Vyhledávání 

Způsoby vytvoření systému řízení bezpečnosti informací v podnicích v Doněcké oblasti. Systém řízení bezpečnosti informací

Opravdu, je to trapné. Informovali jsme o brzkém vydání normy ISO 45001, která by měla nahradit současnou normu řízení bezpečnosti a ochrany zdraví při práci OHSAS 18001, a řekli jsme, že ji máme očekávat koncem roku 2016... Je skoro půlnoc a stále nic nenasvědčuje Herman. Je na čase přiznat, že ISO 45001 je zpožděné. Pravda, podle dobré důvody. Odborná komunita na něj měla příliš mnoho otázek. […]

  • Duální článek se rýsuje. Mezinárodní organizace Normalizace jasně vyjádřila svůj postoj k používání svých označení norem na výrobcích – ISO říká „ne“. Podnikatelé to však stále chtějí dělat. Jak by měli být? Proč ne, přesně tak? Pozadí otázky je následující. Jak jste pochopili, normy ISO přímo nesouvisí s produkty vyráběnými podniky, které jsou pro ně certifikované. […]

  • Dokončíme téma. V minulém článku jsme zahájili rozhovor o osmi principech QMS. Principy, na kterých je postaven každý systém managementu kvality. Naším cílem je převést tyto principy z jazyka obchodních koučů do lidské řeči. Aby se z nich daly čerpat skutečné výhody. Mluvili jsme o zákaznické orientaci. Mluvili o tom, jak vyrobit ne „něco [...]

  • Mnoho lidí mluví o řízení kvality. Ale z nějakého důvodu to říkají tak, že nakonec není nic jasné. To znamená, že management kvality zůstává slovy. Příliš mnoho chytrými slovy. Přeložme si je do normální řeči a pochopíme, jak principy managementu kvality skutečně pomáhají zlepšovat činnost firmy. Obejdeme se bez dlouhých předeher. Celkem aktuálně relevantní systémy managementu kvality, z nichž nejoblíbenější [...]

  • Projektový management... Jsem si jistý, že existuje mnoho lidí, kteří strávili příliš mnoho času komunikací s nejrůznějšími obchodními konzultanty - a teď už jen když slyším takovou frázi, začíná se cítit lehce nevolno. Co dělat? Vypusťme obchodní konzultanty z hlavy a řekněme věc lidskou řečí. Projektový management nemusí být nutně člověk v bílé košili, který fixou kreslí složité diagramy a vývojové diagramy […]

    • (SMIB)- ta část společný systém management, který je založen na přístupu k podnikatelským rizikům při vytváření, implementaci, provozu, monitorování, analýze, podpoře a zlepšování informační bezpečnost.

    Pokud je postaven v souladu s požadavky ISO/IEC_27001, je založen na modelu PDCA:

      Plán(Plánování) - fáze tvorby ISMS, tvorba seznamu aktiv, hodnocení rizik a výběr opatření;
      Dělat(Action) - fáze provádění a provádění vhodných opatření;
      Šek(Verifikace) - fáze hodnocení účinnosti a výkonnosti ISMS. Obvykle provádí interní auditoři.
      Akt(Zlepšení) - provádění preventivních a nápravných opatření;

    Koncepce bezpečnosti informací

    Norma ISO 27001 definuje bezpečnost informací jako: „zachování důvěrnosti, integrity a dostupnosti informací; kromě toho mohou být zahrnuty další vlastnosti, jako je autenticita, nepopiratelnost a spolehlivost."

    Důvěrnost – zajistit, aby informace byly přístupné pouze těm, kteří mají příslušné oprávnění (oprávnění uživatelé).

    Integrita – zajištění správnosti a úplnosti informací, jakož i způsobů jejich zpracování.

    Dostupnost – poskytování přístupu k informacím oprávněným uživatelům v případě potřeby (na vyžádání).

    4 Systém řízení bezpečnosti informací

    4.1 Obecné požadavky

    Organizace musí zavést, implementovat, používat, monitorovat, přezkoumávat, udržovat a zlepšovat dokumentovaná ustanovení ISMS v rámci obchodních aktivit organizace a rizik, kterým čelí. Pro praktický přínos této mezinárodní normy je použitý proces založen na modelu PDCA znázorněném na Obr. 1.

    4.2 Vytvoření a správa ISMS

    4.2.1 Vytvoření ISMS

    Organizace musí udělat následující.

    a) S přihlédnutím ke specifikům činnosti organizace, organizaci samotné, jejímu umístění, majetku a technologii určit rozsah a hranice ISMS, včetně podrobností a zdůvodnění pro vyloučení případných ustanovení dokumentu z návrhu ISMS (viz 1.2). ).

    b) S přihlédnutím k charakteristikám činností organizace, organizace samotné, její umístění, aktiva a technologie vypracujte politiku ISMS, která:

    1) obsahuje systém stanovování cílů (úkolů) a stanovuje obecný směr řízení a zásady jednání ohledně informační bezpečnosti;

    2) zohledňuje obchodní a právní nebo regulační požadavky, závazky smluvního zabezpečení;

    3) je napojena na prostředí strategického řízení rizik, ve kterém probíhá tvorba a údržba ISMS;

    4) stanoví kritéria, podle kterých bude riziko hodnoceno (viz 4.2.1 c)); A

    5) schváleno vedením.

    POZNÁMKA: Pro účely této mezinárodní normy je politika ISMS považována za rozšířenou sadu zásad bezpečnosti informací. Tyto zásady lze popsat v jednom dokumentu.

    c) Vypracovat koncepci hodnocení rizik v organizaci.

    1) Určete metodiku hodnocení rizik, která vyhovuje ISMS a zavedeným požadavkům na bezpečnost obchodních informací, právním a regulačním požadavkům.

    2) Vytvořte kritéria přijatelnosti rizika a určete přijatelné úrovně rizika (viz 5.1f).

    Zvolená metodika hodnocení rizik by měla zajistit, aby hodnocení rizik poskytovalo srovnatelné a reprodukovatelné výsledky.

    POZNÁMKA: Existují různé metodiky hodnocení rizik. Příklady metodik hodnocení rizik jsou popsány v MOS/IEC TU 13335-3, Informační technologie – doporučení pro managementTOBezpečnost – metody řízeníTOBezpečnostní.

    d) Identifikujte rizika.

    1) Identifikujte majetek v rámci ustanovení ISMS a vlastníky2 (2 Pojem „vlastník“ se ztotožňuje s osobou nebo subjektem, který je schválen k tomu, aby byl odpovědný za řízení výroby, vývoje, Údržba, aplikací a zabezpečení majetku. Pojem „vlastník“ neznamená, že daná osoba skutečně vlastní nějaká vlastnická práva k aktivu.

    2) Identifikujte nebezpečí pro tato aktiva.

    3) Identifikujte zranitelná místa v bezpečnostním systému.

    4) Identifikujte dopady, které ničí důvěrnost, integritu a dostupnost aktiv.

    e) Analyzovat a vyhodnocovat rizika.

    1) Posoudit škodu na podnikání organizace, která může být způsobena selháním bezpečnostního systému a může být důsledkem porušení důvěrnosti, integrity nebo dostupnosti aktiv.

    2) Určete pravděpodobnost selhání bezpečnostního systému s ohledem na převládající nebezpečí a zranitelnosti, dopady na majetek a aktuálně implementované kontroly.

    3) Posuďte úrovně rizika.

    4) Určit přijatelnost rizika nebo požadovat jeho snížení pomocí kritérií přijatelnosti rizika stanovených v 4.2.1c)2).

    f) Identifikujte a vyhodnoťte nástroje snižování rizik.

    Mezi možné akce patří:

    1) Aplikace vhodných kontrol;

    2) Vědomé a objektivní přijímání rizik, zajištění jejich bezpodmínečné shody s požadavky politiky organizace a kritérii přijatelnosti rizik (viz 4.2.1c)2));

    3) Vyhýbání se riziku; A

    4) Převod příslušných obchodních rizik na jinou stranu, např. pojišťovny, dodavatele.

    g) Zvolte cíle a kontroly ke snížení rizik.

    Cíle a kontroly by měly být vybrány a implementovány v souladu s požadavky stanovenými v procesu hodnocení rizik a snižování rizik. Tato volba by měla brát v úvahu jak kritéria tolerance rizika (viz 4.2.1c)2), tak právní, regulační a smluvní požadavky.

    Úkoly a ovládací prvky v Dodatku A musí být vybrány jako součást tohoto procesu, aby byly splněny stanovené požadavky.

    Protože v příloze A nejsou uvedeny všechny úkoly a ovládací prvky, lze vybrat další.

    POZNÁMKA: Příloha A obsahuje úplný seznam cílů managementu, které byly identifikovány jako nejdůležitější pro organizace. Abychom nevynechali ani jednu důležitý bod U možností kontroly by se uživatelé této mezinárodní normy měli spoléhat na přílohu A jako výchozí bod pro kontrolu vzorků.

    h) Získat souhlas s řízením předpokládaných zbytkových rizik.

    4) usnadnit detekci bezpečnostních událostí, a tak pomocí určitých indikátorů předcházet bezpečnostním incidentům; A

    5) určit účinnost opatření přijatých k zabránění narušení bezpečnosti.

    b) Provádět pravidelné revize účinnosti ISMS (včetně projednávání politiky ISMS a jejích cílů, revize bezpečnostních kontrol), s přihlédnutím k výsledkům auditů, incidentů, výsledkům měření výkonnosti, návrhům a doporučením všech zainteresovaných stran. .

    c) Vyhodnoťte účinnost kontrol, abyste určili, zda jsou splněny požadavky na bezpečnost.

    d) Zkontrolujte hodnocení rizik pro plánovaná období a zkontrolujte zbytková rizika a přípustné úrovně rizik, s přihlédnutím ke změnám v:

    1) organizace;

    2) technologie;

    3) obchodní cíle a procesy;

    4) identifikované hrozby;

    5) účinnost provedených kontrol; A

    6) vnější události, jako jsou změny právního a manažerského prostředí, změněné smluvní závazky, změny společenského klimatu.

    e) Provádět interní audity ISMS v plánovaných obdobích (viz 6)

    POZNÁMKA: Interní audity, někdy nazývané primární audity, se provádějí jménem organizace samotné pro její vlastní účely.

    f) Pravidelně přezkoumávat správu ISMS, aby bylo zajištěno, že ustanovení je i nadále vhodné a že se ISMS zlepšuje.

    g) Aktualizovat bezpečnostní plány na základě údajů získaných monitorováním a auditem.

    h) Zaznamenejte činnosti a události, které mohou mít dopad na účinnost nebo výkon ISMS (viz 4.3.3).

    4.2.4 Podpora a zlepšování ISMS

    Organizace musí neustále dělat následující.

    a) Provést určité opravy ISMS.

    b) Přijmout vhodná nápravná a preventivní opatření v souladu s 8.2 a 8.3. Aplikujte znalosti nashromážděné samotnou organizací a získané ze zkušeností jiných organizací.

    c) sdělovat své činnosti a zlepšení všem zainteresovaným stranám na úrovni podrobnosti odpovídající situaci; a podle toho koordinovat své akce.

    d) Zajistit, aby zlepšení dosáhla svého zamýšleného účelu.

    4.3 Požadavky na dokumentaci

    4.3.1 Obecné

    Dokumentace musí obsahovat protokoly (záznamy) manažerská rozhodnutí přesvědčit, že potřeba akce je určena rozhodnutími a politikami managementu; a zajistit reprodukovatelnost zaznamenaných výsledků.

    Důležité je umět předvést zpětná vazba vybrané kontroly s výsledky procesů hodnocení rizik a snižování rizik a dále pak s politikou ISMS a jejími cíli.

    Dokumentace ISMS musí obsahovat:

    a) dokumentovaná prohlášení o politice a cílech ISMS (viz 4.2.1b));

    b) pozice ISMS (viz 4.2.1a));

    c) koncepce a kontroly na podporu ISMS;

    d) popis metodiky hodnocení rizik (viz 4.2.1c));

    e) zpráva o hodnocení rizik (viz 4.2.1c) – 4.2.1g));

    f) plán snižování rizik (viz 4.2.2b));

    g) zdokumentovaný koncept, potřebné pro organizaci zajistit účinnost plánování, provozování a řízení svých procesů informační bezpečnosti a popis, jak měřit účinnost kontrol (viz 4.2.3c));

    h) dokumenty požadované touto mezinárodní normou (viz 4.3.3); A

    i) Prohlášení o použitelnosti.

    POZNÁMKA 1: Pro účely této mezinárodní normy termín „dokumentovaný koncept“ znamená, že koncept je implementován, dokumentován, implementován a dodržován.

    POZNÁMKA 2: Velikost dokumentace ISMS v různých organizacích se může lišit v závislosti na:

    velikost organizace a druh jejího majetku; A

    Rozsah a složitost požadavků na zabezpečení a spravovaného systému.

    POZNÁMKA 3: Dokumenty a zprávy mohou být poskytovány v jakékoli formě.

    4.3.2 Kontrola dokumentů

    Dokumenty požadované ISMS je třeba chránit a regulovat. Je nutné schválit dokumentační postup nezbytný k popisu činností managementu pro:

    a) zjištění souladu dokumentů s určitými normami před jejich zveřejněním;

    b) kontrola a aktualizace dokumentů podle potřeby, opětovné schvalování dokumentů;

    c) zajištění souladu změn se současným stavem revidovaných dokumentů;

    d) zajištění dostupnosti důležitých verzí aktuálních dokumentů;

    e) zajištění srozumitelnosti a čitelnosti dokumentů;

    f) zajištění toho, aby dokumenty byly přístupné těm, kdo je potřebují; jakož i jejich přenos, skladování a nakonec zničení v souladu s postupy používanými v závislosti na jejich klasifikaci;

    g) zjišťování pravosti dokumentů z externích zdrojů;

    h) kontrola distribuce dokumentů;

    i) předcházení neúmyslnému použití zastaralých dokumentů; A

    j) použití vhodného způsobu identifikace, pokud jsou uchovávány pro případ.

    4.3.3 Kontrola záznamů

    Měly by být vytvořeny a udržovány záznamy, aby bylo zajištěno dodržování požadavků a efektivní provoz ISMS. Záznamy musí být chráněny a ověřeny. ISMS musí brát v úvahu veškeré právní a regulační požadavky a smluvní závazky. Záznamy musí být srozumitelné, snadno identifikovatelné a dohledatelné. Musí být zdokumentovány a zavedeny kontroly nezbytné pro identifikaci, uchovávání, ochranu, obnovu, dobu uchovávání a zničení záznamů.

    Záznamy by měly obsahovat informace o provádění činností popsaných v 4.2 ao všech incidentech a významných bezpečnostních incidentech souvisejících s ISMS.

    Příklady záznamů zahrnují knihu návštěv, protokoly auditu a vyplněné formuláře oprávnění k přístupu.

    Norma BS ISO/IEC 27001:2005 popisuje model systému řízení informační bezpečnosti (ISMS) a nabízí soubor požadavků na organizaci informační bezpečnosti v podniku bez ohledu na implementační metody zvolené pracovníky organizace.

    Kontrola - fáze hodnocení účinnosti a výkonnosti ISMS. Obvykle provádí interní auditoři.

    O vytvoření (a následné certifikaci) ISMS rozhoduje nejvyšší vedení organizace. To demonstruje podporu managementu a potvrzení hodnoty ISMS pro podnik. Vedení organizace iniciuje vytvoření plánovací skupiny ISMS.

    Skupina odpovědná za plánování ISMS by měla zahrnovat:

    · zástupci vrcholového vedení organizace;

    · zástupci obchodních jednotek pokrytých ISMS;



    · specialisté útvarů informační bezpečnosti;

    · externí konzultanti (v případě potřeby).

    Výbor IS zajišťuje podporu provozu ISMS a jeho neustálé zlepšování.

    Pracovní skupina by se měla řídit regulačním a metodickým rámcem, a to jak ve vztahu k vytvoření ISMS, tak ve vztahu k oboru činnosti organizace, a samozřejmě obecným systémem státních zákonů.

    Normativní základ o vytvoření ISMS:

    · ISO/IEC 27000:2009 Slovník a definice.

    · ISO/IEC 27001:2005 Obecné požadavky na ISMS.

    ISO/IEC 27002:2005 Praktický průvodce o řízení bezpečnosti informací.

    · ISO/IEC 27003:2010 Praktický návod pro implementaci ISMS.

    · ISO/IEC 27004:2009 Metriky (měření) bezpečnosti informací.

    · ISO/IEC 27005:2011 Průvodce řízením rizik bezpečnosti informací.

    · Směrnice ISO/IEC 73:2002, Řízení rizik – Slovník – Pokyny pro použití v normách.

    · ISO/IEC 13335-1:2004, Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informačních a komunikačních technologií - Část 1: Koncepce a modely pro řízení bezpečnosti informačních a komunikačních technologií.

    · ISO/IEC TR 18044 Informační technologie - Bezpečnostní techniky - Řízení incidentů informační bezpečnosti.

    · ISO/IEC 19011:2002 Směrnice pro audity systémů managementu jakosti a/nebo environmentálního managementu.

    · Série metod British Standards Institute pro vytváření ISMS (dříve: dokumenty řady PD 3000).

    Proces vytváření ISMS se skládá ze 4 fází:

    Fáze 1. plánování ISMS.

    Stanovení zásad, cílů, procesů a postupů souvisejících s řízením rizik a bezpečností informací v souladu s celkovými politikami a cíli organizace.

    a) Definování rozsahu a hranic ISMS:

    · Popis druhu činnosti a obchodních cílů organizace;

    · Označení hranic systémů pokrytých ISMS;

    Popis majetku organizace (typy informační zdroje, software a hardware, personální a organizační struktura);

    · Popis obchodních procesů, které využívají chráněné informace.

    Popis hranic systému zahrnuje:

    Popis stávající struktury organizace (s možné změny které mohou vzniknout v souvislosti s rozvojem informačního systému).

    Zdroje informačního systému, které mají být chráněny ( Počítačové inženýrství informační, systémový a aplikační software). Pro jejich hodnocení je třeba zvolit systém kritérií a metodiku pro získávání hodnocení podle těchto kritérií (kategorizaci).

    Technologie zpracování informací a problémy k řešení. Pro úkoly, které mají být řešeny, musí být vytvořeny modely zpracování informací z hlediska zdrojů.

    Schéma informačního systému organizace a podpůrné infrastruktury.

    Zpravidla je v této fázi vypracován dokument, který stanoví hranice informačního systému, uvádí informační zdroje společnosti, které mají být chráněny, a poskytuje systém kritérií a metod pro hodnocení hodnoty. informační aktiva společnosti.

    b) Definování politiky ISMS organizace (rozšířená verze SDS).

    · Cíle, směry a principy činnosti v oblasti informační bezpečnosti;

    · Popis strategie řízení rizik (přístupů) v organizaci, strukturování protiopatření k ochraně informací podle typu (právní, organizační, hardware a software, inženýrství);

    · Popis kritérií významnosti rizika;

    · Postavení vedení, stanovení frekvence schůzek k tématům bezpečnosti informací na úrovni managementu, včetně periodického přezkoumávání ustanovení politiky bezpečnosti informací, jakož i postupu pro školení všech kategorií uživatelů informačního systému o bezpečnosti informací problémy.

    c) Určit přístup k hodnocení rizik v organizaci.

    Metodika hodnocení rizik se volí v závislosti na zavedeném ISMS obchodní požadavky ochrana informací, právní a regulační požadavky.

    Volba metodiky hodnocení rizik závisí na úrovni požadavků na režim informační bezpečnosti v organizaci, povaze zohledňovaných hrozeb (spektrum dopadu hrozeb) a účinnosti případných protiopatření k ochraně informací. Jedná se zejména o základní, ale i zvýšené či úplné požadavky na režim informační bezpečnosti.

    Minimální požadavky na režim informační bezpečnosti odpovídají základní úrovni informační bezpečnosti. Takové požadavky platí zpravidla pro standardní konstrukční řešení. Existuje řada standardů a specifikací, které berou v úvahu minimální (typický) soubor nejpravděpodobnějších hrozeb, jako jsou: viry, selhání hardwaru, neautorizovaný přístup atd. K neutralizaci těchto hrozeb je třeba přijmout protiopatření bez ohledu na pravděpodobnost jejich realizace a zranitelnost zdrojů. Není tedy nutné zvažovat charakteristiky hrozeb na základní úrovni. Zahraničními standardy v této oblasti jsou ISO 27002, BSI, NIST atd.

    V případech, kdy porušení režimu bezpečnosti informací vede k vážným následkům, jsou kladeny další zvýšené požadavky.

    Pro formulaci dalších zvýšených požadavků je nutné:

    Určete hodnotu zdrojů;

    Do standardní sady přidat seznam hrozeb relevantních pro studovaný informační systém;

    Posoudit pravděpodobnost hrozeb;

    Identifikujte zranitelnost zdrojů;

    Posoudit potenciální škody vlivem narušitelů.

    Je nutné zvolit metodiku hodnocení rizik, kterou lze s minimálními změnami průběžně používat. Existují dva způsoby: využít stávající metody a nástroje na trhu pro hodnocení rizik nebo si vytvořit vlastní metodiku, přizpůsobenou specifikům společnosti a oblasti činnosti pokryté ISMS.

    Poslední možnost je nejvýhodnější, protože dosud většina produktů existujících na trhu, které implementují tu či onu techniku ​​analýzy rizik, nesplňuje požadavky normy. Typické nevýhody těchto metod jsou:

    · standardní soubor hrozeb a zranitelností, které často nelze změnit;

    · přijetí jako aktiva pouze softwaru, hardwaru a informačních zdrojů - bez protiplnění lidské zdroje, služby a další důležité zdroje;

    · celková složitost techniky z hlediska jejího udržitelného a opakovaného použití.

    · Kritéria pro přijímání rizik a přijatelné úrovně rizika (musí vycházet z dosahování strategických, organizačních a řídících cílů organizace).

    d) Identifikace rizik.

    · Identifikace aktiv a jejich vlastníků

    Informační vstupy;

    Informační výstup;

    Informační záznamy;

    Zdroje: lidé, infrastruktura, vybavení, software, nástroje, služby.

    · Identifikace hrozeb (standardy hodnocení rizik často navrhují třídy hrozeb, které lze doplňovat a rozšiřovat).

    · Identifikace zranitelnosti (existují také seznamy nejběžnějších zranitelností, na které se můžete při analýze vaší organizace spolehnout).

    Stanovení hodnoty aktiv ( možné následky ztráty důvěrnosti, integrity a dostupnosti majetku). Informace o hodnotě aktiva lze získat od jeho vlastníka nebo od osoby, na kterou vlastník delegoval veškerou pravomoc nad aktivem, včetně zajištění jeho bezpečnosti.

    e) Hodnocení rizik.

    · Posouzení škod, které mohou být způsobeny podniku ztrátou důvěrnosti, integrity a dostupnosti aktiv.

    · Posouzení pravděpodobnosti realizace hrozeb prostřednictvím stávajících zranitelností, s přihlédnutím ke stávajícím kontrolám bezpečnosti informací a posouzení možných způsobených škod;

    · Stanovení míry rizika.

    Použití kritérií přijatelnosti rizik (přijatelné/vyžadující ošetření).

    f) Ošetření rizik (v souladu se zvolenou strategií řízení rizik).

    Možné akce:

    Pasivní akce:

    Přijetí rizika (rozhodnutí o přijatelnosti výsledné míry rizika);

    Vyhýbání se riziku (rozhodnutí změnit aktivity, které způsobují danou úroveň rizika – přesunutí webového serveru mimo hranice lokální síť);

    Aktivní akce:

    Snížení rizik (pomocí organizačních a technických protiopatření);

    Přenos rizik (pojištění (požár, krádež, softwarové chyby)).

    Volba možných opatření závisí na přijatých kritériích rizika (je specifikována přijatelná úroveň rizika, úrovně rizika, které lze snížit kontrolami zabezpečení informací, úrovně rizika, při kterých se doporučuje opustit nebo změnit typ činnosti, která to způsobuje, a rizika, která je žádoucí přenést na další strany).

    g) Výběr cílů a kontrol pro řešení rizik.

    Cíle a kontroly musí implementovat strategii řízení rizik, zohledňovat kritéria pro přijímání rizik a legislativní, regulační a jiné požadavky.

    Norma ISO 27001-2005 poskytuje seznam cílů a kontrol jako základ pro vytvoření plánu řešení rizik (požadavky ISMS).

    Plán léčby rizik obsahuje seznam prioritních opatření ke snížení úrovně rizika s uvedením:

    · osoby odpovědné za realizaci těchto činností a prostředků;

    · načasování realizace aktivit a priority pro jejich realizaci;

    · zdroje pro provádění takových činností;

    · úrovně zbytkových rizik po provedení opatření a kontrol.

    Přijímání plánu léčby rizik a kontrolu nad jeho implementací provádí vrcholové vedení organizace. Dokončení klíčových aktivit záměru je kritériem pro rozhodnutí o zprovoznění ISMS.

    V této fázi je opodstatněný výběr různých protiopatření pro informační bezpečnost, strukturovaných podle regulační, organizační, manažerské, technologické a hardwarově-softwarové úrovně informační bezpečnosti. (Dále je implementován soubor protiopatření v souladu se zvolenou strategií řízení informačních rizik). V plné verzi analýzy rizik je u každého rizika dodatečně hodnocena účinnost protiopatření.

    h) Schválení navrhovaného zbytkového rizika vedením.

    i) Získání souhlasu vedení pro implementaci a zprovoznění ISMS.

    j) Prohlášení o použitelnosti (v souladu s ISO 27001-2005).

    Datum uvedení ISMS do provozu je datum schválení vrcholovým vedením společnosti Nařízení o použitelnosti kontrol, které popisuje cíle a prostředky zvolené organizací k řízení rizik:

    · nástroje řízení a kontroly zvolené ve fázi zpracování rizik;

    · nástroje řízení a kontroly, které již v organizaci existují;

    · prostředky k zajištění souladu s právními požadavky a požadavky regulačních organizací;

    · prostředky k zajištění plnění požadavků zákazníka;

    · prostředky k zajištění souladu s obecnými požadavky společnosti;

    · jakékoli další vhodné ovládací prvky a ovládací prvky.

    Fáze 2. Implementace a provoz ISMS.

    Pro implementaci a provozování politiky informační bezpečnosti, kontrol, procesů a postupů v oblasti informační bezpečnosti jsou prováděny následující akce:

    a) Vypracování plánu řešení rizik (popis plánovaných kontrol, zdrojů (software, hardware, personál) potřebných k jejich implementaci, podpora, kontrola a odpovědnost managementu za řízení rizik informační bezpečnosti (vývoj dokumentů ve fázi plánování, podpora cíle informační bezpečnosti, definice rolí a odpovědností, zajištění potřebné zdroje vytvořit ISMS, audit a analýzu).

    b) Přidělení finančních prostředků, rolí a odpovědností za implementaci plánu léčby rizik.

    c) Provádění plánovaných kontrol.

    d) Stanovení ukazatelů výkonu kontroly (metriky) a metod jejich měření, které poskytnou srovnatelné a reprodukovatelné výsledky.

    e) Zvyšování kvalifikace a informovanosti personálu v oblasti informační bezpečnosti v souladu s jeho pracovní náplní.

    f) Řízení provozu ISMS, řízení zdrojů pro údržbu, kontrolu a zlepšování ISMS.

    g) Implementace postupů a dalších kontrol k rychlému odhalování a reakci na incidenty v oblasti bezpečnosti informací.

    Fáze 3. Neustálé sledování a analýza fungování ISMS.

    Fáze zahrnuje posouzení nebo měření klíčových ukazatelů výkonnosti procesu, analýzu výsledků a poskytování zpráv vedení k analýze a zahrnuje:

    a) Provádění průběžného monitorování a analýzy (umožňuje rychle odhalit chyby ve fungování ISMS, rychle identifikovat a reagovat na bezpečnostní incidenty, rozlišovat role personálu a automatizované systémy v ISMS předcházet bezpečnostním incidentům pomocí analýzy neobvyklé chování určit efektivitu řešení bezpečnostních incidentů).

    b) Provádění pravidelných kontrol účinnosti ISMS (dodržování zásad a cílů ISMS, audity, klíčové ukazateleúčinnost, návrhy a reakce zúčastněných stran).

    c) Měření účinnosti kontrol k ověření, že jsou splněny požadavky na ochranu

    d) Pravidelné přehodnocování rizik, analýza zbytkových rizik a stanovení přijatelných úrovní rizik pro jakékoli změny v organizaci (obchodní cíle a procesy, identifikované hrozby, nově identifikovaná zranitelnost atd.)

    e) Periodické provádění interních auditů ISMS.

    ISMS audit – kontrola souladu vybraných protiopatření s cíli a záměry podnikání deklarovanými v politice průmyslové bezpečnosti organizace, na základě jeho výsledků jsou vyhodnocena zbytková rizika a v případě potřeby je provedena jejich optimalizace.

    f) Pravidelná kontrola rozsahu a trendů ISMS vedením.

    g) Aktualizace plánů řízení rizik tak, aby odrážely výsledky kontrol a analýz.

    h) Vedení záznamů událostí, které měly dopad Negativní vliv na efektivitu nebo kvalitu práce ISMS.

    Fáze 4. Podpora a zlepšování ISMS.

    Na základě výsledků interního auditu ISMS a analýzy managementu jsou vyvíjeny a realizovány nápravná a preventivní opatření neustálé zlepšování ISMS:

    a) Zlepšení politiky informační bezpečnosti, cílů ochrany informací, provádění auditů, analyzování pozorovaných událostí.

    b) Vývoj a realizace nápravných a preventivních opatření k odstranění nesouladu ISMS s požadavky.

    c) Monitorování zlepšení ISMS.

    Závěr

    ISO 27001 popisuje obecný model pro implementaci a provoz ISMS, stejně jako činnosti pro monitorování a zlepšování ISMS. ISO hodlá harmonizovat různé normy systému managementu, jako je ISO/IEC 9001:2000, která se zabývá managementem kvality, a ISO/IEC 14001:2004, která se zabývá systémy environmentálního managementu. Účelem ISO je zajistit konzistenci a integraci ISMS s ostatními systémy řízení ve společnosti. Podobnost norem umožňuje použití podobných nástrojů a funkčnosti pro implementaci, správu, revize, ověřování a certifikaci. Rozumí se, že pokud společnost zavedla jiné standardy řízení, může používat jednotný systém auditu a řízení, který je použitelný pro řízení kvality, environmentální řízení, řízení bezpečnosti atd. Zavedením ISMS má vrcholový management prostředky k monitorování a řízení zabezpečení, což snižuje zbytková obchodní rizika. Po implementaci ISMS může společnost formálně zajistit bezpečnost informací a nadále plnit požadavky zákazníků, legislativy, regulátorů a akcionářů.

    Za zmínku stojí, že v legislativě Ruské federace existuje dokument GOST R ISO/IEC 27001-2006, což je přeložená verze mezinárodní normy ISO27001.

    Bibliografie

    1. Kornejev I.R., Beljajev A.V. Bezpečnost podnikových informací. – Petrohrad: BHV-Petersburg, 2003. – 752 s.

    2.Mezinárodní norma ISO 27001

    (http://www.specon.ru/files/ISO27001.pdf) (datum přístupu: 23.05.2012).

    3.Národní standard Ruská Federace GOST R ISO/IEC 27003 - "Informační technologie. Bezpečnostní metody. Směrnice pro implementaci systému managementu bezpečnosti informací

    (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (datum přístupu: 23.05.2012).

    4. Skiba V.Yu., Kurbatov V.A. Průvodce ochranou před vnitřními hrozbami pro bezpečnost informací. Petrohrad: Petr, 2008. - 320 s.

    Systém řízení bezpečnosti informací je součástí celkového systému řízení založeného na využití metod hodnocení podnikatelských rizik pro vývoj, implementaci, provoz, monitorování, analýzu, podporu a zlepšování bezpečnosti informací.

    Systém řízení zahrnuje Organizační struktura, politiky, plánovací činnosti, rozdělení odpovědnosti, praktické činnosti, postupy, procesy a zdroje [GOST R ISO/IEC 27001-2006].

    Norma ISO 27001 definuje požadavky na systém řízení bezpečnosti informací (ISMS). Požadavky normy jsou do jisté míry abstraktní a nejsou vázány na specifika žádné oblasti činnosti společnosti.

    Rozvoj informačních systémů na počátku 90. let vedl k potřebě vytvořit standard pro řízení bezpečnosti. Na žádost britské vlády a průmyslu vyvinulo britské ministerstvo obchodu a průmyslu praxi ISMS.

    Původní norma BS 7799 ušla dlouhou cestu s řadou testů a úprav. Nejdůležitější etapou v jeho „kariéře“ byl rok 2005, kdy byl mezinárodně uznán standard pro posuzování ISMS (tj. potvrzena konzistence jeho požadavků na moderní ISMS). Od tohoto okamžiku začaly přední podniky po celém světě aktivně implementovat normu ISO 27001 a připravovat se na certifikaci.

    Struktura ISMS

    Moderní ISMS je procesně orientovaný systém řízení zahrnující organizační, dokumentační a hardwarové a softwarové komponenty. Lze rozlišit následující „pohledy“ na ISMS: procesní, dokumentární a zralost.

    Procesy ISMS jsou vytvářeny v souladu s požadavky normy ISO/IEC 27001:2005, která vychází z cyklu řízení Plan-Do-Check-Act. V souladu s ní se životní cyklus ISMS skládá ze čtyř typů činností: Tvorba - Implementace a provoz - Monitorování a analýza - Údržba a zlepšování. Dokumentované procesy ISMS zajišťují splnění všech požadavků normy 27001.

    Dokumentace ISMS se skládá ze zásad, dokumentovaných postupů, norem a záznamů a je rozdělena do dvou částí: řídící dokumentace ISMS a provozní dokumentace ISMS.

    Vyzrálý model ISMS určuje detailnost připravované dokumentace a stupeň automatizace procesů řízení a provozu ISMS. Při hodnocení a plánování se používá model zralosti CobiT. Program ISMS Maturity Improvement Program poskytuje složení a načasování činností ke zlepšení procesů řízení bezpečnosti informací a řízení provozu nástrojů bezpečnosti informací.

    Norma navrhuje použití modelu PDCA (Plan-Do-Check-Act). životní cyklus ISMS, který zahrnuje vývoj, implementaci, provoz, kontrolu, analýzu, podporu a zlepšování (obrázek 1).

    Plán - fáze vytvoření ISMS, vytvoření seznamu aktiv, posouzení rizik a výběr opatření;

    Do (Action) – fáze implementace a realizace vhodných opatření;

    Kontrola - fáze hodnocení účinnosti a výkonnosti ISMS. Obvykle provádí interní auditoři.

    Act – Provádění preventivních a nápravných opatření.

    Proces vytváření ISMS se skládá ze 4 fází:

    Plánovací proces, jehož účelem je identifikovat, analyzovat a navrhnout způsoby, jak zvládnout rizika informační bezpečnosti. Při vytváření tohoto procesu byste měli vyvinout metodiku pro kategorizaci informačních aktiv a formální hodnocení rizik na základě údajů relevantních pro informační infrastruktura hrozby a zranitelnosti. Pokud jde o auditování PCI DSS, existují dva typy cenných informačních aktiv, které mají různé úrovně kritičnosti: data držitelů karet a kritická autentizační data.

    Proces zavádění plánovaných metod zpracování rizik, který popisuje postup spuštění nového procesu informační bezpečnosti nebo modernizace stávajícího. Zvláštní pozornost by měla být věnována popisu rolí a odpovědností a plánování implementace.

    Proces sledování fungujících procesů ISMS (za zmínku stojí, že jak procesy ISMS, tak samotný ISMS podléhají sledování výkonnosti - čtyři procesy řízení přece nejsou žádné žulové sochy a je na ně aplikovatelná seberealizace).

    Proces zlepšování procesů ISMS v souladu s výsledky monitorování, který umožňuje realizovat nápravná a preventivní opatření.

    GOST R ISO/IEC 27001-2006" Informační technologie. Metody a prostředky zajištění bezpečnosti. Systémy řízení bezpečnosti informací. Požadavky"

    Tvůrci normy podotýkají, že byla připravena jako model pro vývoj, implementaci, provoz, monitorování, analýzu, podporu a zlepšování systému řízení bezpečnosti informací (ISMS). ISMS (anglicky - information security management system; ISMS) je definován jako součást celkového systému řízení, založeného na využití metod hodnocení podnikatelských rizik pro vývoj, implementaci, provoz, monitorování, analýzu, podporu a zlepšování bezpečnosti informací. Systém managementu zahrnuje organizační strukturu, zásady, plánovací činnosti, odpovědnosti, praktiky, postupy, procesy a zdroje.

    Norma předpokládá použití procesního přístupu pro vývoj, implementaci, provoz, monitorování, analýzu, podporu a zlepšování ISMS organizace. Je založen na modelu Plan - Do - Check - Act (PDCA), který lze použít při strukturování všech procesů ISMS. Na Obr. Obrázek 4.4 ukazuje, jak ISMS, využívající jako vstup požadavky na bezpečnost informací a očekávání zainteresovaných stran, vytváří výstupy bezpečnosti informací, které splňují tyto požadavky a očekávané výsledky prostřednictvím požadovaných činností a procesů.

    Rýže. 4.4.

    Na jevišti „Vývoj systému řízení bezpečnosti informací“ Organizace musí udělat následující:

    • - určit rozsah a hranice ISMS;
    • - určit politiku ISMS na základě charakteristik podniku, organizace, jejího umístění, majetku a technologií;
    • - určit přístup k hodnocení rizik v organizaci;
    • - identifikovat rizika;
    • - analyzovat a vyhodnocovat rizika;
    • - identifikovat a vyhodnotit různé možnosti léčby rizik;
    • - zvolit cíle a kontrolní opatření pro léčbu rizik;
    • - získat souhlas vedení s očekávanými zbytkovými riziky;
    • - získat povolení vedení k implementaci a provozování ISMS;
    • - připravit prohlášení o použitelnosti.

    Etapa " Implementace a provoz systému řízení bezpečnosti informací" navrhuje, aby organizace:

    • - vyvinout plán řešení rizik, který definuje vhodné řídící činnosti, zdroje, odpovědnosti a priority ve vztahu k řízení rizik v oblasti bezpečnosti informací;
    • - zavést plán řešení rizik k dosažení zamýšlených cílů řízení, včetně otázek financování, jakož i rozdělení funkcí a odpovědností;
    • - realizovat vybraná opatření řízení;
    • - určit způsob měření účinnosti vybraných manažerských opatření;
    • - realizovat programy školení a profesního rozvoje zaměstnanců;
    • - řídit práci ISMS;
    • - řídit zdroje ISMS;
    • - zavést postupy a další řídící opatření k zajištění rychlého odhalování událostí v oblasti bezpečnosti informací a reakce na incidenty související s bezpečností informací.

    Třetí etapa" Provádění monitorování a analýzy systému řízení bezpečnosti informací" vyžaduje:

    • - provádět monitorovací a analytické postupy;
    • - provádět pravidelnou analýzu účinnosti ISMS;
    • - měřit účinnost kontrolních opatření k ověření souladu s požadavky na bezpečnost informací;
    • - přezkoumávat hodnocení rizik ve stanovených časových obdobích, analyzovat zbytková rizika a stanovené přijatelné úrovně rizika s přihlédnutím ke změnám;
    • - provádět interní audity ISMS ve stanovených časových obdobích;
    • - pravidelně provádět analýzu ISMS vedením organizace za účelem potvrzení přiměřenosti systému fungování a stanovení oblastí pro zlepšení;
    • - aktualizovat plány bezpečnosti informací s přihlédnutím k výsledkům analýzy a monitorování;
    • - zaznamenávat akce a události, které mohou ovlivnit účinnost nebo fungování ISMS.

    A nakonec jeviště „Podpora a zlepšování systému řízení bezpečnosti informací“ navrhuje, aby organizace pravidelně prováděla následující činnosti:

    • - identifikovat příležitosti ke zlepšení ISMS;
    • - přijímat nezbytná nápravná a preventivní opatření, využívat v praxi zkušenosti z informační bezpečnosti získané jak v vlastní organizace a v jiných organizacích;
    • - vysílat detailní informace o akcích ke zlepšení ISMS všem zainteresovaným stranám, přičemž míra podrobnosti by měla odpovídat okolnostem a případně dohodnout další kroky;
    • - zajistit implementaci vylepšení ISMS pro dosažení plánovaných cílů.

    Dále norma stanoví požadavky na dokumentaci, která by měla obsahovat ustanovení politiky ISMS a popis rozsahu provozu, popis metodiky a zprávu o hodnocení rizik, plán ošetření rizik a dokumentaci souvisejících postupů. Měl by být také definován proces správy dokumentů ISMS, včetně aktualizace, používání, ukládání a ničení.

    Pro doložení shody s požadavky a účinnosti ISMS je nutné vést a udržovat záznamy o provádění procesů. Příklady zahrnují protokoly návštěvníků, zprávy o auditu atd.

    Norma specifikuje, že vedení organizace je odpovědné za poskytování a řízení zdrojů nezbytných pro vytvoření ISMS a také za organizaci školení personálu.

    Jak již bylo uvedeno, organizace musí v souladu se schváleným harmonogramem provádět interní audity ISMS, aby posoudila jeho funkčnost a shodu s normou. A management musí provést analýzu systému řízení bezpečnosti informací.

    Mělo by se také pracovat na zlepšení systému řízení bezpečnosti informací: zvýšit jeho účinnost a úroveň souladu aktuální stav systém a jeho požadavky.