konať
Prijatie modelu PDCA odráža aj zásady stanovené v smerniciach Organizácie pre hospodársku spoluprácu a rozvoj (OECD) upravujúcich bezpečnosť informačných systémov a sietí. Táto medzinárodná norma poskytuje vizuálny model na implementáciu týchto princípov v praxi, ktorý umožňuje hodnotenie rizika, návrh a implementáciu systému informačnej bezpečnosti, jeho správu a prehodnotenie.
1. Môže sa požadovať, aby porušenia bezpečnosti informácií nemali za následok výrazné finančné škody pre organizáciu a / alebo významné narušenie jej činností,
2 Očakávaným výsledkom by mohlo byť, že organizácia má dostatočne dobre vyškolený personál na vykonávanie postupov na minimalizáciu potenciálu nepriaznivé následky v prípade závažného incidentu, ako je napríklad neoprávnený vstup (útok hackerov) na webovú stránku organizácie, prostredníctvom ktorej vykonáva elektronický obchod.
| stôl 1 | |
Táto norma je v súlade s normami „Systémy riadenia kvality. Požiadavky“ a „Systémy riadenia prostredie... Požiadavky a usmernenie k aplikácii “na podporu konzistentnej a integrovanej implementácie a interoperability s inými súvisiacimi normami riadenia. Jeden dobre navrhnutý systém riadenia v organizácii tak môže spĺňať požiadavky všetkých týchto noriem.
Táto medzinárodná norma je určená na použitie organizáciami akejkoľvek formy vlastníctva (napr. Komerčná, štátna alebo súkromná) neziskové organizácie). Táto medzinárodná norma špecifikuje požiadavky na vývoj, implementáciu, prevádzku, monitorovanie, kontrolu, údržbu a zlepšovanie zdokumentovaného systému riadenia informačnej bezpečnosti (ISMS) medzi celkovými obchodnými rizikami organizácie. Norma okrem toho stanovuje požiadavky na vykonávanie opatrení na riadenie a kontrolu informačnej bezpečnosti, ktoré môžu organizácie alebo ich oddelenia použiť v súlade so stanovenými cieľmi a cieľmi informačnej bezpečnosti (IS).
Cieľom vytvorenia ISMS je vybrať vhodné bezpečnostné kontroly na ochranu informačných aktív a zaručenie dôvery zainteresovaných strán.
POZNÁMKA. Výraz „podnikanie“, tak ako sa používa v tomto medzinárodnom štandarde, sa vzťahuje na všetky činnosti, ktoré sú nevyhnutné pre existenciu organizácie.
Požiadavky stanovené v tejto medzinárodnej norme sa vzťahujú na všetky organizácie bez ohľadu na typ, veľkosť a rozsah pôsobnosti. Vylúčenie ktorejkoľvek z požiadaviek uvedených v
aktívny Edícia z 27.12.2006
| Menný dokument | „INFORMAČNÁ TECHNOLÓGIA. METÓDY A PROSTRIEDKY ZABEZPEČENIA BEZPEČNOSTI. SYSTÉMY RIADENIA INFORMAČNEJ BEZPEČNOSTI. POŽIADAVKY. GOST R ISO / IEC 27001-2006“ (schválené nariadením Rostekhregulirovanie z 27.12.2006 N 375 st.) |
| Druh dokumentu | poriadok, štandard, gost, iso |
| Hostiteľské telo | rostechregulation |
| číslo dokumentu | ISO / IEC 27001-2006 |
| Dátum prijatia | 01.01.1970 |
| Dátum revízie | 27.12.2006 |
| Dátum registrácie na ministerstve spravodlivosti | 01.01.1970 |
| Postavenie | akty |
| uverejnenie |
|
| navigátor | Poznámky |
„INFORMAČNÁ TECHNOLÓGIA. METÓDY A PROSTRIEDKY ZABEZPEČENIA BEZPEČNOSTI. SYSTÉMY RIADENIA INFORMAČNEJ BEZPEČNOSTI. POŽIADAVKY. GOST R ISO / IEC 27001-2006“ (schválené nariadením Rostekhregulirovanie z 27.12.2006 N 375 st.)
8. Zlepšenie systému riadenia informačnej bezpečnosti
8.1. Neustále zlepšovanie
Organizácia musí neustále zlepšovať efektívnosť ISMS objasňovaním politiky IS, cieľov IS, využívania výsledkov auditu, analýzy kontrolovaných udalostí, nápravných a preventívnych opatrení a využívania výsledkov analýzy ISMS manažmentom (pozri článok 7).
8.2. Nápravné opatrenia
Organizácia by mala prijať opatrenia na odstránenie príčin nezhôd s požiadavkami ISMS, aby sa zabránilo ich opakovaniu. Zdokumentovaný postup nápravných opatrení by mal stanoviť požiadavky na:
a) identifikácia nezhôd;
b) určenie príčin nezhôd;
C) vyhodnotenie potreby konať, aby sa zabránilo opakovaniu nezhôd;
d) identifikácia a vykonanie potrebných nápravných opatrení;
e) vedenie záznamov o výsledkoch prijatých opatrení (pozri 4.3.3);
f) preskúmanie prijatých nápravných opatrení.
8.3. Preventívna akcia
Organizácia určí kroky potrebné na odstránenie príčin potenciálnych nezhôd s požiadavkami ISMS, aby sa im zabránilo. obnovený výskyt... Prijaté preventívne opatrenia musia byť úmerné dôsledkom možného problému. Zdokumentovaný postup prijatých preventívnych opatrení by mal stanoviť požiadavky na:
a) identifikácia možných nezhôd a ich príčin;
b) vyhodnotenie potreby opatrení na zabránenie výskytu nezhôd;
c) určenie a vykonanie požadovaných preventívnych opatrení;
d) záznamy o výsledkoch podniknutých krokov (pozri 4.3.3);
e) preskúmanie výsledkov prijatých opatrení.
Organizácia musí identifikovať zmeny v posúdení rizika a stanoviť požiadavky na preventívne opatrenia, pričom sa musí obracať osobitná pozornosť pre výrazne zmenené kvantitatívne ukazovatele rizika.
Priority vykonávania preventívnych opatrení by sa mali určiť na základe výsledkov posúdenia rizika.
POZNÁMKA Vo všeobecnosti sú náklady na prijatie opatrení na predchádzanie nezhodám ekonomickejšie ako nápravné opatrenia.
Vo svete informačných technológií sa otázka zabezpečenia integrity, spoľahlivosti a dôvernosti informácií stáva prioritou. Uznanie potreby systému riadenia informačnej bezpečnosti organizácie (ISMS) je preto strategickým rozhodnutím.
Bol navrhnutý na vytvorenie, implementáciu, údržbu a neustále zlepšovanie ISMS v podniku a použitím tohto štandardu na externých partnerov je zrejmé, že organizácia je schopná splniť svoje vlastné požiadavky na informačnú bezpečnosť. Tento článok bude diskutovať o základných požiadavkách normy a diskutovať o jeho štruktúre.
Vaše podnikanie dosiahne novú úroveň kvality, ak dostanete legitímny certifikát ISO s pomocou skúsených odborníkov.
Hlavné ciele normy ISO 27001
Predtým, ako pristúpime k opisu štruktúry normy, stanovme jej hlavné úlohy a zvážime históriu vzniku normy v Rusku.
Ciele normy:
- stanovenie jednotných požiadaviek pre všetky organizácie na vytváranie, implementáciu a zdokonaľovanie ISMS;
- zabezpečenie interakcie medzi vrcholovým manažmentom a zamestnancami;
- zachovanie dôvernosti, integrity a dostupnosti informácií.
Požiadavky stanovené v norme sú zároveň všeobecné a sú určené na to, aby ich uplatnila každá organizácia bez ohľadu na ich typ, veľkosť alebo povahu.
História normy:
- V roku 1995 prijal British Standards Institute (BSI) Kódex riadenia bezpečnosti informácií ako národný britský štandard a zaregistroval ho pod BS 7799 - časť 1.
- V roku 1998 BSI publikuje BS7799-2 v dvoch častiach, z ktorých jedna obsahuje kódex praxe a ďalšie požiadavky na systémy riadenia informačnej bezpečnosti.
- V priebehu následných revízií bola prvá časť uverejnená ako BS 7799: 1999, časť 1. V roku 1999 bola táto verzia normy prevedená na Medzinárodnú organizáciu pre certifikáciu.
- Tento dokument bol schválený v roku 2000 ako medzinárodná norma ISO / IEC 17799: 2000 (BS 7799-1: 2000). Najnovšia verzia tejto normy prijatej v roku 2005 je ISO / IEC 17799: 2005.
- V septembri 2002 vstúpila do platnosti druhá časť BS 7799 „Špecifikácia systému riadenia informačnej bezpečnosti“. Druhá časť BS 7799 bola revidovaná v roku 2002 a na konci roku 2005 bola ISO prijatá ako medzinárodná norma ISO / IEC 27001: 2005 " Informačné technológie - Bezpečnostné metódy - Systémy riadenia informačnej bezpečnosti - Požiadavky.
- V roku 2005 bola ISO / IEC 17799 zaradená do 27. série noriem a bola prijatá nové číslo - ISO / IEC 27002: 2005.
- 25. septembra 2013 bol aktualizovaný štandard ISO / IEC 27001: 2013 „Systémy riadenia bezpečnosti informácií. Požiadavky “. Organizácie sú v súčasnosti certifikované podľa tejto verzie normy.
Štruktúra štandardu
Jednou z výhod tohto štandardu je podobnosť jeho štruktúry s ISO 9001, pretože obsahuje identické nadpisy pododdielov, identický text, bežné pojmy a základné definície. Táto okolnosť šetrí čas a peniaze, pretože časť dokumentácie už bola vyvinutá počas certifikácie ISO 9001.
Ak hovoríme o štruktúre normy, je to zoznam požiadaviek ISMS, ktoré sú povinné pre certifikáciu a pozostávajú z nasledujúcich častí:
| Hlavné oddiely | Príloha A |
|---|---|
| 0. Úvod | A.5 Zásady bezpečnosti informácií |
| 1 oblasť použitia | A.6 Organizácia informačnej bezpečnosti |
| 2. Normatívne odkazy | A.7 Bezpečnosť ľudských zdrojov (personálu) |
| 3. Termíny a definície | A.8 Správa aktív |
| 4. Kontext organizácie | A.9 Kontrola prístupu |
| 5. Vedenie | A.10 Kryptografia |
| 6. Plánovanie | A.11 Fyzická a environmentálna bezpečnosť |
| 7. Podpora | A.12 Bezpečnosť operácií |
| 8. Operácie (Prevádzka) | A.13 Bezpečnosť komunikácie |
| 9. Hodnotenie (meranie) výkonnosti | A.14 Nákup, vývoj a údržba informačných systémov |
| 10. Zlepšenie (zlepšenie) | A.15 Vzťahy s dodávateľmi |
| A.16 Správa incidentov | |
| A.17 kontinuita podnikania | |
| A.18 Dodržiavanie právnych predpisov |
Požiadavky "Prílohy A" sú povinné, ale norma vám umožňuje vylúčiť oblasti, ktoré sa v podniku nemôžu uplatniť.
Pri implementácii normy v podniku na účely ďalšej certifikácie je potrebné pamätať na to, že nie sú povolené žiadne výnimky z požiadaviek stanovených v oddieloch 4 - 10. Tieto oddiely sa budú ďalej diskutovať.
Začnime sekciou 4 - Kontext organizácie
Kontext organizácie
V tejto časti štandard vyžaduje od organizácie, aby identifikovala vonkajšie a vnútorné problémy, ktoré sú relevantné pre jej ciele a ktoré ovplyvňujú schopnosť jej ISMS dosiahnuť očakávané výsledky. Pritom by ste mali brať do úvahy zákonné, regulačné a zmluvné povinnosti týkajúce sa informačnej bezpečnosti. Organizácia by mala tiež vymedziť a zdokumentovať rozsah a uplatniteľnosť ISMS s cieľom stanoviť jej rozsah.
vodcovstva
Vrcholový manažment by mal preukázať vodcovstvo a odhodlanie k systému riadenia informačnej bezpečnosti, napríklad zabezpečením stanovenia cieľov politiky informačnej bezpečnosti a cieľov informačnej bezpečnosti a zosúladenia so stratégiou organizácie. Vrcholový manažment by mal tiež zabezpečiť poskytnutie všetkých potrebných zdrojov pre ISMS. Inými slovami, zamestnancom by malo byť zrejmé, že manažment je zapojený do otázok informačnej bezpečnosti.
Politika informačnej bezpečnosti by sa mala dokumentovať a oznamovať zamestnancom. Tento dokument pripomína politiku kvality ISO 9001. Mal by byť tiež vhodný na účely organizácie a mal by obsahovať ciele v oblasti informačnej bezpečnosti. Je dobré, ak sa jedná o skutočné ciele, napríklad o zachovanie dôvernosti a integrity informácií.
Od manažmentu sa tiež očakáva, že medzi zamestnancov rozdelí funkcie a zodpovednosti súvisiace s bezpečnosťou informácií.
plánovanie
V tejto časti sa dostávame do prvej fázy princíp riadenia PDCA (Plan - Do - Check - Act) - naplánujte, vykonajte, skontrolujte, konajte.
Pri plánovaní systému riadenia informačnej bezpečnosti by organizácia mala zohľadniť problémy uvedené v článku 4 a určiť riziká a potenciálne príležitosti, ktoré je potrebné zohľadniť, aby sa zabezpečilo, že ISMS môže dosiahnuť očakávané výsledky, predchádzať neželaným účinkom a dosahovať neustále zlepšovanie.
Pri plánovaní spôsobu dosiahnutia svojich cieľov v oblasti informačnej bezpečnosti by organizácia mala určiť:
- čo sa bude robiť;
- aké zdroje budú potrebné;
- kto bude mať na starosti;
- keď sa dosiahnu ciele;
- ako sa budú hodnotiť výsledky.
Okrem toho organizácia uchováva údaje o cieľoch informačnej bezpečnosti ako dokumentované informácie.
zabezpečenia
Organizácia musí určiť a poskytnúť zdroje potrebné na vývoj, implementáciu, údržbu a neustále zlepšovanie ISMS, a to vrátane personálu aj dokumentácie. Pokiaľ ide o personál, očakáva sa, že organizácia prijme nábor kvalifikovaného a kompetentného personálu informačnej bezpečnosti. Kvalifikácia zamestnancov musí byť potvrdená osvedčeniami, diplomami atď. Na základe zmluvy je možné prilákať odborníkov tretích strán alebo vyškoliť svojich zamestnancov. Pokiaľ ide o dokumentáciu, mala by obsahovať:
- zdokumentované informácie požadované štandardom;
- zdokumentované informácie určené organizáciou ako potrebné na zabezpečenie účinnosti systému riadenia informačnej bezpečnosti.
Dokumentované informácie požadované ISMS a štandardom sa musia kontrolovať, aby sa zabezpečilo, že:
- - dostupné a vhodné na použitie tam, kde je to potrebné, a -
- primerane chránené (napríklad pred stratou dôvernosti, zneužitím alebo stratou integrity).
fungovanie
Táto časť pojednáva o druhej fáze princípu správy PDCA - o potrebe organizácie riadiť procesy, aby zabezpečila súlad a sledovala činnosti uvedené v časti Plánovanie. Stanovuje tiež, že organizácia by mala vykonať hodnotenie rizika informačnej bezpečnosti v plánovaných intervaloch alebo v prípade, že sú navrhnuté alebo nastali významné zmeny. Organizácia si ponechá výsledky posúdenia rizika bezpečnosti informácií ako zdokumentované informácie.
Hodnotenie výkonnosti
Treťou fázou je overenie. Organizácia vyhodnotí fungovanie a efektívnosť ISMS. Napríklad musí vykonať interný audit, aby získala informácie o tom, či
- je systém riadenia informačnej bezpečnosti konzistentný
- vlastné požiadavky organizácie na jej systém riadenia informačnej bezpečnosti;
- požiadavky normy;
- že systém riadenia informačnej bezpečnosti je účinne implementovaný a funkčný.
Je samozrejmé, že rozsah a časový rozvrh auditov by sa mal plánovať vopred. Všetky výsledky musia byť zdokumentované a uchované.
Zlepšenie
Zmyslom tejto časti je určiť postup pri zistení nezhody. Organizácia musí napraviť nezrovnalosti, následky a analyzovať situáciu, aby sa tak nestalo v budúcnosti. Všetky nezhody a nápravné opatrenia by sa mali zdokumentovať.
Týmto sa uzatvárajú hlavné oddiely normy. V dodatku A sú uvedené konkrétnejšie požiadavky, ktoré musí organizácia spĺňať. Napríklad pokiaľ ide o riadenie prístupu, používanie mobilných zariadení a médií.
Výhody zavedenia a certifikácie normy ISO 27001
- zvýšenie štatútu organizácie a podľa toho aj dôvery partnerov;
- zvýšenie stability organizácie;
- zvýšenie úrovne ochrany pred hrozbami informačnej bezpečnosti;
- zabezpečenie požadovanej úrovne dôvernosti informácií zainteresovaných strán;
- rozširovanie príležitostí organizácie zúčastňovať sa na veľkých zákazkách.
Ekonomické prínosy sú:
- nezávislé potvrdenie certifikačného orgánu o tom, že organizácia má vysokú úroveň informačnej bezpečnosti, kontrolovaná kompetentným personálom;
- dôkaz o zhode s platnými zákonmi a predpismi (súlad so systémom povinných požiadaviek);
- demonštrácia určitej vysokej úrovne systémov riadenia s cieľom zabezpečiť náležitú úroveň služieb zákazníkom a partnerom organizácie;
- preukázanie pravidelných auditov systémov riadenia, hodnotenie výkonnosti a neustále zlepšovanie.
osvedčenie
Organizácia môže byť certifikovaná akreditovanými agentúrami v súlade s touto normou. Proces certifikácie pozostáva z troch etáp:
- 1. etapa - štúdia audítora o kľúčových dokumentoch ISMS z hľadiska súladu s požiadavkami štandardu - sa môže vykonať na území organizácie a odovzdaním týchto dokumentov externému audítorovi;
- 2. etapa - podrobný audit, vrátane testovania implementovaných opatrení a vyhodnotenia ich účinnosti. Zahŕňa kompletnú štúdiu dokumentov vyžadovaných normou;
- 3. etapa - vykonanie inšpekčného auditu na potvrdenie, že certifikovaná organizácia spĺňa stanovené požiadavky. Vykonáva sa pravidelne.
výsledok
Ako vidíte, uplatňovanie tohto štandardu v podniku umožní kvalitatívne zvýšiť úroveň informačnej bezpečnosti, ktorá v podmienkach moderná realita stojí to veľa. Norma obsahuje veľa požiadaviek, ale najdôležitejšou požiadavkou je robiť to, čo je napísané! bez reálna aplikácia požiadavky normy, premení sa v prázdny súbor kúskov papiera.
Pošlite svoju dobrú prácu v databáze znalostí je jednoduché. Použite nasledujúci formulár
Študenti, absolventi vysokých škôl, mladí vedci, ktorí vo svojich štúdiách a práci využívajú vedomostnú základňu, vám budú veľmi vďační.
Publikované dňa http://www.allbest.ru/
„Systém riadenia informačnej bezpečnosti“
medzinárodný štandard riadenia
INvodivá
Systém riadenia informačnej bezpečnosti je skupina procesov, ktoré pracujú v spoločnosti na zabezpečení dôvernosti, integrity a dostupnosti informačných prostriedkov. V prvej časti eseje sa posudzuje proces implementácie systému riadenia v organizácii a uvádzajú sa hlavné aspekty výhod zavedenia systému riadenia informačnej bezpečnosti.
Obr. Kontrolný cyklus
Zoznam procesov a odporúčaní ako najlepšia cesta na organizovanie ich fungovania sú uvedené v medzinárodnej norme ISO 27001: 2005, ktorá vychádza z cyklu riadenia Plán-Do-Check-Act. Životný cyklus ISMS podľa neho pozostáva zo štyroch typov aktivít: Tvorba - Implementácia a prevádzka - Monitorovanie a analýza - Údržba a zlepšovanie (obr. 1). Tento štandard sa podrobnejšie rozoberie v druhej časti.
FROMsystémzvládanieinformáciezabezpečenia
Systém riadenia informačnej bezpečnosti (ISMS) je súčasťou celkového systému riadenia, ktorý je založený na prístupe k obchodným rizikám pri tvorbe, implementácii, prevádzke, monitorovaní, analýze, podpore a zdokonaľovaní informačnej bezpečnosti. Procesy ISMS sú navrhnuté v súlade s požiadavkami normy ISO / IEC 27001: 2005, ktorá je založená na cykle
Práca systému je založená na prístupoch moderná teória riadenie rizík, ktoré zabezpečuje jeho integráciu do celkového systému riadenia rizík organizácie.
Implementácia systému riadenia informačnej bezpečnosti si vyžaduje vypracovanie a implementáciu postupu zameraného na systematickú identifikáciu, analýzu a zmierňovanie rizík informačnej bezpečnosti, to znamená, že riziká, v dôsledku ktorých informačné aktíva (informácie v akejkoľvek forme a akejkoľvek povahy) stratia svoju dôvernosť, integritu a dostupnosť.
Na zabezpečenie systematického zmiernenia rizík informačnej bezpečnosti sa na základe výsledkov posúdenia rizika v organizácii zavádzajú tieto procesy:
· Riadenie vnútornej organizácie informačnej bezpečnosti.
· Zabezpečenie informačnej bezpečnosti pri interakcii s tretími stranami.
· Správa registra informačných aktív a pravidlá ich klasifikácie.
· Riadenie bezpečnosti zariadení.
· Zabezpečenie fyzickej bezpečnosti.
· Zabezpečenie informačnej bezpečnosti personálu.
· Plánovanie a zavádzanie informačných systémov.
· Zálohovanie.
· Zabezpečenie bezpečnosti siete.
Procesy systému riadenia informačnej bezpečnosti ovplyvňujú všetky aspekty riadenia IT infraštruktúry organizácie, pretože informačná bezpečnosť je výsledkom udržateľného fungovania procesov súvisiacich s informačnými technológiami.
Pri budovaní ISMS v spoločnostiach odborníci vykonávajú nasledujúce práce:
· Organizovať riadenie projektu, tvoriť projektový tím zo strany zákazníka a dodávateľa;
· Definovať rozsah činnosti ISMS;
Prieskum organizácie v OD ISMS:
o z hľadiska obchodných procesov organizácie vrátane analýzy negatívne následky incidenty v oblasti informačnej bezpečnosti;
o pokiaľ ide o procesy riadenia organizácie vrátane existujúcich procesov riadenia kvality a riadenia informačnej bezpečnosti;
o pokiaľ ide o IT infraštruktúru;
o z hľadiska informačnej bezpečnostnej infraštruktúry.
Vypracovať a dohodnúť sa na analytickej správe, ktorá obsahuje zoznam hlavných obchodných procesov a hodnotenie dôsledkov vykonávania hrozieb v oblasti informačnej bezpečnosti vo vzťahu k nim, zoznam procesov riadenia, systémy IT, subsystémy informačnej bezpečnosti (ISS), hodnotenie stupňa, v akom organizácia splnila všetky požiadavky normy ISO 27001, a hodnotenie zrelosti procesov. organizáciami;
· Vybrať počiatočnú a cieľovú úroveň zrelosti ISMS, vypracovať a schváliť program splatnosti ISMS; vypracovať dokumentáciu o zabezpečení na vysokej úrovni:
o koncepcia informačnej bezpečnosti,
o politiky IS a ISMS;
· Vyberte a upravte metodiku posudzovania rizika platnú v organizácii.
· Výber, dodávka a nasadenie softvéru používaného na automatizáciu procesov ISMS, organizovanie školení pre podnikových špecialistov;
· Hodnotiť a spracovávať riziká, počas ktorých sa vyberajú opatrenia uvedené v dodatku A normy 27001 na ich zníženie a formulujú sa požiadavky na ich implementáciu v organizácii, vopred sa vyberajú technické prostriedky informačnej bezpečnosti;
· Vypracovať predbežné návrhy PIB, posúdiť náklady na ošetrenie rizika;
· Organizovať schvaľovanie posúdenia rizika vrcholovým manažmentom organizácie a vypracovať vyhlásenie o uplatniteľnosti; vypracovať organizačné opatrenia na zabezpečenie informačnej bezpečnosti;
· Vypracovať a implementovať technické projekty na implementáciu subsystémov technickej bezpečnosti informácií, ktoré podporujú vykonávanie vybraných opatrení vrátane dodávok zariadení, uvádzania do prevádzky, rozvoja prevádzkovej dokumentácie a školenia používateľov;
· Poskytovať konzultácie počas prevádzky vybudovaného ISMS;
· Organizovať školenia interných audítorov a vykonávať interné audity ISMS.
Výsledkom týchto prác je fungujúci ISMS. Prínosy z implementácie ISMS v spoločnosti sa dosahujú prostredníctvom:
· Účinné riadenie dodržiavania právnych požiadaviek a obchodných požiadaviek v oblasti informačnej bezpečnosti;
· Predchádzanie incidentom IS a znižovanie škôd v prípade ich výskytu;
· Zvýšenie kultúry informačnej bezpečnosti v organizácii;
· Zvyšujúca sa zrelosť v oblasti riadenia informačnej bezpečnosti;
· Optimalizácia výdavkov na informačnú bezpečnosť.
ISO / IEC27001-- medzinárodnýstandardpodľainformáciezabezpečenia
Táto norma bola vyvinutá spoločne Medzinárodnou organizáciou pre normalizáciu (ISO) a Medzinárodnou elektrotechnickou komisiou (IEC). Norma obsahuje požiadavky na bezpečnosť informácií pri vytváraní, vývoji a údržbe ISMS. ISO 27001 špecifikuje požiadavky na ISMS na preukázanie schopnosti organizácie chrániť svoje informačné aktíva. Medzinárodná norma používa pojem „informačná bezpečnosť“ a interpretuje sa tak, že zabezpečuje dôvernosť, integritu a dostupnosť informácií. Základom normy je systém riadenia informačných rizík. Táto norma sa môže tiež použiť na posúdenie súladu zainteresovanými internými a externými stranami.
Norma prijíma procesný prístup na vytváranie, implementáciu, prevádzku, nepretržité monitorovanie, analýzu, údržbu a zlepšovanie systému riadenia informačnej bezpečnosti (ISMS). Spočíva v aplikácii systému procesov v organizácii, spolu s identifikáciou a interakciou týchto procesov, ako aj v ich riadení.
Medzinárodný štandard prijíma model Plan-Do-Check-Act (PDCA), tiež nazývaný Shewhart-Demingov cyklus. Tento cyklus sa používa na štruktúrovanie všetkých procesov ISMS. Obrázok 2 ukazuje, ako ISMS berie požiadavky na informačnú bezpečnosť a očakávania zainteresovaných strán ako vstupy a prostredníctvom potrebných akcií a procesov vytvára výsledky informačnej bezpečnosti, ktoré spĺňajú tieto požiadavky a očakávania.
Plánovanie je fáza vytvorenia ISMS, vytvorenia súpisu majetku, hodnotenia rizík a výberu opatrení.
Obrázok 2. Model PDCA aplikovaný na procesy ISMS
Implementácia je fázou vykonávania a vykonávania vhodných opatrení.
Preskúmanie je fáza hodnotenia účinnosti a výkonnosti ISMS. Spravidla ich vykonávajú interní audítori.
Opatrenia - prijímanie preventívnych a nápravných opatrení.
INzávery
Opisuje sa ISO 27001 všeobecný model implementácia a prevádzka ISMS, ako aj akcie na monitorovanie a zlepšovanie ISMS. ISO má v úmysle harmonizovať rôzne normy systému riadenia, ako napríklad ISO / IEC 9001: 2000, ktorá sa zaoberá riadením kvality, a ISO / IEC 14001: 2004, ktorá sa zaoberá systémami environmentálneho riadenia. Cieľom ISO je zabezpečiť konzistentnosť a integráciu ISMS s ostatnými systémami riadenia v spoločnosti. Podobnosť noriem umožňuje použitie podobných nástrojov a funkcií na implementáciu, správu, revíziu, overovanie a certifikáciu. Dôsledkom je, že ak spoločnosť zaviedla iné štandardy riadenia, môže ju použiť jednotný systém audit a kontrola, ktoré sa vzťahujú na riadenie kvality, environmentálne riadenie, riadenie bezpečnosti atď. Implementáciou ISMS získa vrcholový manažment prostriedky na monitorovanie a správu bezpečnosti, čo znižuje zostatkové obchodné riziká. Po zavedení ISMS môže spoločnosť formálne zabezpečiť bezpečnosť informácií a naďalej plniť požiadavky zákazníkov, legislatívy, regulátorov a akcionárov.
Je potrebné poznamenať, že v právnych predpisoch Ruskej federácie existuje dokument GOST R ISO / IEC 27001-2006, ktorý je preloženou verziou medzinárodnej normy ISO27001.
FROMpiskotliteratúra
1. Korneev I.R., Belyaev A.V. Informačná bezpečnosť podniku. - SPb.: BHV-Petersburg, 2003. - 752 s.: Chorý.
2.Medzinárodná norma ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (dátum prístupu: 23. 5. 2012)
3.Národný štandard Ruská federácia GOST R ISO / IEC 27003 - „Informačné technológie. Bezpečnostné metódy. Pokyny na implementáciu systému riadenia informačnej bezpečnosti“ (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14. pdf) (dátum prístupu: 23.05.12)
4. Skiba V.Yu., Kurbatov V.A. Pokyny na ochranu pred vnútornými hrozbami pre bezpečnosť informácií. SPb.: Peter, 2008. - 320 s.: Chorý.
5. Článok bezplatnej encyklopédie „Wikipedia“, „Systém riadenia
informačná bezpečnosť “(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (dátum prístupu: 23.05.12)
6. Sigurjon Thor Arnason a Keith D. Willett „Ako dosiahnuť certifikáciu 27001“
Uverejnené na Allbest.ru
Podobné dokumenty
Hrozby informačnej bezpečnosti v podniku. Identifikácia nedostatkov v systéme informačnej bezpečnosti. Ciele a zámery tvorby systému informačnej bezpečnosti. Navrhované opatrenia na zlepšenie systému informačnej bezpečnosti organizácie.
semester, pridané 02/03/2011
Analýza systému informačnej bezpečnosti v podniku. Služba informačnej bezpečnosti. Hrozby informačnej bezpečnosti špecifické pre podniky. Metódy a prostriedky ochrany informácií. Model informačného systému z hľadiska bezpečnosti.
semester, pridané 02/03/2011
Hlavné etapy vytvárania systému riadenia v podniku potravinársky priemysel... HACCP ako chrbtica akéhokoľvek systému riadenia bezpečnosti potravín. Systém riadenia bezpečnosti produkty na jedenie... Nebezpečné faktory a preventívne opatrenia.
abstrakt, pridané 10/14/2014
Moderné systémy riadenia a ich integrácia. Integrované systémy riadenia kvality. Opis JSC "275 ARZ" a jej systému riadenia. Vývoj systému riadenia bezpečnosti práce. Metódy posudzovania integrovaného bezpečnostného systému.
práca, pridané 31.07.2011
Implementácia systému riadenia kvality. Certifikácia systémov manažérstva kvality (ISO 9000), environmentálneho manažérstva (ISO 14000), systémov manažérstva bezpečnosti a ochrany zdravia organizácií (OHSAS 18 001: 2007) na príklade JSC "Lenta".
abstrakt, pridané 10/06/2008
Vypracovanie normy na organizáciu integrovaného systému riadenia, ktorým sa ustanovuje jednotný postup vykonávania procesu správy dokumentov. Etapy vytvorenia systému riadenia kvality JSC "ZSMK". Umiestňovanie elektronických verzií dokumentov.
práca, pridané 06/01/2014
Hierarchický diagram zamestnancov. Nástroje informačnej bezpečnosti. Bezpečnostné otázky. systém informačné toky podniky. Metódy monitorovania integrity informačného systému. Modelovanie riadenia prístupu k servisným informáciám.
semester, pridané 12/30/2011
Koncepcia manažérskeho informačného systému a jeho miesto v roku 2007 spoločný systém zvládanie. Druhy informačných systémov a ich obsah. Pojem manažment ako informačný systém. Funkcie systému finančného riadenia. Systémy na vykonávanie transakcií a operácií.
abstrakt pridané dňa 1. 6. 2015
Koncepty v oblasti bezpečnosti a ochrany zdravia pri práci. Medzinárodné normy ISO o systémoch riadenia kvality, systémoch environmentálneho manažérstva, systémoch riadenia bezpečnosti a ochrany zdravia pri práci. Prispôsobenie normy OHSAS 18001-2007.
semesterový príspevok pridaný 21/21/2014
Vlastnosti správy informácií; subjekty informácií a právnych vzťahov; právny režim získavania, prenosu, uchovávania a používania informácií. Funkcie a právne aspekty výmena informácií a bezpečnosť informácií.
12. september 2011
Riadenie informačnej bezpečnosti podľa ISO 27001. Požiadavky na dokumentáciu
Happinnes existuje. Riadenie informačnej bezpečnosti je možné budovať na základe normy ISO 27001. Mikhail Vinnikov, zástupca vedúceho metodickej práce oddelenia „Audit informačných systémov“ odboru auditu a poradenských služieb finančných inštitúcií FBK, hovorí, ako to urobiť:
Dnes budem hovoriť o procese, ktorý, zdá sa, nemá nič spoločné s informačnou bezpečnosťou, skôr - s dokumentačným tokom, ale v skutočnosti je to dôležitý proces, ktorý operátorovi ušetrí veľa času a nervov - o tom, aké požiadavky sa kladú na dokumentovanie procesov bezpečnosti informácií, alebo - ako správne a s opísať ISMS s minimálnym úsilím a aktualizovať tieto popisy. Prirodzene, so zameraním na ISO 27001.
Úroveň informačnej bezpečnosti (ďalej len „IS“) primeraná potrebám organizácie si vyžaduje jasné vyhlásenie o základných pravidlách, zásadách a úlohách, ich primeranej implementácii do opakovateľných a kontrolovaných ochranných opatrení, vykonávaní opatrení v praxi zamestnancami organizácie pri súčasnom zabezpečení rýchleho odrazu súčasnej situácie na prijatie vhodných manažérov. akcie.
Najlepšia cesta implementácia tohto - obliecť myšlienky, praktické myšlienky a výsledky aktivít na zaistenie informačnej bezpečnosti v dokumentárnej forme, čo umožní, po prvé, určiť štruktúru interakcie pravidiel a praktických krokov, ktoré ich implementujú, a po druhé, priviesť pravidlá pre každého zamestnanca na primeranú úroveň obchodného procesu. a požiadavky IS, ktorými by sa mal riadiť pri plnení svojich požiadaviek pracovná náplň, a tiež určiť postup monitorovania ich súladu.
Na základe vyššie uvedeného získame novú „pobočku“ v schéme systému riadenia informačnej bezpečnosti (ISMS) podľa normy ISO 27001 (ďalej len „norma“):
„ISIB“ - „vyvíja“ - „požiadavky na dokumentáciu“.
Kódy v názvoch úloh, ako už boli uvedené na začiatku našich publikácií, označujú číslo oddielu normy ISO 27001.
Ako organizovať dokumentárny podporný systém ISMS?
Každý typ dokumentu môže byť ďalej charakterizovaný nasledujúcimi atribútovými otázkami, ktoré ovplyvňujú jeho životný cyklus:
- pre koho je určený (kto ho prečíta);
- kto s tým súhlasí a schváli ho;
- ako často sa môže meniť.
Na druhej strane dokumenty možno formálne rozdeliť na programové (referenčné) a operatívne (obsahujúce výsledky činností). Pokiaľ ide o normu, tieto dokumenty sú rozdelené do skutočných dokumentov a záznamov.
Podľa normy by dokumentácia ISMS mala obsahovať informácie o:
- zdokumentované ustanovenia politiky ISMS, jej ciele a oblasti pôsobenia, politika IS;
- postupy a kontroly používané ISMS;
- metodika posudzovania rizík informačnej bezpečnosti;
- výsledky posúdenia rizika a plány ich liečby;
- postupy posudzovania výsledkov fungovania ISOIB;
- dôkaz o fungovaní ISMS.
V akom formáte by sa tieto informácie mali uvádzať?
Pri vývoji systému dokumentov, ktorý poskytuje ISMS, existuje konflikt medzi pracovnou náročnosťou (potreba zdrojov) pri prvotnom vytváraní dokumentov a ich ďalším uchovávaním v aktuálnom stave. Na jednej strane je potrebné, aby počet druhov (nomenklatúra) a počet samotných dokumentov boli čo najmenšie (ľahšie je spravovať malé množstvo, môžete dokončiť prípravu celého balíka rýchlejšie, atď.). Na druhej strane, ak ISMS „žije“ a vyvíja sa neustále, dokumenty sa musia pravidelne a v určitých obdobiach vývoja - často opravovať a vylepšovať. Ak sú dokumenty o informačnej bezpečnosti zahrnuté do všeobecného „byrokratického“ cyklu organizácie: „vývoj-koordinácia-schvaľovanie“, potom čím vyššia je úroveň schvaľovania a schvaľovania dokumentov, tým dlhší je cyklus zavádzania nových verzií dokumentov, tým ťažšie je ich aktualizovať. stav.
Predpokladajme, že organizácia vyvinula politiku informačnej bezpečnosti vrátane ustanovení o pravidlách pre akcie v určitých oblastiach informačnej bezpečnosti (nazývané politiky bezpečnosti súkromných informácií). Vzhľadom na to, že všetci zamestnanci organizácie by mali byť oboznámení s politikou IS, pokúsili sa urobiť dokument príliš objemným a podrobným a ustanovenia súkromných politík boli stručne opísané vo forme výpisov.
Čo sa stalo ako výsledok?
Dokument sa stále ukázal byť ťažký - viac ako tucet strán, čo je veľa. Výsledné súkromné \u200b\u200bpolitiky z dôvodu ich nešpecifickosti nevysvetľujú prakticky nič, a preto nie je možné ich uplatniť. Dokument je ťažké udržiavať - \u200b\u200bak chcete vykonať a schváliť úpravu oddielu, napríklad bezpečné používanie internetu pri rozhodovaní, či používať systém identifikácie prieniku (IDS), musíte počkať na ďalšie stretnutie riaditeľov atď. Tie. dokument sa ukázal ako nefunkčný.
Politika informačnej bezpečnosti by mala byť ľahko zrozumiteľná a v ideálnom prípade by sa mala zmestiť na jednu alebo dve stránky, pretože ako strategický dokument je schválená na najvyššej úrovni hierarchie riadenia a všetci zamestnanci organizácie by sa s ňou mali zoznámiť. Rozdelenie všeobecných a súkromných politík do samostatných dokumentov umožňuje efektívnejšie spresniť, rozšíriť a upraviť súkromné \u200b\u200bpolitiky, schválenie príslušného dokumentu bude oveľa rýchlejšie, pričom BEZ ZMENY všeobecnej politiky bezpečnosti informácií.
To isté platí, ak súkromná politika odráža použitie konkrétnej technológie alebo systému, jeho konfiguráciu. Zmena systému alebo zmena konfigurácie znamená zmenu dokumentu podpísaného na úrovni riaditeľa. Nesprávne! V súkromnej politike je ľahšie poukázať na podriadené dokumenty (tretia a štvrtá úroveň), pričom v prílohe k súkromnej politike je pripojený formát a zoznam informácií potrebných na zabezpečenie riadenia.
Dúfam, že som vás presvedčil o myšlienke, že systém dokumentov o informačnej bezpečnosti by sa mal zostavovať podľa hierarchickej schémy s naj všeobecnejšími a abstraktnými dokumentmi na najvyššej úrovni hierarchie a so zvyšovaním „konkrétnosti“, keď sa blížime k praktickej časti.
Čo nás štandardy odporúčajú?
Norma ISO 13335-1 poskytuje 4 úrovne politík (pravidiel) bezpečnosti informácií:
- bezpečnostná politika spoločnosti;
- politika informačnej bezpečnosti;
- podniková politika v oblasti bezpečnosti informačných a komunikačných technológií;
- bezpečnostná politika [individuálnych] systémov informačných a komunikačných technológií.
Odporúčania v oblasti štandardizácie Ruskej banky RS BR IBBS 2.0-2007 ponúkajú nasledujúcu interpretáciu ustanovení vyššie uvedenej normy:
Aké dokumenty je možné priradiť každej z úrovní?
Úrovne dokumentov | Typy dokumentov |
Prvá úroveň | Politika ISMS, politika informačnej bezpečnosti, koncepcia informačnej bezpečnosti |
Druhá úroveň | - Zásady bezpečnosti súkromných informácií (zabezpečenie fyzickej bezpečnosti, zabezpečenie prístupu, používanie internetu a internetu) e-mail, Informačná bezpečnosť v technologických procesoch atď.) |
Tretia úroveň | Pokyny, predpisy, postupy, príručky, učebné pomôcky a programy odbornej prípravy, požiadavky na konfiguráciu atď. |
Štvrtá úroveň | Záznamy do systémových denníkov OS, DBMS a IS; registre informačných aktív; žiadosti a dokončené objednávky na poskytnutie prístupu; záznamy v protokoloch o výcviku a výučbe v oblasti informačnej bezpečnosti, protokoly o skúškach, akty, povinnosti týkajúce sa nezverejnenia dôverných informácií atď. |
Dokumenty priradené k rôznym úrovniam hierarchie majú rôzne životné cykly.
Úrovne dokumentov | Ako často sa menia? |
Prvá úroveň | zriedka (zmeny strategickej úrovne) |
Druhá úroveň | nie často (so zmenami na úrovni taktických rozhodnutí) |
Tretia úroveň | pomerne často |
Štvrtá úroveň | nepretržite |
Dokumenty na vysokej úrovni by mali byť čo najviac zovšeobecnené a abstraktné a mali by sa meniť, keď sa mení strategická úroveň - zmena obchodnej stratégie, prijatie nových noriem, zásadná zmena v informačnom systéme atď. Dokumenty podriadené hierarchii (tretia úroveň) sa môžu meniť oveľa častejšie - pri zavádzaní nových produktov, technológií informačnej bezpečnosti, vytváraní dodatočných kurzov odbornej prípravy alebo vývoji postupov na zálohovanie informácií. Na štvrtej úrovni sa záznamy vytvárajú nepretržite a časom, s najväčšou pravdepodobnosťou sa ich formát spresní.
Dokumenty umiestnené na rôznych úrovniach hierarchie vyžadujú schválenie na rôznych úrovniach vlády.
Dokumenty na vysokej úrovni - zásady ISMS a IS, ktoré definujú strategické prístupy k údržbe IS, sa schvaľujú na úrovni vlastníkov alebo predstavenstva.
Súkromné \u200b\u200bpolitiky, ktorými sa riadi informačná bezpečnosť v konkrétnych oblastiach, sa môžu schvaľovať na úrovni výkonného riaditeľa alebo vedúceho dozoru, ale zároveň by sa v oddeleniach mali dosiahnuť široké dohody, na ktoré majú tieto oblasti činnosti vplyv.
Nariadenia, pokyny a ďalšie praktické dokumenty sú pracovné dokumenty útvarov prevádzkujúcich infraštruktúru informačnej bezpečnosti, vytvárajú ich, opravujú a menia. IN individuálne prípady, niektoré dokumenty tretích strán môžu vyžadovať schválenie na úrovni vedenia organizácie (napríklad nariadenia o oddeleniach atď.)
V prípade potreby sa dôkaz o fungovaní IS overuje podpisom dodávateľa.
Aby nedošlo k zámene vo verziách dokumentov, aby sa dokumenty správne distribuovali medzi zamestnancov, pre ktorých sú určené, musí sa celá táto hromada dokumentov spravovať.
Postup kontroly dokumentov by mal zabezpečiť:
- schvaľovanie dokumentov na primeranej úrovni riadiacej štruktúry organizácie;
- revízia a modernizácia dokumentov, ak je to potrebné;
- zabezpečenie identifikácie vykonaných zmien a aktuálneho stavu verzií dokumentov;
- prístup k pracovným verziám dokumentov na miestach ich použitia;
- existencia postupu na identifikáciu dokumentov a zabezpečenie prístupu k nim;
- prístup k dokumentom oprávnených osôb, ako aj skutočnosť, že ich životný cyklus (prenos, uloženie a zničenie) sa vykonáva v súlade s úrovňou utajenia ich dôvernosti;
- identifikácia dokumentov vytvorených mimo organizácie;
- kontrola distribúcie dokumentov;
- zabránenie používania neaktuálnych dokumentov;
- primeranú identifikáciu zastaraných dokumentov v prípade, že sa uchovávajú na akýkoľvek účel.
Je vhodné opísať postup pre správu dokumentov o bezpečnosti informácií vo forme samostatného dokumentu obsahujúceho okrem iného zoznam a účel všetkých dokumentov, obdobie a / alebo podmienky revízie, kto je vlastníkom každého z dokumentov, ktorý súhlasí a schvaľuje, pre ktoré dokumenty je určený každý typ dokumentov. atď.
Všetky pravidlá pre vytváranie, zmenu, schvaľovanie a schvaľovanie dokumentov musia byť v súlade s pravidlami toku dokumentov akceptovanými v organizácii.
Je potrebné poznamenať, že postup revízie dokumentov nemusí nevyhnutne znamenať zmeny v dokumentoch. Je užitočné ustanoviť pre niektoré typy dokumentov postup potvrdzovania ich relevantnosti, ktorý sa vykonáva v dlhých, ale pravidelných intervaloch. Z odporúčaní Ruskej banky o trvaní troch rokov na vykonanie sebahodnotenia alebo auditu súladu s požiadavkami normy STO BR IBBS-1.0 je možné predpokladať, že to isté obdobie na revíziu / potvrdenie politiky IS možno považovať za primerané (v tomto zmysle NOT RARE!). V prípade ostatných dokumentov je možné, že postup revízie by sa mal vykonávať trochu častejšie.
Dôkazy o fungovaní ISMS by sa mali získavať aj vo forme dokumentov, ktoré existujú v konvenčnej papierovej alebo elektronickej podobe. Dôkaz o fungovaní ISMS zahŕňa rôzne žiadosti a príkazy na udelenie prístupu, záznamy denníka operačné systémy, DBMS a aplikačné programy, výsledky fungovania systémov prevencie prieniku a správy o výsledkoch penetračného testu, úkonov kontroly konfigurácie pracovných staníc a serverov atď. Táto trieda dokumentov sa v norme označuje ako „záznamy“. Postup riadenia záznamov by mal zabezpečiť, aby boli kontrolované a chránené pred úpravami. za určitých podmienok môžu byť materiálmi na vyšetrovanie incidentov týkajúcich sa informačnej bezpečnosti a kvalita uchovávania týchto materiálov určuje, či budú tieto materiály uznané ako legitímne alebo naopak nedôveryhodné. Záznamy zahŕňajú aj výsledky monitorovania ISMS, vyšetrovania incidentov informačnej bezpečnosti, správy o výsledkoch fungovania ISMS atď.
Postupy správy záznamov by mali:
- zabezpečiť, aby listinné dôkazy boli jasné, jednoduché, identifikovateľné a vymáhateľné;
- používať kontrolné opatrenia, ktoré zabezpečujú identifikáciu, uchovávanie, ochranu dôverných informácií a integrity, vyhľadávanie, určovanie časov uchovávania a poradie zničenia.
Ako príklad uvedieme malý „vertikálny“ fragment zo zoznamu typov dokumentov, ktoré tvoria dokumentačný systém ISMS, napríklad poskytovaním informačnej bezpečnosti pri prístupe na internet:
hladina | Dokumenty |
Prvá úroveň | > Politika informačnej bezpečnosti organizácie > Koncept informačnej bezpečnosti |
Druhá úroveň | > Súkromná politika informačnej bezpečnosti organizácie pri práci s internetovými zdrojmi > Výrazy použité v dokumentoch o informačnej bezpečnosti (glosár) |
Tretia úroveň | > Postup poskytovania prístupu používateľom k internetovým zdrojom > Opis prístupových profilov (skupina povolení a zákazov) k internetovým zdrojom > Schéma počítačovej siete pripojenej k internetu > Karta nastavení servera proxy > Konfiguračná karta brány firewall medzi segmentmi internej siete a demilitarizovanou zónou (DMZ) > Karta nastavenia pracovnej stanice [pre prístup na internet] > Poznámka používateľa o tom, ako používať internetové zdroje > Opis a požiadavky na kvalifikáciu funkčnej úlohy „správca systémov prístupu na internet“ > Opis práce zamestnanca vykonávajúceho funkčnú úlohu „správca systémov prístupu na internet“ |
Štvrtá úroveň | > Poradie aplikácií na pripojenie používateľa k používaniu internetových zdrojov > Zoznam používateľov pripojených na internet s uvedením prístupového profilu > Protokol servera proxy o prístupe používateľov k internetovým zdrojom > Protokol systému detekcie narušenia (IDS ) v segmente siete umiestnenom vDMZ > Správa o vniknutíDMZ objavil IDS > Zákon o kontrole konfigurácie brány firewall |
Uvedený zoznam nie je ani zďaleka vyčerpávajúci ani pre zvolený smer a závisí od konkrétnych technológií a služieb, ktoré organizácia prijíma alebo poskytuje prostredníctvom internetu, ako aj od prístupov k zabezpečeniu informačnej bezpečnosti.
Tu je niekoľko všeobecných pokynov na vytváranie dokumentov ISMS.
\u003e Vo forme samostatného dokumentu by sa mal vypracovať dokument nazvaný „Slovník“, ktorý je spoločný aspoň pre dokumenty prvých dvoch úrovní, ktorý sa používa pri príprave dokumentov a ktorý je v dokumentoch uvedený ako odkaz.
\u003e Na štandardizáciu foriem dokumentov je možné v prílohách k dokumentom na vysokej úrovni uviesť formy podriadených dokumentov, najmä tie, ktoré sú dôkazom o exekúcii (správy, formuláre žiadostí atď.). Na jednej strane to trochu komplikuje postup pre počiatočný vývoj dokumentu. Na druhej strane, ak sú všetky súvisiace dokumenty vyvinuté ako prvky postupu, okamžite získate technológiu pripravenú na použitie.
> Častá chyba pri príprave dokumentov na vysokej úrovni (politiky a súkromné \u200b\u200bpolitiky, nariadenia atď.) je potrebné priamo do textu dokumentov zadávať konkrétne názvy, názvy systémov atď. Zmena exekútora teda vedie aj k začatiu dlhého cyklu schvaľovania „novej“ verzie dokumentu. Je lepšie spočiatku preniesť takéto „variabilné“ hodnoty do aplikácií, podriadených dokumentov alebo záznamov (dokumenty štvrtej úrovne).
\u003e Pri vytváraní „praktických“ dokumentov pri opise výkonu určitej funkcie sa odporúča uviesť nie pozíciu, ale funkčnú úlohu, napríklad „správca antivírusového systému“ alebo „prevádzkovateľ záložného systému“ av samostatnom dokumente vedie register zamestnancov vykonávajúcich určitú úlohu. ... Tým sa predĺži životnosť dokumentu bez potreby opráv a poskytne sa flexibilita pri jeho používaní, pretože môžete si viesť samostatný register „kompetencií“ a v prípade potreby rýchlo nahradiť výkonných umelcov.
\u003e Každý dokument musí obsahovať znak svojho vlastníka (zodpovedného zamestnanca), rozsah a podmienky revízie.
\u003e Dokumenty a záznamy ISMS môžu existovať v „tvrdej“ (papierovej) alebo elektronickej podobe. S cieľom poskytnúť audítorom alebo revízorom kópie kópií dokumentov v elektronickej podobe musia existovať vhodné postupy a musia sa určiť ich zodpovední exekútori.
K vyššie uvedenému môžeme dodať, že ak vypracovanie dokumentov na vysokej úrovni (politiky, nariadenia atď.) Možno zveriť externým konzultantom, potom by dokumenty a záznamy nižších úrovní mali tvoriť a aktualizovať zamestnanci organizácie, ktorí sa maximálne podieľajú na fungovaní ISMS a jej základné postupy.
V ďalšej publikácii budeme diskutovať o účasti manažmentu organizácie v systéme riadenia informačnej bezpečnosti.
