Uygun
PDCA modelinin benimsenmesi, ekonomik işbirliği ve geliştirme organizasyonunda (OECD) ve bilgi sistemlerinin ve ağların tanımlayıcı güvenliğinde kurulan ilkeleri de yansıtmaktadır. Bu standart, bu prensiplerin uygulanmasında, bilgi güvenliği sisteminin, yönetimini ve yeniden değerlemesini, risklerini değerlendirmemizi, risklerini değerlendirmemize izin veren bir görsel modeldir.
1 Gereklilik, bilgi güvenliği ihlallerinin kuruluşun önemli finansal zararlarına ve / veya faaliyetlerinde önemli zorluklara yol açmayacağını onaylayabilir.
2 Beklenen sonuç, mümkün olan en aza indirmenize izin veren prosedürler yapmak için oldukça iyi eğitimli çalışanların kuruluşunda olabilir. olumsuz sonuçlar Elektronik işlem yaptığı örgütün web sitesinde yetkisiz penetrasyon (bilgisayar korsanlarının saldırısı) gibi ciddi bir olay durumunda.
| tablo 1 | |
Bu standart "Kalite Yönetim Sistemleri. Gereksinimler" ve "Yönetim Sistemleri Standartları ile kabul edilir. Çevre. "Tutarlı ve entegre uygulamayı ve yönetim alanındaki diğer benzeri birbirleriyle etkileşimi desteklemek için gereksinimler ve uygulama kılavuzu. Böylece, bir kuruluştaki uygun şekilde inşa edilmiş bir yönetim sistemi tüm bu standartların gereksinimlerini karşılayabilir.
Bu standart, herhangi bir mülkiyet biçiminin kullanımına yöneliktir (örneğin, ticari, devlet ve kar amacı gütmeyen kuruluşlar). Bu standart, organizasyonun genel işletme riskleri arasında belgelenmiş bir bilgi güvenliği yönetim sisteminin (ISMS) geliştirme, uygulama, çalıştırma, izleme, analiz, destek ve iyileştirme gereksinimlerini belirler. Buna ek olarak, standart, bilgi güvenliği sağlama (IB) sağlama hedeflerine ve hedeflerine uygun olarak, kuruluşlar veya bölümler tarafından kullanılabilecek bilgi güvenliği yönetimi önlemlerinin ve kontrolünün uygulanması gerekliliklerini belirler.
ISM'leri oluşturmanın amacı, bilgi varlıklarını korumak ve paydaşların güvenini garanti etmek için tasarlanmış uygun güvenlik yönetimi önlemlerinin seçimidir.
Not - "İşletme" terimi, bu standartta geniş bir anlamda anlaşılan, kuruluşun varlığının amacı için temel olan tüm etkinlikleri belirtir.
Bu standardın kurulan gereksinimler, faaliyetlerinin türü, ölçeği ve alanından bağımsız olarak tüm kuruluşlarda kullanım amaçlıdır. Belirtilen şartlardan herhangi birinin ortadan kaldırılması
davranmak Editör 27.12.2006
| İsim belgesi | "Bilgi teknolojisi. Yöntem ve güvenlik araçları. Bilgi Güvenlik Yönetim Sistemleri. Gereksinimler. GOST R ISO / IEC 27001-2006" (27.12.2006 N 375-ST'den RostekRegülasyon sırasına göre onaylandı) |
| Döküman tipi | sipariş, Standart, GOST, ISO |
| Tarafından kabul edildi | rostechregulation |
| Belge Numarası | ISO / IEC 27001-2006 |
| Evlat edinme tarihi | 01.01.1970 |
| Editörün Tarihi | 27.12.2006 |
| Adalet Bakanlığında Kayıt Tarihi | 01.01.1970 |
| Durum | davranmak |
| Yayınlama |
|
| Navigatör | Notlar |
"Bilgi teknolojisi. Yöntem ve güvenlik araçları. Bilgi Güvenlik Yönetim Sistemleri. Gereksinimler. GOST R ISO / IEC 27001-2006" (27.12.2006 N 375-ST'den RostekRegülasyon sırasına göre onaylandı)
8. Bilgi Güvenliği Yönetim Sisteminin Geliştirilmesi
8.1. Devamlı gelişme
Örgüt, IB politikasını, IB hedeflerini, denetim sonuçlarının kullanımını, kontrollü olayların analizi, düzeltici ve önleyici eylemlerin analiz edilmesinin yanı sıra IMIM analizinin yönetimini kullanma (bkz. BÖLÜM 7).
8.2. Düzeltici eylemler
Kuruluş, yeniden ortaya çıkmalarını önlemek için ISMS'in gereksinimlerine göre tutarsızlıkların nedenlerini ortadan kaldırmak için önlemleri almalıdır. Belgelenmiş düzeltici eylem prosedürü aşağıdaki şartları ayarlamalıdır:
a) tutarsızlıkları tanımlamak;
b) tutarsızlıkların nedenlerini belirlemek;
C) tutarsızlıkları tekrarlamak için eylem ihtiyacını değerlendirmek;
d) Gerekli düzeltici eylemlerin tanımı ve uygulanması;
(e) Alınan eylemlerin sonuçlarını korumak (bkz. 4.3.3);
f) üstlenilen düzeltici eylemin analizi.
8.3. Uyarı eylemleri
Kuruluş, onları önlemek için, ISS'lerin gereklilikleri ile potansiyel tutarsızlıkların nedenlerini ortadan kaldırmak için gerekli eylemleri belirlemelidir. tekrarlanan görünüm. Yapılan uyarı eylemleri, potansiyel problemlerin sonuçlarına uymalıdır. Tercih edilen eylemlerin belgelenen prosedürü aşağıdaki şartları ayarlamalıdır:
a) potansiyel tutarsızlıkları ve nedenlerini belirlemek;
b) tutarsızlıkların ortaya çıkmasını önlemek için çalma ihtiyacını değerlendirmek;
c) Gerekli uyarı eyleminin tanımı ve uygulanması;
d) alınan işlemin sonuçlarını kaydetmek (bkz. 4.3.3);
e) Eylemin sonuçlarını analiz etmek.
Kuruluş, risk değerlendirmelerindeki değişiklikleri belirlemeli ve uyarı eylemlerinin gerekliliklerini belirlemelidir. Özel dikkat Önemli ölçüde değiştirilmiş kantitatif risk göstergeleri üzerine.
Uyarı eylemlerinin uygulanmasına ilişkin öncelikler, risk değerlendirmesinin sonuçlarına göre belirlenmelidir.
Not - Tipik olarak, uyumsuzluk önleme önlemlerini gerçekleştirmenin maliyetleri, düzeltici eylemlerden daha ekonomiktir.
Bilgi teknolojisi dünyasında, bilginin bütünlüğünün, güvenilirliğini ve gizliliğinin sağlanması konusu önceliklidir. Bu nedenle, bir bilgi güvenliği yönetim sistemi (ISMS) ihtiyacının tanınması stratejik bir çözümdür.
İşletmedeki ISMIM'in işleyişini ve sürekli iyileştirilmesini sağlamak, uygulamak, uygulamak için geliştirilmiştir. Ayrıca, bu standardın uygulanması sayesinde dış ortaklar, bariz bir kuruluşun kendi bilgi güvenliği gereksinimlerine uyma kabiliyeti haline geliyor. Bu makale, standardın temel gereklilikleri ile başa çıkacak ve yapısını tartışacaktır.
Tecrübeli uzmanların yardımıyla meşru bir ISO sertifikası alırsanız, işiniz yeni bir kalite seviyesine gelecek.
ISO 27001 standardının ana görevleri
Standart yapının açıklamasına geçmeden önce, ana görevlerini tartışacağız ve Rusya'daki standardın ortaya çıkmasının tarihini düşüneceğiz.
Standartın Görevleri:
- tüm kuruluşların isms oluşturmak, uygulanması ve iyileştirilmesi için tek tip gereksinimler oluşturulması;
- en yüksek liderlik ve çalışanların etkileşimini sağlamak;
- gizlilik, Bütünlük ve Bilginin Kullanılabilirliği Tasarrufu.
Aynı zamanda, standart tarafından belirlenen gereksinimler yaygındır ve türleri, büyüklüğü veya karakterlerinden bağımsız olarak herhangi bir kuruluş tarafından kullanılmak üzere tasarlanmıştır.
Standart tarih:
- 1995 yılında İngiliz Standartları Enstitüsü (BSI), Bilgi Güvenliği Yönetimi Kodunu Ulusal Büyük Britanya standardı olarak kabul etti ve BS 7799 - Bölüm 1 numarasına kaydetti.
- 1998 yılında BSI, bir tanesi pratik kurallar ve diğer - bilgi güvenliği yönetim sistemleri için diğer gereklilikleri içeren iki bölümden oluşan BS7799-2 standardını yayınlar.
- Aşağıdaki revizyonlar sürecinde, ilk bölüm BS 7799: 1999, Part1 olarak yayınlandı. 1999 yılında, standardın bu sürümü uluslararası sertifikasyon organizasyonuna devredildi.
- Bu belge 2000 yılında Uluslararası Standart ISO / IEC 17799: 2000 (BS 7799-1: 2000) olarak onaylandı. Son sürüm 2005 yılında kabul edilen bu standart ISO / IEC 17799: 2005'dir.
- Eylül 2002'de, BS 7799 Standartının "Bilgi Güvenliği Yönetim Sisteminin Özellikleri" ikinci kısmı yürürlüğe girdi. BS 7799'un ikinci kısmı 2002 yılında revize edildi ve 2005 yılının sonunda ISO, Uluslararası Standart ISO / IEC 27001: 2005 "olarak kabul edildi. Bilişim teknolojisi - Güvenlik Yöntemleri - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimler.
- 2005 yılında, ISO / IEC 17799 standardı 27. seri standartlar çizgisine dahil edildi ve alındı. yeni numara - ISO / IEC 27002: 2005.
- 25 Eylül 2013 tarihinde, güncellenmiş bir ISO / IEC 27001 standardı yayınlandı. "Bilgi Güvenlik Yönetim Sistemleri. Gereksinimler. Şu anda, kuruluşların sertifikası, standart bu sürümüne göre gerçekleştirilir.
Standart yapı
Bu standardın avantajlarından biri, yapısının ISO 9001 ile benzerliğidir, çünkü alt bölümlerin aynı metinleri, özdeş metin, genel terimler ve temel tanımlar aynıdır. Bu durum, Dokümantasyonun bir parçası olarak ISO 9001 tarafından sertifikalandırıldığında zaten geliştirilmiş olduğu zaman ve para kazandırır.
Standartın yapısı hakkında konuşursak, daha sonra sertifikasyon için zorunlu olan ve aşağıdaki bölümlerden oluşan ISMS için gereksinimlerin listesi:
| Ana bölümler | Ek Bölüm A. |
|---|---|
| 0. Giriş | A.5 Bilgi Güvenlik Politikaları |
| 1 kullanım alanı | A.6 Bilgi Güvenliği Kuruluşu |
| 2. Düzenleyici Referanslar | A.7 İnsan Kaynaklarının Güvenliği (Personel) |
| 3. Terimler ve Tanımlar | A.8 Varlık Yönetimi |
| 4. Kuruluşun Bağlamı | A.9 Erişim Kontrolü |
| 5. Liderlik | A.10 Şifreleme |
| 6. Planlama | A.11 Fiziksel güvenlik ve çevre koruma |
| 7. Destek | A.12 Güvenlik İşlemleri |
| 8. Operasyonlar (Operasyon) | A.13 Güvenlik İletişimi |
| 9. Performansın değerlendirilmesi (ölçümü) | A.14 Kazanma, Geliştirme ve Hizmet Bilgi Sistemleri |
| 10. İyileştirme (iyileştirme) | A.15 Tedarikçilerle İlişki |
| A.16 Olay Hizmet Yönetimi | |
| A.17 İş Sürekliliği Sağlama | |
| A.18 Mevzuata Uyum |
"Ek A" gereksinimleri uygulamalar için zorunludur, ancak standart, işletmeye uygulanamayan alanları dışlamanızı sağlar.
Daha fazla sertifikayı geçmek için işletmedeki standardı uygularken, 4 - 10 bölümlerinde kurulan gereksinimlerin istisnalarının izin verilmediğini hatırlamaya değer. Bu bölümler daha fazla tartışılacaktır.
Bölüm 4 ile başlayalım - kuruluşun bağlamı
Organizasyonun kapsamı
Bu bölümde, standarda kuruluşun, hedeflerinin bakış açısına göre önemli ve iç sorunları tanımlamasını ve ISMS'nin beklenen sonuçları elde etmesini etkileyen dış ve iç sorunları tanımlamasını gerektirir. Aynı zamanda, mevzuat ve düzenleyici gereklilikler ve bilgi güvenliğine ilişkin sözleşme yükümlülükleri dikkate alınmalıdır. Ayrıca, organizasyon, kapsamını belirlemek için ISS'lerin sınırlarını ve uygulanabilirliğini belirlemeli ve belgelendirmelidir.
Liderlik
Üst yönetim, bilgi güvenliği yönetim sistemi ile ilgili olarak, bilgi güvenliği bilgi politikasının ve bilgi güvenliğinin amacı, kuruluşun stratejisiyle tespit edilmesi garantisi ile ilgili bilgi güvenliği yönetim sistemi ile ilgili liderlik ve yükümlülükler göstermelidir. Ayrıca, en yüksek kılavuz, ISMS için gerekli tüm kaynakların sağlanmasını garanti etmelidir. Başka bir deyişle, bilgi güvenliği için rehberlerin katılımı işçiler için belirgin olmalıdır.
Bilgi güvenliği alanındaki işçilerin dikkatine belgelendirilmeli ve getirilmelidir. Bu belge, ISO 9001 kalite politikasını hatırlatır. Ayrıca kuruluşun randevusunu da karşılamalıdır ve bilgi güvenliği hedefleri içermelidir. Gizliliğin ve bilginin bütünlüğünü korumak gibi gerçek hedeflerse, gerçek hedeflerse.
Ayrıca, liderliğin çalışanlar arasında bilgi güvenliği ile ilgili işlevleri ve sorumlulukları dağıtması bekleniyor.
Planlama
Bu bölümde ilk sahneye geliyoruz yönetim prensipleri PDCA (Plan - Do - Check - ACT) - Plan, Yap, Kontrol Et, Yasası.
Bilgi Güvenliği Yönetim Sistemini Planlama, Organizasyon, Bölüm 4'te belirtilen sorunları da dikkate almalı ve ayrıca, ISM'lerin beklenen sonuçları elde etmelerini sağlamak için dikkate alınması gereken riskleri ve potansiyel yetenekleri belirlemelidir, istenmeyen etkiler ve sürekli iyileştirme elde etmek.
Planlama, bilgi güvenliği hedeflerine nasıl ulaşılacağı, kuruluş belirlemelidir:
- ne yapılacak;
- hangi kaynaklar gerekli olacaktır;
- kim sorumlu olacak;
- hedefler elde edildiğinde;
- sonuç nasıl değerlendirilecektir.
Ek olarak, organizasyon, bilgi güvenliği hedefleri hakkında belgelenmiş bilgi olarak bilgi korumalıdır.
Güvenlik
Kuruluş, geliştirme, uygulama, işleyiş ve sürekli iyileştirme için gerekli kaynakları belirlemeli ve sağlamalıdır, bu, hem personel hem de belgeleri içerir. Kuruluştan personel ile ilgili olarak, nitelikli ve yetkili bilgi güvenliği çalışanlarının seçimi bekleniyor. İşçilerin nitelikleri sertifikalar, diplomalar vb. Tarafından onaylanmalıdır. Üçüncü taraf uzmanlarının sözleşmesi veya çalışanlarının eğitimi kapsamında çekmek mümkündür. Belgelere gelince, şunları içermelidir:
- standart tarafından istenen belgelenmiş bilgiler;
- bilgi Güvenliği Yönetim Sisteminin etkinliğini sağlamak için gerekli organizasyon tarafından tanınan belgelenmiş bilgiler.
ISMS'in gerektirdiği belgelenmiş bilgiler ve standart olduğundan emin olmak için standart olarak yönetilmelidir:
- gerektiğinde ve ne zaman kullanılması için kullanılabilir ve uygundur ve
- uygun şekilde korunmuş (örneğin, gizlilik kaybından, uygunsuz kullanım veya bütünlük kaybından).
İşleyen
Bu bölüm, PDCA yönetim ilkesinin ikinci aşamasını ifade eder - gereksinimlere uyumu sağlamak için işlemlerin düzenlenmesi ve planlama bölümünde tanımlanan eylemleri gerçekleştirmesi gerekir. Ayrıca, kuruluşun planlanan zaman aralıkları aracılığıyla risk değerlendirmesini veya önemli değişikliklerin önerildiği veya gerçekleştiği zaman olduğu söylenir. Kuruluş, bilgi güvenliği risklerinin bir değerlendirmesinin sonuçlarını belgelenmiş bilgi olarak sürdürmelidir.
Performansın değerlendirilmesi
Üçüncü Aşama - Kontrol. Organizasyon, ISS'lerin işleyişini ve etkinliğini değerlendirmelidir. Örneğin, iç denetim hakkında bilgi almak için iç denetim yapılmalıdır.
- bilgi Güvenlik Yönetim Sistemi ile uyumludur.
- kuruluşun kendi gereksinimleri bilgi güvenliği yönetim sistemine;
- standartın Gereksinimleri;
- bilgi Güvenliği Yönetim Sisteminin mükemmel ve çalışması.
Tabii ki, denetimlerin hacmi ve zamanlaması önceden planlanmalıdır. Tüm sonuçlar belgelenmeli ve kaydedilmelidir.
Gelişme
Bu bölümün özü, tutarsızlıkları belirlerken prosedürü belirlemektir. Kurumların tutarsızlığını, sonuçlarını düzeltmesi ve durumun bir analizini düzeltmesi gerekir, böylece gelecekte gerçekleşmez. Tüm tutarsızlıklar ve düzeltici eylemler belgelendirilmelidir.
Bu, standardın ana bölümlerini sonlandırır. Ek A, kuruluşun uyması gereken daha özel gereksinimleri sağlar. Örneğin, erişim kontrolü açısından, mobil cihazların ve medyayı kullanır.
ISO 27001 Uygulama ve Belgelendirme Faydaları
- organizasyonun durumunu ve sırasıyla ortakların güvenini arttırın;
- kuruluşun işleyişinin kararlılığını arttırmak;
- bilgi güvenliği tehditlerine karşı artan koruma;
- paydaşların bilgilerinin gizliliği seviyesinin sağlanması;
- kuruluşun katılım fırsatlarını büyük sözleşmelerde güçlendirmek.
Ekonomik avantajlar:
- yetkili personel tarafından kontrol edilen yüksek bir bilgi güvenliği düzenlemede sertifika yetkilisi tarafından bağımsız onay;
- mevcut yasalara ve düzenlemelere uygunluk kanıtı (zorunlu bir gereksinim sisteminin uygulanması);
- müşteri hizmetlerinin uygun seviyesini ve organizasyonun ortaklarını sağlamak için belirli yüksek yönetim seviyelerinin gösterilmesi;
- düzenli yönetim sistemlerinin denetimlerinin gösterilmesi, performansı ve kalıcı iyileştirmeleri değerlendirir.
Sertifika
Kuruluş, bu standarda uygun olarak onaylanmış kurumlar tarafından onaylanabilir. Sertifika süreci üç aşamadan oluşur:
- İlk aşamada, Standartın gereksinimlerine uygun olarak, ISM'lerin temel belgelerinin temel belgelerinin denetçisi tarafından yapılan çalışmadır, hem organizasyonun topraklarında hem de bu belgeleri dış denetçi aktarılarak;
- 2. aşama, gömülü önlemlerin test edilmesi ve etkinliğini değerlendiren ayrıntılı bir denetimdir. Standart gerektiren belgelerin tam bir çalışmasını içerir;
- 3. Aşama - Sertifikalı kuruluşun belirtilen gereksinimleri karşıladığını onaylamak için bir inceleme denetimi yapmak. Periyodik olarak.
Sonuç
Gördüğünüz gibi, bu standardın kuruluşun uygulaması, koşullarda olan bilgi güvenliği seviyesini nitel olarak artırmanıza olanak sağlar. modern gerçeklikler Sevgili standlar. Standartın gereksinimleri çok şey içerir, ancak en önemli gereksinim, yazılı olanı yapmaktır! Olmadan gerçek uygulama Standartın gereksinimleri, boş bir kağıda boş bir kümeye dönüşür.
Bilgi tabanında iyi çalışmanızı göndermeniz basittir. Aşağıdaki formu kullanın
Öğrenciler, lisansüstü öğrenciler, bilgi tabanını çalışmalarında kullanan genç bilim adamları ve çalışmaları size minnettar olacak.
tarafından gönderildi http://www.allbest.ru/
"Bilgi Güvenliği Yönetim Sistemi"
yönetim Uluslararası Standardı
İÇİNDEbakım
Bilgi Güvenlik Yönetim Sistemi, Gizliliği, Bütünlük Aksesuarının Bilgilendirme Varlıklarını sağlamak için şirkette çalışan işlemlerin bir birleşimidir. Özetin ilk kısmı, yönetim sistemini organizasyona uygulama sürecini ve ayrıca bilgi güvenliği yönetim sisteminin uygulanmasından elde edilen faydaların ana yönlerini inceler.
Şekil 1. Kontrol döngüsü
Gibi süreçler ve öneriler listesi en iyi yol Operasyonlarını organize etmek için, DO-Check-Act Kontrol Sistemine dayanan Uluslararası Standart ISO 27001: 2005'te verilir. Buna göre, ISM'lerin yaşam döngüsü dört tür faaliyetlerden oluşur: oluşturma - uygulama ve işletme - izleme ve analiz - destek ve iyileştirme (Şekil 1). Bu standart, ikinci bölümde daha ayrıntılı olarak tartışılacaktır.
Dantahminiyönetimbilgigüvenlik
Bilgi Güvenliği Yönetim Sistemi (ISMS), bilgi güvenliğini oluştururken, uygulama, işleyiş, izleme, analiz etme, uygulama, işleyiş, izleme, analiz ederken, destekleme ve geliştirirken, iş risklerinin yaklaşımına dayanan ortak yönetim sisteminin bir parçası olarak adlandırılır. ISMIMS işlemleri, döngüye dayanan ISO / IEC 27001: 2005 standardının gereksinimlerine uygun olarak oluşturulur.
Sistemin çalışması yaklaşımlara dayanıyor modern teori Organizasyonun genel risk yönetim sistemine entegrasyonunu sağlayan yönetim riskleri.
Bilgi Güvenliği Yönetim Sisteminin tanıtılması, bilgi güvenliği risklerinin sistematik tanımlamasını, analiz edilmesini ve azaltılmasını amaçlayan bir prosedürün geliştirilmesini ve uygulanmasını içerir; bunun bir sonucu olarak, bu bilgi varlıklarının (herhangi bir biçimde ve herhangi bir nitelikteki bilgilerin) bir sonucu olarak risklerdir. gizlilik, bütünlük ve erişilebilirliği kaybetmek.
Bilgi güvenliği risklerinin sistematik olarak azaltılması için, risk değerlendirmesinin sonuçları temelinde, kuruluşta aşağıdaki süreçler uygulanmaktadır:
· Bilgi güvenliğinin iç organizasyonunun yönetimi.
· Üçüncü şahıslarla etkileşime girerken bilgi güvenliğini sağlamak.
· Bilgi varlık kayıtlarının yönetimi ve sınıflandırmaları için kurallar.
· Ekipman Güvenlik Yönetimi.
· Fiziksel güvenliğin sağlanması.
· Bilgi güvenliği personelini sağlamak.
· Bilgi sistemlerinin planlanması ve kabul edilmesi.
· Destek olmak.
· Ağ güvenliğini sağlamak.
Bilgi Güvenliği Yönetim Sistemi Süreçleri, organizasyonun BT altyapısının yönetiminin tüm yönlerini etkiler, çünkü bilgi güvenliği, bilgi teknolojileri ile ilgili süreçlerin sürdürülebilir işleyişinin sonucudur.
Şirketlerde bir ISMS inşa ederken, uzmanlar aşağıdaki çalışmaları gerçekleştirir:
· Proje yönetimi düzenlemek, müşteri ve yüklenici tarafından bir proje grubu oluşturmak;
· İMS'lerin aktivite alanını (OD) belirleyin;
· OD SMIB'deki organizasyonu keşfedin:
o Analiz dahil kuruluşun iş süreçlerinin bir kısmını olumsuz sonuçlar IB olayları;
o Mevcut kalite yönetimi ve yönetim yönetimi süreçleri de dahil olmak üzere organizasyon yönetimi süreçleri açısından;
o BT altyapısının bir kısmında;
o IB altyapısının bir kısmında.
· Temel iş süreçlerinin bir listesini içeren bir analitik raporu ve IB tehditlerinin uygulanmasının sonuçlarının, bir yönetim süreçlerinin bir listesi, BT sistemleri, bilgi güvenliği alt sistemleri (PIB), bir değerlendirmesi, Tüm gerekliliklerin organizasyonu tarafından yerine getirilme derecesi ISO 27001 ve süreçlerin organizasyonlarının vadesinin değerlendirilmesi;
· ISMS'nin vadesinin orijinal ve hedef seviyesini seçin, olgunluğun vade programını geliştirin ve onaylayın; IB alanında üst düzey belgeler geliştirmek:
o IB sağlama kavramı,
o Politikacı IB ve SMIB;
· Kuruluş için geçerli olan riskleri değerlendirmek için metodolojiyi seçin ve uyarlayın;
· MSIM işlemlerini otomatikleştirmek için kullanılan yazılımı seçin, iletin ve dağıtın, şirket uzmanlarının eğitimini organize edin;
· Risk değerlendirmesi ve işlenmesi, onların azaltılmaları için, standart 27001'in "A" uygulamasının önlemleri seçilir ve kuruluştaki uygulamaları için gereklilikler önceden seçilmiştir;
· PIB'nin eskiz projelerini geliştirin, risk işleme maliyetini değerlendirin;
· Kuruluşun en yüksek yönetimi ile risk değerlendirmesinin onayını düzenleyin ve uygulanabilirlik konusunda hükümler geliştirin; IB sağlamak için organizasyonel önlemler geliştirin;
· Ekipman, işletmeye alma çalışması, operasyonel dokümantasyon ve kullanıcı eğitiminin geliştirilmesi de dahil olmak üzere seçilen önlemlerin uygulanmasını destekleyen teknik bilgi güvenliği alt sistemlerinin uygulanması konusunda teknik projeler geliştirme ve uygulama;
· Yapılan SMIS'nin çalışması sırasında istişareler sağlayın;
· Eğitim iç denetçilerinin organize edilmesi ve ISS'lerin iç denetimlerini gerçekleştirin.
Bu işlerin sonucu, İşlevsel ISMIM'dir. Şirketteki ISS'lerin uygulanmasından elde edilen faydalar giderde elde edilir:
· IB alanındaki mevzuat ve işletme gereksinimlerine uygunluğun etkin yönetimi;
· IB olaylarının oluşumunun önlenmesi ve oluşumları durumunda hasarı azaltır;
· Organizasyondaki IB kültürünü geliştirmek;
· IB yönetim alanındaki vadeyi geliştirmek;
· İb'nin sağlanması için fonların optimizasyonu.
ISO / IEC.27001-- uluslararasıstandarttarafındanbilgigüvenlik
Bu standart, Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) ortaklaşa geliştirilmiştir. Standart, ISMS'in oluşturulması, geliştirilmesi ve korunması için bilgi güvenliği gereksinimlerini içerir. ISO 27001, ISMS'nin kuruluşun bilgi kaynaklarını koruma yeteneğini gösterme gereksinimlerini belirler. Uluslararası Standart, "Bilgi Koruma" kavramını kullanır ve bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak olarak yorumlanır. Standartın temeli, bilgi ile ilgili risk yönetimi sistemidir. Bu standart, ilgili iç ve dış taraflara uygunluğu değerlendirmek için de kullanılabilir.
Çalışma durumunda, çalışma durumunda korunmak, çalışma, işleme, sürekli kontrol, analiz oluşturmak, uygulamak ve bilgi güvenliği yönetim sistemini (SMS) geliştirmek, standart bir işlem yaklaşımı çekiyor. Bu süreçlerin tanımlanmasıyla birlikte, bu süreçlerin tanımlanması ve etkileşimi ile birlikte süreçler sistemini de uygulamaktır.
Uluslararası standart, Shujhat-Deming'in döngüsü olarak da adlandırılan "Plan-Do-Check-ACT" (PDCA) modelini kabul eder. Bu döngü, tüm SMB işlemlerini teşvik etmek için kullanılır. Şekil 2, SMS'in girdi veri koruma gereksinimleri ve paydaşların beklentileri olarak ne zaman gerektiğini ve gerekli eylemler ve işlemler sayesinde bu gereklilikleri ve beklentileri karşılayan bilgileri koruma sonuçlarını ortaya koyuyor.
Planlama, bir SMB oluşturma, varlıkların bir listesi oluşturma, riskleri değerlendirme ve önlemleri seçme aşamasıdır.
Şekil 2. SMB işlemine uygulanan PDCA modeli
Uygulama, ilgili önlemlerin uygulanması ve uygulanması bir aşamadır.
Kontrol - SMIS'in etkinliği ve performansının değerlendirilmesinin aşaması. Genellikle iç denetçiler tarafından gerçekleştirilir.
Eylem - önleyici ve düzeltici eylemler gerçekleştirme.
İÇİNDEsirovy
ISO 27001'i açıklar genel model ISM'lerin tanıtımı ve işletilmesi, ISMS'nin izlenmesi ve iyileştirilmesi konusundaki eylemler. ISO, kalite yönetimine adanmış olan ISO / IEC 9001: 2000 gibi yönetim sistemleri için çeşitli standartlara uyum sağlamayı amaçlamaktadır ve Çevre Yönetim Sistemleri için tasarlanan ISO / IEC 14001: 2004. ISO hedefi, ISMIM'nin şirketteki diğer yönetim sistemleriyle tutarlılığını ve entegrasyonunu sağlamaktır. Standartların benzerliği, uygulamak, kontrol etmek, revize etmek, kontrol etmek ve sertifikalandırmak için benzer araçlar ve işlevsellik kullanmanıza olanak sağlar. Şirketin diğer yönetim standartlarını uyguladığı, kullanabileceği anlaşılıyor. birleşik sistem Kalite yönetimi, çevre yönetimi, güvenlik yönetimi vb. İçin uygulanabilir denetim ve yönetim. İMS'lerin uygulanması, üst yönetimin artık işletme risklerini azaltan izleme ve güvenlik yönetimi araçlarını alır. ISMS'nin tanıtılmasından sonra, şirket, bilgi güvenliğini resmi olarak sağlayabilir ve müşterilerin, mevzuatın, düzenleyicilerin ve hissedarların gereklerine uymaya devam edebilir.
Rusya Federasyonu mevzuatında, Uluslararası Standart Standart ISO27001'in çevrilmiş versiyonu olan bir belge GOST R ISO / IEC 27001-2006 olan bir belge olduğunu belirtmekte fayda var.
Danpikovedebiyat
1. Korev I.R., Belyaev A.V. İşletmenin bilgi güvenliği. - SPB.: BHV-Petersburg, 2003. - 752 p.: Il.
2. Uluslararası Standart Wiso 27001 (http://www.specon.ru/files/iso27001.pdf) (Kullanım tarihi: 05/23/12)
3. Ulusal Standart Rusya Federasyonu GOST R ISO / IEC 27003 - "Bilgi Teknolojileri. Güvenlik Yöntemleri. Bilgi Güvenliği Yönetim Sisteminin Uygulanması İçin Kılavuzlar" (http://niisokb.ru/news/documents/idt%20ISO%20IC42027003-2011-09- 14. PDF) (Taşıma Tarihi: 05/23/12)
4.Serbiba v.y., Kurbatov v.a. Bilgi güvenliğinin iç tehditlerine karşı korunma kılavuzu. Petersburg: Peter, 2008. - 320 c .: Il.
5. Ücretsiz Ansiklopedisi Standartları »Wikipedia," Yönetim Sistemi
bilgi güvenliği "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (Taşıma Tarihi: 05/23/12)
6.Sigurjon Thor Arnasony Keith D. Willett "27001 sertifikası nasıl elde edilir" ("Big Sertifypostandart ISO 27001")
Allbest.ru'da yayınlandı.
Benzer belgeler
İşletmede bilgi güvenliği tehditleri. Bilgi güvenliği sisteminde eksikliklerin tespiti. Bilgi güvenliği sisteminin oluşumunun amaçları ve amaçları. Kuruluşun bilgi güvenliği sistemini geliştirmek için önerilen önlemler.
dersin işi, eklendi 02/03/2011
İşletmedeki Bilgi Güvenliği Sisteminin Analizi. Bilgi güvenliği sorunları hakkında bilgi. Bilgi güvenliği tehditleri, işletmenin özelliği. Bilgi koruma yöntemleri ve araçları. Güvenlik konumundan bilgi sisteminin modeli.
dersin işi, eklendi 02/03/2011
İşletmede bir yönetim sistemi oluşturmanın ana aşamaları gıda endüstrisi. HACCP, gıda ürününün herhangi bir gıda yönetim sisteminin temeli olarak. Güvenlik Yönetim Sistemi gıda Ürünleri. Tehlikeli faktörler ve uyarı eylemleri.
Özet, 14.10.2014 eklendi
Modern yönetim sistemleri ve entegrasyonu. Entegre Kalite Yönetim Sistemleri. OJSC "275 ARZ" ve yönetim sisteminin özelliği. Bir İş Koruma Yönetim Sisteminin Gelişimi. Entegre bir güvenlik sisteminin değerlendirilmesi için yöntemler.
tez, Eklenen 31.07.2011
Kalite yönetim sisteminin uygulanması. Kalite Yönetim Sistemlerinin (ISO 9000), Çevre Yönetimi (ISO 14.000), OJSC bant örneğinde (OHSAS 18 001: 2007) sertifikası.
ÖZET, 06.10.2008 eklendi
Belge yönetimi sürecinin uygulanması için tek bir prosedür oluşturan entegre bir yönetim sistemi düzenlemek için bir standardın gelişimi. JSC "ZSMK" kalite yönetim sistemi oluşturma aşamaları. Belgelerin elektronik versiyonlarını yerleştirme.
tez, eklenen 01.06.2014
Çalışanların hiyerarşik şeması. Bilgi Koruma Araçları. Güvenlik hakkında sorular. Şema bilgi akışı İşletmeler. Bilgi sisteminin bütünlüğünü izleme yöntemleri. Access kontrol bilgilerini modelleme.
dersin işi, eklendi 30.12.2011
Yönetim bilgisi kavramı ve onun yeri genel sistem yönetim. Bilgi sistemleri ve içeriği türleri. Bir bilgi sistemi olarak yönetim kavramı. Finansal yönetim sisteminin işlevleri. İşlem ve işlem yapma sistemleri.
Özet, Eklendi 01/06/2015
İş sağlığı ve güvenliği alanındaki kavramlar. Uluslararası standartlar ISO Kalite Yönetim Sistemleri, Çevre Yönetim Sistemleri, Profesyonel Güvenlik ve Sağlık Yönetim Sistemleri. OHSAS standardının 18001-2007'sinin uyarlanması.
kurs çalışması, Eklendi 12/21/2014
Bilgi Yönetiminin Özellikleri; bilgi ve yasal ilişkilerin konuları; Yasal makbuz modu, transfer, depolama ve bilgi kullanımı. Özellikler I. yasal yönler Bilgi değişimi ve bilgi güvenliği.
12 Eylül 2011
IB Yönetimi ISO 27001'e göre. Belgelendirme gereksinimleri
Happinnes var. Bilgi güvenliği, ISO 27001 standardına dayanarak inşa edilebilir. Bunun üzerine nasıl yapılacağı konusunda, "Bilgi Sistemlerinin Denetimi" Yönünün Yöntemi Başkan Yardımcısı ve FBK Finansal Kurumlarındaki Denetim ve Danışmanlık Hizmetleri Danışmanlık Hizmetleri Mikhail Vinnikov:
Bugün, IB ile ilgili olmayan sürecin, daha ziyade - belge akışına bağlı olmayan, ancak aslında, süreç önemlidir, bir sürü zaman ve sinir tasarrufu sağlar - gereksinimler IB süreçlerini belgelemek için nasıl sunulur, veya - ISMIM'yi tanımlamak ve bu açıklamaları korumak için uygun şekilde ve minimum güç maliyetiyle günceldir. Doğal olarak, ISO 27001'e odaklanıyor.
Bilgi güvenliği seviyesi (bundan böyle - IB), kuruluşun yeterli ihtiyaçları, bunları tekrarlanan ve kontrollü koruyucu önlemlere uygun şekilde uygulanan temel kurallar, ilke ve görevlerin net bir şekilde sunulmasını gerektirir, kuruluşun personelinin uygulanmasındaki önlemlerin enkarnasyonu Mevcut durumun operasyonel yansımasını, ilgili yöneticilerin davranışlarının benimsenmesi için sağlar.
En iyi yol Bunun uygulanması, fikirlerin, pratik düşünceleri ve IB faaliyetlerinin sonuçlarını, öncelikle kuralların etkileşiminin yapısını belirleyecek ve pratik eylemlerini ve ikinci olarak uygulamak, Her bir çalışan, ilgili iş süreci düzeyinde ve IB'nin sağlanması için gereklilikler, onu yerine getirirken rehberlik edilmesi gereken şartlar resmi görevler, hem gözlüklerini izleme prosedürünü belirlemenin yanı sıra.
Yukarıdakilere dayanarak, IB Yönetim Sistemi (ISO) şemasında ISO 27001'e göre yeni bir "dal" elde ediyoruz (bundan sonra standart olarak adlandırılır):
"SMIS" - "gelişir" - "Dokümantasyon Gereksinimleri".
Görevlerin isimlerindeki kodlar, yayınlarımızın başında belirtildiği gibi, ISO 27001 standart bölümünün numarasını gösterir.
SMIS Belgesel Desteği Sistemi Nasıl Düzenlenir?
Her tür bir belge, yaşam döngüsünü etkileyen aşağıdaki öznitelik sorunları ile aynı şekilde karakterize edilebilir:
- kimin için (kimini okuyacak);
- kim onu \u200b\u200bkoordine eder ve iddia eder;
- Ne sıklıkta değişebilir.
Öte yandan, resmi olarak belgeler yazılıma (referans) ve operasyonel (performansı içeren) bölünebilir. Standart açısından, bu tür belgeler sırasıyla, aslında belgeler ve kayıtlara ayrılır.
Standart'a göre, ISSS belgeleri hakkında bilgi içermelidir:
- IB politikasının politikası, hedefleri ve işleme alanı, IB politikasının belgelenmiş hükümleri;
- ISMS tarafından kullanılan yönetimin prosedürleri ve önlemleri;
- IB Risk Değerlendirme Metodolojileri;
- Risk değerlendirme ve işleme planlarının sonuçları;
- Karışımın işleyişinin sonuçlarını değerlendirme prosedürleri;
- SMIS'in işleyişinin kanıtı.
Bu bilgi hangi formatta sunulmalıdır?
ISMS'yi sağlayan bir belge sistemi geliştirirken, ilk belgelerin oluşturulmasının karmaşıklığı (kaynak ihtiyacı) arasında bir çarpışma ortaya çıkıyor ve bunları gerçek durumda daha da sürdürüyor. Bir yandan, türlerin (isimlendirme) sayısını (isimlendirme) ve belgelerin sayısını mümkün olduğu kadar küçük olma arzusu vardır (yönetimi başarmayı başarmak daha kolaydır, tüm paketin hazırlanmasını bitirmek mümkündür, vb.). Öte yandan, Smysman "yaşıyor" ise, her zaman gelişirse, belgeler periyodik olarak ve bazı gelişmeler dönemlerinde - ayarlamak ve rafine etmek için oldukça gereklidir. IB'nin sağlanması için belgeler, organizasyonun genel "bürokratik" döngüsüne dahil edilirse: "Geliştirme-Koordinasyon-Onaylar E", daha yüksek onay ve belgelerin koordinasyonu, daha uzun süre yeni sürümlerin bir giriş döngüsü olacak Belgelerin, güncel durumunda onları korumak zor.
Organizasyonun, IB'nin belirli yönleriyle ilgili eylemlerin kuralları hakkındaki hükümler de dahil olmak üzere bir bilgi güvenliği politikası geliştirmiştir. (IB tarafından özel politika denir). IB'nin tüm çalışanlarının IB politikalarına aşina olması gerektiği nedeniyle, belge çok hacimli ve ayrıntılı olmamaya çalışıyordu ve özel politika hükümleri, tezler şeklinde kısaca açıklandı.
Sonuç olarak ne oldu?
Belge hala ağır olduğu ortaya çıktı - çok olan bir düzineden fazla sayfa. Nihai özgüllük olmayan özel politikalar pratik olarak açıklanmamıştır, bu nedenle onları uygulamak imkansızdır. Belgenin eşlik etmeyi zordur - Örneğin, örneğin, kullanımda bir karar verirken, internetin güvenli kullanımı, giriş, izinsiz giriş algılama sistemleri (IDS) yaparken, internetin güvenli kullanımı için onaylamak için zordur. Bir sonraki yönetmen toplantısı vb. Şunlar. Belgenin çalışmadığı ortaya çıktı.
IB'nin politikası, bir veya iki sayfa için ideal bir şekilde anlayış ve uyması için basit olmalıdır, çünkü stratejik bir belge, yönetim hiyerarşisinin en üst düzeyinde onaylandığı için ve kuruluşun tüm çalışanları onunla buluşması gerekir. Genel ve özel politikaların bireysel belgelere bölünmesi, özel politikaları daha verimli bir şekilde iyileştirmenize, genişletmenize ve ayarlamanıza, ilgili belgenin onayı, IB'nin genel politikasını değiştirmeden önemli ölçüde daha hızlı olacaktır.
Benzer şekilde, özel bir politika içinde belirli bir teknoloji veya sistemin kullanımını, konfigürasyonunu yansıtmak için ortaya çıkar. Sistemi değiştirme veya yeniden yapılandırması, Yönetici seviyesinde abone olan belgede bir değişiklik gerektirir. Düzgün değil! Alt belgeleri (üçüncü ve dördüncü seviye) alt belgelere (üçüncü ve dördüncü seviye), özel politikalara yönetim sağlamak için gereken bir format ve bilgi listesi sunmak daha kolaydır.
Umarım, IB Belgesi Sisteminin, mümkün olan en yüksek ve soyut hiyerarşi belgeleri ile hiyerarşik bir şemaya ve pratik parçalara yaklaştıkları için "somutiyet" ndeki bir artış olduğunu düşünmenizi düşünmeniz için ikna oldum.
Standartlar bize öneren nedir?
ISO 13335-1 standardı 4 seviyede bilgi güvenliği politikası sağlar (Kurallar):
- Kurumsal Güvenlik Politikası;
- Bilgi Güvenliği Politikası;
- Bilgi ve iletişim teknolojilerinin kurumsal güvenlik politikası;
- Güvenlik Politikası [Ayrı] Bilgi ve İletişim Teknolojileri.
Rusya Merkez Bankası'nın standardizasyonundaki öneriler RS \u200b\u200bBR IBBS 2.0-2007, yukarıda belirtilen standart hükümlerinin aşağıdaki yorumunu sunar:
Hangi belgeler seviyelerin her birine atfedilebilir?
Belge seviyeleri | Belge türleri |
İlk seviye | SMIS Politikası, Bilgi Güvenliği Politikası, Bilgi Güvenliği Kavramı |
İkinci seviye | Özel Bilgi Güvenlik Politikaları (Fiziksel Güvenlik Sağlanması, Erişim, İnternet Kullanımı ve e-posta, IB teknolojik süreçlerde vb.) |
Üçüncü seviye | Talimatlar, hükümler, siparişler, kılavuzlar, metodolojik faydalar ve eğitim programları, yapılandırma gereksinimleri vb. |
Dördüncü seviye | Sistemdeki girişler, OS, DBMS ve IP; bilgi varlıklarının kayıtları; Uygulamalar ve erişme için başarılı erişim; IB'de eğitim ve brifing dergilerdeki girişler, test raporları, eylemler, gizli bilgilerin ifşa edilmemesi için yükümlülükler vb. |
Farklı hiyerarşi seviyelerine ilişkin belgeler farklı yaşam döngüsü süresine sahiptir.
Belge seviyeleri | Ne sıklıkla değiştirilir? |
İlk seviye | nadiren (stratejik seviye değişiklikleri) |
İkinci seviye | sık sık değil (taktiksel çözümler seviyesinde değişiklikler varsa) |
Üçüncü seviye | ne olursa olsun |
Dördüncü seviye | sürekli |
Üst düzey belgeler, stratejik seviyeleri değiştirirken maksimum genelleştirilmiş ve soyut ve değişim olmalıdır - iş stratejisinde bir değişiklik, yeni standartlar, bilgi sisteminin kardinal değişimi vb. Hiyerarşi belgelerindeki astlar (üçüncü seviye), yeni ürünlerin, IB sağlama teknolojilerinin tanıtımında, ek eğitim kursları oluşturma veya bilgi yedekleme bilgisi geliştirme teknolojilerinin belirgin şekilde daha sık değişebilir. Dördüncü seviyede, kayıtlar sürekli ve zamanla oluşturulur, büyük olasılıkla formatları rafine edilecektir.
Farklı hiyerarşi seviyelerinde olan belgeler, farklı yönetim seviyelerinde onay gerektirir.
Yüksek düzeyde belgeler - IB'nin sağlanmasına stratejik yaklaşımları tanımlayan ISM ve IB'nin politikacıları, sahipleri veya Yönetim Kurulu düzeyinde onaylanmıştır.
Bireysel alanlarda bilgi güvenliğinin kurallarını belirleyen özel politikalar, Yürütme Direktörü veya Danışmanın düzeyinde onaylanabilir, ancak aynı zamanda bu faaliyet alanlarının etkilendiği bölümlerde geniş bir koordinasyon yelpazesine sahip olmalıdır.
Hükümler, talimatlar ve diğer pratik belgeler, IB güvenliğinin altyapısını çalıştıran birimlerin çalışma belgeleridir, bunları oluşturur, düzeltilmiş ve değişir. İÇİNDE bazı durumlarÜçüncünün bazı raporları, kuruluşun yönetim düzeyinde (örneğin, bölümler, vb. Hükümler) onayını isteyebilir.
Gerekirse, Müteahhit tarafından imzalanan tarafından doğrulanmış olan IB'nin işleyişinin kanıtı.
Belgelerin sürümlerinde kafa karıştırmamak için, tüm bu kaynama belgelerini, çalışanlar arasındaki belgeleri uygun şekilde yaymak için yönetmek gerekir.
Belge Yönetimi Prosedürü şunları vermelidir:
- Örgütün yönetim yapısının uygun düzeyinde belgelerin onaylanması;
- Gerekirse, belgeler;
- Yapılan değişikliklerin belirlenmesini ve belgelerin sürümlerinin mevcut durumunu sağlamak;
- Kullanım yerlerinde belgelerin çalışma sürümlerine erişim;
- Belgeleri tanımlama ve bunlara erişim sağlama prosedürünün varlığı;
- Yetkili kişilerin belgelerine, yanı sıra yaşam döngüsünün (iletim, depolama ve yıkım) gizlilik sınıflandırması seviyesine göre gerçekleştirilmesi gerçeği;
- Kuruluşun dışında oluşturulan belgelerin tanımlanması;
- Belgelerin yayılması üzerine kontrol;
- Eski belgelerin kullanımının önlenmesi;
- Herhangi bir amaç için tasarruf edilmeleri durumunda eski belgelerin ilgili tanımlanması.
IB belgelerini yönetme prosedürü, tüm belgelerin listesi ve randevuları, dönemin ve / veya revizyonun bir incelemesini içeren ayrı bir belge biçiminde tanımlamak için arzu edilir. ve her türlü belgenin amaçlandığı vb.
Belgelerin oluşturulması, değişmesi, koordinasyonu ve onayı için tüm kurallar, organizasyonda kabul edilen belge yönetimi kurallarına uymak zorundadır.
Belgeleri gözden geçirme prosedürünün mutlaka belgelerdeki değişiklikleri ima etmemesi gerektiği belirtilmelidir. Bazı belgelerin, alaka düzeyini doğrulamalarını, büyük, ancak düzenli aralıklarla gerçekleştirilmesini sağlamak için faydalıdır. Rusya Bankası'nın, STR BR EBBS-1.0 standardının gereksinimlerine uygun olarak, öz değerlendirme veya denetim için üç yıllık bir sürede tavsiyelerden, IB politikalarının revizyonu / onayı ile aynı dönemde olduğu varsayılabilir. makul olarak tanınır (anlamda, daha az değil!). Diğer belgeler için, revizyon prosedürünün biraz daha sık gerçekleştirilmesi mümkündür.
İMS'lerin çalışmasının kanıtı, normal bir kağıt formunda veya elektronik olarak var olan belgeler biçiminde de oluşturulmalıdır. ISMS'in işleyişinin kanıtı, çeşitli uygulamalara ve erişime, log girişlerine erişime bağlanabilir. işletim sistemleri, DBMS ve uygulama programları, izinsiz girişim önleme sistemlerinin işleyişinin sonuçları ve penetrasyon testinin sonuçları üzerine raporlar, iş yerlerinin ve sunucuların yapılandırılmasını kontrol etme eylemleri, vb. Bu belge sınıfı standartta "Kayıtlar" olarak gösterilir. Kayıtları yönetme prosedürü, değişikliklere karşı kontrol ve korumalarını sağlamalıdır, çünkü Belirli koşullar altında, IB olaylarının araştırılması için materyaller olabilirler ve malzemelerin depolanmasının kalitesi, bu malzemelerin meşru olmayan malzemeler tarafından tanınmayacağını belirler mi yoksa güvenilir değil. Ayrıca, ISM'lerin izlenmesinin sonuçlarını, IB olaylarının araştırılması, ISS'lerin çalışmasının sonuçları hakkında raporlar, vb.
Yönetim prosedürleri:
- Belgesel kanıtların netliği, sadeliği, tanımlanabilirliğini ve dinlenmesini sağlamak;
- Kimlik, depolama, gizlilik ve bütünlük koruması, arama, depolama süresi ve imha tanımını sağlamak için yönetim önlemlerini kullanın.
Örnek olarak, IB dokümantasyon sistemini oluşturan belge türlerinin bir listesini, örneğin İnternet'e erişirken IB sağlayan küçük bir "dikey" parçası veririz:
Seviye | Belgeler |
İlk seviye | > Bilgi Güvenliği Politikası Kuruluşu > Bilgi Güvenliği Kavramı |
İkinci seviye | > Özel Bilgi Güvenliği Politikası Kuruluşu İnternet kaynaklarıyla çalışırken > IB Belgelerinde Kullanılan Terimler (Sözlük) |
Üçüncü seviye | > Kullanıcılara İnternet kaynaklarına erişim sağlama prosedürü > İnternet kaynaklarına erişim profillerinin (izin ve yasakların ayarlanması) açıklaması > İnternete bağlı bilgisayar ağ devresi > Proxy Ayarları Kartı > Kart, iç ağın segmentleri ile demilitarized bölgesi arasında bir güvenlik duvarı ayarlama (DMZ) > İş İstasyonu ayarları kartı [internet erişimi sağlamak için] > Ağ kaynaklarını kullanma prosedürü için kullanıcı notu > "İnternet erişim sistemlerinin yöneticisi" işlevsel rolü için açıklama ve yeterlilik gereksinimleri > "İnternet erişim sistemlerinin yöneticisi" işlevsel rolünü gerçekleştiren bir çalışanın resmi talimatı |
Dördüncü seviye | > İnternet kaynaklarını kullanmak için kullanıcının bağlanması için uygulama kıyafeti > Erişim profilinin bir göstergesi ile İnternete bağlı kullanıcıların listesi > İnternet Erişim Kaynaklarında Proxy Sunucusu Dergisi > İzinsiz giriş algılama sistemi günlüğü (IDS. ) içinde bulunan ağ bölümündeDMZ. > Invasion RaporuDMZ. IDS algılandı > Güvenlik duvarı yapılandırmasını kontrol etme eylemi |
Listelenen liste, seçilen yön için bile kapsamlıdır ve interneti kullanarak kuruluş tarafından elde edilen veya sağlanan belirli teknolojilere ve hizmetlere ve bilgi güvenliği sağlamak için yaklaşımlara bağlıdır.
ISMS belgelerinin oluşturulması için birkaç genel önerim veriyoruz.
\u003e Ayrı bir belge biçiminde, "Sözlük" adı altında bir belge geliştirilmelidir, en azından ilk iki seviyenin belgeleri için ortak, belgeler geliştirirken kullanın ve belgeler halinde belirtin. referans.
\u003e Belgelerin standardizasyon biçimlerini yerine getirmek için, alt belgelerin formlarını, özellikle de yürütme kanıtı olanlar (raporlar, talepler vb.) Bir yandan, ilk belge geliştirme prosedürünü biraz karmaşıklaştırır. Öte yandan, ilgili tüm belgeler prosedürün unsurları olarak geliştirilirse, hemen kullanıma hazır teknolojiye hazırsınız.
> Çerçeve hatası Üst düzey belgeler (politikalar ve özel politika, hükümler vb.) Hazırlanırken, belirli soyadların, sistem isimlerinin vb. Belgelerinin metnine doğrudan bir giriştir. Buna göre, sanatçının değişimi ayrıca belgenin "yeni" sürümünü eşleştirme uzun bir döngüsünün başlatılmasına yol açar. Benzer "değişkenler", başlangıçta uygulamalara, alt belgeleri veya kayıtlara (dördüncü düzeyde belgeler) aktarmak daha iyidir.
\u003e "Pratik" belgeler oluştururken, belirli bir fonksiyonun yürütülmesini tarif ederken, bir pozisyon belirlememesi önerilir, ancak "Anti-virüs sistemi yöneticisi" veya "Yedekleme Sistemi Operatörü" gibi işlevsel bir rol ve Ayrı bir belge, bir veya başka bir rol yapan çalışanların kaydını tutun. Bu, belgenin yaşam döngüsünü, düzeltmesine ihtiyaç duymadan ve uygulamasının esnekliğini sağlayacaktır, çünkü Böyle bir ihtiyaç durumunda ayrı bir "yeterlilik" ve derhal sanatçıları değiştirebilirsiniz.
\u003e Her belgenin sahibinin (sorumlu çalışan), bir eylem alanı ve revizyonun bir işareti içermelidir.
İMS'lerin belgeleri ve kayıtları hem "katı" (kağıt) hem de elektronik biçimde olabilir. Denetçilere vermek veya belgelerin kopyalarını elektronik formda kopyalarının doğrulanması için uygun prosedürler mevcut olmalı ve sorumlu sanatçılar belirlenir.
Yukarıdakilere, eğer üst düzey belgelerin (politikalar, hükümler vb.) Geliştirilmesi dış danışmanlara emanet edilebiliyorsa, alt seviyelerin belgelerinin ve kayıtları, çalışanlarını güncellemesi ve sürdürmeleri gerekir. Organizasyon, en çok ISM'lerin ve prosedürlerinin bileşenlerinin çalışması sürecinde yer alıyor.
Bir sonraki yayında, kuruluşun yönetiminin bilgi güvenliği yönetim sistemine katılımını tartışacağız.
