Ce poți găti din calmar: rapid și gustos

GOST R ISO/IEC 27001-2006 „Tehnologia informației. Metode și mijloace de asigurare a securității. Sisteme de management al securității informațiilor. Cerințe"

Dezvoltatorii standardului notează că acesta a fost pregătit ca model pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, suportul și îmbunătățirea unui sistem de management al securității informațiilor (ISMS). ISMS (în engleză - sistem de management al securității informațiilor; ISMS) este definit ca o parte a sistemului de management general, bazat pe utilizarea metodelor de evaluare a riscurilor de afaceri pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, sprijinirea și îmbunătățirea securității informațiilor. Sistemul de management include structura organizatorica, politici, activități de planificare, repartizarea responsabilităților, activitati practice, proceduri, procese și resurse.

Standardul presupune utilizarea unei abordări de proces pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, sprijinul și îmbunătățirea ISMS al organizației. Se bazează pe modelul Plan - Do - Check - Act (PDCA), care poate fi aplicat în structurarea tuturor proceselor ISMS. În fig. Figura 4.4 arată cum un ISMS, folosind cerințele de securitate a informațiilor și așteptările părților interesate ca intrare, produce rezultate de securitate a informațiilor care îndeplinesc acele cerințe și rezultate așteptate prin activitățile și procesele necesare.

Orez. 4.4.

La scenă „Dezvoltarea unui sistem de management al securității informațiilor” Organizația trebuie să facă următoarele:

• - determină domeniul de aplicare și limitele ISMS;
• - determinarea politicii ISMS pe baza caracteristicilor afacerii, organizatiei, locatiei acesteia, activelor si tehnologiilor;
• - determina abordarea evaluarii riscurilor in organizatie;
• - identificarea riscurilor;
• - analiza si evaluarea riscurilor;
• - identifica si evalueaza diverse opțiuni tratamentul riscului;
• - selectarea obiectivelor și măsurilor de control pentru tratarea riscurilor;
• - obține aprobarea conducerii cu privire la riscurile reziduale așteptate;
• - obține permisiunea conducerii pentru implementarea și operarea ISMS;
• - pregătiți o declarație de aplicabilitate.

Scena" Implementarea și operarea unui sistem de management al securității informațiilor” sugerează ca organizația să:

• - elaborarea unui plan de tratare a riscurilor care definește acțiunile de management adecvate, resursele, responsabilitățile și prioritățile în legătură cu managementul riscului de securitate a informațiilor;
• - implementează un plan de tratare a riscurilor pentru a atinge obiectivele de management preconizate, inclusiv aspectele de finanțare, precum și repartizarea funcțiilor și responsabilităților;
• - implementarea măsurilor de management selectate;
• - determinarea modului de măsurare a eficacității măsurilor de management selectate;
• - implementeaza programe de formare si dezvoltare profesionala pentru angajati;
• - gestionează activitatea ISMS;
• - gestionează resursele ISMS;
• - implementează proceduri și alte măsuri de management pentru a asigura detectarea rapidă a evenimentelor de securitate a informațiilor și răspunsul la incidente legate de securitatea informațiilor.

Etapa a treia" Efectuarea monitorizării și analizei sistemului de management al securității informațiilor” necesită:

• - efectuarea procedurilor de monitorizare si analiza;
• - efectuarea unei analize regulate a eficacității ISMS;
• - măsurarea eficacității măsurilor de control pentru verificarea respectării cerințelor de securitate a informațiilor;
• - revizuirea evaluărilor riscurilor la perioade specificate, analiza riscurilor reziduale și identificate niveluri acceptabile riscuri, luând în considerare schimbările;
• - efectuarea de audituri interne ale ISMS la perioade de timp stabilite;
• - efectuează periodic analize ISMS de către conducerea organizației pentru a confirma caracterul adecvat al sistemului de funcționare și pentru a determina zonele de îmbunătățire;
• - actualizarea planurilor de securitate a informațiilor ținând cont de rezultatele analizei și monitorizării;
• - înregistrați acțiunile și evenimentele care pot afecta eficacitatea sau funcționarea ISMS.

Și în sfârșit, scena „Suport și îmbunătățire a sistemului de management al securității informațiilor” sugerează ca organizația să desfășoare în mod regulat următoarele activități:

• - identificarea oportunităților de îmbunătățire a ISMS;
• - să întreprindă acțiunile corective și preventive necesare, să folosească în practică experiența în securitatea informațiilor acumulată atât în propria organizatie, și în alte organizații;
• - să comunice tuturor părților interesate informații detaliate despre acțiunile de îmbunătățire a ISMS, iar nivelul de detaliu ar trebui să fie adecvat circumstanțelor și, dacă este necesar, să convină asupra acțiunilor ulterioare;
• - asigura implementarea imbunatatirilor ISMS pentru atingerea obiectivelor planificate.

În plus, standardul prevede cerințe pentru documentare, care ar trebui să includă prevederi ale politicii ISMS și o descriere a domeniului de operare, o descriere a metodologiei și un raport de evaluare a riscurilor, un plan de tratare a riscurilor și documentarea procedurilor aferente. Ar trebui definit și procesul de gestionare a documentelor ISMS, inclusiv actualizarea, utilizarea, stocarea și distrugerea.

Pentru a furniza dovezi ale conformității cu cerințele și eficacității ISMS, este necesară menținerea și menținerea înregistrărilor privind execuția proceselor. Exemplele includ jurnalele vizitatorilor, rapoartele de audit etc.

Standardul precizează că conducerea organizației este responsabilă de furnizarea și gestionarea resurselor necesare pentru crearea unui ISMS, precum și de organizarea formării personalului.

După cum sa menționat anterior, organizația trebuie, în conformitate cu programul aprobat, să efectueze audituri interne ISMS pentru a-și evalua funcționalitatea și conformitatea cu standardul. Și conducerea trebuie să efectueze o analiză a sistemului de management al securității informațiilor.

De asemenea, ar trebui să se lucreze pentru a îmbunătăți sistemul de management al securității informațiilor: pentru a crește eficacitatea acestuia și nivelul de conformitate cu starea actuală a sistemului și cerințele pentru acesta.

Introducere

O întreprindere în creștere rapidă, precum și un gigant în segmentul său, este interesată să obțină profit și să se protejeze de influența atacatorilor. Dacă anterior pericolul principal era furtul bunurilor materiale, astăzi rolul principal al furtului are loc în raport cu informațiile valoroase. Traducerea unei părți semnificative a informațiilor în formular electronic, utilizarea locală și rețele globale creează noi amenințări calitativ la adresa informațiilor confidențiale.

Băncile sunt deosebit de sensibile la scurgerile de informații. organizatii de management, companii de asigurări. Protecția informațiilor într-o întreprindere este un set de măsuri care asigură securitatea datelor clienților și angajaților, important documente electroniceși tot felul de informații, secrete. Fiecare întreprindere este echipată echipamente informatice si acces la world wide web Internet. Atacatorii se conectează cu pricepere la aproape fiecare componentă a acestui sistem și, folosind un arsenal mare (viruși, programe malware, ghicirea parolelor etc.), fură informații valoroase. Un sistem de securitate a informațiilor trebuie implementat în fiecare organizație. Managerii trebuie să colecteze, să analizeze și să clasifice toate tipurile de informații care trebuie protejate și să utilizeze un sistem de securitate adecvat. Dar acest lucru nu va fi suficient, pentru că, pe lângă tehnologie, există un factor uman care poate de asemenea să scurgă cu succes informații către concurenți. Este important să organizați corect protecția întreprinderii dumneavoastră la toate nivelurile. În aceste scopuri, se utilizează un sistem de management al securității informațiilor, cu ajutorul căruia managerul va stabili un proces continuu de monitorizare a afacerii și va asigura nivel înalt securitatea datelor dvs.

1. Relevanța subiectului

Pentru toată lumea întreprindere modernă, companie sau organizație, una dintre cele mai importante sarcini este asigurarea securității informațiilor. Atunci când o întreprindere își protejează în mod constant sistemul de informații, creează un mediu sigur și sigur pentru activitățile sale. Daunele, scurgerile, lipsa de informații și furtul de informații sunt întotdeauna pierderi pentru fiecare companie. Prin urmare, crearea unui sistem de management al securității informațiilor la întreprinderi este problemă de actualitate modernitate.

2. Scopurile și obiectivele studiului

Analizați modalitățile de a crea un sistem de management al securității informațiilor la o întreprindere, ținând cont de caracteristicile regiunii Donețk.

• efectua analize starea actuală sisteme de management al securității informațiilor la întreprinderi;
• identificarea motivelor pentru crearea și implementarea unui sistem de management al securității informațiilor la întreprinderi;
• dezvoltarea și implementarea unui sistem de management al securității informațiilor folosind exemplul Uzinei de echipamente de salvare minieră PrJSC Donețk;
• evalua eficacitatea, eficiența și fezabilitate economică implementarea unui sistem de management al securității informațiilor la întreprindere.

3. Sistem de management al securității informațiilor

Securitatea informației este înțeleasă ca starea de securitate a informațiilor și a infrastructurii suport de la impacturi accidentale sau intenționate de natură naturală sau artificială (amenințări informaționale, amenințări la adresa securității informațiilor), care pot cauza prejudicii inacceptabile subiecților relațiilor informaționale.

Disponibilitatea informațiilor este proprietatea unui sistem de a oferi subiecților eligibili (autorizați) accesul în timp util și nestingherit la informații de interes pentru aceștia sau de a efectua schimburi de informații în timp util între aceștia.

Integritatea informațiilor este o proprietate a informațiilor care caracterizează rezistența acesteia la distrugerea accidentală sau intenționată sau la modificarea neautorizată. Integritatea poate fi împărțită în statică (înțeleasă ca imuabilitatea obiectelor informaționale) și dinamică (referitor la executarea corectă a acțiunilor complexe (tranzacții)).

Confidențialitatea informațiilor este proprietatea informațiilor de a fi cunoscute și accesibile numai subiecților autorizați ai sistemului (utilizatori, programe, procese). Confidențialitatea este cel mai dezvoltat aspect al securității informațiilor din țara noastră.

Un sistem de management al securității informațiilor (denumit în continuare ISMS) face parte dintr-un sistem de management general bazat pe abordări ale riscului de afaceri, destinat stabilirii, implementării, managementului, monitorizării, întreținerii și îmbunătățirii securității informațiilor.

Principalii factori care influențează protecția informațiilor și datelor într-o întreprindere sunt:

• Creșterea cooperării companiei cu partenerii;
• Automatizarea proceselor de afaceri;
• Tendința de creștere a volumului de informații despre întreprinderi care sunt transmise prin canalele de comunicare disponibile;
• Există o tendință ascendentă a infracțiunilor informatice.

Sarcinile sistemelor de securitate a informațiilor unei companii sunt multifațete. De exemplu, aceasta este asigurarea stocării fiabile a datelor pe diverse medii; protecția informațiilor transmise prin canale de comunicare; restricționarea accesului la unele date; crearea de copii de rezervă și multe altele.

Furnizarea completă a securității informațiilor companiei este posibilă numai cu abordarea corectă a protecției datelor. Sistemul de securitate a informațiilor trebuie să țină cont de toate amenințările și vulnerabilitățile actuale.

Unul dintre cele mai eficiente instrumente de gestionare și protejare a informațiilor este sistemul de management al securității informațiilor, construit pe baza modelului MS ISO/IEC 27001:2005. Standardul se bazează pe o abordare a procesului de dezvoltare, implementare, operare, monitorizare, analiză, întreținere și îmbunătățire a ISMS al companiei. Constă în crearea și aplicarea unui sistem de procese de management care sunt interconectate într-un ciclu continuu de planificare, implementare, verificare și îmbunătățire a ISMS.

Acest standard internațional a fost pregătit pentru a oferi un model pentru implementarea, implementarea, operarea, monitorizarea, analiza, întreținerea și îmbunătățirea unui ISMS.

Principalii factori pentru implementarea ISMS:

• legislative - cerințe ale legislației naționale actuale privind securitatea informațiilor, cerințe internaționale;
• competitiv - respectarea nivelului, elitism, protejarea bunurilor necorporale ale cuiva, superioritate;
• anti-criminal - protecția împotriva raiders (infractorii cu guler alb), prevenirea activităților ilegale și supraveghere ascunsă, colectarea probelor pentru proceduri.

Structura documentației de securitate a informațiilor este prezentată în Figura 1.

Figura 1 — Structura documentației de securitate a informațiilor

4. Construirea unui ISMS

Susținătorii abordărilor ISO folosesc modelul PDCA pentru a crea un ISMS. ISO folosește acest model în multe dintre standardele sale de management, iar ISO 27001 nu face excepție. În plus, urmărirea modelului PDCA la organizarea procesului de management vă permite să utilizați aceleași tehnici în viitor - pentru managementul calității, managementul mediului, managementul siguranței, precum și în alte domenii ale managementului, ceea ce reduce costurile. Prin urmare, PDCA este o alegere excelentă care răspunde pe deplin provocărilor creării și menținerii unui ISMS. Cu alte cuvinte, etapele PDCA definesc modul de stabilire a politicilor, obiectivelor, proceselor și procedurilor adecvate riscurilor care sunt tratate (etapa de planificare), implementare și operare (etapa de realizare), evaluare și, acolo unde este posibil, măsurarea rezultatelor procesului de la din punct de vedere al politicii (etapa de verificare), efectuarea de acțiuni corective și preventive (etapa de îmbunătățire - Act). Concepte suplimentare care nu sunt incluse în standardele ISO care pot fi utile în crearea unui ISMS sunt: ​​viitor; stare așa cum este (așa cum este); plan de tranziție.

Baza standardului ISO 27001 este sistemul de management al riscului informațional.

Etapele creării unui ISMS

Ca parte a lucrărilor de creare a unui ISMS, se pot distinge următoarele etape principale:

Figura 2 - Model PDCA pentru managementul securității informațiilor (animație: 6 cadre, 6 repetări, 246 kilobytes)

5. Managementul riscului informaţional

Managementul riscului este luat în considerare la nivel administrativ de securitate a informațiilor, deoarece doar conducerea organizației este capabilă să aloce resursele necesare, inițiază și monitorizează execuția programelor relevante.

Utilizarea sistemelor informatice este asociată cu un anumit set de riscuri. Atunci când daunele potențiale sunt inacceptabil de mari, trebuie luate măsuri de protecție fezabile din punct de vedere economic. (re)evaluarea periodică a riscurilor este necesară pentru a monitoriza eficacitatea activităților de securitate și pentru a ține seama de schimbările din mediu.

Esența managementului riscului este de a evalua dimensiunea riscului, de a dezvolta măsuri eficiente și rentabile de atenuare a riscului și apoi de a se asigura că riscurile sunt limitate (și rămân astfel) în limite acceptabile.

Procesul de management al riscului poate fi împărțit în pașii următori:

1. Selecția obiectelor de analizat și nivelul de detaliu al luării în considerare a acestora.
2. Alegerea unei metodologii de evaluare a riscurilor.
3. Identificarea bunurilor.
4. Analiza amenințărilor și a consecințelor acestora, identificarea vulnerabilităților de securitate.
5. Evaluare a riscurilor.
6. Alegerea măsurilor de protecție.
7. Implementarea și verificarea măsurilor selectate.
8. Evaluarea riscului rezidual.

Managementul riscului, ca orice altă activitate de securitate a informațiilor, trebuie integrat în ciclu de viață ESTE. Atunci efectul este cel mai mare și costurile sunt minime.

Este foarte important să alegeți o metodologie rezonabilă de evaluare a riscurilor. Scopul evaluării este de a răspunde la două întrebări: riscurile existente sunt acceptabile și, dacă nu, ce măsuri de protecție ar trebui utilizate. Aceasta înseamnă că evaluarea trebuie să fie cantitativă, permițând compararea cu limitele preselectate de admisibilitate și cu costurile implementării noilor autorități de reglementare în materie de siguranță. Managementul riscului este o problemă tipică de optimizare și există destul de multe produse software care poate ajuta la rezolvarea acesteia (uneori astfel de produse sunt pur și simplu incluse în cărțile despre securitatea informațiilor). Dificultatea fundamentală constă însă în inexactitatea datelor sursă. Puteți, desigur, să încercați să obțineți o expresie monetară pentru toate cantitățile analizate, să calculați totul până la cel mai apropiat ban, dar asta nu are rost. Este mai practic să folosiți unități convenționale. În cel mai simplu și complet acceptabil caz, puteți utiliza o scară în trei puncte.

Principalele etape ale managementului riscului.

Primul pas în analiza amenințărilor este identificarea acestora. Tipurile de amenințări luate în considerare ar trebui selectate pe baza considerațiilor de bun simț (excluzând, de exemplu, cutremure, dar fără a uita posibilitatea ca organizația să fie capturată de teroriști), dar în cadrul tipurilor selectate, efectuați cea mai detaliată analiză.

Este recomandabil să identificați nu numai amenințările în sine, ci și sursele apariției lor - acest lucru va ajuta la alegerea unor mijloace suplimentare de protecție.

După identificarea unei amenințări, este necesar să se evalueze probabilitatea implementării acesteia. Este acceptabil să se utilizeze o scară de trei puncte (probabilitate scăzută (1), medie (2) și mare (3).

Dacă riscurile se dovedesc a fi inacceptabil de mari, este necesar să le neutralizați prin implementarea unor măsuri de protecție suplimentare. În mod obișnuit, pentru a elimina sau a neutraliza vulnerabilitatea care a făcut amenințarea reală, există mai multe mecanisme de securitate, care variază ca eficacitate și cost.

La fel ca orice altă activitate, implementarea și testarea noilor reglementări de siguranță ar trebui planificate din timp. Planul trebuie să țină cont de prezență resurse financiareși momentul instruirii personalului. Dacă despre care vorbim despre mecanismul de protecție software și hardware, trebuie să întocmiți un plan de testare (autonom și cuprinzător).

Când măsurile planificate au fost luate, este necesar să se verifice eficacitatea acestora, adică să se asigure că riscurile reziduale au devenit acceptabile. Dacă acesta este de fapt cazul, atunci puteți seta în siguranță data pentru următoarea reevaluare. În caz contrar, va trebui să analizați greșelile făcute și să efectuați imediat o sesiune repetată de management al riscului.

Concluzii

Fiecărui manager de întreprindere îi pasă de afacerea sa și, prin urmare, trebuie să înțeleagă că decizia de a implementa un sistem de management al securității informațiilor (ISMS) este un pas important care va minimiza riscurile de pierdere a activelor întreprinderii/organizaționale și va reduce pierderi financiareși, în unele cazuri, evitați falimentul.

Securitatea informațiilor este importantă pentru întreprinderi atât din sectorul privat, cât și din cel public. Ar trebui să fie considerat un instrument pentru evaluarea, analizarea și reducerea la minimum a riscurilor relevante.

Siguranța care poate fi atinsă prin mijloace tehnice are limitări și trebuie susținută de practici și proceduri de management adecvate.

Determinarea controalelor necesită o planificare și o atenție atentă.

Pentru a proteja eficient informațiile, trebuie dezvoltate cele mai adecvate măsuri de securitate, care pot fi realizate prin identificarea principalelor riscuri ale informațiilor din sistem și implementarea măsurilor adecvate.

Biyachuev T.A. Siguranţă rețele corporative/ ed. L.G. Osovetsky. - Sankt Petersburg: editura Universității de Stat din Sankt Petersburg ITMO, 2006. - 161 p.

Dacă este construit în conformitate cu cerințele ISO/IEC_27001, se bazează pe modelul PDCA:

Plan(Planificare) - faza de creare a unui ISMS, crearea unei liste de active, evaluarea riscurilor și selectarea măsurilor;

Do(Acțiune) - stadiul implementării și implementării măsurilor corespunzătoare;

Verifica(Verificare) - faza de evaluare a eficacitatii si performantei ISMS. Efectuat de obicei de auditori interni.

Act(Îmbunătățiri) - implementarea acțiunilor preventive și corective;

Conceptul de securitate a informațiilor

Standardul ISO 27001 definește securitatea informațiilor ca: „păstrarea confidențialității, integrității și disponibilității informațiilor; în plus, pot fi incluse și alte proprietăți, cum ar fi autenticitatea, non-repudierea și fiabilitatea.”

Confidențialitate – asigurarea faptului că informațiile sunt accesibile numai celor care au autoritatea corespunzătoare (utilizatori autorizați).

Integritate – asigurarea acurateții și exhaustivității informațiilor, precum și a metodelor de prelucrare a acestora.

Disponibilitate – asigurarea accesului la informații utilizatorilor autorizați atunci când este necesar (la cerere).

4 Sistem de management al securității informațiilor

4.1 Cerințe generale

Organizația trebuie să stabilească, să implementeze, să utilizeze, să monitorizeze, să revizuiască, să mențină și să îmbunătățească prevederile ISMS documentate pe parcursul activităților de afaceri ale organizației și a riscurilor cu care se confruntă. Pentru beneficiul practic al acestui standard internațional, procesul utilizat se bazează pe modelul PDCA prezentat în Fig. 1.

4.2 Crearea și gestionarea unui ISMS

4.2.1 Crearea unui ISMS

Organizația trebuie să facă următoarele.

a) Luând în considerare specificul activităților organizației, organizația în sine, locația acesteia, activele și tehnologia, determină domeniul de aplicare și limitele ISMS, inclusiv detaliile și justificarea excluderii oricăror prevederi ale documentului din proiectul ISMS (vezi 1.2). ).

b) Ținând cont de caracteristicile activităților organizației, organizația în sine, locația acesteia, activele și tehnologia, elaborați o politică ISMS care:

1) include un sistem de stabilire a scopurilor (obiectivelor) și stabilește direcția generală de management și principiile de acțiune privind securitatea informației;

2) ia în considerare cerințele comerciale și legale sau de reglementare, obligațiile contractuale de securitate;

3) este conectat la mediul strategic de management al riscului în care are loc crearea și întreținerea ISMS;

4) stabilește criteriile după care va fi evaluat riscul (vezi 4.2.1 c)); Şi

5) aprobat de conducere.

NOTĂ: În sensul acestui standard internațional, o politică ISMS este considerată a fi un set extins de politici de securitate a informațiilor. Aceste politici pot fi descrise într-un singur document.

c) Dezvoltarea unui concept de evaluare a riscurilor în organizație.

1) Determinați metodologia de evaluare a riscurilor care se potrivește cu ISMS și cu cerințele legale și de reglementare de securitate a informațiilor de afaceri stabilite.

2) Elaborați criterii de acceptare a riscului și determinați nivelurile acceptabile de risc (vezi 5.1f).

Metodologia de evaluare a riscurilor aleasă ar trebui să asigure că evaluarea riscului produce rezultate comparabile și reproductibile.

NOTĂ: Există diferite metodologii de evaluare a riscurilor. Exemple de metodologii de evaluare a riscurilor sunt discutate în MOS/IEC TU 13335-3, Tehnologia de informație– Recomandări pentru managementITSecuritate - Metode de managementITSecuritate.

d) Identificarea riscurilor.

1) Identificați activele în cadrul prevederilor ISMS și proprietarii2 (2 Termenul „proprietar” este identificat cu persoana sau entitatea care este aprobată pentru a fi responsabilă pentru controlul producției, dezvoltării, întreţinere,aplicații și securitatea activelor. Termenul „proprietar” nu înseamnă că persoana respectivă are de fapt vreun drept de proprietate asupra bunului.

2) Identificați pericolele pentru aceste active.

3) Identificarea vulnerabilităților din sistemul de securitate.

4) Identificați efectele care distrug confidențialitatea, integritatea și disponibilitatea activelor.

e) Analizează și evaluează riscurile.

1) Evaluează daunele aduse activității organizației care pot fi cauzate din cauza defecțiunii sistemului de securitate, precum și ca urmare a unei încălcări a confidențialității, integrității sau disponibilității activelor.

2) Determinați probabilitatea defecțiunii securității în lumina pericolelor și vulnerabilităților predominante, a impactului asupra activelor și a controalelor implementate în prezent.

3) Evaluați nivelurile de risc.

4) Determinați acceptabilitatea riscului sau solicitați reducerea acestuia, utilizând criteriile de acceptabilitate a riscului stabilite la 4.2.1c)2).

f) Identificarea și evaluarea instrumentelor de reducere a riscurilor.

Acțiunile posibile includ:

1) Aplicarea controalelor adecvate;

2) Acceptarea conștientă și obiectivă a riscurilor, asigurând conformitatea lor necondiționată cu cerințele politicii organizației și criteriile de acceptare a riscurilor (vezi 4.2.1c)2));

3) Evitarea riscurilor; Şi

4) Transferul riscurilor de afaceri relevante către o altă parte, de exemplu, companii de asigurări, furnizori.

g) Selectați obiective și controale pentru reducerea riscurilor.

Obiectivele și controalele trebuie selectate și implementate în conformitate cu cerințele stabilite prin procesul de evaluare și reducere a riscurilor. Această alegere ar trebui să ia în considerare atât criteriile de toleranță la risc (a se vedea 4.2.1c)2), cât și cerințele legale, de reglementare și contractuale.

Sarcinile și controalele din Anexa A trebuie selectate ca parte a acestui proces pentru a îndeplini cerințele specificate.

Deoarece nu toate sarcinile și controalele sunt enumerate în Anexa A, pot fi selectate altele suplimentare.

NOTĂ: Anexa A conține o listă cuprinzătoare a obiectivelor de management care au fost identificate ca fiind cele mai relevante pentru organizații. Pentru a se asigura că nu sunt ratate puncte importante ale opțiunilor de control, utilizatorii acestui standard internațional ar trebui să se refere la anexa A ca punct de plecare pentru controlul eșantionului.

h) Obține aprobarea managementului riscurilor reziduale anticipate.

4) facilitează detectarea evenimentelor de securitate și astfel, folosind anumiți indicatori, previne incidentele de securitate; Şi

5) determinarea eficacității acțiunilor întreprinse pentru a preveni o încălcare a securității.

b) Efectuează revizuiri periodice ale eficienței ISMS (inclusiv discuții despre politica ISMS și obiectivele acesteia, revizuirea controalelor de securitate), ținând cont de rezultatele auditurilor, incidentelor, rezultatele măsurătorilor de performanță, sugestiile și recomandările tuturor părților interesate .

c) Evaluează eficacitatea controalelor pentru a determina dacă sunt îndeplinite cerințele de siguranță.

d) Verifică evaluarea riscurilor pentru perioadele planificate și verifică riscurile reziduale și niveluri admisibile riscuri, luând în considerare modificările în:

1) organizații;

2) tehnologie;

3) obiectivele și procesele de afaceri;

4) amenințări identificate;

5) eficacitatea controalelor implementate; Şi

6) evenimente externe, cum ar fi schimbări în mediul juridic și de management, obligații contractuale modificate, schimbări în climatul social.

e) Efectuează audituri interne ale ISMS la perioadele planificate (vezi 6)

NOTĂ: Auditurile interne, uneori numite audituri primare, sunt efectuate în numele organizației în sine, în scopuri proprii.

f) Revizuiește regulat managementul ISMS pentru a se asigura că prevederea rămâne adecvată și că ISMS este îmbunătățit.

g) Actualizarea planurilor de securitate pe baza datelor obținute din monitorizare și audit.

h) Înregistrați activitățile și evenimentele care pot avea un impact asupra eficacității sau performanței ISMS (vezi 4.3.3).

4.2.4 Sprijin și îmbunătățire ISMS

Organizația trebuie să facă în mod continuu următoarele.

a) Implementați anumite corecții la ISMS.

b) Luați măsuri corective și preventive adecvate în conformitate cu 8.2 și 8.3. Aplicați cunoștințele acumulate de organizația însăși și dobândite din experiența altor organizații.

c) să comunice acțiunile și îmbunătățirile sale tuturor părților interesate la un nivel de detaliu adecvat situației; și, în consecință, să-și coordoneze acțiunile.

d) Asigurați-vă că îmbunătățirile își ating scopul propus.

4.3 Cerințe de documentare

4.3.1 Generalități

Documentația trebuie să includă protocoale (înregistrări) decizii de management, să convingă că nevoia de acțiune este determinată de deciziile și politicile managementului; și să asigure reproductibilitatea rezultatelor înregistrate.

Este important să se poată demonstra feedback-ul controalelor selectate la rezultatele proceselor de evaluare a riscurilor și de reducere a riscurilor, precum și în ceea ce privește politica ISMS și obiectivele acesteia.

Documentația ISMS trebuie să includă:

a) declarații documentate ale politicii și obiectivelor ISMS (a se vedea 4.2.1b));

b) Poziția ISMS (vezi 4.2.1a));

c) conceptul și controalele pentru sprijinirea ISMS;

d) descrierea metodologiei de evaluare a riscurilor (a se vedea 4.2.1c));

e) raport de evaluare a riscurilor (vezi 4.2.1c) – 4.2.1g));

f) plan de reducere a riscurilor (vezi 4.2.2b));

g) un concept documentat, necesare organizatiei să asigure eficacitatea planificării, operațiunii și gestionării proceselor sale de securitate a informațiilor și să descrie modul de măsurare a eficacității controalelor (a se vedea 4.2.3c));

h) documentele cerute de prezentul standard internațional (vezi 4.3.3); Şi

i) Declarație de aplicabilitate.

NOTA 1: În sensul acestui standard internațional, termenul „concept documentat” înseamnă că conceptul este implementat, documentat, implementat și urmat.

NOTA 2: Mărimea documentației ISMS în diferite organizații poate varia în funcție de:

Mărimea organizației și tipul activelor acesteia; Şi

Amploarea și complexitatea cerințelor de securitate și a sistemului gestionat.

NOTA 3: Documentele și rapoartele pot fi furnizate sub orice formă.

4.3.2 Controlul documentelor

Documentele cerute de ISMS trebuie protejate și reglementate. Este necesar să se aprobe procedura de documentare necesară descrierii acțiunilor de management pentru:

a) stabilirea conformității documentelor cu anumite standarde înainte de publicarea acestora;

b) verificarea si actualizarea documentelor dupa caz, reaprobarea documentelor;

c) asigurarea faptului că modificările sunt în concordanță cu starea actuală a documentelor revizuite;

d) asigurarea disponibilității versiunilor importante ale documentelor actuale;

e) asigurarea faptului că documentele sunt inteligibile și lizibile;

f) asigurarea faptului că documentele sunt accesibile celor care au nevoie de ele; precum si transferul, depozitarea si in final distrugerea acestora in conformitate cu procedurile aplicate in functie de clasificarea lor;

g) stabilirea autenticității documentelor din surse externe;

h) controlul distribuirii documentelor;

i) prevenirea utilizării neintenționate a documentelor învechite; Şi

j) aplicarea unei metode adecvate de identificare a acestora dacă sunt păstrate pentru orice eventualitate.

4.3.3 Controlul înregistrărilor

Înregistrările trebuie create și menținute pentru a asigura conformitatea cu cerințele și funcționarea eficientă a ISMS. Înregistrările trebuie protejate și verificate. ISMS trebuie să țină cont de orice cerințe legale și de reglementare și obligații contractuale. Înregistrările trebuie să fie ușor de înțeles, ușor de identificat și de recuperat. Controalele necesare pentru identificarea, depozitarea, protecția, recuperarea, perioada de păstrare și distrugerea înregistrărilor trebuie să fie documentate și puse în aplicare.

Înregistrările ar trebui să includă informații despre implementarea activităților descrise la 4.2 și despre toate incidentele și incidentele semnificative de siguranță legate de ISMS.

Exemplele de înregistrări includ o carte de oaspeți, jurnalele de audit și formularele de autorizare de acces completate.

Este ușor să trimiți munca ta bună la baza de cunoștințe. Utilizați formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

Postat pe http://www.allbest.ru/

„Sistemul de management al securității informațiilor”

standard internațional de management

ÎNdirijarea

Un sistem de management al securității informațiilor este un set de procese care funcționează în cadrul unei companii pentru a asigura confidențialitatea, integritatea și disponibilitatea activelor informaționale. Prima parte a rezumatului discută procesul de implementare a unui sistem de management într-o organizație și, de asemenea, prezintă principalele aspecte ale beneficiilor din implementarea unui sistem de management al securității informațiilor.

Fig.1. Ciclu de control

O listă de procese și recomandări cu privire la modul de organizare optimă a funcționării lor sunt date în standardul internațional ISO 27001:2005, care se bazează pe ciclul de management Plan-Do-Check-Act. În conformitate cu acesta, ciclul de viață ISMS constă din patru tipuri de activități: Creare - Implementare și exploatare - Monitorizare și analiză - Întreținere și îmbunătățire (Fig. 1). Acest standard va fi discutat mai detaliat în partea a doua.

CUsistemmanagementinformativsecuritate

Un sistem de management al securității informațiilor (ISMS) este acea parte a sistemului de management general care se bazează pe o abordare a riscului de afaceri pentru crearea, implementarea, operarea, monitorizarea, analiza, sprijinul și îmbunătățirea securității informațiilor. Procesele ISMS sunt create în conformitate cu cerințele standardului ISO/IEC 27001:2005, care se bazează pe ciclu

Funcționarea sistemului se bazează pe abordări teoria modernă managementul riscurilor, care asigură integrarea acestuia în sistemul general de management al riscurilor al organizației.

Implementarea unui sistem de management al securității informațiilor presupune elaborarea și implementarea unei proceduri care vizează identificarea, analizarea și diminuarea sistematică a riscurilor de securitate a informațiilor, adică riscuri în urma cărora activele informaționale (informații sub orice formă și de orice natură) vor pierde confidențialitatea, integritatea și disponibilitatea.

Pentru a asigura atenuarea sistematică a riscurilor de securitate a informațiilor, pe baza rezultatelor evaluării riscurilor, în organizație sunt implementate următoarele procese:

· Management organizare internă securitatea informatiei.

· Asigurarea securității informațiilor atunci când interacționați cu terți.

· Gestionarea registrului bunurilor informaţionale şi regulile de clasificare a acestora.

· Managementul siguranței echipamentelor.

· Asigurarea securității fizice.

· Asigurarea securității informaționale a personalului.

· Planificarea si adoptarea sistemelor informatice.

· Backup.

· Asigurarea securității rețelei.

Procesele sistemului de management al securității informațiilor afectează toate aspectele gestionării infrastructurii IT a unei organizații, deoarece securitatea informațiilor este rezultatul funcționare durabilă procese legate de tehnologia informaţiei.

Atunci când construiesc un ISMS în companii, specialiștii efectuează următoarele lucrări:

· organizarea managementului de proiect, formarea unei echipe de proiect din partea clientului si a contractorului;

· determina aria de activitate (OA) a ISMS;

· examinați organizația în OD ISMS:

o în ceea ce privește procesele de afaceri ale organizației, inclusiv analiza consecințelor negative ale incidentelor de securitate a informațiilor;

o în ceea ce privește procesele de management ale organizației, inclusiv procesele existente de management al calității și management al securității informațiilor;

o privind infrastructura IT;

o în ceea ce privește infrastructura de securitate a informațiilor.

· elaborarea și aprobarea unui raport analitic care să conțină o listă a principalelor procese de afaceri și o evaluare a consecințelor implementării amenințărilor la securitatea informațiilor în legătură cu acestea, o listă a proceselor de management, sisteme IT, subsisteme de securitate a informațiilor (IS), o evaluare a gradului în care organizaţia a îndeplinit toate Cerințe ISO 27001 și evaluarea maturității proceselor organizației;

· selectați nivelul inițial și țintă de maturitate ISMS, dezvoltați și aprobați Programul de îmbunătățire a maturității ISMS; elaborarea documentației la nivel înalt în domeniul securității informațiilor:

o Conceptul de suport pentru securitatea informațiilor,

o Politici IS și ISMS;

· selectați și adaptați metodologia de evaluare a riscurilor aplicabilă în organizație;

· selectarea, furnizarea și implementarea software-ului utilizat pentru automatizarea proceselor ISMS, organizarea de instruire pentru specialiștii companiei;

· efectuează evaluarea și prelucrarea riscurilor, timp în care, pentru a le reduce, se selectează măsurile din Anexa „A” la standardul 27001 și se formulează, se preselectează cerințele pentru implementarea acestora în organizație mijloace tehnice suport pentru securitatea informațiilor;

· elaborarea proiectelor preliminare ale PIB, evaluarea costului tratamentului riscului;

· organizează aprobarea evaluării riscurilor de către conducerea de vârf a organizației și elaborează Regulamente de aplicabilitate; dezvoltarea măsurilor organizatorice pentru asigurarea securității informațiilor;

· dezvoltarea și implementarea proiecte tehnice privind implementarea subsistemelor tehnice de securitate a informațiilor care sprijină implementarea măsurilor selectate, inclusiv furnizarea de echipamente, punerea în funcțiune, elaborarea documentației operaționale și instruirea utilizatorilor;

· să ofere consultații în timpul funcționării ISMS construit;

· organizarea de instruire a auditorilor interni și de conduită audituri interne ISMB.

Rezultatul acestei lucrări este un ISMS funcțional. Beneficiile implementării ISMS în companie sunt obținute prin:

· management eficient respectarea cerințelor legale și a cerințelor de afaceri în domeniul securității informațiilor;

· prevenirea apariției incidentelor de securitate a informațiilor și reducerea daunelor dacă acestea apar;

· îmbunătățirea culturii de securitate a informațiilor în organizație;

· creșterea maturității în domeniul managementului securității informațiilor;

· optimizarea cheltuirii fondurilor pentru securitatea informațiilor.

ISO/IEC27001-- internaţionalstandardDeinformativsecuritate

Acest standard a fost dezvoltat în comun de către Organizația Internațională de Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC). Standardul conține cerințe în domeniul securității informațiilor pentru crearea, dezvoltarea și întreținerea unui ISMS. ISO 27001 specifică cerințele pentru un ISMS pentru a demonstra capacitatea unei organizații de a-și proteja activele informaționale. Standardul internațional folosește conceptul de „securitate a informațiilor” și îl interpretează ca asigurând confidențialitatea, integritatea și disponibilitatea informațiilor. Baza standardului este un sistem de gestionare a riscurilor asociate cu informațiile. Acest standard poate fi folosit și pentru a evalua conformitatea de către părțile interesate interne și externe.

Pentru a crea, implementa, opera, monitoriza continuu, analiza, menține și îmbunătăți sistemul de management al securității informațiilor (ISMS), standardul adoptă o abordare prin proces. Constă în aplicarea unui sistem de procese în cadrul unei organizații, împreună cu identificarea și interacțiunea acestor procese, precum și managementul acestora.

Standardul internațional adoptă modelul Plan-Do-Check-Act (PDCA), care este numit și ciclul Shewhart-Deming. Acest ciclu este folosit pentru a structura toate procesele ISMS. Figura 2 arată modul în care ISMS ia cerințele de securitate a informațiilor și așteptările părților interesate ca input și, prin acțiunile și procesele necesare, produce rezultate de securitate a informațiilor care îndeplinesc acele cerințe și așteptări.

Planificarea este faza de creare a unui ISMS, crearea unui inventar al activelor, evaluarea riscurilor și selectarea măsurilor.

Figura 2. Modelul PDCA aplicat proceselor ISMS

Implementarea este etapa de implementare și implementare a măsurilor adecvate.

Verificarea este faza de evaluare a eficacității și performanței ISMS. Efectuat de obicei de auditori interni.

Acțiune - luarea de acțiuni preventive și corective.

ÎNconcluzii

ISO 27001 descrie un model general pentru implementarea și funcționarea unui ISMS, precum și activități de monitorizare și îmbunătățire a ISMS. ISO intentioneaza sa armonizeze diverse standarde ale sistemelor de management, precum ISO/IEC 9001:2000, care se ocupa de managementul calitatii, si ISO/IEC 14001:2004, care se ocupa de sistemele de management de mediu. Scopul ISO este de a asigura coerența și integrarea ISMS cu alte sisteme de management din companie. Similitudinea standardelor permite utilizarea unor instrumente și funcționalități similare pentru implementare, management, revizuire, verificare și certificare. Implicația este că, dacă o companie a implementat alte standarde de management, poate folosi sistem unificat audit și management, care este aplicabil managementului calității, managementului de mediu, managementului siguranței etc. Prin implementarea unui ISMS, managementul superior are mijloacele de a monitoriza și gestiona securitatea, ceea ce reduce riscurile reziduale de afaceri. Odată implementat un ISMS, compania poate asigura în mod oficial securitatea informațiilor și poate continua să îndeplinească cerințele clienților, legislației, autorităților de reglementare și acționarilor.

Este de remarcat faptul că în legislația Federației Ruse există un document GOST R ISO/IEC 27001-2006, care este o versiune tradusă a standardului internațional ISO27001.

CUchiţăitliteratură

1. Korneev I.R., Belyaev A.V. Securitatea informațiilor întreprinderii. - Sankt Petersburg: BHV-Petersburg, 2003. - 752 p.: ill.

2. Standard internațional ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (data acces: 23.05.12)

3.Standard național Federația Rusă GOST R ISO/IEC 27003 - „Tehnologii informaționale. Metode de securitate. Linii directoare pentru implementarea unui sistem de management al securității informațiilor” (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (data accesului: 23/05/12)

4. Skiba V.Yu., Kurbatov V.A. Ghid pentru protejarea împotriva amenințărilor interne la adresa securității informațiilor. Sankt Petersburg: Peter, 2008. -- 320 p.: ill.

5. Articol al enciclopediei libere „Wikipedia”, „Sistem de management

securitatea informațiilor” (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (data accesului: 23/05/12)

6. Sigurjon Thor Arnason și Keith D. Willett „Cum să obțineți certificarea 27001”

Postat pe Allbest.ru

Documente similare

Amenințări la adresa securității informațiilor în întreprindere. Identificarea deficiențelor în sistemul de securitate a informațiilor. Scopurile și obiectivele formării unui sistem de securitate a informațiilor. Măsuri propuse pentru îmbunătățirea sistemului de securitate a informațiilor al organizației.

lucru curs, adăugat 02/03/2011


Analiza sistemului de securitate a informatiilor la intreprindere. Serviciul de Protecție a Informațiilor. Amenințări la securitatea informațiilor specifice întreprinderii. Metode și mijloace de securitate a informațiilor. Model sistem informatic dintr-o poziție de securitate.

lucru curs, adăugat 02/03/2011


Principalele etape ale creării unui sistem de management la o întreprindere din industria alimentară. HACCP ca bază a oricărui sistem de management al siguranței alimentelor. Sistem de management al securității produse alimentare. Factori periculoșiși acțiuni preventive.

rezumat, adăugat 14.10.2014


Sisteme moderne management si integrarea lor. Sisteme integrate de management al calității. Caracteristicile SA „275 ARZ” și sistemul său de management. Dezvoltarea unui sistem de management al protecției muncii. Metode de evaluare a unui sistem integrat de securitate.

teză, adăugată 31.07.2011


Implementarea unui sistem de management al calitatii. Certificarea sistemelor de management al calității (ISO 9000), managementului de mediu (ISO 14 000), sistemelor de management al sănătății și securității în muncă ale organizațiilor (OHSAS 18 001: 2007) folosind exemplul OJSC Lenta.

rezumat, adăugat 10.06.2008


Elaborarea unui standard de organizare a unui sistem integrat de management, stabilirea unei proceduri unificate de implementare a procesului de management al documentatiei. Etapele creării unui sistem de management al calității la JSC ZSMK. Cazare versiuni electronice documente.

teză, adăugată 06.01.2014


Diagrama ierarhică a angajaților. Instrumente de securitate a informațiilor. Întrebări despre starea securității. Schema fluxurilor de informații ale întreprinderii. Metode de monitorizare a integrității sistemului informațional. Modelarea controlului accesului la informațiile de serviciu.

lucrare curs, adaugat 30.12.2011


Conceptul de sistem informațional de management și locul acestuia în sistem comun management. Tipuri de sisteme informatice si continutul acestora. Conceptul de management ca sistem informatic. Funcțiile sistemului de management financiar. Sisteme de efectuare a tranzacțiilor și operațiunilor.

rezumat, adăugat la 01.06.2015


Concepte în domeniul sănătății și securității. Standarde internaționale ISO privind sistemele de management al calității, sistemele de management de mediu, sistemele de management al securității și sănătății în muncă. Adaptarea standardului OHSAS 18001-2007.

lucrare curs, adaugat 21.12.2014


Caracteristicile managementului informaţiei; subiecte de informare și raporturi juridice; regimul juridic de primire, transfer, stocare și utilizare a informațiilor. Caracteristici și aspecte legale ale schimbului de informații și securității informațiilor.

Într-adevăr, este incomod. Am raportat despre lansarea iminentă a standardului ISO 45001, care ar trebui să înlocuiască standardul actual de management al siguranței în muncă OHSAS 18001 și am spus că ar trebui să ne așteptăm la sfârșitul anului 2016... Este deja miezul nopții și încă nici urmă de Herman. Este timpul să recunoaștem că ISO 45001 a întârziat. Adevărat, conform motive întemeiate. Comunitatea de experți avea prea multe întrebări pentru el. […]