Tvorcovia normy poznamenávajú, že bola pripravená ako model pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, údržbu a zlepšovanie systému manažérstva. informačná bezpečnosť(SMIB). ISMS (angl. -information security management system; ISMS) je definovaný ako súčasť spoločný systém manažment založený na využívaní metód hodnotenia podnikateľských rizík pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, podporu a zlepšovanie informačná bezpečnosť. Systém riadenie zahŕňa Organizačná štruktúra, politiky, plánovacie činnosti, rozdelenie zodpovedností, praktík, postupov, procesov a zdrojov.

Norma predpokladá použitie procesný prístup rozvíjať, implementovať, udržiavať, monitorovať, analyzovať, udržiavať a zlepšovať ISMS organizácie. Je založený na modeli Plan - Do - Check - Act (PDCA), ktorý je možné aplikovať pri štruktúrovaní všetkých procesov ISMS. Na obr. Obrázok 2.3 ukazuje, ako ISMS, využívajúci požiadavky informačnej bezpečnosti a očakávané výsledky zainteresovaných strán ako vstup, generuje výsledky informačnej bezpečnosti, ktoré spĺňajú tieto požiadavky a očakávané výsledky prostredníctvom potrebných činností a procesov.

Počas vývoja systému riadenia informačnej bezpečnosti musí organizácia urobiť nasledovné:

• určiť rozsah a hranice ISMS;
• definovať politiku ISMS na základe charakteristík podnikania, organizácie, miesta, majetku a technológie;
• určiť prístup k hodnoteniu rizík v organizácii;
• identifikovať riziká;
• analyzovať a posudzovať riziká;
• definovať a vyhodnotiť rôzne možnosti riziková liečba;
• vybrať ciele a kontroly na riešenie rizík;
• získať súhlas vedenia s navrhovaným zvyškové riziká;
• získať povolenie manažmentu na implementáciu a prevádzku ISMS;
• pripraviť vyhlásenie o použiteľnosti.

Ryža. 2.3.

Fáza „Implementácia a prevádzka systému riadenia informačnej bezpečnosti“ vyžaduje, aby organizácia vykonala nasledovné:

• vypracovať plán spracovania rizík, ktorý definuje vhodné manažérske činnosti, zdroje, zodpovednosti a priority pre riadenie rizík v oblasti informačnej bezpečnosti;
• implementovať plán spracovania rizík na dosiahnutie zamýšľaných cieľov riadenia vrátane otázok financovania, ako aj rozdelenia funkcií a zodpovedností;
• implementovať vybrané opatrenia manažmentu;
• určiť, ako sa bude merať účinnosť vybraných kontrol;
• implementovať školenia a programy odborného rozvoja pre zamestnancov;
• riadiť prácu ISMS;
• spravovať zdroje ISMS;
• implementovať postupy a iné riadiace opatrenia, ktoré zabezpečia rýchlu detekciu udalostí informačnej bezpečnosti a reakciu na incidenty informačnej bezpečnosti.

Tretia etapa „Monitorovanie a kontrola systému riadenia informačnej bezpečnosti“ vyžaduje:

• vykonávať monitorovacie a analytické postupy;
• vykonávať pravidelné kontroly účinnosti ISMS;
• merať účinnosť kontrolných opatrení na overenie súladu s požiadavkami na bezpečnosť informácií;
• prehodnocovať hodnotenia rizík v určených intervaloch, prehodnocovať zvyškové riziká a stanovené prijateľné úrovne rizika, berúc do úvahy zmeny;
• vykonávať interné audity ISMS v pravidelných intervaloch;
• pravidelne vykonávať analýzu ISMS vedením organizácie s cieľom potvrdiť primeranosť jeho fungovania a určiť oblasti na zlepšenie;
• aktualizovať plány informačnej bezpečnosti s prihliadnutím na výsledky analýzy a monitorovania;
• zaznamenávať činnosti a udalosti, ktoré môžu ovplyvniť účinnosť alebo fungovanie ISMS.

Nakoniec fáza „Údržba a zlepšenie systému riadenia bezpečnosti informácií“ naznačuje, že organizácia by mala pravidelne vykonávať tieto činnosti:

• identifikovať príležitosti na zlepšenie ISMS;
• prijať potrebné nápravné a preventívne opatrenia, využiť v praxi skúsenosti pri zabezpečovaní informačnej bezpečnosti získané v r vlastnú organizáciu ako aj v iných organizáciách;
• vysielať detailné informácie o opatreniach na zlepšenie ISMS všetkým zainteresovaným stranám, pričom miera jeho podrobnosti by mala zodpovedať okolnostiam a prípadne dohodnúť ďalšie opatrenia;
• zabezpečiť implementáciu zlepšení ISMS na dosiahnutie plánovaných cieľov.

Norma ďalej stanovuje požiadavky na dokumentáciu, ktorá by mala obsahovať najmä ustanovenia politiky ISMS a popis rozsahu prevádzky, popis metodiky a správu o hodnotení rizík, plán spracovania rizík a dokumentáciu súvisiace postupy. Mal by sa definovať aj proces správy dokumentov ISMS vrátane aktualizácie, používania, uchovávania a ničenia.

Na poskytnutie dôkazu o súlade s požiadavkami a účinnosťou ISMS sa musia viesť a udržiavať záznamy a záznamy o vykonávaní procesov. Príklady zahŕňajú denníky návštevníkov, správy o audite a podobne.

Norma špecifikuje, že manažment organizácie je zodpovedný za poskytovanie a riadenie zdrojov potrebných na vytvorenie ISMS, ako aj za organizáciu školenia personálu.

Ako už bolo uvedené, organizácia musí v súlade so schváleným harmonogramom vykonávať interné audity ISMS, aby posúdila jeho funkčnosť a súlad s normou. A manažment by mal preskúmať systém riadenia informačnej bezpečnosti.

Taktiež by sa malo pracovať na zlepšení systému riadenia informačnej bezpečnosti: zvýšiť jeho účinnosť a úroveň súladu so súčasným stavom systému a požiadavkami naň.

Správne, je to nepríjemné. Informovali sme o blížiacom sa vydaní normy ISO 45001, ktorá by mala nahradiť súčasnú normu manažérstva bezpečnosti práce OHSAS 18001, povedali, že sa jej máme dočkať koncom roka 2016 ... Blíži sa polnoc, no Herman je stále preč. Je čas priznať - ISO 45001 je oneskorené. Pravdaže, z dobrých dôvodov. Odborná obec mala naňho priveľa otázok. […]

V prípade výstavby v súlade s požiadavkami ISO / IEC_27001 sa vychádza z modelu PDCA:

plánovať(Plánovanie) - fáza tvorby ISMS, tvorba zoznamu aktív, hodnotenie rizík a výber opatrení;

Do(Akcia) – štádium implementácie a implementácie príslušných opatrení;

Skontrolujte(Verifikácia) - fáza hodnotenia účinnosti a výkonnosti ISMS. Zvyčajne vykonávajú interní audítori.

konať(Zlepšenia) - vykonávanie preventívnych a nápravných opatrení;

Pojem informačnej bezpečnosti

Norma ISO 27001 definuje informačnú bezpečnosť ako: „zachovanie dôvernosti, integrity a dostupnosti informácií; okrem toho môžu byť zahrnuté ďalšie vlastnosti, ako je autenticita, nepopierateľnosť, dôveryhodnosť.“

Dôvernosť – zabezpečiť, aby informácie boli dostupné len tým, ktorí majú príslušné oprávnenie (oprávnení používatelia).

bezúhonnosť – zabezpečenie správnosti a úplnosti informácií, ako aj spôsobov ich spracovania.

Dostupnosť – poskytovanie prístupu k informáciám oprávneným používateľom v prípade potreby (na požiadanie).

4 Systém riadenia informačnej bezpečnosti

4.1 Všeobecné požiadavky

Organizácia musí vytvoriť, implementovať, používať, kontrolovať, kontrolovať, udržiavať a zlepšovať zdokumentované ustanovenia ISMS počas obchodných aktivít organizácie a rizík, ktorým čelí. Pre praktický prínos tejto medzinárodnej normy je použitý proces založený na modeli PDCA zobrazenom na obrázku 2. 1.

4.2 Tvorba a správa ISMS

4.2.1 Zriadenie ISMS

Organizácia musí urobiť nasledovné.

a) S prihliadnutím na charakteristiku činnosti organizácie, samotnej organizácie, jej sídla, majetku a technológie určiť rozsah a hranice ISMS vrátane podrobností a odôvodnení vylúčení akýchkoľvek ustanovení dokumentu z návrhu ISMS (pozri 1.2). .

b) Berúc do úvahy charakteristiky činností organizácie, samotnej organizácie, jej umiestnenia, majetku a technológie, vypracujte politiku ISMS, ktorá:

1) obsahuje systém stanovovania cieľov (úloh) a stanovuje všeobecné smerovanie riadenia a princípy konania v oblasti informačnej bezpečnosti;

2) zohľadňuje obchodné a právne alebo regulačné požiadavky, zmluvné bezpečnostné záväzky;

3) prepojený s prostredím strategického riadenia rizík, v ktorom prebieha tvorba a údržba ISMS;

4) stanovuje kritériá, podľa ktorých sa bude riziko posudzovať (pozri 4.2.1 c)); A

5) schválené vedením.

POZNÁMKA: Na účely tejto medzinárodnej normy sa politika ISMS považuje za rozšírenú sadu politík informačnej bezpečnosti. Tieto zásady možno opísať v jednom dokumente.

c) Vypracovať koncepciu hodnotenia rizík v organizácii.

1) Určite metodiku hodnotenia rizík, ktorá vyhovuje ISMS a zavedeným požiadavkám na bezpečnosť obchodných informácií, právnym a regulačným požiadavkám.

2) Vypracovať kritériá akceptovania rizika a určiť prijateľné úrovne rizika (pozri 5.1f).

Zvolená metodika hodnotenia rizika by mala zabezpečiť, že hodnotenie rizika prinesie porovnateľné a reprodukovateľné výsledky.

POZNÁMKA: Existujú rôzne metodiky hodnotenia rizík. Príklady metodík hodnotenia rizík sú uvedené v ISO/IEC TR 13335-3, Informačné technológie – odporúčania pre manažmentITBezpečnosť – metódy riadeniaITBezpečnosť.

d) Identifikujte riziká.

1) Definujte aktíva v rámci ustanovení ISMS a vlastníkov2 (2 Pojem „vlastník“ je označený ako fyzická osoba alebo subjekt, ktorý je schválený ako zodpovedný za riadenie výroby, vývoja, Údržba, aplikácia a zabezpečenie majetku. Pojem „vlastník“ neznamená, že osoba má skutočne nejaké vlastnícke práva k majetku) tohto majetku.

2) Identifikujte nebezpečenstvá pre tieto aktíva.

3) Identifikujte slabé miesta v systéme ochrany.

4) Identifikujte vplyvy, ktoré ničia dôvernosť, integritu a dostupnosť aktív.

e) Analyzovať a posudzovať riziká.

1) Posúdiť poškodenie podnikania organizácie, ktoré môže byť spôsobené zlyhaním systému ochrany, ako aj dôsledok porušenia dôvernosti, integrity alebo dostupnosti majetku.

2) Určiť pravdepodobnosť zlyhania zabezpečenia vzhľadom na prevládajúce nebezpečenstvá a slabé miesta, štrajky súvisiace s majetkom a aktuálne implementované kontroly.

3) Posúďte úrovne rizika.

4) Určiť prijateľnosť rizika alebo požadovať zníženie rizika pomocou kritérií prijateľnosti rizika uvedených v 4.2.1c-2).

f) Identifikujte a vyhodnoťte nástroje na zníženie rizika.

Možné akcie zahŕňajú:

1) Aplikácia vhodných kontrol;

2) Vedomé a objektívne akceptovanie rizík, zabezpečenie toho, aby bezpodmienečne spĺňali požiadavky politiky organizácie a kritériá tolerancie rizík (pozri 4.2.1c-2));

3) vyhýbanie sa riziku; A

4) Prevod príslušných obchodných rizík na inú stranu, napr. poisťovne, dodávateľov.

g) Výber úloh a kontrol na zníženie rizík.

Úlohy a kontroly by sa mali vyberať a vykonávať v súlade s požiadavkami stanovenými v procese hodnotenia rizika a znižovania rizika. Tento výber musí brať do úvahy kritériá tolerancie rizika (pozri 4.2.1c-2)), ako aj právne, regulačné a zmluvné požiadavky.

Úlohy a ovládacie prvky z prílohy A by sa mali vybrať ako súčasť tohto procesu a mali by spĺňať špecifikované požiadavky.

Keďže nie všetky úlohy a ovládacie prvky sú uvedené v prílohe A, možno vybrať ďalšie.

POZNÁMKA: Príloha A obsahuje komplexný zoznam cieľov kontroly, ktoré boli identifikované ako najdôležitejšie pre organizácie. Aby sa nevynechal žiadny dôležitý bod možností kontroly, používatelia tejto medzinárodnej normy by sa mali odvolať na prílohu A ako východiskový bod kontroly odberu vzoriek.

h) Získať súhlas na riadenie vnímaných zvyškových rizík.

4) uľahčovať detekciu bezpečnostných udalostí a tým pomocou určitých indikátorov predchádzať bezpečnostným incidentom; A

5) určiť účinnosť opatrení prijatých na zabránenie narušeniu bezpečnosti.

b) Vykonávať pravidelné kontroly účinnosti ISMS (vrátane diskusie o politike ISMS a jej cieľoch, kontroly bezpečnostných kontrol), pričom zohľadňuje výsledky auditov, incidentov, výsledky meraní výkonnosti, návrhy a odporúčania všetkých zainteresovaných strán. .

c) Vyhodnoťte účinnosť kontrol, aby ste určili, či sú splnené bezpečnostné požiadavky.

d) Skontrolujte hodnotenie rizík pre plánované obdobia a skontrolujte zvyškové riziká a prijateľné úrovne riziká, berúc do úvahy zmeny v:

1) organizácie;

2) technológia;

3) obchodné ciele a procesy;

4) identifikované hrozby;

5) účinnosť vykonaných kontrol; A

6) vonkajšie udalosti ako zmeny v právnom a manažérskom prostredí, zmenené zmluvné záväzky, zmeny v spoločenskej klíme.

e) Vykonávať interné audity ISMS v naplánovaných časoch (pozri 6)

POZNÁMKA: Interné audity, niekedy označované ako primárne audity, sa vykonávajú v mene samotnej organizácie na jej vlastné účely.

f) Pravidelne prehodnocovať riadenie ISMS, aby sa zabezpečilo, že situácia zostane vhodná a ISMS sa zlepší.

g) Aktualizovať bezpečnostné plány na základe zistení z monitorovania a preskúmania.

h) Zaznamenajte činnosti a udalosti, ktoré môžu ovplyvniť účinnosť alebo výkon ISMS (pozri 4.3.3).

4.2.4 Údržba a zlepšovanie ISMS

Organizácia musí neustále robiť nasledovné.

a) Implementovať špecifické opravy ISMS.

b) Prijmite vhodné nápravné a preventívne opatrenia v súlade s bodmi 8.2 a 8.3. Aplikovať poznatky nahromadené samotnou organizáciou a získané zo skúseností iných organizácií.

c) oznamuje svoje činnosti a zlepšenia všetkým zainteresovaným stranám na úrovni podrobností, ktoré zodpovedajú kontextu; a podľa toho koordinovať svoje kroky.

d) Zabezpečiť, aby zlepšenia dosiahli svoj zamýšľaný účel.

4.3 Požiadavky na dokumentáciu

4.3.1 Všeobecné

Dokumentácia musí obsahovať protokoly (záznamy) manažérske rozhodnutia presvedčiť, že potreba konať je spôsobená rozhodnutiami a politikami manažmentu; a zabezpečiť reprodukovateľnosť zaznamenaných výsledkov.

Dôležité je vedieť demonštrovať spätná väzba vybrané kontroly s výsledkami procesov hodnotenia a zmierňovania rizík a ďalej s politikou ISMS a jej cieľmi.

Dokumentácia ISMS by mala obsahovať:

a) zdokumentované vyhlásenia o politike a cieľoch ISMS (pozri 4.2.1b));

b) poskytovanie ISMS (pozri 4.2.1a));

c) koncepcia a kontroly na podporu ISMS;

d) opis metodiky hodnotenia rizika (pozri 4.2.1c));

e) správa o hodnotení rizika (pozri 4.2.1c) až 4.2.1g));

f) plán na zníženie rizika (pozri 4.2.2b));

g) zdokumentovaný koncept, potrebná organizácia zabezpečiť efektívnosť plánovania, prevádzky a riadenia procesov informačnej bezpečnosti a opísať, ako merať efektívnosť kontrol (pozri 4.2.3c));

h) dokumenty požadované touto medzinárodnou normou (pozri 4.3.3); A

i) Vyhlásenie o použiteľnosti.

POZNÁMKA 1. – Na účely tejto medzinárodnej normy termín „dokumentovaný koncept“ znamená, že koncept je implementovaný, zdokumentovaný, vykonávaný a dodržiavaný.

POZNÁMKA 2: Veľkosť dokumentácie ISMS v rôznych organizáciách sa môže líšiť v závislosti od:

Veľkosť organizácie a druh jej aktív; A

Rozsah a zložitosť bezpečnostných požiadaviek a riadeného systému.

POZNÁMKA 3: Dokumenty a správy môžu byť poskytnuté v akejkoľvek forme.

4.3.2 Kontrola dokumentov

Dokumenty požadované ISMS je potrebné chrániť a spravovať. Je potrebné schváliť postup dokumentácie potrebný na opis riadiacich činností pre:

a) stanovenie súladu dokumentov s určitými normami pred ich zverejnením;

b) overenie a aktualizácia dokumentov podľa potreby, opätovné schválenie dokumentov;

c) zabezpečenie súladu zmien so súčasným stavom revidovaných dokumentov;

d) sprístupnenie dôležitých verzií aktuálnych dokumentov;

e) zabezpečenie toho, aby dokumenty boli zrozumiteľné a čitateľné;

f) sprístupnenie dokumentov tým, ktorí ich potrebujú; ako aj ich prenos, skladovanie a nakoniec zničenie v súlade s postupmi platnými v závislosti od ich klasifikácie;

g) overovanie pravosti dokumentov z externých zdrojov;

h) kontrola distribúcie dokumentov;

i) predchádzanie neúmyselnému použitiu zastaraných dokumentov; A

j) použitie vhodnej metódy identifikácie, ak sú pre prípad uchovávania.

4.3.3 Kontrola záznamu

Záznamy by sa mali vytvárať a udržiavať, aby sa zabezpečil súlad s požiadavkami a efektívna prevádzka ISMS. Záznamy musia byť chránené a overené. ISMS by mal zohľadňovať všetky právne a regulačné požiadavky a zmluvné záväzky. Záznamy by mali byť zrozumiteľné, ľahko identifikovateľné a vyhľadateľné. Kontroly potrebné na identifikáciu, uchovávanie, ochranu, získavanie, uchovávanie a ničenie záznamov by mali byť zdokumentované a zavedené.

Záznamy by mali obsahovať informácie o vykonávaní činností opísaných v 4.2 a o všetkých incidentoch a incidentoch významných z hľadiska bezpečnosti súvisiacich s ISMS.

Príkladmi záznamov sú kniha návštev, auditné záznamy a vyplnené formuláre na autorizáciu prístupu.

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.

Uverejnené dňa http://www.allbest.ru/

"Systém riadenia bezpečnosti informácií"

medzinárodný štandard riadenia

INdirigovanie

Systém riadenia informačnej bezpečnosti je súbor procesov, ktoré fungujú v rámci spoločnosti na zabezpečenie dôvernosti, integrity a dostupnosti informačných aktív. V prvej časti abstraktu sa uvažuje o procese implementácie systému manažérstva v organizácii, ako aj o hlavných aspektoch výhod zavedenia systému manažérstva informačnej bezpečnosti.

Obr.1. Kontrolný cyklus

Zoznam procesov a odporúčaní, ako čo najlepšie organizovať ich fungovanie, uvádza medzinárodná norma ISO 27001:2005, ktorá vychádza z manažérskeho cyklu Plan-Do-Check-Act. Podľa neho životný cyklus ISMS pozostáva zo štyroch typov činností: Tvorba - Implementácia a prevádzka - Monitorovanie a analýza - Údržba a zlepšovanie (obr. 1). Tejto norme sa budeme podrobnejšie venovať v druhej časti.

Ssystémuzvládanieinformačnýbezpečnosť

Systém riadenia informačnej bezpečnosti (ISMS) je tá časť celkového systému riadenia, ktorá je založená na prístupe k podnikateľským rizikám pri vytváraní, implementácii, prevádzke, monitorovaní, analýze, udržiavaní a zlepšovaní informačnej bezpečnosti. Procesy ISMS sú navrhnuté v súlade s požiadavkami normy ISO/IEC 27001:2005, ktorá vychádza z cyklu

Fungovanie systému je založené na prístupoch modernej teórie riadenia rizík, čo zabezpečuje jeho integráciu do celkového systému riadenia rizík organizácie.

Implementácia systému riadenia informačnej bezpečnosti zahŕňa vývoj a implementáciu postupu zameraného na systematickú identifikáciu, analýzu a zmierňovanie rizík informačnej bezpečnosti, teda rizík, ktoré vedú k tomu, že informačné aktíva (informácie v akejkoľvek forme a akejkoľvek povahy) strácajú dôvernosť. integrita a dostupnosť.

Na zabezpečenie systematického zmierňovania rizík informačnej bezpečnosti sú na základe výsledkov hodnotenia rizík v organizácii implementované nasledovné procesy:

Zvládanie vnútorná organizácia informačná bezpečnosť.

· Zabezpečenie informačnej bezpečnosti pri interakcii s tretími stranami.

· Vedenie registra informačných aktív a pravidlá ich triedenia.

· Riadenie bezpečnosti zariadení.

· Zabezpečenie fyzickej bezpečnosti.

· Zabezpečenie informačnej bezpečnosti personálu.

· Plánovanie a prijímanie informačných systémov.

· Zálohovanie.

· Zabezpečenie bezpečnosti siete.

Procesy systému riadenia informačnej bezpečnosti ovplyvňujú všetky aspekty riadenia IT infraštruktúry organizácie, keďže informačná bezpečnosť je výsledkom stabilného fungovania procesov spojených s informačnými technológiami.

Pri budovaní ISMS vo firmách špecialisti vykonávajú tieto práce:

organizovať projektové riadenie, zostavovať projektový tím na strane objednávateľa a zhotoviteľa;

určiť oblasť činnosti (OD) ISMS;

Preskúmajte organizáciu v OD ISMS:

o z hľadiska obchodných procesov organizácie vrátane analýzy negatívne dôsledky incidenty informačnej bezpečnosti;

o z hľadiska procesov riadenia organizácie vrátane existujúcich procesov riadenia kvality a riadenia informačnej bezpečnosti;

o z hľadiska IT infraštruktúry;

o z hľadiska informačnej bezpečnosti infraštruktúry.

vypracovať a odsúhlasiť analytickú správu obsahujúcu zoznam hlavných podnikových procesov a hodnotenie dôsledkov implementácie hrozieb IS vo vzťahu k nim, zoznam procesov riadenia, IT systémov, subsystémov informačnej bezpečnosti (ISS), hodnotenie mieru, do akej organizácia spĺňa všetky požiadavky ISO 27001 a posúdenie vyspelosti procesných organizácií;

· vybrať počiatočnú a cieľovú úroveň vyspelosti ISMS, vypracovať a schváliť Program zlepšovania vyspelosti ISMS; vypracovať dokumentáciu na vysokej úrovni v oblasti informačnej bezpečnosti:

o koncepcia poskytovania IS,

o politiky IS a ISMS;

vybrať a prispôsobiť metodiku hodnotenia rizík použiteľnú v organizácii;

· vybrať, dodať a nasadiť softvér používaný na automatizáciu procesov ISMS, organizovať školenia pre špecialistov spoločnosti;

vykonať hodnotenie a ošetrenie rizík, pri ktorom sa vyberú opatrenia prílohy „A“ normy 27001 na ich zníženie a sformulujú sa požiadavky na ich implementáciu v organizácii, predbežne sa vyberú technické prostriedky na zabezpečenie informačnej bezpečnosti;

· vypracovať návrhy návrhov PIB, odhadnúť náklady na liečbu rizík;

· organizovať schválenie hodnotenia rizík vrcholovým manažmentom organizácie a vypracovať predpisy o použiteľnosti; vypracovať organizačné opatrenia na zabezpečenie informačnej bezpečnosti;

Vyvinúť a implementovať technické projekty o implementácii technických podsystémov informačnej bezpečnosti, ktoré podporujú realizáciu vybraných opatrení vrátane dodávky zariadení, uvedenia do prevádzky, vypracovania prevádzkovej dokumentácie a školenia používateľov;

poskytovať poradenstvo pri prevádzke vybudovaného ISMS;

· organizovať školenia interných audítorov a vykonávať interné audity ISMS.

Výsledkom týchto prác je fungujúci ISMS. Prínosy zo zavedenia ISMS v spoločnosti sa dosahujú prostredníctvom:

· efektívne riadenie dodržiavanie zákonných požiadaviek a obchodných požiadaviek v oblasti informačnej bezpečnosti;

predchádzanie vzniku incidentov informačnej bezpečnosti a znižovanie škôd v prípade ich vzniku;

Zlepšenie kultúry informačnej bezpečnosti v organizácii;

· zvyšovanie vyspelosti v oblasti riadenia informačnej bezpečnosti;

Optimalizácia výdavkov na informačnú bezpečnosť.

ISO/IEC27001-- medzinárodnéštandardnéAutor:informačnýbezpečnosť

Táto norma bola vyvinutá spoločne Medzinárodnou organizáciou pre normalizáciu (ISO) a Medzinárodnou elektrotechnickou komisiou (IEC). Norma obsahuje požiadavky v oblasti informačnej bezpečnosti na tvorbu, rozvoj a údržbu ISMS. ISO 27001 špecifikuje požiadavky na ISMS na preukázanie schopnosti organizácie chrániť svoje informačné aktíva. Medzinárodná norma používa pojem „bezpečnosť informácií“ a interpretuje sa ako zabezpečenie dôvernosti, integrity a dostupnosti informácií. Základom normy je informačný systém riadenia rizík. Tento štandard možno použiť aj na posúdenie súladu internými a externými zainteresovanými stranami.

Na vytvorenie, implementáciu, prevádzku, priebežné monitorovanie, analýzu, údržbu a zlepšovanie systému riadenia informačnej bezpečnosti (ISMS) norma používa procesný prístup. Spočíva v aplikácii systému procesov v rámci organizácie spolu s identifikáciou a interakciou týchto procesov, ako aj ich riadením.

Medzinárodný štandard preberá model Plan-Do-Check-Act (PDCA), ktorý sa nazýva aj Shewhart-Demingov cyklus. Tento cyklus sa používa na štruktúrovanie všetkých procesov ISMS. Obrázok 2 ukazuje, ako ISMS berie ako vstup požiadavky informačnej bezpečnosti a očakávania zainteresovaných strán a prostredníctvom potrebných činností a procesov vytvára výsledky informačnej bezpečnosti, ktoré spĺňajú tieto požiadavky a očakávania.

Plánovanie je fáza tvorby ISMS, tvorba zoznamu aktív, hodnotenie rizík a výber opatrení.

Obrázok 2. Model PDCA aplikovaný na procesy ISMS

Implementácia je etapa implementácie a implementácie príslušných opatrení.

Verifikácia je fázou hodnotenia účinnosti a výkonnosti ISMS. Zvyčajne vykonávajú interní audítori.

Činnosť – vykonávanie preventívnych a nápravných opatrení.

INzávery

ISO 27001 popisuje všeobecný model implementácie a prevádzky ISMS, ako aj činnosti na monitorovanie a zlepšovanie ISMS. ISO má v úmysle harmonizovať rôzne normy systému manažérstva, ako napríklad ISO/IEC 9001:2000, ktorá sa zaoberá manažérstvom kvality, a ISO/IEC 14001:2004, ktorá sa zaoberá systémami environmentálneho manažérstva. Účelom ISO je zabezpečiť, aby bol ISMS konzistentný a integrovaný s ostatnými systémami riadenia v spoločnosti. Podobnosť noriem umožňuje použitie podobných nástrojov a funkcionality na implementáciu, správu, revíziu, overovanie a certifikáciu. Rozumie sa, že ak má spoločnosť zavedené iné manažérske štandardy, môže ich použiť jednotný systém audit a manažment, ktorý je aplikovateľný na manažérstvo kvality, environmentálne manažérstvo, manažérstvo bezpečnosti a pod. Implementáciou ISMS získa vyšší manažment prostriedky na monitorovanie a riadenie bezpečnosti, čo znižuje zvyškové obchodné riziká. Po implementácii ISMS môže spoločnosť formálne zabezpečiť bezpečnosť informácií a naďalej plniť požiadavky zákazníkov, legislatívy, regulátorov a akcionárov.

Treba poznamenať, že v legislatíve Ruskej federácie existuje dokument GOST R ISO / IEC 27001-2006, ktorý je preloženou verziou medzinárodnej normy ISO27001.

Sškrípanieliteratúre

1. Kornejev I.R., Beljajev A.V. Informačná bezpečnosť podniku. - Petrohrad: BHV-Petersburg, 2003. - 752 s.: chor.

2. Medzinárodná norma ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (dátum prístupu: 23.05.12)

3.Národný štandard Ruská federácia GOST R ISO / IEC 27003 - "Informačné technológie. Bezpečnostné metódy. Návod na implementáciu systému riadenia bezpečnosti informácií" pdf) (dátum prístupu: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Usmernenie k ochrane pred vnútornými hrozbami pre informačnú bezpečnosť. Petrohrad: Peter, 2008. - 320 s.: chor.

5. Článok voľnej encyklopédie „Wikipedia“, „Systém riadenia

informačná bezpečnosť“ (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (dátum prístupu: 23.05.12)

6. Sigurjon Thor Arnason a Keith D. Willett „Ako dosiahnuť certifikáciu 27001“

Hostené na Allbest.ru

Podobné dokumenty

Hrozby informačnej bezpečnosti v podniku. Identifikácia nedostatkov v systéme informačnej bezpečnosti. Ciele a ciele formovania systému informačnej bezpečnosti. Navrhované opatrenia na zlepšenie systému informačnej bezpečnosti organizácie.

semestrálna práca, pridaná 2.3.2011


Analýza systému informačnej bezpečnosti v podniku. Služba informačnej bezpečnosti. Hrozby informačnej bezpečnosti špecifické pre podnik. Metódy a prostriedky ochrany informácií. Model informačný systém z bezpečnostného hľadiska.

semestrálna práca, pridaná 2.3.2011


Hlavné fázy vytvárania systému riadenia v podniku Potravinársky priemysel. HACCP je základom každého systému riadenia bezpečnosti potravín. Systém riadenia bezpečnosti potravín. Nebezpečenstvá a preventívne opatrenia.

abstrakt, pridaný 14.10.2014


Moderné manažérske systémy a ich integrácia. Integrované systémy manažérstva kvality. Popis spoločnosti JSC "275 ARZ" a jej systému riadenia. Vývoj systému riadenia ochrany práce. Metódy hodnotenia integrovaného bezpečnostného systému.

práca, pridané 31.07.2011


Zavedenie systému manažérstva kvality. Certifikácia systémov manažérstva kvality (ISO 9000), systémov environmentálneho manažérstva (ISO 14 000), systémov manažérstva bezpečnosti a ochrany zdravia pri práci organizácií (OHSAS 18 001:2007) na príklade Lenta OJSC.

abstrakt, pridaný 06.10.2008


Vypracovanie štandardu pre organizáciu integrovaného manažérskeho systému, ktorý stanovuje jediná objednávka implementácia procesu správy dokumentov. Etapy tvorby systému manažérstva kvality OAO „ZSMK“. Ubytovanie elektronické verzie Dokumenty.

práca, pridané 01.06.2014


Hierarchická schéma zamestnancov. Prostriedky ochrany informácií. Otázky o stave bezpečnosti. Schéma informačných tokov podniku. Spôsoby kontroly integrity informačného systému. Modelovanie riadenia prístupu k servisným informáciám.

ročníková práca, pridaná 30.12.2011


Pojem manažérskeho informačného systému a jeho miesto v celkovom systéme manažérstva. Typy informačných systémov a ich obsah. Pojem manažment ako informačný systém. Funkcie systému finančného riadenia. Systémy na uskutočňovanie transakcií a operácií.

abstrakt, pridaný 01.06.2015


Pojmy v oblasti BOZP. Medzinárodné normy ISO na systémy manažérstva kvality, systémy environmentálneho manažérstva, systémy manažérstva bezpečnosti a ochrany zdravia pri práci. Prispôsobenie normy OHSAS 18001-2007.

ročníková práca, pridaná 21.12.2014


Charakteristika informačného manažmentu; subjekty informácií a právnych vzťahov; právny režim prijímania, prenosu, uchovávania a používania informácií. Vlastnosti a právne aspekty výmeny informácií a informačnej bezpečnosti.

GOST R ISO/IEC 27001-2006 „Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Systémy riadenia informačnej bezpečnosti. Požiadavky"

Tvorcovia normy poznamenávajú, že bola pripravená ako model pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, údržbu a zlepšovanie systému riadenia bezpečnosti informácií (ISMS). ISMS (anglicky - systém riadenia informačnej bezpečnosti; ISMS) je definovaný ako súčasť celkového systému riadenia založeného na využívaní metód hodnotenia podnikateľských rizík pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, podporu a zlepšovanie informačnej bezpečnosti. Systém riadenia zahŕňa organizačnú štruktúru, politiku, plánovanie činností, prideľovanie zodpovedností, prax, postupy, procesy a zdroje.

Norma predpokladá použitie procesného prístupu na vývoj, implementáciu, údržbu, monitorovanie, analýzu, udržiavanie a zlepšovanie ISMS organizácie. Je založený na modeli Plan - Do - Check - Act (PDCA), ktorý je možné aplikovať pri štruktúrovaní všetkých procesov ISMS. Na obr. Obrázok 4.4 ukazuje, ako ISMS, využívajúc požiadavky informačnej bezpečnosti a očakávané výsledky zainteresovaných strán ako vstup, vytvára výstupy informačnej bezpečnosti, ktoré spĺňajú tieto požiadavky a očakávané výsledky prostredníctvom potrebných činností a procesov.

Ryža. 4.4.

Na javisku "Vývoj systému riadenia informačnej bezpečnosti" organizácia musí urobiť nasledovné:

• - určiť rozsah a hranice ISMS;
• — definovať politiku ISMS na základe charakteristík podnikania, organizácie, miesta, majetku a technológie;
• - určiť prístup k hodnoteniu rizík v organizácii;
• - identifikovať riziká;
• - analyzovať a posudzovať riziká;
• — identifikovať a zhodnotiť rôzne možnosti liečby rizík;
• — vybrať ciele a kontroly na riešenie rizík;
• - Získať súhlas vedenia o očakávaných reziduálnych rizikách;
• - získať povolenie manažmentu na implementáciu a prevádzku ISMS;
• - pripraviť predpisy o použiteľnosti.

etapa" Implementácia a fungovanie systému riadenia informačnej bezpečnosti“ vyžaduje, aby organizácia:

• — vypracovať plán spracovania rizík, ktorý definuje vhodné riadiace činnosti, zdroje, zodpovednosti a priority pre riadenie rizika informačnej bezpečnosti;
• - implementovať plán spracovania rizík na dosiahnutie zamýšľaných cieľov riadenia, vrátane otázok financovania, ako aj rozdelenia funkcií a zodpovedností;
• - implementovať vybrané riadiace opatrenia;
• — určiť, ako sa bude merať účinnosť vybraných kontrolných opatrení;
• - realizovať vzdelávacie programy a programy odborného rozvoja pre zamestnancov;
• - riadiť prácu ISMS;
• - riadiť zdroje ISMS;
• — zaviesť postupy a iné riadiace opatrenia na zabezpečenie rýchleho odhaľovania udalostí invazívnych druhov a reakcie na incidenty invazívnych druhov.

Tretia etapa Monitorovanie a analýza systému riadenia informačnej bezpečnosti“ vyžaduje:

• - vykonávať monitorovacie a analytické postupy;
• - vykonávať pravidelnú analýzu účinnosti ISMS;
• - merať účinnosť kontrolných opatrení na overenie súladu s požiadavkami informačnej bezpečnosti;
• — prehodnocovať hodnotenia rizík v určených intervaloch, preverovať zvyškové riziká a stanovené prijateľné úrovne rizika, berúc do úvahy zmeny;
• — vykonávať interné audity ISMS v stanovených intervaloch;
• - pravidelne vykonávať analýzu ISMS vedením organizácie s cieľom potvrdiť primeranosť fungovania systému a určiť oblasti na zlepšenie;
• - aktualizovať plány informačnej bezpečnosti s prihliadnutím na výsledky analýzy a monitorovania;
• - zaznamenávať činnosti a udalosti, ktoré môžu ovplyvniť účinnosť alebo fungovanie ISMS.

A nakoniec, javisko "Podpora a zlepšenie systému riadenia informačnej bezpečnosti" navrhuje, aby organizácia pravidelne vykonávala tieto činnosti:

• - identifikovať príležitosti na zlepšenie ISMS;
• - prijať potrebné nápravné a preventívne opatrenia, v praxi využiť skúsenosti so zabezpečovaním informačnej bezpečnosti získané vo vlastnej organizácii, ako aj v iných organizáciách;
• - oznámiť všetkým zainteresovaným stranám podrobné informácie o opatreniach na zlepšenie ISMS, pričom úroveň podrobnosti by mala zodpovedať okolnostiam a v prípade potreby dohodnúť ďalšie opatrenia;
• — zabezpečiť implementáciu zlepšení ISMS na dosiahnutie plánovaných cieľov.

Ďalej štandard stanovuje požiadavky na dokumentáciu, ktorá by mala obsahovať ustanovenia politiky ISMS a popis rozsahu prevádzky, popis metodiky a správu o hodnotení rizík, plán liečby rizík a dokumentáciu súvisiacich postupov. Mal by sa definovať aj proces správy dokumentov ISMS vrátane aktualizácie, používania, uchovávania a ničenia.

Na poskytnutie dôkazu o súlade s požiadavkami a účinnosťou ISMS sa musia viesť a udržiavať záznamy a záznamy o vykonávaní procesov. Príkladom sú denníky návštevníkov, audítorské správy atď.

Norma špecifikuje, že manažment organizácie je zodpovedný za poskytovanie a riadenie zdrojov potrebných na vytvorenie ISMS, ako aj za organizáciu školenia personálu.

Ako už bolo uvedené, organizácia musí v súlade so schváleným harmonogramom vykonávať interné audity ISMS, aby posúdila jeho funkčnosť a súlad s normou. A manažment by mal preskúmať systém riadenia informačnej bezpečnosti.

Taktiež by sa malo pracovať na zlepšení systému riadenia informačnej bezpečnosti: zvýšiť jeho účinnosť a úroveň súladu so súčasným stavom systému a požiadavkami naň.