BS ISO / IEC 27001: 2005-standarden beskriver en ISMS-modell (Information Security Management System) og tilbyr et sett med krav til organisering av informasjonssikkerhet i en bedrift uten referanse til implementeringsmetodene som velges av organisasjonens ledere.

Sjekk er fasen med å evaluere effektiviteten og ytelsen til ISMS. Vanligvis utført av interne revisorer.

Beslutningen om å etablere (og deretter sertifisere) et ISMS tas av toppledelsen i organisasjonen. Dette demonstrerer ledelsestøtte og bekreftelse av verdien av ISMS for virksomheten. Organisasjonens ledelse initierer opprettelsen av et ISMS planleggingsteam.

Gruppen som er ansvarlig for planleggingen av ISMS, bør omfatte:

· Representanter for toppledelsen i organisasjonen;

· Representanter for forretningsenheter dekket av ISMS;

· Spesialister på;

· Tredjepartskonsulenter (om nødvendig).

IS-komiteen støtter driften av ISMS og den kontinuerlige forbedringen.

Arbeidsgruppe bør styres av det regulatoriske og metodiske grunnlaget, både i forhold til opprettelsen av et ISMS, og relatert til organisasjonsaktivitetsområdet, og selvfølgelig av det generelle systemet med statlige lover.

Normativ base for å opprette et ISMS:

· ISO / IEC 27000: 2009 Ordforråd og definisjoner.

ISO / IEC 27001: 2005 Generelle Krav til ISMS.

ISO / IEC 27002: 2005 En praktisk guide om forvaltning av informasjonssikkerhet.

· ISO / IEC 27003: 2010 Praktisk veiledning for implementering av et ISMS.

· ISO / IEC 27004: 2009 Metrics (Measurements) av informasjonssikkerhet.

· ISO / IEC 27005: 2011 Veiledning om risikostyring for informasjonssikkerhet.

ISO / IEC Guide 73: 2002, Risikostyring - Ordforråd - Retningslinjer for bruk i standarder.

ISO / IEC 13335-1: 2004, Informasjonsteknologi - Sikkerhetsteknikker - Forvaltning av informasjon og - Del 1: Konsepter og modeller for sikkerhetsadministrasjon for informasjons- og kommunikasjonsteknologi.

ISO / IEC TR 18044 Informasjonsteknologi - Sikkerhetsteknikker - Håndtering av informasjonssikkerhetshendelser.

ISO / IEC 19011: 2002 Retningslinjer for kvalitets- og / eller miljøstyringssystemrevisjon.

· British Standards Institution ISMS Methodology Series (tidligere: PD 3000 Series Documents).

Prosessen med å lage et ISMS består av fire trinn:

1. stadie. Planlegger en ISMS.

Etablere politikk, mål, prosesser og prosedyrer knyttet til risikostyring og informasjonsbeskyttelse i samsvar med organisasjonens overordnede policy og mål.

a) Bestemning av omfanget og grensene til ISMS:

· Beskrivelse av organisasjonens type aktivitet og forretningsmål;

· En indikasjon på grensene til systemene dekket av ISMS;

· Beskrivelse av organisasjonens eiendeler (typer informasjonsressurser, programvare- og maskinvareverktøy, personell og organisasjonsstruktur);

· Beskrivelse av forretningsprosesser ved bruk av beskyttet informasjon.

En beskrivelse av systemgrensene inkluderer:

Beskrivelse av den eksisterende strukturen i organisasjonen (med mulige endringersom kan oppstå i forbindelse med utviklingen av et informasjonssystem).

Informasjonssystemressurser som skal beskyttes ( datateknikk, informasjon, system- og applikasjonsprogramvare). For å vurdere dem, bør det velges et system med kriterier og en metode for å skaffe estimater for disse kriteriene (kategorisering).

Informasjonsteknologi og oppgaver som skal løses. For at oppgavene skal løses, bør det bygges modeller for informasjonsbehandling når det gjelder ressurser.

Diagram over organisasjonens informasjonssystem og støtteinfrastruktur.

Som regel på dette stadiet utarbeides et dokument der grensene for informasjonssystemet er faste, informasjonsressursene til selskapet som skal beskyttes er oppført, et system med kriterier og metoder for å vurdere verdien av selskapets informasjonsmidler er gitt.

b) Definere organisasjonens ISMS-policy (utvidet versjon av ISS).

· Mål, retninger og prinsipper for aktivitet i forhold til informasjonsbeskyttelse;

· Beskrivelse av strategien (tilnærminger) for risikostyring i organisasjonen, strukturering av mottiltak for å beskytte informasjon etter type (juridisk, organisatorisk, maskinvare og programvare, teknisk og teknisk);

· Beskrivelse av kriteriene for risikoens betydning;

· Ledelsens stilling, fastsettelse av hyppigheten av møter om informasjonssikkerhet på ledelsesnivå, inkludert periodisk revisjon av bestemmelsene i, samt prosedyren for opplæring av alle kategorier brukere av informasjonssystemet om informasjonssikkerhet.

c) Bestemme tilnærmingen til risikovurdering i organisasjonen.

Metoden for risikovurdering velges avhengig av ISMS, etablerte sikkerhetskrav til forretningsinformasjon, juridiske og regulatoriske krav.

Valget av risikovurderingsmetode avhenger av nivået på organisasjonens krav til informasjonssikkerhetsregimet, arten av truslene som tas i betraktning (trusselspekteret) og effektiviteten av potensielle mottiltak for å beskytte informasjon. Spesielt skilles det mellom grunnleggende, samt økte eller komplette krav til IS-modus.

Det grunnleggende informasjonssikkerhetsnivået tilsvarer minimumskravene til IS-modus. Slike krav gjelder som regel typiske designløsninger. Det finnes en rekke standarder og spesifikasjoner som vurderer det minste (typiske) settet av de mest sannsynlige truslene, for eksempel: virus, utstyrssvikt, uautorisert tilgang osv. For å nøytralisere disse truslene, må mottiltak tas, uavhengig av sannsynlighet og sårbarhet ressurser. Dermed er det ikke nødvendig å vurdere egenskapene til trusler på et grunnleggende nivå. Utenlandske standarder i dette området ISO 27002, BSI, NIST, etc.

I tilfeller der brudd på IB-regimet fører til alvorlige konsekvenser, stilles det ytterligere krav.

For å formulere ytterligere økte krav, må du:

Bestem verdien av ressursene;

Legg til standardsettet en liste over trusler som er relevante for det studerte informasjonssystemet;

Vurdere sannsynligheten for trusler;

Bestem ressurssårbarheter;

Vurdere potensiell skade på grunn av inntrengere.

Det er nødvendig å finne en risikovurderingsmetodikk som kan brukes med minimale endringer fortløpende. Det er to måter: å bruke eksisterende metoder og verktøy for risikovurdering på markedet, eller å lage din egen metodikk, tilpasset selskapets spesifikasjoner og aktivitetsområdet som dekkes av ISMS.

Det sistnevnte alternativet er det mest foretrukne, siden hittil ikke de fleste produktene på markedet som implementerer en eller annen risikoanalysemetodikk, oppfyller kravene i standarden. Typiske ulemper ved slike teknikker er:

· Et standardsett med trusler og sårbarheter som ofte er umulige å endre;

Aksept av kun programvare, maskinvare og informasjonsressurser som eiendeler - uten hensyn menneskelige ressursertjenester og andre viktige ressurser;

· Metodens generelle kompleksitet når det gjelder bærekraftig og gjentatt bruk.

Kriterier for risikoaksept og akseptable nivåer risiko (bør være basert på oppnåelse av organisasjonens strategiske, organisatoriske og ledelsesmål).

d) Risikoidentifikasjon.

Identifikasjon av eiendeler og deres eiere

Informasjonsinnspill;

Informasjonsutgang;

Informasjon poster;

Ressurser: mennesker, infrastruktur, maskinvare, programvare, verktøy, tjenester.

· Identifisering av trusler (risikovurderingsstandarder antyder ofte klasser av trusler som kan suppleres og utvides).

· Identifisering av sårbarheter (det er også lister over de vanligste sårbarhetene du kan stole på når du analyserer organisasjonen din).

· Bestemmelse av aktivaverdi (mulige konsekvenser av tap av konfidensialitet, integritet og tilgjengelighet av eiendeler). Informasjon om verdien av en eiendel kan fås fra eieren eller fra en person som eieren har delegert all myndighet til denne eiendelen, inkludert å sikre dens sikkerhet.

e) Risikovurdering.

· Vurdering av skaden som kan være forårsaket av virksomheten fra tap av konfidensialitet, integritet og tilgjengelighet av eiendeler.

· Vurdering av sannsynligheten for implementering av trusler gjennom eksisterende sårbarheter, under hensyntagen til tilgjengelige IS-styringsverktøy og vurdering av mulig skade.

· Bestemmelse av risikonivå.

Anvendelse av risikoakseptkriterier (akseptabelt / krever behandling).

f) Risikobehandling (i samsvar med valgt risikostyringsstrategi).

Mulige handlinger:

Passive handlinger:

Risikoaksept (beslutning om akseptabilitet for det resulterende risikonivået);

Risiko unngåelse (en beslutning om å endre aktiviteten som forårsaker et gitt risikonivå - flytte webserveren utenfor det lokale nettverket);

Aktive handlinger:

Redusere risiko (ved å bruke organisatoriske og tekniske mottiltak);

Risikooverføring (forsikring (brann, tyveri, programvarefeil)).

Valget av mulige tiltak avhenger av de aksepterte risikokriteriene (et akseptabelt risikonivå er satt, risikonivåer som kan reduseres ved informasjonssikkerhetskontroll, risikonivå som det anbefales å forlate eller transformere typen aktivitet som forårsaker det, og risiko som det er ønskelig å overføre til andre parter) ...

g) Velge mål og kontroller for risikobehandling.

Mål og kontroller skal implementere risikostyringsstrategien, ta hensyn til kriteriene for å akseptere risiko og juridiske, regulatoriske og andre krav.

ISO 27001-2005 gir en liste over mål og kontroller som grunnlag for å bygge en risikobehandlingsplan (ISMS-krav).

Risikobehandlingsplanen inneholder en liste over prioriterte tiltak for å redusere risikonivået, som indikerer:

· Personer som er ansvarlige for gjennomføringen av disse tiltakene og midlene;

· Betingelser for gjennomføring av aktiviteter og prioriteringer for gjennomføringen av dem;

· Ressurser for gjennomføring av slike aktiviteter;

· Nivåer av gjenværende risiko etter gjennomføring av tiltak og kontroller.

Toppledelsen i organisasjonen er ansvarlig for adopsjon og tilsyn med risikobehandlingsplanen. Oppfyllelsen av planens nøkkelaktiviteter er et kriterium for å ta en beslutning om å sette ISMS i drift.

På dette stadiet lages begrunnelsen for valg av ulike mottiltak for IS, strukturert i henhold til regulerings-, organisasjons- og ledelsesnivå, teknologisk og maskinvare-programvarenivå for informasjonssikkerhet. (Videre implementeres et sett med mottiltak i samsvar med den valgtegien). Med den fulle versjonen av risikoanalysen blir effektiviteten av mottiltak i tillegg vurdert for hver risiko.

h) Ledelsens godkjenning av den foreslåtte restrisikoen.

i) Få godkjenning fra ledelsen for implementering og igangsetting av ISMS.

j) Erklæring om anvendelighet (i samsvar med ISO 27001-2005).

Datoen ISMS blir satt i drift er datoen for godkjenning av toppledelsen i selskapet for Statement of Applicability of Controls, som beskriver målene og virkemidlene organisasjonen velger for å håndtere risiko:

· Kontrollene og kontrollene valgt i risikobehandlingsfasen;

· Allerede eksisterende i organisasjonen ledelse og kontroll;

· Midler for å sikre overholdelse av juridiske krav og krav fra reguleringsorganisasjoner;

· Midler for å sikre oppfyllelse av kundens krav;

· Midler som sikrer oppfyllelse av generelle selskapskrav;

· Enhver annen passende måte å administrere og kontrollere.

Trinn 2. Implementering og drift av ISMS.

For å implementere og drive informasjonssikkerhetspolicy, kontroller, prosesser og prosedyrer innen informasjonssikkerhet utføres følgende handlinger:

a) Utvikling av en risikobehandlingsplan (beskrivelse av planlagte kontroller, ressurser (programvare, maskinvare, personell) som er nødvendige for implementering, støtte, kontroll og ledelsesansvar for inf(utvikling av dokumenter i planleggingsfasen, støtte for informasjonssikkerhetsmål, bestemmelse roller og ansvar, sikre nødvendige ressurser for ISMS-oppretting, revisjon og analyse).

b) Tildeling av finansiering, roller og ansvar for gjennomføringen av risikobehandlingsplanen.

c) Implementering av planlagte kontroller.

d) Etablering av ytelsesverdier (beregninger) for kontroller, metoder for måling av dem som vil gi sammenlignbare og reproduserbare resultater.

e) Forbedre kvalifikasjonene, bevisstheten til personell innen informasjonssikkerhet i samsvar med deres jobbansvar.

f) Styring av ISMS-drift, styring av ressurser for å vedlikeholde, overvåke og forbedre ISMS.

g) Implementering av prosedyrer og andre kontroller for rask oppdagelse og respons på hendelser med informasjonssikkerhet.

Trinn 3: Kontinuerlig overvåking og analyse av ISMS-funksjonen.

Dette trinnet innebærer å vurdere eller måle viktige ytelsesindikatorer for prosesser, analysere resultatene og sende rapporter til ledelsen for analyse og inkluderer:

a) Gjennomføring av kontinuerlig overvåking og analyse (lar deg raskt oppdage feil i ISMS-funksjonen, raskt identifisere og svare på sikkerhetshendelser, avgrense rollene til personell og automatiserte systemer i ISMS, forhindre sikkerhetshendelser ved å analysere uvanlig oppførsel, og bestemme effektiviteten av behandlingshendelser).

b) Gjennomføre en regelmessig gjennomgang av effektiviteten til ISMS (gjennomgå samsvar med ISMS-policyen og -målene, revisjoner, viktige resultatindikatorer, forslag og svar fra interessenter).

c) Måle effektiviteten av kontroller for å verifisere at sikkerhetskravene er oppfylt

d) Periodisk revurdering av risiko, analyse av gjenværende risiko og bestemmelse av akseptable risikonivåer i tilfelle endringer i organisasjonen (forretningsmål og prosesser, identifiserte trusler, nylig identifiserte sårbarheter osv.)

e) Periodisk beholdning interne ISMS-revisjoner.

ISMS-revisjon - sjekker samsvaret med de valgte mottiltakene med målene og målene for virksomheten som er angitt i organisasjonens IS, basert på resultatene, restrisiko blir vurdert og om nødvendig optimalisert.

f) Regelmessig gjennomgang av ISMS omfang og trend av ledelsen.

g) Oppdatering av risikostyringsplaner for å fange opp overvåkings- og gjennomgangsresultater.

h) Opprettholde en logg over hendelser som har en negativ innvirkning på effektiviteten eller kvaliteten på ISMS.

Trinn 4. Vedlikeholde og forbedre ISMS.

Basert på resultatene av en intern ISMS-revisjon og ledelsesanalyse, blir korrigerende og forebyggende tiltak utviklet og implementert for kontinuerlig å forbedre ISMS:

a) Forbedring av informasjonssikkerhetspolitikk, informasjonssikkerhetsmål, revisjon, analyse av observerte hendelser.

b) Utvikling og implementering av korrigerende og forebyggende tiltak for å eliminere manglende overholdelse av ISMS-kravene.

c) Overvåke forbedringer av ISMS.

Konklusjon

ISO 27001 beskriver en generell modell for implementering og drift av et ISMS og handlinger for å overvåke og forbedre et ISMS. ISO har til hensikt å harmonisere ulike styringssystemstandarder som ISO / IEC 9001: 2000, som omhandler kvalitetsstyring, og ISO / IEC 14001: 2004, som omhandler miljøledelsessystemer. Målet med ISO er å sikre konsistens og integrering av ISMS med andre styringssystemer i selskapet. Likheten med standarder tillater bruk av lignende verktøy og funksjonalitet for implementering, styring, revisjon, verifisering og sertifisering. Implikasjonen er at hvis et selskap har implementert andre ledelsesstandarder, kan det bruke et enhetlig revisjons- og styringssystem som gjelder kvalitetsstyring, miljøledelse, sikkerhetsstyring osv. Ved å implementere et ISMS får toppledelsen midler til å overvåke og håndtere sikkerhet, noe som reduserer gjenværende forretningsrisiko. Etter å ha implementert et ISMS kan selskapet formelt sikre informasjonssikkerheten og fortsette å overholde kravene til kunder, lovgivning, regulatorer og aksjonærer.

Det bør bemerkes at det i lovgivningen i Russland er et dokument GOST R ISO / IEC 27001-2006, som er en oversatt versjon av den internasjonale standarden ISO27001.

Liste over referanser

1.Korneev I.R., Belyaev A.V. Informasjonssikkerhet til bedriften. - SPb.: BHV-Petersburg, 2003. - 752 s.

2. Internasjonal standard ISO 27001

(http://www.specon.ru/files/ISO27001.pdf) (dato for tilgang: 23.05.12).

3. Den nasjonale standarden for den russiske føderasjonen GOST R ISO / IEC 27003 - " Informasjonsteknologi... Sikkerhetsmetoder. Informasjonssikkerhet Management System Implementation Guide

(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (dato: 23.05.12).

4. Skiba V.Yu., Kurbatov V.A. Retningslinjer for beskyttelse mot interne trusler mot informasjonssikkerhet. SPb.: Peter, 2008. - 320 s.

Administrasjonssystem for informasjonssikkerhet - del felles system styring, basert på bruk av fofor utvikling, implementering, drift, overvåking, analyse, støtte og forbedring av informasjonssikkerhet.

Ledelsessystemet inkluderer organisasjonsstruktur, policyer, planleggingsaktiviteter, ansvar, praksis, prosedyrer, prosesser og ressurser. [GOST R ISO / IEC 27001-2006]

ISO 27001-standarden definerer kravene til et info(ISMS). Kravene til standarden er til en viss grad abstrakte og er ikke knyttet til detaljene i noe område av selskapets aktivitet.

Utvikling informasjonssystemer tidlig på 90-tallet førte til behovet for en sikkerhetsstyringsstandard. På forespørsel fra Storbritannias regjering og industri har UK Department of Trade and Industry utviklet ISMS Practices.

Den første BS 7799-standarden har kommet langt, med en rekke tester og justeringer. Den viktigste fasen i hans "karriere" var i 2005, da standarden for vurdering av ISMS ble anerkjent som internasjonal (det vil si at konsistensen av kravene til en moderne ISMS ble bekreftet). Fra det øyeblikket begynte ledende bedrifter over hele verden å implementere ISO 27001-standarden aktivt og forberede seg på sertifisering.

ISMS-struktur

Det moderne ISMS er et prosessorientert styringssystem som inkluderer organisasjons-, dokumentar- og programvare- og maskinvarekomponenter. Følgende "synspunkter" på ISMS kan skilles ut: prosess, dokumentar og modenhet.

ISMS-prosesser er opprettet i samsvar med kravene i ISO / IEC 27001: 2005, som er basert på styringssyklusen Plan-Do-Check-Act. I følge han, livssyklus ISMS består av fire typer aktiviteter: Etablering - Implementering og drift - Overvåking og analyse - Vedlikehold og forbedring. De dokumenterte ISMS-prosessene sørger for at alle kravene i standard 27001 blir oppfylt.

ISMS-dokumentasjonen består av retningslinjer, dokumenterte prosedyrer, standarder og poster og er delt inn i to deler: ISMS-styringsdokumentasjonen og operativ dokumentasjon ISMS.

ISMS modenhetsmodell bestemmer detaljene i den utviklede dokumentasjonen og graden av automatisering av ISMS-styrings- og driftsprosessene. CobiT modenhetsmodell brukes i vurdering og planlegging. ISMS Maturity Improvement Program gir sammensetning og tidspunkt for tiltak for å forbedre IS-styringsprosesser og styring av driften av IS-anlegg.

Standarden foreslår anvendelse av PDCA (Plan-Do-Check-Act) -modellen i ISMS-livssyklusen, som inkluderer utvikling, implementering, drift, kontroll, analyse, støtte og forbedring (figur 1).

Plan - fasen med å opprette et ISMS, lage en liste over eiendeler, risikovurdering og valg av tiltak;

Gjør (handling) - scenen for implementering og implementering av relevante tiltak;

Kontroll - Fasen med å evaluere effektiviteten og effektiviteten til ISMS. Vanligvis utført av interne revisorer.

Handling (forbedringer) - Ta forebyggende og korrigerende tiltak.

Prosessen med å lage et ISMS består av fire trinn:

En planleggingsprosess som tar sikte på å identifisere, analysere og designe måter å håndtere informasjonssikkerhetsrisiko på. Når du oppretter denne prosessen, bør det utvikles en metodikk for å kategorisere informasjonsmidler og en formell risikovurdering basert på data om trusler og sårbarheter som er relevante for den aktuelle informasjonsinfrastrukturen. Når det gjelder PCI DSS-revisjonsområdet, kan det skilles mellom to typer verdifull informasjon med forskjellige kritiske nivåer - kortholderdata og kritiske autentiseringsdata.

Prosessen med å implementere planlagte metoder for risikobehandling, som beskriver prosedyren for å starte en ny informasjonssikkerhetsprosess, eller modernisere en eksisterende. Spesiell oppmerksomhet bør rettes mot beskrivelse av roller og ansvar og planlegging for gjennomføring.

Prosessen med å overvåke de fungerende ISMS-prosessene (det er verdt å merke seg at både ISMS-prosesser og ISMS selv er underlagt ytelsesovervåking - tross alt er fire styringsprosesser ikke granittskulpturer, og selvrealisering gjelder for dem).

Prosessen med å forbedre ISMS-prosessene i samsvar med overvåkingsresultatene, som gjør det mulig å implementere korrigerende og forebyggende tiltak.

Introduksjon

Raskt voksende virksomhet, samt giganten i sitt segment, er interessert i å tjene penger og beskytte seg mot inntrengere. Hvis tyveri av materielle verdier tidligere var den største faren, så skjer i dag tyveriets hovedrolle i forhold til verdifull informasjon. Oversettelsen av en betydelig del av informasjonen til elektronisk form, bruk av lokale og globale nettverk skaper kvalitativt nye trusler mot konfidensiell informasjon.

Banker, forvaltningsorganisasjoner og forsikringsselskaper er spesielt følsomme for informasjonslekkasje. Informasjonsbeskyttelse i en bedrift er et sett med tiltak som sikrer sikkerheten til kunde- og ansattedata, viktige elektroniske dokumenter og all slags informasjon, hemmeligheter. Hver bedrift er utstyrt med datautstyr og tilgang til internett. Angripere kobler dyktig til nesten alle komponenter i dette systemet og stjeler verdifull informasjon ved hjelp av et stort arsenal (virus, malware, gjetning av passord osv.). Et informasjonssikkerhetssystem må implementeres i alle organisasjoner. Ledere må samle inn, analysere og kategorisere alle typer informasjon som må beskyttes, og bruke et passende sikkerhetssystem. Men dette vil ikke være nok, for i tillegg til teknologi er det en menneskelig faktor som også kan lykkes med å lekke informasjon til konkurrenter. Det er viktig å organisere beskyttelsen av bedriften din på alle nivåer. For disse formål brukes et styringssystem for informasjonssikkerhet, ved hjelp av hvilket lederen vil etablere en kontinuerlig prosess for å overvåke virksomheten og sikre et høyt sikkerhetsnivå for dataene sine.

1. Relevans av temaet

For hver moderne bedrift, selskap eller organisasjon, er en av de viktigste oppgavene nettopp å sikre informasjonssikkerhet. Når en bedrift jevnlig beskytter informasjonssystemet sitt, skaper det et pålitelig og sikkert miljø for sin virksomhet. Skader, lekkasje, mangel og tyveri av informasjon er alltid tap for hvert selskap. Derfor er etableringen av et infoi bedrifter et presserende spørsmål i vår tid.

2. Mål og mål for studien

Analyser måtene å lage et infopå bedriften, med tanke på særegenheter i Donetsk-regionen.

• analysere nåværende situasjon informi bedrifter;
• identifisere årsakene til opprettelse og implementering av et infohos bedrifter;
• å utvikle og implementere et infoetter eksemplet med bedriften PJSC Donetsk Mine Rescue Equipment Plant;
• evaluere effektivitet, effektivitet og økonomisk gjennomførbarhet ved å innføre et styringssystem for informasjonssikkerhet i virksomheten.

3. Informasjonssikkerhetsstyringssystem

Informasjonssikkerhet forstås som tilstanden til beskyttelse av informasjon og støtteinfrastruktur mot utilsiktet eller forsettlig påvirkning av naturlig eller kunstig natur (informasjonstrusler, trusler mot informasjonssikkerhet), som kan forårsake uakseptabel skade på emnene i informasjonsforholdet.

Tilgjengelighet av informasjon - egenskapen til systemet for å gi rettidig uhindret tilgang av autoriserte (autoriserte) personer til informasjon av interesse for dem eller for å utføre informasjonsutveksling i rett tid mellom dem.

Integritet av informasjon er en egenskap av informasjon som karakteriserer dens motstand mot utilsiktet eller bevisst ødeleggelse eller uautorisert endring. Integritet kan deles inn i statisk (forstått som uforanderligheten til informasjonsobjekter) og dynamisk (relatert til riktig utførelse av komplekse handlinger (transaksjoner)).

Konfidensialitet av informasjon er egenskapen til informasjon som skal være kjent og kun tilgjengelig for autoriserte fagpersoner i systemet (brukere, programmer, prosesser). Konfidensialitet er det mest utviklede aspektet av informasjonssikkerhet i vårt land.

Info(heretter ISMS) er en del av det generelle styringssystemet basert på tilnærminger til forretningsrisiko, ment for etablering, implementering, styring, overvåking, vedlikehold og forbedring av informasjonssikkerhet.

De viktigste faktorene som påvirker beskyttelsen av informasjon og data i bedriften er:

• Forbedring av selskapets samarbeid med partnere;
• Automatisering av forretningsprosesser;
• Tendensen til en økning i informasjonsvolumet til bedriften, som overføres gjennom tilgjengelige kommunikasjonskanaler;
• Den oppadgående trenden innen datakriminalitet.

Oppgavene til selskapets informasjonssikkerhetssystemer er mangesidige. For eksempel er dette levering av pålitelig datalagring på forskjellige medier; beskyttelse av informasjon overført gjennom kommunikasjonskanaler; begrense tilgangen til noen data; oppretting av sikkerhetskopier og mer.

En fullverdig informasjonssikkerhet til et selskap er virkelig bare med riktig tilnærming til databeskyttelse. I informasjonssikkerhetssystemet er det nødvendig å ta hensyn til alle aktuelle trusler og sårbarheter.

Et av de mest effektive verktøyene for å håndtere og beskytte informasjon er styringssystemet for informasjonssikkerhet basert på MS ISO / IEC 27001: 2005-modellen. Standarden er basert på en prosesstilnærming til utvikling, implementering, drift, overvåking, analyse, vedlikehold og forbedring av selskapets ISMS. Den består i opprettelse og anvendelse av et system med styringsprosesser, som er sammenkoblet i en kontinuerlig syklus med planlegging, implementering, verifisering og forbedring av ISMS.

Denne internasjonale standarden er utarbeidet med sikte på å lage en modell for implementering, implementering, drift, overvåking, analyse, vedlikehold og forbedring av et ISMS.

Hovedfaktorene for implementering av et ISMS:

• lovgivende - kravene i gjeldende nasjonal lovgivning når det gjelder IS, internasjonale krav;
• konkurransedyktig - overholdelse av nivå, elitisme, beskyttelse av deres immaterielle eiendeler, overlegenhet;
• antikriminalitet - beskyttelse mot raiders (hvite krager), forebygging av misbruk og hemmelig overvåking, innsamling av bevis for prosesser.

Strukturen til dokumentasjon for informasjonssikkerhet er vist i figur 1.

Figur 1 - Dokumentasjonsstrukturen innen informasjonssikkerhet

4. Å bygge et ISMS

ISO-talsmenn bruker PDCA-modellen til å lage et ISMS. ISO bruker denne modellen på mange av sine ledelsesstandarder, og ISO 27001 er ikke noe unntak. I tillegg kan du følge PDCA-modellen i organisering av ledelsesprosessen at du kan bruke de samme teknikkene i fremtiden - for kvalitetsstyring, miljøledelse, sikkerhetsstyring, samt i andre ledelsesområder, noe som reduserer kostnadene. Derfor er PDCA et utmerket valg som fullt ut møter oppgavene for å lage og vedlikeholde et ISMS. Med andre ord definerer PDCA-trinnene hvordan man kan etablere politikk, mål, prosesser og prosedyrer som er passende for risikoen som håndteres (Planstadium), implementere og bruke (Gjør scenen), evaluere og, når det er mulig, måle resultatene av prosessen fra punktet politisk perspektiv (sjekkfase), ta korrigerende og forebyggende tiltak (forbedringsfase - lov). Ytterligere konsepter som ikke er en del av ISO-standardene som kan være nyttige for å lage et ISMS er: state as it should be (to-be); tilstand som den er (som den er); overgangsplan.

Grunnlaget for ISO 27001 er et.

Stadier for å lage et ISMS

Som en del av arbeidet med å lage et ISMS, kan følgende hovedfaser skilles ut:

Figur 2 - PDCA-modell for info(animasjon: 6 bilder, 6 repetisjoner, 246 kilobyte)

5. Informasjonsrisikostyring

Risikostyring vurderes på administrativt nivå av informasjonssikkerhet, siden bare ledelsen i organisasjonen er i stand til å tildele de nødvendige ressursene, sette i gang og kontrollere gjennomføringen av de aktuelle programmene.

Bruk av informasjonssystemer er forbundet med et visst sett med risiko. Når den potensielle skaden er uakseptabel, er det nødvendig å ta økonomisk forsvarlige beskyttelsestiltak. Periodisk (om) risikovurdering er nødvendig for å overvåke effektiviteten av sikkerhetsaktiviteter og for å ta hensyn til endringer i miljøet.

Essensen av risikostyringsaktiviteter er å vurdere størrelsen, utvikle effektive og kostnadseffektive tiltak for å redusere risikoen, og deretter sikre at risikoen holdes innenfor akseptable rammer (og forbli det).

Risikostyringsprosessen kan deles inn i følgende trinn:

1. Valget av de analyserte objektene og detaljnivået for vurderingen.
2. Valg av risikovurderingsmetode.
3. Identifikasjon av eiendeler.
4. Analyse av trusler og deres konsekvenser, identifisering av sårbarheter i beskyttelse.
5. Risikovurdering.
6. Valg av beskyttelsestiltak.
7. Implementering og verifisering av de valgte tiltakene.
8. Restrisikovurdering.

Risikostyring, som enhver annen aktivitet innen informasjonssikkerhet, må integreres i IS-livssyklusen. Da er effekten størst, og kostnadene er minimale.

Det er veldig viktig å velge en forsvarlig risikovurderingsmetode. Hensikten med vurderingen er å svare på to spørsmål: er de eksisterende risikoene akseptable, og hvis ikke, hvilket verneutstyr som skal brukes. Dette betyr at vurderingen skal være kvantitativ, slik at det kan sammenlignes med forhåndsvalgte tillatelsesgrenser og kostnadene ved å implementere nye sikkerhetsregulatorer. Risikostyring er et typisk optimaliseringsproblem, og det er ganske mange programvareprodukter som kan hjelpe deg med å løse det (noen ganger er slike produkter ganske enkelt inkludert i bøker om informasjonssikkerhet). Den grunnleggende vanskeligheten er imidlertid unøyaktigheten til de opprinnelige dataene. Du kan selvfølgelig prøve å få et monetært uttrykk for alle analyserte verdier, beregne alt til nærmeste krone, men det er ikke mye fornuft i dette. Det er mer praktisk å bruke konvensjonelle enheter. I det enkleste og helt akseptable tilfellet kan du bruke en trepunkts skala.

De viktigste stadiene av risikostyring.

Det første trinnet i å analysere trusler er å identifisere dem. Hvilke trusler som vurderes, bør velges ut fra hensyn til sunn fornuft (unntatt for eksempel jordskjelv, men ikke å glemme muligheten for terroristers beslagleggelse av organisasjonen), men utfør de mest detaljerte analysene innenfor de valgte typene.

Det er tilrådelig å identifisere ikke bare truslene i seg selv, men også kildene til deres forekomst - dette vil bidra til å velge ytterligere beskyttelsesmidler.

Etter å ha identifisert trusselen, er det nødvendig å vurdere sannsynligheten for at den blir implementert. Det er tillatt å bruke en trepunkts skala (lav (1), middels (2) og høy (3) sannsynlighet).

Hvis noen risikoer viste seg å være uakseptabelt høye, er det nødvendig å nøytralisere dem ved å iverksette ytterligere beskyttelsestiltak. Vanligvis, for å eliminere eller nøytralisere sårbarheten som gjorde trusselen ekte, er det flere sikkerhetsmekanismer som varierer i effektivitet og pris.

Som med enhver aktivitet, bør implementering og testing av nye sikkerhetsregulatorer planlegges på forhånd. Planen bør ta hensyn til tilgjengeligheten av midler og tidspunktet for opplæring av personalet. Hvis vi snakker om en programvare- og maskinvarebeskyttelsesmekanisme, må du lage en testplan (autonom og kompleks).

Når de tiltak som er tiltenkt blir tatt, er det nødvendig å kontrollere effektiviteten, det vil si for å sikre at restrisikoen er blitt akseptabel. Hvis dette faktisk er tilfelle, kan du trygt planlegge datoen for neste revaluering. Ellers må du analysere feilene og kjøre risikostyringsøkten på nytt umiddelbart.

konklusjoner

Hvert leder av foretaket bryr seg om sin virksomhet og må derfor forstå at beslutningen om å implementere et info(ISMS) er et viktig skritt som vil minimere risikoen for tap av eiendeler i foretaket / organisasjonen og redusere økonomiske tap, og i noen tilfeller unngå konkurs.

Informasjonssikkerhet er viktig for bedrifter, både privat og offentlig sektor. Det skal sees på som et verktøy for å vurdere, analysere og minimere tilhørende risiko.

Sikkerhet som kan oppnås tekniske midler, har sine begrensninger og bør støttes av passende ledelsespraksis og prosedyrer.

Å definere kontroller krever nøye planlegging og oppmerksomhet.

For å effektivt beskytte informasjon, bør de mest hensiktsmessige sikkerhetstiltakene utvikles, som kan oppnås ved å identifisere de viktigste risikoene med informasjon i systemet og iverksette passende tiltak.

Biyachuev T.A. Sikkerhet for bedriftsnettverk / red. L.G. Osovetsky. - SPb .: Forlag til SPb GU ITMO, 2006. - 161 s.

Gladkikh A.A., Dementyev V.E. / Grunnleggende prinsipper for informasjonssikkerhet i datanettverk: opplæringen for studenter; - Ulyanovsk: UlSTU forlag, 2009. - 168 s.

(ISMS) - den delen av det samlede styringssystemet som er basert på en forretningsrisikotilnærming ved opprettelse, implementering, drift, overvåking, analyse, støtte og forbedring av informasjonssikkerhet.

Hvis bygget i samsvar med ISO / IEC_27001-kravene, er det basert på PDCA-modell:

Plan (Planlegging) - fasen med å opprette et ISMS, lage en liste over eiendeler, risikovurdering og valg av tiltak;

Gjøre (Handling) - scenen for gjennomføring og gjennomføring av passende tiltak;

Kryss av (Verifisering) - Fasen med å evaluere effektiviteten og ytelsen til ISMS. Vanligvis utført av interne revisorer.

Handling (Forbedringer) - tar forebyggende og korrigerende tiltak;

Informasjonssikkerhetskonsept

ISO 27001-standarden definerer informasjonssikkerhet som: “opprettholde konfidensialitet, integritet og tilgjengelighet av informasjon; i tillegg kan andre egenskaper inkluderes, for eksempel ekthet, ikke-avvisning, pålitelighet. "

konfidensialitet - Sikre tilgjengeligheten av informasjon bare for de som har riktig autoritet (autoriserte brukere).

Integritet - å sikre nøyaktigheten og fullstendigheten av informasjonen, samt metoder for behandling av den.

Tilgjengelighet - gi tilgang til informasjon til autoriserte brukere, når det er nødvendig (på forespørsel).

4 Informasjonssikkerhetsstyringssystem

4.1 Generelle krav

Organisasjonen skal etablere, implementere, bruke, kontrollere, revidere, vedlikeholde og forbedre de dokumenterte ISMS-bestemmelsene gjennom organisasjonens forretningsaktiviteter og risikoen den står overfor. For den praktiske fordelen med denne internasjonale standarden, er prosessen som brukes basert på PDCA-modellen vist i fig. 1.

4.2 Etablere og administrere et ISMS

4.2.1 Opprette et ISMS

Organisasjonen bør gjøre følgende.

a) Med tanke på spesifikasjonene til organisasjonens aktiviteter, bestemmer organisasjonen, dens beliggenhet, eiendeler og teknologi, omfanget og grensene til ISMS, inkludert detaljer og begrunnelser for å ekskludere eventuelle bestemmelser i dokumentet fra utkastet til ISMS (se 1.2).

b) Gitt spesifikasjonene til organisasjonens aktiviteter, utvikler organisasjonen selv, dens beliggenhet, eiendeler og teknologi en ISMS-policy som:

1) inkluderer et system for å sette mål (mål) og etablerer den generelle retningen for styring og handlingsprinsipper angående informasjonssikkerhet;

2) tar hensyn til forretningsmessige og juridiske eller regulatoriske krav, kontraktsmessige sikkerhetsforpliktelser;

3) er koblet til det strategiske risikostyringsmiljøet der ISMS opprettes og vedlikeholdes;

4) etablerer kriteriene som risikoen vil bli vurdert mot (se 4.2.1 c)); og

5) godkjent av ledelsen.

MERKNAD: I forbindelse med denne internasjonale standarden er en ISMS-policy et utvidet sett med informasjonssikkerhetspolicyer. Disse retningslinjene kan beskrives i ett dokument.

c) Utvikle et rammeverk for risikovurdering i organisasjonen.

1) Bestem en risikovurderingsmetode som er passende for ISMS og etablertes-, juridiske og regulatoriske krav.

2) Utvikle kriterier for risikoaksept og bestemme akseptable risikonivåer (se 5.1f).

Den valgte risikovurderingsmetoden skal sikre at risikovurderingen gir sammenlignbare og reproduserbare resultater.

MERK: Det er forskjellige risikovurderingsmetoder. Eksempler på risikovurderingsmetoder vurderes i ISO / IEC TU 13335-3, Informasjonsteknologi - LedelsesanbefalingerDEN Sikkerhet - LedelsesteknikkerDEN Sikkerhet.

d) Identifiser risikoer.

1) Definer eiendeler innenfor ISMS, og eiere2 (2 Begrepet "eier" er identifisert med en person eller enhet som er godkjent for å være ansvarlig for å kontrollere produksjon, utvikling, vedlikehold, applikasjon og aktivasikkerhet. Uttrykket "eier" betyr ikke at personen faktisk har noen eierrettigheter til eiendelen) av disse eiendelene.

2) Identifiser farene for disse eiendelene.

3) Identifiser sårbarheter i beskyttelsessystemet.

4) Identifiser virkninger som ødelegger eiendelens konfidensialitet, integritet og tilgjengelighet.

e) Analyser og vurder risiko.

1) Vurder skaden på organisasjonens virksomhet som kan være forårsaket av svikt i beskyttelsessystemet, samt en konsekvens av brudd på konfidensialitet, integritet eller tilgjengelighet av eiendeler.

2) Bestem sannsynligheten for sikkerhetssvikt i lys av de rådende farene og sårbarhetene, aktiva-relaterte påvirkninger og kontroller som er på plass.

3) Vurder risikonivåene.

4) Bestem akseptansen av risikoen, eller krev den redusert, ved hjelp av kriteriene for risikotilgjengelighet som er beskrevet i 4.2.1c) 2).

f) Identifisere og evaluere instrumenter for risikoreduksjon.

Mulige handlinger inkluderer:

1) Anvendelse av egnede kontroller;

2) Bevisst og objektiv aksept av risiko, og sikrer at de ubetinget overholder kravene i organisasjonens policy og kriteriene for risikotoleranse (se 4.2.1c) 2));

3) unngå risiko; og

4) Overføring av relevante forretningsrisikoer til en annen part, for eksempel forsikringsselskaper, leverandører.

g) Velg oppgaver og kontroller for å redusere risikoen.

Oppgaver og kontroller bør velges og implementeres i samsvar med kravene fastsatt i risikovurderings- og risikoreduksjonsprosessen. Dette valget bør ta hensyn til både kriteriene for aksept av risiko (se 4.2.1c) 2)) og juridiske, regulatoriske og kontraktsmessige krav.

Oppgavene og kontrollene fra vedlegg A bør velges som en del av denne prosessen for å oppfylle spesifiserte krav.

Siden ikke alle oppgaver og kontroller er oppført i vedlegg A, kan det velges flere oppgaver.

MERKNAD: Vedlegg A inneholder en omfattende liste over ledelsesmål som er identifisert som mest relevante for organisasjoner. For ikke å gå glipp av et eneste viktig punkt fra kontrollalternativene, bør bruk av denne internasjonale standarden styres av vedlegg A som utgangspunkt for prøvetakingskontroll.

h) Oppnå godkjenning av styringen av forventede gjenværende risikoer.

4) lette oppdagelsen av sikkerhetshendelser og dermed forhindre sikkerhetshendelser ved å bruke visse indikatorer, og

5) fastslå effektiviteten av tiltak som er tatt for å forhindre sikkerhetsbrudd.

b) Gjennomføre regelmessige gjennomganger av effektiviteten til ISMS (inkludert diskusjon av ISMS-politikken og dens mål, gjennomgang av sikkerhetskontroller), med tanke på resultatene av revisjoner, hendelser, resultater av målinger av ytelse, forslag og anbefalinger fra alle interesserte parter.

c) Evaluer effektiviteten av kontroller for å avgjøre om sikkerhetskravene blir oppfylt.

d) Kontroller risikovurderingen for planlagte perioder og sjekk restrisiko og risikotoleranse, med tanke på endringer i:

1) organisasjoner;

2) teknologi;

3) forretningsmål og prosesser;

4) identifiserte trusler;

5) effektiviteten av de implementerte styringsverktøyene; og

6) eksterne hendelser, som endringer i det juridiske miljøet og ledelsesmiljøet, endrede kontraktsforpliktelser, endringer i det sosiale klimaet.

e) Oppførsel interne revisjoner ISMS i planlagte perioder (se 6)

MERKNAD: Interne revisjoner, noen ganger kalt primære revisjoner, gjennomføres på vegne av organisasjonen selv for egne formål.

f) Gjennomgå ledelsen av ISMS med jevne mellomrom for å sikre at situasjonen forblir gyldig og ISMS forbedres.

g) Oppdater sikkerhetsplaner basert på overvåkings- og revisjonsfunn.

h) Registrer handlinger og hendelser som kan påvirke effektiviteten eller ytelsen til ISMS (se 4.3.3).

4.2.4 Vedlikeholde og forbedre ISMS

Organisasjonen må kontinuerlig gjøre følgende.

a) Implementere spesifikke rettelser i ISMS.

b) Ta passende korrigerende og forebyggende tiltak i samsvar med 8.2 og 8.3. Bruk kunnskapen som er oppnådd av organisasjonen selv og fra erfaringer fra andre organisasjoner.

c) Kommunisere sine handlinger og forbedringer til alle interessenter i et detaljnivå som er passende for situasjonen; og følgelig koordinere sine handlinger.

d) Bekreft at forbedringene har nådd sitt tiltenkte formål.

4.3 Krav til dokumentasjon

4.3.1 Generelt

Dokumentasjonen bør inneholde protokoller (registre) over ledelsesbeslutninger, for å overbevise om at behovet for handling skyldes beslutninger og ledelsespolitikk; og for å sikre reproduserbarheten av de registrerte resultatene.

Det er viktig å kunne demonstrere tilbakemelding de valgte kontrollene med resultatene av risikovurderings- og risikoreduksjonsprosessene, og videre med ISMS-policyen og dens mål.

ISMS-dokumentasjonen skal inneholde:

a) en dokumentert uttalelse av ISMS-policyen og målene (se 4.2.1b)),

b) posisjonen til ISMS (se 4.2.1a));

c) konseptet og kontrollene til støtte for ISMS;

d) en beskrivelse av risikovurderingsmetoden (se 4.2.1c)),

e) risikovurderingsrapport (se 4.2.1c) - 4.2.1g));

f) risikoreduksjonsplan (se 4.2.2b));

g) et dokumentert konsept som er nødvendig for at organisasjonen effektivt skal planlegge, drive og administrere sine informasjonssikkerhetsprosesser og beskrive hvordan effektiviteten av kontroller måles (se 4.2.3c));

h) dokumenter som kreves av denne internasjonale standarden (se 4.3.3); og

i) Erklæring om anvendelighet.

MERKNAD 1: I denne internasjonale standarden betyr begrepet “dokumentert konsept” at konseptet er implementert, dokumentert, implementert og fulgt.

MERKNAD 2: Størrelsen på ISMS-dokumentasjonen i forskjellige organisasjoner kan variere avhengig av:

Organisasjonens størrelse og typen eiendeler; og

Omfanget og kompleksiteten til sikkerhetskravene og det administrerte systemet.

MERKNAD 3: Dokumenter og rapporter kan sendes inn i hvilken som helst form.

4.3.2 Dokumentkontroll

Dokumentene som kreves av ISMS, må beskyttes og reguleres. Det er nødvendig å godkjenne dokumentasjonsprosedyren som er nødvendig for å beskrive ledelseshandlinger for:

a) å etablere samsvar med dokumenter med visse standarder før de publiseres,

b) sjekke og oppdatere dokumenter etter behov, godkjenne dokumenter på nytt;

c) å sikre at endringene er i samsvar med gjeldende tilstand for reviderte dokumenter;

d) sikre tilgjengeligheten av viktige versjoner av gyldige dokumenter;

e) sørge for at dokumentene er forståelige og leselige;

f) gjøre dokumenter tilgjengelig for de som trenger dem; så vel som overføring, lagring og til slutt ødeleggelse i samsvar med gjeldende prosedyrer avhengig av klassifisering;

g) autentisering av dokumenter fra eksterne kilder;

h) kontrollere distribusjonen av dokumenter;

i) å forhindre utilsiktet bruk av foreldede dokumenter; og

j) bruke en passende identifikasjonsmetode til dem hvis de lagres i tilfelle det er tilfelle.

4.3.3 Kontroll av poster

Registreringer bør opprettes og vedlikeholdes for å støtte bevis for samsvar og effektiv drift av ISMS. Postene må beskyttes og verifiseres. ISMS bør ta hensyn til juridiske og regulatoriske krav og kontraktsforpliktelser. Postene må være forståelige, lett identifiserbare og gjenvinnbare. Kontrollene som er nødvendige for identifisering, lagring, beskyttelse, gjenoppretting, oppbevaring og ødeleggelse av poster, må dokumenteres og implementeres.

Postene skal inneholde informasjon om gjennomføringen av aktivitetene beskrevet i 4.2, og om alle hendelser og sikkerhetsrelevante hendelser knyttet til ISMS.

Eksempler på oppføringer er gjestebok, revisjonslogger og fullførte skjemaer for autorisasjon av tilgang.

I en verden av informasjonsteknologi blir spørsmålet om å sikre integritet, pålitelighet og konfidensialitet av informasjon en prioritering. Derfor er det en strategisk beslutning å anerkjenne behovet for organisasjonens styringssystem for informasjonssikkerhet (ISMS).

Ble designet for å lage, implementere, vedlikeholde og kontinuerlig forbedring ISMS i bedriften: Ved å bruke denne standarden på eksterne partnere blir det også klart at organisasjonen kan oppfylle sine egne informasjonssikkerhetskrav. Denne artikkelen vil diskutere de grunnleggende kravene i standarden og diskutere dens struktur.

(ADV31)

Hovedmålene til ISO 27001-standarden

Før vi går videre til beskrivelsen av strukturen til standarden, la oss fastsette hovedoppgavene og vurdere historien om utseendet til standarden i Russland.

Mål for standarden:

• etablering av ensartede krav til alle organisasjoner for opprettelse, implementering og forbedring av ISMS;
• sikre samhandling mellom toppledelse og ansatte;
• opprettholde konfidensialitet, integritet og tilgjengelighet av informasjon.

Samtidig er kravene fastsatt i standarden generelle og er ment å bli brukt av enhver organisasjon, uavhengig av type, størrelse eller art.

Standardens historie:

• I 1995 vedtok British Standards Institute (BSI) Information Security Management Code som en nasjonal britisk standard og registrerte den under BS 7799 - del 1.
• I 1998 publiserer BSI BS7799-2 i to deler, den ene inneholder retningslinjer og den andre kravene til styringssystemer for informasjonssikkerhet.
• I løpet av påfølgende revisjoner ble den første delen publisert som BS 7799: 1999, del 1. I 1999 ble denne versjonen av standarden sendt til den internasjonale organisasjonen for sertifisering.
• Dette dokumentet ble godkjent i 2000 som den internasjonale standarden ISO / IEC 17799: 2000 (BS 7799-1: 2000). Den siste versjonen av denne standarden, vedtatt i 2005, er ISO / IEC 17799: 2005.
• I september 2002 trådte den andre delen av BS 7799 "Information Security Management System Specification" i kraft. Den andre delen av BS 7799 ble revidert i 2002, og ble i slutten av 2005 vedtatt av ISO som den internasjonale standarden ISO / IEC 27001: 2005 "Informasjonsteknologi - Sikkerhetsteknikker - Systemer for styring av informasjonssikkerhet - Krav".
• I 2005 ble ISO / IEC 17799-standarden inkludert i 27. serie med standarder og fikk et nytt nummer - ISO / IEC 27002: 2005.
• 25. september 2013 den oppdaterte standarden ISO / IEC 27001: 2013 “Information Security Management Systems. Krav ". For tiden er organisasjoner sertifisert i henhold til denne versjonen av standarden.

Struktur av standarden

En av fordelene med denne standarden er likheten med strukturen med ISO 9001, siden den inneholder identiske overskrifter på underavsnitt, identisk tekst, generelle vilkår og grunnleggende definisjoner. Denne omstendigheten sparer tid og penger, siden en del av dokumentasjonen allerede er utviklet under ISO 9001-sertifiseringen.

Hvis vi snakker om strukturen til standarden, er det en liste over ISMS-krav som er obligatorisk for sertifisering og består av følgende seksjoner:

Hoveddeler	Vedlegg A
0. Innledning	A.5 Informasjonssikkerhetspolicyer
1 bruksområde	A.6 Informasjonssikkerhetsorganisasjon
2. Normative referanser	A.7 Menneskelige ressurser (personell) sikkerhet
3. Begreper og definisjoner	A.8 Kapitalforvaltning
4. Organisasjonssammenheng	A.9 Adgangskontroll
5. Ledelse	A.10 Kryptografi
6. Planlegging	A.11 Fysisk og miljømessig sikkerhet
7. Støtte	A.12 Driftssikkerhet
8. Operasjoner (drift)	A.13 Kommunikasjonssikkerhet
9. Evaluering (Måling) av ytelse	A.14 Kjøp, utvikling og vedlikehold av informasjonssystemer
10. Forbedring (forbedring)	A.15 Leverandørforhold
	A.16 Hendelsesledelse
	A.17 Virksomhetskontinuitet
	A.18 Juridisk samsvar

Kravene i "Vedlegg A" er obligatoriske, men standarden lar deg ekskludere områder som ikke kan brukes i virksomheten.

Når du implementerer standarden i et foretak for videre sertifisering, er det verdt å huske at det ikke er tillatt noen unntak fra kravene i avsnitt 4 - 10. Disse avsnittene vil bli diskutert nærmere.

La oss starte med seksjon 4 - Organisasjonskontekst

Organisasjonssammenheng

I denne delen krever standarden at en organisasjon skal identifisere eksterne og interne problemer som er relevante for målene og som påvirker ISMSs evne til å oppnå forventede resultater. I dette tilfellet bør man ta hensyn til lovgivningen og forskriftskrav og kontraktsmessige forpliktelser angående informasjonssikkerhet. Organisasjonen bør også definere og dokumentere omfanget og anvendeligheten til ISMS for å fastslå omfanget.

Ledelse

Toppledelsen bør demonstrere lederskap og forpliktelse til styringssystemet for informasjonssikkerhet ved for eksempel å sikre at og målene for informasjonssikkerhet er etablert og tilpasset organisasjonens strategi. Toppledelsen bør også sørge for at alle nødvendige ressurser for ISMS blir gitt. Det skal med andre ord være åpenbart for de ansatte at ledelsen er involvert i informasjonssikkerhetsspørsmål.

Informasjonssikkerhetspolitikken må dokumenteres og kommuniseres til de ansatte. Dette dokumentet minner om kvalitetspolitikken ISO 9001. Det bør også være hensiktsmessig for organisasjonens formål og inkludere informasjonssikkerhetsmål. Det er bra hvis dette er reelle mål, som å opprettholde konfidensialiteten og integriteten til informasjonen.

Ledelsen forventes også å distribuere funksjoner og ansvar knyttet til informasjonssikkerhet blant ansatte.

Planlegger

I denne delen kommer vi til den første fasen ledelsesprinsipp PDCA (Plan - Do - Check - Act) - planlegge, utføre, sjekke, handle.

Når man planlegger et styringssystem for informasjonssikkerhet, bør organisasjonen ta hensyn til problemstillingene nevnt i punkt 4 og bestemme risikoen og potensielle muligheter som må tas i betraktning for å sikre at ISMS kan oppnå de forventede resultatene, forhindre uønskede effekter og oppnå kontinuerlig forbedring.

Når du planlegger hvordan du skal oppnå målene for informasjonssikkerhet, bør organisasjonen bestemme:

• hva vil bli gjort;
• hvilke ressurser som kreves;
• hvem som skal ha ansvaret;
• når mål er oppnådd;
• hvordan resultatene vil bli vurdert.

I tillegg skal organisasjonen beholde data om informasjonssikkerhetsmål som dokumentert informasjon.

Sikkerhet

Organisasjonen skal bestemme og skaffe ressursene som trengs for å utvikle, implementere, vedlikeholde og kontinuerlig forbedre ISMS, dette inkluderer både personell og dokumentasjon. Når det gjelder personell, forventes det at organisasjonen rekrutterer kvalifisert og kompetent personell for informasjonssikkerhet. De ansattes kvalifikasjoner må bekreftes av sertifikater, vitnemål osv. Det er mulig å tiltrekke seg tredjepartsspesialister under en kontrakt, eller trene dine ansatte. Når det gjelder dokumentasjon, bør den omfatte:

• dokumentert informasjon som kreves av standarden;
• dokumentert informasjon bestemt av organisasjonen for å være nødvendig for å sikre effektiviteten tilstemet.

Den dokumenterte informasjonen som kreves av ISMS og standarden, må kontrolleres for å sikre at den:

• tilgjengelig og egnet for bruk der og når det er behov for det, og
• passende beskyttet (for eksempel mot tap av konfidensialitet, misbruk eller tap av integritet).

Fungerer

Denne delen diskuterer den andre fasen av PDCA-styringsprinsippet - behovet for en organisasjon for å administrere prosesser for å sikre samsvar og følge aktivitetene som er identifisert i avsnittet Planlegging. Det heter også at en organisasjon skal utføre en risikovurdering av informasjonssikkerhet med planlagte intervaller eller når betydelige endringer foreslås eller skjedde. Organisasjonen skal beholde resultatene av risikovurderingen av informasjonssikkerhet som dokumentert informasjon.

Evaluering av framføring

Den tredje fasen er verifisering. Organisasjonen skal evaluere driften og effektiviteten av ISMS. For eksempel må den gjennomføre en intern revisjon for å innhente informasjon om

1. er informkonsistent
   • organisasjonens egne krav til styringssystemet for informasjonssikkerhet;
   • kravene i standarden;
2. at informeffektivt implementeres og fungerer.

Det sier seg selv at omfanget og tidspunktet for revisjoner skal planlegges på forhånd. Alle resultatene må dokumenteres og beholdes.

Forbedring

Essensen av denne delen er å bestemme handlingsforløpet når en avvik oppdages. Organisasjonen må korrigere inkonsekvenser, konsekvenser og analysere situasjonen slik at dette ikke skjer i fremtiden. Alle avvik og korrigerende tiltak bør dokumenteres.

Dette avslutter hoveddelene i standarden. Vedlegg A gir mer spesifikke krav som en organisasjon må oppfylle. For eksempel, når det gjelder tilgangskontroll, bruk mobile enheter og informasjonsbærere.

Fordeler med ISO 27001 implementering og sertifisering

• øke status for organisasjonen og følgelig tilliten til partnerne;
• øke organisasjonens stabilitet;
• øke beskyttelsesnivået mot informasjonssikkerhetstrusler;
• å sikre det nødvendige konfidensialitetsnivået til informasjon om interesserte parter;
• utvide mulighetene for organisasjonen til å delta i store kontrakter.

De økonomiske fordelene er:

• uavhengig bekreftelse fra sertifiseringsorganet om at organisasjonen har et høyt nivå av informasjonssikkerhet kontrollert av kompetent personell;
• bevis på samsvar med gjeldende lover og forskrifter (overholdelse av systemet med obligatoriske krav);
• demonstrasjon av et visst høyt nivå av styringssystemer for å sikre riktig servicenivå til kunder og partnere i organisasjonen;
• demonstrasjon av regelmessige revisjoner av styringssystemer, ytelsesvurderinger og kontinuerlig forbedring.

Sertifisering

En organisasjon kan bli sertifisert av akkrediterte byråer i samsvar med denne standarden. Sertifiseringsprosessen består av tre trinn:

• Trinn 1 - revisors studie av viktige ISMS-dokumenter for overholdelse av kravene i standarden - kan utføres både på organisasjonens territorium og ved å overføre disse dokumentene til en ekstern revisor;
• 2. trinn - detaljert revisjon, inkludert testing av iverksatte tiltak, og vurdering av effektiviteten. Inkluderer en fullstendig studie av dokumentene som kreves av standarden;
• 3. trinn - gjennomføring av et inspeksjonsrevisjon for å bekrefte at den sertifiserte organisasjonen oppfyller de oppgitte kravene. Utført på periodisk basis.

Utfall

Som du kan se, vil anvendelsen av denne standarden i bedriften tillate å kvalitativt forbedre nivået på informasjonssikkerhet, noe som er dyrt under moderne realitetsforhold. Standarden inneholder mange krav, men det viktigste kravet er å gjøre det som står skrevet! Uten å faktisk bruke kravene i standarden, blir den til et tomt sett med papirbiter.

Utviklerne av standarden bemerker at den ble utarbeidet som en modell for utvikling, implementering, drift, overvåking, analyse, støtte og forbedring av inform(ISMS). ISMS (informasjonssikkerhetsstyringssystem; ISMS) er definert som en del av det samlede styringssystemet basert på bruk av fofor utvikling, implementering, drift, overvåking, analyse, støtte og forbedring. informasjonssikkerhet. System ledelsen inkluderer organisasjonsstruktur, policyer, planleggingsaktiviteter, ansvar, praksis, prosedyrer, prosesser og ressurser.

Standarden forutsetter bruken prosesstilnærming for utvikling, implementering, drift, overvåking, analyse, støtte og forbedring av organisasjonens ISMS. Det er basert på PDCA-modellen (Plan - Do - Check - Act), som kan brukes til å strukturere alle ISMS-prosesser. I fig. 2.3 viser hvordan et ISMS, som bruker informasjonssikkerhetskrav og forventede resultater fra interesserte parter som innspill, gjennom nødvendige handlinger og prosesser, produserer informasjonssikkerhetsutganger som oppfyller disse kravene og forventede resultater.

I løpet av utviklingsfasen av et infobør en organisasjon:

• bestemme omfanget og grensene til ISMS;
• definere en ISMS-policy basert på egenskapene til virksomheten, organisasjonen, dens beliggenhet, eiendeler og teknologi;
• bestemme tilnærmingen til risikovurdering i organisasjonen;
• identifisere risikoer;
• analysere og vurdere risikoer;
• identifisere og evaluere ulike risikobehandlingsalternativer;
• velge mål og kontroller for risikobehandling;
• få ledelsesgodkjenning av det foreslåtte gjenværende risiko;
• få ledertillatelse for implementering og drift av ISMS;
• utarbeide en erklæring om anvendelighet.

Figur: 2.3.

Fasen "implementering og drift avstemet" innebærer at organisasjonen bør gjøre følgende:

• utvikle en risikobehandlingsplan som definerer passende ledelseshandlinger, ressurser, ansvar og prioriteringer for risikostyring for informasjonssikkerhet;
• implementere en risikobehandlingsplan for å nå de tiltenkte styringsmålene, inkludert finansieringsspørsmål, samt fordeling av roller og ansvar;
• implementere de valgte ledelsestiltakene;
• bestemme hvordan du måler effektiviteten til de valgte kontrolltiltakene;
• implementere opplærings- og fagutviklingsprogrammer for ansatte;
• administrere ISMS-arbeidet;
• administrere ISMS-ressurser;
• implementere prosedyrer og andre kontrolltiltak for å sikre rask oppdagelse av informasjonssikkerhetshendelser og respons på informasjonssikkerhetshendelser.

Den tredje fasen "Overvåking og analyse av styringssystemet for informasjonssikkerhet" krever:

• utføre overvåkings- og analyseprosedyrer;
• foreta regelmessig analyse av effektiviteten til ISMS;
• måle effektiviteten av kontrolltiltak for å verifisere samsvar med kravene til informasjonssikkerhet;
• revidere risikovurderinger til bestemte tidsperioder, analysere restrisiko og etablerte akseptable risikonivåer, med tanke på endringer;
• gjennomføre interne revisjoner av ISMS med bestemte intervaller;
• regelmessig foreta en analyse av ISMS av ledelsen i organisasjonen for å bekrefte at det er tilstrekkelig med dens funksjon og bestemme retningen for forbedring;
• oppdatere IS-planer med tanke på resultatene av analyse og overvåking;
• registrere handlinger og hendelser som kan påvirke effektiviteten eller driften av ISMS.

Til slutt foreslår fasen "Opprettholde og forbedrestemet" at organisasjonen regelmessig skal utføre følgende aktiviteter:

• identifisere muligheter for å forbedre ISMS;
• ta nødvendige korrigerende og forebyggende tiltak, bruk i praksis erfaringen med å sikre informasjonssikkerhet oppnådd både i egen organisasjon og i andre organisasjoner;
• overføre detaljert informasjon om tiltak for å forbedre ISMS til alle interesserte parter, mens graden av detaljering bør samsvare med omstendighetene og om nødvendig avtale videre handlinger;
• sørge for at forbedringer av ISMS implementeres for å nå de planlagte målene.

Videre i standarden er kravene til dokumentasjon gitt, som spesielt skal omfatte bestemmelsene i ISMS-policyen og en beskrivelse av operasjonsområdet, en beskrivelse av metodikken og en risikovurderingsrapport, en risikobehandlingsplan, dokumentasjon av relaterte prosedyrer. En prosess for håndtering av ISMS-dokumenter bør også defineres, inkludert oppdatering, bruk, lagring og avhending.

For å fremlegge bevis for at kravene og effektiviteten til ISMS er overholdt, er det nødvendig å opprettholde og vedlikeholde poster og registre over utførelsen av prosesser. Besøkslogger, revisjonsrapporter osv. Er nevnt som eksempler.

Standarden spesifiserer at ledelsen i organisasjonen er ansvarlig for å skaffe og administrere ressursene som trengs for å etablere et ISMS og for å organisere opplæring for personell.

Som tidligere nevnt, bør organisasjonen gjennomføre interne ISMS-revisjoner i samsvar med en godkjent tidsplan for å vurdere dens funksjonalitet og samsvar med standarden. Og ledelsen bør analyserestemet.

Det bør også utføres arbeid for å forbedre styringssystemet for informasjonssikkerhet: å øke dets effektivitet og nivået på samsvar med den nåværende tilstanden til systemet og kravene til det.