Хайх 

Донецк мужийн аж ахуйн нэгжүүдэд мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог бий болгох арга замууд. Мэдээллийн аюулгүй байдлын удирдлагын систем

Үнэхээр эвгүй юм аа. Одоогийн хөдөлмөрийн аюулгүй байдал, эрүүл ахуйн удирдлагын стандарт OHSAS 18001-ийг орлох ISO 45001 стандартыг удахгүй гаргах гэж байгаа талаар бид мэдээлж, 2016 оны сүүлээр хүлээж байх ёстой гэж... Бараг шөнө дунд болж байна, одоо ч гэсэн шинж тэмдэг алга. Херман. ISO 45001 хойшлогдсон гэдгийг хүлээн зөвшөөрөх цаг болжээ. Үнэн, дагуу сайн шалтгаанууд. Шинжээчдийн нийгэмлэг түүнд хэтэрхий олон асуулт тавьсан. […]

  • Давхар нийтлэл гарах гэж байна. Олон улсын байгууллагаСтандартчилал нь бүтээгдэхүүн дээр өөрийн стандартын тэмдэглэгээг ашиглах талаар байр сууриа тодорхой илэрхийлсэн - ISO "үгүй" гэж хэлсэн. Гэсэн хэдий ч бизнес эрхлэгчид үүнийг хийхийг хүсч байна. Тэд ямар байх ёстой вэ? Яагаад болохгүй гэж? Асуултын үндэс нь дараах байдалтай байна. Таны ойлгож байгаагаар ISO стандартууд нь тэдгээрт баталгаажсан аж ахуйн нэгжүүдийн үйлдвэрлэсэн бүтээгдэхүүнтэй шууд холбоогүй юм. […]

  • Сэдвээ дуусгая. Сүүлийн нийтлэлд бид ЧМС-ийн найман зарчмын тухай яриа эхлүүлсэн. Аливаа чанарын удирдлагын тогтолцоог бий болгох зарчмууд. Бидний зорилго бол эдгээр зарчмуудыг бизнесийн дасгалжуулагчдын хэлнээс хүний ​​хэл рүү хөрвүүлэх явдал юм. Ингэснээр тэднээс бодит ашиг хүртэх боломжтой болно. Бид үйлчлүүлэгчийн чиг баримжаа олгох талаар ярилцсан. Тэд “ямар нэг зүйл биш [...] үйлдвэрлэх талаар ярилцсан.

  • Олон хүмүүс чанарын менежментийн талаар ярьдаг. Гэхдээ яагаад ч юм эцсийн дүндээ юу ч тодорхойгүй тийм байдлаар хэлдэг. Энэ нь чанарын менежмент гэдэг үг хэвээр байна гэсэн үг. Хэт их ухаалаг үгсээр. Тэдгээрийг энгийн хэлээр орчуулж, чанарын удирдлагын зарчмууд нь компанийн үйл ажиллагааг сайжруулахад хэрхэн тусалдаг болохыг ойлгоцгооё. Урт оршилгүйгээр хийцгээе. Нийтдээ одоогоор хамааралтай чанарын удирдлагын системүүд, хамгийн алдартай нь [...]

  • Төслийн удирдлага… Бүх төрлийн бизнесийн зөвлөхүүдтэй хэтэрхий удаан харилцаж байсан олон хүмүүс байдаг гэдэгт би итгэлтэй байна - одоо ийм хэллэгийг сонсоход л дотор муухайрч эхэлдэг. Юу хийх вэ? Бизнесийн зөвлөхүүдийг толгойноосоо гаргаж, асуудлыг хүний ​​хэлээр оруулъя. Төслийн удирдлага гэдэг нь нарийн төвөгтэй диаграмм, схемийг маркераар зурдаг цагаан цамцтай хүн байх албагүй [...]

    • (SMIB)- тэр хэсэг нийтлэг систембий болгох, хэрэгжүүлэх, ажиллуулах, хяналт тавих, дүн шинжилгээ хийх, дэмжих, сайжруулахад бизнесийн эрсдэлийн хандлагад суурилсан менежмент мэдээллийн нууцлал.

    Хэрэв ISO/IEC_27001 стандартын шаардлагын дагуу бүтээгдсэн бол PDCA загвар дээр суурилна:

      Төлөвлөгөө(Төлөвлөлт) - ISMS бий болгох, хөрөнгийн жагсаалт гаргах, эрсдэлийг үнэлэх, арга хэмжээг сонгох үе шат;
      Хий(Үйл ажиллагаа) - зохих арга хэмжээг хэрэгжүүлэх, хэрэгжүүлэх үе шат;
      Шалгах(Шалгах) - ISMS-ийн үр нөлөө, гүйцэтгэлийг үнэлэх үе шат. Ихэвчлэн дотоод аудиторууд гүйцэтгэдэг.
      Үйлдэл(Сайжруулалт) - урьдчилан сэргийлэх, засч залруулах арга хэмжээг хэрэгжүүлэх;

    Мэдээллийн аюулгүй байдлын үзэл баримтлал

    ISO 27001 стандарт нь мэдээллийн аюулгүй байдлыг: “мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжийг хадгалах; Үүнээс гадна жинхэнэ байдал, няцаалтгүй байдал, найдвартай байдал зэрэг бусад шинж чанаруудыг оруулж болно."

    Нууцлал - мэдээллийг зөвхөн зохих эрх мэдэлтэй хүмүүст (эрх бүхий хэрэглэгчид) хүртээмжтэй байлгах.

    Шударга байдал - мэдээллийн үнэн зөв, бүрэн бүтэн байдлыг хангах, түүнчлэн түүнийг боловсруулах арга.

    Бэлэн байдал - Шаардлагатай үед эрх бүхий хэрэглэгчдэд мэдээлэл авах боломжийг олгох (хүсэлтээр).

    4 Мэдээллийн аюулгүй байдлын удирдлагын систем

    4.1 Ерөнхий шаардлага

    Байгууллага нь байгууллагын бизнесийн үйл ажиллагаа, түүнд учирч болох эрсдэлийн талаар баримтжуулсан ISMS-ийн заалтуудыг бий болгох, хэрэгжүүлэх, ашиглах, хянах, хянах, хадгалах, сайжруулах үүрэгтэй. Энэхүү олон улсын стандартын практик ашиг тусын тулд ашигласан процессыг Зураг дээр үзүүлсэн PDCA загварт үндэслэсэн болно. 1.

    4.2 ISMS бий болгох, удирдах

    4.2.1 ISMS бий болгох

    Байгууллага дараахь зүйлийг хийх ёстой.

    a) Байгууллагын үйл ажиллагааны онцлог, байгууллага өөрөө, түүний байршил, хөрөнгө, технологийг харгалзан МБОУС-ын хамрах хүрээ, хил хязгаарыг тодорхойлох, үүнд баримт бичгийн аливаа заалтыг ОУСМС-ийн төсөлд оруулахгүй байх үндэслэл, үндэслэлийг оруулна (1.2-ыг үзнэ үү). ).

    б) Байгууллагын үйл ажиллагааны онцлог, байгууллага өөрөө, түүний байршил, хөрөнгө, технологийг харгалзан ISMS бодлогыг боловсруулна:

    1) зорилго (зорилго) тодорхойлох тогтолцоог багтаасан бөгөөд мэдээллийн аюулгүй байдлын талаархи удирдлагын ерөнхий чиглэл, үйл ажиллагааны зарчмыг тодорхойлдог;

    2) бизнесийн болон хууль эрх зүйн болон зохицуулалтын шаардлага, гэрээний аюулгүй байдлын үүргийг харгалзан үздэг;

    3) ISMS-ийг бий болгох, засвар үйлчилгээ хийх стратегийн эрсдэлийн удирдлагын орчинтой холбогдсон;

    4) эрсдэлийг үнэлэх шалгуурыг тогтооно (4.2.1 в)-ыг үзнэ үү); Тэгээд

    5) удирдлагаас баталсан.

    ТАЙЛБАР: Энэхүү олон улсын стандартын үүднээс ISMS бодлогыг мэдээллийн аюулгүй байдлын бодлогын өргөтгөсөн багц гэж үзнэ. Эдгээр бодлогыг нэг баримт бичигт тайлбарлаж болно.

    в) Байгууллага дахь эрсдэлийн үнэлгээний үзэл баримтлалыг боловсруулах.

    1) ISMS болон тогтоосон бизнесийн мэдээллийн аюулгүй байдал, хууль эрх зүйн болон зохицуулалтын шаардлагад нийцсэн эрсдэлийн үнэлгээний аргачлалыг тодорхойлох.

    2) Эрсдэлийг хүлээн зөвшөөрөх шалгуурыг боловсруулж, эрсдэлийн зөвшөөрөгдөх түвшинг тодорхойлох (5.1f-ийг үзнэ үү).

    Сонгосон эрсдэлийн үнэлгээний аргачлал нь эрсдэлийн үнэлгээ нь харьцуулж болохуйц, давтагдах боломжтой үр дүнг гаргах ёстой.

    ТАЙЛБАР: Эрсдэлийн үнэлгээний өөр өөр арга зүй байдаг. Эрсдэлийн үнэлгээний аргачлалын жишээг MOS/IEC TU 13335-3, Мэдээллийн технологи – Удирдлагад зориулсан зөвлөмжITАюулгүй байдал - Удирдлагын аргуудITАюулгүй байдал.

    г) Эрсдэлийг тодорхойлох.

    1) ISMS-ийн заалтуудын хүрээнд хөрөнгө, өмчлөгчийг тодорхойлох2 (2 "эзэмшигч" гэсэн нэр томъёо нь үйлдвэрлэл, бүтээн байгуулалт, Засвар үйлчилгээ,програмууд болон хөрөнгийн аюулгүй байдал. "Өмчлөгч" гэсэн нэр томъёо нь тухайн хүн тухайн эд хөрөнгийг өмчлөх эрхтэй гэсэн үг биш юм.

    2) Эдгээр хөрөнгийн аюулыг тодорхойлох.

    3) Аюулгүй байдлын системийн эмзэг байдлыг тодорхойлох.

    4) Хөрөнгийн нууцлал, бүрэн бүтэн байдал, хүртээмжийг алдагдуулах нөлөөллийг тодорхойлох.

    д) Эрсдэлд дүн шинжилгээ хийх, үнэлэх.

    1) Аюулгүй байдлын системийн доголдол, түүнчлэн нууцлал, бүрэн бүтэн байдал, хөрөнгийн хүртээмжийг зөрчсөний үр дүнд байгууллагын бизнест учирч болзошгүй хохирлыг үнэлэх.

    2) Давамгайлж буй аюул, эмзэг байдал, хөрөнгийн нөлөөлөл, одоо хэрэгжиж буй хяналтыг харгалзан аюулгүй байдлын алдаа гарах магадлалыг тодорхойлох.

    3) Эрсдлийн түвшинг үнэлэх.

    4) 4.2.1в)2)-д заасан эрсдэлийг хүлээн зөвшөөрөх шалгуурыг ашиглан эрсдэлийг хүлээн зөвшөөрөх эсэхийг тодорхойлох, эсхүл бууруулахыг шаардах.

    е) Эрсдэлийг бууруулах арга хэрэгслийг тодорхойлж, үнэлэх.

    Боломжит арга хэмжээ нь:

    1) Тохирох хяналтыг ашиглах;

    2) Эрсдэлийг ухамсартай, бодитой хүлээн зөвшөөрөх, тэдгээрийг байгууллагын бодлогын шаардлага, эрсдэлийг хүлээн авах шалгуурт болзолгүйгээр дагаж мөрдөх (4.2.1в) 2-ыг үзнэ үү);

    3) Эрсдэлээс зайлсхийх; Тэгээд

    4) Бизнесийн холбогдох эрсдэлийг өөр этгээд, жишээлбэл, даатгалын компани, ханган нийлүүлэгчид шилжүүлэх.

    g) Эрсдэлийг бууруулах зорилго, хяналтыг сонгох.

    Зорилго, хяналтыг эрсдэлийн үнэлгээ, эрсдэлийг бууруулах үйл явцаас тогтоосон шаардлагын дагуу сонгож, хэрэгжүүлэх ёстой. Энэ сонголт нь эрсдэлд тэсвэртэй байдлын шалгуур (4.2.1в-г үзнэ үү)2) болон хууль эрх зүй, зохицуулалтын болон гэрээний шаардлагыг хоёуланг нь харгалзан үзэх ёстой.

    Заасан шаардлагад нийцүүлэхийн тулд Хавсралт А дахь даалгавар, хяналтыг энэ үйл явцын нэг хэсэг болгон сонгох ёстой.

    Хавсралт А-д бүх даалгавар, хяналтыг оруулаагүй тул нэмэлтүүдийг сонгож болно.

    ТАЙЛБАР: Хавсралт А нь байгууллагуудад хамгийн их хамааралтай гэж тодорхойлсон удирдлагын зорилтуудын иж бүрэн жагсаалтыг агуулна. Нэгийг ч алдахгүйн тулд чухал цэгХяналтын сонголтуудын хувьд энэхүү олон улсын стандартын хэрэглэгчид дээжийн хяналтын эхлэлийн цэг болгон Хавсралт А-д тулгуурлана.

    h) Хүлээгдэж буй үлдэгдэл эрсдэлийн менежментийн зөвшөөрлийг авах.

    4) аюулгүй байдлын үйл явдлыг илрүүлэх ажлыг хөнгөвчлөх, улмаар тодорхой үзүүлэлтүүдийг ашиглан аюулгүй байдлын зөрчлөөс урьдчилан сэргийлэх; Тэгээд

    5) аюулгүй байдлын зөрчлөөс урьдчилан сэргийлэх арга хэмжээний үр нөлөөг тодорхойлох.

    б) Аудитын үр дүн, осол аваар, гүйцэтгэлийн хэмжилтийн үр дүн, сонирхогч бүх талуудын санал, зөвлөмжийг харгалзан ISMS-ийн үр нөлөөг тогтмол шалгаж байх (ОУСМС-ийн бодлого, түүний зорилгыг хэлэлцэх, аюулгүй байдлын хяналтыг шалгах). .

    в) Аюулгүй байдлын шаардлагыг хангаж байгаа эсэхийг тодорхойлох хяналтын үр нөлөөг үнэлэх.

    г) Төлөвлөсөн хугацааны эрсдэлийн үнэлгээг шалгаж, үлдэгдэл эрсдэл болон зөвшөөрөгдөх түвшинөөрчлөлтийг харгалзан эрсдэл:

    1) байгууллага;

    2) технологи;

    3) бизнесийн зорилго, үйл явц;

    4) тодорхойлсон аюул занал;

    5) хэрэгжүүлсэн хяналтын үр нөлөө; Тэгээд

    6) эрх зүйн болон удирдлагын орчны өөрчлөлт, гэрээний үүрэг өөрчлөгдсөн, нийгмийн уур амьсгалын өөрчлөлт зэрэг гадаад үйл явдал.

    e) Төлөвлөсөн хугацаанд ISMS-ийн дотоод аудитыг хийх (6-г үзнэ үү)

    ТАЙЛБАР: Заримдаа анхан шатны аудит гэж нэрлэгддэг дотоод аудитыг байгууллагын нэрийн өмнөөс өөрийн зорилгын үүднээс хийдэг.

    е) ОУСМС-ийн удирдлагыг тогтмол хянаж, заалт нь зохих хэвээр байгаа эсэх, МБОУС-ыг сайжруулж байгаа эсэхийг баталгаажуулах.

    g) Хяналт шалгалт, аудитаас олж авсан мэдээлэлд үндэслэн аюулгүй байдлын төлөвлөгөөг шинэчлэх.

    h) ISMS-ийн үр ашиг, гүйцэтгэлд нөлөөлж болох үйл ажиллагаа, үйл явдлыг бүртгэх (4.3.3-ыг үзнэ үү).

    4.2.4 ISMS-ийг дэмжих, сайжруулах

    Байгууллага нь дараахь зүйлийг байнга хийх ёстой.

    a) ISMS-д тодорхой засвар оруулах.

    б) 8.2, 8.3-т заасны дагуу зохих засч залруулах, урьдчилан сэргийлэх арга хэмжээ авна. Байгууллагын өөрийн хуримтлуулсан болон бусад байгууллагын туршлагаас олж авсан мэдлэгээ хэрэгжүүлэх.

    в) Үйл ажиллагаа, сайжруулалтаа тухайн нөхцөл байдалд тохирсон нарийн түвшинд сонирхогч бүх талуудад мэдээлэх; Үүний дагуу үйл ажиллагаагаа зохицуулах.

    d) Сайжруулалт нь зорилгодоо хүрч байгаа эсэхийг баталгаажуулах.

    4.3 Баримт бичгийн шаардлага

    4.3.1 Ерөнхий

    Баримт бичигт протокол (бичлэг) орсон байх ёстой. удирдлагын шийдвэрүүд, арга хэмжээ авах хэрэгцээ нь удирдлагын шийдвэр, бодлогоор тодорхойлогддог гэдэгт итгүүлэх; мөн бүртгэгдсэн үр дүнгийн давтагдах байдлыг баталгаажуулна.

    Үзүүлэн харуулах чадвартай байх нь чухал санал хүсэлтэрсдэлийн үнэлгээ болон эрсдэлийг бууруулах үйл явцын үр дүнтэй сонгогдсон хяналт, дараа нь ISMS-ийн бодлого, түүний зорилтууд.

    ISMS баримт бичиг нь дараахь зүйлийг агуулсан байх ёстой.

    a) ISMS-ийн бодлого, зорилтуудын баримтжуулсан мэдэгдэл (4.2.1б-г үзнэ үү);

    b) ISMS-ийн байрлал (4.2.1a-г үзнэ үү));

    в) ISMS-ийг дэмжих үзэл баримтлал, хяналт;

    г) эрсдэлийн үнэлгээний аргачлалын тодорхойлолт (4.2.1в-г үзнэ үү));

    д) эрсдэлийн үнэлгээний тайлан (4.2.1в-г үзнэ үү) – 4.2.1г));

    е) эрсдэлийг бууруулах төлөвлөгөө (4.2.2б-г үзнэ үү));

    g) баримтжуулсан үзэл баримтлал, шаардлагатай зохион байгуулалтМэдээллийн аюулгүй байдлын үйл явцын төлөвлөлт, үйл ажиллагаа, удирдлагын үр нөлөөг баталгаажуулах, хяналтын үр нөлөөг хэрхэн хэмжих талаар тайлбарлах (4.2.3в-г үзнэ үү));

    з) энэхүү олон улсын стандартад заасан баримт бичиг (4.3.3-ыг үзнэ үү); Тэгээд

    i) Хэрэглэх боломжтой байдлын мэдэгдэл.

    ТАЙЛБАР 1: Энэхүү олон улсын стандартын зорилгоор “баримтжуулсан үзэл баримтлал” гэдэг нь уг үзэл баримтлалыг хэрэгжүүлэх, баримтжуулах, хэрэгжүүлэх, дагаж мөрдөхийг хэлнэ.

    ТАЙЛБАР 2: Өөр өөр байгууллагуудын ISMS баримт бичгийн хэмжээ нь дараахь зүйлээс хамаарч өөр өөр байж болно.

    Байгууллагын хэмжээ, түүний хөрөнгийн төрөл; Тэгээд

    Аюулгүй байдлын шаардлагууд болон удирдаж буй системийн цар хүрээ, нарийн төвөгтэй байдал.

    ТАЙЛБАР 3: Баримт бичиг, тайланг ямар ч хэлбэрээр гаргаж болно.

    4.3.2 Баримт бичгийн хяналт

    ISMS-д шаардагдах бичиг баримтыг хамгаалж, зохицуулах шаардлагатай. Удирдлагын үйл ажиллагааг тодорхойлоход шаардлагатай баримт бичгийн журмыг батлах шаардлагатай:

    а) баримт бичгийг хэвлэн нийтлэхээс өмнө тодорхой стандартад нийцэж байгаа эсэхийг тогтоох;

    б) шаардлагатай бол баримт бичгийг шалгаж, шинэчлэх, баримт бичгийг дахин батлах;

    в) өөрчлөлт нь шинэчилсэн баримт бичгийн өнөөгийн байдалтай нийцэж байгаа эсэхийг баталгаажуулах;

    г) одоогийн баримт бичгийн чухал хувилбаруудын бэлэн байдлыг хангах;

    д) баримт бичгийг ойлгомжтой, уншихад хялбар байлгах;

    е) бичиг баримтыг шаардлагатай хүмүүст хүртээмжтэй байлгах; түүнчлэн тэдгээрийн ангиллаас хамааран хэрэглэх журмын дагуу шилжүүлэх, хадгалах, эцэст нь устгах;

    ж) гадаад эх сурвалжаас авсан баримт бичгийн үнэн зөвийг тогтоох;

    h) баримт бичгийн хуваарилалтад хяналт тавих;

    и) хуучирсан баримт бичгийг санамсаргүйгээр ашиглахаас урьдчилан сэргийлэх; Тэгээд

    и) хэрэв тэдгээр нь тохиолдлоор хадгалагдаж байвал тэдгээрийг таних зохих аргыг хэрэглэх.

    4.3.3 Бүртгэлд хяналт тавих

    ISMS-ийн шаардлагад нийцэж, үр дүнтэй ажиллахын тулд бүртгэлийг үүсгэж, хөтөлж байх ёстой. Бүртгэлийг хамгаалж, баталгаажуулах ёстой. ISMS нь аливаа хууль эрх зүйн болон зохицуулалтын шаардлага, гэрээний үүргийг харгалзан үзэх ёстой. Бичлэгүүд нь ойлгомжтой, танигдах, сэргээх боломжтой байх ёстой. Баримт бичгийг тодорхойлох, хадгалах, хамгаалах, сэргээх, хадгалах хугацаа, устгахад шаардлагатай хяналтыг баримтжуулж, хэрэгжүүлэх ёстой.

    Бүртгэлд 4.2-т заасан үйл ажиллагааны хэрэгжилт болон ОУСМС-тай холбоотой бүх осол, аюулгүй байдлын чухал ослын талаарх мэдээллийг агуулсан байх ёстой.

    Бүртгэлийн жишээнд зочны дэвтэр, аудитын бүртгэл, бөглөсөн хандалтын зөвшөөрлийн маягт орно.

    BS ISO/IEC 27001:2005 стандарт нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны (ISMS) загварыг тайлбарлаж, байгууллагын гүйцэтгэгчдийн сонгосон хэрэгжүүлэх арга барилыг харгалзахгүйгээр аж ахуйн нэгжид мэдээллийн аюулгүй байдлыг зохион байгуулахад тавигдах шаардлагуудын багцыг санал болгодог.

    Шалгах - ISMS-ийн үр нөлөө, гүйцэтгэлийг үнэлэх үе шат. Ихэвчлэн дотоод аудиторууд гүйцэтгэдэг.

    ISMS-ийг бий болгох (дараа нь баталгаажуулах) шийдвэрийг байгууллагын дээд удирдлага гаргадаг. Энэ нь менежментийн дэмжлэг, ISMS-ийн бизнесийн үнэ цэнийг баталгаажуулж байгааг харуулж байна. Байгууллагын удирдлага нь ISMS төлөвлөлтийн бүлгийг байгуулах санаачлага гаргадаг.

    ISMS-ийг төлөвлөх үүрэгтэй бүлэгт дараахь зүйлс орно.

    · байгууллагын дээд удирдлагын төлөөлөл;

    · ISMS-д хамрагдсан бизнесийн нэгжийн төлөөлөл;



    · мэдээллийн аюулгүй байдлын хэлтсийн мэргэжилтнүүд;

    · гуравдагч талын зөвлөхүүд (шаардлагатай бол).

    IS хороо нь ISMS-ийн үйл ажиллагаа, түүнийг тасралтгүй сайжруулахад дэмжлэг үзүүлдэг.

    Ажлын хэсэг ISMS-ийг бий болгох, байгууллагын үйл ажиллагааны чиглэлтэй холбоотой зохицуулалт, арга зүйн тогтолцоо, мэдээжийн хэрэг улсын хууль тогтоомжийн ерөнхий тогтолцоог дагаж мөрдөх ёстой.

    Норматив суурь ISMS үүсгэх талаар:

    · ISO/IEC 27000:2009 Тайлбар толь ба тодорхойлолт.

    · ISO/IEC 27001:2005 ISMS-д тавигдах ерөнхий шаардлага.

    ISO/IEC 27002:2005 Практик гарын авлагамэдээллийн аюулгүй байдлын удирдлагын талаар.

    · ISO/IEC 27003:2010 ISMS-ийг хэрэгжүүлэх практик удирдамж.

    · ISO/IEC 27004:2009 Мэдээллийн аюулгүй байдлын хэмжүүр (хэмжилт).

    · ISO/IEC 27005:2011 Мэдээллийн аюулгүй байдлын эрсдлийн удирдлагын гарын авлага.

    · ISO/IEC гарын авлага 73:2002, Эрсдэлийн удирдлага - Тайлбар толь - Стандартад ашиглах заавар.

    · ISO/IEC 13335-1:2004, Мэдээллийн технологи - Хамгаалалтын техник - Мэдээлэл, харилцаа холбооны технологийн аюулгүй байдлын менежмент - 1-р хэсэг: Мэдээлэл, харилцаа холбооны технологийн аюулгүй байдлын удирдлагын үзэл баримтлал, загварууд.

    · ISO/IEC TR 18044 Мэдээллийн технологи - Хамгаалалтын арга техник - Мэдээллийн аюулгүй байдлын ослын менежмент.

    · ISO/IEC 19011:2002 Чанар ба/эсвэл байгаль орчны удирдлагын тогтолцооны аудитын удирдамж.

    · Британийн Стандартын хүрээлэнгийн ISMS үүсгэх цуврал аргууд (өмнө нь: PD 3000 цуврал баримт бичиг).

    ISMS үүсгэх үйл явц нь 4 үе шатаас бүрдэнэ.

    1-р шат. ISMS төлөвлөлт.

    Байгууллагын ерөнхий бодлого, зорилтод нийцүүлэн эрсдэлийн удирдлага, мэдээллийн аюулгүй байдалтай холбоотой бодлого, зорилт, үйл явц, журмыг бий болгох.

    a) ISMS-ийн хамрах хүрээ, хил хязгаарыг тодорхойлох:

    · Байгууллагын үйл ажиллагааны төрөл, бизнесийн зорилгын тодорхойлолт;

    · ISMS-д хамрагдах системийн хил хязгаарын заалт;

    Байгууллагын хөрөнгийн тодорхойлолт (төрөл мэдээллийн нөөц, программ хангамж, техник хангамж, боловсон хүчин, зохион байгуулалтын бүтэц);

    · Хамгаалагдсан мэдээллийг ашигладаг бизнесийн үйл явцын тодорхойлолт.

    Системийн хил хязгаарын тодорхойлолтод дараахь зүйлс орно.

    Байгууллагын одоо байгаа бүтцийн тодорхойлолт (хамт болзошгүй өөрчлөлтүүдмэдээллийн системийг хөгжүүлэхтэй холбоотойгоор үүсч болох).

    Мэдээллийн системийн нөөцийг хамгаалах ( Компьютерийн инженер, мэдээлэл, систем болон хэрэглээний программ хангамж). Тэдгээрийг үнэлэхийн тулд шалгуур үзүүлэлтийн систем, эдгээр шалгуурын дагуу үнэлгээ авах аргачлалыг (ангилах) сонгох ёстой.

    Мэдээлэл боловсруулах технологи, шийдвэрлэх асуудлууд. Шийдвэрлэх зорилтуудын хувьд мэдээллийн боловсруулалтын загваруудыг нөөцийн хувьд бий болгох ёстой.

    Байгууллагын мэдээллийн систем, туслах дэд бүтцийн диаграмм.

    Дүрмээр бол энэ үе шатанд мэдээллийн системийн хил хязгаарыг тодорхойлсон баримт бичгийг боловсруулж, компанийн хамгаалагдах мэдээллийн нөөцийг жагсааж, үнэ цэнийг үнэлэх шалгуур, аргуудын тогтолцоог тусгасан болно. мэдээллийн хөрөнгөкомпаниуд.

    б) Байгууллагын ISMS-ийн бодлогыг тодорхойлох (SDS-ийн өргөтгөсөн хувилбар).

    · Мэдээллийн аюулгүй байдлын талаарх үйл ажиллагааны зорилго, чиглэл, зарчим;

    · Байгууллага дахь эрсдлийн удирдлагын стратеги (хандлагууд)-ын тодорхойлолт, мэдээллийг хамгаалах эсрэг арга хэмжээний бүтэц, төрлөөр (хууль эрх зүйн, зохион байгуулалт, техник хангамж, програм хангамж, инженерчлэл);

    · Эрсдэлийн ач холбогдлын шалгуур үзүүлэлтийн тодорхойлолт;

    · Удирдлагын байр суурь, удирдлагын түвшинд мэдээллийн аюулгүй байдлын сэдвээр хийх уулзалтуудын давтамжийг тодорхойлох, үүнд мэдээллийн аюулгүй байдлын бодлогын заалтуудыг үе үе хянаж байх, түүнчлэн мэдээллийн системийн бүх ангиллын хэрэглэгчдийг мэдээллийн аюулгүй байдлын талаар сургах журам. асуудлууд.

    в) Байгууллагад эрсдэлийн үнэлгээ хийх арга барилыг тодорхойлох.

    Эрсдэлийн үнэлгээний аргачлалыг тогтоосон ISMS-аас хамааран сонгоно бизнесийн шаардлагамэдээлэл хамгаалах, хууль эрх зүйн болон зохицуулалтын шаардлага.

    Эрсдэлийн үнэлгээний аргачлалыг сонгох нь тухайн байгууллагын мэдээллийн аюулгүй байдлын горимд тавигдах шаардлагын түвшин, харгалзан үзсэн аюулын шинж чанар (аюулын нөлөөллийн хүрээ), мэдээллийг хамгаалах болзошгүй эсрэг арга хэмжээний үр нөлөө зэргээс хамаарна. Тодруулбал, мэдээллийн аюулгүй байдлын горимд тавигдах үндсэн болон нэмэгдүүлсэн эсвэл бүрэн шаардлагууд байдаг.

    Мэдээллийн аюулгүй байдлын горимд тавигдах хамгийн бага шаардлага нь мэдээллийн аюулгүй байдлын үндсэн түвшинд нийцдэг. Ийм шаардлага нь дүрмээр бол стандарт дизайны шийдэлд хамаарна. Вирус, техник хангамжийн доголдол, зөвшөөрөлгүй нэвтрэхгэх мэт. Эдгээр аюул заналхийллийг саармагжуулахын тулд тэдгээрийг хэрэгжүүлэх магадлал болон нөөцийн эмзэг байдлаас үл хамааран эсрэг арга хэмжээ авах шаардлагатай. Тиймээс заналхийллийн шинж чанарыг үндсэн түвшинд авч үзэх шаардлагагүй. Энэ чиглэлийн гадаад стандартууд нь ISO 27002, BSI, NIST гэх мэт.

    Мэдээллийн аюулгүй байдлын горимыг зөрчсөн нь ноцтой үр дагаварт хүргэж болзошгүй тохиолдолд нэмэлт шаардлага тавьдаг.

    Нэмэлт нэмэгдсэн шаардлагыг боловсруулахын тулд дараахь зүйлийг хийх шаардлагатай.

    нөөцийн үнэ цэнийг тодорхойлох;

    Стандарт багцад судалж буй мэдээллийн системд хамаарах аюулын жагсаалтыг нэмэх;

    аюул заналхийллийн магадлалыг үнэлэх;

    Нөөцийн эмзэг байдлыг тодорхойлох;

    Халдагчдын нөлөөллөөс учирч болзошгүй хохирлыг үнэл.

    Хамгийн бага өөрчлөлтөөр ашиглах эрсдэлийн үнэлгээний аргачлалыг байнга сонгох шаардлагатай. Хоёр арга бий: эрсдэлийн үнэлгээний зах зээл дээр байгаа арга, хэрэгслийг ашиглах эсвэл компанийн онцлог, ISMS-д хамрагдсан үйл ажиллагааны чиглэлээр тохируулан өөрийн аргачлалыг бий болгох.

    Сүүлийн сонголт нь хамгийн тохиромжтой, учир нь өнөөг хүртэл зах зээл дээр байгаа эрсдэлийн шинжилгээний аргачлалыг хэрэгжүүлдэг ихэнх бүтээгдэхүүн нь стандартын шаардлагыг хангаагүй байна. Ийм аргын ердийн сул талууд нь:

    · Ихэнхдээ өөрчлөх боломжгүй аюул, эмзэг байдлын стандарт багц;

    · зөвхөн програм хангамж, техник хангамж, мэдээллийн нөөцийг үл харгалзан хөрөнгө болгон хүлээн зөвшөөрөх хүний ​​нөөц, үйлчилгээ болон бусад чухал нөөц;

    · Тогтвортой, олон дахин ашиглах техникийн ерөнхий нарийн төвөгтэй байдал.

    · Эрсдэлийг хүлээж авах шалгуур, эрсдэлийн зөвшөөрөгдөх түвшин (байгууллагын стратеги, зохион байгуулалт, удирдлагын зорилгод хүрэхэд үндэслэсэн байх ёстой).

    d) Эрсдэлийг тодорхойлох.

    · Хөрөнгө, түүний эзэмшигчийг тодорхойлох

    Мэдээллийн оролт;

    Мэдээллийн гаралт;

    Мэдээллийн бүртгэл;

    Нөөц: хүмүүс, дэд бүтэц, тоног төхөөрөмж, програм хангамж, багаж хэрэгсэл, үйлчилгээ.

    · Аюул заналыг тодорхойлох (эрсдэлийн үнэлгээний стандартууд нь ихэвчлэн нэмэлт, өргөтгөх боломжтой аюулын ангиллыг санал болгодог).

    · Эмзэг байдлыг тодорхойлох (байгууллагадаа дүн шинжилгээ хийхдээ найдах хамгийн нийтлэг эмзэг байдлын жагсаалт бас байдаг).

    Хөрөнгийн үнэ цэнийг тодорхойлох ( болзошгүй үр дагаварнууцлал, бүрэн бүтэн байдал, хөрөнгийн хүртээмжийг алдахаас). Хөрөнгийн үнэ цэнийн талаарх мэдээллийг түүний өмчлөгчөөс эсвэл өмчлөгч нь хөрөнгийн аюулгүй байдлыг хангах зэрэг бүхий л эрх мэдлийг шилжүүлсэн этгээдээс авч болно.

    e) Эрсдлийн үнэлгээ.

    · Хөрөнгийн нууцлал, бүрэн бүтэн байдал, олдоц алдагдахаас бизнест учирч болох хохирлыг үнэлэх.

    · Мэдээллийн аюулгүй байдлын одоо байгаа хяналтыг харгалзан үзэж, учирч болзошгүй хохирлыг үнэлэх;

    · Эрсдлийн түвшинг тодорхойлох.

    Эрсдэлийг хүлээн зөвшөөрөх шалгуурыг хэрэглэх (зөвшөөрөх/эмчилгээ шаардлагатай).

    е) Эрсдэлийн эмчилгээ (сонгосон эрсдэлийн удирдлагын стратегийн дагуу).

    Боломжит арга хэмжээ:

    Идэвхгүй үйлдлүүд:

    Эрсдэлийг хүлээн зөвшөөрөх (үр дүнд бий болсон эрсдлийн түвшинг хүлээн зөвшөөрөх тухай шийдвэр);

    Эрсдэлээс зайлсхийх (тодорхой түвшний эрсдэлийг үүсгэдэг үйл ажиллагааг өөрчлөх шийдвэр - вэб серверийг хилийн гадна шилжүүлэх дотоод сүлжээ);

    Идэвхтэй үйлдлүүд:

    Эрсдэлийг бууруулах (байгууллагын болон техникийн эсрэг арга хэмжээг ашиглах);

    Эрсдэл дамжуулах (даатгал (гал түймэр, хулгай, програм хангамжийн алдаа)).

    Боломжит арга хэмжээний сонголт нь хүлээн зөвшөөрөгдсөн эрсдэлийн шалгуур үзүүлэлтээс хамаарна (эрсдэлийн зөвшөөрөгдөх түвшинг тодорхойлсон, мэдээллийн аюулгүй байдлын хяналтаар бууруулж болох эрсдэлийн түвшин, түүнийг үүсгэсэн үйл ажиллагааны төрлийг орхих эсвэл өөрчлөхийг зөвлөж буй эрсдэлийн түвшин, болон бусад этгээдэд шилжүүлэх нь зүйтэй гэсэн эрсдэл) .

    g) Эрсдэлийг эмчлэх зорилго, хяналтыг сонгох.

    Зорилго, хяналт нь эрсдэлийн удирдлагын стратегийг хэрэгжүүлэх, эрсдэлийг хүлээн авах шалгуур, хууль тогтоомж, зохицуулалтын болон бусад шаардлагыг харгалзан үзэх ёстой.

    ISO 27001-2005 стандарт нь эрсдэлийн эмчилгээний төлөвлөгөөг (ISMS шаардлагууд) бий болгох үндэслэл болох зорилт, хяналтын жагсаалтыг өгдөг.

    Эрсдэлийг эмчлэх төлөвлөгөө нь эрсдлийн түвшинг бууруулах нэн тэргүүний арга хэмжээний жагсаалтыг агуулсан бөгөөд үүнд:

    · эдгээр үйл ажиллагаа, хэрэгслийг хэрэгжүүлэх үүрэгтэй хүмүүс;

    · үйл ажиллагааг хэрэгжүүлэх хугацаа, түүнийг хэрэгжүүлэх тэргүүлэх чиглэл;

    · ийм үйл ажиллагааг хэрэгжүүлэх нөөц;

    · арга хэмжээ, хяналтыг хэрэгжүүлсний дараах үлдэгдэл эрсдэлийн түвшин.

    Эрсдэлийг арилгах төлөвлөгөөг батлах, түүний хэрэгжилтэд хяналт тавих ажлыг байгууллагын дээд удирдлага гүйцэтгэдэг. Төлөвлөгөөний үндсэн ажлуудыг дуусгах нь ISMS-ийг ашиглалтад оруулах шийдвэр гаргах шалгуур юм.

    Энэ үе шатанд мэдээллийн аюулгүй байдлын эсрэг янз бүрийн арга хэмжээг сонгох нь үндэслэлтэй бөгөөд мэдээллийн аюулгүй байдлын зохицуулалт, зохион байгуулалт, удирдлага, технологи, техник хангамж-програм хангамжийн түвшний дагуу бүтэцлэгдсэн байдаг. (Цаашилбал, сонгосон мэдээллийн эрсдэлийн удирдлагын стратегийн дагуу эсрэг арга хэмжээг хэрэгжүүлдэг). Эрсдэлийн шинжилгээний бүрэн хувилбарт эсрэг арга хэмжээний үр нөлөөг эрсдэл тус бүрээр нэмж үнэлдэг.

    h) Санал болгож буй үлдэгдэл эрсдэлийн удирдлагын зөвшөөрөл.

    i) ISMS-ийг хэрэгжүүлэх, ашиглалтад оруулах удирдлагын зөвшөөрөл авах.

    j) Хэрэглэх боломжтой байдлын мэдэгдэл (ISO 27001-2005 стандартын дагуу).

    ISMS-ийг ашиглалтад оруулсан огноо нь эрсдлийг удирдах байгууллагын сонгосон зорилго, арга хэрэгслийг тодорхойлсон хяналтыг ашиглах журмыг компанийн дээд удирдлага баталсан өдөр юм.

    · эрсдэлийн эмчилгээний үе шатанд сонгосон удирдлага, хяналтын хэрэгсэл;

    · Байгууллагад аль хэдийн байгаа удирдлага, хяналтын хэрэгслүүд;

    · зохицуулалтын байгууллагын хууль ёсны шаардлага, шаардлагыг биелүүлэхийг хэлнэ;

    · хэрэглэгчийн шаардлагын биелэлтийг хангах гэсэн үг;

    · аж ахуйн нэгжийн ерөнхий шаардлагад нийцүүлэн хангах гэсэн үг;

    · бусад зохих хяналт, хяналт.

    2-р шат. ISMS-ийн хэрэгжилт, үйл ажиллагаа.

    Мэдээллийн аюулгүй байдлын чиглэлээрх мэдээллийн аюулгүй байдлын бодлого, хяналт, үйл явц, журмыг хэрэгжүүлэх, ажиллуулахын тулд дараахь үйлдлүүдийг гүйцэтгэдэг.

    a) Эрсдэлийг эмчлэх төлөвлөгөө боловсруулах (төлөвлөсөн хяналт, тэдгээрийг хэрэгжүүлэхэд шаардагдах нөөц (програм хангамж, техник хангамж, боловсон хүчин)-ийн тодорхойлолт, мэдээллийн аюулгүй байдлын эрсдлийн менежментийн менежментийн хариуцлагыг дэмжих, хянах (төлөвлөлтийн үе шатанд баримт бичгийг боловсруулах, дэмжлэг үзүүлэх) мэдээллийн аюулгүй байдлын зорилго, үүрэг, хариуцлагыг тодорхойлох, хангах шаардлагатай нөөц ISMS, аудит, дүн шинжилгээ хийх).

    б) Эрсдэлийг арилгах төлөвлөгөөг хэрэгжүүлэх санхүүжилт, үүрэг, хариуцлагын хуваарилалт.

    в) Төлөвлөсөн хяналтыг хэрэгжүүлэх.

    г) Хяналтын гүйцэтгэлийн шалгуур үзүүлэлтүүд (хэмжих хэмжүүрүүд) болон тэдгээрийг хэмжих аргуудыг тодорхойлох, энэ нь харьцуулж болохуйц, давтагдах боломжтой үр дүнг өгөх болно.

    д) Ажил үүргийнхээ дагуу мэдээллийн аюулгүй байдлын чиглэлээр ажиллагсдын мэргэшил, мэдлэгийг дээшлүүлэх.

    е) ISMS-ийн үйл ажиллагааны удирдлага, ISMS-ийг хадгалах, хянах, сайжруулах нөөцийг удирдах.

    g) Мэдээллийн аюулгүй байдлын зөрчлийг хурдан илрүүлэх, хариу арга хэмжээ авах журам болон бусад хяналтыг хэрэгжүүлэх.

    Үе шат 3. МБОУС-ын үйл ажиллагаанд байнгын хяналт, шинжилгээ хийх.

    Энэ үе шат нь үйл явцын гүйцэтгэлийн гол үзүүлэлтүүдийг үнэлэх, хэмжих, үр дүнд дүн шинжилгээ хийх, удирдлагад дүн шинжилгээ хийх тайланг өгөх зэрэг багтана.

    a) Тасралтгүй хяналт, шинжилгээ хийх (ISMS-ийн үйл ажиллагаанд гарсан алдааг хурдан илрүүлэх, аюулгүй байдлын зөрчлийг хурдан илрүүлэх, хариу арга хэмжээ авах, ажилтнуудын үүрэг, хариуцлагыг ялгах боломжийг олгодог. автоматжуулсан системүүд ISMS-д дүн шинжилгээ хийх замаар аюулгүй байдлын зөрчлөөс урьдчилан сэргийлэх ер бусын зан үйл, аюулгүй байдлын ослыг зохицуулах үр нөлөөг тодорхойлох).

    б) ISMS-ийн үр нөлөөг тогтмол хянаж байх (ОУСМС-ийн бодлого, зорилтод нийцэж байгаа эсэх, аудит, гол үзүүлэлтүүдүр ашиг, санал, оролцогч талуудын хариу үйлдэл).

    в) Хамгаалалтын шаардлагыг хангаж байгаа эсэхийг шалгах хяналтын үр нөлөөг хэмжих

    г) Эрсдэлийг үе үе дахин үнэлэх, үлдэгдэл эрсдэлд дүн шинжилгээ хийх, байгууллагын аливаа өөрчлөлтөд (бизнесийн зорилго, үйл явц, тодорхойлсон аюул занал, шинээр илэрсэн эмзэг байдал гэх мэт) зөвшөөрөгдөх эрсдлийн түвшинг тодорхойлох.

    д) МБОУС-ын дотоод аудитыг үе үе хийх.

    ISMS аудит - сонгосон эсрэг арга хэмжээнүүд нь байгууллагын үйлдвэрлэлийн аюулгүй байдлын бодлогод заасан бизнесийн зорилго, зорилтуудтай нийцэж байгаа эсэхийг шалгах, түүний үр дүнд үндэслэн үлдэгдэл эрсдлийг үнэлж, шаардлагатай бол тэдгээрийг оновчтой болгох;

    е) Удирдлагаас ISMS-ийн хамрах хүрээ, чиг хандлагыг тогтмол хянаж байх.

    g) Хяналт, шинжилгээний үр дүнг тусгахын тулд эрсдэлийн удирдлагын төлөвлөгөөг шинэчлэх.

    h) Нөлөөлөлд өртсөн үйл явдлын бүртгэл хөтлөх Сөрөг нөлөө ISMS-ийн ажлын үр дүн эсвэл чанарын талаар.

    4-р шат. ISMS-ийг дэмжих, сайжруулах.

    ISMS-ийн дотоод аудит, удирдлагын шинжилгээний үр дүнд үндэслэн залруулах, урьдчилан сэргийлэх арга хэмжээг боловсруулж хэрэгжүүлдэг. тасралтгүй сайжруулах ISMS:

    a) Мэдээллийн аюулгүй байдлын бодлого, мэдээллийг хамгаалах зорилтыг сайжруулах, аудит хийх, ажиглагдсан үйл явдлуудад дүн шинжилгээ хийх.

    б) ISMS-ийн шаардлагад нийцэхгүй байгаа байдлыг арилгах, засах, урьдчилан сэргийлэх арга хэмжээг боловсруулж хэрэгжүүлэх.

    в) ISMS-ийн сайжруулалтыг хянах.

    Дүгнэлт

    ISO 27001 стандарт нь ISMS-ийн хэрэгжилт, үйл ажиллагааны ерөнхий загвар, түүнчлэн ISMS-ийг хянах, сайжруулах үйл ажиллагааг тодорхойлдог. ISO нь чанарын менежменттэй холбоотой ISO/IEC 9001:2000, байгаль орчны удирдлагын тогтолцоотой холбоотой ISO/IEC 14001:2004 зэрэг удирдлагын тогтолцооны янз бүрийн стандартуудыг уялдуулахаар зорьж байна. ОУСБ-ын зорилго нь ISMS-ийг компанийн бусад удирдлагын системтэй уялдуулах, нэгтгэх явдал юм. Стандартуудын ижил төстэй байдал нь хэрэгжүүлэх, удирдах, хянан шалгах, баталгаажуулах, баталгаажуулахад ижил төстэй хэрэгсэл, функцийг ашиглах боломжийг олгодог. Хэрэв компани менежментийн бусад стандартыг хэрэгжүүлсэн бол чанарын удирдлага, байгаль орчны менежмент, аюулгүй байдлын менежмент гэх мэт үйл ажиллагаанд хамаарах нэг аудит, удирдлагын системийг ашиглаж болно гэж ойлгодог. ISMS-ийг хэрэгжүүлснээр ахлах удирдлага аюулгүй байдлыг хянах, удирдах боломжтой болж, бизнесийн үлдэгдэл эрсдлийг бууруулдаг. ISMS-ийг хэрэгжүүлсний дараа компани нь мэдээллийн аюулгүй байдлыг албан ёсоор хангаж, үйлчлүүлэгчид, хууль тогтоомж, зохицуулагчид болон хувьцаа эзэмшигчдийн шаардлагыг үргэлжлүүлэн хангаж чадна.

    ОХУ-ын хууль тогтоомжид ISO27001 олон улсын стандартын орчуулсан хувилбар болох ГОСТ Р ISO/IEC 27001-2006 баримт бичиг байдаг гэдгийг тэмдэглэх нь зүйтэй.

    Ном зүй

    1. Корнеев И.Р., Беляев А.В. Байгууллагын мэдээллийн аюулгүй байдал. – Санкт-Петербург: BHV-Петербург, 2003. – 752 х.

    2.Олон улсын ISO стандарт 27001

    (http://www.specon.ru/files/ISO27001.pdf) (хандах огноо: 05/23/12).

    3.Үндэсний стандарт Оросын Холбооны УлсГОСТ Р ISO/IEC 27003 - "Мэдээллийн технологи. Аюулгүй байдлын арга. Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог хэрэгжүүлэх заавар.

    (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (хандах огноо: 05/23/12).

    4. Скиба В.Ю., Курбатов В.А. Мэдээллийн аюулгүй байдалд учирч буй дотоод аюулаас хамгаалах гарын авлага. Санкт-Петербург: Петр, 2008. - 320 х.

    Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо нь мэдээллийн аюулгүй байдлыг хөгжүүлэх, хэрэгжүүлэх, ажиллуулах, хяналт тавих, дүн шинжилгээ хийх, дэмжих, сайжруулахад бизнесийн эрсдэлийн үнэлгээний аргыг ашиглахад үндэслэсэн удирдлагын ерөнхий тогтолцооны нэг хэсэг юм.

    Удирдлагын системд орно зохион байгуулалтын бүтэц, бодлого, төлөвлөлтийн үйл ажиллагаа, үүрэг хариуцлагын хуваарилалт, практик үйл ажиллагаа, журам, үйл явц, нөөц [ГОСТ R ISO/IEC 27001-2006].

    ISO 27001 стандарт нь мэдээллийн аюулгүй байдлын удирдлагын системд тавигдах шаардлагыг тодорхойлдог. Стандартын шаардлага нь тодорхой хэмжээгээр хийсвэр бөгөөд компанийн үйл ажиллагааны аль ч салбарын онцлогтой холбоогүй болно.

    90-ээд оны эхээр мэдээллийн системийн хөгжил нь аюулгүй байдлын удирдлагын стандартыг бий болгох хэрэгцээг бий болгосон. Британийн Засгийн газар, аж үйлдвэрийн хүсэлтээр Их Британийн Худалдаа, аж үйлдвэрийн яам ISMS практикийг боловсруулсан.

    Анхны BS 7799 стандарт нь хэд хэдэн туршилт, тохируулга хийснээр урт замыг туулсан. Түүний "карьер" дахь хамгийн чухал үе шат бол 2005 он бөгөөд ISMS-ийн үнэлгээний стандартыг олон улсад хүлээн зөвшөөрсөн (өөрөөр хэлбэл орчин үеийн ISMS-д тавигдах шаардлагуудын нийцлийг баталгаажуулсан). Энэ мөчөөс эхлэн дэлхийн тэргүүлэгч аж ахуйн нэгжүүд ISO 27001 стандартыг идэвхтэй хэрэгжүүлж, баталгаажуулалтад бэлтгэж эхэлсэн.

    ISMS бүтэц

    Орчин үеийн ISMS нь зохион байгуулалт, баримт бичиг, техник хангамж, програм хангамжийн бүрэлдэхүүн хэсгүүдийг багтаасан процесст чиглэсэн удирдлагын систем юм. ISMS-ийн талаарх дараах "үзэл бодол"-ыг ялгаж салгаж болно: үйл явц, баримтат болон төлөвшил.

    ISMS процессууд нь Төлөвлөх-Болох-Шалгах-Үйл ажиллагаа явуулах удирдлагын мөчлөгт суурилсан ISO/IEC 27001:2005 стандартын шаардлагын дагуу бүтээгдсэн. Үүний дагуу ISMS-ийн амьдралын мөчлөг нь бий болгох - Хэрэгжүүлэх, ашиглах - Хяналт шинжилгээ, шинжилгээ - Засвар үйлчилгээ, сайжруулах гэсэн дөрвөн төрлийн үйл ажиллагаанаас бүрдэнэ. Баримтжуулсан ISMS процессууд нь 27001 стандартын бүх шаардлагыг хангаж байгааг баталгаажуулдаг.

    ISMS-ийн баримт бичиг нь бодлого, баримтжуулсан журам, стандарт, бүртгэлээс бүрдэх ба ISMS-ийн удирдлагын баримт бичиг, ISMS-ийн үйл ажиллагааны баримт бичиг гэсэн хоёр хэсэгт хуваагдана.

    ISMS-ийн боловсорсон загвар нь боловсруулж буй баримт бичгийн нарийвчилсан мэдээлэл, ISMS-ийн удирдлага, үйл ажиллагааны автоматжуулалтын түвшинг тодорхойлдог. CobiT төлөвшлийн загварыг үнэлгээ, төлөвлөлтөд ашигладаг. ISMS-ийн төлөвшлийг сайжруулах хөтөлбөр нь мэдээллийн аюулгүй байдлын удирдлагын үйл явц, мэдээллийн аюулгүй байдлын хэрэгслийн ашиглалтын менежментийг сайжруулахад чиглэсэн үйл ажиллагааны бүтэц, цаг хугацааг тодорхойлдог.

    Стандарт нь PDCA (Plan-Do-Check-Act) загварыг ашиглахыг санал болгож байна амьдралын мөчлөгХөгжүүлэлт, хэрэгжилт, үйл ажиллагаа, хяналт, дүн шинжилгээ, дэмжлэг, сайжруулалтыг багтаасан ISMS (Зураг 1).

    Төлөвлөгөө - ISMS бий болгох, хөрөнгийн жагсаалт гаргах, эрсдэлийг үнэлэх, арга хэмжээг сонгох үе шат;

    Do (Action) - зохих арга хэмжээг хэрэгжүүлэх, хэрэгжүүлэх үе шат;

    Шалгах - ISMS-ийн үр нөлөө, гүйцэтгэлийг үнэлэх үе шат. Ихэвчлэн дотоод аудиторууд гүйцэтгэдэг.

    Act - Урьдчилан сэргийлэх, засч залруулах арга хэмжээ авах.

    ISMS үүсгэх үйл явц нь 4 үе шатаас бүрдэнэ.

    Мэдээллийн аюулгүй байдлын эрсдэлтэй тэмцэх арга замыг тодорхойлох, дүн шинжилгээ хийх, төлөвлөх зорилготой төлөвлөлтийн үйл явц. Энэ үйл явцыг бий болгохдоо та мэдээллийн хөрөнгийг ангилах, эрсдэлийг албан ёсоор үнэлэх аргачлалыг боловсруулах хэрэгтэй. мэдээллийн дэд бүтэцаюул занал, эмзэг байдал. PCI DSS аудитын хувьд карт эзэмшигчийн өгөгдөл болон баталгаажуулалтын чухал өгөгдөл гэсэн өөр өөр түвшний чухал ач холбогдолтой хоёр төрлийн үнэ цэнэтэй мэдээллийн хөрөнгө байдаг.

    Мэдээллийн аюулгүй байдлын шинэ үйл явцыг эхлүүлэх эсвэл одоо байгаа үйл явцыг шинэчлэх журмыг тодорхойлсон эрсдэлийг эмчлэх төлөвлөсөн аргуудыг хэрэгжүүлэх үйл явц. Үүрэг, хариуцлагыг тодорхойлох, хэрэгжүүлэх төлөвлөлтөд онцгой анхаарал хандуулах хэрэгтэй.

    ISMS-ийн үйл ажиллагааг хянах үйл явц (ISMS процессууд болон ISMS нь өөрөө гүйцэтгэлийн хяналтанд хамрагддаг гэдгийг тэмдэглэх нь зүйтэй - эцсийн эцэст удирдлагын дөрвөн үйл явц нь боржин чулуун баримал биш бөгөөд тэдгээрт өөрийгөө таниулах үйл ажиллагаа хамаарна).

    Хяналтын үр дүнгийн дагуу ISMS-ийн үйл явцыг сайжруулах үйл явц нь залруулах, урьдчилан сэргийлэх арга хэмжээг хэрэгжүүлэх боломжийг олгодог.

    ГОСТ Р ISO/IEC 27001-2006 " Мэдээллийн технологи. Аюулгүй байдлыг хангах арга, хэрэгсэл. Мэдээллийн аюулгүй байдлын удирдлагын систем. Шаардлага"

    Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог (МАБС) боловсруулах, хэрэгжүүлэх, ажиллуулах, хяналт тавих, дүн шинжилгээ хийх, дэмжих, боловсронгуй болгоход загвар болгон бэлтгэсэн гэж стандартыг боловсруулагчид тэмдэглэж байна. ISMS (Англи хэл - мэдээллийн аюулгүй байдлын удирдлагын систем; ISMS) нь мэдээллийн аюулгүй байдлыг хөгжүүлэх, хэрэгжүүлэх, ажиллуулах, хянах, дүн шинжилгээ хийх, дэмжих, сайжруулахад бизнесийн эрсдэлийн үнэлгээний аргуудыг ашиглахад үндэслэсэн удирдлагын ерөнхий системийн нэг хэсэг юм. Удирдлагын тогтолцоо нь байгууллагын бүтэц, бодлого, төлөвлөлтийн үйл ажиллагаа, хариуцлага, үйл ажиллагаа, журам, үйл явц, нөөцийг агуулдаг.

    Энэхүү стандарт нь байгууллагын ISMS-ийг боловсруулах, хэрэгжүүлэх, ажиллуулах, хяналт тавих, дүн шинжилгээ хийх, дэмжих, сайжруулахад үйл явцын хандлагыг ашиглахыг шаарддаг. Энэ нь Төлөвлөх - Хий - Шалгах - Үйлд (PDCA) загвар дээр суурилдаг бөгөөд үүнийг ISMS-ийн бүх үйл явцын бүтцэд ашиглаж болно. Зураг дээр. Зураг 4.4-т мэдээллийн аюулгүй байдлын шаардлага, оролцогч талуудын хүлээлтийг орц болгон ашиглаж, мэдээллийн аюулгүй байдлын систем нь шаардлагатай үйл ажиллагаа, үйл явцаар дамжуулан тэдгээр шаардлагад нийцсэн мэдээллийн аюулгүй байдлын гарц, хүлээгдэж буй үр дүнг хэрхэн гаргаж байгааг Зураг 4.4-т харуулав.

    Цагаан будаа. 4.4.

    Тайзан дээр “Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог хөгжүүлэх”Байгууллага дараахь зүйлийг хийх ёстой.

    • - ISMS-ийн хамрах хүрээ, хил хязгаарыг тодорхойлох;
    • - бизнес, байгууллагын онцлог, түүний байршил, хөрөнгө, технологид үндэслэн ISMS бодлогыг тодорхойлох;
    • - байгууллагад эрсдэлийн үнэлгээ хийх арга барилыг тодорхойлох;
    • - эрсдэлийг тодорхойлох;
    • - эрсдэлд дүн шинжилгээ хийх, үнэлэх;
    • - эрсдэлийн эмчилгээний янз бүрийн хувилбаруудыг тодорхойлж, үнэлэх;
    • - эрсдэлийг эмчлэх зорилт, хяналтын арга хэмжээг сонгох;
    • - тооцоолсон үлдэгдэл эрсдэлийн удирдлагын зөвшөөрлийг авах;
    • - ISMS-ийг хэрэгжүүлэх, ажиллуулах удирдлагын зөвшөөрөл авах;
    • - Хэрэглэх тухай мэдэгдэл бэлтгэх.

    Тайз " Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог нэвтрүүлэх, ажиллуулах"байгууллага дараахь зүйлийг хийхийг санал болгож байна.

    • - мэдээллийн аюулгүй байдлын эрсдэлийн удирдлагатай холбоотой удирдлагын зохих арга хэмжээ, нөөц, үүрэг хариуцлага, тэргүүлэх чиглэлийг тодорхойлсон эрсдэлийн эмчилгээний төлөвлөгөө боловсруулах;
    • - Санхүүжилтийн асуудал, чиг үүрэг, хариуцлагын хуваарилалтыг багтаасан удирдлагын зорилтод хүрэхийн тулд эрсдэлийн эмчилгээний төлөвлөгөөг хэрэгжүүлэх;
    • - сонгосон менежментийн арга хэмжээг хэрэгжүүлэх;
    • - сонгосон менежментийн арга хэмжээний үр нөлөөг хэрхэн хэмжихийг тодорхойлох;
    • - ажилчдыг сургах, мэргэжил дээшлүүлэх хөтөлбөр хэрэгжүүлэх;
    • - ISMS-ийн ажлыг удирдах;
    • - ISMS нөөцийг удирдах;
    • - Мэдээллийн аюулгүй байдлын үйл явдлыг шуурхай илрүүлэх, мэдээллийн аюулгүй байдалтай холбоотой зөрчилд хариу арга хэмжээ авах журам, удирдлагын бусад арга хэмжээг хэрэгжүүлэх.

    Гурав дахь шат " Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны хяналт, шинжилгээ"шаарддаг:

    • - хяналт-шинжилгээ, дүн шинжилгээ хийх журмыг хэрэгжүүлэх;
    • - ISMS-ийн үр нөлөөнд тогтмол дүн шинжилгээ хийх;
    • - мэдээллийн аюулгүй байдлын шаардлагад нийцэж байгаа эсэхийг шалгах хяналтын арга хэмжээний үр нөлөөг хэмжих;
    • - эрсдэлийн үнэлгээг тогтоосон хугацаанд хянаж, өөрчлөлтийг харгалзан үлдэгдэл эрсдэл, тогтоосон зөвшөөрөгдөх эрсдэлийн түвшинд дүн шинжилгээ хийх;
    • - ОУСМС-ийн дотоод аудитыг тогтоосон хугацаанд хийх;
    • - системийн үйл ажиллагааны зохистой байдлыг баталгаажуулах, сайжруулах чиглэлийг тодорхойлохын тулд байгууллагын удирдлага ISMS шинжилгээг тогтмол хийж байх;
    • - дүн шинжилгээ, мониторингийн үр дүнг харгалзан мэдээллийн аюулгүй байдлын төлөвлөгөөг шинэчлэх;
    • - ISMS-ийн үр нөлөө, үйл ажиллагаанд нөлөөлж болзошгүй үйлдэл, үйл явдлыг бүртгэх.

    Тэгээд эцэст нь тайз “Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог дэмжих, сайжруулах”байгууллага нь дараах үйл ажиллагааг тогтмол явуулахыг санал болгож байна.

    • - ISMS-ийг сайжруулах боломжийг тодорхойлох;
    • - шаардлагатай засч залруулах, урьдчилан сэргийлэх арга хэмжээ авах, мэдээллийн аюулгүй байдлын аль алинд нь олж авсан туршлагыг практикт ашиглах өөрийн байгууллага, болон бусад байгууллагад;
    • - дамжуулах дэлгэрэнгүй мэдээлэл ISMS-ийг бүх сонирхогч талуудад сайжруулах арга хэмжээний талаар, харин нарийвчилсан зэрэг нь нөхцөл байдалд тохирсон байх ёстой бөгөөд шаардлагатай бол цаашдын арга хэмжээний талаар тохиролцох;
    • - төлөвлөсөн зорилгодоо хүрэхийн тулд ISMS сайжруулалтын хэрэгжилтийг хангах.

    Цаашилбал, стандарт нь ISMS-ийн бодлогын заалт, үйл ажиллагааны хамрах хүрээний тодорхойлолт, аргачлалын тодорхойлолт, эрсдлийн үнэлгээний тайлан, эрсдлийн эмчилгээний төлөвлөгөө, холбогдох журмын баримт бичгийг агуулсан байх ёстой баримт бичигт тавигдах шаардлагыг тусгасан болно. ISMS-ийн баримт бичгийг шинэчлэх, ашиглах, хадгалах, устгах зэрэг үйл явцыг мөн тодорхойлсон байх ёстой.

    ISMS-ийн шаардлагад нийцэж байгаа, үр дүнтэй байгаа эсэхийг нотлохын тулд үйл явцын гүйцэтгэлийн бүртгэлийг хөтөлж, хөтлөх шаардлагатай. Жишээ нь зочдын бүртгэл, аудитын тайлан гэх мэт.

    Стандартад байгууллагын удирдлага нь ISMS-ийг бий болгоход шаардлагатай нөөцөөр хангах, удирдах, түүнчлэн боловсон хүчний сургалтыг зохион байгуулах үүрэгтэй гэж заасан байдаг.

    Өмнө дурьдсанчлан, байгууллага нь батлагдсан хуваарийн дагуу өөрийн үйл ажиллагаа, стандартад нийцэж байгаа эсэхийг үнэлэхийн тулд ISMS-ийн дотоод аудитыг хийх ёстой. Мөн удирдлага нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонд дүн шинжилгээ хийх ёстой.

    Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог боловсронгуй болгох, түүний үр нөлөө, дагаж мөрдөх түвшинг нэмэгдүүлэх ажлыг мөн хийх ёстой одоогийн байдалсистем ба түүний шаардлага.