GOST R ISO / IEC 27001-2006 “Informasjonsteknologi. Sikkerhetsmetoder og midler. Systemer for styring av informasjonssikkerhet. Krav "

Utviklerne av standarden bemerker at den ble utarbeidet som en modell for utvikling, implementering, drift, overvåking, analyse, støtte og forbedring av inform(ISMS). ISMS (engelsk -stem; ISMS) er definert som en del av det overordnede styringssystemet, basert på bruk av metoder for å vurdere forretningsrisiko for utvikling, implementering, drift, overvåking, analyse, støtte og forbedring av informasjonssikkerhet. Ledelsessystemet inkluderer organisasjonsstruktur, policyer, planleggingsaktiviteter, ansvar, praksis, prosedyrer, prosesser og ressurser.

Standarden innebærer bruk av en prosesstilnærming for utvikling, implementering, drift, overvåking, analyse, støtte og forbedring av organisasjonens ISMS. Det er basert på PDCA-modellen (Plan - Do - Check - Act), som kan brukes til å strukturere alle ISMS-prosesser. I fig. 4.4 viser hvordan ISMS, ved å bruke informasjonssikkerhetskrav og forventede resultater fra interesserte parter som input, gjennom de nødvendige handlingene og prosessene, produserer informasjonssikkerhetsutganger som oppfyller disse kravene og forventede resultater.

Figur: 4.4.

På scenen "Utvikling av etstem" organisasjonen bør gjøre følgende:

• - bestemme omfanget og grensene til ISMS;
• - bestemme ISMS-policyen basert på egenskapene til virksomheten, organisasjonen, dens beliggenhet, eiendeler og teknologier;
• - bestemme tilnærmingen til risikovurdering i organisasjonen;
• - identifisere risikoer;
• - analysere og vurdere risikoer;
• - identifisere og evaluere ulike alternativer for risikobehandling;
• - velge mål og kontroller for risikobehandling;
• - innhente ledelsesgodkjenning av forventede gjenværende risikoer;
• - Få tillatelse fra ledelsen til implementering og drift av ISMS;
• - utarbeide en erklæring om anvendelighet.

Scene " Implementering og drift av styringssystemet for informasjonssikkerhet " foreslår at organisasjonen:

• - utvikle en risikobehandlingsplan som definerer passende styringshandlinger, ressurser, ansvar og prioriteringer for risikostyring for informasjonssikkerhet;
• - implementere en risikobehandlingsplan for å oppnå de tiltenkte styringsmålene, inkludert finansieringsspørsmål, samt fordeling av roller og ansvar;
• - implementere de valgte ledelsestiltakene;
• - bestemme måten å måle effektiviteten til de valgte kontrolltiltakene på;
• - implementere opplærings- og fagutviklingsprogrammer for ansatte;
• - administrere arbeidet til ISMS;
• - administrere ISMS-ressurser;
• - implementere prosedyrer og andre kontrolltiltak for å sikre rask oppdagelse av informasjonssikkerhetshendelser og respons på informasjonssikkerhetshendelser.

Den tredje fasen " Overvåking og analyse av inform" krever:

• - gjennomføre prosedyrer for overvåking og analyse;
• - gjennomføre regelmessige analyser av effektiviteten til ISMS;
• - måle effektiviteten av kontrolltiltak for å verifisere samsvar med informasjonssikkerhetskrav,
• - revidere risikovurderinger til bestemte tidsperioder, analysere gjenværende risiko og etablerte akseptable risikonivåer, med tanke på endringer;
• - gjennomføre interne revisjoner av ISMS med bestemte tidsintervaller;
• - regelmessig foreta en analyse av ISMS av ledelsen i organisasjonen for å bekrefte tilstrekkelig funksjonen til ss og bestemme retningen for forbedring;
• - oppdatere IS-planer under hensyntagen til resultatene av analyse og overvåking;
• - registrere handlinger og hendelser som kan påvirke effektiviteten eller driften av ISMS.

Endelig scenen "Vedlikeholde og forbedre styringssystemet for informasjonssikkerhet" foreslår at organisasjonen regelmessig skal gjennomføre følgende aktiviteter:

• - identifisere muligheter for å forbedre ISMS;
• - ta de nødvendige korrigerende og forebyggende tiltakene, bruk i praksis IS-erfaringene de har fått både i egen organisasjon og i andre organisasjoner;
• - overføre detaljert informasjon om tiltak for å forbedre ISMS til alle interesserte parter, mens graden av detaljering bør samsvare med omstendighetene og om nødvendig avtale videre handlinger;
• - sørge for at forbedringer av ISMS implementeres for å nå de planlagte målene.

Videre i standarden er kravene til dokumentasjon gitt, som skal omfatte bestemmelsene i ISMS-policyen og en beskrivelse av operasjonsområdet, en beskrivelse av metodikken og en risikovurderingsrapport, en risikobehandlingsplan og dokumentasjon av relaterte prosedyrer. En prosess for håndtering av ISMS-dokumenter bør også defineres, inkludert oppdatering, bruk, lagring og avhending.

For å bevise at kravene og effektiviteten til ISMS er overholdt, er det nødvendig å opprettholde og vedlikeholde poster og registre over utførelsen av prosesser. Eksempler inkluderer besøkslogger, revisjonsrapporter osv.

Standarden spesifiserer at ledelsen i organisasjonen er ansvarlig for å skaffe og administrere ressursene som trengs for å etablere et ISMS og for å organisere opplæring for personell.

Som tidligere nevnt, bør organisasjonen gjennomføre interne ISMS-revisjoner i samsvar med en godkjent tidsplan for å vurdere dens funksjonalitet og samsvar med standarden. Og ledelsen bør analysere styringssystemet for informasjonssikkerhet.

Det bør også utføres arbeid for å forbedre styringssystemet for informasjonssikkerhet: å øke dets effektivitet og nivået på samsvar med den nåværende tilstanden til systemet og kravene til det.

(ISMS) - den delen av det samlede styringssystemet som er basert på en forretningsrisikotilnærming ved opprettelse, implementering, drift, overvåking, analyse, støtte og forbedring av informasjonssikkerhet.

Hvis den er bygget i samsvar med kravene i ISO / IEC_27001, er den basert på PDCA-modellen:

Plan (Planlegging) - fasen med å opprette et ISMS, lage en liste over eiendeler, risikovurdering og valg av tiltak;

Gjøre (Handling) - scenen for gjennomføring og gjennomføring av passende tiltak;

Kryss av (Verifisering) - Fasen med å evaluere effektiviteten og ytelsen til ISMS. Vanligvis utført av interne revisorer.

Handling (Forbedringer) - tar forebyggende og korrigerende tiltak;

Informasjonssikkerhetskonsept

ISO 27001-standarden definerer informasjonssikkerhet som: “opprettholde konfidensialitet, integritet og tilgjengelighet av informasjon; i tillegg kan andre egenskaper inngå, for eksempel ekthet, ikke-avvisning, pålitelighet. "

konfidensialitet - å sikre tilgjengeligheten av informasjon bare for de som har riktig autoritet (autoriserte brukere).

Integritet - å sikre nøyaktigheten og fullstendigheten av informasjonen, samt metoder for behandling av den.

Tilgjengelighet - gi tilgang til informasjon til autoriserte brukere, når det er nødvendig (på forespørsel).

4 Informasjonssikkerhetsstyringssystem

4.1 Generelle krav

Organisasjonen skal etablere, implementere, bruke, kontrollere, gjennomgå, vedlikeholde og forbedre de dokumenterte ISMS-bestemmelsene gjennom organisasjonens forretningsaktiviteter og risikoen den står overfor. For den praktiske fordelen med denne internasjonale standarden, er prosessen som brukes basert på PDCA-modellen vist i fig. 1.

4.2 Etablere og administrere et ISMS

4.2.1 Opprette et ISMS

Organisasjonen bør gjøre følgende.

a) Med tanke på spesifikasjonene til organisasjonens aktiviteter, bestemmer organisasjonen, dens beliggenhet, eiendeler og teknologi, omfanget og grensene til ISMS, inkludert detaljer og begrunnelser for å ekskludere eventuelle bestemmelser i dokumentet fra utkastet til ISMS (se 1.2).

b) Gitt spesifikasjonene til organisasjonens aktiviteter, utvikler organisasjonen selv, dens beliggenhet, eiendeler og teknologi en ISMS-policy som:

1) inkluderer et system for å sette mål (mål) og etablerer den generelle retningen for styring og handlingsprinsipper angående informasjonssikkerhet;

2) tar hensyn til forretningsmessige og juridiske eller forskriftsmessige krav, kontraktsmessige sikkerhetsforpliktelser;

3) er knyttet til et strategisk risikostyringsmiljø der opprettelse og vedlikehold av et ISMS finner sted;

4) etablerer kriteriene som risikoen vil bli vurdert mot (se 4.2.1 c)); og

5) godkjent av ledelsen.

MERKNAD: I forbindelse med denne internasjonale standarden er en ISMS-policy et utvidet sett med retningslinjer for informasjonssikkerhet. Disse retningslinjene kan beskrives i ett dokument.

c) Utvikle et rammeverk for risikovurdering i organisasjonen.

1) Bestem en risikovurderingsmetodikk som er passende for ISMS og etablerte, juridiske og regulatoriske krav.

2) Utvikle kriterier for risikoaksept og bestemme akseptable risikonivåer (se 5.1f).

Den valgte risikovurderingsmetoden skal sikre at risikovurderingen gir sammenlignbare og reproduserbare resultater.

MERK: Det er forskjellige risikovurderingsmetoder. Eksempler på risikovurderingsmetoder vurderes i ISO / IEC TU 13335-3, Informasjonsteknologi - LedelsesanbefalingerDEN Sikkerhet - LedelsesteknikkerDEN Sikkerhet.

d) Identifiser risikoer.

1) Definer eiendeler innenfor ISMS, og eiere2 (2 Begrepet "eier" er identifisert med en person eller enhet som er godkjent for å være ansvarlig for å føre tilsyn med produksjon, utvikling, vedlikehold, bruk og sikkerhet av eiendeler. Uttrykket "eier" betyr ikke at en person har noen eierrettigheter til eiendelen) til disse eiendelene.

2) Identifiser farene for disse eiendelene.

3) Identifiser sårbarheter i beskyttelsessystemet.

4) Identifiser virkninger som ødelegger konfidensialiteten, integriteten og tilgjengeligheten til eiendeler.

e) Analyser og vurder risiko.

1) Vurder skaden på organisasjonens virksomhet som kan være forårsaket av svikt i beskyttelsessystemet, samt en konsekvens av brudd på konfidensialitet, integritet eller tilgjengelighet av eiendeler.

2) Bestem sannsynligheten for sikkerhetssvikt i lys av de rådende farene og sårbarhetene, aktiva-relaterte virkningene og kontrollene som er på plass.

3) Vurdere risikonivåene.

4) Bestem akseptabelen av risikoen, eller krev den redusert, ved hjelp av kriteriene for risikotakbarhet som er beskrevet i 4.2.1c) 2).

f) Identifisere og evaluere instrumenter for risikoreduksjon.

Mulige handlinger inkluderer:

1) Anvendelse av egnede kontroller;

2) Bevisst og objektiv aksept av risiko, og sikrer at de ubetinget overholder kravene i organisasjonens policy og kriteriene for risikotoleranse (se 4.2.1c) 2));

3) unngå risiko; og

4) Overføring av relevante forretningsrisikoer til en annen part, for eksempel forsikringsselskaper, leverandører.

g) Velg oppgaver og kontroller for å redusere risikoen.

Oppgaver og kontroller bør velges og implementeres i samsvar med kravene som er etablert i risikovurderings- og risikoreduksjonsprosessen. Dette valget bør ta hensyn til både kriteriene for risikotoleranse (se 4.2.1c) 2)) og juridiske, regulatoriske og kontraktsmessige krav.

Oppgavene og kontrollene fra vedlegg A bør velges som en del av denne prosessen for å oppfylle spesifiserte krav.

Siden ikke alle oppgaver og kontroller er oppført i vedlegg A, kan det velges flere oppgaver.

MERKNAD: Vedlegg A inneholder en omfattende liste over ledelsesmål som er identifisert som mest relevante for organisasjoner. For å ikke gå glipp av noe viktig poeng fra kontrollalternativene, bør du bruke denne internasjonale standarden se til vedlegg A som utgangspunkt for prøvetakingskontroll.

h) Oppnå godkjenning av styringen av forventede gjenværende risikoer.

4) lette oppdagelsen av sikkerhetshendelser og dermed forhindre sikkerhetshendelser ved å bruke visse indikatorer, og

5) fastslå effektiviteten av tiltak som er tatt for å forhindre sikkerhetsbrudd.

b) Gjennomføre regelmessige gjennomganger av effektiviteten til ISMS (inkludert diskusjon av ISMS-politikken og dens mål, gjennomgang av sikkerhetskontroller), med tanke på resultatene av revisjoner, hendelser, resultater av ytelsesmålinger, forslag og anbefalinger fra alle interesserte parter.

c) Evaluere effektiviteten av kontroller for å avgjøre om sikkerhetskravene blir oppfylt.

d) Kontroller risikovurderingen for planlagte perioder og sjekk restrisiko og risikotoleranse, med tanke på endringer i:

1) organisasjoner;

2) teknologi;

3) forretningsmål og prosesser;

4) identifiserte trusler;

5) effektiviteten av de implementerte styringsverktøyene; og

6) eksterne hendelser, som endringer i det juridiske miljøet og ledelsesmiljøet, endrede kontraktsforpliktelser, endringer i det sosiale klimaet.

e) Gjennomføre interne revisjoner av ISMS i planlagte perioder (se 6)

MERKNAD: Interne revisjoner, noen ganger kalt primære revisjoner, gjennomføres på vegne av organisasjonen selv for egne formål.

f) Gjennomgå ledelsen av ISMS med jevne mellomrom for å sikre at situasjonen forblir gyldig og ISMS forbedres.

g) Oppdater sikkerhetsplaner basert på overvåkings- og revisjonsfunn.

h) Registrer handlinger og hendelser som kan påvirke effektiviteten eller ytelsen til ISMS (se 4.3.3).

4.2.4 Vedlikeholde og forbedre ISMS

Organisasjonen må kontinuerlig gjøre følgende.

a) Implementere spesifikke reparasjoner i ISMS.

b) Ta passende korrigerende og forebyggende tiltak i samsvar med 8.2 og 8.3. Bruk kunnskapen som er oppnådd av organisasjonen selv og fra erfaringer fra andre organisasjoner.

c) kommunisere sine handlinger og forbedringer til alle interesserte i detalj som er passende for situasjonen; og følgelig koordinere sine handlinger.

d) Bekreft at forbedringene har nådd sitt tiltenkte formål.

4.3 Krav til dokumentasjon

4.3.1 Generelt

Dokumentasjonen bør inneholde protokoller (poster) over ledelsesbeslutninger, for å overbevise om at behovet for handling skyldes beslutninger og ledelsespolitikk; og for å sikre reproduserbarheten av de registrerte resultatene.

Det er viktig å kunne demonstrere tilbakemeldingen fra de valgte kontrollene til resultatene av risikovurderings- og avbøtingsprosessene, og videre til ISMS-policyen og målene.

ISMS-dokumentasjonen skal inneholde:

a) en dokumentert uttalelse av ISMS-policyen og målene (se 4.2.1b));

b) ISMS-bestemmelse (se 4.2.1a));

c) konseptet og kontrollene til støtte for ISMS;

d) en beskrivelse av risikovurderingsmetoden (se 4.2.1c)),

e) risikovurderingsrapport (se 4.2.1c) - 4.2.1g));

f) risikoreduksjonsplan (se 4.2.2b));

g) et dokumentert konsept som er nødvendig for at organisasjonen effektivt kan planlegge, drive og administrere sine informasjonssikkerhetsprosesser og beskrive hvordan effektiviteten av kontroller måles (se 4.2.3c));

h) dokumenter som kreves av denne internasjonale standarden (se 4.3.3); og

i) Erklæring om anvendelighet.

MERKNAD 1: I forbindelse med denne internasjonale standarden betyr begrepet “dokumentert konsept” at konseptet er implementert, dokumentert, implementert og fulgt.

MERKNAD 2: Størrelsen på ISMS-dokumentasjonen i forskjellige organisasjoner kan variere avhengig av:

Organisasjonens størrelse og typen eiendeler; og

Omfanget og kompleksiteten til sikkerhetskravene og det administrerte systemet.

MERKNAD 3: Dokumenter og rapporter kan gis i hvilken som helst form.

4.3.2 Dokumentkontroll

Dokumentene som kreves av ISMS, må beskyttes og reguleres. Det er nødvendig å godkjenne dokumentasjonsprosedyren som kreves for å beskrive ledelseshandlinger for:

a) å fastslå samsvar med visse standarder før offentliggjøring,

b) sjekke og oppdatere dokumenter etter behov, godkjenne dokumenter på nytt;

c) å sikre at endringene er i samsvar med gjeldende tilstand for reviderte dokumenter;

d) sikre tilgjengeligheten av viktige versjoner av gyldige dokumenter;

e) sørge for at dokumentene er forståelige og leselige;

f) gjøre dokumenter tilgjengelig for de som trenger dem; samt overføring, lagring og til slutt ødeleggelse i samsvar med gjeldende prosedyrer avhengig av klassifisering;

g) autentisering av dokumenter fra eksterne kilder;

h) kontrollere distribusjonen av dokumenter;

i) å forhindre utilsiktet bruk av foreldede dokumenter; og

j) bruke en passende identifikasjonsmetode til dem hvis de lagres i tilfelle det er tilfelle.

4.3.3 Kontroll av poster

Registreringer bør opprettes og vedlikeholdes for å støtte bevis for samsvar og effektiv drift av ISMS. Postene må beskyttes og verifiseres. ISMS bør ta hensyn til juridiske og regulatoriske krav og kontraktsforpliktelser. Postene må være forståelige, lett identifiserbare og gjenvinnbare. Kontrollene som er nødvendige for identifisering, lagring, beskyttelse, gjenoppretting, oppbevaring og ødeleggelse av poster, må dokumenteres og implementeres.

Postene skal inneholde informasjon om gjennomføringen av aktivitetene beskrevet i 4.2, og om alle hendelser og sikkerhetsrelevante hendelser knyttet til ISMS.

Eksempler på oppføringer er gjestebok, revisjonslogger og utfylte skjemaer for godkjenning av tilgang.

Virkelig pinlig. Vi informerte om den nært forestående utgivelsen av ISO 45001-standarden, som skulle erstatte den nåværende OHSAS 18001 arbeidsstyringsstandarden for arbeidsmiljø, vi sa at vi skulle vente på den i slutten av 2016 ... Midnat nærmer seg, men Herman er fortsatt borte. På tide å innrømme - ISO 45001 er på vent. Det er sant, av gode grunner. Ekspertmiljøet har for mange spørsmål til ham. […]

En dobbel artikkel er skissert. Den internasjonale standardiseringsorganisasjonen har tydelig uttrykt sin holdning til bruken av standardens merking på produkter - ISO sier "nei". Imidlertid vil gründere fortsatt gjøre det. Hvordan skal de være? Hvorfor egentlig ikke? Bakgrunnen for spørsmålet er som følger. Som du kan forestille deg, er ISO-standarder ikke direkte relatert til produkter produsert av sertifiserte virksomheter. […]

La oss avslutte emnet. I den siste artikkelen startet vi en samtale om de åtte prinsippene til QMS. Prinsippene som ethvert kvalitetsstyringssystem bygger på. Målet vårt er å oversette disse prinsippene fra språket til forretningscoachere til menneskespråk. Slik at du kan få reell nytte av dem. De snakket om forbrukerorientering. De sa hvordan man ikke skulle produsere “noe [...]

Mange snakker om kvalitetsledelse. Men av en eller annen grunn sier de at ingenting til slutt ikke er klart. Dette betyr at kvalitetsstyring forblir ord. For smarte ord. La oss oversette dem til vanlig språk og forstå hvordan prinsippene for kvalitetsstyring virkelig bidrar til å forbedre selskapets aktiviteter. La oss gjøre uten lange forspill. Totalt er for tiden relevante kvalitetsstyringssystemer, hvorav de mest populære [...]

Prosjektledelse ... Jeg er sikker på at det er mange som har snakket med alle slags forretningskonsulenter for lenge - og nå begynner de å bli litt kvalme av en slik setning. Hva å gjøre? La oss bare sette forretningskonsulenter ut av hodet og sette saken på menneskelig språk. Prosjektledelse er ikke nødvendigvis en person i en hvit skjorte som tegner komplekse diagrammer og flytskjemaer med en markør på [...]

BS ISO / IEC 27001: 2005-standarden beskriver en ISMS-modell (Information Security Management System) og tilbyr et sett med krav for å organisere informasjonssikkerhet i en virksomhet uten referanse til implementeringsmetodene som velges av organisasjonens ledere.

Standarden foreslår anvendelse av PDCA (Plan-Do-Check-Act) -modellen i ISMS-livssyklusen, som inkluderer utvikling, implementering, drift, kontroll, analyse, støtte og forbedring (figur 1).

Plan - fasen med å opprette et ISMS, lage en liste over eiendeler, risikovurdering og valg av tiltak;

Gjør (handling) - scenen for implementering og implementering av relevante tiltak;

Sjekk - Fasen med å evaluere effektiviteten og ytelsen til ISMS. Vanligvis utført av interne revisorer.

Handling (forbedringer) - Ta forebyggende og korrigerende tiltak.

Beslutningen om å etablere (og deretter sertifisere) et ISMS tas av toppledelsen i organisasjonen. Dette demonstrerer ledelsestøtte og bekreftelse av verdien av ISMS for virksomheten. Organisasjonens ledelse initierer opprettelsen av et ISMS planleggingsteam.

Gruppen som er ansvarlig for planleggingen av ISMS, bør omfatte:

· Representanter for toppledelsen i organisasjonen;

· Representanter for forretningsenheter dekket av ISMS;

· Spesialister på avdelinger for informasjonssikkerhet;

· Tredjepartskonsulenter (om nødvendig).

IS-komiteen støtter driften av ISMS og den kontinuerlige forbedringen.

Arbeidsgruppen skal styres av det regulatoriske og metodiske rammeverket, både i forhold til opprettelsen av et ISMS, og relatert til organisasjonsaktivitetsområdet, og selvfølgelig av det generelle systemet med statlige lover.

Regelverk for å lage et ISMS:

· ISO / IEC 27000: 2009 Ordforråd og definisjoner.

· ISO / IEC 27001: 2005 Generelle krav til en ISMS.

· ISO / IEC 27002: 2005 Praktisk guide forsjon.

· ISO / IEC 27003: 2010 Praktisk veiledning for implementering av et ISMS.

· ISO / IEC 27004: 2009 Metrics (Measurements) av informasjonssikkerhet.

· ISO / IEC 27005: 2011 Veiledning om risikostyring for informasjonssikkerhet.

ISO / IEC Guide 73: 2002, Risikostyring - Ordforråd - Retningslinjer for bruk i standarder.

ISO / IEC 13335-1: 2004, Informasjonsteknologi - Sikkerhetsteknikker - Forvaltning av informasjon og - Del 1: Konsepter og modeller for sikkerhetsadministrasjon for informasjons- og kommunikasjonsteknologi.

ISO / IEC TR 18044 Informasjonsteknologi - Sikkerhetsteknikker - Håndtering av informasjonssikkerhetshendelser.

ISO / IEC 19011: 2002 Retningslinjer for kvalitets- og / eller miljøstyringssystemrevisjon.

· British Standards Institution Methodology Series for ISMS Design (tidligere: PD 3000 Series Documents).

Prosessen med å lage et ISMS består av fire trinn:

1. stadie. Planlegger en ISMS.

Etablering av policyer, mål, prosesser og prosedyrer knyttet til risikostyring og informasjonsbeskyttelse, i samsvar med organisasjonens overordnede policy og mål.

a) Bestemning av omfanget og grensene til ISMS:

· Beskrivelse av organisasjonens type aktivitet og forretningsmål;

· En indikasjon på grensene til systemene dekket av ISMS;

· Beskrivelse av organisasjonens eiendeler (typer informasjonsressurser, programvare og maskinvare, personell og organisasjonsstruktur);

· Beskrivelse av forretningsprosesser ved bruk av beskyttet informasjon.

En beskrivelse av systemgrensene inkluderer:

Beskrivelse av den eksisterende strukturen i organisasjonen (med mulige endringer som kan oppstå i forbindelse med utviklingen av informasjonssystemet).

Informasjonssystemressurser som skal beskyttes (datamaskiner, informasjon, system- og applikasjonsprogramvare). For å vurdere dem, bør det velges et system med kriterier og en metode for å skaffe estimater for disse kriteriene (kategorisering).

Informasjonsteknologi og oppgaver som skal løses. For at oppgavene skal løses, må informasjonsbehandlingsmodeller bygges når det gjelder ressurser.

Diagram over organisasjonens informasjonssystem og støtteinfrastruktur.

Som regel på dette stadiet utarbeides et dokument der grensene til informasjonssystemet er faste, informasjonsressursene til selskapet som skal beskyttes er oppført, et system med kriterier og metoder er gitt for å vurdere verdien av selskapets informasjonsmidler.

b) Definere organisasjonens ISMS-policy (utvidet versjon av ISS).

· Mål, retninger og prinsipper for aktivitet i forhold til informasjonsbeskyttelse;

· Beskrivelse av strategien (tilnærminger) for risikostyring i organisasjonen, strukturering av mottiltak for å beskytte informasjon etter type (juridisk, organisatorisk, maskinvare og programvare, teknisk og teknisk);

· Beskrivelse av kriteriene for betydningen av risikoen;

· Ledelsens stilling, fastsettelse av hyppigheten av møter om temaet informasjonssikkerhet på ledelsesnivå, inkludert periodisk revisjon av bestemmelsene i, samt prosedyren for opplæring av alle kategorier av brukere av informasjonssystemet om informasjonssikkerhet.

c) Bestemme tilnærmingen til risikovurdering i organisasjonen.

Metoden for risikovurdering velges avhengig av ISMS, etablerte sikkerhetskrav til forretningsinformasjon, juridiske og regulatoriske krav.

Valget av risikovurderingsmetoden avhenger av nivået på kravene til organisasjonens informasjonssikkerhetsregime, arten av truslene som tas i betraktning (spekteret av trusselpåvirkning) og effektiviteten av potensielle mottiltak for å beskytte informasjon. Spesielt skilles det mellom grunnleggende og økte eller komplette krav til IS-modus.

Det grunnleggende sikkerhetsnivået for informasjon tilsvarer minimumskravene til IS-modus. Slike krav gjelder som regel typiske designløsninger. Det er en rekke standarder og spesifikasjoner som vurderer det minste (typiske) settet av de mest sannsynlige truslene, for eksempel: virus, utstyrssvikt, uautorisert tilgang osv. Mottiltak må treffes for å nøytralisere disse truslene, uavhengig av sannsynligheten for implementering og sårbarhet ressurser. Dermed er det ikke nødvendig å vurdere egenskapene til trusler på et grunnleggende nivå. Utenlandske standarder i dette området ISO 27002, BSI, NIST, etc.

I tilfeller der brudd på IB-regimet fører til alvorlige konsekvenser, stilles det ytterligere krav.

For å formulere ytterligere økte krav, må du:

Bestem verdien av ressursene;

Legg til standardsettet en liste over trusler som er relevante for det studerte informasjonssystemet;

Vurdere sannsynligheten for trusler;

Bestem ressurssårbarheter;

Vurdere potensiell skade fra inntrengere.

Det er nødvendig å finne en risikovurderingsmetodikk som kan brukes med minimale endringer fortløpende. Det er to måter: å bruke eksisterende metoder og verktøy for risikovurdering på markedet, eller å lage din egen metodikk, tilpasset selskapets spesifikasjoner og aktivitetsområdet som dekkes av ISMS.

Det sistnevnte alternativet er det mest foretrukne, siden hittil de fleste produktene på markedet som implementerer en eller annen metode for risikoanalyse, ikke oppfyller kravene i standarden. Typiske ulemper ved slike teknikker er:

· Et standardsett med trusler og sårbarheter som ofte er umulige å endre;

· Aksept som eiendeler bare for programvare, maskinvare og informasjonsressurser - uten å ta hensyn til menneskelige ressurser, tjenester og andre viktige ressurser;

· Metodens samlede kompleksitet når det gjelder bærekraftig og repeterbar bruk.

· Kriterier for å akseptere risiko og akseptable risikonivåer (bør være basert på oppnåelse av organisasjonens strategiske, organisatoriske og ledelsesmål).

d) Risikoidentifikasjon.

Identifikasjon av eiendeler og deres eiere

Informasjonsinndata;

Informasjonsutgang;

Informasjon poster;

Ressurser: mennesker, infrastruktur, maskinvare, programvare, verktøy, tjenester.

· Identifisering av trusler (risikovurderingsstandarder antyder ofte klasser av trusler som kan suppleres og utvides).

· Identifisering av sårbarheter (det er også lister over de vanligste sårbarhetene du kan stole på når du analyserer organisasjonen din).

· Bestemmelse av verdien av eiendeler (mulige konsekvenser av tap av konfidensialitet, integritet og tilgjengelighet av eiendeler). Informasjon om verdien av en eiendel kan fås fra eieren eller fra en person som eieren har delegert all myndighet til eiendelen, inkludert å sikre dens sikkerhet.

e) Risikovurdering.

· Vurdering av skaden som kan være forårsaket av virksomheten fra tap av konfidensialitet, integritet og tilgjengelighet av eiendeler.

· Vurdering av sannsynligheten for implementering av trusler gjennom eksisterende sårbarheter, under hensyntagen til tilgjengelige IS-styringsverktøy og vurdering av mulig skade.

· Bestemmelse av risikonivå.

Anvendelse av risikoakseptkriterier (akseptabelt / krever behandling).

f) Risikobehandling (i samsvar med valgt strategi for risikostyring).

Mulige handlinger:

Passive handlinger:

Risikoaksept (beslutning om akseptabilitet for det resulterende risikonivået);

Risikounndragelse (beslutning om å endre aktiviteten som forårsaker et gitt risikonivå - flytte webserveren utenfor det lokale nettverket);

Aktive handlinger:

Redusere risikoen (ved hjelp av organisatoriske og tekniske mottiltak);

Risikooverføring (forsikring (brann, tyveri, programvarefeil)).

Valget av mulige handlinger avhenger av de aksepterte risikokriteriene (et akseptabelt risikonivå er satt, risikonivåer som kan reduseres ved hjelp av informasjonssikkerhetsstyring, risikonivå som det anbefales å forlate eller transformere typen aktivitet som forårsaker det, og risikoen som det er ønskelig å overføre til andre parter) ...

g) Velge mål og kontroller for risikobehandling.

Mål og kontroller skal implementere risikostyringsstrategien, ta hensyn til kriteriene for å akseptere risiko og juridiske, regulatoriske og andre krav.

ISO 27001-2005 gir en liste over mål og kontroller som grunnlag for å bygge en risikobehandlingsplan (ISMS-krav).

Risikobehandlingsplanen inneholder en liste over prioriterte tiltak for å redusere risikonivået, som indikerer:

· Personer som er ansvarlige for gjennomføringen av disse tiltakene og midlene;

· Betingelser for gjennomføring av aktiviteter og prioriteringer for gjennomføringen;

· Ressurser for gjennomføring av slike aktiviteter;

· Nivåer av gjenværende risiko etter gjennomføring av tiltak og kontroller.

Toppledelsen i organisasjonen er ansvarlig for adopsjon og tilsyn med risikobehandlingsplanen. Oppfyllelsen av planens nøkkelaktiviteter er et kriterium for å ta en beslutning om å sette ISMS i drift.

På dette stadiet gjøres det en begrunnelse for valg av ulike mottiltak for IS, strukturert i henhold til regulerings-, organisasjons- og ledelsesnivå, teknologi- og maskinvare- og programvarenivå for informasjonssikkerhet. (Videre implementeres et sett med mottiltak i samsvar med den valgtegien). Med den fulle versjonen av risikoanalysen blir effektiviteten av mottiltak i tillegg vurdert for hver risiko.

h) Ledelsens godkjenning av den foreslåtte restrisikoen.

i) Få godkjenning fra ledelsen for implementering og igangsetting av ISMS.

j) Erklæring om anvendelighet (i samsvar med ISO 27001-2005).

Datoen ISMS blir satt i drift er datoen for godkjenning av toppledelsen i selskapet for Statement of Applicability of Controls, som beskriver målene og midlene organisasjonen velger for å håndtere risiko:

· Kontrollene og kontrollene valgt i risikobehandlingsfasen;

· Allerede eksisterende i organisasjonen ledelse og kontroll;

· Midler for å sikre overholdelse av juridiske krav og krav fra reguleringsorganisasjoner;

· Midler for å sikre oppfyllelse av kundens krav;

· Midler som sikrer oppfyllelse av generelle selskapskrav;

· Enhver annen egnet måte å administrere og kontrollere på.

Trinn 2. Implementering og drift av ISMS.

For å implementere og drive informasjonssikkerhetspolicy, kontroller, prosesser og prosedyrer innen informasjonssikkerhet utføres følgende handlinger:

a) Utvikling av en risikobehandlingsplan (beskrivelse av planlagte kontroller, ressurser (programvare, maskinvare, personell) som er nødvendige for implementering, støtte, kontroll og styringsansvar for inf(utvikling av dokumenter i planleggingsfasen, støtte for informasjonssikkerhetsmål, bestemmelse roller og ansvar, tilveiebringelse av nødvendige ressurser for å etablere et ISMS, revisjon og analyse).

b) Tildeling av finansiering, roller og ansvar for gjennomføringen av risikobehandlingsplanen.

c) Implementering av planlagte kontroller.

d) Etablering av ytelsesverdier (beregninger) for kontroller, metoder for måling av dem som vil gi sammenlignbare og reproduserbare resultater.

e) Forbedre kvalifikasjonene, bevisstheten til personell innen informasjonssikkerhet i samsvar med deres jobbansvar.

f) Styring av ISMS-drift, styring av ressurser for å vedlikeholde, overvåke og forbedre ISMS.

g) Implementering av prosedyrer og andre kontroller for rask oppdagelse og respons på hendelser med informasjonssikkerhet.

Trinn 3: Kontinuerlig overvåking og analyse av ISMS-funksjonen.

Dette trinnet innebærer å vurdere eller måle viktige ytelsesindikatorer for prosesser, analysere resultatene og sende rapporter til ledelsen for analyse og inkluderer:

a) Gjennomføring av kontinuerlig overvåking og analyse (lar deg raskt oppdage feil i ISMS-funksjonen, raskt identifisere og svare på sikkerhetshendelser, avgrense personellets og automatiserte systemers roller i ISMS, forhindre sikkerhetshendelser ved å analysere uvanlig oppførsel og bestemme effektiviteten av behandlingen av sikkerhetshendelser).

b) Gjennomføre en regelmessig gjennomgang av effektiviteten til ISMS (gjennomgå samsvar med ISMS-policyen og -målene, revisjoner, viktige resultatindikatorer, forslag og svar fra interessenter).

c) Måle effektiviteten av kontroller for å verifisere at sikkerhetskravene er oppfylt

d) Periodisk revurdering av risiko, analyse av gjenværende risiko og bestemmelse av akseptable risikonivåer i tilfelle endringer i organisasjonen (forretningsmål og prosesser, identifiserte trusler, nylig identifiserte sårbarheter osv.)

e) Periodiske interne revisjoner av ISMS.

ISMS-revisjon - kontrollere samsvaret med de valgte mottiltakene med målene og målene for virksomheten som er angitt i organisasjonens IS, basert på resultatene, blir restrisiko vurdert og om nødvendig optimalisert.

f) Regelmessig gjennomgang av omfanget og trenden til ISMS av ledelsen.

g) Oppdatering av risikostyringsplaner for å fange opp overvåkings- og gjennomgangsresultater.

h) Opprettholde en logg over hendelser som har en negativ innvirkning på effektiviteten eller kvaliteten på ISMS.

Trinn 4. Vedlikeholde og forbedre ISMS.

Basert på resultatene av en intern ISMS-revisjon og ledelsesanalyse, blir korrigerende og forebyggende tiltak utviklet og implementert for kontinuerlig å forbedre ISMS:

a) Forbedring av informasjonssikkerhetspolitikk, informasjonssikkerhetsmål, revisjon, analyse av observerte hendelser.

b) Utvikling og implementering av korrigerende og forebyggende tiltak for å eliminere manglende overholdelse av ISMS-kravene.

c) Overvåking av forbedringer av ISMS.

Shahalov Igor Yurievich

Om spørsmålet om integrering av kvalitetsstyringssystemer og informasjonssikkerhet

Sammendrag: Det vurderes de internasjonale standardene ISO 27001 og ISO 9001. Analysen av likhetene og forskjellene mellom kvalitetsstyringssystemet og styringssystemet for informasjonssikkerhet er utført. Muligheten for å integrere kvalitetsstyringssystemet og styringssystemet for informasjonssikkerhet vises. De viktigste trinnene i konstruksjon og implementering av et integrert styringssystem for informasjonssikkerhet er gitt. Fordelene med den integrerte tilnærmingen vises.

Stikkord:stemer, integrerte styringssystemer, ISMS, QMS, ISO 27001.

Natalia Olegovna

Introduksjon

I den moderne verden, med fremveksten av vanlige og praktiske tekniske enheter, har problemet med informasjonsbeskyttelse blitt ganske akutt. Sammen med utgivelsen av kvalitetsprodukter eller levering av tjenester til bedrifter og organisasjoner, er det viktig å holde nødvendig informasjon hemmelig for konkurrentene for å forbli i en gunstig posisjon i markedet. I konkurransekampen er forskjellige handlinger rettet mot å skaffe (skaffe, skaffe) konfidensiell informasjon på mange måter utbredt, opp til direkte industriell spionasje ved hjelp av moderne teknisk intelligens.

Dermed blir organisasjoner som følger den beste verdenspraksis, som inneholder krav, retningslinjer for implementering av styringssystemer for forretningsprosesser, ledende i markedet. De beste standardene for utvikling, implementering, overvåking og forbedring av slike systemer er dokumenter fra International Organization for Standardization (ISO). Spesiell oppmerksomhet bør rettes mot standardene i ISO 900x og ISO 2700x-serien, som samler de beste fremgangsmåtene for implementering av et kvalitetsstyringssystem (QMS) og et info(ISMS).

Kvalitetsstyringssystemet, implementert i samsvar med kravene i ISO 9001-standarden, har lenge vært anerkjent som et integrert attributt for et vellykket selskap som produserer produkter av høy kvalitet eller tilbyr tjenester av høy klasse. I dag er å ha et sertifikat for samsvar både en effektiv markedsføringsløsning og en mekanisme for å kontrollere produksjonsprosesser. QMS-revisjon er et utviklet forretningsområde.

Avhengigheten av selskapets vellykkede aktiviteter på bedriføker daglig. Dette skyldes økningen i volumet med vitale data som behandles i bedriftsinformasjonssystemet. Informasjonssystemer blir mer komplekse, og antall sårbarheter som finnes i dem øker også. ISMS-revisjon gjør det mulig å vurdere den nåværende sikkerhetstilstanden for funksjonen til bedriftsinformasjonssystemet,

vurdere og forutsi risiko, håndtere deres innvirkning på selskapets forretningsprosesser.

Siden ISO 9001-standarden lenge har tatt en ledende posisjon i antall sertifikater i verden, og ISO 27001-standarden viser en tendens til en økning i sertifiseringen avstemet, anbefales det å vurdere mulig samhandling og integrering av QMS og ISMS.

Integrering av standarder

Ved første øyekast er kvalitetsstyring og informasjonssikkerhet helt forskjellige områder. I praksis er de imidlertid nært beslektede og danner en helhet (figur 1). Kundetilfredshet, som er et objektivt kvalitetsmål, avhenger hvert år mer og mer av tilgjengeligheten av informasjonsteknologi og av datasikkerhet, for vedlikehold som ISO 27001-standarden brukes. sikkerhet. Takket være en integrert tilnærming kan ISO 27001 effektivt integreres i eksisterende QMS eller implementeres sammen med QMS.

(ISO 27001) og IT-tjenestestyring (ISO 20000) har en lignende struktur og prosesstilnærming. Dette skaper en synergi som lønner seg: I praksis sparer et integrert styringssystem for løpende operasjoner 20 til 30 prosent av de totale kostnadene for systemoptimalisering, kontroller og revisjoner.

Informasjonssikkerhets- og kvalitetsstyringsstandarder tar sikte på kontinuerlig forbedring i samsvar med PDCA-modellen (Plan-Do-Check-Act) kjent som Deming Cycle (se figur 2). I tillegg har de samme struktur, som vist i korrespondansetabellen i vedlegg C til ISO 27001. Begge standardene definerer prosesstilnærming, omfang, system- og dokumentasjonskrav og administrativt ansvar. I begge tilfeller ender strukturen med intern revisjon, ledelsesgjennomgang og systemforbedring. I dette samhandler begge systemene. For eksempel krever ISO 9001 administrasjon av ikke-samsvarende produkter. Likeledes har ISO 27001-standarden et hendelsestyringskrav for å løse feil.

Figur: 1. Sfærer av interaksjon og likhet mellom QMS og ISMS

Figur: 2. Deming-syklus

Mer enn 27.200 organisasjoner fra ulike bransjer i mer enn 100 land i verden er sertifisert i samsvar med ISO 9001: 2008 for kvalitetsstyring. Avhengig av markedet og juridiske krav, blir mange organisasjoner i økende grad tvunget til å håndtere informasjonssikkerhet. I denne forbindelse gir integrasjonen av kontrollsystemet reelle muligheter. Den helhetlige tilnærmingen er også interessant for selskaper som ikke har brukt noen ledelsesprosess før nå. ISO-standarder for kvalitet (ISO 9001), miljøvern (ISO 14000), informasjonssikkerhet

Forskjellene mellom standardene er nyttige for å utfylle hverandre, noe som avgjørende bidrar til økt forretningssuksess. For eksempel krever ISO 9001 definisjon av bedriftsmål, kundefokus og målbarhet, i hvilken grad mål og mål oppnås. Dette er tre saker som ikke er i fokus for ISO 27001. I sin tur prioriterer denne standarden risikostyring for å opprettholde forretningskontinuitet og tilbyr detaljert hjelp til å implementere et ISMS. Sammenlignet

med dette er ISO 9001 mer en teoretisk standard.

ISO 27001 - en standard ikke bare for IT

Mange tror at ISO 27001 bare er for IT-prosesser, men i virkeligheten er det ikke. Det grunnleggende poenget for implementeringen av ISO 27001 SM&B-standarden er definisjonen av eiendeler.

■ "lilltpHiimiir-J." IJilllF.lEL ^ OIU.IC.

r t ^ tsdkpinizh ts netvk ^ tnslshs tEp.tna.

»■ irreiiKinfundu« GcTMHiiociv

* KYADROMK:

■ JI! L "|" l "L\u003e 4_l] Jil" HIIL, k

"D | KtttcCcU H" patitU.

"Jimii 14: ii | vju7JIIIM.

Figur: 3. Typer eiendeler

En eiendel forstås som alt som er av verdi for selskapet (figur 3). Det vil si at en ressurs kan være: menneskelige ressurser, infrastruktur, verktøy, utstyr, kommunikasjon, tjenester og andre eiendeler, inkludert tjenester for levering av kjøpte produkter. Basert på prosessene bestemmer selskapet hvilke eiendeler det har og hvilke eiendeler som er involvert i kritiske prosesser, og vurderer verdien av eiendelene. Og først etter det blir risikovurderingen gjort for alle verdifulle eiendeler. Dermed er ISMS ikke bare ment for digital informasjon som behandles i et automatisert system. For eksempel involverer noen av de mest kritiske prosessene

Opplæring

hendelsesplaner

2 Kontroller H: i match

med lagring av papirkopier av informasjon, som også dekkes av ISO 27001. En ISMS dekker alle måtene viktig informasjon kan lagres i ditt firma, fra hvordan e-postene dine blir beskyttet til der ansattes personlige filer lagres i bygningen.

Derfor er det en enorm misforståelse at siden standarden er rettet mot å bygge etstem, så kan dette bare gjelde data lagret på en datamaskin. Selv i vår digitale tidsalder er det fortsatt mye informasjon på papir, som også må beskyttes pålitelig.

ISO 9001 kan ikke oppfylle selskapets informasjonssikkerhetsbehov, siden det er snevre fokusert på produktkvalitet. Derfor er det veldig viktig å implementere ISO 27001 i selskapet. Ved første øyekast kan det virke som en spesialist ser ut til at begge standardene er veldig generelle og ikke har spesifisitet. Dette er imidlertid ikke tilfelle: ISO 27001-standarden beskriver nesten alle trinn for implementering og kontroll av funksjonen til et ISMS (figur 4).

De viktigste trinnene i å bygge etstem

Hovedstadiene for å bygge et ISMS er illustrert i figur 4. La oss vurdere dem nærmere.

Trinn 1. Utarbeidelse av handlingsplaner. På dette stadiet samler spesialister organisasjons- og administrative dokumenter (ORD) og annet arbeidsmateriell,

3 En type normal II ORD

4 Analyse ii risikovurderinger 11B

Gjennomføring

5 RyazraOoghya og<> RaeryaOopv kompleks & 00 \\ * ieiitii:

strålingsplaner ■ -\u003e standarder -\u003e hendelser -\u003e CfftpJOTHW *

aktiviteter Man\u003e PB ORD Poenpzhenie

Dannelse av 10 AiUtuin evaluering av resultatene av INRsnEsS "IMB

Figur: 4. Stadier for å bygge et ISMS

vedrørende konstruksjon og drift av selskapets informasjonssystemer, mekanismer og midler for informasjonssikkerhet planlagt for bruk. I tillegg utarbeides handlingsplaner for arbeidsfaser, avtales og godkjennes av selskapets ledelse.

Trinn 2. Kontroll av samsvar med ISO / IEC 27001: 2005. Intervju og avhør av ledere og ansatte ved avdelingene. Analyse av selskapets ISMS for samsvar med kravene i ISO / IEC 27001: 2005.

Trinn 3. Analyse av regulatoriske og organisatoriske og administrative dokumenter basert på organisasjonsstrukturen i selskapet. Basert på resultatene blir det beskyttede omfanget (OD) bestemt og en skisse av selskapets informasjonssikkerhetspolitikk utvikles.

Trinn 4. Analyse og vurdering av informasjonssikkerhetsrisiko. Utvikling av en metodikk for å håndtere selskapets risikoer og analysere dem. Analyse av selskapets informasjonsressurser, primært LAN, for å identifisere trusler og sårbarheter for de beskyttede ML-eiendelene. Varelager. Gjennomføre konsultasjoner for selskapets spesialister og vurdere overholdelse av det faktiske og nødvendige sikkerhetsnivået. Beregning av risiko, bestemmelse av gjeldende og akseptabelt risikonivå for hver spesifikke eiendel. Risikorangering, utvalg av tiltakskomplekser for å redusere dem og beregning av den teoretiske effektiviteten ved implementering.

Trinn 5. Utvikling og gjennomføring av IS-handlingsplaner. Utvikling av en uttalelse om anvendeligheten av kontroller i samsvar med ISO / IEC 27001: 2005. Utvikling av en plan for regnskapsføring og eliminering av risiko. Utarbeidelse av rapporter for leder av selskapet.

Fase 6. Utvikling av regulatorisk og OSA. Utvikling og godkjenning av den endelige IB-policyen og tilhørende bestemmelser (private policyer). Utvikling av standarder, prosedyrer og instruksjoner for å sikre normal funksjon og drift av selskapets ISMS.

Trinn 7. Implementering av omfattende tiltak for å redusere informasjonssikkerhetsrisiko og vurdere effektiviteten i samsvar med planen for behandling og eliminering av risiko godkjent av ledelsen.

Fase 8. Personaltrening. Utvikling av handlingsplaner og implementering av opplærings- og kompetanseforbedringsprogrammer for bedriftens ansatte for effektivt å formidle til alle ansatte og

først og fremst de som jobber i strukturelle enheter som gir viktige forretningsprosesser.

Fase 9. Rapporteringsdannelse. Systematisering av undersøkelsesresultater og rapportering. Presentasjon av arbeidsresultater for bedriftsledere. Utarbeidelse av dokumenter for lisensiering for samsvar med ISO / IEC 27001: 2005 og overføring til sertifiseringsorganisasjonen.

Trinn 10. Analyse og vurdering av resultatene av ISMS-implementering basert på metodikken som evaluerer påliteligheten til selskapets ISMS-funksjon. Utvikling av anbefalinger for forbedring av selskapets IS-styringssystem.

Når vi analyserer hvert trinn av ISMS-implementering, kan vi si at ISO 27001 har en klar struktur og krav som gjør at du kan bygge et fungerende system der det vil være samhandling på alle nødvendige nivåer. Men vi må ikke glemme at hovedforskjellen mellom ISMS og QMS er at det første systemet er fokusert på informasjonssikkerhet.

Betydningen av informasjonssikkerhet i den moderne verden

Dagens virksomhet kan ikke eksistere uten informasjonsteknologi. Det er kjent at omtrent 70% av verdens totale nasjonale produkt på en eller annen måte avhenger av informasjonen som er lagret i informasjonssystemer. Den utbredte introduksjonen av datamaskiner har skapt ikke bare kjente bekvemmeligheter, men også problemer, hvor det alvorligste er problemet med informasjonssikkerhet.

Bedriftsledere må forstå viktigheten av informasjonssikkerhet, lære å forutsi og håndtere trender på dette området. I dette kan de bli hjulpet av innføringen av et ISMS, som i sin struktur har potensiale for utvikling, gjennomsiktighet i ledelsen, fleksibilitet for eventuelle endringer. I tillegg til kontroller for datamaskiner og datanettverk, følger ISO 27001-standarden stor vekt på utvikling av sikkerhetspolitikk, arbeid med personell (ansettelse, opplæring, oppsigelse fra arbeid), og sikrer kontinuitet i produksjonsprosessen, forskriftskrav, samtidig, visse tekniske problemer beskrevet i andre standarder i serien

ISO 27000. Det er mange fordeler med å introdusere ISIB i selskapet, noen av dem er vist i fig. fem.

Glbkshl Skala pODr\u003e h; b1 [h-th

Avvis ¡juvum

HiKiinimi n II11 \\ 11 H "G 1111 111 pudnT

Prtrtshal wyrdoctle

"Ji | m | ill s. Ki u:

azhshchtnya # Tsn ^ st

Figur: 5. Fordeler med å implementere et styringssystem for informasjonssikkerhet

Fordelene med ISO bør påpekes

Demonstrasjon av sikkerhetskompetanse. ISO 27001 er en praktisk guide for en organisasjon som skal bidra til å formulere sikkerhetskrav for å oppnå det nødvendige sikkerhetsnivået og oppfylle spesifikke sikkerhetsmål. Det er spesielt viktig for organisasjoner å være kompetente innen fire områder av sikkerhetsstyring, inkludert: identifisering og vurdering av selskapets eiendeler, vurdering av risiko og definering av kriterier for risikoaksept, styring og vedtak av disse elementene, og kontinuerlig forbedring av organisasjonens samlede sikkerhetsprogram.

Sikre kundetillit. ISO 27001 gir uavhengig bevis for at programmer for eierstyring og selskapsledelse støttes av internasjonal beste praksis. ISO 27001-sertifisering gir trygghet til selskaper som ønsker å demonstrere integritet overfor kunder, aksjonærer og potensielle partnere, og viktigst av alt, å vise at et selskap med hell har implementert et robust styringssystem for informasjonssikkerhet. For mange høyt regulerte bransjer som økonomi eller internettjenester, kan leverandørvalg

være begrenset til de organisasjonene som allerede er ISO 27001-sertifiserte.

Mer effektiv ressursbruk. Takket være bruken av prosesstilnærmingen er det mulig å optimalisere prosessene som foregår i selskapet. Noe som medfører en reduksjon i ressursbruken, for eksempel tid.

Kontinuerlig forbedring. ISMS bruker PCDA-modellen, som lar deg regelmessig kontrollere statusen til hele systemet, analysere og forbedre styringssystemet

1. Bilde, merke. Sertifisering for overholdelse av ISO 27001 åpner store muligheter for selskapet: tilgang til internasjonalt nivå, nye partnerskap, flere kunder, nye kontrakter, suksess i anbud. Tilstedeværelsen av et ISMS i et selskap er en indikator på høyt utviklingsnivå.

2. Fleksibilitet i ISMS. Uavhengig av endringer i prosesser, ny teknologi, forblir grunnlaget for ISMS-strukturen effektivt. ISMS tilpasser seg ganske enkelt innovasjoner ved å modernisere eksisterende og innføre nye mottiltak.

3. Skalerbarhet i implementeringen av standarden. Siden ISO 27001 krever omfang, kan bare en delmengde av prosesser sertifiseres. Du kan begynne å implementere ISMS i den viktigste OA for selskapet, og bare senere utvide.

4. Revisjon. Mange russiske selskaper oppfatter revisjonsarbeid som en katastrofe. ISO 27001 viser en internasjonal tilnærming til revisjon: først og fremst selskapets interesse for å faktisk oppfylle standardene, og ikke gjøre sertifiseringen på en eller annen måte, bare "for show".

5. Regelmessige interne eller eksterne revisjoner tillater å korrigere brudd, forbedre ISMS og redusere risikoen betydelig. Først og fremst trenger selskapet det for sin egen sjelefred, at alt er i orden og risikoen for tap minimeres. Og allerede av sekundær betydning - et sertifikat for samsvar, som bekrefter for partnere eller kunder at dette selskapet kan stole på.

6. Gjennomsiktighet i ledelsen. Bruken av ISO 27001-standarden gir ganske klare instruksjoner for å opprette ledelse, og

også kravene til dokumentasjonen som må være i selskapet. Problemet med mange selskaper er at eksisterende dokumenter for bestemte avdelinger rett og slett ikke er lesbare, fordi det ofte er umulig å finne ut hva som er ment for hvem på grunn av dokumentasjonssystemets kompleksitet. Hierarkiet av nivåer av dokumentasjon, fra informasjonssikkerhetspolicy til beskrivelse av spesifikke prosedyrer, gjør bruken av eksisterende regler, forskrifter og andre ting mye enklere. Innføringen av SM & B innebærer også opplæring av ansatte: å holde seminarer, utsendelser, hengende advarselsplakater, noe som øker bevisstheten om informasjonssikkerhet blant vanlige ansatte betydelig.

Avslutningsvis skal det bemerkes at i moderne virksomhet er det umistelige med det grunnleggende kvalitetsstyringssystemet, bygget i samsvar med kravene i ISO 9001, og det å få posisjonen tilstemet.

I dag vil markedsleder være selskaper som overvåker ikke bare kvalitetsindikatorene for produkter og tjenester, men også nivået av konfidensialitet, integritet og tilgjengelighet av informasjon om dem. Prognoser og risikovurdering er også en viktig suksessfaktor, som krever en kompetent tilnærming og bruk av beste internasjonale praksis. Felles implementering og sertifisering av kvalitetsstyrings- og informasjonssikkerhetssystemer vil bidra til å løse et bredt spekter av oppgaver for enhver bransje eller handel, noe som igjen vil føre til en kvalitativ økning i nivået på tilbudte tjenester.

Litteratur

1. Dorofeev AV, Shahalov I. Yu. Grunnleggende om forvaltning av informasjonssikkerhet i en moderne organisasjon // Juridisk informatikk. 2013. Nr. 3. S. 4-14.

2. Chashkin VN Infosom et element i organisasjonens informasjons- og teknologiske aktivitetsstyringssystem // Sikkerhet av informasjonsteknologi. 2009. Nr. 1. S. 123-124.

3. Goryachev VV Ny GOST for QMS. Hovedforskjeller fra GOST RV 15.002-2003 //

Kvalitetsstyringsmetoder. 2013. Nr. 7. S. 18-23.

4. Dotsenko SP, Pshenetskiy SP Tilnærming til å bygge en modell for inform// Polytematisk nettverk elektronisk vitenskapelig tidsskrift fra Kuban State Agrarian University. 2009. nr. 53. S. 47-56.

5. Kamenev AV, Zavoritko EV Modell for informi virksomheten (i organisasjonen) // Intellekt. Innovasjon. Investeringer. 2013. Nr. 1. S. 111-114.

6. Soloviev A. M. Normativ og metodisk base innen informasjonssikkerhet // Økonomi, statistikk og informatikk. Bulletin av UMO. 2012. Nr. 1. S. 174-181.

7. Kozin IF, Livshits II Informasjonssikkerhet. Integrering av internasjonale standarder i Russlands informasjonssikkerhetssystem // Informatisering og kommunikasjon. 2010. Nr. 1. S. 50-55.

8. Kolodin VS-sertifisering av integrerte styringssystemer // Bulletin fra Irkutsk State Technical University. 2010. T. 41. nr. 1. S. 44-48.

9. Merkushova NI, Naumenko Yu. A., Merkushova Yu. A. Integrerte styringssystemer: forutsetninger for opprettelse ved russiske virksomheter // Ung forsker.

2013. nr. 12 (59). S. 327-331.

10. Voropaeva V. Ya., Shcherbov IL, Khaustova ED Infoav informasjons- og telekommunikasjonssystemer basert på "P1ap-Do-Check-Act" -modellen // Naukov1-slynge fra Donetsk National Technical University. Ser1ya: "Beregningsteknisk og automatisert". 2013. nr. 2 (25). S. 104-110.

11. Dorofeev AV, Markov AS Informasjonssikkerhetsadministrasjon: grunnleggende konsepter // Cybersecurity issues.

2014. nr. 1 (2). S. 67-73.

12. Shper VL Om standard 18O / 1EC 27001 // Metoder for kvalitetsstyring. 2008. nr. 3. S. 60-61.

13. Markov AS, Tsirlov VL Risikostyring - normativt vakuum for informasjonssikkerhet // Åpne systemer. DBMS. 2007. Nr. 8. S. 63-67.

14. Matveev V. A., Tsirlov V. L. Status og utviklingsmuligheter for i Russland

i 2014 // Cybersecurity Issues. 2013. nr. 1 (1). S. 61-64.

15. Barabanov A. V. Standardisering av prosessen med å utvikle sikre programvareverktøy // Problemer med cybersikkerhet. 2013. nr. 1 (1). S. 37-41.

16. Markov A.S., Tsirlov V.L. Retningslinjer for cybersikkerhet i sammenheng

ISO 27032 // Cybersecurity-problemer. 2014. nr. 1 (2). S. 28-35. 17. Khramtsovskaya N. Hva en leder trenger å vite om informasjonssikkerhet // Kadrovik. 2009. Nr. 4. S. 061-072.