Tvorcovia normy poznamenávajú, že bola pripravená ako model pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, údržbu a zlepšovanie systému riadenia bezpečnosti informácií (ISMS). ISMS (angl. -information security management system; ISMS) je definovaný ako súčasť celkového manažérskeho systému založeného na využívaní metód hodnotenia podnikateľských rizík pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, podporu a zlepšovanie. informačná bezpečnosť. systém manažment zahŕňa organizačnú štruktúru, politiky, plánovacie činnosti, prideľovanie zodpovedností, prax, postupy, procesy a zdroje.

Norma predpokladá použitie procesný prístup rozvíjať, implementovať, udržiavať, monitorovať, analyzovať, udržiavať a zlepšovať ISMS organizácie. Je založený na modeli Plan - Do - Check - Act (PDCA), ktorý je možné aplikovať pri štruktúrovaní všetkých procesov ISMS. Na obr. Obrázok 2.3 ukazuje, ako ISMS, využívajúci požiadavky informačnej bezpečnosti a očakávané výsledky zainteresovaných strán ako vstup, generuje výsledky informačnej bezpečnosti, ktoré spĺňajú tieto požiadavky a očakávané výsledky prostredníctvom potrebných činností a procesov.

Počas vývoja systému riadenia informačnej bezpečnosti musí organizácia urobiť nasledovné:

• určiť rozsah a hranice ISMS;
• definovať politiku ISMS na základe charakteristík podnikania, organizácie, miesta, majetku a technológie;
• určiť prístup k hodnoteniu rizík v organizácii;
• identifikovať riziká;
• analyzovať a posudzovať riziká;
• identifikovať a zhodnotiť rôzne možnosti liečby rizík;
• vybrať ciele a kontroly na riešenie rizík;
• získať súhlas vedenia s navrhovaným zvyškové riziká;
• získať povolenie manažmentu na implementáciu a prevádzku ISMS;
• pripraviť vyhlásenie o použiteľnosti.

Ryža. 2.3.

Fáza „Implementácia a prevádzka systému riadenia informačnej bezpečnosti“ vyžaduje, aby organizácia vykonala nasledovné:

• vypracovať plán spracovania rizík, ktorý definuje vhodné manažérske činnosti, zdroje, zodpovednosti a priority pre riadenie rizík v oblasti informačnej bezpečnosti;
• implementovať plán spracovania rizík na dosiahnutie zamýšľaných cieľov riadenia vrátane otázok financovania, ako aj rozdelenia funkcií a zodpovedností;
• implementovať vybrané opatrenia manažmentu;
• určiť, ako sa bude merať účinnosť vybraných kontrol;
• implementovať školenia a programy odborného rozvoja pre zamestnancov;
• riadiť prácu ISMS;
• spravovať zdroje ISMS;
• implementovať postupy a iné riadiace opatrenia, ktoré zabezpečia rýchlu detekciu udalostí informačnej bezpečnosti a reakciu na incidenty informačnej bezpečnosti.

Tretia etapa „Monitorovanie a kontrola systému riadenia informačnej bezpečnosti“ vyžaduje:

• vykonávať monitorovacie a analytické postupy;
• vykonávať pravidelné kontroly účinnosti ISMS;
• merať účinnosť kontrolných opatrení na overenie súladu s požiadavkami na bezpečnosť informácií;
• prehodnocovať hodnotenia rizík v určených intervaloch, prehodnocovať zvyškové riziká a stanovené prijateľné úrovne rizika, berúc do úvahy zmeny;
• vykonávať interné audity ISMS v pravidelných intervaloch;
• pravidelne vykonávať analýzu ISMS vedením organizácie s cieľom potvrdiť primeranosť jeho fungovania a určiť oblasti na zlepšenie;
• aktualizovať plány informačnej bezpečnosti s prihliadnutím na výsledky analýzy a monitorovania;
• zaznamenávať činnosti a udalosti, ktoré môžu ovplyvniť účinnosť alebo fungovanie ISMS.

Nakoniec fáza „Údržba a zlepšenie systému riadenia bezpečnosti informácií“ naznačuje, že organizácia by mala pravidelne vykonávať tieto činnosti:

• identifikovať príležitosti na zlepšenie ISMS;
• vykonávať potrebné nápravné a preventívne opatrenia, využívať v praxi skúsenosti so zabezpečovaním informačnej bezpečnosti získané vo vlastnej organizácii aj v iných organizáciách;
• oznámiť všetkým zainteresovaným stranám podrobné informácie o opatreniach na zlepšenie ISMS, pričom úroveň podrobnosti by mala zodpovedať okolnostiam a v prípade potreby dohodnúť ďalšie opatrenia;
• zabezpečiť implementáciu zlepšení ISMS na dosiahnutie plánovaných cieľov.

Norma ďalej stanovuje požiadavky na dokumentáciu, ktorá by mala obsahovať najmä ustanovenia politiky ISMS a popis rozsahu prevádzky, popis metodiky a správu o hodnotení rizík, plán spracovania rizík a dokumentáciu súvisiace postupy. Mal by sa definovať aj proces správy dokumentov ISMS vrátane aktualizácie, používania, uchovávania a ničenia.

Na poskytnutie dôkazu o súlade s požiadavkami a účinnosťou ISMS sa musia viesť a udržiavať záznamy a záznamy o vykonávaní procesov. Príklady zahŕňajú denníky návštevníkov, správy o audite a podobne.

Norma špecifikuje, že manažment organizácie je zodpovedný za poskytovanie a riadenie zdrojov potrebných na vytvorenie ISMS, ako aj za organizáciu školenia personálu.

Ako už bolo uvedené, organizácia musí v súlade so schváleným harmonogramom vykonávať interné audity ISMS, aby posúdila jeho funkčnosť a súlad s normou. A manažment by mal preskúmať systém riadenia informačnej bezpečnosti.

Taktiež by sa malo pracovať na zlepšení systému riadenia informačnej bezpečnosti: zvýšiť jeho účinnosť a úroveň súladu so súčasným stavom systému a požiadavkami naň.

Norma BS ISO/IEC 27001:2005 popisuje model systému manažérstva informačnej bezpečnosti (ISMS) a ponúka súbor požiadaviek na organizáciu informačnej bezpečnosti v podniku bez odkazu na metódy implementácie zvolené pracovníkmi organizácie.

Norma navrhuje aplikáciu modelu PDCA (Plan-Do-Check-Act) na životný cyklus ISMS, ktorý zahŕňa vývoj, implementáciu, prevádzku, kontrolu, analýzu, podporu a zlepšovanie (obrázok 1).

Plán (Planning) - fáza tvorby ISMS, tvorba zoznamu aktív, hodnotenie rizík a výber opatrení;

Do (Action) – fáza implementácie a implementácie príslušných opatrení;

Kontrola – fáza hodnotenia účinnosti a výkonnosti ISMS. Zvyčajne vykonávajú interní audítori.

Zákon (Zlepšenie) - vykonávanie preventívnych a nápravných opatrení.

O vytvorení (a následnej certifikácii) ISMS rozhoduje vrcholový manažment organizácie. To demonštruje podporu manažmentu a potvrdenie hodnoty ISMS pre podnikanie. Vedenie organizácie iniciuje vytvorenie plánovacej skupiny ISMS.

Skupina zodpovedná za plánovanie ISMS by mala zahŕňať:

zástupcovia vrcholového manažmentu organizácie;

· zástupcovia obchodných jednotiek pokrytých ISMS;

špecialisti oddelení informačnej bezpečnosti;

externí konzultanti (v prípade potreby).

Výbor IS zabezpečuje podporu prevádzky ISMS a jeho neustáleho zlepšovania.

Pracovná skupina by sa mala riadiť regulačným a metodickým rámcom tak vo vzťahu k tvorbe ISMS, ako aj v súvislosti s pôsobnosťou organizácie a, samozrejme, všeobecným systémom štátnych zákonov.

Regulačný rámec pre tvorbu ISMS:

· ISO/IEC 27000:2009 Slovník a definície.

· ISO/IEC 27001:2005 Všeobecné požiadavky na ISMS.

· ISO/IEC 27002:2005 Praktický návod na riadenie informačnej bezpečnosti.

· ISO/IEC 27003:2010 Praktický návod na implementáciu ISMS.

· ISO/IEC 27004:2009 Metriky (merania) informačnej bezpečnosti.

· ISO/IEC 27005:2011 Usmernenie k riadeniu rizík bezpečnosti informácií.

· Príručka ISO/IEC 73:2002, Manažment rizík – Slovník – Pokyny na použitie v normách.

· ISO/IEC 13335-1:2004, Informačné technológie - Bezpečnostné techniky - Manažment bezpečnosti informačných a komunikačných technológií - Časť 1: Koncepcie a modely pre riadenie bezpečnosti informačných a komunikačných technológií.

· ISO/IEC TR 18044 Informačné technológie - Bezpečnostné techniky - Riadenie incidentov informačnej bezpečnosti.

· ISO/IEC 19011:2002 Pokyny pre audit systémov manažérstva kvality a/alebo environmentálneho manažérstva.

· Séria metodík British Standards Institute na vývoj ISMS (predtým: dokumenty série PD 3000).

Proces vytvárania ISMS pozostáva zo 4 fáz:

1. fáza plánovanie ISMS.

Stanovenie politík, cieľov, procesov a postupov súvisiacich s riadením rizík a ochranou informácií v súlade s celkovou politikou a cieľmi organizácie.

a) Určenie rozsahu a hraníc ISMS:

Popis druhu činnosti a obchodných cieľov organizácie;

· Označenie hraníc systémov pokrytých ISMS;

Opis majetku organizácie (druhy informačných zdrojov, softvér a hardvér, personálna a organizačná štruktúra);

· Popis obchodných procesov, ktoré využívajú chránené informácie.

Opis hraníc systému zahŕňa:

Popis súčasnej štruktúry organizácie (s možnými zmenami, ktoré môžu nastať v súvislosti s rozvojom informačného systému).

Zdroje informačného systému, ktoré sa majú chrániť (výpočtová technika, informácie, systémový a aplikačný softvér). Na ich vyhodnotenie by sa mal zvoliť systém kritérií a spôsob získavania odhadov podľa týchto kritérií (kategorizácia).

Technológia spracovania informácií a úlohy, ktoré treba riešiť. Pre úlohy, ktoré sa majú riešiť, by sa mali vybudovať modely spracovania informácií z hľadiska zdrojov.

Schéma informačného systému organizácie a podpornej infraštruktúry.

Spravidla sa v tejto fáze vypracuje dokument, v ktorom sú stanovené hranice informačného systému, sú uvedené informačné zdroje spoločnosti, ktorá má byť chránená, a je uvedený systém kritérií a metód na hodnotenie hodnoty informačné aktíva spoločnosti.

b) Definovanie politiky ISMS organizácie (rozšírená verzia KBÚ).

· Ciele, smery a princípy činnosti vo vzťahu k ochrane informácií;

· Popis stratégie (prístupov) riadenia rizík v organizácii, štruktúrovanie protiopatrení informačnej bezpečnosti podľa typu (právne, organizačné, hardvérové ​​a softvérové, inžinierstvo);

· Popis kritérií významnosti rizika;

· Postavenie vedenia, určovanie frekvencie stretnutí k témam IS na úrovni riadenia, vrátane periodického prehodnocovania ustanovení politiky IS, ako aj postupu pri školení všetkých kategórií používateľov informačného systému o problematike IS .

c) Stanovenie prístupu k hodnoteniu rizík v organizácii.

Metodológia hodnotenia rizík sa vyberá v závislosti od ISMS, stanovených obchodných požiadaviek na informačnú bezpečnosť, právnych a regulačných požiadaviek.

Výber metodiky hodnotenia rizík závisí od úrovne požiadaviek na režim informačnej bezpečnosti v organizácii, charakteru zohľadňovaných hrozieb (spektrum dopadu hrozieb) a účinnosti potenciálnych protiopatrení informačnej bezpečnosti. Ide najmä o základné, ale aj zvýšené či úplné požiadavky na režim IS.

Základná úroveň IS zodpovedá minimálnym požiadavkám na režim IS. Takéto požiadavky sa spravidla vzťahujú na štandardné konštrukčné riešenia. Existuje množstvo noriem a špecifikácií, ktoré berú do úvahy minimálny (typický) súbor najpravdepodobnejších hrozieb, ako sú vírusy, poruchy zariadení, neoprávnený prístup atď. Na neutralizáciu týchto hrozieb je potrebné prijať protiopatrenia bez ohľadu na pravdepodobnosť ich výskytu. implementáciu a zdroje zraniteľnosti. Nie je teda potrebné zvažovať charakteristiky hrozieb na základnej úrovni. Zahraničné normy v tejto oblasti sú ISO 27002, BSI, NIST atď.

V prípadoch, keď porušenia režimu IS vedú k vážnym následkom, sú kladené dodatočné zvýšené požiadavky.

Na formulovanie dodatočných zvýšených požiadaviek je potrebné:

určiť hodnotu zdrojov;

Do štandardnej sady doplniť zoznam hrozieb relevantných pre skúmaný informačný systém;

Posúdiť pravdepodobnosť hrozieb;

určiť zraniteľné miesta zdrojov;

Posúďte potenciálne škody spôsobené nárazom narušiteľov.

Je potrebné zvoliť metodiku hodnotenia rizík, ktorú je možné s minimálnymi zmenami priebežne používať. Existujú dva spôsoby: použiť metódy a nástroje na hodnotenie rizík existujúce na trhu, alebo si vytvoriť vlastnú metodiku, prispôsobenú špecifikám spoločnosti a oblasti činnosti pokrytej ISMS.

Posledná možnosť je najvýhodnejšia, pretože zatiaľ väčšina produktov na trhu, ktoré implementujú jednu alebo druhú techniku ​​analýzy rizík, nespĺňa požiadavky normy. Typické nevýhody takýchto metód sú:

štandardný súbor hrozieb a slabých miest, ktoré sa často nedajú zmeniť;

Akceptovanie len softvéru, hardvéru a informačných zdrojov ako aktíva – bez zohľadnenia ľudských zdrojov, služieb a iných dôležitých zdrojov;

· celková komplexnosť metodiky z hľadiska jej udržateľného a opakovaného používania.

· Kritériá akceptovania rizika a prijateľné úrovne rizika (mali by byť založené na dosahovaní strategických, organizačných a riadiacich cieľov organizácie).

d) Identifikácia rizík.

Identifikácia majetku a jeho vlastníkov

Zadávanie informácií;

Výstup informácií;

Informačné záznamy;

Zdroje: ľudia, infraštruktúra, vybavenie, softvér, nástroje, služby.

· Identifikácia hrozieb (štandardy hodnotenia rizík často ponúkajú triedy hrozieb, ktoré možno doplniť a rozšíriť).

· Identifikácia zraniteľností (existujú aj zoznamy najbežnejších zraniteľností, na ktoré sa môžete spoľahnúť pri analýze vašej organizácie).

· Stanovenie hodnoty aktív (možné dôsledky straty dôvernosti, integrity a dostupnosti aktív). Informácie o hodnote majetku je možné získať od jeho vlastníka, prípadne od osoby, na ktorú vlastník delegoval všetky právomoci nad týmto majetkom, vrátane zabezpečenia jeho bezpečnosti.

e) Hodnotenie rizika.

· Posúdenie škôd, ktoré môže spôsobiť podniku strata dôvernosti, integrity a dostupnosti aktív.

· Posúdenie pravdepodobnosti realizácie hrozieb prostredníctvom existujúcich zraniteľností, pričom sa zohľadnia dostupné kontroly informačnej bezpečnosti a posúdia sa možné spôsobené škody;

· Určenie úrovne rizika.

Uplatňovanie kritérií akceptácie rizika (prijateľné/vyžadujúce ošetrenie).

f) Ošetrenie rizika (v súlade so zvolenou stratégiou riadenia rizika).

Možné akcie:

Pasívne akcie:

Prijatie rizika (rozhodnutie o akceptovateľnosti výslednej miery rizika);

Vyhýbanie sa riziku (rozhodnutie zmeniť činnosť, ktorá spôsobuje túto mieru rizika – presun webového servera mimo lokálnej siete);

Aktívne akcie:

Zníženie rizika (pomocou organizačných a technických protiopatrení);

Prenos rizika (poistenie (požiar, krádež, softvérové ​​chyby)).

Výber možných opatrení závisí od akceptovaných kritérií rizika (je stanovená prijateľná úroveň rizika, úrovne rizika, ktoré možno znížiť kontrolami informačnej bezpečnosti, úrovne rizika, pri ktorých sa odporúča opustiť alebo zmeniť typ činnosti, ktorá to spôsobuje, a riziká, ktoré je žiaduce preniesť na iné strany).

g) Výber cieľov a kontrol na riešenie rizík.

Ciele a kontroly by mali implementovať stratégiu riadenia rizík, zohľadňovať kritériá akceptovania rizík a právne, regulačné a iné požiadavky.

ISO 27001-2005 poskytuje zoznam kontrolných cieľov a kontrol ako základ pre zostavenie plánu riešenia rizík (požiadavky ISMS).

Plán liečby rizika obsahuje zoznam prioritných opatrení na zníženie úrovne rizika, pričom uvádza:

osoby zodpovedné za realizáciu týchto aktivít a fondov;

časové rámce realizácie aktivít a priority ich realizácie;

zdroje na vykonávanie takýchto činností;

· úrovne zvyškových rizík po implementácii opatrení a kontrol.

Prijatie plánu liečby rizík a kontrolu nad jeho implementáciou vykonáva vrcholový manažment organizácie. Realizácia kľúčových aktivít plánu je kritériom, ktoré umožňuje rozhodnúť o uvedení ISMS do prevádzky.

V tejto fáze je zdôvodnený výber rôznych protiopatrení informačnej bezpečnosti, štruktúrovaných podľa právnej, organizačnej, manažérskej, technologickej, hardvérovej a softvérovej úrovne informačnej bezpečnosti. (Ďalej je implementovaný súbor protiopatrení v súlade so zvolenou stratégiou riadenia informačných rizík). S plnou verziou analýzy rizík sa pre každé riziko dodatočne vyhodnocuje účinnosť protiopatrení.

h) Schválenie navrhovaného zvyškového rizika vedením.

i) Získanie súhlasu vedenia na implementáciu a uvedenie ISMS do prevádzky.

j) Vyhlásenie o použiteľnosti (v súlade s ISO 27001-2005).

Dátum uvedenia ISMS do prevádzky je dátumom schválenia Nariadenia o použiteľnosti kontrol vrcholovým vedením spoločnosti, ktoré popisuje ciele a prostriedky zvolené organizáciou na riadenie rizík:

· nástroje riadenia a kontroly zvolené v štádiu riešenia rizík;

už existujúci manažment a kontrola v organizácii;

· prostriedky na zabezpečenie súladu s požiadavkami legislatívy a požiadavkami regulačných organizácií;

Prostriedky, ktoré zabezpečujú plnenie požiadaviek zákazníka;

· Prostriedky, ktoré zabezpečujú plnenie všeobecných podnikových požiadaviek;

Akékoľvek iné vhodné ovládacie prvky a ovládacie prvky.

2. fáza Implementácia a prevádzka ISMS.

Na implementáciu a prevádzku politiky informačnej bezpečnosti, kontrol, procesov a postupov v oblasti informačnej bezpečnosti sa vykonávajú tieto akcie:

a) Vypracovanie plánu riešenia rizík (popis plánovaných kontrol, zdrojov (softvér, hardvér, personál) potrebných na ich implementáciu, podpora, kontrola a zodpovednosti manažmentu za riadenie rizík informačnej bezpečnosti (vypracovanie dokumentov pri plánovaní etapa, podpora cieľov informačnej bezpečnosti, definovanie úloh a zodpovedností, zabezpečenie potrebných zdrojov pre tvorbu ISMS, audit a analýzu).

b) Pridelenie financií, úloh a zodpovedností za implementáciu plánu riešenia rizík.

c) Vykonávať plánované kontroly.

d) Stanovenie výkonnostných benchmarkov (metrík) kontrol, metódy ich merania, ktoré poskytnú porovnateľné a reprodukovateľné výsledky.

e) Zvyšovanie kvalifikácie a informovanosti personálu v oblasti informačnej bezpečnosti v súlade s jeho pracovnými povinnosťami.

f) Riadenie prevádzky ISMS, riadenie zdrojov na udržiavanie, kontrolu a zlepšovanie ISMS.

g) Implementácia postupov a iných kontrol na rýchle zisťovanie a reagovanie na incidenty informačnej bezpečnosti.

Etapa 3. Neustále monitorovanie a analýza fungovania ISMS.

Táto fáza zahŕňa hodnotenie alebo meranie kľúčových ukazovateľov výkonnosti procesov, analýzu výsledkov a poskytovanie správ manažmentu na analýzu a zahŕňa:

a) Priebežné monitorovanie a analýzy (umožňuje rýchlo odhaliť chyby vo fungovaní ISMS, rýchlo identifikovať a reagovať na bezpečnostné incidenty, vymedziť úlohy personálu a automatizovaných systémov v ISMS, predchádzať bezpečnostným incidentom analýzou neobvyklého správania, určiť efektívnosť spracovania bezpečnostných incidentov).

b) Vykonávanie pravidelných kontrol výkonnosti ISMS (súlad s politikou a cieľmi ISMS, analyzujú sa audity, kľúčové ukazovatele výkonnosti, návrhy a reakcie zainteresovaných strán).

c) Meranie účinnosti kontrol na overenie splnenia bezpečnostných požiadaviek

d) Pravidelné prehodnocovanie rizík, analýza zvyškových rizík a stanovenie prijateľných úrovní rizika v prípade akýchkoľvek zmien v organizácii (obchodné ciele a procesy, identifikované hrozby, nové identifikované slabé miesta atď.)

e) Pravidelné interné audity ISMS.

Audit ISMS je overenie súladu vybraných protiopatrení s cieľmi a zámermi podnikania deklarovanými v IS organizácie, na základe jeho výsledkov sa vykoná hodnotenie zvyškových rizík a v prípade potreby ich optimalizácia.

f) Pravidelná kontrola rozsahu a trendu ISMS vedením.

g) Aktualizovať plány riadenia rizík tak, aby odrážali výsledky kontrol a previerok.

h) Vedenie záznamov udalostí, ktoré mali negatívny vplyv na efektívnosť alebo kvalitu ISMS.

4. fáza Podpora a zlepšovanie ISMS.

Na základe výsledkov interného auditu a manažérskej analýzy ISMS sa vyvíjajú a implementujú nápravné a preventívne opatrenia na neustále zlepšovanie ISMS:

a) Zlepšenie politiky informačnej bezpečnosti, ciele informačnej bezpečnosti, auditovanie, analýza pozorovaných udalostí.

b) Vývoj a implementácia nápravných a preventívnych opatrení na riešenie nezhôd v ISMS.

c) Kontrola vylepšení ISMS.

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.

Uverejnené dňa http://www.allbest.ru/

"Systém riadenia bezpečnosti informácií"

medzinárodný štandard riadenia

INdirigovanie

Systém riadenia informačnej bezpečnosti je súbor procesov, ktoré fungujú v rámci spoločnosti na zabezpečenie dôvernosti, integrity a dostupnosti informačných aktív. V prvej časti abstraktu sa uvažuje o procese implementácie systému manažérstva v organizácii, ako aj o hlavných aspektoch výhod zavedenia systému manažérstva informačnej bezpečnosti.

Obr.1. Kontrolný cyklus

Zoznam procesov a odporúčaní, ako čo najlepšie organizovať ich fungovanie, uvádza medzinárodná norma ISO 27001:2005, ktorá vychádza z manažérskeho cyklu Plan-Do-Check-Act. V súlade s ním sa životný cyklus ISMS skladá zo štyroch typov činností: Tvorba - Implementácia a prevádzka - Monitorovanie a analýza - Údržba a zlepšovanie (obr. 1). Tejto norme sa budeme podrobnejšie venovať v druhej časti.

Ssystémzvládanieinformačnýbezpečnosť

Systém riadenia informačnej bezpečnosti (ISMS) je tá časť celkového systému riadenia, ktorá je založená na prístupe k podnikateľským rizikám pri vytváraní, implementácii, prevádzke, monitorovaní, analýze, udržiavaní a zlepšovaní informačnej bezpečnosti. Procesy ISMS sú navrhnuté v súlade s požiadavkami normy ISO/IEC 27001:2005, ktorá vychádza z cyklu

Fungovanie systému je založené na prístupoch modernej teórie riadenia rizík, čo zabezpečuje jeho integráciu do celkového systému riadenia rizík organizácie.

Implementácia systému riadenia informačnej bezpečnosti zahŕňa vývoj a implementáciu postupu zameraného na systematickú identifikáciu, analýzu a zmierňovanie rizík informačnej bezpečnosti, teda rizík, ktoré vedú k tomu, že informačné aktíva (informácie v akejkoľvek forme a akejkoľvek povahy) strácajú dôvernosť. integrita a dostupnosť.

Aby sa zabezpečilo, že riziká informačnej bezpečnosti sú systematicky zmierňované na základe výsledkov hodnotenia rizík, organizácia implementuje nasledujúce procesy:

· Riadenie organizácie vnútornej informačnej bezpečnosti.

· Zabezpečenie informačnej bezpečnosti pri interakcii s tretími stranami.

· Vedenie registra informačných aktív a pravidlá ich triedenia.

· Riadenie bezpečnosti zariadení.

· Zabezpečenie fyzickej bezpečnosti.

· Zabezpečenie informačnej bezpečnosti personálu.

· Plánovanie a prijímanie informačných systémov.

· Zálohovanie.

· Zabezpečenie bezpečnosti siete.

Procesy systému riadenia informačnej bezpečnosti ovplyvňujú všetky aspekty riadenia IT infraštruktúry organizácie, keďže informačná bezpečnosť je výsledkom stabilného fungovania procesov spojených s informačnými technológiami.

Pri budovaní ISMS vo firmách špecialisti vykonávajú tieto práce:

organizovať projektové riadenie, zostavovať projektový tím na strane objednávateľa a zhotoviteľa;

určiť oblasť činnosti (OD) ISMS;

Preskúmajte organizáciu v OD ISMS:

o z hľadiska obchodných procesov organizácie vrátane analýzy negatívnych dôsledkov incidentov informačnej bezpečnosti;

o z hľadiska procesov riadenia organizácie vrátane existujúcich procesov riadenia kvality a riadenia informačnej bezpečnosti;

o z hľadiska IT infraštruktúry;

o z hľadiska informačnej bezpečnosti infraštruktúry.

vypracovať a odsúhlasiť analytickú správu obsahujúcu zoznam hlavných podnikových procesov a hodnotenie dôsledkov implementácie hrozieb IS vo vzťahu k nim, zoznam procesov riadenia, IT systémov, subsystémov informačnej bezpečnosti (ISS), hodnotenie mieru, do akej organizácia spĺňa všetky požiadavky ISO 27001 a posúdenie vyspelosti procesných organizácií;

· vybrať počiatočnú a cieľovú úroveň vyspelosti ISMS, vypracovať a schváliť Program zlepšovania vyspelosti ISMS; vypracovať dokumentáciu na vysokej úrovni v oblasti informačnej bezpečnosti:

o koncepcia poskytovania IS,

o politiky IS a ISMS;

vybrať a prispôsobiť metodiku hodnotenia rizík použiteľnú v organizácii;

· vybrať, dodať a nasadiť softvér používaný na automatizáciu procesov ISMS, organizovať školenia pre špecialistov spoločnosti;

vykonať hodnotenie a ošetrenie rizík, pri ktorom sa vyberú opatrenia prílohy „A“ normy 27001 na ich zníženie a sformulujú sa požiadavky na ich implementáciu v organizácii, predbežne sa vyberú technické prostriedky na zabezpečenie informačnej bezpečnosti;

· vypracovať návrhy návrhov PIB, odhadnúť náklady na liečbu rizík;

· organizovať schválenie hodnotenia rizík vrcholovým manažmentom organizácie a vypracovať predpisy o použiteľnosti; vypracovať organizačné opatrenia na zabezpečenie informačnej bezpečnosti;

· vypracovať a realizovať technické projekty na implementáciu technických podsystémov informačnej bezpečnosti, ktoré podporujú realizáciu vybraných opatrení, vrátane dodávky zariadení, uvedenia do prevádzky, vypracovania prevádzkovej dokumentácie a školenia používateľov;

poskytovať poradenstvo pri prevádzke vybudovaného ISMS;

· organizovať školenia interných audítorov a vykonávať interné audity ISMS.

Výsledkom týchto prác je fungujúci ISMS. Prínosy zo zavedenia ISMS v spoločnosti sa dosahujú prostredníctvom:

efektívne riadenie dodržiavania zákonných požiadaviek a obchodných požiadaviek v oblasti informačnej bezpečnosti;

predchádzanie vzniku incidentov informačnej bezpečnosti a znižovanie škôd v prípade ich vzniku;

Zlepšenie kultúry informačnej bezpečnosti v organizácii;

· zvyšovanie vyspelosti v oblasti riadenia informačnej bezpečnosti;

Optimalizácia výdavkov na informačnú bezpečnosť.

ISO/IEC27001-- medzinárodnéštandardnéAutor:informačnýbezpečnosť

Táto norma bola vyvinutá spoločne Medzinárodnou organizáciou pre normalizáciu (ISO) a Medzinárodnou elektrotechnickou komisiou (IEC). Norma obsahuje požiadavky v oblasti informačnej bezpečnosti na tvorbu, rozvoj a údržbu ISMS. ISO 27001 špecifikuje požiadavky na ISMS na preukázanie schopnosti organizácie chrániť svoje informačné aktíva. Medzinárodná norma používa pojem „bezpečnosť informácií“ a interpretuje sa ako zabezpečenie dôvernosti, integrity a dostupnosti informácií. Základom normy je informačný systém riadenia rizík. Tento štandard možno použiť aj na posúdenie súladu internými a externými zainteresovanými stranami.

Na vytvorenie, implementáciu, prevádzku, priebežné monitorovanie, analýzu, údržbu a zlepšovanie systému riadenia informačnej bezpečnosti (ISMS) norma používa procesný prístup. Spočíva v aplikácii systému procesov v rámci organizácie spolu s identifikáciou a interakciou týchto procesov, ako aj ich riadením.

Medzinárodný štandard preberá model Plan-Do-Check-Act (PDCA), ktorý sa nazýva aj Shewhart-Demingov cyklus. Tento cyklus sa používa na štruktúrovanie všetkých procesov ISMS. Obrázok 2 ukazuje, ako ISMS berie ako vstup požiadavky informačnej bezpečnosti a očakávania zainteresovaných strán a prostredníctvom potrebných činností a procesov vytvára výsledky informačnej bezpečnosti, ktoré spĺňajú tieto požiadavky a očakávania.

Plánovanie je fáza tvorby ISMS, tvorba zoznamu aktív, hodnotenie rizík a výber opatrení.

Obrázok 2. Model PDCA aplikovaný na procesy ISMS

Implementácia je etapa implementácie a implementácie príslušných opatrení.

Verifikácia je fázou hodnotenia účinnosti a výkonnosti ISMS. Zvyčajne vykonávajú interní audítori.

Činnosť – vykonávanie preventívnych a nápravných opatrení.

INzávery

ISO 27001 popisuje všeobecný model implementácie a prevádzky ISMS, ako aj činnosti na monitorovanie a zlepšovanie ISMS. ISO má v úmysle harmonizovať rôzne normy systému manažérstva, ako napríklad ISO/IEC 9001:2000, ktorá sa zaoberá manažérstvom kvality, a ISO/IEC 14001:2004, ktorá sa zaoberá systémami environmentálneho manažérstva. Účelom ISO je zabezpečiť, aby bol ISMS konzistentný a integrovaný s ostatnými systémami riadenia v spoločnosti. Podobnosť noriem umožňuje použitie podobných nástrojov a funkcionality na implementáciu, správu, revíziu, overovanie a certifikáciu. Rozumie sa, že ak má spoločnosť zavedené iné manažérske štandardy, môže využívať jednotný systém auditu a manažérstva, ktorý je aplikovateľný na manažérstvo kvality, environmentálne manažérstvo, manažérstvo bezpečnosti atď. Implementáciou ISMS získa vyšší manažment prostriedky na monitorovanie a riadenie bezpečnosti, čo znižuje zvyškové obchodné riziká. Po implementácii ISMS môže spoločnosť formálne zabezpečiť bezpečnosť informácií a naďalej plniť požiadavky zákazníkov, legislatívy, regulátorov a akcionárov.

Treba poznamenať, že v legislatíve Ruskej federácie existuje dokument GOST R ISO / IEC 27001-2006, ktorý je preloženou verziou medzinárodnej normy ISO27001.

Sškrípanieliteratúre

1. Kornejev I.R., Beljajev A.V. Informačná bezpečnosť podniku. - Petrohrad: BHV-Petersburg, 2003. - 752 s.: chor.

2. Medzinárodná norma ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (dátum prístupu: 23.05.12)

3. Národná norma Ruskej federácie GOST R ISO / IEC 27003 - "Informačné technológie. Bezpečnostné metódy. Pokyny na implementáciu systému riadenia informačnej bezpečnosti" (http://niisokb.ru/news/documents/IDT%20ISO% 20IEC%2027003- 2011-09-14.pdf) (dátum prístupu: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Usmernenie k ochrane pred vnútornými hrozbami pre informačnú bezpečnosť. Petrohrad: Peter, 2008. - 320 s.: chor.

5. Článok voľnej encyklopédie „Wikipedia“, „Systém riadenia

informačná bezpečnosť“ (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (dátum prístupu: 23.05.12)

6. Sigurjon Thor Arnason a Keith D. Willett „Ako dosiahnuť certifikáciu 27001“

Hostené na Allbest.ru

Podobné dokumenty

Hrozby informačnej bezpečnosti v podniku. Identifikácia nedostatkov v systéme informačnej bezpečnosti. Ciele a ciele formovania systému informačnej bezpečnosti. Navrhované opatrenia na zlepšenie systému informačnej bezpečnosti organizácie.

semestrálna práca, pridaná 2.3.2011


Analýza systému informačnej bezpečnosti v podniku. Služba informačnej bezpečnosti. Hrozby informačnej bezpečnosti špecifické pre podnik. Metódy a prostriedky ochrany informácií. Model informačného systému z pozície bezpečnosti.

semestrálna práca, pridaná 2.3.2011


Hlavné etapy tvorby systému riadenia v potravinárskom podniku. HACCP je základom každého systému riadenia bezpečnosti potravín. Systém riadenia bezpečnosti potravín. Nebezpečenstvá a preventívne opatrenia.

abstrakt, pridaný 14.10.2014


Moderné manažérske systémy a ich integrácia. Integrované systémy manažérstva kvality. Popis spoločnosti JSC "275 ARZ" a jej systému riadenia. Vývoj systému riadenia ochrany práce. Metódy hodnotenia integrovaného bezpečnostného systému.

práca, pridané 31.07.2011


Zavedenie systému manažérstva kvality. Certifikácia systémov manažérstva kvality (ISO 9000), systémov environmentálneho manažérstva (ISO 14 000), systémov manažérstva bezpečnosti a ochrany zdravia pri práci organizácií (OHSAS 18 001:2007) na príklade Lenta OJSC.

abstrakt, pridaný 06.10.2008


Vypracovanie štandardu organizácie integrovaného manažérskeho systému, ktorý stanovuje jednotný postup implementácie procesu riadenia dokumentácie. Etapy tvorby systému manažérstva kvality OAO „ZSMK“. Umiestňovanie elektronických verzií dokumentov.

práca, pridané 01.06.2014


Hierarchická schéma zamestnancov. Prostriedky ochrany informácií. Otázky o stave bezpečnosti. Schéma informačných tokov podniku. Spôsoby kontroly integrity informačného systému. Modelovanie riadenia prístupu k servisným informáciám.

ročníková práca, pridaná 30.12.2011


Pojem manažérskeho informačného systému a jeho miesto v celkovom systéme manažérstva. Typy informačných systémov a ich obsah. Pojem manažment ako informačný systém. Funkcie systému finančného riadenia. Systémy na uskutočňovanie transakcií a operácií.

abstrakt, pridaný 01.06.2015


Pojmy v oblasti BOZP. Medzinárodné normy ISO pre systémy manažérstva kvality, systémy environmentálneho manažérstva, systémy manažérstva bezpečnosti a ochrany zdravia pri práci. Prispôsobenie normy OHSAS 18001-2007.

ročníková práca, pridaná 21.12.2014


Charakteristika informačného manažmentu; subjekty informácií a právnych vzťahov; právny režim prijímania, prenosu, uchovávania a používania informácií. Vlastnosti a právne aspekty výmeny informácií a informačnej bezpečnosti.

GOST R ISO/IEC 27001-2006 „Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Systémy riadenia informačnej bezpečnosti. Požiadavky"

Tvorcovia normy poznamenávajú, že bola pripravená ako model pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, údržbu a zlepšovanie systému riadenia bezpečnosti informácií (ISMS). ISMS (anglicky - systém riadenia informačnej bezpečnosti; ISMS) je definovaný ako súčasť celkového systému riadenia založeného na využívaní metód hodnotenia podnikateľských rizík pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, podporu a zlepšovanie informačnej bezpečnosti. Systém riadenia zahŕňa organizačnú štruktúru, politiku, plánovanie činností, prideľovanie zodpovedností, prax, postupy, procesy a zdroje.

Norma predpokladá použitie procesného prístupu na vývoj, implementáciu, údržbu, monitorovanie, analýzu, udržiavanie a zlepšovanie ISMS organizácie. Je založený na modeli Plan - Do - Check - Act (PDCA), ktorý je možné aplikovať pri štruktúrovaní všetkých procesov ISMS. Na obr. Obrázok 4.4 ukazuje, ako ISMS, využívajúc požiadavky informačnej bezpečnosti a očakávané výsledky zainteresovaných strán ako vstup, vytvára výstupy informačnej bezpečnosti, ktoré spĺňajú tieto požiadavky a očakávané výsledky prostredníctvom potrebných činností a procesov.

Ryža. 4.4.

Na javisku "Vývoj systému riadenia informačnej bezpečnosti" organizácia musí urobiť nasledovné:

• - určiť rozsah a hranice ISMS;
• — definovať politiku ISMS na základe charakteristík podnikania, organizácie, miesta, majetku a technológie;
• — určiť prístup k hodnoteniu rizík v organizácii;
• - identifikovať riziká;
• - analyzovať a posudzovať riziká;
• — identifikovať a zhodnotiť rôzne možnosti liečby rizík;
• — vybrať ciele a kontroly na riešenie rizík;
• - Získať súhlas vedenia o očakávaných reziduálnych rizikách;
• - získať povolenie manažmentu na implementáciu a prevádzku ISMS;
• - pripraviť predpisy o použiteľnosti.

etapa" Implementácia a fungovanie systému riadenia informačnej bezpečnosti“ vyžaduje, aby organizácia:

• — vypracovať plán spracovania rizík, ktorý definuje vhodné riadiace činnosti, zdroje, zodpovednosti a priority pre riadenie rizika informačnej bezpečnosti;
• - implementovať plán spracovania rizík na dosiahnutie zamýšľaných cieľov riadenia, vrátane otázok financovania, ako aj rozdelenia funkcií a zodpovedností;
• - implementovať vybrané riadiace opatrenia;
• — určiť, ako sa bude merať účinnosť vybraných kontrolných opatrení;
• - realizovať vzdelávacie programy a programy odborného rozvoja pre zamestnancov;
• - riadiť prácu ISMS;
• - riadiť zdroje ISMS;
• — zaviesť postupy a iné riadiace opatrenia na zabezpečenie rýchleho odhaľovania udalostí invazívnych druhov a reakcie na incidenty invazívnych druhov.

Tretia etapa Monitorovanie a analýza systému riadenia informačnej bezpečnosti“ vyžaduje:

• - vykonávať monitorovacie a analytické postupy;
• - vykonávať pravidelnú analýzu účinnosti ISMS;
• - merať účinnosť kontrolných opatrení na overenie súladu s požiadavkami informačnej bezpečnosti;
• — prehodnocovať hodnotenia rizík v určených intervaloch, preverovať zvyškové riziká a stanovené prijateľné úrovne rizika, berúc do úvahy zmeny;
• — vykonávať interné audity ISMS v stanovených intervaloch;
• - pravidelne vykonávať analýzu ISMS vedením organizácie s cieľom potvrdiť primeranosť fungovania systému a určiť oblasti na zlepšenie;
• - aktualizovať plány informačnej bezpečnosti s prihliadnutím na výsledky analýzy a monitorovania;
• - zaznamenávať činnosti a udalosti, ktoré môžu ovplyvniť účinnosť alebo fungovanie ISMS.

A nakoniec, javisko "Podpora a zlepšenie systému riadenia informačnej bezpečnosti" navrhuje, aby organizácia pravidelne vykonávala tieto činnosti:

• - identifikovať príležitosti na zlepšenie ISMS;
• - prijať potrebné nápravné a preventívne opatrenia, v praxi využiť skúsenosti so zabezpečovaním informačnej bezpečnosti získané vo vlastnej organizácii, ako aj v iných organizáciách;
• - oznámiť všetkým zainteresovaným stranám podrobné informácie o opatreniach na zlepšenie ISMS, pričom úroveň podrobnosti by mala zodpovedať okolnostiam a v prípade potreby dohodnúť ďalšie opatrenia;
• — zabezpečiť implementáciu zlepšení ISMS na dosiahnutie plánovaných cieľov.

Ďalej štandard stanovuje požiadavky na dokumentáciu, ktorá by mala obsahovať ustanovenia politiky ISMS a popis rozsahu prevádzky, popis metodiky a správu o hodnotení rizík, plán liečby rizík a dokumentáciu súvisiacich postupov. Mal by sa definovať aj proces správy dokumentov ISMS vrátane aktualizácie, používania, uchovávania a ničenia.

Na poskytnutie dôkazu o súlade s požiadavkami a účinnosťou ISMS sa musia viesť a udržiavať záznamy a záznamy o vykonávaní procesov. Príkladom sú denníky návštevníkov, audítorské správy atď.

Norma špecifikuje, že manažment organizácie je zodpovedný za poskytovanie a riadenie zdrojov potrebných na vytvorenie ISMS, ako aj za organizáciu školenia personálu.

Ako už bolo uvedené, organizácia musí v súlade so schváleným harmonogramom vykonávať interné audity ISMS, aby posúdila jeho funkčnosť a súlad s normou. A manažment by mal preskúmať systém riadenia informačnej bezpečnosti.

Taktiež by sa malo pracovať na zlepšení systému riadenia informačnej bezpečnosti: zvýšiť jeho účinnosť a úroveň súladu so súčasným stavom systému a požiadavkami naň.

Šachalov Igor Jurijevič

K problematike integrácie systémov manažérstva kvality a informačnej bezpečnosti

Abstrakt: Zohľadňuje sa medzinárodné normy ISO 27001 a ISO 9001. Je vykonaná analýza podobností a rozdielov medzi systémom manažérstva kvality a systémom manažérstva bezpečnosti informácií. Ukazuje sa možnosť integrácie systému manažérstva kvality a systému manažérstva informačnej bezpečnosti. Uvádzajú sa hlavné etapy budovania a implementácie integrovaného systému riadenia informačnej bezpečnosti. Ukázali sa výhody integrovaného prístupu.

Kľúčové slová: manažérske systémy, informačná bezpečnosť, integrované manažérske systémy, ISMS, QMS, ISO 27001.

Natalya Olegovna

Úvod

V modernom svete, s príchodom rozšírených a pohodlných technických zariadení, sa problém informačnej bezpečnosti stal dosť akútnym. Spolu s uvedením kvalitných produktov alebo poskytovaním služieb je dôležité, aby podniky a organizácie utajovali potrebné informácie pred konkurenciou, aby sa udržali na výhodných pozíciách na trhu. V konkurenčnom boji sú rozšírené rôzne akcie zamerané na získavanie (získavanie, získavanie) dôverných informácií rôznymi spôsobmi, až po priamu priemyselnú špionáž pomocou moderných nástrojov technickej inteligencie.

Lídrami na trhu sa tak stávajú organizácie, ktoré dodržiavajú najlepšie svetové postupy, obsahujúce požiadavky, usmernenia pre implementáciu systémov riadenia podnikových procesov v organizácii. Najlepšími štandardmi pre vývoj, implementáciu, monitorovanie a zlepšovanie takýchto systémov sú dokumenty Medzinárodnej organizácie pre normalizáciu (ISO). Osobitná pozornosť by sa mala venovať normám radu ISO 900x a ISO 2700x, ktoré obsahujú osvedčené postupy pre zavedenie systému manažérstva kvality (QMS) a systému manažérstva bezpečnosti informácií (ISMS) .

Systém manažérstva kvality, zavedený v súlade s požiadavkami normy ISO 9001, je dlhodobo uznávaný ako integrálny atribút úspešnej spoločnosti, ktorá vyrába kvalitné produkty alebo poskytuje kvalitné služby. Prítomnosť certifikátu zhody je dnes efektívnym marketingovým riešením aj mechanizmom kontroly výrobných procesov. Audit QMS je rozvinutá oblasť podnikania.

Každým dňom narastá závislosť úspešnej činnosti spoločnosti od systému ochrany podnikových informácií. Je to spôsobené nárastom objemu životne dôležitých údajov spracovávaných v podnikovom informačnom systéme. Informačné systémy sú čoraz zložitejšie a rastie aj počet v nich nájdených zraniteľností. ISMS audit umožňuje posúdiť aktuálny stav bezpečnosti fungovania podnikového informačného systému,

posudzovať a predvídať riziká, riadiť ich vplyv na podnikové procesy spoločnosti.

Keďže norma ISO 9001 dlhodobo zaujíma popredné miesto v počte certifikátov vo svete a norma ISO 27001 vykazuje stúpajúci trend v certifikácii systému manažérstva bezpečnosti informácií, je vhodné zvážiť možnú interakciu a integráciu QMS a ISMS.

Integrácia noriem

Riadenie kvality a informačná bezpečnosť sú na prvý pohľad úplne odlišné oblasti. V praxi však spolu úzko súvisia a tvoria jeden celok (obrázok 1). Spokojnosť zákazníka, ktorá je objektívnym cieľom kvality, je každým rokom čoraz viac závislá od dostupnosti informačných technológií a od bezpečnosti dát, na podporu ktorých sa používa ISO 27001. Na druhej strane ISO 9001 presne zodpovedá firemným cieľom spoločnosti. organizácie, napomáhajúcej bezpečnosti. Vďaka integrovanému prístupu možno ISO 27001 efektívne integrovať do existujúceho QMS alebo implementovať v spojení s QMS.

IT služby (ISO 27001) a správa IT služieb (ISO 20000) majú podobnú štruktúru a procesný prístup. To poskytuje synergiu, ktorá sa vypláca: v praxi integrovaný systém riadenia prebiehajúcich operácií ušetrí 20 až 30 percent celkových nákladov na optimalizáciu systému, kontroly a audity.

Normy informačnej bezpečnosti a riadenia kvality sa zameriavajú na neustále zlepšovanie v súlade s modelom Plan-Do-Check-Act (PDCA), známym ako Demingov cyklus (pozri obrázok 2). Okrem toho majú podobnú štruktúru, ako je uvedené v korešpondenčnej tabuľke v prílohe C normy ISO 27001. Obe normy definujú pojmy procesný prístup, rozsah, požiadavky na systém a dokumentáciu a administratívnu zodpovednosť. V oboch prípadoch štruktúra končí interným auditom, kontrolou manažmentu a zlepšovaním systému. V tomto sa oba systémy vzájomne ovplyvňujú. Napríklad ISO 9001 vyžaduje riadenie nezhodných produktov. Podobne aj v norme ISO 27001 je požiadavka na riadenie incidentov na riešenie porúch.

Ryža. 1. Oblasti interakcie a podobnosti medzi QMS a ISMS

Ryža. 2. Demingov cyklus

Viac ako 27 200 organizácií v rôznych odvetviach vo viac ako 100 krajinách po celom svete je certifikovaných podľa ISO 9001:2008 pre manažérstvo kvality. V závislosti od trhu a právnych požiadaviek sú mnohé organizácie čoraz viac nútené zaoberať sa informačnou bezpečnosťou. V tomto smere ponúka integrácia riadiaceho systému skutočné príležitosti. Integrovaný prístup je zaujímavý aj pre firmy, ktoré doteraz nevyužívali žiadny proces riadenia. ISO normy pre kvalitu (ISO 9001), ochranu životného prostredia (ISO 14000), informačnú bezpečnosť

Rozdiely medzi štandardmi sa navzájom užitočne dopĺňajú, čo rozhodujúcim spôsobom prispieva k zvýšeniu obchodného úspechu. Napríklad ISO 9001 vyžaduje definíciu podnikových cieľov, zameranie na zákazníka a merateľnosť, do akej miery sú ciele a ciele splnené. Toto sú tri problémy, na ktoré sa ISO 27001 nezameriava. Táto norma zase uprednostňuje riadenie rizík pre kontinuitu podnikania a ponúka podrobnú pomoc pri implementácii ISMS. Porovnané

s týmto je ISO 9001 skôr teoretickým štandardom.

ISO 27001 nie je len pre IT

Mnoho ľudí si myslí, že norma ISO 27001 je určená len pre IT procesy, no v skutočnosti to tak nie je. Základným bodom pre implementáciu MS&B normy ISO 27001 je definícia aktív.

■ "lilltpHiimiir-J. » iJillF.lEL^OIU.IC.

g t^tsdkpinizh ts netuvk^tnslschs tEp.tna.

» ■irreiiKinfundu «GcTMHiiociv

* KYADROMK:

■ JI!l"|"l"L>4_l]Jil"HIIL,k

» D|KtttcCcU H «patitU.

» jimii 14: ii |vju7JIIIM.

Ryža. 3. Druhy aktív

Aktívum je čokoľvek, čo má pre spoločnosť hodnotu (obrázok 3). To znamená, že aktívom môžu byť: ľudské zdroje, infraštruktúra, nástroje, vybavenie, komunikácia, služby a akékoľvek iné aktíva vrátane služieb na dodávku nakupovaných produktov. Na základe procesov spoločnosť určí, aké aktíva má a aké aktíva sa podieľajú na kritických procesoch, a vyhodnotí hodnotu aktív. A až potom sa posúdia riziká pre všetky hodnotné aktíva. ISMS je teda určený nielen pre digitálne informácie, ktoré sú spracovávané v automatizovanom systéme. Napríklad, niektoré z najdôležitejších procesov súvisia s

Príprava

plány podujatí

2 Skontrolujte súlad s H:i

s ukladaním tlačených kópií informácií, na ktoré sa vzťahuje aj norma ISO 27001. ISMS pokrýva všetky spôsoby, akými môžu byť vo vašej spoločnosti uložené dôležité informácie, od ochrany vašich e-mailov až po uchovávanie osobných súborov zamestnancov budova.

Preto je obrovská mylná predstava, že keďže je norma zameraná na vybudovanie systému riadenia informačnej bezpečnosti, môže sa to týkať iba údajov uložených v počítači. Aj v našom digitálnom veku je stále veľa informácií na papieri, ktoré je tiež potrebné bezpečne chrániť.

ISO 9001 nemôže splniť potreby spoločnosti v oblasti informačnej bezpečnosti, pretože sa úzko zameriava na kvalitu produktov. Preto je veľmi dôležité zaviesť vo firme ISO 27001. Špecialistovi sa na prvý pohľad môže zdať, že obe normy sú veľmi všeobecné a nemajú špecifiká. Nie je to však tak: norma ISO 27001 popisuje takmer každý krok pri implementácii a kontrole fungovania ISMS (obrázok 4).

Hlavné etapy budovania systému riadenia informačnej bezpečnosti

Hlavné fázy budovania ISMS sú znázornené na obrázku 4. Zvážme ich podrobnejšie.

Etapa 1. Príprava akčných plánov. V tejto fáze špecialisti zhromažďujú organizačné a administratívne dokumenty (ORD) a iné pracovné materiály,

3 A typ normal II ORD

4 Analýza II hodnotenie rizika 11B

Implementácia

5 RyazraOoghya a<>Komplex RaeryaOopv & 00\*ieiitii:

radiačné plány ■-> norma tovnsh n -> udalosť -> CfftpJOTHW*

činnosti Po>PB ORD na vyžiadanie

Vytvorenie 10 výsledkov hodnotenia AiUtuin v OrsnEshS"IMB

Ryža. 4. Etapy budovania ISMS

týkajúce sa budovania a prevádzky informačných systémov spoločnosti, mechanizmov a prostriedkov poskytovania informačnej bezpečnosti plánovaných na použitie. Okrem toho sa vypracúvajú, odsúhlasujú a schvaľujú akčné plány etáp prác vedením spoločnosti.

Fáza 2. Kontrola súladu s ISO/IEC 27001:2005. Rozhovory a výsluchy manažérov a zamestnancov oddelení. Analýza ISMS spoločnosti z hľadiska súladu s požiadavkami ISO/IEC 27001:2005.

Etapa 3. Analýza regulačných a organizačných a administratívnych dokumentov na základe organizačnej štruktúry spoločnosti. Na základe jeho výsledkov sa určí chránený rozsah (OS) a vypracuje sa náčrt politiky informačnej bezpečnosti spoločnosti.

Etapa 4. Analýza a hodnotenie rizík IS. Vypracovanie metodiky riadenia firemných rizík a ich analýzy. Analýza informačných zdrojov spoločnosti, predovšetkým LAN, za účelom identifikácie hrozieb a zraniteľností chránených aktív ML. Inventár majetku. Poskytovanie konzultácií pre špecialistov spoločnosti a posudzovanie súladu so skutočnou a požadovanou úrovňou bezpečnosti. Výpočet rizík, určenie aktuálnej a akceptovateľnej miery rizika pre každé konkrétne aktívum. Stanovenie rozsahu rizík, výber súboru opatrení na ich zníženie a výpočet teoretickej efektívnosti implementácie.

Etapa 5. Vypracovanie a implementácia akčných plánov informačnej bezpečnosti. Vypracovanie predpisu o použiteľnosti kontrol v súlade s ISO/IEC 27001:2005. Vypracovanie plánu účtovania a eliminácie rizík. Príprava správ pre šéfa spoločnosti.

Etapa 6. Vypracovanie normatívnej a prevádzkovej dokumentácie. Vypracovanie a schválenie konečnej politiky I&B a jej zodpovedajúcich ustanovení (súkromné ​​pravidlá). Vypracovanie noriem, postupov a pokynov, ktoré zabezpečujú normálne fungovanie a prevádzku ISMS spoločnosti.

Etapa 7. Implementácia komplexných opatrení na zníženie rizík IS a vyhodnotenie ich účinnosti v súlade s manažmentom schváleným plánom liečby a eliminácie rizík.

Etapa 8. Školenie personálu. Vypracovanie akčných plánov a implementácia programov vzdelávania a zvyšovania spôsobilosti zamestnancov spoločnosti s cieľom efektívne komunikovať princípy informačnej bezpečnosti všetkým zamestnancom a

v prvom rade tí, ktorí pracujú v štrukturálnych jednotkách, ktoré zabezpečujú kľúčové obchodné procesy.

Etapa 9. Tvorba správ. Systematizácia výsledkov prieskumu a výkazníctva. Prezentácia výsledkov práce pre konateľov spoločnosti. Príprava dokumentov na licencovanie v súlade s ISO/IEC 27001:2005 a ich predloženie certifikačnej organizácii.

Etapa 10. Analýza a vyhodnotenie výsledkov implementácie ISMS na základe metodiky, ktorá hodnotí spoľahlivosť fungovania ISMS podniku. Vypracovanie odporúčaní na zlepšenie systému riadenia informačnej bezpečnosti spoločnosti.

Pri analýze každej fázy implementácie ISMS môžeme povedať, že ISO 27001 má jasnú štruktúru a požiadavky, ktoré vám umožnia vybudovať fungujúci systém, v ktorom bude interakcia na všetkých potrebných úrovniach. Nesmieme však zabúdať, že hlavný rozdiel medzi ISMS a QMS je v tom, že prvý systém je zameraný na informačnú bezpečnosť.

Význam informačnej bezpečnosti v modernom svete

Dnešné podnikanie nemôže existovať bez informačných technológií. Je známe, že približne 70 % celkového svetového národného produktu závisí tak či onak od informácií uložených v informačných systémoch. Plošné zavádzanie počítačov vytvorilo nielen známe vymoženosti, ale aj problémy, z ktorých najzávažnejší je problém informačnej bezpečnosti.

Vedúci pracovníci musia uznať dôležitosť informačnej bezpečnosti, naučiť sa predvídať a riadiť trendy v tejto oblasti. V tomto im môže pomôcť zavedenie ISMS, ktorý má svojou štruktúrou potenciál rozvoja, transparentnosť riadenia a flexibilitu voči akýmkoľvek zmenám. Norma ISO 27001 popri kontrolách pre počítače a počítačové siete venuje veľkú pozornosť rozvoju bezpečnostných politík, práci s personálom (prijímanie, školenie, prepúšťanie), zabezpečeniu kontinuity výrobného procesu, regulačným požiadavkám, súčasne niektoré technické problémy uvedené v iných normách série

ISO 27000. Zavedenie ISMS v podniku má množstvo výhod, niektoré z nich sú znázornené na obr. 5.

GlbkshlScale subr\u003e h; 1 [h.-t

Znížené ¡juvum

HiKiinimi n II11 \ 11 H "G 1111 111 pdnT

Prtrtshal wirdoktle

" Ji|m|ill p.Ki u:

azhchtnya č. tsn ^ sv

Ryža. 5. Prínosy implementácie systému riadenia informačnej bezpečnosti

Treba poukázať na výhody ISO

Preukázanie bezpečnostnej kompetencie. ISO 27001 je praktická príručka pre organizáciu, ktorá pomáha formulovať bezpečnostné požiadavky na dosiahnutie požadovanej úrovne bezpečnosti a splnenie špecifických bezpečnostných cieľov. Pre organizácie je obzvlášť dôležité, aby boli kompetentné v štyroch oblastiach riadenia bezpečnosti, vrátane: identifikácie a hodnotenia majetku spoločnosti, hodnotenia rizík a definovania kritérií akceptácie rizík, riadenia a akceptovania týchto položiek a neustáleho zlepšovania celkového bezpečnostného programu organizácie.

Zabezpečenie dôvery zákazníkov. ISO 27001 poskytuje nezávislý dôkaz, že programy správy a riadenia spoločností sú podporované najlepšími medzinárodnými postupmi. Certifikácia ISO 27001 poskytuje pokoj na duši korporáciám, ktoré chcú preukázať integritu zákazníkom, akcionárom a potenciálnym partnerom, a čo je najdôležitejšie, ukázať, že spoločnosť úspešne implementovala spoľahlivý systém riadenia bezpečnosti informácií. V prípade mnohých silne regulovaných odvetví, ako sú financie alebo internetové služby, môže výber dodávateľa

obmedziť na tie organizácie, ktoré sú už certifikované podľa ISO 27001.

Efektívnejšie využívanie zdrojov. Vďaka využitiu procesného prístupu je možné optimalizovať procesy prebiehajúce vo firme. Čo znamená zníženie využívania zdrojov, napríklad času.

Neustále zlepšovanie. ISMS využíva model PCDA, ktorý umožňuje pravidelne kontrolovať stav celého systému, analyzovať a zlepšovať systém riadenia

1. Imidž, značka. Certifikácia ISO 27001 otvára spoločnosti široké spektrum príležitostí: internacionalizácia, nové partnerstvá, viac klientov, nové zmluvy, úspech vo výberových konaniach. Prítomnosť ISMS v spoločnosti je indikátorom vysokej úrovne rozvoja.

2. Flexibilita ISMS. Bez ohľadu na zmeny v procesoch, nových technológiách zostáva základná štruktúra ISMS platná. ISMS sa dá celkom ľahko prispôsobiť inováciám modernizáciou existujúcich a zavedením nových protiopatrení.

3. Škálovateľnosť implementácie štandardu. Keďže norma ISO 27001 sa vzťahuje na rozsah, umožňuje certifikovať iba podmnožinu procesov. ISMS môžete začať implementovať v najvýznamnejšom OD pre spoločnosť a neskôr ho rozšíriť.

4. Audit. Mnohé ruské spoločnosti vnímajú audítorskú prácu ako katastrofu. ISO 27001 ukazuje medzinárodný prístup k auditu: v prvom rade záujem spoločnosti skutočne spĺňať normy a nerobiť certifikáciu nejako, len „na parádu“.

5. Pravidelné interné alebo externé audity umožňujú napraviť porušenia, zlepšiť ISMS a výrazne znížiť riziká. V prvom rade to firma potrebuje pre svoj pokoj, že je všetko v poriadku a riziká strát sú minimalizované. A sekundárne - certifikát zhody, ktorý potvrdzuje pre partnerov alebo zákazníkov, že tejto spoločnosti možno dôverovať.

6. Transparentnosť riadenia. Použitie normy ISO 27001 dáva pomerne jasné pokyny na vytváranie ovládacích prvkov a

aj požiadavky na dokumentáciu, ktorá by mala byť vo firme. Problémom mnohých spoločností je, že existujúce dokumenty pre určité oddelenia jednoducho nie sú čitateľné, pretože často nie je možné zistiť, čo je komu určené, a kvôli komplikovanosti dokumentačného systému. Hierarchické úrovne dokumentácie, od politiky informačnej bezpečnosti až po popis určitých postupov, značne zjednodušujú používanie existujúcich pravidiel, nariadení a iných vecí. Zavedenie SM&B zahŕňa aj školenia zamestnancov: vedenie seminárov, mailing, vylepovanie varovných plagátov, čo výrazne zvyšuje povedomie o informačnej bezpečnosti medzi radovými zamestnancami.

Na záver treba poznamenať, že v modernom podnikaní je samozrejmá integrita základného systému manažérstva kvality, budovaného v súlade s požiadavkami normy ISO 9001, a vznikajúceho systému manažérstva informačnej bezpečnosti.

Dnes budú lídrom trhu spoločnosti, ktoré sledujú nielen kvalitu produktov a služieb, ale aj úroveň dôvernosti, integrity a dostupnosti informácií o nich. Dôležitým faktorom úspechu je aj prognózovanie a hodnotenie rizík, ktoré si vyžaduje kompetentný prístup a používanie najlepších medzinárodných postupov. Spoločná implementácia a certifikácia systémov manažérstva kvality a informačnej bezpečnosti pomôže vyriešiť široké spektrum problémov akéhokoľvek odvetvia či obchodu, čo následne povedie ku kvalitatívnemu zvýšeniu úrovne poskytovaných služieb.

Literatúra

1. Dorofeev A. V., Shakhalov I. Yu. Základy riadenia informačnej bezpečnosti modernej organizácie // Právna informatika. 2013. Číslo 3. S. 4-14.

2. Chashkin V. N. Manažment informačnej bezpečnosti ako prvok systému riadenia informačno-technologických aktivít organizácie // Bezpečnosť informačných technológií. 2009. Číslo 1. S. 123-124.

3. Goryachev VV Nový GOST pre QMS. Hlavné rozdiely od GOST RV 15.002-2003 //

Metódy riadenia kvality. 2013. Číslo 7. S. 18-23.

4. Dotsenko S. P., Pshenetsky S. P. Prístup k budovaniu modelu systémov riadenia informačnej bezpečnosti // Polytematická sieť elektronický vedecký časopis Štátnej agrárnej univerzity Kuban. 2009. Číslo 53. S. 47-56.

5. Kamenev A. V., Zavoritko E. V. Model systému riadenia informačnej bezpečnosti v podniku (v organizácii) // Intelekt. Inovácia. Investície. 2013. Číslo 1. S. 111-114.

6. Solovyov A. M. Regulačná a metodická základňa v oblasti informačnej bezpečnosti // Ekonomika, štatistika a informatika. Vestník UMO. 2012. Číslo 1. S. 174-181.

7. Kozin I. F., Livshits I. I. Informačná bezpečnosť. Integrácia medzinárodných štandardov do systému informačnej bezpečnosti Ruska // Informatizácia a komunikácia. 2010. Číslo 1. S. 50-55.

8. Kolodin V. S. Certifikácia integrovaných manažérskych systémov // Bulletin Irkutskej štátnej technickej univerzity. 2010. V. 41. Číslo 1. S. 44-48.

9. Merkushova N. I., Naumenko Yu. A., Merkushova Yu. A. Integrované systémy riadenia: predpoklady pre vytvorenie v ruských podnikoch // Mladý vedec.

2013. Číslo 12 (59). 327-331.

10. Voropaeva V. Ya., Shcherbov I. L., Khaustova E. D. Riadenie informačnej bezpečnosti informačných a telekomunikačných systémov na základe modelu P1ap-Do-Check-Act. Ser1ya: "Technický list a automatizácia sa počítajú." 2013. Číslo 2 (25). s. 104-110.

11. Dorofeev A. V., Markov A. S. Manažment informačnej bezpečnosti: základné pojmy // Problematika kybernetickej bezpečnosti.

2014. Číslo 1 (2). s. 67-73.

12. Shper VL Podľa normy 18O/1EC 27001 // Metódy riadenia kvality. 2008. Číslo 3. S. 60-61.

13. Markov A. S., Tsirlov V. L. Riadenie rizík - regulačné vákuum informačnej bezpečnosti // Otvorené systémy. DBMS. 2007. Číslo 8. S. 63-67.

14. Matveev V. A., Tsirlov V. L. Stav a perspektívy rozvoja priemyslu informačnej bezpečnosti Ruskej federácie

v roku 2014 // Otázky kybernetickej bezpečnosti. 2013. č. 1(1). s. 61-64.

15. Barabanov A. V. Štandardizácia procesu vývoja bezpečného softvéru // Problematika kybernetickej bezpečnosti. 2013. č. 1(1). s. 37-41.

16. Markov A. S., Tsirlov V. L. Pokyny pre kybernetickú bezpečnosť v kontexte

ISO 27032 // Problémy s kybernetickou bezpečnosťou. 2014. č. 1(2). s. 28-35. 17. Khramtsovskaya N. Čo manažér potrebuje vedieť o informačnej bezpečnosti // Kadrovik. 2009. Číslo 4. S. 061-072.