도네츠크 지역 기업에서 정보 보안 관리 시스템을 구축하는 방법. 정보보호 관리체계

정말 어색해요. 현재의 산업안전보건 관리 표준인 OHSAS 18001을 대체할 ISO 45001 표준의 출시가 임박했다는 소식을 전하며, 2016년 말에 출시될 것으로 예상한다고 밝혔습니다. 허먼. 이제 ISO 45001이 지연되었음을 인정할 때입니다. 에 따르면 사실이다 좋은 이유. 전문가 커뮤니티에서는 그에게 질문이 너무 많았습니다. […]

이중 기사가 곧 시작됩니다. 국제기구표준화는 제품에 대한 표준 표시 사용에 대한 입장을 명확하게 표명했습니다. ISO는 "아니오"라고 말합니다. 그러나 기업가들은 여전히 ​​이것을 원합니다. 그들은 어떻게 되어야 합니까? 정확히는 왜 안 되나요? 질문의 배경은 다음과 같습니다. 아시다시피 ISO 표준은 인증을 받은 기업이 제조한 제품과 직접적인 관련이 없습니다. […]

주제를 마무리해 보겠습니다. 지난 기사에서 우리는 QMS의 8가지 원칙에 대한 대화를 시작했습니다. 품질 관리 시스템이 구축되는 원칙입니다. 우리의 목표는 이러한 원칙을 비즈니스 코치의 언어에서 인간의 언어로 번역하는 것입니다. 그래야 실질적인 혜택을 얻을 수 있습니다. 우리는 고객 지향에 대해 이야기했습니다. 그들은 "무언가 [...]가 아닌"을 생산하는 방법에 대해 이야기했습니다.

많은 사람들이 품질경영에 대해 이야기합니다. 그러나 어떤 이유로 그들은 궁극적으로 아무것도 명확하지 않은 방식으로 말합니다. 이는 품질 관리가 단어로 남아 있음을 의미합니다. 너무 많은 교묘한 말로. 이를 일반 언어로 번역하고 품질 관리 원칙이 실제로 회사 활동을 개선하는 데 어떻게 도움이 되는지 이해해 보겠습니다. 긴 서문 없이 해보자. 전체적으로 현재 관련 품질 관리 시스템이 가장 인기가 있습니다 [...]

프로젝트 관리... 온갖 비즈니스 컨설턴트들과 너무 많은 시간을 들여 소통한 사람들이 많을 거라 확신하는데, 이제 그런 말을 듣는 것만으로도 약간 메스꺼움이 느껴지기 시작합니다. 무엇을 해야 할까요? 비즈니스 컨설턴트를 우리 머릿속에서 몰아내고 문제를 인간의 언어로 표현해 봅시다. 프로젝트 관리는 꼭 마커로 복잡한 다이어그램과 흐름도를 그리는 흰 셔츠를 입은 사람이 아닙니다 […

(SMIB)- 그 부분 공통 시스템생성, 구현, 운영, 모니터링, 분석, 지원 및 개선에 대한 비즈니스 위험 접근 방식을 기반으로 하는 관리 정보 보안.

ISO/IEC_27001의 요구 사항에 따라 구축된 경우 PDCA 모델을 기반으로 합니다.

계획(계획) - ISMS 작성, 자산 목록 작성, 위험 평가 및 조치 선택 단계

하다(조치) - 적절한 조치의 구현 및 구현 단계

확인하다(검증) - ISMS의 효과성과 성능을 평가하는 단계입니다. 일반적으로 내부 감사자가 수행합니다.

행동(개선) - 예방 및 시정 조치 이행

정보 보안 개념

ISO 27001 표준은 정보 보안을 다음과 같이 정의합니다. “정보의 기밀성, 무결성 및 가용성을 유지합니다. 또한 진위성, 부인 방지, 신뢰성과 같은 다른 속성도 포함될 수 있습니다."

기밀성 – 적절한 권한을 가진 사람(인가된 사용자)만이 정보에 접근할 수 있도록 보장합니다.

진실성 – 정보의 정확성과 완전성 및 처리 방법을 보장합니다.

유효성 – 필요한 경우(요청 시) 승인된 사용자에게 정보에 대한 액세스를 제공합니다.

4 정보보호 관리체계

4.1 일반적인 요구 사항

조직은 조직의 비즈니스 활동과 직면한 위험 전반에 걸쳐 문서화된 ISMS 조항을 수립, 실행, 사용, 모니터링, 검토, 유지 및 개선해야 합니다. 본 국제 표준의 실질적인 이점을 위해 사용된 프로세스는 그림 1에 표시된 PDCA 모델을 기반으로 합니다. 1.

4.2 ISMS의 생성 및 관리

4.2.1 ISMS의 생성

조직은 다음을 수행해야 합니다.

a) 조직 활동의 세부 사항, 조직 자체, 위치, 자산 및 기술을 고려하여 ISMS 초안에서 문서의 조항을 제외하는 세부 사항 및 정당성을 포함하여 ISMS의 범위와 경계를 결정합니다(1.2 참조). ).

b) 조직 활동, 조직 자체, 위치, 자산 및 기술의 특성을 고려하여 다음과 같은 ISMS 정책을 개발합니다.

1) 목표(과제) 설정 시스템을 포함하고 정보 보안에 관한 일반적인 관리 방향과 행동 원칙을 설정합니다.

2) 비즈니스 및 법적 또는 규제 요구 사항, 계약상의 보안 의무를 고려합니다.

3) ISMS의 생성 및 유지 관리가 이루어지는 전략적 위험 관리 환경과 연결됩니다.

4) 위험을 평가할 기준을 설정합니다(4.2.1 c) 참조). 그리고

5) 경영진의 승인을 받습니다.

참고: 본 국제 표준의 목적에 따라 ISMS 정책은 정보 보안 정책의 확장된 세트로 간주됩니다. 이러한 정책은 하나의 문서로 설명할 수 있습니다.

c) 조직 내 위험 평가에 대한 개념을 개발합니다.

1) ISMS와 확립된 비즈니스 정보 보안, 법률 및 규제 요구 사항에 적합한 위험 평가 방법론을 결정합니다.

2) 위험 허용 기준을 개발하고 허용 가능한 위험 수준을 결정합니다(5.1f 참조).

선택한 위험 평가 방법론은 위험 평가가 비교 가능하고 재현 가능한 결과를 생성하도록 보장해야 합니다.

참고: 다양한 위험 평가 방법론이 있습니다. 위험 평가 방법론의 예는 MOS/IEC TU 13335-3에서 논의됩니다. 정보 기술 – 관리를 위한 권장 사항그것보안 - 관리 방법그것보안.

d) 위험을 식별합니다.

1) ISMS 조항의 틀 내에서 자산과 소유자를 식별합니다.2(2 "소유자"라는 용어는 생산, 개발, 유지, 애플리케이션 및 자산 보안. "소유자"라는 용어는 그 사람이 실제로 자산에 대한 소유권을 갖고 있다는 의미는 아닙니다.

2) 이러한 자산에 대한 위험을 식별합니다.

3) 보안시스템의 취약점을 파악한다.

4) 자산의 기밀성, 무결성 및 가용성을 파괴하는 영향을 식별합니다.

e) 위험을 분석하고 평가합니다.

1) 보안 시스템의 실패로 인해 발생할 수 있는 조직의 비즈니스 피해뿐만 아니라 자산의 기밀성, 무결성 또는 가용성 위반의 결과로 발생할 수 있는 피해를 평가합니다.

2) 일반적인 위험과 취약성, 자산 영향, 현재 구현된 통제를 고려하여 보안 시스템 실패 가능성을 결정합니다.

3) 위험 수준을 평가합니다.

4) 4.2.1c)2)에 설정된 위험 허용 기준을 사용하여 위험 허용 여부를 결정하거나 위험 감소를 요구합니다.

f) 위험 감소 도구를 식별하고 평가합니다.

가능한 조치는 다음과 같습니다.

1) 적절한 통제의 적용

2) 위험에 대한 의식적이고 객관적인 수용, 조직의 정책 요구사항 및 위험 수용 기준(4.2.1c)2))의 무조건적 준수를 보장합니다.

3) 위험 회피; 그리고

4) 관련 비즈니스 위험을 다른 당사자(예: 보험회사, 공급업체)에게 이전합니다.

g) 위험을 줄이기 위한 목표와 통제 수단을 선택합니다.

위험 평가 및 위험 감소 프로세스에 의해 설정된 요구 사항에 따라 목표와 통제를 선택하고 구현해야 합니다. 이러한 선택은 위험 허용 기준(4.2.1c)2 참조)과 법적, 규제 및 계약 요구 사항을 모두 고려해야 합니다.

지정된 요구 사항을 충족하려면 부록 A의 작업 및 제어 기능을 이 프로세스의 일부로 선택해야 합니다.

부록 A에는 모든 작업과 컨트롤이 나열되어 있지 않으므로 추가 항목을 선택할 수 있습니다.

참고: 부록 A에는 조직과 가장 관련이 있는 것으로 확인된 관리 목표의 포괄적인 목록이 포함되어 있습니다. 하나도 놓치지 않도록 중요한 점관리 옵션의 경우, 이 국제 표준 사용자는 부록 A를 샘플 관리의 출발점으로 사용해야 합니다.

h) 예상되는 잔여 위험 관리에 대한 승인을 얻습니다.

4) 보안 사건의 탐지를 촉진하고 특정 지표를 사용하여 보안 사건을 예방합니다. 그리고

5) 보안 위반을 예방하기 위해 취한 조치의 효율성을 결정합니다.

b) 감사 결과, 사고, 성과 측정 결과, 모든 이해관계자의 제안 및 권장 사항을 고려하여 ISMS 효과에 대한 정기적인 검토(ISMS 정책 및 목표 논의, 보안 통제 검토 포함)를 수행합니다. .

c) 안전 요구사항이 충족되는지 확인하기 위해 통제의 효율성을 평가합니다.

d) 계획된 기간에 대한 위험성 평가를 확인하고 잔여 위험성 및 허용 수준다음 사항의 변화를 고려한 위험:

1) 조직

2) 기술;

3) 사업 목표 및 프로세스

4) 식별된 위협;

5) 구현된 통제의 효율성; 그리고

6) 법률 및 경영 환경의 변화, 계약 의무의 변화, 사회적 분위기의 변화와 같은 외부 사건.

e) 계획된 기간에 ISMS 내부 감사를 수행합니다(6 참조).

참고: 1차 감사라고도 불리는 내부 감사는 조직 자체의 목적을 위해 조직 자체를 대신하여 수행됩니다.

f) 정기적으로 ISMS 관리를 검토하여 해당 조항이 적절한지, ISMS가 개선되고 있는지 확인합니다.

g) 모니터링 및 감사를 통해 얻은 데이터를 기반으로 보안 계획을 업데이트합니다.

h) ISMS의 효율성이나 성과에 영향을 미칠 수 있는 활동과 사건을 기록합니다(4.3.3 참조).

4.2.4 ISMS 지원 및 개선

조직은 다음을 지속적으로 수행해야 합니다.

a) ISMS에 특정 수정 사항을 적용합니다.

b) 8.2 및 8.3에 따라 적절한 시정 및 예방 조치를 취하십시오. 조직 자체에서 축적한 지식과 다른 조직의 경험을 통해 얻은 지식을 적용합니다.

c) 상황에 적합한 수준으로 세부적인 수준으로 모든 이해관계자에게 조치 및 개선 사항을 전달합니다. 그에 따라 그들의 행동을 조정합니다.

d) 개선이 의도한 목적을 달성하는지 확인합니다.

4.3 문서 요구사항

4.3.1 일반사항

문서에는 프로토콜(기록)이 포함되어야 합니다. 경영 결정, 조치의 필요성은 경영진의 결정과 정책에 의해 결정된다는 점을 확신합니다. 기록된 결과의 재현성을 보장합니다.

보여줄 수 있는 것이 중요하다 피드백위험 평가 및 위험 감소 프로세스의 결과, 그리고 ISMS 정책 및 목표를 사용하여 선택된 통제 수단을 선택합니다.

ISMS 문서에는 다음이 포함되어야 합니다.

a) ISMS 정책 및 목표에 대한 문서화된 설명(4.2.1b 참조))

b) ISMS 입장(4.2.1a 참조))

c) ISMS를 지원하는 개념과 통제;

d) 위험 평가 방법론에 대한 설명(4.2.1c) 참조)

e) 위험 평가 보고서(4.2.1c) – 4.2.1g) 참조)

f) 위험 감소 계획(4.2.2b 참조))

g) 문서화된 개념, 조직에 꼭 필요한정보 보안 프로세스의 계획, 운영 및 관리의 효율성을 보장하고 통제 효과를 측정하는 방법을 설명합니다(4.2.3c) 참조).

h) 이 국제 표준에서 요구하는 문서(4.3.3 참조) 그리고

i) 적용 가능성 설명.

참고 1: 이 국제 표준의 목적상 "문서화된 개념"이라는 용어는 개념이 구현되고, 문서화되고, 구현되고 준수된다는 것을 의미합니다.

참고 2: 여러 조직의 ISMS 문서 크기는 다음에 따라 달라질 수 있습니다.

조직의 규모 및 자산 유형 그리고

보안 요구 사항과 관리 시스템의 규모와 복잡성.

참고 3: 문서와 보고서는 어떤 형태로든 제공될 수 있습니다.

4.3.2 문서관리

ISMS에서 요구하는 문서는 보호되고 규제되어야 합니다. 다음에 대한 관리 조치를 설명하는 데 필요한 문서화 절차를 승인해야 합니다.

a) 출판 전에 문서가 특정 표준을 준수하는지 확인합니다.

b) 필요에 따라 문서를 확인 및 업데이트하고 문서를 재승인합니다.

c) 변경 사항이 개정된 문서의 현재 상태와 일치하는지 확인합니다.

d) 현재 문서의 중요한 버전의 가용성을 보장합니다.

e) 문서를 이해하고 읽을 수 있도록 보장

f) 문서를 필요로 하는 사람들이 문서에 접근할 수 있도록 보장 분류에 따라 적용되는 절차에 따라 전송, 보관 및 최종 파기됩니다.

g) 외부 소스에서 얻은 문서의 진위성을 확립합니다.

h) 문서 배포 통제

i) 쓸모없는 문서의 의도하지 않은 사용을 방지합니다. 그리고

j) 만일의 경우에 대비하여 보관하는 경우 적절한 식별 방법을 적용합니다.

4.3.3 기록 관리

요구사항 준수와 ISMS의 효과적인 운영을 보장하기 위해 기록을 작성하고 유지해야 합니다. 기록은 보호되고 검증되어야 합니다. ISMS는 모든 법적, 규제적 요구 사항과 계약상의 의무를 고려해야 합니다. 기록은 이해하기 쉽고, 쉽게 식별하고, 검색할 수 있어야 합니다. 기록의 식별, 보관, 보호, 복구, 보관 기간 및 파기에 필요한 통제 조치를 문서화하고 시행해야 합니다.

기록에는 4.2에 설명된 활동의 구현과 ISMS와 관련된 모든 사고 및 중요한 안전 사고에 대한 정보가 포함되어야 합니다.

기록의 예로는 방명록, 감사 로그, 작성된 액세스 승인 양식 등이 있습니다.

BS ISO/IEC 27001:2005 표준은 정보 보안 관리 시스템(ISMS) 모델을 설명하고 조직 수행자가 선택한 구현 방법을 참조하지 않고 기업의 정보 보안을 구성하기 위한 일련의 요구 사항을 제공합니다.

확인 - ISMS의 효율성과 성능을 평가하는 단계입니다. 일반적으로 내부 감사자가 수행합니다.

ISMS 작성(및 후속 인증) 결정은 조직의 최고 경영진이 내립니다. 이는 경영진의 지원과 비즈니스에 대한 ISMS의 가치에 대한 확인을 보여줍니다. 조직의 경영진은 ISMS 계획 그룹의 생성을 시작합니다.

ISMS 계획을 담당하는 그룹에는 다음이 포함되어야 합니다.

· 조직의 최고 경영진 대표;

· ISMS가 적용되는 사업 단위의 대표자;

· 정보 보안 부서의 전문가;

· 제3자 컨설턴트(필요한 경우).

IS 위원회는 ISMS의 운영과 지속적인 개선을 지원합니다.

실무그룹 ISMS 생성 및 조직의 활동 분야, 그리고 물론 주법의 일반 시스템과 관련된 규제 및 방법론적 프레임워크를 따라야 합니다.

규범적 기반 ISMS 생성 시:

· ISO/IEC 27000:2009 어휘 및 정의.

· ISO/IEC 27001:2005 ISMS에 대한 일반 요구 사항.

ISO/IEC 27002:2005 실용 가이드정보 보안 관리에 대해.

· ISO/IEC 27003:2010 ISMS 구현을 위한 실무 지침.

· ISO/IEC 27004:2009 정보 보안의 지표(측정).

· ISO/IEC 27005:2011 정보 보안 위험 관리 가이드.

· ISO/IEC 지침 73:2002, 위험 관리 - 어휘 - 표준 사용 지침.

· ISO/IEC 13335-1:2004, 정보 기술 - 보안 기술 - 정보 및 통신 기술 보안 관리 - 1부: 정보 및 통신 기술 보안 관리에 대한 개념 및 모델.

· ISO/IEC TR 18044 정보 기술 - 보안 기술 - 정보 보안 사고 관리.

· ISO/IEC 19011:2002 품질 및/또는 환경 경영 시스템 감사에 대한 지침.

· 영국 표준 협회(British Standards Institute)의 ISMS 작성 방법 시리즈(이전: PD 3000 시리즈 문서).

ISMS 작성 프로세스는 4단계로 구성됩니다.

스테이지 1. ISMS 계획.

조직의 전반적인 정책 및 목표에 따라 위험 관리 및 정보 보안과 관련된 정책, 목표, 프로세스 및 절차를 수립합니다.

a) ISMS의 범위와 경계를 정의합니다.

· 조직의 활동 유형 및 비즈니스 목표에 대한 설명;

· ISMS가 적용되는 시스템의 경계 표시;

조직의 자산에 대한 설명(유형 정보 자원, 소프트웨어 및 하드웨어, 인력 및 조직 구조);

· 보호된 정보를 사용하는 비즈니스 프로세스에 대한 설명입니다.

시스템 경계에 대한 설명은 다음과 같습니다.

조직의 기존 구조에 대한 설명( 가능한 변경정보 시스템 개발과 관련하여 발생할 수 있는 문제)

보호해야 할 정보시스템 자원( 컴퓨터 공학, 정보, 시스템 및 응용 소프트웨어). 이를 평가하려면 이러한 기준(범주화)에 따라 평가를 얻기 위한 기준 시스템과 방법론을 선택해야 합니다.

정보처리 기술과 해결해야 할 과제. 해결해야 할 과제를 위해서는 자원 측면에서 정보 처리 모델을 구축해야 합니다.

조직의 정보 시스템 및 지원 인프라 다이어그램.

일반적으로 이 단계에서는 정보 시스템의 경계를 수정하고, 보호해야 할 회사의 정보 자원을 나열하고, 가치 평가를 위한 기준 및 방법 시스템을 제공하는 문서가 작성됩니다. 정보자산회사.

b) 조직의 ISMS 정책을 정의합니다(SDS의 확장 버전).

· 정보 보안에 관한 목표, 방향 및 활동 원칙;

· 조직의 위험 관리 전략(접근 방식)에 대한 설명, 유형(법률, 조직, 하드웨어 및 소프트웨어, 엔지니어링)별로 정보를 보호하기 위한 대응책을 구성합니다.

· 위험 중요성 기준에 대한 설명;

· 정보 보안 정책 조항의 정기 검토, 정보 보안에 관한 정보 시스템의 모든 범주 사용자 교육 절차를 포함하여 경영진의 위치, 정보 보안 주제에 대한 경영진의 회의 빈도 결정 문제.

c) 조직의 위험 평가에 대한 접근 방식을 결정합니다.

위험 평가 방법론은 확립된 ISMS에 따라 선택됩니다. 비즈니스 요구 사항정보 보호, 법률 및 규제 요구 사항.

위험 평가 방법론의 선택은 조직의 정보 보안 체계에 대한 요구 사항 수준, 고려되는 위협의 성격(위협 영향의 스펙트럼) 및 정보 보호를 위한 잠재적인 대책의 효율성에 따라 달라집니다. 특히, 정보 보안 체제에 대한 기본 요구사항은 물론 증가되거나 완전한 요구사항도 있습니다.

정보 보안 모드의 최소 요구 사항은 정보 보안의 기본 수준에 해당합니다. 이러한 요구 사항은 일반적으로 표준 설계 솔루션에 적용됩니다. 바이러스, 하드웨어 오류, 승인되지 않은 접근등. 이러한 위협을 무력화하려면 구현 가능성과 자원의 취약성에 관계없이 대응 조치를 취해야 합니다. 따라서 기본적인 수준에서는 위협의 특성을 고려할 필요가 없다. 이 분야의 외국 표준은 ISO 27002, BSI, NIST 등입니다.

정보 보안 체제를 위반하여 심각한 결과를 초래하는 경우 요구 사항이 추가로 강화됩니다.

추가로 증가된 요구 사항을 공식화하려면 다음이 필요합니다.

자원의 가치를 결정합니다.

연구 중인 정보 시스템과 관련된 위협 목록을 표준 세트에 추가합니다.

위협 가능성을 평가합니다.

자원 취약성을 식별합니다.

침입자의 영향으로 인한 잠재적 피해를 평가합니다.

지속적으로 최소한의 변경으로 사용할 수 있는 위험 평가 방법론을 선택하는 것이 필요합니다. 두 가지 방법이 있습니다. 위험 평가를 위해 시장에 있는 기존 방법과 도구를 사용하거나 회사의 특성과 ISMS가 다루는 활동 영역에 맞게 조정된 고유한 방법론을 만드는 것입니다.

마지막 옵션이 가장 바람직합니다. 왜냐하면 지금까지 하나 또는 다른 위험 분석 기술을 구현하는 시장에 존재하는 대부분의 제품이 표준 요구 사항을 충족하지 않기 때문입니다. 이러한 방법의 일반적인 단점은 다음과 같습니다.

· 종종 변경할 수 없는 위협 및 취약점의 표준 세트;

· 소프트웨어, 하드웨어 및 정보 자원만을 자산으로 수용 - 고려 없이 인적 자원, 서비스 및 기타 중요한 자원;

· 지속 가능하고 반복적인 사용 측면에서 기술의 전반적인 복잡성.

· 위험을 수용하는 기준과 허용 가능한 위험 수준(조직의 전략적, 조직적, 관리 목표 달성을 기반으로 해야 함).

d) 위험 식별.

· 자산 및 소유자 식별

정보 입력;

정보 출력;

정보 기록

자원: 사람, 인프라, 장비, 소프트웨어, 도구, 서비스.

· 위협 식별(위험 평가 표준은 종종 보완 및 확장될 수 있는 위협 클래스를 제안합니다).

· 취약점 식별(조직을 분석할 때 신뢰할 수 있는 가장 일반적인 취약점 목록도 있습니다).

자산 가치 결정( 가능한 결과자산의 기밀성, 무결성 및 가용성 손실로 인해) 자산 가치에 대한 정보는 소유자 또는 소유자가 보안 보장을 포함하여 자산에 대한 모든 권한을 위임한 사람으로부터 얻을 수 있습니다.

e) 위험 평가.

· 자산의 기밀성, 무결성 및 가용성 손실로 인해 기업에 발생할 수 있는 피해를 평가합니다.

· 기존 정보 보안 통제를 고려하고 발생 가능한 피해를 평가하여 기존 취약성을 통해 위협이 실현될 가능성을 평가합니다.

· 위험 수준을 결정합니다.

위험 수용 기준 적용(허용 가능/치료 필요)

f) 위험 처리(선택된 위험 관리 전략에 따라).

가능한 조치:

수동적 행동:

위험 수용(결과적인 위험 수준의 수용 가능성에 대한 결정)

위험 회피(주어진 위험 수준을 유발하는 활동을 변경하기로 결정 - 웹 서버를 경계 밖으로 이동) 지역 네트워크);

활성 작업:

위험 감소(조직적, 기술적 대책 사용)

위험 이전(보험(화재, 도난, 소프트웨어 오류)).

가능한 조치의 선택은 허용되는 위험 기준(허용 가능한 위험 수준 지정, 정보 보안 제어로 줄일 수 있는 위험 수준, 이를 유발하는 활동 유형을 포기하거나 전환하는 것이 권장되는 위험 수준, 및 다른 당사자에게 이전하는 것이 바람직한 위험).

g) 위험 처리를 위한 목표와 통제를 선택합니다.

목표와 통제는 위험 관리 전략을 구현하고 위험 수용 기준과 입법, 규제 및 기타 요구 사항을 고려해야 합니다.

ISO 27001-2005 표준은 위험 처리 계획(ISMS 요구 사항) 구축을 위한 기반으로 목표 및 제어 목록을 제공합니다.

위험 처리 계획에는 위험 수준을 낮추기 위한 우선순위 조치 목록이 포함되어 있습니다.

· 이러한 활동과 수단의 이행을 담당하는 사람;

· 활동 실행 시기 및 실행 우선순위;

· 그러한 활동의 ​​실행을 위한 자원;

· 조치 및 통제 구현 후 잔여 위험 수준.

위험 처리 계획의 채택과 그 구현에 대한 통제는 조직의 최고 경영진이 수행합니다. 계획의 주요 활동을 완료하는 것은 ISMS 실행을 결정하는 기준입니다.

이 단계에서는 정보 보안의 규제, 조직, 관리, 기술 및 하드웨어-소프트웨어 수준에 따라 정보 보안을 위한 다양한 대책의 선택이 정당화되고 구조화됩니다. (또한 선택한 정보 위험 관리 전략에 따라 일련의 대응책이 구현됩니다.) 전체 버전의 위험 분석에서는 각 위험에 대한 대응책의 효율성이 추가로 평가됩니다.

h) 제안된 잔여 위험에 대한 경영진의 승인.

i) ISMS의 구현 및 시운전에 대한 경영진의 승인을 얻습니다.

j) 적용성 기술(ISO 27001-2005에 따름).

ISMS가 실행되는 날짜는 조직이 위험을 관리하기 위해 선택한 목표와 수단을 설명하는 통제 적용에 관한 규정을 회사 최고 경영진이 승인한 날짜입니다.

· 위험 처리 단계에서 선택된 관리 및 통제 도구;

· 조직에 이미 존재하는 관리 및 제어 도구;

· 법적 요구 사항 및 규제 기관의 요구 사항 준수를 보장하는 수단;

· 고객 요구사항의 충족을 보장하는 수단;

· 일반적인 기업 요구 사항을 준수한다는 의미입니다.

· 기타 적절한 통제 및 통제.

2단계. ISMS의 구현 및 운영.

정보 보안 분야의 정보 보안 정책, 통제, 프로세스 및 절차를 구현하고 운영하기 위해 다음 조치가 수행됩니다.

a) 위험 처리 계획 개발(정보 보안 위험 관리를 위한 구현, 지원, 통제 및 관리 책임에 필요한 계획된 통제, 자원(소프트웨어, 하드웨어, 인력)에 대한 설명(계획 단계의 문서 개발, 정보 보안 목표, 역할 및 책임 정의, 보장 필요한 자원 ISMS, 감사 및 분석을 생성합니다.

b) 위험 처리 계획 이행을 위한 자금 할당, 역할 및 책임.

c) 계획된 관리의 구현.

d) 비교 가능하고 재현 가능한 결과를 제공할 제어 성과 지표(메트릭) 및 이를 측정하는 방법을 결정합니다.

e) 업무 책임에 따라 정보 보안 분야 인력의 자격 및 인식을 개선합니다.

f) ISMS 운영 관리, ISMS 유지, 통제 및 개선을 위한 자원 관리.

g) 정보 보안 사고를 신속하게 감지하고 대응하기 위한 절차 및 기타 통제를 ​​구현합니다.

3단계. ISMS 기능에 대한 지속적인 모니터링 및 분석.

이 단계에는 핵심 프로세스 성과 지표를 평가 또는 측정하고, 결과를 분석하고, 분석을 위해 경영진에 보고서를 제공하는 작업이 포함되며 다음이 포함됩니다.

a) 지속적인 모니터링 및 분석 수행(ISMS 기능 오류를 신속하게 감지하고, 보안 사고를 신속하게 식별 및 대응하며, 직원의 역할을 차별화하고 자동화 시스템 ISMS에서는 분석을 통해 보안사고를 예방합니다. 비정상적인 행동, 보안 사고 처리의 효율성을 결정합니다).

b) ISMS의 효율성에 대한 정기적인 검토 수행(ISMS 정책 및 목표 준수, 감사, 주요 지표효율성, 제안 및 이해관계자 반응).

c) 보호 요구 사항이 충족되는지 확인하기 위해 통제 효과를 측정합니다.

d) 조직의 모든 변화(비즈니스 목표 및 프로세스, 식별된 위협, 새로 식별된 취약점 등)에 대한 정기적인 위험 재평가, 잔여 위험 분석 및 허용 가능한 위험 수준 결정

e) ISMS 내부 감사를 정기적으로 실시합니다.

ISMS 감사 – 선택한 대책이 조직의 산업 안전 정책에 선언된 사업의 목표 및 목적과 일치하는지 확인하고, 그 결과를 바탕으로 잔여 위험을 평가하고 필요한 경우 최적화를 수행합니다.

f) 경영진의 ISMS 범위 및 추세를 정기적으로 검토합니다.

g) 통제 및 분석 결과를 반영하여 위험 관리 계획을 업데이트합니다.

h) 영향을 미친 사건의 기록을 유지합니다. 부정적인 영향 ISMS 작업의 효율성이나 품질에 대해

4단계. ISMS 지원 및 개선.

ISMS 내부 감사 및 경영 분석 결과를 바탕으로 시정 및 예방 조치를 개발하고 구현합니다. 지속적인 개선 ISMS:

a) 정보 보안 정책, 정보 보호 목표 개선, 감사 수행, 관찰된 이벤트 분석.

b) ISMS의 요구사항 미준수를 제거하기 위한 시정 및 예방 조치의 개발 및 구현.

c) ISMS 개선 모니터링.

결론

ISO 27001은 ISMS의 구현 및 운영뿐만 아니라 ISMS 모니터링 및 개선을 위한 활동에 대한 일반적인 모델을 설명합니다. ISO는 품질경영을 다루는 ISO/IEC 9001:2000, 환경경영시스템을 다루는 ISO/IEC 14001:2004 등 다양한 경영시스템 표준을 조화시키려고 한다. ISO의 목적은 ISMS와 회사의 다른 경영 시스템의 일관성 및 통합을 보장하는 것입니다. 표준의 유사성으로 인해 구현, 관리, 개정, 검증 및 인증에 유사한 도구 및 기능을 사용할 수 있습니다. 회사가 다른 관리 표준을 시행한 경우 품질 관리, 환경 관리, 안전 관리 등에 적용 가능한 단일 감사 및 관리 시스템을 사용할 수 있는 것으로 이해됩니다. ISMS를 구현함으로써 고위 경영진은 보안을 모니터링하고 관리할 수 있는 수단을 갖게 되어 잔여 비즈니스 위험을 줄일 수 있습니다. ISMS가 구현되면 회사는 공식적으로 정보 보안을 보장하고 고객, 법률, 규제 기관 및 주주의 요구 사항을 지속적으로 충족할 수 있습니다.

러시아 연방 법률에는 국제 표준 ISO27001의 번역된 버전인 GOST R ISO/IEC 27001-2006 문서가 있다는 점은 주목할 가치가 있습니다.

서지

1. Korneev I.R., Belyaev A.V. 기업 정보 보안. – 상트페테르부르크: BHV-Petersburg, 2003. – 752 p.

2.국제 ISO 표준 27001

(http://www.specon.ru/files/ISO27001.pdf) (접근 날짜: 2012년 5월 23일).

3.국가표준 러시아 연방 GOST R ISO/IEC 27003 - "정보 기술. 보안 방법. 정보 보안 관리 시스템 구현 지침

(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (접속 날짜: 2012년 5월 23일).

4. Skiba V.Yu., Kurbatov V.A. 정보 보안에 대한 내부 위협으로부터 보호하기 위한 가이드입니다. 상트페테르부르크: Peter, 2008. - 320p.

정보 보안 관리 시스템은 정보 보안의 개발, 구현, 운영, 모니터링, 분석, 지원 및 개선을 위한 비즈니스 위험 평가 방법의 사용을 기반으로 하는 전체 관리 시스템의 일부입니다.

관리 시스템에는 다음이 포함됩니다. 조직 구조, 정책, 기획 활동, ​​책임 분배, 실제 활동, 절차, 프로세스 및 자원 [GOST R ISO/IEC 27001-2006]

ISO 27001 표준은 정보 보안 관리 시스템(ISMS)에 대한 요구 사항을 정의합니다. 표준의 요구 사항은 어느 정도 추상적이며 회사 활동의 특정 영역과 관련이 없습니다.

90년대 초반 정보시스템의 발전으로 보안관리에 대한 표준을 마련할 필요성이 대두되었습니다. 영국 정부와 산업계의 요청에 따라 영국 무역산업부는 ISMS 관행을 개발했습니다.

초기 BS 7799 표준은 일련의 테스트와 조정을 통해 많은 발전을 이루었습니다. 그의 "경력"에서 가장 중요한 단계는 ISMS 평가 표준이 국제적으로 인정된 2005년이었습니다(즉, 현대 ISMS에 대한 요구 사항의 일관성이 확인되었습니다). 그 순간부터 전 세계의 선도적인 기업들은 ISO 27001 표준을 적극적으로 구현하고 인증을 준비하기 시작했습니다.

ISMS 구조

현대 ISMS는 조직, 문서, 하드웨어 및 소프트웨어 구성 요소를 포함하는 프로세스 중심 관리 시스템입니다. ISMS에 대한 "관점"은 프로세스, 다큐멘터리, 성숙도 등으로 구분할 수 있습니다.

ISMS 프로세스는 Plan-Do-Check-Act 관리 주기를 기반으로 하는 ISO/IEC 27001:2005 표준의 요구 사항에 따라 생성됩니다. 이에 따라 ISMS 수명주기는 생성 - 구현 및 운영 - 모니터링 및 분석 - 유지 관리 및 개선의 네 가지 활동으로 구성됩니다. 문서화된 ISMS 프로세스는 27001 표준의 모든 요구 사항이 충족되도록 보장합니다.

ISMS 문서는 정책, 문서화된 절차, 표준 및 기록으로 구성되며 ISMS 관리 문서와 ISMS 운영 문서의 두 부분으로 나뉩니다.

ISMS의 성숙한 모델은 개발 중인 문서의 세부 사항과 ISMS 관리 및 운영 프로세스의 자동화 정도를 결정합니다. CobiT 성숙도 모델은 평가 및 계획에 사용됩니다. ISMS 성숙도 향상 프로그램은 정보 보안 관리 프로세스 및 정보 보안 도구 운영 관리를 개선하기 위한 활동의 ​​구성과 시기를 제공합니다.

이 표준은 PDCA(Plan-Do-Check-Act) 모델의 적용을 제안합니다. 수명주기개발, 구현, 운영, 제어, 분석, 지원 및 개선을 포함하는 ISMS(그림 1).

계획 - ISMS 작성, 자산 목록 작성, 위험 평가 및 조치 선택 단계입니다.

Do (Action) - 적절한 조치의 구현 및 구현 단계

확인 - ISMS의 효율성과 성능을 평가하는 단계입니다. 일반적으로 내부 감사자가 수행합니다.

행동 - 예방 및 시정 조치를 취합니다.

ISMS 작성 프로세스는 4단계로 구성됩니다.

정보 보안 위험을 처리하는 방법을 식별, 분석 및 설계하는 것이 목적인 계획 프로세스입니다. 이 프로세스를 만들 때 정보 자산을 분류하고 관련 데이터를 기반으로 공식적으로 위험을 평가하는 방법론을 개발해야 합니다. 정보 인프라위협과 취약점. PCI DSS 감사에는 중요도 수준이 서로 다른 두 가지 유형의 귀중한 정보 자산, 즉 카드 소유자 데이터와 중요한 인증 데이터가 있습니다.

새로운 정보 보안 프로세스를 시작하거나 기존 정보 보안 프로세스를 업그레이드하는 절차를 설명하는 계획된 위험 처리 방법을 구현하는 프로세스입니다. 역할과 책임을 기술하고 구현을 계획하는 데 특별한 주의를 기울여야 합니다.

작동하는 ISMS 프로세스를 모니터링하는 프로세스(ISMS 프로세스와 ISMS 자체 모두 성능 모니터링의 대상이라는 점은 주목할 가치가 있습니다. 결국 4가지 관리 프로세스는 화강암 조각이 아니며 자아 실현이 적용 가능합니다).

모니터링 결과에 따라 ISMS 프로세스를 개선하는 프로세스로 시정 및 예방 조치를 구현할 수 있습니다.

GOST R ISO/IEC 27001-2006 " 정보기술. 보안을 보장하는 방법 및 수단. 정보 보안 관리 시스템. 요구사항"

표준 개발자들은 이 표준이 정보 보안 관리 시스템(ISMS)의 개발, 구현, 운영, 모니터링, 분석, 지원 및 개선을 위한 모델로 준비되었다고 언급합니다. ISMS(영어 - 정보 보안 관리 시스템, ISMS)는 정보 보안의 개발, 구현, 운영, 모니터링, 분석, 지원 및 개선을 위한 비즈니스 위험 평가 방법의 사용을 기반으로 하는 전체 관리 시스템의 일부로 정의됩니다. 관리 시스템에는 조직 구조, 정책, 계획 활동, ​​책임, 관행, 절차, 프로세스 및 자원이 포함됩니다.

이 표준은 조직의 ISMS의 개발, 구현, 운영, 모니터링, 분석, 지원 및 개선을 위한 프로세스 접근 방식의 사용을 가정합니다. 이는 모든 ISMS 프로세스를 구성하는 데 적용할 수 있는 PDCA(Plan - Do - Check - Act) 모델을 기반으로 합니다. 그림에서. 그림 4.4는 정보 보안 요구 사항과 이해 관계자의 기대를 입력으로 사용하는 ISMS가 필요한 활동과 프로세스를 통해 해당 요구 사항과 예상 결과를 충족하는 정보 보안 출력을 생성하는 방법을 보여줍니다.

쌀. 4.4.

무대에서 “정보보호 관리체계 개발”조직은 다음을 수행해야 합니다.

• - ISMS의 범위와 경계를 결정합니다.
• - 비즈니스, 조직, 위치, 자산 및 기술의 특성을 기반으로 ISMS 정책을 결정합니다.
• - 조직의 위험 평가에 대한 접근 방식을 결정합니다.
• - 위험을 식별합니다.
• - 위험을 분석하고 평가합니다.
• - 다양한 위험 처리 옵션을 식별하고 평가합니다.
• - 위험 처리를 위한 목표와 통제 조치를 선택합니다.
• - 예상되는 잔여 위험에 대한 경영진의 승인을 얻습니다.
• - ISMS를 구현하고 운영하기 위한 관리 허가를 얻습니다.
• - 적용성 진술서를 준비합니다.

무대 " 정보보호 관리체계 구축 및 운영'조직은 다음을 수행해야 한다고 제안합니다.

• - 정보 보안 위험 관리와 관련하여 적절한 관리 조치, 자원, 책임 및 우선순위를 정의하는 위험 처리 계획을 개발합니다.
• - 재무 문제, 기능 및 책임 분배 등 의도된 관리 목표를 달성하기 위해 위험 처리 계획을 실행합니다.
• - 선택된 관리 조치를 구현합니다.
• - 선택된 관리 조치의 효과를 측정하는 방법을 결정합니다.
• - 직원을 위한 교육 및 전문 개발 프로그램을 구현합니다.
• - ISMS 업무를 관리합니다.
• - ISMS 자원을 관리합니다.
• - 정보 보안 사건을 신속하게 감지하고 정보 보안 관련 사고에 대응할 수 있도록 절차 및 기타 관리 조치를 구현합니다.

세 번째 단계 " 정보보호 관리체계에 대한 모니터링 및 분석을 수행합니다."다음이 필요합니다:

• - 모니터링 및 분석 절차를 수행합니다.
• - ISMS의 효율성에 대한 정기적인 분석을 수행합니다.
• - 정보 보안 요구 사항 준수 여부를 확인하기 위한 통제 조치의 효율성을 측정합니다.
• - 설정된 기간에 위험 평가를 검토하고, 변경 사항을 고려하여 잔여 위험과 설정된 허용 가능한 위험 수준을 분석합니다.
• - 정해진 기간에 ISMS에 대한 내부 감사를 수행합니다.
• - 기능 시스템의 적절성을 확인하고 개선 영역을 결정하기 위해 조직 경영진의 ISMS 분석을 정기적으로 수행합니다.
• - 분석 및 모니터링 결과를 고려하여 정보 보안 계획을 업데이트합니다.
• - ISMS의 효율성이나 기능에 영향을 미칠 수 있는 조치와 사건을 기록합니다.

그리고 드디어 무대 “정보보호 관리체계 지원 및 개선”조직은 정기적으로 다음 활동을 수행해야 한다고 제안합니다.

• - ISMS를 개선할 수 있는 기회를 식별합니다.
• - 필요한 시정 및 예방 조치를 취하고 두 가지 모두에서 얻은 정보 보안 경험을 실제로 사용하십시오. 자신의 조직및 기타 조직에서;
• - 전송 자세한 정보 ISMS를 개선하기 위한 조치에 대해 모든 이해관계자에게 알리고, 세부사항의 정도는 상황에 부합해야 하며 필요한 경우 추가 조치에 동의해야 합니다.
• - 계획된 목표를 달성하기 위해 ISMS 개선 구현을 보장합니다.

또한 표준은 ISMS 정책 조항과 운영 범위 설명, 방법론 설명 및 위험 평가 보고서, 위험 처리 계획, 관련 절차 문서를 포함해야 하는 문서화 요구 사항을 제공합니다. 업데이트, 사용, 저장, 파기를 포함하여 ISMS 문서를 관리하는 프로세스도 정의되어야 합니다.

요구 사항 준수 및 ISMS 효율성에 대한 증거를 제공하려면 프로세스 실행 기록을 유지하고 유지하는 것이 필요합니다. 예로는 방문자 로그, 감사 보고서 등이 있습니다.

이 표준은 조직의 경영진이 ISMS를 작성하는 데 필요한 자원을 제공 및 관리하고 직원 교육을 조직하는 책임이 있음을 명시합니다.

앞서 언급한 바와 같이 조직은 승인된 일정에 따라 내부 ISMS 감사를 수행하여 기능과 표준 준수 여부를 평가해야 합니다. 그리고 경영진은 정보 보안 관리 시스템을 분석해야 합니다.

정보 보안 관리 시스템을 개선하기 위한 작업도 수행되어야 합니다. 즉, 효율성과 규정 준수 수준을 높이는 것입니다. 현재 상태시스템 및 요구 사항.