Система менеджмента информационной безопасности

4.1. Общие требования

Организация должна разработать, внедрить, обеспечить функционирование, вести мониторинг, анализировать, поддерживать и непрерывно улучшать документированную СМИБ применительно ко всей деловой деятельности организации и рискам, с которыми она сталкивается. С учетом целей настоящего стандарта используемый процесс основан на применении модели PDCA, приведенной на рисунке 1.

4.2. Разработка системы менеджмента информационной безопасности. Управление системой менеджмента информационной безопасности

4.2.1. Разработка системы менеджмента информационной безопасности

Организация должна осуществить следующее:

a) определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий, в том числе детали и обоснование любых исключений из области ее действия (см. 1.2);

b) определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий, которая:

1) содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ;

2) принимает во внимание требования бизнеса, нормативно-правовые требования, а также договорные обязательства по обеспечению безопасности;

3) согласуется со стратегическим содержанием менеджмента рисков организации, в рамках которого будет разрабатываться и поддерживаться СМИБ;

4) устанавливает критерии оценки рисков (см. 4.2.1, перечисление c));

5) утверждается руководством организации.

Примечание — Для целей настоящего стандарта политика СМИБ имеет приоритет перед политикой ИБ. Эти политики могут быть изложены в одном документе.

c) определить подход к оценке риска в организации, для чего необходимо:

1) определить методологию оценки риска, подходящую для СМИБ, которая должна соответствовать требованиям обеспечения деятельности организации и нормативно-правовым требованиям информационной безопасности;

2) разработать критерии принятия риска и определить приемлемые уровни риска (см. 5.1, перечисление f)).

Выбранная методология оценки риска должна обеспечивать сравнимые и воспроизводимые результаты.

d) идентифицировать риски, для чего необходимо:

1) идентифицировать активы в пределах области функционирования СМИБ и определить владельцев этих активов.

Здесь и далее владелец» определяет лицо или организацию, которые имеют утвержденные руководством обязательства по контролю за производством, разработкой, поддержкой, использованием и безопасностью активов. Термин «владелец» не означает, что лицо действительно имеет какие-либо права собственности на актив.

2) идентифицировать угрозы этим активам;

3) идентифицировать уязвимости активов, которые могут быть использованы угрозами;

4) идентифицировать последствия воздействия на активы в результате возможной утраты конфиденциальности, целостности и доступности активов;

e) проанализировать и оценить риски, для чего необходимо:

1) оценить ущерб для деятельности организации, который может быть нанесен в результате сбоя обеспечения безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности или доступности активов;

2) оценить реальную вероятность сбоя обеспечения безопасности с учетом превалирующих угроз, уязвимостей и их последствий, связанных с этими активами, а также с учетом применяемых мер управления безопасностью;

3) оценить уровни рисков;

4) определить, являются ли риски приемлемыми или требуют обработки с использованием критериев допустимости рисков, установленных в 4.2.1, перечисление c);

f) определить и оценить различные варианты обработки рисков. Возможные действия:

1) применение подходящих мер управления;

2) сознательное и объективное принятие рисков при условии, что они полностью соответствуют требованиям политики и критериям организации в отношении принятия рисков (см. 4.2.1, перечисление c), 2);

3) избежание рисков;

4) передача соответствующих деловых рисков сторонним организациям, например страховщикам или поставщикам;

g) выбрать цели и меры управления для обработки рисков.

Цели и меры управления должны быть выбраны и реализованы так, чтобы удовлетворять требованиям, определенным в процессе оценки и обработки рисков. Этот выбор должен учитывать критерии принятия рисков (см. 4.2.1, перечисление c), 2)), а также нормативно-правовые требования и договорные обязательства.

Цели и меры управления должны быть выбраны согласно Приложению A как часть процесса оценки и обработки рисков и соответствовать требованиям этого процесса.

Перечень целей и мер управления, приведенный в Приложении A, не является исчерпывающим, а потому могут быть выбраны дополнительные цели и меры управления.

Примечание — Приложение A содержит подробный перечень целей и мер управления, обычно используемых в организациях. Рекомендуется использовать этот перечень в качестве исходных данных, позволяющих выбрать рациональный вариант мер управления и контроля;

h) получить утверждение руководством предполагаемых остаточных рисков;

i) получить разрешение руководства на внедрение и эксплуатацию СМИБ;

j) подготовить Положение о применимости, которое включает в себя следующее:

1) цели и меры управления, выбранные в 4.2.1, перечисление g), и обоснование этого выбора;

2) цели и меры управления, реализованные в настоящее время (см. 4.2.1, перечисление e), 2));

3) перечень исключенных целей и мер управления, указанных в Приложении A, и процедуру обоснования их исключения.

Примечание — Положение о применимости содержит итоговые решения, касающиеся обработки рисков. Обоснование исключений предусматривает перекрестную проверку, позволяющую определить, что ни одна мера управления не была случайно упущена.

4.2.2 Внедрение и функционирование системы менеджмента информационной безопасности

Организация должна выполнить следующее:

a) разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ (см. раздел 5);

b) реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;

c) внедрить меры управления, выбранные согласно 4.2.1, перечисление g), для достижения целей управления;

d) определить способ измерения результативности выбранных мер управления или их групп и использования этих измерений для оценки результативности управления с целью получить сравнимые и воспроизводимые данные (см. 4.2.3, перечисление c)).

Примечание — Измерение результативности мер управления позволяет руководителям и персоналу определить, в какой степени меры управления способствуют достижению намеченных целей управления.

e) реализовать программы по обучению и повышению квалификации сотрудников (см. 5.2.2);

f) управлять работой СМИБ;

g) управлять ресурсами СМИБ (см. 5.2);

h) внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ (см. 4.2.3, перечисление a)).

4.2.3. Проведение мониторинга и анализа системы менеджмента информационной безопасности

Организация должна осуществлять следующее:

a) выполнять процедуры мониторинга и анализа, а также использовать другие меры управления в следующих целях:

1) своевременно обнаруживать ошибки в результатах обработки;

2) своевременно выявлять удавшиеся и неудавшиеся попытки нарушения и инциденты ИБ;

3) предоставлять руководству информацию для принятия решений о ходе выполнения функций по обеспечению ИБ, осуществляемых как ответственными лицами, так и информационными технологиями;

4) способствовать обнаружению событий ИБ и, таким образом, предотвращать инциденты ИБ путем применения средств индикации;

5) определять, являются ли эффективными действия, предпринимаемые для устранения нарушения безопасности;

b) проводить регулярный анализ результативности СМИБ (включая проверку ее соответствия политике и целям СМИБ и анализ мер управления безопасностью) с учетом результатов аудиторских проверок ИБ, ее инцидентов, результатов измерений эффективности СМИБ, а также предложений и другой информации от всех заинтересованных сторон;

c) измерять результативность мер управления для проверки соответствия требованиям ИБ;

d) пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения:

1) в организации;

2) в технологиях;

3) в целях деятельности и процессах;

4) в выявленных угрозах;

5) в результативности реализованных мер управления;

6) во внешних условиях, например изменения нормативно-правовых требований, требований договорных обязательств, а также изменения в социальной структуре общества;

e) проводить внутренние аудиты СМИБ через установленные периоды времени (см. раздел 6).

Примечание — Внутренние аудиты, иногда называемые аудитами первой стороны, проводятся самой организацией (или внешней организацией от ее имени) для собственных целей.

f) регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования (см. 7.1);

g) обновлять планы ИБ с учетом результатов анализа и мониторинга;

h) регистрировать действия и события, способные повлиять на результативность или функционирование СМИБ, в соответствии с 4.3.3.

4.2.4. Поддержка и улучшение системы менеджмента информационной безопасности

Организация должна регулярно осуществлять следующее:

a) выявлять возможности улучшения СМИБ;

b) предпринимать необходимые корректирующие и предупреждающие действия в соответствии с 8.2 и 8.3, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;

c) передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;

d) обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.

4.3. Требования к документации

4.3.1. Общие положения

Документация должна включать в себя записи решений руководства, позволяющие обеспечивать контроль выполнения решений руководства и политик организации, а также обеспечивать воспроизводимость документированных результатов.

Важно иметь обратную связь выбранных мер управления с результатами процессов оценки и обработки риска, а также последних с политикой СМИБ и целями СМИБ.

Это интересно:  Порядок ликвидации юридического лица 2020 пошаговая инструкция

Документация СМИБ должна включать в себя следующее:

a) документированные положения политики СМИБ (см. 4.2.1, перечисление b)) и целей СМИБ;

b) область функционирования СМИБ (см. 4.2.1, перечисление a));

c) процедуры и меры управления, поддерживающие СМИБ;

d) описание методологии оценки риска (см. 4.2.1, перечисление c));

e) отчет по оценке рисков (см. 4.2.1, перечисления c) — g));

f) план обработки рисков;

g) документированные процедуры, необходимые организации для обеспечения эффективного планирования, внедрения процессов в области ИБ и управления этими процессами, а также описания путей оценки результативности мер управления (см. 4.2.3, перечисление c));

h) учетные записи (см. 4.3.3);

i) положение о применимости.

1. Согласно настоящему стандарту термин «документированная процедура» означает, что процедура установлена, документально оформлена, реализована и поддерживается на должном уровне.

2. Для разных организаций объем документации СМИБ может быть различным в зависимости:

— от размера организации и вида ее деятельности;

— от области применения и сложности требований безопасности и от управляемой системы.

3. Документы и учетные записи могут существовать в любой форме и на носителях любого типа.

4.3.2. Управление документами

Для разработки, актуализации, использования, хранения и уничтожения документов СМИБ, а также их защиты в организации должна существовать документированная процедура, определяющая действия руководства по:

a) утверждению документов СМИБ перед их изданием;

b) пересмотру и обновлению, при необходимости, документов, а также повторному их утверждению;

c) обеспечению идентификации внесенных изменений и текущего статуса документов;

d) обеспечению наличия версий соответствующих документов в местах их использования;

e) определению порядка просмотра документов и их идентификации;

f) обеспечению доступа к документам авторизованным лицам, а также передачи, хранения и уничтожения в соответствии с процедурами, применимыми к степени их конфиденциальности;

g) идентификации документов, созданных вне организации;

h) обеспечению контроля за распространением документов;

i) предотвращению непреднамеренного использования устаревших документов;

j) использованию соответствующей идентификации устаревших документов в случае их дальнейшего хранения.

4.3.3. Управление записями

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи. Учетные записи необходимо контролировать и защищать. СМИБ должна принимать во внимание все нормативно-правовые требования и договорные обязательства, имеющие отношение к ИБ. Записи должны быть четкими, легко идентифицируемыми и восстанавливаемыми. Меры управления, требуемые для идентификации, хранения, защиты, поиска, определения сроков хранения и уничтожения записей должны быть документированы и реализованы.

Кроме этого, следует вести и хранить записи о выполнении процессов, описанных в 4.2, и обо всех значительных инцидентах информационной безопасности, связанных со СМИБ.

Пример — Примерами записей являются: журнал регистрации посетителей, отчеты о результатах аудитов, заполненные формы авторизации доступа.

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

Разработчики стандарта отмечают, что он был подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). СМИБ (англ. — information security management system; ISMS) определяется как часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Стандарт предполагает использование процессного подхода для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. Он основан на модели «Планирование (Plan) — Осуществление (Do) — Проверка (Check) — Действие (Act)» (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рис. 4.4 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам.

Рис. 4.4. Этапы построения и использования СМИБ

На этапе «Разработка системы менеджмента информационной безопасности» организация должна осуществить следующее:

  • — определить область и границы действия СМИБ;
  • — определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
  • — определить подход к оценке риска в организации;
  • — идентифицировать риски;
  • — проанализировать и оценить риски;
  • — определить и оценить различные варианты обработки рисков;
  • — выбрать цели и меры управления для обработки рисков;
  • — получить утверждение руководством предполагаемых остаточных рисков;
  • — получить разрешение руководства на внедрение и эксплуатацию СМИБ;
  • — подготовить Положение о применимости.

Этап «Внедрение и функционирование системы менеджмента информационной безопасности» предполагает, что организация должна:

  • — разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ;
  • — реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;
  • — внедрить выбранные меры управления;
  • — определить способ измерения результативности выбранных мер управления;
  • — реализовать программы по обучению и повышению квалификации сотрудников;
  • — управлять работой СМИБ;
  • — управлять ресурсами СМИБ;
  • — внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ.

Третий этап «Проведение мониторинга и анализа системы менеджмента информационной безопасности» требует:

  • — выполнять процедуры мониторинга и анализа;
  • — проводить регулярный анализ результативности СМИБ;
  • — измерять результативность мер управления для проверки соответствия требованиям ИБ;
  • — пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения;
  • — проводить внутренние аудиты СМИБ через установленные периоды времени;
  • — регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности сс функционирования и определения направлений совершенствования;
  • — обновлять планы ИБ с учетом результатов анализа и мониторинга;
  • — регистрировать действия и события, способные повлиять па результативность или функционирование СМИБ.

И наконец, этап «Поддержка и улучшение системы менеджмента информационной безопасности» предполагает, что организация должна регулярно проводить следующие мероприятия:

  • — выявлять возможности улучшения СМИБ;
  • — предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;
  • — передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
  • — обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.

Далее в стандарте приводятся требования к документации, которая должна включать положения политики СМИБ и описание области функционирования, описание методики и отчет об оценке рисков, план обработки рисков, документирование связанных процедур. Также должен быть определен процесс управления документами СМИБ, включающий актуализацию, использование, хранение и уничтожение.

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи и записи о выполнении процессов. В качестве примеров называются журналы регистрации посетителей, отчеты о результатах аудита и т. гг

Стандарт определяет, что руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания СМИБ, а также организацию подготовки персонала.

Как уже ранее отмечалось, организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие оценить ее функциональность и соответствие стандарту. А руководство должно проводить анализ системы менеджмента информационной безопасности.

Также должны проводиться работы по улучшению системы менеджмента информационной безопасности: повышению ее результативности и уровня соответствия текущего состояния системы и предъявляемым к ней требованиям.

В приложении к стандарту перечисляются рекомендуемые меры управления, взятые из ранее рассмотренного стандарта ISO/IEC 17799:2005.

Система менеджмента информационной безопасности

Понятие системы менеджмента информационной безопасности. Особенности цикла управления Plan-Do-Check-Act. Анализ международного стандарта по информационной безопасности ISO/IEC 27001. Основные этапы процесса внедрения системы менеджмента в организацию.

Рубрика Менеджмент и трудовые отношения
Вид реферат
Язык русский
Дата добавления 15.07.2012
Размер файла 319,6 K
Это интересно:  Как уволиться после декретного отпуска

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

«Система менеджмента информационной безопасности»

менеджмент международный стандарт

Система менеджмента информационной безопасности — это совокупность процессов, которые работают в компании для обеспеченияконфиденциальности,целостностиидоступностиинформационных активов. В первой части реферата рассматривается процесс внедрения системы менеджмента в организацию, а также приведены основные аспекты выгоды от реализации системы менеджмента информационной безопасности.

Рис.1. Цикл управления

Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание — Внедрение и эксплуатация — Мониторинг и анализ — Сопровождение и совершенствование (Рис.1). Этот стандарт будет рассмотрен подробнее во второй части.

Система менеджмента информационной безопасности

Системой менеджмента информационной безопасности (СМИБ) называют ту часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. Процессы СМИБ созданы в соответствии с требованиям стандарта ISO/IEC 27001:2005, в основе которого лежит цикл

Работа системы основана на подходах современной теории рисков менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.

Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:

· Управление внутренней организацией информационной безопасности.

· Обеспечение информационной безопасности при взаимодействии с третьими сторонами.

· Управление реестром информационных активов и правила их классификации.

· Управление безопасностью оборудования.

· Обеспечение физической безопасности.

· Обеспечение информационной безопасности персонала.

· Планирование и принятие информационных систем.

· Обеспечение безопасности сети.

Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность — это результат устойчивого функционирования процессов, связанных с информационными технологиями.

При построении СМИБ в компаниях специалисты проводят следующие работы:

· организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;

· определяют область деятельности (ОД) СМИБ;

· обследуют организацию в ОД СМИБ:

o в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;

o в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;

o в части ИТ инфраструктуры;

o в части ИБ инфраструктуры.

· выбирают исходный и целевой уровень зрелости СМИБ, разрабатывают и утверждают Программу повышения зрелости СМИБ; разрабатывают высокоуровневую документацию в области ИБ:

o Концепцию обеспечения ИБ,

o Политики ИБ и СМИБ;

· выбирают и адаптируют методику оценки рисков, применимую в организации;

· выбирают, поставляют и развертывают ПО, используемое для автоматизации процессов СМИБ, организуют обучение специалистов компании;

· разрабатывают эскизные проекты ПИБ, производят оценку стоимости обработки рисков;

· организуют утверждение оценки рисков высшим руководством организации и разрабатывают Положения о применимости; разрабатывают организационные меры обеспечения ИБ;

· разрабатывают и реализуют технические проекты по внедрению технических подсистем информационной безопасности, поддерживающих выполнение выбранных мер, включая поставку оборудования, пуско-наладочные работы, разработку эксплуатационной документации и обучение пользователей;

· предоставляют консультации в ходе эксплуатации построенной СМИБ;

· организуют обучение внутренних аудиторов и проведение внутренних аудитов СМИБ.

Результатом данных работ является функционирующая СМИБ. Выгода от реализации СМИБ в компании достигаются за счет:

· эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;

· предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;

· повышения культуры ИБ в организации;

· повышения зрелости в области управления обеспечением ИБ;

· оптимизации расходования средств на обеспечение ИБ.

Для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшении системы менеджмента защиты информации (СМЗИ) стандарт принимает процессный подход. Он заключается в применении системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением.

Международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA), который еще называют циклом Шухарта-Деминга. Этот цикл применяется для структуризации всех процессов СМЗИ. На Рисунке 2 показано, как СМЗИ берет в качестве входных данных требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям.

Планирование — это фаза создания СМЗИ, создания перечня активов, оценки рисков и выбора мер.

Рисунок 2. Модель PDCA, примененная к процессам СМЗИ

Осуществление — это этап реализации и внедрения соответствующих мер.

Проверка — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

Действие — выполнение превентивных и корректирующих действий.

5.Статья свободной энциклопедии»Википедия», «Система менеджмента

информационной безопасности» (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (дата обращения: 23.05.12)

Размещено на Allbest.ru

Подобные документы

Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.

курсовая работа [235,0 K], добавлен 03.02.2011

Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.

курсовая работа [1,4 M], добавлен 03.02.2011

Основные этапы создания системы менеджмента на предприятии пищевой промышленности. HACCP как основа любой системы менеджмента безопасности пищевого продукта. Система менеджмента безопасности пищевых продуктов. Опасные факторы и предупреждающие действия.

реферат [75,7 K], добавлен 14.10.2014

Современные системы менеджмента и их интегрирование. Интегрированные системы менеджмента качества. Характеристика ОАО «275 АРЗ» и его системы менеджмента. Разработка системы управления охраной труда. Методы оценки интегрированной системы безопасности.

дипломная работа [612,1 K], добавлен 31.07.2011

реферат [27,0 K], добавлен 06.10.2008

Разработка стандарта организации интегрированной системы менеджмента, устанавливающего единый порядок осуществления процесса управления документацией. Этапы создания системы менеджмента качества ОАО «ЗСМК». Размещение электронных версий документов.

дипломная работа [985,6 K], добавлен 01.06.2014

Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.

курсовая работа [1,0 M], добавлен 30.12.2011

Понятие системы управленческой информации и ее место в общей системе менеджмента. Виды информационных систем и их содержание. Понятие менеджмента как информационной системы. Функции системы управления финансами. Системы совершения сделок и операций.

реферат [329,7 K], добавлен 06.01.2015

курсовая работа [220,0 K], добавлен 21.12.2014

Характеристика информационного менеджмента; субъектов информационно-правовых отношений; правового режима получения, передачи, хранения и использования информации. Особенности и юридические аспекты информационного обмена и информационной безопасности.

учебное пособие [1,5 M], добавлен 06.12.2010

Основные задачи ИСО 27001. Система менеджмента информационной безопасности

В мире информационных технологий приоритетным становится вопрос обеспечения целостности, надежности и конфиденциальности информации. Поэтому признание необходимости наличия в организации системы менеджмента информационной безопасности (СМИБ) является стратегическим решением.

Стандарт ИСО 27001 был разработан для создания, внедрения, поддержания функционирования и непрерывного улучшения СМИБ на предприятии.Также благодаря применению данного Стандарта внешним партнерам становится очевидной способность организации соответствовать собственным требованиям по информационной безопасности. В этой статье пойдет речь об основных требованиях Стандарта и обсуждение его структуры.

Ваш бизнес выйдет на новый уровень качества, если получить легитимный Сертификат ISO с помощью опытных специалистов.

Основные задачи Стандарта ISO 27001

Прежде, чем переходить к описанию структуры Стандарта, оговорим его основные задачи и рассмотрим историю появления Стандарта в России.

  • установление единых требований для всех организаций к созданию, внедрению и улучшения СМИБ;
  • обеспечение взаимодействия высшего руководства и сотрудников;
  • сохранение конфиденциальности, целостности и доступности информации.

При этом требования, установленные Стандартом, являются общими и предназначены для применения любыми организациями, независимо от их типа, размера или характера.

История Стандарта:

  • В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 — Part 1.
  • В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности.
  • В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была передана в Международную Организацию по Сертификации.
  • Этот документ был утвержден в 2000 г. в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
  • В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 «Спецификация системы управления информационной безопасностью». Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
  • В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-ой серии и получил новый номер — ISO/IEC 27002:2005.
  • 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования». В настоящее время сертификация организаций проводится по этой версии Стандарта.
Это интересно:  Учетная политика для целей бухгалтерского учета

Структура Стандарта

Одним из преимуществ данного Стандарта является схожесть его структуры с ИСО 9001, так каксодержит идентичные заголовки подразделов, идентичный текст, общие термины и основные определения. Это обстоятельство позволяет сэкономить время и деньги, так как часть документации уже была разработана при сертификации по ИСО 9001.

Если говорить о структуре Стандарта, то ИСО 27001 представляет собой перечень требований к СМИБ, обязательных для сертификации и состоит из следующих разделов:

Основные разделы Приложение А
0. Введение A.5 Политики информационной безопасности
1. Область применения A.6 Организация информационной безопасности
2. Нормативные ссылки A.7 Безопасность человеческих ресурсов (персонала)
3. Термины и определения A.8 Управление активами
4. Контекст организации A.9 Управление доступом
5. Лидерство A.10 Криптография
6. Планирование A.11 Физическая безопасность и защита от окружающей среды
7. Поддержка A.12 Безопасность операций
8. Операции (Эксплуатация) A.13 Безопасность коммуникаций
9. Оценка (Измерение) результативности A.14 Приобретение, разработка и обслуживание информационных систем
10. Совершенствование (Улучшение) A.15 Взаимоотношения с поставщиками
A.16 Менеджмент инцидентов
A.17 Обеспечение непрерывности бизнеса
A.18 Соответствие законодательству

Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить направления, которые невозможно применить на предприятии.

При внедрении Стандарта на предприятии для прохождения дальнейшей сертификации стоит помнить, что не допускается исключений требований, установленных в разделах 4 – 10. Об этих разделах и пойдет речь дальше.

Начнем с раздела 4 – Контекст организации

Контекст организации

В этом разделе Стандарт требует от организации определить внешние и внутренние проблемы, которые значимы с точки зрения ее целей, и которые влияют на способность ее СМИБ достигать ожидаемых результатов. При этом следует учитывать законодательные и нормативные требования и договорные обязательства в отношении информационной безопасности. Также организация должна определить и документально зафиксировать границы и применимость СМИБ, чтобы установить ее область действия.

Лидерство

Высшее руководство должно демонстрировать лидерство и обязательства в отношении системы менеджмента информационной безопасности посредством, например, гарантии того, что информационная политика безопасности и цели в сфере информационной безопасности установлены и согласуются со стратегией организации. Также высшее руководство должно гарантировать обеспечение всеми необходимыми ресурсами для СМИБ. Другими словами, для работников должно быть очевидным вовлеченность руководства в вопросы информационной безопасности.

Должна быть документально зафиксирована и доведена до сведения работников политика в области информационной безопасности. Этот документ напоминает политику в области качества ISO 9001. Он также должен соответствовать назначению организации и включать цели в области информационной безопасности. Хорошо, если это будут реальные цели, вроде сохранения конфиденциальности и целостности информации.

Также от руководства ожидается распределение функций и обязанностей, связанных с информационной безопасностью среди работников.

Планирование

В этом разделе мы подходим к первому этапу управленческого принципа PDCA (Plan – Do – Check – Act) — планируй, выполняй, проверяй, действуй.

Планируя систему менеджмента информационной безопасности, организация должнапринять во внимание проблемы, упомянутые в разделе 4, а также определить риски и потенциальные возможности, которые необходимо принять во внимание, чтобы гарантировать, что СМИБ может достигать ожидаемых результатов, предотвратить нежелательные эффекты и достигать непрерывного совершенствования.

При планировании, каким образом достигнуть своих целей в области информационной безопасности, организация должна определить:

  • что будет сделано;
  • какие ресурсы потребуются;
  • кто будет ответственным;
  • когда цели будут достигнуты;
  • как результаты будут оцениваться.

Кроме того, организация должна сохранять данные по целям в области информационной безопасности как документированную информацию.

Обеспечение

Организация должна определить и обеспечить ресурсы, необходимые для разработки, внедрения, поддержания функционирования и непрерывного улучшения СМИБ, это включает в себя как персонал, так и документацию. В отношении персонала от организации ожидается подбор квалифицированных и компетентных работников в области информационной безопасности. Квалификация работников должна подтверждаться удостоверениями, дипломами и т.п. Возможно привлечение по контракту сторонних специалистов, либо обучение своих работников. Что касается документации, она должна включать:

  • документированную информацию, требуемую Стандартом;
  • документированную информацию, признанную организацией необходимой для обеспечения результативности системы менеджмента информационной безопасности.

Документированной информацией, требуемой СМИБ и Стандартом, необходимо управлять, чтобы гарантировать, что она:

  • доступна и пригодна для применения там, где и когда она необходима, и
  • надлежащим образом защищена (например, от потери конфиденциальности,неправильного использования или потери целостности).

Функционирование

В данном разделе говорится о втором этапе управленческого принципа PDCA — необходимости организации управлять процессамидля обеспечения соответствия требованиям, и выполнять действия, определенные в разделе Планирование. Также говорится, что организация должна выполнять оценку рисков информационной безопасности через запланированные интервалы времени или когда предложены или произошли существенные изменения. Организация должна сохранять результаты оценки рисков информационной безопасности как документированную информацию.

Оценка результатов деятельности

Третий этап – проверка. Организация должна оценивать функционирование и результативность СМИБ. Например, в ней должен проводиться внутренний аудит, чтобы получать информацию о том,

  1. соответствует ли система менеджмента информационной безопасности
    • собственным требованиям организации к ее системе менеджмента информационной безопасности;
    • требованиям Стандарта;
  2. что система менеджмента информационной безопасности результативно внедрена и функционирует.

Разумеется, что объем и сроки проведения аудитов должны планироваться заранее. Все результаты необходимо документировать и сохранять.

Улучшение

Суть этого раздела в том, чтобы определить порядок действий при выявлении несоответствия. Организации необходимо исправлять несоответствие, последствия и провести анализ ситуации, чтобы в будущем подобное не происходило. Все несоответствия и корректирующие действия должны документироваться.

На этом заканчиваются основные разделы Стандарта. В Приложении А приводятся более конкретные требования, которым должна соответствовать организация. Например, в плане контроля доступа, пользования мобильных устройств и носителей информации.

Выгоды от внедрения и сертификации ISO 27001

  • повышение статуса организации и соответственно доверия партнеров;
  • повышение стабильности функционирования организации;
  • повышениеуровня защиты от угроз информационной безопасности;
  • обеспечениенеобходимого уровня конфиденциальности информации заинтересованных сторон;
  • расширение возможностей участия организации в крупных контрактах.

Экономическими преимуществами являются:

  • независимое подтверждение сертификационным органом наличия в организации высокого уровня информационной безопасности, контролируемого компетентным персоналом;
  • доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
  • демонстрация определенного высокого уровнясистем менеджмента для обеспечения должного уровня обслуживания клиентов и партнеров организации;
  • демонстрация проведения регулярных аудитов систем менеджмента, оценки результативности и постоянных улучшений.

Сертификация

Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех этапов:

  • 1-ый этап- изучение аудитором ключевых документов СМИБ на соответствие требованиям Стандарта- может выполняться как на территории организации, так и путем передачи этих документов внешнему аудитору;
  • 2-ой этап- детальный аудит, включая тестирование внедренных мер, и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
  • 3-ий этап — выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.

Как можно увидеть, применение данного стандарта на предприятии позволить качественно повысить уровень информационной безопасности, что в условиях современных реалий дорогого стоит. Требований Стандарт содержит немало, но самое главное требование – делать то, что написано! Без реального применения требований стандарта он превращается в пустой набор бумажек.

Новые перспективы развития Вашей компании уже на горизонте – Сертификат ISO всего за 6 часов от 5 т. руб. в любом регионе России.

Статья написана по материалам сайтов: studme.org, otherreferats.allbest.ru, xn--80ajpfhbgomfh1b.xn--p1ai.

»

Помогла статья? Оцените её
1 Star2 Stars3 Stars4 Stars5 Stars
Загрузка...
Добавить комментарий

Adblock
detector