, analizarea rezultatelor și furnizarea de rapoarte către management pentru analiză și include:

a) Efectuarea monitorizării și analizelor continue (vă permite să detectați rapid erorile de funcționare a ISMS, să identificați și să răspundeți rapid la incidente de securitate, să diferențiați rolurile personalului și ale sistemelor automatizate din ISMS, să preveniți incidentele de securitate prin analizarea comportamentului neobișnuit, să determinați eficacitatea procesării incidentelor de securitate).

b) Efectuarea de revizuiri periodice ale eficacității ISMS (se analizează conformitatea cu politicile și obiectivele ISMS, audituri, indicatorii cheie de performanță, propunerile și reacțiile părților interesate).

c) Măsurarea eficacității controalelor pentru a verifica dacă cerințele de protecție sunt îndeplinite

d) Reevaluarea periodică a riscurilor, analiza riscurilor reziduale și determinarea nivelurilor de risc acceptabile pentru orice schimbări în organizație (obiective și procese de afaceri, amenințări identificate, vulnerabilități nou identificate etc.)

e) Efectuarea periodică a auditurilor interne ale ISMS.

Audit ISMS – verificarea conformității contramăsurilor selectate cu scopurile și obiectivele afacerii declarate în politica de siguranță industrială a organizației; pe baza rezultatelor acesteia se evaluează riscurile reziduale și, dacă este necesar, se realizează optimizarea acestora.

f) Revizuirea periodică a domeniului și tendințelor ISMS de către conducere.

g) Actualizarea planurilor de management al riscului pentru a reflecta rezultatele controalelor și analizei.

h) Mentinerea jurnalelor de evenimente care au avut un impact negativ asupra eficacitatii sau calitatii ISMS.

Etapa 4. Sprijin și îmbunătățire a ISMS.

Pe baza rezultatelor auditului intern ISMS și analizei managementului, sunt dezvoltate și implementate acțiuni corective și preventive care vizează îmbunătățirea continuă a ISMS:

a) Îmbunătățirea politicii de securitate a informațiilor, a obiectivelor de protecție a informațiilor, efectuarea de audituri, analiza evenimentelor observate.

b) Dezvoltarea și implementarea acțiunilor corective și preventive pentru eliminarea nerespectării cerințelor ISMS.

c) Monitorizarea îmbunătățirilor ISMS.

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

postat pe http://www.allbest.ru/

„Sistemul de management al securității informațiilor”

standard internațional de management

ÎNdirijarea

Un sistem de management al securității informațiilor este un set de procese care funcționează în cadrul unei companii pentru a asigura confidențialitatea, integritatea și disponibilitatea activelor informaționale. Prima parte a rezumatului discută procesul de implementare a unui sistem de management într-o organizație și, de asemenea, prezintă principalele aspecte ale beneficiilor din implementarea unui sistem de management al securității informațiilor.

Fig.1. Ciclu de control

O listă de procese și recomandări cu privire la modul de organizare optimă a funcționării lor sunt date în standardul internațional ISO 27001:2005, care se bazează pe ciclul de management Plan-Do-Check-Act. În conformitate cu acesta, ciclul de viață ISMS constă din patru tipuri de activități: Creare - Implementare și exploatare - Monitorizare și analiză - Întreținere și îmbunătățire (Fig. 1). Acest standard va fi discutat mai detaliat în partea a doua.

CUsistemmanagementinformativSecuritate

Un sistem de management al securității informațiilor (ISMS) este acea parte a sistemului de management general care se bazează pe o abordare a riscului de afaceri pentru crearea, implementarea, operarea, monitorizarea, analiza, sprijinul și îmbunătățirea securității informațiilor. Procesele ISMS sunt create în conformitate cu cerințele standardului ISO/IEC 27001:2005, care se bazează pe ciclu

Funcționarea sistemului se bazează pe abordările teoriei moderne de management al riscului, care asigură integrarea acestuia în sistemul general de management al riscului al organizației.

Implementarea unui sistem de management al securității informațiilor presupune elaborarea și implementarea unei proceduri care vizează identificarea, analizarea și diminuarea sistematică a riscurilor de securitate a informațiilor, adică riscuri în urma cărora activele informaționale (informații sub orice formă și de orice natură) vor pierde confidențialitatea, integritatea și disponibilitatea.

Pentru a asigura atenuarea sistematică a riscurilor de securitate a informațiilor, pe baza rezultatelor evaluării riscurilor, în organizație sunt implementate următoarele procese:

· Managementul organizației interne de securitate a informațiilor.

· Asigurarea securității informațiilor atunci când interacționați cu terți.

· Gestionarea registrului bunurilor informaţionale şi regulile de clasificare a acestora.

· Managementul siguranței echipamentelor.

· Asigurarea securității fizice.

· Asigurarea securității informaționale a personalului.

· Planificarea si adoptarea sistemelor informatice.

· Backup.

· Asigurarea securității rețelei.

Procesele sistemului de management al securității informațiilor afectează toate aspectele gestionării infrastructurii IT a unei organizații, deoarece securitatea informațiilor este rezultatul funcționării durabile a proceselor legate de tehnologia informației.

Atunci când construiesc un ISMS în companii, specialiștii efectuează următoarele lucrări:

· organizarea managementului de proiect, formarea unei echipe de proiect din partea clientului si a contractorului;

· determina aria de activitate (OA) a ISMS;

· examinați organizația în OD ISMS:

o în ceea ce privește procesele de afaceri ale organizației, inclusiv analiza consecințelor negative ale incidentelor de securitate a informațiilor;

o în ceea ce privește procesele de management ale organizației, inclusiv procesele existente de management al calității și management al securității informațiilor;

o privind infrastructura IT;

o în ceea ce privește infrastructura de securitate a informațiilor.

· elaborarea și aprobarea unui raport analitic care să conțină o listă a principalelor procese de afaceri și o evaluare a consecințelor implementării amenințărilor la securitatea informațiilor în legătură cu acestea, o listă a proceselor de management, sisteme IT, subsisteme de securitate a informațiilor (IS), o evaluare a gradului în care organizația îndeplinește toate cerințele ISO 27001 și o evaluare a maturității proceselor organizațiilor;

· selectați nivelul inițial și țintă de maturitate ISMS, dezvoltați și aprobați Programul de îmbunătățire a maturității ISMS; elaborarea documentației la nivel înalt în domeniul securității informațiilor:

o Conceptul de suport pentru securitatea informațiilor,

o Politici IS și ISMS;

· selectează și adaptează metodologia de evaluare a riscurilor aplicabilă în organizație;

· selectarea, furnizarea și implementarea software-ului utilizat pentru automatizarea proceselor ISMS, organizarea de instruire pentru specialiștii companiei;

· efectuează o evaluare și prelucrare a riscurilor, în cadrul căreia, pentru reducerea acestora, se selectează măsurile din Anexa „A” la standardul 27001 și se formulează cerințele pentru implementarea acestora în organizație, se selectează în prealabil mijloacele tehnice de asigurare a securității informațiilor;

· elaborarea proiectelor preliminare ale PIB, evaluarea costului tratamentului riscului;

· organizează aprobarea evaluării riscurilor de către conducerea de vârf a organizației și elaborează Regulamente de aplicabilitate; dezvoltarea măsurilor organizatorice pentru asigurarea securității informațiilor;

· elaborarea și implementarea proiectelor tehnice pentru implementarea subsistemelor tehnice de securitate a informațiilor care sprijină implementarea măsurilor selectate, inclusiv furnizarea de echipamente, punerea în funcțiune, elaborarea documentației operaționale și instruirea utilizatorilor;

· să ofere consultații în timpul funcționării ISMS construit;

· organizează instruirea auditorilor interni și efectuează audituri interne ISMS.

Rezultatul acestei lucrări este un ISMS funcțional. Beneficiile implementării ISMS în companie sunt obținute prin:

· managementul eficient al conformității cu cerințele legale și cerințele de afaceri în domeniul securității informațiilor;

· prevenirea apariției incidentelor de securitate a informațiilor și reducerea daunelor dacă acestea apar;

· îmbunătățirea culturii de securitate a informațiilor în organizație;

· creșterea maturității în domeniul managementului securității informațiilor;

· optimizarea cheltuirii fondurilor pentru securitatea informațiilor.

ISO/IEC27001-- internaţionalstandardDeinformativSecuritate

Acest standard a fost dezvoltat în comun de către Organizația Internațională de Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC). Standardul conține cerințe în domeniul securității informațiilor pentru crearea, dezvoltarea și întreținerea unui ISMS. ISO 27001 specifică cerințele pentru un ISMS pentru a demonstra capacitatea unei organizații de a-și proteja activele informaționale. Standardul internațional folosește conceptul de „securitate a informațiilor” și îl interpretează ca asigurând confidențialitatea, integritatea și disponibilitatea informațiilor. Baza standardului este un sistem de gestionare a riscurilor asociate cu informațiile. Acest standard poate fi folosit și pentru a evalua conformitatea de către părțile interesate interne și externe.

Pentru a crea, implementa, opera, monitoriza continuu, analiza, menține și îmbunătăți sistemul de management al securității informațiilor (ISMS), standardul adoptă o abordare prin proces. Constă în aplicarea unui sistem de procese în cadrul unei organizații, împreună cu identificarea și interacțiunea acestor procese, precum și managementul acestora.

Standardul internațional adoptă modelul Plan-Do-Check-Act (PDCA), care este numit și ciclul Shewhart-Deming. Acest ciclu este folosit pentru a structura toate procesele ISMS. Figura 2 arată modul în care ISMS ia cerințele de securitate a informațiilor și așteptările părților interesate ca input și, prin acțiunile și procesele necesare, produce rezultate de securitate a informațiilor care îndeplinesc acele cerințe și așteptări.

Planificarea este faza de creare a unui ISMS, crearea unui inventar al activelor, evaluarea riscurilor și selectarea măsurilor.

Figura 2. Modelul PDCA aplicat proceselor ISMS

Implementarea este etapa de implementare și implementare a măsurilor adecvate.

Verificarea este faza de evaluare a eficacității și performanței ISMS. Efectuat de obicei de auditori interni.

Acțiune - luarea de acțiuni preventive și corective.

ÎNconcluzii

ISO 27001 descrie un model general pentru implementarea și funcționarea unui ISMS, precum și activități de monitorizare și îmbunătățire a ISMS. ISO intentioneaza sa armonizeze diverse standarde ale sistemelor de management, precum ISO/IEC 9001:2000, care se ocupa de managementul calitatii, si ISO/IEC 14001:2004, care se ocupa de sistemele de management de mediu. Scopul ISO este de a asigura coerența și integrarea ISMS cu alte sisteme de management din companie. Similitudinea standardelor permite utilizarea unor instrumente și funcționalități similare pentru implementare, management, revizuire, verificare și certificare. Se înțelege că, dacă o companie a implementat alte standarde de management, poate utiliza un singur sistem de audit și management care este aplicabil managementului calității, managementului de mediu, managementului siguranței etc. Prin implementarea unui ISMS, managementul superior are mijloacele de a monitoriza și gestiona securitatea, ceea ce reduce riscurile reziduale de afaceri. Odată implementat un ISMS, compania poate asigura în mod oficial securitatea informațiilor și poate continua să îndeplinească cerințele clienților, legislației, autorităților de reglementare și acționarilor.

Este de remarcat faptul că în legislația Federației Ruse există un document GOST R ISO/IEC 27001-2006, care este o versiune tradusă a standardului internațional ISO27001.

CUchiţăitliteratură

1. Korneev I.R., Belyaev A.V. Securitatea informațiilor întreprinderii. - Sankt Petersburg: BHV-Petersburg, 2003. - 752 p.: ill.

2. Standard internațional ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (data acces: 23.05.12)

3. Standardul național al Federației Ruse GOST R ISO/IEC 27003 - „Tehnologii informaționale. Metode de securitate. Linii directoare pentru implementarea unui sistem de management al securității informațiilor” (http://niisokb.ru/news/documents/IDT%20ISO% 20IEC%2027003- 2011-09-14.pdf) (data accesului: 23/05/12)

4. Skiba V.Yu., Kurbatov V.A. Ghid pentru protejarea împotriva amenințărilor interne la adresa securității informațiilor. Sankt Petersburg: Peter, 2008. -- 320 p.: ill.

5. Articol al enciclopediei libere „Wikipedia”, „Sistem de management

securitatea informațiilor” (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (data accesului: 23/05/12)

6. Sigurjon Thor Arnason și Keith D. Willett „Cum să obțineți certificarea 27001”

Postat pe Allbest.ru

Documente similare

Amenințări la adresa securității informațiilor în întreprindere. Identificarea deficiențelor în sistemul de securitate a informațiilor. Scopurile și obiectivele formării unui sistem de securitate a informațiilor. Măsuri propuse pentru îmbunătățirea sistemului de securitate a informațiilor al organizației.

lucru curs, adăugat 02/03/2011


Analiza sistemului de securitate a informatiilor la intreprindere. Serviciul de Protecție a Informațiilor. Amenințări la securitatea informațiilor specifice întreprinderii. Metode și mijloace de securitate a informațiilor. Modelul unui sistem informatic din perspectiva securitatii.

lucru curs, adăugat 02/03/2011


Principalele etape ale creării unui sistem de management la o întreprindere din industria alimentară. HACCP ca bază a oricărui sistem de management al siguranței alimentelor. Sistem de management al siguranței alimentelor. Pericole și acțiuni preventive.

rezumat, adăugat 14.10.2014


Sisteme moderne de management și integrarea acestora. Sisteme integrate de management al calității. Caracteristicile SA „275 ARZ” și sistemul său de management. Dezvoltarea unui sistem de management al protecției muncii. Metode de evaluare a unui sistem integrat de securitate.

teză, adăugată 31.07.2011


Implementarea unui sistem de management al calitatii. Certificarea sistemelor de management al calității (ISO 9000), managementului de mediu (ISO 14 000), sistemelor de management al sănătății și securității în muncă ale organizațiilor (OHSAS 18 001: 2007) folosind exemplul OJSC Lenta.

rezumat, adăugat 10.06.2008


Elaborarea unui standard de organizare a unui sistem integrat de management, stabilirea unei proceduri unificate de implementare a procesului de management al documentatiei. Etapele creării unui sistem de management al calității la JSC ZSMK. Plasarea versiunilor electronice ale documentelor.

teză, adăugată 06.01.2014


Diagrama ierarhică a angajaților. Instrumente de securitate a informațiilor. Întrebări despre starea securității. Schema fluxurilor de informații ale întreprinderii. Metode de monitorizare a integrității sistemului informațional. Modelarea controlului accesului la informațiile de service.

lucrare curs, adaugat 30.12.2011


Conceptul de sistem informațional de management și locul acestuia în sistemul de management general. Tipuri de sisteme informatice si continutul acestora. Conceptul de management ca sistem informatic. Funcțiile sistemului de management financiar. Sisteme de efectuare a tranzacțiilor și operațiunilor.

rezumat, adăugat la 01.06.2015


Concepte în domeniul sănătății și securității. Standarde internaționale ISO privind sistemele de management al calității, sistemele de management de mediu, sistemele de management al securității și sănătății în muncă. Adaptarea standardului OHSAS 18001-2007.

lucrare curs, adaugat 21.12.2014


Caracteristicile managementului informaţiei; subiecte de informare și raporturi juridice; regimul juridic de primire, transfer, stocare și utilizare a informațiilor. Caracteristici și aspecte legale ale schimbului de informații și securității informațiilor.

GOST R ISO/IEC 27001-2006 „Tehnologia informației. Metode și mijloace de asigurare a securității. Sisteme de management al securității informațiilor. Cerințe"

Dezvoltatorii standardului notează că acesta a fost pregătit ca model pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, suportul și îmbunătățirea unui sistem de management al securității informațiilor (ISMS). ISMS (în engleză - sistem de management al securității informațiilor; ISMS) este definit ca o parte a sistemului de management general, bazat pe utilizarea metodelor de evaluare a riscurilor de afaceri pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, sprijinirea și îmbunătățirea securității informațiilor. Un sistem de management include structura organizațională, politici, activități de planificare, responsabilități, practici, proceduri, procese și resurse.

Standardul presupune utilizarea unei abordări de proces pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, sprijinul și îmbunătățirea ISMS al organizației. Se bazează pe modelul Plan - Do - Check - Act (PDCA), care poate fi aplicat în structurarea tuturor proceselor ISMS. În fig. Figura 4.4 arată cum un ISMS, folosind cerințele de securitate a informațiilor și așteptările părților interesate ca intrare, produce rezultate de securitate a informațiilor care îndeplinesc acele cerințe și rezultate așteptate prin activitățile și procesele necesare.

Orez. 4.4.

La scenă „Dezvoltarea unui sistem de management al securității informațiilor” Organizația trebuie să facă următoarele:

• - determină domeniul de aplicare și limitele ISMS;
• - determinarea politicii ISMS pe baza caracteristicilor afacerii, organizatiei, locatiei acesteia, activelor si tehnologiilor;
• - determina abordarea evaluarii riscurilor in organizatie;
• - identificarea riscurilor;
• - analiza si evaluarea riscurilor;
• - identificarea și evaluarea diferitelor opțiuni de tratare a riscurilor;
• - selectarea obiectivelor și măsurilor de control pentru tratarea riscurilor;
• - obtine aprobarea conducerii cu privire la riscurile reziduale estimate;
• - obține permisiunea conducerii pentru implementarea și operarea ISMS;
• - pregătiți o declarație de aplicabilitate.

Scena" Implementarea și operarea unui sistem de management al securității informațiilor” sugerează ca organizația să:

• - elaborarea unui plan de tratare a riscurilor care definește acțiunile de management adecvate, resursele, responsabilitățile și prioritățile în legătură cu managementul riscului de securitate a informațiilor;
• - implementează un plan de tratare a riscurilor pentru a atinge obiectivele de management preconizate, inclusiv aspectele de finanțare, precum și repartizarea funcțiilor și responsabilităților;
• - implementarea măsurilor de management selectate;
• - determinarea modului de măsurare a eficacității măsurilor de management selectate;
• - implementeaza programe de formare si dezvoltare profesionala pentru angajati;
• - gestionează activitatea ISMS;
• - gestionează resursele ISMS;
• - implementează proceduri și alte măsuri de management pentru a asigura detectarea rapidă a evenimentelor de securitate a informațiilor și răspunsul la incidente legate de securitatea informațiilor.

Etapa a treia" Efectuarea monitorizării și analizei sistemului de management al securității informațiilor” necesită:

• - efectuarea procedurilor de monitorizare si analiza;
• - efectuarea unei analize regulate a eficacității ISMS;
• - măsurarea eficacității măsurilor de control pentru verificarea respectării cerințelor de securitate a informațiilor;
• - revizuirea evaluărilor riscurilor la perioade de timp stabilite, analiza riscurilor reziduale și nivelurile de risc acceptabile stabilite, ținând cont de modificări;
• - efectuarea de audituri interne ale ISMS la perioade de timp stabilite;
• - efectuează periodic analize ISMS de către conducerea organizației pentru a confirma caracterul adecvat al sistemului de funcționare și pentru a determina zonele de îmbunătățire;
• - actualizarea planurilor de securitate a informațiilor ținând cont de rezultatele analizei și monitorizării;
• - înregistrați acțiunile și evenimentele care pot afecta eficacitatea sau funcționarea ISMS.

Și în sfârșit, scena „Suport și îmbunătățire a sistemului de management al securității informațiilor” sugerează ca organizația să desfășoare în mod regulat următoarele activități:

• - identificarea oportunităților de îmbunătățire a ISMS;
• - luați acțiunile corective și preventive necesare, folosiți în practică experiența în securitatea informațiilor acumulată atât în ​​propria organizație, cât și în alte organizații;
• - să comunice tuturor părților interesate informații detaliate despre acțiunile de îmbunătățire a ISMS, iar nivelul de detaliu ar trebui să fie adecvat circumstanțelor și, dacă este necesar, să convină asupra acțiunilor ulterioare;
• - asigurarea implementării îmbunătățirilor ISMS pentru atingerea obiectivelor planificate.

În plus, standardul prevede cerințe pentru documentare, care ar trebui să includă prevederi ale politicii ISMS și o descriere a domeniului de operare, o descriere a metodologiei și un raport de evaluare a riscurilor, un plan de tratare a riscurilor și documentarea procedurilor aferente. Ar trebui definit și procesul de gestionare a documentelor ISMS, inclusiv actualizarea, utilizarea, stocarea și distrugerea.

Pentru a furniza dovezi ale conformității cu cerințele și eficacității ISMS, este necesară menținerea și menținerea înregistrărilor privind execuția proceselor. Exemplele includ jurnalele vizitatorilor, rapoartele de audit etc.

Standardul precizează că conducerea organizației este responsabilă de furnizarea și gestionarea resurselor necesare pentru crearea unui ISMS, precum și de organizarea formării personalului.

După cum sa menționat anterior, organizația trebuie, în conformitate cu programul aprobat, să efectueze audituri interne ISMS pentru a-și evalua funcționalitatea și conformitatea cu standardul. Și conducerea trebuie să efectueze o analiză a sistemului de management al securității informațiilor.

De asemenea, ar trebui să se lucreze pentru a îmbunătăți sistemul de management al securității informațiilor: pentru a crește eficacitatea acestuia și nivelul de conformitate cu starea actuală a sistemului și cerințele pentru acesta.

Șahhalov Igor Yurievici

Pe problema integrării managementului calității și sistemelor de securitate a informațiilor

Rezumat: sunt trecute în revistă standardele internaționale ISO 27001 și ISO 9001. Sunt analizate asemănările și diferențele dintre sistemul de management al calității și sistemul de management al securității informațiilor. Se arată posibilitatea integrării sistemului de management al calității și al sistemului de management al securității informațiilor. Sunt prezentate principalele etape ale construcției și implementării unui sistem integrat de management al securității informațiilor. Sunt prezentate avantajele abordării integrate.

Cuvinte cheie: sisteme de management, securitatea informațiilor, sisteme integrate de management, ISMS, QMS, ISO 27001.

Natalia Olegovna

Introducere

În lumea modernă, odată cu apariția dispozitivelor tehnice larg răspândite și convenabile, problema securității informațiilor a devenit destul de acută. Alături de producerea de produse de calitate sau furnizarea de servicii întreprinderilor și organizațiilor, este important să păstrați secretul informațiilor necesare față de concurenți pentru a rămâne într-o poziție avantajoasă pe piață. În competiție, sunt răspândite diverse acțiuni care vizează obținerea (extragerea, achiziționarea) de informații confidențiale într-o varietate de moduri, inclusiv spionajul industrial direct folosind instrumente moderne de informații tehnice.

Astfel, organizațiile care aderă la cele mai bune practici globale, cuprinzând cerințe și linii directoare pentru implementarea sistemelor de management al proceselor de afaceri ale organizației, devin lideri de piață. Cele mai bune standarde pentru dezvoltarea, implementarea, monitorizarea și îmbunătățirea unor astfel de sisteme sunt documentele Organizației Internaționale de Standardizare (ISO). O atenție deosebită trebuie acordată standardelor din seriile ISO 900x și ISO 2700x, care conțin cele mai bune practici pentru implementarea unui sistem de management al calității (QMS) și a unui sistem de management al securității informațiilor (ISMS).

Un sistem de management al calității implementat în conformitate cu cerințele standardului ISO 9001 a fost de multă vreme recunoscut ca un atribut integral al unei companii de succes care produce produse de înaltă calitate sau oferă servicii de înaltă clasă. Astăzi, prezența unui certificat de conformitate este atât o soluție de marketing eficientă, cât și un mecanism de monitorizare a proceselor de producție. Auditul QMS este un domeniu dezvoltat al afacerii.

Dependența activităților de succes ale unei companii de sistemul de securitate a informațiilor corporative crește în fiecare zi. Acest lucru se datorează creșterii volumului de date vitale procesate în sistemul informațional corporativ. Sistemele informaționale devin din ce în ce mai complexe, iar numărul de vulnerabilități găsite în ele este în creștere. Un audit ISMS vă permite să evaluați starea actuală de securitate a funcționării unui sistem informațional corporativ,

să evalueze și să prezică riscurile, să gestioneze impactul acestora asupra proceselor de afaceri ale companiei.

Deoarece standardul ISO 9001 a ocupat de multă vreme o poziție de lider în numărul de certificate din lume, iar standardul ISO 27001 arată o tendință de creștere a certificării sistemelor de management al securității informațiilor, este recomandabil să se ia în considerare posibila interacțiune și integrare a SMC. și ISMS.

Integrarea standardelor

La prima vedere, managementul calității și securitatea informațiilor sunt domenii complet diferite. Cu toate acestea, în practică, ele sunt strâns legate și formează un întreg (Figura 1). Satisfacția clienților, care constituie un obiectiv obiectiv de calitate, depinde în fiecare an din ce în ce mai mult de disponibilitatea tehnologiei informației și de securitatea datelor, pentru a susține standardul ISO 27001. Pe de altă parte, standardul ISO 9001 corespunde îndeaproape obiectivelor corporative. a organizației, contribuind la asigurarea securității managementului informațiilor. Datorită abordării sale cuprinzătoare, ISO 27001 poate fi integrat eficient în QMS-urile existente sau implementat împreună cu un SMC.

STI (ISO 27001) și managementul serviciilor IT (ISO 20000) au o structură și o abordare a proceselor similare. Acest lucru oferă o sinergie care dă roade: în practică, un sistem de management integrat pentru funcționarea continuă economisește de la 20 până la 30% din costul total al optimizării sistemului, verificărilor și auditurilor.

Standardele de securitate și management al calității informațiilor se concentrează pe îmbunătățirea continuă în conformitate cu modelul Plan-Do-Check-Act (PDCA) cunoscut sub numele de Ciclul Deming (vezi Figura 2). Ele sunt, de asemenea, similare ca structură, așa cum se arată în tabelul de corespondență din anexa C a ISO 27001. Ambele standarde definesc conceptele de abordare a procesului, domeniul de aplicare, cerințele de sistem și documentație și responsabilitățile administrative. În ambele cazuri, cadrul se încheie cu auditul intern, revizuirea managementului și îmbunătățirea sistemului. În aceasta, ambele sisteme interacționează. De exemplu, ISO 9001 cere managementul produselor neconforme. De asemenea, ISO 27001 are o cerință pentru managementul incidentelor pentru a rezolva defecțiunile.

Orez. 1. Domenii de interacțiune și asemănări între QMS și ISMS

Orez. 2. Ciclul Deming

Peste 27.200 de organizații dintr-o gamă largă de industrii din peste 100 de țări sunt certificate conform ISO 9001:2008 pentru managementul calității. În funcție de piață și de cerințele legale, multe organizații sunt din ce în ce mai forțate să se ocupe de securitatea informațiilor. În acest sens, integrarea sistemului de management oferă oportunități reale. Abordarea integrată este interesantă și pentru companiile care nu au folosit până acum niciun proces de management. Standarde ISO pentru calitate (ISO 9001), protecția mediului (ISO 14000), securitatea informațiilor

Diferențele dintre standarde se completează reciproc, ceea ce contribuie puternic la creșterea succesului în afaceri. De exemplu, ISO 9001 necesită definirea obiectivelor corporative, orientarea către client și măsurabilitatea în ce măsură sunt îndeplinite obiectivele și obiectivele. Acestea sunt trei aspecte care nu se află în centrul ISO 27001. La rândul său, acest standard acordă prioritate managementului riscului pentru a menține continuitatea afacerii și oferă asistență detaliată în implementarea unui ISMS. Comparativ

cu aceasta, ISO 9001 este mai mult un standard teoretic.

ISO 27001 nu este doar un standard pentru IT

Mulți oameni cred că ISO 27001 este doar pentru procesele IT, dar de fapt nu este cazul. Punctul fundamental pentru implementarea standardului MS&B ISO 27001 este definirea activelor.

■ "lilltpHiimiir-J. » iJillllF.lEL^OIU.IC.

g t^tsdkpinizh ts netuvk^tnslschs tEp.tna.

» ■irreiiKinfundu «GcTMHiiociv

* KYADROMK:

■ JI!l"|"l"L>4_l]Jil"HIIL,k

» D|KtttcCcU H «patitU.

» jimii 14: ii |vju7JIIIM.

Orez. 3. Tipuri de active

Un activ este orice lucru care are valoare pentru o companie (Figura 3). Adică, un activ poate fi: resurse umane, infrastructură, instrumente, echipamente, comunicații, servicii și orice alte active, inclusiv servicii pentru furnizarea produselor achiziționate. Pe baza proceselor, compania determină ce active are și ce active sunt implicate în procesele critice și evaluează valoarea activelor. Și numai după aceasta, riscurile sunt evaluate pentru toate activele valoroase. Astfel, un ISMS nu este destinat doar informațiilor digitale care sunt procesate într-un sistem automatizat. De exemplu, unele dintre cele mai critice procese implică

Pregătirea

planuri de evenimente

2 Verificați conformitatea H:i

cu stocarea copiilor pe hârtie ale informațiilor, care este, de asemenea, acoperită de ISO 27001. Un ISMS acoperă toate modurile în care informațiile importante pot fi stocate în compania dvs., de la modul în care sunt protejate e-mailurile dvs. până la locul în care se află fișierele personale ale angajaților din clădire. stocate.

Prin urmare, este o mare concepție greșită să credem că, deoarece standardul are ca scop construirea unui sistem de management al securității informațiilor, acest lucru se poate aplica numai datelor stocate pe un computer. Chiar și în era noastră digitală, o mulțime de informații se reflectă încă pe hârtie, care trebuie, de asemenea, protejată în mod fiabil.

ISO 9001 nu poate satisface nevoile unei companii de securitate a informațiilor, deoarece se concentrează strict pe calitatea produsului. Prin urmare, este foarte important să implementați în companie ISO 27001. La prima vedere, unui specialist i se poate părea că ambele standarde sunt foarte generale și lipsesc de specific. Cu toate acestea, acesta nu este cazul: standardul ISO 27001 descrie aproape fiecare pas în implementarea și monitorizarea funcționării unui ISMS (Figura 4).

Principalele etape ale construirii unui sistem de management al securității informațiilor

Principalele etape ale construirii unui ISMS sunt ilustrate în Figura 4. Să le aruncăm o privire mai atentă.

Etapa 1. Pregătirea planurilor de acţiune. În această etapă, specialiștii colectează documente organizatorice și administrative (ORD) și alte materiale de lucru,

3 A tip normal ii ORD

4 Analiza ii evaluarea riscului 11B

Implementarea

5 RyazraOoghya și<>RaeryaOopv complex & 00\*ieiitii:

planuri de radiatii ■-> norma de activitate -> eveniment -> CfftpJOTHW*

evenimente Luni>PB ORD în ziua deschiderii

Formarea a 10 AiUtuin evaluarea rezultatelor INORSNESS"IMB

Orez. 4. Etapele construirii unui ISMS

referitoare la construcția și exploatarea sistemelor informaționale ale companiei, planificate pentru utilizarea mecanismelor și mijloacelor de securitate a informațiilor. În plus, se întocmesc planuri de acțiune pentru etapele de lucru, se agreează și se aprobă de conducerea companiei.

Etapa 2: Testarea conformității cu ISO/IEC 27001:2005. Intervievarea și interogarea managerilor și angajaților departamentului. Analiza ISMS al companiei pentru conformitatea cu cerintele standardului ISO/IEC 27001:2005.

Etapa 3. Analiza documentelor de reglementare și organizatorice pe baza structurii organizatorice a companiei. Pe baza rezultatelor sale, se determină domeniul de aplicare protejat (SA) și se elaborează o schiță a politicii de securitate a informațiilor a companiei.

Etapa 4. Analiza și evaluarea riscurilor de securitate a informațiilor. Dezvoltarea unei metodologii pentru managementul și analiza riscurilor companiei. Analiza resurselor de informații ale companiei, în primul rând LAN, pentru a identifica amenințările și vulnerabilitățile activelor ML protejate. Inventarul activelor. Efectuarea de consultații pentru specialiștii companiei și evaluarea conformității nivelurilor de securitate efective și cerute. Calculul riscurilor, determinarea nivelului actual și acceptabil de risc pentru fiecare activ specific. Clasificarea riscurilor, selectarea seturilor de măsuri pentru reducerea acestora și calculul eficacității teoretice a implementării.

Etapa 5. Elaborarea și implementarea planurilor de acțiune pentru securitatea informațiilor. Elaborarea prevederilor privind aplicabilitatea controalelor în conformitate cu ISO/IEC 27001:2005. Elaborarea unui plan de contabilitate si eliminarea riscurilor. Intocmirea rapoartelor pentru seful companiei.

Etapa 6. Elaborarea reglementărilor de reglementare și operaționale. Elaborarea și aprobarea politicii finale de SI și a prevederilor corespunzătoare (politici private). Elaborarea de standarde, proceduri și instrucțiuni pentru a asigura funcționarea și funcționarea normală a ISMS al companiei.

Etapa 7. Implementarea măsurilor cuprinzătoare pentru reducerea riscurilor de securitate a informațiilor și evaluarea eficacității acestora în conformitate cu planul de procesare și eliminare a riscurilor aprobat de conducere.

Etapa 8. Formarea personalului. Elaborarea planurilor de acțiune și implementarea programelor de instruire și îmbunătățire a competențelor angajaților companiei pentru a transmite în mod eficient principiile de securitate a informațiilor tuturor angajaților și

în primul rând cei care lucrează în divizii structurale care asigură procese cheie de afaceri.

Etapa 9. Raportare. Sistematizarea rezultatelor anchetei și întocmirea rapoartelor. Prezentarea rezultatelor muncii managerilor companiei. Întocmirea documentelor pentru licențiere pentru conformitatea cu ISO/IEC 27001:2005 și transferul acestora către organizația de certificare.

Etapa 10. Analiza și evaluarea rezultatelor implementării unui ISMS pe baza unei metodologii care evaluează fiabilitatea ISMS al companiei. Elaborarea de recomandări pentru îmbunătățirea sistemului de management al securității informațiilor companiei.

Analizând fiecare etapă de implementare a ISMS, putem spune că ISO 27001 are o structură și cerințe clare care vă vor permite să construiți un sistem de lucru în care să existe interacțiune la toate nivelurile necesare. Dar nu trebuie să uităm că principala diferență dintre un ISMS și un QMS este că primul sistem este axat pe securitatea informațiilor.

Importanța securității informațiilor în lumea modernă

Afacerea de astăzi nu poate exista fără tehnologia informației. Se știe că aproximativ 70% din totalul produsului național al lumii depinde într-un fel sau altul de informațiile stocate în sistemele informaționale. Introducerea pe scară largă a computerelor a creat nu numai facilități binecunoscute, ci și probleme, dintre care cea mai gravă este problema securității informațiilor.

Liderii companiei trebuie să înțeleagă importanța securității informațiilor și să învețe să prezică și să gestioneze tendințele în acest domeniu. Implementarea unui ISMS, care în structura sa are potențial de dezvoltare, transparență a managementului și flexibilitate la orice schimbări, îi poate ajuta în acest sens. Alături de controale pentru calculatoare și rețele de calculatoare, standardul ISO 27001 acordă o mare atenție dezvoltării politicilor de securitate, lucrului cu personalul (angajare, instruire, concediere), asigurării continuității procesului de producție, cerințelor de reglementare, în același timp anumite probleme tehnice detaliate în alte standarde din serie

ISO 27000. Există multe avantaje ale introducerii unui ISMS într-o companie, unele dintre ele fiind prezentate în Fig. 5.

Glbkshl Scale subdr>h;b1[part

Scăderea ¡juvumului

HiKiinimi n II11 \ 11 Ch"G 1111 111 pudnT

Prtrtshal uirdoktl

" Ji|m|ill p.Ki u:

azhshchtnya № tsn^st

Orez. 5. Beneficiile implementării unui sistem de management al securității informațiilor

Avantajele ISO trebuie subliniate

Demonstrarea competenței de siguranță. ISO 27001 oferă îndrumări practice pentru o organizație pentru a ajuta la formularea cerințelor de securitate pentru a atinge nivelul necesar de securitate și pentru a îndeplini obiectivele de securitate specifice. Este deosebit de important ca organizațiile să fie competente în patru domenii ale managementului securității, inclusiv: identificarea și evaluarea activelor companiei, evaluarea riscurilor și definirea criteriilor de acceptare a riscurilor, gestionarea și acceptarea acestor elemente și îmbunătățirea continuă a programului general de securitate al organizației.

Oferirea încrederii clienților. ISO 27001 oferă dovezi independente că programele de guvernanță corporativă sunt susținute de cele mai bune practici internaționale. Certificarea conform ISO 27001 oferă liniște corporațiilor care doresc să demonstreze integritatea clienților, acționarilor și potențialilor parteneri și, cel mai important, să demonstreze că compania a implementat cu succes un sistem robust de management al securității informațiilor. Pentru multe industrii puternic reglementate, cum ar fi finanțele sau serviciile de internet, alegerea furnizorului poate fi

să fie limitată la acele organizații care sunt deja certificate conform ISO 27001.

Utilizarea mai eficientă a resurselor. Datorită utilizării abordării proceselor, este posibilă optimizarea proceselor care au loc în companie. Ceea ce presupune reducerea utilizării resurselor, cum ar fi timpul.

Imbunatatire continua. ISMS utilizează modelul PCDA, care vă permite să verificați în mod regulat starea întregului sistem, să efectuați analize și să îmbunătățiți sistemul de management

1. Imagine, marca. Certificarea pentru conformitate cu ISO 27001 deschide oportunitati largi pentru companie: acces la nivel international, noi parteneriate, mai multi clienti, noi contracte, succes la licitatii. Prezența unui ISMS într-o companie este un indicator al unui nivel ridicat de dezvoltare.

2. Flexibilitatea ISMS. Indiferent de schimbările de proces sau de noile tehnologii, baza structurii ISMS rămâne eficientă. ISMS se poate adapta cu ușurință la inovații prin modernizarea existente și prin introducerea de noi contramăsuri.

3. Scalabilitate a implementării standard. Deoarece ISO 27001 implică definirea unui domeniu de aplicare, acest lucru permite certificarea doar a unui subset de procese. Puteți începe să implementați ISMS în cel mai semnificativ OD pentru companie și abia mai târziu să îl extindeți.

4. Audit. Multe companii rusești percep activitatea de audit ca pe un dezastru. ISO 27001 arată o abordare internațională a efectuării auditurilor: în primul rând, compania este interesată să îndeplinească efectiv standardele și nu să facă certificare cumva, doar pentru spectacol.

5. Auditurile interne sau externe regulate fac posibilă corectarea încălcărilor, îmbunătățirea ISMS și reducerea semnificativă a riscurilor. În primul rând, compania are nevoie de acest lucru pentru propria lor liniște sufletească, că totul este în regulă și riscurile de pierderi să fie minimizate. Și în al doilea rând - un certificat de conformitate, care confirmă partenerilor sau clienților că această companie poate fi de încredere.

6. Transparența managementului. Utilizarea standardului ISO 27001 oferă instrucțiuni destul de clare pentru stabilirea controalelor și

de asemenea cerinţe pentru documentaţia pe care trebuie să le aibă firma. Problema multor companii este că documentele existente pentru anumite departamente pur și simplu nu pot fi citite, deoarece a afla ce este destinat cui este adesea imposibil din cauza complexității sistemului de documentare. Ierarhia nivelurilor de documentație, de la politica de securitate a informațiilor până la descrierea anumitor proceduri, face mult mai ușoară utilizarea regulilor, reglementărilor și a altor lucruri existente. De asemenea, implementarea managementului securității informațiilor presupune instruirea personalului: desfășurarea de seminarii, mailing-uri, agățarea afișelor de avertizare, ceea ce crește semnificativ gradul de conștientizare a securității informațiilor în rândul angajaților obișnuiți.

În concluzie, trebuie menționat că în afacerile moderne este evidentă inseparabilitatea unui sistem de management al calității de bază construit în conformitate cu cerințele standardului ISO 9001 și poziția câștigătoare a unui sistem de management al securității informațiilor.

Astăzi, liderii de piață vor fi companii care monitorizează nu numai calitatea produselor și serviciilor, ci și nivelurile de confidențialitate, integritate și disponibilitate a informațiilor despre acestea. De asemenea, un factor important de succes este prognozarea și evaluarea riscurilor, care necesită o abordare competentă și utilizarea celor mai bune practici internaționale. Implementarea și certificarea în comun a sistemelor de management al calității și de securitate a informațiilor vor contribui la rezolvarea unei game largi de probleme pentru orice industrie sau comerț, ceea ce va duce la rândul său la o creștere calitativă a nivelului serviciilor oferite.

Literatură

1. Dorofeev A.V., Shakhalov I.Yu. Fundamentele managementului securității informațiilor unei organizații moderne // Informatică juridică. 2013. Nr 3. P. 4-14.

2. Chashkin V. N. Managementul securității informațiilor ca element al sistemului de management al activităților de tehnologie a informației ale unei organizații // Securitatea tehnologiilor informaționale. 2009. Nr 1. P. 123-124.

3. Goryachev V.V. GOST nou pe QMS. Principalele diferențe față de GOST RV 15.002-2003 //

Metode de management al calitatii. 2013. Nr 7. p. 18-23.

4. Dotsenko S. P., Pshenetsky S. P. Abordarea construirii unui model de sisteme de management al securității informațiilor // Revista politematică științifică electronică a Universității Agrare de Stat Kuban. 2009. Nr 53. p. 47-56.

5. Kamenev A.V., Zavoritko E.V. Modelul unui sistem de management al securității informațiilor la o întreprindere (într-o organizație) // Intelect. Inovaţie. Investiții. 2013. Nr 1. P. 111-114.

6. Solovyov A. M. Baza normativă și metodologică în domeniul asigurării securității informațiilor // Economie, statistică și informatică. Buletinul UMO. 2012. Nr 1. P. 174-181.

7. Kozin I. F., Livshits I. I. Securitatea informației. Integrarea standardelor internaționale în sistemul rus de securitate a informațiilor // Informatizare și comunicații. 2010. Nr 1. P. 50-55.

8. Kolodin V. S. Certificarea sistemelor integrate de management // Buletinul Universității Tehnice de Stat din Irkutsk. 2010. T. 41. Nr. 1. P. 44-48.

9. Merkushova N. I., Naumenko Yu. A., Merkushova Yu. A. Sisteme de management integrate: premise pentru crearea la întreprinderile rusești // Tânăr om de știință.

2013. Nr 12 (59). p. 327-331.

10. Voropaeva V. Ya., Shcherbov I. L., Khaustova E. D. Managementul securității informaționale a sistemelor de informații și telecomunicații bazat pe modelul „P1ap-Do-Check-Act” // Sciences1 sling al Universității Naționale Tehnice Donețk. Ser1ya: „Echipamentele tehnice și automatizările sunt calculate.” 2013. Nr 2 (25). pp. 104-110.

11. Dorofeev A.V., Markov A.S. Managementul securității informațiilor: concepte de bază // Probleme de securitate cibernetică.

2014. Nr 1 (2). pp. 67-73.

12. Shper V.L. Despre standardul 18O/1EC 27001 // Metode de management al calitatii. 2008. Nr 3. P. 60-61.

13. Markov A. S., Tsirlov V. L. Managementul riscului - vid de reglementare al securității informațiilor // Sisteme deschise. SGBD. 2007. Nr 8. P. 63-67.

14. Matveev V. A., Tsirlov V. L. Statul și perspectivele de dezvoltare a industriei securității informațiilor din Federația Rusă

în 2014 // Probleme de securitate cibernetică. 2013. Nr.1(1). pp. 61-64.

15. Barabanov A. V. Standardizarea procesului de dezvoltare a software-ului securizat // Probleme de securitate cibernetică. 2013. Nr.1(1). pp. 37-41.

16. Markov A. S., Tsirlov V. L. Linii directoare pentru securitatea cibernetică în context

ISO 27032 // Probleme de securitate cibernetică. 2014. Nr 1(2). pp. 28-35. 17. Khramtsovskaya N. Ce trebuie să știe un manager despre securitatea informațiilor // Ofițer de personal. 2009. Nr 4. P. 061-072.