ძიება 

დონეცკის რეგიონის საწარმოებში ინფორმაციული უსაფრთხოების მართვის სისტემის შექმნის გზები. ინფორმაციული უსაფრთხოების მართვის სისტემა

მართლაც, უხერხულია. ჩვენ შევიტყვეთ ISO 45001 სტანდარტის გარდაუვალი გამოშვების შესახებ, რომელმაც უნდა შეცვალოს შრომის უსაფრთხოებისა და ჯანმრთელობის მართვის მოქმედი სტანდარტი OHSAS 18001, და ვთქვით, რომ მას უნდა ველოდოთ 2016 წლის ბოლოს... თითქმის შუაღამეა და ჯერ კიდევ არ არის არანაირი ნიშანი. ჰერმან. დროა ვაღიაროთ, რომ ISO 45001 დაგვიანებულია. მართალია, მიხედვით კარგი მიზეზები. ექსპერტთა საზოგადოებას ძალიან ბევრი კითხვა ჰქონდა მისთვის. […]

  • ორმაგი სტატია მზად არის. Ინტერნაციონალური ორგანიზაციასტანდარტიზაციამ ნათლად გამოხატა თავისი პოზიცია პროდუქტებზე მისი სტანდარტების მარკირების გამოყენების შესახებ - ISO ამბობს "არა". თუმცა, მეწარმეებს მაინც სურთ ამის გაკეთება. როგორ უნდა იყვნენ ისინი? რატომაც არა, ზუსტად? კითხვის ფონი შემდეგია. როგორც გესმით, ISO სტანდარტები პირდაპირ არ არის დაკავშირებული მათზე სერტიფიცირებული საწარმოების მიერ წარმოებულ პროდუქტებთან. […]

  • დავამთავროთ თემა. ბოლო სტატიაში დავიწყეთ საუბარი QMS-ის რვა პრინციპზე. პრინციპები, რომლებზედაც აგებულია ნებისმიერი ხარისხის მართვის სისტემა. ჩვენი მიზანია ამ პრინციპების თარგმნა ბიზნეს მწვრთნელების ენიდან ადამიანურ ენაზე. რათა მათგან რეალური სარგებელი იყოს მიღებული. ჩვენ ვისაუბრეთ მომხმარებელზე ორიენტაციაზე. მათ ისაუბრეს იმაზე, თუ როგორ უნდა აწარმოონ არა „რაღაც [...]

  • ბევრი საუბრობს ხარისხის მენეჯმენტზე. მაგრამ რატომღაც ისინი ამას ისე ამბობენ, რომ საბოლოოდ არაფერია ნათელი. ეს ნიშნავს, რომ ხარისხის მენეჯმენტი სიტყვებად რჩება. Ძალიან ბევრი ჭკვიანური სიტყვებით. მოდით გადავთარგმნოთ ისინი ნორმალურ ენაზე და გავიგოთ, როგორ უწყობს ხელს ხარისხის მართვის პრინციპები კომპანიის საქმიანობის გაუმჯობესებას. მოდით გავაკეთოთ გრძელი პრელუდიების გარეშე. საერთო ჯამში, ამჟამად შესაბამისი ხარისხის მართვის სისტემები, რომელთაგან ყველაზე პოპულარული [...]

  • Პროექტის მენეჯმენტი... დარწმუნებული ვარ, ბევრი ადამიანია, ვინც ძალიან დიდ დროს უთმობს ყველანაირ ბიზნეს კონსულტანტთან კომუნიკაციას - და ახლა მხოლოდ ასეთი ფრაზის მოსმენით იწყება ოდნავ გულისრევა. Რა უნდა ვქნა? მოდით, თავი დავანებოთ ბიზნეს კონსულტანტებს და საქმე ადამიანურ ენაზე გადავდოთ. პროექტის მენეჯმენტი სულაც არ არის თეთრ პერანგში გამოწყობილი ადამიანი, რომელიც ასახავს კომპლექსურ დიაგრამებს და დიაგრამებს მარკერით […]

    • (SMIB)- ეს ნაწილი საერთო სისტემამენეჯმენტი, რომელიც ეფუძნება ბიზნესის რისკის მიდგომას შექმნის, განხორციელების, ექსპლუატაციის, მონიტორინგის, ანალიზის, მხარდაჭერისა და გაუმჯობესების მიმართ ინფორმაციის დაცვა.

    თუ აგებულია ISO/IEC_27001 მოთხოვნების შესაბამისად, ის დაფუძნებულია PDCA მოდელზე:

      Გეგმა(დაგეგმვა) - ISMS-ის შექმნის ფაზა, აქტივების სიის შექმნა, რისკების შეფასება და ზომების შერჩევა;
      Კეთება(მოქმედება) - შესაბამისი ღონისძიებების განხორციელებისა და განხორციელების ეტაპი;
      Ჩეკი(ვერიფიკაცია) - ISMS-ის ეფექტურობისა და შესრულების შეფასების ფაზა. როგორც წესი, ხორციელდება შიდა აუდიტორების მიერ.
      აქტი(გაუმჯობესებები) - პრევენციული და მაკორექტირებელი ქმედებების განხორციელება;

    ინფორმაციის უსაფრთხოების კონცეფცია

    ISO 27001 სტანდარტი განსაზღვრავს ინფორმაციის უსაფრთხოებას: „ინფორმაციის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის დაცვა; გარდა ამისა, შეიძლება იყოს სხვა თვისებები, როგორიცაა ავთენტურობა, უარყოფა და სანდოობა.

    კონფიდენციალურობა – უზრუნველყოს, რომ ინფორმაცია ხელმისაწვდომი იყოს მხოლოდ მათთვის, ვისაც აქვს შესაბამისი უფლებამოსილება (ავტორიზებული მომხმარებლები).

    მთლიანობა – ინფორმაციის სიზუსტისა და სისრულის, აგრეთვე მისი დამუშავების მეთოდების უზრუნველყოფა.

    ხელმისაწვდომობა – საჭიროების შემთხვევაში (მოთხოვნის შემთხვევაში) ავტორიზებული მომხმარებლებისთვის ინფორმაციის ხელმისაწვდომობის უზრუნველყოფა.

    4 ინფორმაციული უსაფრთხოების მართვის სისტემა

    4.1 Ძირითადი მოთხოვნები

    ორგანიზაციამ უნდა ჩამოაყალიბოს, დანერგოს, გამოიყენოს, მონიტორინგს, განიხილოს, შეინახოს და გააუმჯობესოს დოკუმენტირებული ISMS დებულებები ორგანიზაციის ბიზნეს საქმიანობაში და მის წინაშე არსებულ რისკებზე. ამ საერთაშორისო სტანდარტის პრაქტიკული სარგებლობისთვის, გამოყენებული პროცესი ეფუძნება PDCA მოდელს, რომელიც ნაჩვენებია ნახ. 1.

    4.2 ISMS-ის შექმნა და მართვა

    4.2.1 ISMS-ის შექმნა

    ორგანიზაციამ უნდა გააკეთოს შემდეგი.

    ა) ორგანიზაციის საქმიანობის სპეციფიკის გათვალისწინებით, თავად ორგანიზაცია, მისი მდებარეობა, აქტივები და ტექნოლოგია, განსაზღვრავს ISMS-ის ფარგლებსა და საზღვრებს, მათ შორის დეტალებს და დასაბუთებას დოკუმენტის ნებისმიერი დებულების გამორიცხვის ISMS-ის პროექტიდან (იხ. 1.2. ).

    ბ) ორგანიზაციის საქმიანობის მახასიათებლების გათვალისწინებით, თავად ორგანიზაცია, მისი მდებარეობა, აქტივები და ტექნოლოგია, შეიმუშავებს ISMS პოლიტიკას, რომელიც:

    1) მოიცავს მიზნების (დავალებების) დასახვის სისტემას და ადგენს მართვის ზოგად მიმართულებას და მოქმედების პრინციპებს ინფორმაციის უსაფრთხოებასთან დაკავშირებით;

    2) ითვალისწინებს ბიზნეს და საკანონმდებლო ან მარეგულირებელ მოთხოვნებს, სახელშეკრულებო უსაფრთხოების ვალდებულებებს;

    3) დაკავშირებულია რისკის მართვის სტრატეგიულ გარემოსთან, რომელშიც ხდება ISMS-ის შექმნა და შენარჩუნება;

    4) ადგენს კრიტერიუმებს, რომლითაც მოხდება რისკის შეფასება (იხ. 4.2.1 გ)); და

    5) დამტკიცებულია მენეჯმენტის მიერ.

    შენიშვნა: ამ საერთაშორისო სტანდარტის მიზნებისათვის, ISMS პოლიტიკა განიხილება, როგორც ინფორმაციის უსაფრთხოების პოლიტიკის გაფართოებული ნაკრები. ეს პოლიტიკა შეიძლება აღწერილი იყოს ერთ დოკუმენტში.

    გ) ორგანიზაციაში რისკის შეფასების კონცეფციის შემუშავება.

    1) განსაზღვრეთ რისკის შეფასების მეთოდოლოგია, რომელიც შეესაბამება ISMS-ს და დადგენილ ბიზნეს ინფორმაციის უსაფრთხოების, საკანონმდებლო და მარეგულირებელ მოთხოვნებს.

    2) რისკის მიღების კრიტერიუმების შემუშავება და რისკის მისაღები დონის განსაზღვრა (იხ. 5.1ვ).

    რისკის შეფასების არჩეულმა მეთოდოლოგიამ უნდა უზრუნველყოს, რომ რისკის შეფასება იძლევა შესადარებელ და განმეორებად შედეგებს.

    შენიშვნა: არსებობს რისკის შეფასების სხვადასხვა მეთოდოლოგია. რისკის შეფასების მეთოდოლოგიების მაგალითები განხილულია MOS/IEC TU 13335-3-ში, საინფორმაციო ტექნოლოგიები – რეკომენდაციები მენეჯმენტისთვისITუსაფრთხოება - მართვის მეთოდებიITუსაფრთხოება.

    დ) რისკების იდენტიფიცირება.

    1) აქტივების იდენტიფიცირება ISMS-ის დებულებების ფარგლებში და მფლობელები2 (2 ტერმინი „მფლობელი“ იდენტიფიცირებულია იმ ინდივიდთან ან ერთეულთან, რომელიც დამტკიცებულია, რომ პასუხისმგებელია წარმოების, განვითარების კონტროლზე, მოვლააპლიკაციები და აქტივების უსაფრთხოება. ტერმინი „მფლობელი“ არ ნიშნავს, რომ პირს რეალურად აქვს რაიმე საკუთრების უფლება აქტივზე.

    2) ამ აქტივების საფრთხეების იდენტიფიცირება.

    3) უსაფრთხოების სისტემაში მოწყვლადობის იდენტიფიცირება.

    4) ზემოქმედების იდენტიფიცირება, რომელიც ანადგურებს აქტივების კონფიდენციალურობას, მთლიანობას და ხელმისაწვდომობას.

    ე) რისკების ანალიზი და შეფასება.

    1) შეაფასეთ ორგანიზაციის ბიზნესისთვის მიყენებული ზიანი, რომელიც შეიძლება გამოწვეული იყოს უსაფრთხოების სისტემის გაუმართაობის გამო, ასევე იყოს კონფიდენციალურობის, მთლიანობის ან აქტივების ხელმისაწვდომობის დარღვევის შედეგი.

    2) უსაფრთხოების სისტემის უკმარისობის ალბათობის განსაზღვრა გაბატონებული საფრთხისა და დაუცველობის, აქტივებზე ზემოქმედებისა და ამჟამად დანერგილი კონტროლის გათვალისწინებით.

    3) რისკის დონის შეფასება.

    4) 4.2.1c)2-ში დადგენილი რისკის მისაღები კრიტერიუმების გამოყენებით განსაზღვრეთ რისკის მისაღები, ან მოითხოვეთ მისი შემცირება.

    ვ) რისკის შემცირების ინსტრუმენტების იდენტიფიცირება და შეფასება.

    შესაძლო ქმედებები მოიცავს:

    1) შესაბამისი კონტროლის გამოყენება;

    2) რისკების შეგნებული და ობიექტური მიღება, მათი უპირობო შესაბამისობის უზრუნველყოფა ორგანიზაციის პოლიტიკის მოთხოვნებთან და რისკის მიღების კრიტერიუმებთან (იხ. 4.2.1გ)2));

    3) რისკის თავიდან აცილება; და

    4) შესაბამისი ბიზნეს რისკების გადაცემა სხვა მხარეზე, მაგალითად, სადაზღვევო კომპანიებზე, მომწოდებლებზე.

    ზ) აირჩიეთ მიზნები და კონტროლი რისკების შესამცირებლად.

    მიზნები და კონტროლი უნდა შეირჩეს და განხორციელდეს რისკის შეფასებისა და რისკის შემცირების პროცესით დადგენილი მოთხოვნების შესაბამისად. ეს არჩევანი უნდა ითვალისწინებდეს როგორც რისკის ტოლერანტობის კრიტერიუმებს (იხ. 4.2.1c)2), ასევე იურიდიულ, მარეგულირებელ და სახელშეკრულებო მოთხოვნებს.

    ამოცანები და კონტროლი A დანართში უნდა შეირჩეს ამ პროცესის ნაწილად, რათა დააკმაყოფილოს მითითებული მოთხოვნები.

    ვინაიდან ყველა დავალება და კონტროლი არ არის ჩამოთვლილი A დანართში, შეიძლება შეირჩეს დამატებითი.

    შენიშვნა: დანართი A შეიცავს მენეჯმენტის მიზნების ყოვლისმომცველ ჩამონათვალს, რომლებიც იდენტიფიცირებულია, როგორც ყველაზე რელევანტური ორგანიზაციებისთვის. ისე რომ ერთიც არ გამოგრჩეთ მნიშვნელოვანი წერტილიკონტროლის ვარიანტებისთვის, ამ საერთაშორისო სტანდარტის მომხმარებლებმა უნდა დაეყრდნონ დანართ A-ს, როგორც ამოსავალ წერტილს ნიმუშის კონტროლისთვის.

    თ) მოსალოდნელი ნარჩენი რისკების მართვის დამტკიცების მიღწევა.

    4) ხელი შეუწყოს უსაფრთხოების მოვლენების გამოვლენას და ამით, გარკვეული ინდიკატორების გამოყენებით, თავიდან აიცილოს უსაფრთხოების ინციდენტები; და

    5) უსაფრთხოების დარღვევის თავიდან ასაცილებლად განხორციელებული ქმედებების ეფექტურობის განსაზღვრა.

    ბ) ISMS-ის ეფექტურობის რეგულარული მიმოხილვის ჩატარება (მათ შორის, ISMS პოლიტიკისა და მისი მიზნების განხილვა, უსაფრთხოების კონტროლის განხილვა), აუდიტის, ინციდენტების, შესრულების გაზომვების შედეგების, ყველა დაინტერესებული მხარის წინადადებებისა და რეკომენდაციების გათვალისწინებით. .

    გ) კონტროლის ეფექტურობის შეფასება იმის დასადგენად, დაცულია თუ არა უსაფრთხოების მოთხოვნები.

    დ) შეამოწმეთ რისკის შეფასება დაგეგმილი პერიოდებისთვის და შეამოწმეთ ნარჩენი რისკები და დასაშვები დონეებირისკები, ცვლილებების გათვალისწინებით:

    1) ორგანიზაციები;

    2) ტექნოლოგია;

    3) ბიზნეს მიზნები და პროცესები;

    4) გამოვლენილი საფრთხეები;

    5) განხორციელებული კონტროლის ეფექტურობა; და

    6) გარე მოვლენები, როგორიცაა ცვლილებები საკანონმდებლო და მართვის გარემოში, შეცვლილი სახელშეკრულებო ვალდებულებები, ცვლილებები სოციალურ კლიმატში.

    ე) ISMS-ის შიდა აუდიტის ჩატარება დაგეგმილ პერიოდებში (იხ. 6)

    შენიშვნა: შიდა აუდიტი, რომელსაც ზოგჯერ პირველად აუდიტს უწოდებენ, ტარდება თავად ორგანიზაციის სახელით, საკუთარი მიზნებისთვის.

    ვ) რეგულარულად გადახედოს ISMS-ის მენეჯმენტს, რათა უზრუნველყოს, რომ დებულება რჩება შესაბამისი და ISMS გაუმჯობესდება.

    ზ) უსაფრთხოების გეგმების განახლება მონიტორინგისა და აუდიტის შედეგად მიღებული მონაცემების საფუძველზე.

    თ) ჩაწერეთ აქტივობები და მოვლენები, რომლებმაც შეიძლება გავლენა მოახდინოს ISMS-ის ეფექტურობაზე ან შესრულებაზე (იხ. 4.3.3).

    4.2.4 ISMS მხარდაჭერა და გაუმჯობესება

    ორგანიზაციამ მუდმივად უნდა გააკეთოს შემდეგი.

    ა) განახორციელოს გარკვეული შესწორებები ISMS-ში.

    ბ) მიიღოს შესაბამისი მაკორექტირებელი და პრევენციული ღონისძიებები 8.2 და 8.3-ის შესაბამისად. თავად ორგანიზაციის მიერ დაგროვილი და სხვა ორგანიზაციების გამოცდილებიდან მიღებული ცოდნის გამოყენება.

    გ) ყველა დაინტერესებულ მხარეს მიაწოდოს თავისი ქმედებები და გაუმჯობესებები სიტუაციის შესაბამისი დეტალების დონეზე; და, შესაბამისად, კოორდინაცია გაუწიონ მათ ქმედებებს.

    დ) უზრუნველყოს, რომ გაუმჯობესებები მიაღწევს დანიშნულ მიზანს.

    4.3 დოკუმენტაციის მოთხოვნები

    4.3.1 ზოგადი

    დოკუმენტაცია უნდა შეიცავდეს პროტოკოლებს (ჩანაწერებს) მენეჯმენტის გადაწყვეტილებები, დაარწმუნოს, რომ მოქმედების საჭიროება განისაზღვრება მენეჯმენტის გადაწყვეტილებებითა და პოლიტიკით; და უზრუნველყოს ჩაწერილი შედეგების განმეორებადობა.

    მნიშვნელოვანია, რომ შეძლოთ დემონსტრირება უკუკავშირიშერჩეული კონტროლი რისკების შეფასებისა და რისკის შემცირების პროცესების შედეგებით, შემდეგ კი ISMS პოლიტიკითა და მისი მიზნებით.

    ISMS დოკუმენტაცია უნდა შეიცავდეს:

    ა) ISMS პოლიტიკისა და მიზნების დოკუმენტირებული განცხადებები (იხ. 4.2.1ბ));

    ბ) ISMS პოზიცია (იხ. 4.2.1a));

    გ) ISMS-ის მხარდაჭერის კონცეფცია და კონტროლი;

    დ) რისკის შეფასების მეთოდოლოგიის აღწერა (იხ. 4.2.1გ));

    ე) რისკის შეფასების ანგარიში (იხ. 4.2.1გ) – 4.2.1გ));

    ვ) რისკის შემცირების გეგმა (იხ. 4.2.2ბ));

    ზ) დოკუმენტირებული კონცეფცია, აუცილებელია ორგანიზაციისთვისუზრუნველყოს მისი ინფორმაციული უსაფრთხოების პროცესების დაგეგმვის, ექსპლუატაციისა და მართვის ეფექტურობა და აღწეროს, თუ როგორ უნდა გავზომოთ კონტროლის ეფექტურობა (იხ. 4.2.3c));

    თ) ამ საერთაშორისო სტანდარტით მოთხოვნილი დოკუმენტები (იხ. 4.3.3); და

    ი) განაცხადის გამოყენების შესახებ.

    შენიშვნა 1: ამ საერთაშორისო სტანდარტის მიზნებისათვის, ტერმინი „დოკუმენტირებული კონცეფცია“ ნიშნავს, რომ კონცეფცია განხორციელებულია, დოკუმენტირებულია, დანერგილია და მიჰყვება.

    შენიშვნა 2: ISMS დოკუმენტაციის ზომა სხვადასხვა ორგანიზაციაში შეიძლება განსხვავდებოდეს:

    ორგანიზაციის ზომა და მისი აქტივების ტიპი; და

    უსაფრთხოების მოთხოვნების მასშტაბი და სირთულე და მართული სისტემა.

    შენიშვნა 3: დოკუმენტები და ანგარიშები შეიძლება წარმოდგენილი იყოს ნებისმიერი ფორმით.

    4.3.2 დოკუმენტის კონტროლი

    ISMS-ის მიერ მოთხოვნილი დოკუმენტები დაცული და დარეგულირებული უნდა იყოს. აუცილებელია დამტკიცდეს დოკუმენტაციის პროცედურა, რომელიც აუცილებელია მენეჯმენტის ქმედებების აღსაწერად:

    ა) დოკუმენტების გარკვეულ სტანდარტებთან შესაბამისობის დადგენა მათ გამოქვეყნებამდე;

    ბ) საჭიროების შემთხვევაში დოკუმენტების შემოწმება და განახლება, დოკუმენტების ხელახალი დამტკიცება;

    გ) იმის უზრუნველყოფა, რომ ცვლილებები შეესაბამებოდეს შესწორებული დოკუმენტების ამჟამინდელ მდგომარეობას;

    დ) მიმდინარე დოკუმენტების მნიშვნელოვანი ვერსიების ხელმისაწვდომობის უზრუნველყოფა;

    ე) დოკუმენტების გასაგებად და წაკითხვის უზრუნველყოფა;

    ვ) დოკუმენტების ხელმისაწვდომობის უზრუნველყოფა მათთვის, ვისაც ეს სჭირდება; ასევე მათი გადატანა, შენახვა და საბოლოოდ განადგურება მათი კლასიფიკაციის მიხედვით გამოყენებული პროცედურების შესაბამისად;

    ზ) გარე წყაროებიდან მიღებული დოკუმენტების ავთენტურობის დადგენა;

    თ) დოკუმენტების გავრცელების კონტროლი;

    ი) მოძველებული დოკუმენტების უნებლიე გამოყენების პრევენცია; და

    კ) მათთვის იდენტიფიკაციის შესაბამისი მეთოდის გამოყენება, თუ ისინი ინახება ყოველი შემთხვევისთვის.

    4.3.3 ჩანაწერების კონტროლი

    ჩანაწერები უნდა შეიქმნას და ინახებოდეს მოთხოვნებთან შესაბამისობის უზრუნველსაყოფად და ISMS-ის ეფექტური ფუნქციონირებისთვის. ჩანაწერები დაცული და დამოწმებული უნდა იყოს. ISMS-მა უნდა გაითვალისწინოს ნებისმიერი სამართლებრივი და მარეგულირებელი მოთხოვნა და სახელშეკრულებო ვალდებულებები. ჩანაწერები უნდა იყოს გასაგები, ადვილად იდენტიფიცირებადი და მოსაპოვებელი. ჩანაწერების იდენტიფიკაციის, შენახვის, დაცვის, აღდგენის, შენახვის პერიოდისა და განადგურებისთვის აუცილებელი კონტროლი უნდა იყოს დოკუმენტირებული და დანერგილი.

    ჩანაწერები უნდა შეიცავდეს ინფორმაციას 4.2-ში აღწერილი აქტივობების განხორციელების შესახებ და ყველა ინციდენტისა და უსაფრთხოების მნიშვნელოვანი ინციდენტის შესახებ, რომელიც დაკავშირებულია ISMS-თან.

    ჩანაწერების მაგალითებია სტუმრების წიგნი, აუდიტის ჟურნალი და დასრულებული წვდომის ავტორიზაციის ფორმები.

    BS ISO/IEC 27001:2005 სტანდარტი აღწერს ინფორმაციული უსაფრთხოების მართვის სისტემის (ISMS) მოდელს და გთავაზობთ მოთხოვნების ერთობლიობას საწარმოში ინფორმაციის უსაფრთხოების ორგანიზებისთვის ორგანიზაციის შემსრულებლების მიერ არჩეული განხორციელების მეთოდების მითითების გარეშე.

    შემოწმება - ISMS-ის ეფექტურობისა და შესრულების შეფასების ეტაპი. როგორც წესი, ხორციელდება შიდა აუდიტორების მიერ.

    ISMS-ის შექმნის (და შემდგომში სერტიფიცირების) გადაწყვეტილებას იღებს ორგანიზაციის უმაღლესი მენეჯმენტი. ეს აჩვენებს მენეჯმენტის მხარდაჭერას და ბიზნესისთვის ISMS-ის ღირებულების დადასტურებას. ორგანიზაციის მენეჯმენტი იწყებს ISMS დაგეგმვის ჯგუფის შექმნას.

    ISMS-ის დაგეგმვაზე პასუხისმგებელი ჯგუფი უნდა შეიცავდეს:

    · ორგანიზაციის უმაღლესი მენეჯმენტის წარმომადგენლები;

    · ISMS-ით დაფარული ბიზნეს ერთეულების წარმომადგენლები;



    · ინფორმაციული უსაფრთხოების დეპარტამენტების სპეციალისტები;

    · მესამე მხარის კონსულტანტები (საჭიროების შემთხვევაში).

    IS კომიტეტი მხარს უჭერს ISMS-ის მუშაობას და მის მუდმივ გაუმჯობესებას.

    Სამუშაო ჯგუფიუნდა იხელმძღვანელოს მარეგულირებელი და მეთოდოლოგიური ჩარჩოებით, როგორც ISMS-ის შექმნასთან, ასევე ორგანიზაციის საქმიანობის სფეროსთან და, რა თქმა უნდა, სახელმწიფო კანონების ზოგადი სისტემით.

    ნორმატიული ბაზა ISMS-ის შექმნის შესახებ:

    · ISO/IEC 27000:2009 ლექსიკა და განმარტებები.

    · ISO/IEC 27001:2005 ზოგადი მოთხოვნები ISMS-ისთვის.

    ISO/IEC 27002:2005 პრაქტიკული სახელმძღვანელოინფორმაციის უსაფრთხოების მენეჯმენტზე.

    · ISO/IEC 27003:2010 პრაქტიკული სახელმძღვანელო ISMS-ის განხორციელებისთვის.

    · ISO/IEC 27004:2009 ინფორმაციული უსაფრთხოების მეტრიკა (გაზომვები).

    · ISO/IEC 27005:2011 სახელმძღვანელო ინფორმაციული უსაფრთხოების რისკების მართვისათვის.

    · ISO/IEC გზამკვლევი 73:2002, რისკის მენეჯმენტი - ლექსიკა - სტანდარტებში გამოყენების სახელმძღვანელო.

    · ISO/IEC 13335-1:2004, ინფორმაციული ტექნოლოგია - უსაფრთხოების ტექნიკა - საინფორმაციო და საკომუნიკაციო ტექნოლოგიების უსაფრთხოების მენეჯმენტი - ნაწილი 1: ცნებები და მოდელები საინფორმაციო და საკომუნიკაციო ტექნოლოგიების უსაფრთხოების მართვისთვის.

    · ISO/IEC TR 18044 ინფორმაციული ტექნოლოგია - უსაფრთხოების ტექნიკა - ინფორმაციული უსაფრთხოების ინციდენტების მართვა.

    · ISO/IEC 19011:2002 სახელმძღვანელო ხარისხის ან/და გარემოსდაცვითი მართვის სისტემების აუდიტისთვის.

    · ბრიტანეთის სტანდარტების ინსტიტუტის ISMS-ის შექმნის მეთოდების სერია (ადრე: PD 3000 სერიის დოკუმენტები).

    ISMS-ის შექმნის პროცესი შედგება 4 ეტაპისგან:

    ეტაპი 1. ISMS დაგეგმვა.

    რისკის მართვასთან და ინფორმაციის უსაფრთხოებასთან დაკავშირებული პოლიტიკის, ამოცანების, პროცესებისა და პროცედურების ჩამოყალიბება ორგანიზაციის საერთო პოლიტიკისა და მიზნების შესაბამისად.

    ა) ISMS-ის ფარგლების და საზღვრების განსაზღვრა:

    · ორგანიზაციის საქმიანობის ტიპისა და ბიზნეს მიზნების აღწერა;

    · ISMS-ით დაფარული სისტემების საზღვრების მითითება;

    ორგანიზაციის აქტივების აღწერა (ტიპები საინფორმაციო რესურსები, პროგრამული უზრუნველყოფა და აპარატურა, პერსონალი და ორგანიზაციული სტრუქტურა);

    · ბიზნეს პროცესების აღწერა, რომლებიც იყენებენ დაცულ ინფორმაციას.

    სისტემის საზღვრების აღწერა მოიცავს:

    ორგანიზაციის არსებული სტრუქტურის აღწერა (თან შესაძლო ცვლილებებირაც შეიძლება წარმოიშვას საინფორმაციო სისტემის განვითარებასთან დაკავშირებით).

    დაცული საინფორმაციო სისტემის რესურსები ( Კომპიუტერული ინჟინერია, ინფორმაცია, სისტემა და აპლიკაციის პროგრამული უზრუნველყოფა). მათ შესაფასებლად უნდა შეირჩეს კრიტერიუმების სისტემა და ამ კრიტერიუმების მიხედვით შეფასებების მიღების მეთოდოლოგია (კატეგორიზაცია).

    ინფორმაციის დამუშავების ტექნოლოგია და გადასაჭრელი პრობლემები. ამოცანების გადასაჭრელად, ინფორმაციის დამუშავების მოდელები უნდა აშენდეს რესურსების თვალსაზრისით.

    ორგანიზაციის საინფორმაციო სისტემის და დამხმარე ინფრასტრუქტურის დიაგრამა.

    როგორც წესი, ამ ეტაპზე დგება დოკუმენტი, რომელიც აფიქსირებს საინფორმაციო სისტემის საზღვრებს, ჩამოთვლის კომპანიის საინფორმაციო რესურსებს დასაცავად და უზრუნველყოფს ღირებულების შეფასების კრიტერიუმებისა და მეთოდების სისტემას. საინფორმაციო აქტივებიკომპანიები.

    ბ) ორგანიზაციის ISMS პოლიტიკის განსაზღვრა (SDS-ის გაფართოებული ვერსია).

    · ინფორმაციულ უსაფრთხოებასთან დაკავშირებით საქმიანობის მიზნები, მიმართულებები და პრინციპები;

    · ორგანიზაციაში რისკის მართვის სტრატეგიის (მიდგომების) აღწერა, ინფორმაციის დასაცავად კონტრზომების სტრუქტურირება სახის მიხედვით (სამართლებრივი, ორგანიზაციული, აპარატურული და პროგრამული, საინჟინრო);

    · რისკის მნიშვნელოვნების კრიტერიუმების აღწერა;

    · მენეჯმენტის პოზიცია, ინფორმაციული უსაფრთხოების თემებზე შეხვედრების სიხშირის განსაზღვრა მენეჯმენტის დონეზე, ინფორმაციული უსაფრთხოების პოლიტიკის დებულებების პერიოდული განხილვის ჩათვლით, აგრეთვე ინფორმაციული უსაფრთხოების შესახებ საინფორმაციო სისტემის ყველა კატეგორიის მომხმარებლის მომზადების პროცედურა. საკითხები.

    გ) ორგანიზაციაში რისკის შეფასების მიდგომის განსაზღვრა.

    რისკის შეფასების მეთოდოლოგია შეირჩევა დადგენილი ISMS-ის მიხედვით ბიზნეს მოთხოვნებიინფორმაციის დაცვა, სამართლებრივი და მარეგულირებელი მოთხოვნები.

    რისკის შეფასების მეთოდოლოგიის არჩევანი დამოკიდებულია ორგანიზაციაში ინფორმაციული უსაფრთხოების რეჟიმის მოთხოვნების დონეზე, გათვალისწინებული საფრთხეების ბუნებაზე (საფრთხის გავლენის სპექტრი) და ინფორმაციის დასაცავად პოტენციური კონტრზომების ეფექტურობაზე. კერძოდ, არსებობს ინფორმაციული უსაფრთხოების რეჟიმის ძირითადი, ასევე გაზრდილი ან სრული მოთხოვნები.

    ინფორმაციული უსაფრთხოების რეჟიმის მინიმალური მოთხოვნები შეესაბამება ინფორმაციული უსაფრთხოების საბაზისო დონეს. ასეთი მოთხოვნები ვრცელდება, როგორც წესი, სტანდარტული დიზაინის გადაწყვეტილებებზე. არსებობს მთელი რიგი სტანდარტები და სპეციფიკაციები, რომლებიც ითვალისწინებს ყველაზე სავარაუდო საფრთხეების მინიმალურ (ტიპიურ) კომპლექტს, როგორიცაა: ვირუსები, ტექნიკის გაუმართაობა, არაავტორიზებული წვდომადა ა.შ. ამ საფრთხეების გასანეიტრალებლად უნდა იქნას მიღებული კონტრზომები, მიუხედავად მათი განხორციელების ალბათობისა და რესურსების მოწყვლადობისა. ამრიგად, არ არის აუცილებელი საბაზისო დონეზე საფრთხის მახასიათებლების გათვალისწინება. ამ სფეროში უცხოური სტანდარტებია ISO 27002, BSI, NIST და ა.შ.

    იმ შემთხვევებში, როდესაც ინფორმაციული უსაფრთხოების რეჟიმის დარღვევა იწვევს სერიოზულ შედეგებს, დაწესებულია დამატებითი გაზრდილი მოთხოვნები.

    დამატებითი გაზრდილი მოთხოვნების ჩამოსაყალიბებლად აუცილებელია:

    რესურსების ღირებულების განსაზღვრა;

    სტანდარტის კომპლექტს დაუმატეთ შესასწავლი საინფორმაციო სისტემის შესაბამისი საფრთხეების სია;

    შეაფასეთ საფრთხეების ალბათობა;

    რესურსების მოწყვლადობის იდენტიფიცირება;

    შეაფასეთ პოტენციური ზიანი თავდამსხმელთა გავლენისგან.

    აუცილებელია რისკის შეფასების მეთოდოლოგიის შერჩევა, რომელიც შეიძლება გამოყენებულ იქნას მინიმალური ცვლილებებით მუდმივად. არსებობს ორი გზა: გამოიყენეთ ბაზარზე არსებული მეთოდები და ინსტრუმენტები რისკის შეფასებისთვის ან შექმენით თქვენი საკუთარი მეთოდოლოგია, რომელიც ადაპტირებულია კომპანიის სპეციფიკაზე და ISMS-ით დაფარული საქმიანობის სფეროზე.

    ბოლო ვარიანტი ყველაზე სასურველია, რადგან ჯერჯერობით ბაზარზე არსებული პროდუქციის უმრავლესობა, რომელიც ახორციელებს რისკის ანალიზის ამა თუ იმ ტექნიკას, არ აკმაყოფილებს სტანდარტის მოთხოვნებს. ასეთი მეთოდების ტიპიური უარყოფითი მხარეა:

    · საფრთხეებისა და დაუცველობის სტანდარტული ნაკრები, რომელთა შეცვლა ხშირად შეუძლებელია;

    · მხოლოდ პროგრამული უზრუნველყოფის, აპარატურის და საინფორმაციო რესურსების აქტივებად მიღება - განხილვის გარეშე ადამიანური რესურსების, მომსახურება და სხვა მნიშვნელოვანი რესურსები;

    · ტექნიკის საერთო სირთულე მისი მდგრადი და განმეორებითი გამოყენების თვალსაზრისით.

    · რისკების მიღების კრიტერიუმები და რისკის მისაღები დონეები (უნდა ეფუძნებოდეს ორგანიზაციის სტრატეგიული, ორგანიზაციული და მართვის მიზნების მიღწევას).

    დ) რისკის იდენტიფიკაცია.

    · აქტივების და მათი მფლობელების იდენტიფიცირება

    ინფორმაციის შეყვანა;

    ინფორმაციის გამომავალი;

    საინფორმაციო ჩანაწერები;

    რესურსები: ხალხი, ინფრასტრუქტურა, აღჭურვილობა, პროგრამული უზრუნველყოფა, იარაღები, სერვისები.

    · საფრთხის იდენტიფიკაცია (რისკის შეფასების სტანდარტები ხშირად გვთავაზობენ საფრთხეების კლასებს, რომელთა დამატება და გაფართოება შესაძლებელია).

    · დაუცველობის იდენტიფიკაცია (ასევე არის ყველაზე გავრცელებული მოწყვლადობის სიები, რომლებსაც შეგიძლიათ დაეყრდნოთ თქვენი ორგანიზაციის ანალიზისას).

    აქტივების ღირებულების განსაზღვრა ( შესაძლო შედეგებიკონფიდენციალურობის, მთლიანობისა და აქტივების ხელმისაწვდომობის დაკარგვისგან). აქტივის ღირებულების შესახებ ინფორმაციის მიღება შესაძლებელია მისი მფლობელისგან ან იმ პირისგან, რომელსაც მფლობელმა გადასცა აქტივზე ყველა უფლებამოსილება, მათ შორის მისი უსაფრთხოების უზრუნველყოფა.

    ე) რისკის შეფასება.

    · ზიანის შეფასება, რომელიც შეიძლება მიაყენოს ბიზნესს კონფიდენციალურობის, მთლიანობისა და აქტივების ხელმისაწვდომობის დაკარგვით.

    · არსებული მოწყვლადობით საფრთხის განხორციელების ალბათობის შეფასება, ინფორმაციული უსაფრთხოების არსებული კონტროლის გათვალისწინებით და შესაძლო ზიანის შეფასება;

    · რისკის დონის განსაზღვრა.

    რისკის მიღების კრიტერიუმების გამოყენება (მისაღები/საჭიროა მკურნალობა).

    ვ) რისკის მკურნალობა (რისკების მართვის შერჩეული სტრატეგიის შესაბამისად).

    შესაძლო მოქმედებები:

    პასიური მოქმედებები:

    რისკის მიღება (გადაწყვეტილება რისკის შედეგად მიღებული დონის დასაშვებობის შესახებ);

    რისკის თავიდან აცილება (გადაწყვეტილება შეცვალოს აქტივობები, რომლებიც იწვევს რისკის მოცემულ დონეს - ვებ სერვერის გადატანა საზღვრებს გარეთ ლოკალური ქსელი);

    აქტიური მოქმედებები:

    რისკის შემცირება (ორგანიზაციული და ტექნიკური კონტრზომების გამოყენებით);

    რისკის გადაცემა (დაზღვევა (ცეცხლი, ქურდობა, პროგრამული შეცდომები)).

    შესაძლო ქმედებების არჩევანი დამოკიდებულია მიღებულ რისკის კრიტერიუმებზე (მიუთითებულია რისკის მისაღები დონე, რისკის დონეები, რომელიც შეიძლება შემცირდეს ინფორმაციული უსაფრთხოების კონტროლით, რისკის დონეები, რომლებზეც რეკომენდებულია აქტივობის მიტოვება ან გარდაქმნა, რომელიც იწვევს მას, და რისკები, რომელთა გადაცემაც სასურველია სხვა მხარეებზე).

    ზ) რისკის მკურნალობის მიზნებისა და კონტროლის მექანიზმების შერჩევა.

    მიზნებმა და კონტროლებმა უნდა განახორციელონ რისკის მართვის სტრატეგია, გაითვალისწინონ რისკების მიღების კრიტერიუმები და საკანონმდებლო, მარეგულირებელი და სხვა მოთხოვნები.

    ISO 27001-2005 სტანდარტი ითვალისწინებს მიზნებისა და კონტროლის ჩამონათვალს, როგორც რისკის მკურნალობის გეგმის (ISMS მოთხოვნები) შექმნის საფუძველს.

    რისკის მკურნალობის გეგმა შეიცავს პრიორიტეტული ღონისძიებების ჩამონათვალს რისკის დონის შესამცირებლად, რომელშიც მითითებულია:

    · ამ საქმიანობის განხორციელებაზე პასუხისმგებელი პირები და საშუალებები;

    · აქტივობების განხორციელების დრო და მათი განხორციელების პრიორიტეტები;

    · რესურსები ასეთი აქტივობების განსახორციელებლად;

    ნარჩენი რისკების დონეები ღონისძიებებისა და კონტროლის განხორციელების შემდეგ.

    რისკის მკურნალობის გეგმის მიღებას და მის განხორციელებაზე კონტროლს ახორციელებს ორგანიზაციის უმაღლესი მენეჯმენტი. გეგმის ძირითადი აქტივობების დასრულება არის ISMS-ის ამოქმედების შესახებ გადაწყვეტილების მიღების კრიტერიუმი.

    ამ ეტაპზე გამართლებულია ინფორმაციული უსაფრთხოების სხვადასხვა საწინააღმდეგო ზომების შერჩევა, სტრუქტურირებული ინფორმაციული უსაფრთხოების მარეგულირებელი, ორგანიზაციული, მენეჯერული, ტექნოლოგიური და აპარატურულ-პროგრამული დონის მიხედვით. (შემდეგ, საპასუხო ზომების ერთობლიობა ხორციელდება შერჩეული საინფორმაციო რისკის მართვის სტრატეგიის შესაბამისად). რისკის ანალიზის სრულ ვერსიაში კონტრზომების ეფექტურობა დამატებით ფასდება თითოეული რისკისთვის.

    თ) შემოთავაზებული ნარჩენი რისკის მენეჯმენტის დამტკიცება.

    ი) ISMS-ის დანერგვისა და ექსპლუატაციაში შესვლის თაობაზე მენეჯმენტის თანხმობის მიღება.

    კ) განცხადება გამოყენებადობის შესახებ (ისო 27001-2005-ის შესაბამისად).

    ISMS-ის ამოქმედების თარიღი არის კომპანიის უმაღლესი მენეჯმენტის მიერ კონტროლის გამოყენების რეგლამენტის დამტკიცების თარიღი, რომელიც აღწერს ორგანიზაციის მიერ არჩეულ მიზნებსა და საშუალებებს რისკების მართვისთვის:

    · რისკის მკურნალობის ეტაპზე შერჩეული მართვისა და კონტროლის ინსტრუმენტები;

    · ორგანიზაციაში უკვე არსებული მართვისა და კონტროლის ინსტრუმენტები;

    · საშუალებები მარეგულირებელი ორგანიზაციების საკანონმდებლო მოთხოვნებთან და მოთხოვნებთან შესაბამისობის უზრუნველსაყოფად;

    · მომხმარებელთა მოთხოვნების შესრულების უზრუნველყოფის საშუალებები;

    · საშუალებები ზოგად კორპორატიულ მოთხოვნებთან შესაბამისობის უზრუნველსაყოფად;

    · ნებისმიერი სხვა შესაბამისი კონტროლი და კონტროლი.

    ეტაპი 2. ISMS-ის დანერგვა და ექსპლუატაცია.

    ინფორმაციული უსაფრთხოების პოლიტიკის, კონტროლის, პროცესებისა და პროცედურების განსახორციელებლად და ფუნქციონირებისთვის ინფორმაციული უსაფრთხოების სფეროში ხორციელდება შემდეგი ქმედებები:

    ა) რისკის მკურნალობის გეგმის შემუშავება (დაგეგმილი კონტროლის აღწერა, რესურსები (პროგრამული უზრუნველყოფა, აპარატურა, პერსონალი), რომლებიც საჭიროა მათი განსახორციელებლად, მხარდაჭერა, კონტროლი და მართვის პასუხისმგებლობა ინფორმაციული უსაფრთხოების რისკის მართვისთვის (დოკუმენტების შემუშავება დაგეგმვის ეტაპზე, მხარდაჭერა. ინფორმაციის უსაფრთხოების მიზნები, როლებისა და პასუხისმგებლობების განსაზღვრა, უზრუნველყოფა საჭირო რესურსები ISMS-ის შექმნა, აუდიტი და ანალიზი).

    ბ) რისკის მკურნალობის გეგმის განსახორციელებლად დაფინანსების, როლებისა და პასუხისმგებლობების გამოყოფა.

    გ) დაგეგმილი კონტროლის განხორციელება.

    დ) კონტროლის შესრულების ინდიკატორების (მეტრიკა) და მათი გაზომვის მეთოდების განსაზღვრა, რომლებიც უზრუნველყოფენ შესადარებელ და განმეორებად შედეგებს.

    ე) ინფორმაციული უსაფრთხოების სფეროში პერსონალის კვალიფიკაციისა და ცნობიერების ამაღლება სამუშაო პასუხისმგებლობის შესაბამისად.

    ვ) ISMS-ის ფუნქციონირების მართვა, ISMS-ის შენარჩუნების, კონტროლისა და გაუმჯობესების რესურსების მართვა.

    ზ) პროცედურების და სხვა კონტროლის განხორციელება ინფორმაციული უსაფრთხოების ინციდენტების სწრაფად გამოვლენისა და რეაგირების მიზნით.

    ეტაპი 3. ISMS-ის ფუნქციონირების მუდმივი მონიტორინგი და ანალიზი.

    ეტაპი მოიცავს პროცესის შესრულების ძირითადი ინდიკატორების შეფასებას ან გაზომვას, შედეგების ანალიზს და მენეჯმენტისთვის ანგარიშების მიწოდებას ანალიზისთვის და მოიცავს:

    ა) უწყვეტი მონიტორინგისა და ანალიზის ჩატარება (საშუალებას გაძლევთ სწრაფად გამოავლინოთ შეცდომები ISMS-ის ფუნქციონირებაში, სწრაფად გამოავლინოთ და უპასუხოთ უსაფრთხოების ინციდენტებს, განასხვავოთ პერსონალის როლები და ავტომატური სისტემები ISMS-ში უსაფრთხოების ინციდენტების თავიდან აცილება ანალიზის საშუალებით უჩვეულო ქცევა, განსაზღვრავს უსაფრთხოების ინციდენტების დამუშავების ეფექტურობას).

    ბ) ISMS-ის ეფექტურობის რეგულარული მიმოხილვის ჩატარება (ISMS პოლიტიკასთან და მიზნებთან შესაბამისობა, აუდიტი, ძირითადი ინდიკატორებიეფექტურობა, წინადადებები და დაინტერესებული მხარეების რეაქციები).

    გ) კონტროლის ეფექტურობის გაზომვა დაცვის მოთხოვნების დაკმაყოფილების დასადასტურებლად

    დ) რისკების პერიოდული ხელახალი შეფასება, ნარჩენი რისკების ანალიზი და მისაღები რისკის დონის განსაზღვრა ორგანიზაციაში ნებისმიერი ცვლილებისთვის (ბიზნესის მიზნები და პროცესები, იდენტიფიცირებული საფრთხეები, ახლად გამოვლენილი მოწყვლადობა და ა.შ.)

    ე) ISMS-ის შიდა აუდიტის პერიოდული ჩატარება.

    ISMS აუდიტი – შერჩეული კონტრზომების შესაბამისობის შემოწმება ორგანიზაციის სამრეწველო უსაფრთხოების პოლიტიკაში დეკლარირებული ბიზნესის მიზნებთან და ამოცანებთან, მის შედეგებზე დაყრდნობით ხდება ნარჩენი რისკების შეფასება და საჭიროების შემთხვევაში მათი ოპტიმიზაცია.

    ვ) ISMS-ის სფეროსა და ტენდენციების რეგულარული მიმოხილვა მენეჯმენტის მიერ.

    ზ) რისკის მართვის გეგმების განახლება კონტროლისა და ანალიზის შედეგების ასახვის მიზნით.

    თ) ზემოქმედების მქონე მოვლენების ჟურნალის შენარჩუნება უარყოფითი გავლენა ISMS მუშაობის ეფექტურობაზე ან ხარისხზე.

    ეტაპი 4. ISMS-ის მხარდაჭერა და გაუმჯობესება.

    ISMS შიდა აუდიტისა და მენეჯმენტის ანალიზის შედეგების საფუძველზე შემუშავებულია და ხორციელდება მაკორექტირებელი და პრევენციული ქმედებები, რომლებიც მიმართულია უწყვეტი გაუმჯობესება ISMS:

    ა) ინფორმაციული უსაფრთხოების პოლიტიკის გაუმჯობესება, ინფორმაციის დაცვის მიზნები, აუდიტის ჩატარება, დაკვირვებული მოვლენების ანალიზი.

    ბ) მაკორექტირებელი და პრევენციული ღონისძიებების შემუშავება და განხორციელება მოთხოვნებთან ISMS-ის შეუსაბამობის აღმოსაფხვრელად.

    გ) ISMS-ის გაუმჯობესების მონიტორინგი.

    დასკვნა

    ISO 27001 აღწერს ISMS-ის განხორციელებისა და ექსპლუატაციის ზოგად მოდელს, ასევე ISMS-ის მონიტორინგისა და გაუმჯობესების აქტივობებს. ISO აპირებს სხვადასხვა მართვის სისტემის სტანდარტების ჰარმონიზაციას, როგორიცაა ISO/IEC 9001:2000, რომელიც ეხება ხარისხის მენეჯმენტს და ISO/IEC 14001:2004, რომელიც ეხება გარემოსდაცვითი მართვის სისტემებს. ISO-ს მიზანია უზრუნველყოს ISMS-ის თანმიმდევრულობა და ინტეგრაცია კომპანიის სხვა მართვის სისტემებთან. სტანდარტების მსგავსება საშუალებას იძლევა გამოიყენოს მსგავსი ინსტრუმენტები და ფუნქციონირება განხორციელების, მართვის, გადასინჯვის, გადამოწმებისა და სერტიფიცირების მიზნით. გასაგებია, რომ თუ კომპანიას აქვს დანერგილი სხვა მართვის სტანდარტები, მას შეუძლია გამოიყენოს ერთიანი აუდიტისა და მართვის სისტემა, რომელიც გამოიყენება ხარისხის მენეჯმენტზე, გარემოსდაცვით მენეჯმენტზე, უსაფრთხოების მენეჯმენტზე და ა.შ. ISMS-ის დანერგვით, უფროს მენეჯმენტს აქვს უსაფრთხოების მონიტორინგი და მართვა, რაც ამცირებს ბიზნესის ნარჩენ რისკებს. ISMS-ის დანერგვის შემდეგ, კომპანიას შეუძლია ოფიციალურად უზრუნველყოს ინფორმაციის უსაფრთხოება და გააგრძელოს კლიენტების, კანონმდებლობის, მარეგულირებლებისა და აქციონერების მოთხოვნების დაკმაყოფილება.

    აღსანიშნავია, რომ რუსეთის ფედერაციის კანონმდებლობაში არსებობს დოკუმენტი GOST R ISO/IEC 27001-2006, რომელიც წარმოადგენს ISO27001 საერთაშორისო სტანდარტის თარგმნილ ვერსიას.

    ბიბლიოგრაფია

    1. კორნეევი ი.რ., ბელიაევი ა.ვ. საწარმოს ინფორმაციის უსაფრთხოება. – პეტერბურგი: BHV-Petersburg, 2003. – 752 გვ.

    2.საერთაშორისო ISO სტანდარტი 27001

    (http://www.specon.ru/files/ISO27001.pdf) (წვდომის თარიღი: 05/23/12).

    3.ეროვნული სტანდარტი რუსეთის ფედერაცია GOST R ISO/IEC 27003 - "ინფორმაციული ტექნოლოგიები. უსაფრთხოების მეთოდები. სახელმძღვანელო ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვისათვის.

    (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (შესვლის თარიღი: 05/23/12).

    4. Skiba V.Yu., Kurbatov V.A. სახელმძღვანელო ინფორმაციის უსაფრთხოებისთვის ინსაიდერული საფრთხეებისგან დაცვის შესახებ. პეტერბურგი: პეტრე, 2008. - 320გვ.

    ინფორმაციული უსაფრთხოების მართვის სისტემა არის საერთო მართვის სისტემის ნაწილი, რომელიც დაფუძნებულია ბიზნეს რისკის შეფასების მეთოდების გამოყენებაზე ინფორმაციის უსაფრთხოების შემუშავების, განხორციელების, ფუნქციონირების, მონიტორინგის, ანალიზის, მხარდაჭერისა და გაუმჯობესების მიზნით.

    მართვის სისტემა მოიცავს ორგანიზაციული სტრუქტურაპოლიტიკა, აქტივობების დაგეგმვა, პასუხისმგებლობის განაწილება, პრაქტიკული აქტივობებიპროცედურები, პროცესები და რესურსები [GOST R ISO/IEC 27001-2006]

    ISO 27001 სტანდარტი განსაზღვრავს ინფორმაციული უსაფრთხოების მართვის სისტემის (ISMS) მოთხოვნებს. სტანდარტის მოთხოვნები გარკვეულწილად აბსტრაქტულია და არ არის დაკავშირებული კომპანიის საქმიანობის რომელიმე სფეროს სპეციფიკასთან.

    90-იანი წლების დასაწყისში საინფორმაციო სისტემების განვითარებამ განაპირობა უსაფრთხოების მართვის სტანდარტის შექმნის აუცილებლობა. ბრიტანეთის მთავრობისა და ინდუსტრიის მოთხოვნით, ბრიტანეთის ვაჭრობისა და მრეწველობის დეპარტამენტმა შეიმუშავა ISMS პრაქტიკა.

    თავდაპირველმა BS 7799 სტანდარტმა დიდი გზა გაიარა, მთელი რიგი ტესტებითა და კორექტირებით. მის „კარიერაში“ ყველაზე მნიშვნელოვანი ეტაპი იყო 2005 წელი, როდესაც საერთაშორისო დონეზე იქნა აღიარებული ISMS-ის შეფასების სტანდარტი (ანუ დადასტურდა მისი მოთხოვნების თანმიმდევრულობა თანამედროვე ISMS-ისთვის). ამ მომენტიდან მსოფლიოს წამყვანმა საწარმოებმა დაიწყეს ISO 27001 სტანდარტის აქტიურად დანერგვა და სერტიფიცირებისთვის მომზადება.

    ISMS სტრუქტურა

    თანამედროვე ISMS არის პროცესზე ორიენტირებული მართვის სისტემა, რომელიც მოიცავს ორგანიზაციულ, დოკუმენტურ და აპარატურულ და პროგრამულ კომპონენტებს. ISMS-ის შესახებ შეიძლება განვასხვავოთ შემდეგი „ხედვები“: პროცესი, დოკუმენტური და სიმწიფე.

    ISMS პროცესები იქმნება ISO/IEC 27001:2005 სტანდარტის მოთხოვნების შესაბამისად, რომელიც ეფუძნება Plan-Do-Check-Act მართვის ციკლს. მის შესაბამისად, ISMS სასიცოცხლო ციკლი შედგება ოთხი ტიპის აქტივობებისგან: შექმნა - განხორციელება და ექსპლუატაცია - მონიტორინგი და ანალიზი - შენარჩუნება და გაუმჯობესება. დოკუმენტირებული ISMS პროცესები უზრუნველყოფს 27001 სტანდარტის ყველა მოთხოვნის დაკმაყოფილებას.

    ISMS დოკუმენტაცია შედგება პოლიტიკის, დოკუმენტირებული პროცედურების, სტანდარტებისა და ჩანაწერებისგან და იყოფა ორ ნაწილად: ISMS მართვის დოკუმენტაცია და ISMS ოპერატიული დოკუმენტაცია.

    ISMS-ის მომწიფებული მოდელი განსაზღვრავს შემუშავებული დოკუმენტაციის დეტალებს და ISMS-ის მართვისა და ექსპლუატაციის პროცესების ავტომატიზაციის ხარისხს. CobiT სიმწიფის მოდელი გამოიყენება შეფასებისა და დაგეგმვისას. ISMS Maturity Improvement პროგრამა უზრუნველყოფს აქტივობების შემადგენლობას და ვადებს ინფორმაციული უსაფრთხოების მართვის პროცესების გასაუმჯობესებლად და ინფორმაციული უსაფრთხოების ინსტრუმენტების ფუნქციონირების მართვაში.

    სტანდარტი გვთავაზობს PDCA (Plan-Do-Check-Act) მოდელის გამოყენებას ცხოვრების ციკლი ISMS, რომელიც მოიცავს განვითარებას, დანერგვას, ექსპლუატაციას, კონტროლს, ანალიზს, მხარდაჭერას და გაუმჯობესებას (სურათი 1).

    გეგმა - ISMS-ის შექმნის ფაზა, აქტივების სიის შექმნა, რისკების შეფასება და ზომების შერჩევა;

    Do (Action) - შესაბამისი ღონისძიებების განხორციელებისა და განხორციელების ეტაპი;

    შემოწმება - ISMS-ის ეფექტურობისა და შესრულების შეფასების ეტაპი. როგორც წესი, ხორციელდება შიდა აუდიტორების მიერ.

    აქტი - პრევენციული და მაკორექტირებელი ქმედებების მიღება.

    ISMS-ის შექმნის პროცესი შედგება 4 ეტაპისგან:

    დაგეგმვის პროცესი, რომლის მიზანია ინფორმაციის უსაფრთხოების რისკების დაძლევის გზების იდენტიფიცირება, ანალიზი და შემუშავება. ამ პროცესის შექმნისას თქვენ უნდა შეიმუშაოთ მეთოდოლოგია საინფორმაციო აქტივების კატეგორიზაციისთვის და რისკების ოფიციალურად შეფასებისთვის, შესაბამისი მონაცემების საფუძველზე. საინფორმაციო ინფრასტრუქტურასაფრთხეები და დაუცველობა. რაც შეეხება PCI DSS აუდიტს, არსებობს ორი ტიპის ღირებული ინფორმაციის აქტივები, რომლებსაც აქვთ კრიტიკულობის სხვადასხვა დონე: ბარათის მფლობელის მონაცემები და კრიტიკული ავთენტიფიკაციის მონაცემები.

    დაგეგმილი რისკის მკურნალობის მეთოდების დანერგვის პროცესი, რომელიც აღწერს ინფორმაციული უსაფრთხოების ახალი პროცესის დაწყების ან არსებულის განახლების პროცედურას. განსაკუთრებული ყურადღება უნდა მიექცეს როლებისა და პასუხისმგებლობების აღწერას და განხორციელების დაგეგმვას.

    ფუნქციონირებადი ISMS პროცესების მონიტორინგის პროცესი (აღსანიშნავია, რომ როგორც ISMS პროცესები, ასევე თავად ISMS ექვემდებარება შესრულების მონიტორინგს - ბოლოს და ბოლოს, მართვის ოთხი პროცესი არ არის გრანიტის ქანდაკებები და მათზე ვრცელდება თვითაქტუალიზაცია).

    ISMS პროცესების გაუმჯობესების პროცესი მონიტორინგის შედეგების შესაბამისად, რაც შესაძლებელს ხდის მაკორექტირებელი და პრევენციული ქმედებების განხორციელებას.

    GOST R ISO/IEC 27001-2006" Საინფორმაციო ტექნოლოგია. უსაფრთხოების უზრუნველყოფის მეთოდები და საშუალებები. ინფორმაციის უსაფრთხოების მართვის სისტემები. მოთხოვნები"

    სტანდარტის შემქმნელები აღნიშნავენ, რომ ის მომზადდა, როგორც მოდელი ინფორმაციული უსაფრთხოების მართვის სისტემის (ISMS) შემუშავების, დანერგვის, ექსპლუატაციის, მონიტორინგის, ანალიზის, მხარდაჭერისა და გაუმჯობესებისთვის. ISMS (ინგლისური - ინფორმაციული უსაფრთხოების მართვის სისტემა; ISMS) განისაზღვრება, როგორც მთლიანი მართვის სისტემის ნაწილი, რომელიც დაფუძნებულია ბიზნეს რისკის შეფასების მეთოდების გამოყენებაზე ინფორმაციული უსაფრთხოების შემუშავების, დანერგვის, ექსპლუატაციის, მონიტორინგის, ანალიზის, მხარდაჭერისა და გაუმჯობესების მიზნით. მართვის სისტემა მოიცავს ორგანიზაციულ სტრუქტურას, პოლიტიკას, დაგეგმვის აქტივობებს, პასუხისმგებლობებს, პრაქტიკას, პროცედურებს, პროცესებსა და რესურსებს.

    სტანდარტი ითვალისწინებს პროცესის მიდგომის გამოყენებას ორგანიზაციის ISMS-ის შემუშავების, განხორციელების, ექსპლუატაციის, მონიტორინგის, ანალიზის, მხარდაჭერისა და გაუმჯობესებისთვის. ის ეფუძნება Plan - Do - Check - Act (PDCA) მოდელს, რომელიც შეიძლება გამოყენებულ იქნას ყველა ISMS პროცესის სტრუქტურირებაში. ნახ. დიაგრამა 4.4 გვიჩვენებს, თუ როგორ ISMS, იყენებს ინფორმაციის უსაფრთხოების მოთხოვნებს და დაინტერესებულ მხარეთა მოლოდინებს, როგორც შესატანს, აწარმოებს ინფორმაციის უსაფრთხოების შედეგებს, რომლებიც აკმაყოფილებს ამ მოთხოვნებს და მოსალოდნელ შედეგებს საჭირო აქტივობებისა და პროცესების მეშვეობით.

    ბრინჯი. 4.4.

    სცენაზე „ინფორმაციული უსაფრთხოების მართვის სისტემის შემუშავება“ორგანიზაციამ უნდა გააკეთოს შემდეგი:

    • - განსაზღვროს ISMS-ის ფარგლები და საზღვრები;
    • - განსაზღვროს ISMS პოლიტიკა ბიზნესის, ორგანიზაციის, მისი მდებარეობის, აქტივებისა და ტექნოლოგიების მახასიათებლების საფუძველზე;
    • - ორგანიზაციაში რისკის შეფასების მიდგომის განსაზღვრა;
    • - რისკების იდენტიფიცირება;
    • - რისკების ანალიზი და შეფასება;
    • - რისკის მკურნალობის სხვადასხვა ვარიანტების იდენტიფიცირება და შეფასება;
    • - რისკის მკურნალობის მიზნებისა და კონტროლის ზომების შერჩევა;
    • - მიიღოს ხელმძღვანელობის თანხმობა სავარაუდო ნარჩენი რისკების შესახებ;
    • - მიიღოს მენეჯმენტის ნებართვა ISMS-ის დანერგვისა და ფუნქციონირებისთვის;
    • - მოამზადეთ განაცხადის გამოყენების შესახებ.

    სცენა" ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა და ფუნქციონირება“ვარაუდობს, რომ ორგანიზაციამ უნდა:

    • - რისკების მკურნალობის გეგმის შემუშავება, რომელიც განსაზღვრავს მენეჯმენტის შესაბამის ქმედებებს, რესურსებს, პასუხისმგებლობებს და პრიორიტეტებს ინფორმაციული უსაფრთხოების რისკის მართვასთან დაკავშირებით;
    • - რისკების მკურნალობის გეგმის განხორციელება დასახული მენეჯმენტის მიზნების მისაღწევად, მათ შორის დაფინანსების საკითხების, ასევე ფუნქციებისა და პასუხისმგებლობების განაწილების მიზნით;
    • - შერჩეული მართვის ღონისძიებების განხორციელება;
    • - განსაზღვროს, თუ როგორ უნდა გავზომოთ შერჩეული მართვის ღონისძიებების ეფექტურობა;
    • - თანამშრომელთა ტრენინგისა და პროფესიული განვითარების პროგრამების განხორციელება;
    • - მართოს ISMS-ის მუშაობა;
    • - მართოთ ISMS რესურსები;
    • - განახორციელოს პროცედურები და სხვა მართვის ღონისძიებები ინფორმაციული უსაფრთხოების მოვლენების სწრაფი გამოვლენისა და ინფორმაციულ უსაფრთხოებასთან დაკავშირებულ ინციდენტებზე რეაგირების უზრუნველსაყოფად.

    მესამე ეტაპი" ინფორმაციული უსაფრთხოების მართვის სისტემის მონიტორინგისა და ანალიზის ჩატარება“მოითხოვს:

    • - განახორციელოს მონიტორინგისა და ანალიზის პროცედურები;
    • - ჩაატაროს ISMS-ის ეფექტურობის რეგულარული ანალიზი;
    • - საკონტროლო ღონისძიებების ეფექტურობის გაზომვა ინფორმაციული უსაფრთხოების მოთხოვნებთან შესაბამისობის შესამოწმებლად;
    • - განიხილოს რისკის შეფასებები დადგენილ პერიოდებში, გააანალიზოს ნარჩენი რისკები და დადგენილი რისკის მისაღები დონეები ცვლილებების გათვალისწინებით;
    • - ჩაატაროს ISMS-ის შიდა აუდიტი დადგენილ პერიოდებში;
    • - რეგულარულად ატარებს ISMS ანალიზს ორგანიზაციის მენეჯმენტის მიერ, რათა დაადასტუროს ფუნქციონირების სისტემის ადეკვატურობა და განსაზღვროს გაუმჯობესების სფეროები;
    • - ინფორმაციული უსაფრთხოების გეგმების განახლება ანალიზისა და მონიტორინგის შედეგების გათვალისწინებით;
    • - ჩაწერეთ მოქმედებები და მოვლენები, რომლებმაც შეიძლება გავლენა მოახდინოს ISMS-ის ეფექტურობაზე ან ფუნქციონირებაზე.

    და ბოლოს, სცენა „ინფორმაციული უსაფრთხოების მართვის სისტემის მხარდაჭერა და გაუმჯობესება“ვარაუდობს, რომ ორგანიზაციამ რეგულარულად უნდა განახორციელოს შემდეგი აქტივობები:

    • - ISMS-ის გაუმჯობესების შესაძლებლობების იდენტიფიცირება;
    • - მიიღოს აუცილებელი მაკორექტირებელი და პრევენციული ქმედებები, გამოიყენოს პრაქტიკაში ინფორმაციული უსაფრთხოების ორივე სფეროში მიღებული გამოცდილება საკუთარი ორგანიზაციადა სხვა ორგანიზაციებში;
    • - გადაცემა დეტალური ინფორმაციაყველა დაინტერესებული მხარისათვის ISMS-ის გაუმჯობესების ქმედებების შესახებ, ხოლო დეტალების ხარისხი უნდა შეესაბამებოდეს გარემოებებს და, საჭიროების შემთხვევაში, შეთანხმდეს შემდგომ ქმედებებზე;
    • - უზრუნველყოს ISMS-ის გაუმჯობესების განხორციელება დაგეგმილი მიზნების მისაღწევად.

    გარდა ამისა, სტანდარტი ითვალისწინებს მოთხოვნებს დოკუმენტაციისთვის, რომელიც უნდა მოიცავდეს ISMS პოლიტიკის დებულებებს და მოქმედების სფეროს აღწერას, მეთოდოლოგიის აღწერას და რისკის შეფასების ანგარიშს, რისკის მკურნალობის გეგმას და შესაბამისი პროცედურების დოკუმენტაციას. ასევე უნდა განისაზღვროს ISMS დოკუმენტების მართვის პროცესი, მათ შორის განახლება, გამოყენება, შენახვა და განადგურება.

    მოთხოვნებთან შესაბამისობისა და ISMS-ის ეფექტურობის მტკიცებულებების უზრუნველსაყოფად, აუცილებელია პროცესების შესრულების ჩანაწერების შენახვა და შენარჩუნება. მაგალითები მოიცავს ვიზიტორთა ჟურნალებს, აუდიტის ანგარიშებს და ა.შ.

    სტანდარტი განსაზღვრავს, რომ ორგანიზაციის მენეჯმენტი პასუხისმგებელია ISMS-ის შესაქმნელად საჭირო რესურსების უზრუნველყოფაზე და მართვაზე, ასევე პერსონალის ტრენინგის ორგანიზებაზე.

    როგორც უკვე აღინიშნა, ორგანიზაციამ დამტკიცებული გრაფიკის შესაბამისად უნდა ჩაატაროს შიდა ISMS აუდიტი მისი ფუნქციონირებისა და სტანდარტთან შესაბამისობის შესაფასებლად. მენეჯმენტმა კი უნდა ჩაატაროს ინფორმაციული უსაფრთხოების მართვის სისტემის ანალიზი.

    ასევე უნდა ჩატარდეს მუშაობა ინფორმაციული უსაფრთხოების მართვის სისტემის გაუმჯობესებაზე: გაზარდოს მისი ეფექტურობა და შესაბამისობის დონე მიმდინარე მდგომარეობასისტემა და მისი მოთხოვნები.