Szukaj 

Sposoby stworzenia systemu zarządzania bezpieczeństwem informacji w przedsiębiorstwach obwodu donieckiego. System Zarządzania Bezpieczeństwem Informacji

Naprawdę, to niezręczne. Informowaliśmy o rychłym wydaniu normy ISO 45001, która powinna zastąpić obecną normę zarządzania bezpieczeństwem i higieną pracy OHSAS 18001, stwierdzając, że powinniśmy się jej spodziewać pod koniec 2016 roku... Już prawie północ, a wciąż nic nie wskazuje na to, aby Hermana. Czas przyznać, że ISO 45001 jest opóźnione. To prawda, według dobre powody. Społeczność ekspertów miała do niego zbyt wiele pytań. […]

  • W przygotowaniu jest podwójny artykuł. Organizacja międzynarodowa Normalizacja jasno wyraziła swoje stanowisko w sprawie stosowania oznaczeń swoich norm na wyrobach – ISO mówi „nie”. Jednak przedsiębiorcy nadal chcą to robić. Jakie powinny być? Dlaczego nie, właśnie? Tło pytania jest następujące. Jak rozumiesz, normy ISO nie są bezpośrednio związane z produktami wytwarzanymi przez certyfikowane dla nich przedsiębiorstwa. […]

  • Zakończmy temat. W ostatnim artykule rozpoczęliśmy rozmowę na temat ośmiu zasad SZJ. Zasady, na których zbudowany jest każdy system zarządzania jakością. Naszym celem jest przełożenie tych zasad z języka trenerów biznesu na język ludzki. Aby można było z nich czerpać realne korzyści. Rozmawialiśmy o orientacji na klienta. Rozmawiali o tym, jak wyprodukować nie „coś [...]

  • Wiele osób mówi o zarządzaniu jakością. Ale z jakiegoś powodu mówią to w taki sposób, że ostatecznie nic nie jest jasne. Oznacza to, że zarządzanie jakością pozostaje słowami. Zbyt wiele mądrymi słowami. Przetłumaczmy je na normalny język i zrozumiejmy, w jaki sposób zasady zarządzania jakością naprawdę pomagają usprawnić działalność firmy. Pozbądźmy się długich preludiów. W sumie obowiązujące obecnie systemy zarządzania jakością, z których najpopularniejszy [...]

  • Zarządzanie projektami…Jestem pewien, że jest wiele osób, które spędziły zbyt dużo czasu na komunikowaniu się z różnego rodzaju konsultantami biznesowymi – a teraz samo usłyszenie takiego wyrażenia zaczyna wywoływać lekkie mdłości. Co robić? Wybijmy sobie konsultantów biznesowych z głowy i przełóżmy sprawę na ludzki język. Zarządzanie projektami to niekoniecznie osoba w białej koszuli, która rysuje skomplikowane diagramy i schematy blokowe za pomocą markera […]

    • (SMIB)- ta część wspólny system zarządzanie, które opiera się na podejściu do ryzyka biznesowego w zakresie tworzenia, wdrażania, obsługi, monitorowania, analizy, wsparcia i doskonalenia bezpieczeństwo informacji.

    Jeśli jest zbudowany zgodnie z wymaganiami normy ISO/IEC_27001, opiera się na modelu PDCA:

      Plan(Planowanie) – faza tworzenia SZBI, tworzenia listy aktywów, oceny ryzyka i wyboru działań;
      Do(Działanie) – etap wdrożenia i wdrożenia odpowiednich działań;
      Sprawdzać(Weryfikacja) – faza oceny efektywności i działania SZBI. Zwykle przeprowadzane przez audytorów wewnętrznych.
      Działać(Usprawnienia) - wdrożenie działań zapobiegawczych i korygujących;

    Koncepcja bezpieczeństwa informacji

    Norma ISO 27001 definiuje bezpieczeństwo informacji jako: „zachowanie poufności, integralności i dostępności informacji; ponadto można uwzględnić inne właściwości, takie jak autentyczność, niezaprzeczalność i niezawodność.

    Poufność – zapewnienie dostępu do informacji wyłącznie osobom posiadającym odpowiednie uprawnienia (autoryzowani użytkownicy).

    Uczciwość – zapewnienie prawidłowości i kompletności informacji oraz sposobów ich przetwarzania.

    Dostępność – udostępnianie informacji uprawnionym użytkownikom w razie potrzeby (na żądanie).

    4 System zarządzania bezpieczeństwem informacji

    4.1 Ogólne wymagania

    Organizacja powinna ustanowić, wdrożyć, używać, monitorować, przeglądać, utrzymywać i doskonalić udokumentowane postanowienia SZBI w całej swojej działalności biznesowej i ryzyku, na które jest narażona. Ze względu na praktyczną korzyść niniejszej Normy Międzynarodowej zastosowany proces opiera się na modelu PDCA pokazanym na ryc. 1.

    4.2 Tworzenie i zarządzanie SZBI

    4.2.1 Tworzenie SZBI

    Organizacja musi wykonać następujące czynności.

    a) Biorąc pod uwagę specyfikę działalności organizacji, samą organizację, jej lokalizację, aktywa i technologię, określić zakres i granice SZBI, w tym szczegóły i uzasadnienie wyłączenia jakichkolwiek zapisów dokumentu z projektu SZBI (patrz 1.2 ).

    b) Biorąc pod uwagę charakterystykę działalności organizacji, samą organizację, jej lokalizację, aktywa i technologię, opracuj politykę SZBI, która:

    1) zawiera system wyznaczania celów (zadań) oraz ustala ogólny kierunek zarządzania i zasady działania w zakresie bezpieczeństwa informacji;

    2) uwzględnia wymogi biznesowe i prawne lub regulacyjne, umowne obowiązki bezpieczeństwa;

    3) jest powiązany ze środowiskiem zarządzania ryzykiem strategicznym, w którym odbywa się tworzenie i utrzymywanie SZBI;

    4) ustala kryteria, według których będzie oceniane ryzyko (patrz 4.2.1 c)); I

    5) zatwierdzone przez kierownictwo.

    UWAGA: Dla celów niniejszej Normy Międzynarodowej, politykę ISMS uważa się za rozszerzony zestaw zasad bezpieczeństwa informacji. Polityki te można opisać w jednym dokumencie.

    c) Opracować koncepcję oceny ryzyka w organizacji.

    1) Określ metodologię oceny ryzyka, która odpowiada SZBI i ustalonym wymogom prawnym i regulacyjnym dotyczącym bezpieczeństwa informacji biznesowych.

    2) Opracuj kryteria akceptacji ryzyka i określ akceptowalne poziomy ryzyka (patrz 5.1f).

    Wybrana metodologia oceny ryzyka powinna zapewniać, że ocena ryzyka przyniesie porównywalne i powtarzalne wyniki.

    UWAGA: Istnieją różne metodologie oceny ryzyka. Przykłady metodologii oceny ryzyka omówiono w MOS/IEC TU 13335-3, Informatyka – Rekomendacje dla kadry zarządzającejTOBezpieczeństwo - Metody zarządzaniaTOBezpieczeństwo.

    d) Identyfikacja ryzyka.

    1) Identyfikacja aktywów w ramach postanowień SZBI oraz właścicieli2 (2 Termin „właściciel” utożsamiany jest z osobą lub podmiotem zatwierdzonym jako odpowiedzialny za kontrolę produkcji, rozwój, Konserwacja,aplikacje i bezpieczeństwo zasobów. Termin „właściciel” nie oznacza, że ​​dana osoba faktycznie ma jakiekolwiek prawa własności do składnika aktywów.

    2) Zidentyfikuj zagrożenia dla tych aktywów.

    3) Zidentyfikuj luki w systemie bezpieczeństwa.

    4) Zidentyfikuj wpływy niszczące poufność, integralność i dostępność zasobów.

    e) Analizować i oceniać ryzyko.

    1) Ocenić szkody w biznesie organizacji, które mogą powstać na skutek awarii systemu bezpieczeństwa, a także być konsekwencją naruszenia poufności, integralności lub dostępności aktywów.

    2) Określ prawdopodobieństwo awarii systemu bezpieczeństwa w świetle występujących zagrożeń i słabych punktów, wpływu na aktywa i aktualnie wdrożonych kontroli.

    3) Oceń poziom ryzyka.

    4) Określ akceptowalność ryzyka lub zażądaj jego zmniejszenia, stosując kryteria akceptowalności ryzyka ustalone w 4.2.1c)2).

    f) Identyfikacja i ocena narzędzi redukcji ryzyka.

    Możliwe działania obejmują:

    1) Zastosowanie odpowiednich kontroli;

    2) Świadoma i obiektywna akceptacja ryzyk, zapewniająca ich bezwarunkową zgodność z wymaganiami polityki organizacji i kryteriami akceptacji ryzyka (patrz 4.2.1c)2));

    3) Unikanie ryzyka; I

    4) Przeniesienie odpowiednich ryzyk biznesowych na inną stronę, np. zakłady ubezpieczeń, dostawców.

    g) Wybierz cele i kontrole mające na celu zmniejszenie ryzyka.

    Cele i mechanizmy kontrolne powinny być wybierane i wdrażane zgodnie z wymogami określonymi w procesie oceny ryzyka i ograniczania ryzyka. Wybór ten powinien uwzględniać zarówno kryteria tolerancji ryzyka (patrz 4.2.1c)2), jak i wymogi prawne, regulacyjne i umowne.

    Zadania i kontrole wymienione w Załączniku A muszą zostać wybrane w ramach tego procesu, aby spełnić określone wymagania.

    Ponieważ nie wszystkie zadania i kontrole są wymienione w Załączniku A, można wybrać dodatkowe.

    UWAGA: Załącznik A zawiera pełną listę celów zarządzania, które zostały zidentyfikowane jako najbardziej istotne dla organizacji. Żeby nie przegapić ani jednego ważny punkt W przypadku opcji kontroli użytkownicy niniejszej Normy Międzynarodowej powinni opierać się na Załączniku A jako punkcie wyjścia do kontroli próbki.

    h) Uzyskać zgodę na zarządzanie przewidywanym ryzykiem szczątkowym.

    4) ułatwiać wykrywanie zdarzeń bezpieczeństwa i w ten sposób, wykorzystując określone wskaźniki, zapobiegać incydentom bezpieczeństwa; I

    5) określić skuteczność działań podjętych w celu zapobieżenia naruszeniu bezpieczeństwa.

    b) Prowadzić regularne przeglądy efektywności SZBI (w tym omówienie polityki SZBI i jej celów, przegląd zabezpieczeń), biorąc pod uwagę wyniki audytów, incydenty, wyniki pomiarów wydajności, sugestie i rekomendacje wszystkich zainteresowanych stron .

    c) Ocenić skuteczność kontroli w celu ustalenia, czy spełnione są wymagania bezpieczeństwa.

    d) Sprawdź ocenę ryzyka dla planowanych okresów i sprawdź ryzyko resztkowe oraz dopuszczalne poziomy ryzyka, biorąc pod uwagę zmiany w:

    1) organizacje;

    2) technologia;

    3) cele i procesy biznesowe;

    4) zidentyfikowane zagrożenia;

    5) skuteczność wdrożonych kontroli; I

    6) zdarzenia zewnętrzne, takie jak zmiany w otoczeniu prawnym i zarządczym, zmiana zobowiązań umownych, zmiany klimatu społecznego.

    e) Przeprowadzać audyty wewnętrzne SZBI w zaplanowanych okresach (patrz 6)

    UWAGA: Audyty wewnętrzne, czasami nazywane audytami podstawowymi, przeprowadzane są w imieniu samej organizacji i dla jej własnych celów.

    f) Regularnie przeglądaj zarządzanie SZBI, aby upewnić się, że postanowienia są nadal odpowiednie i że SZBI jest ulepszany.

    g) Aktualizować plany bezpieczeństwa w oparciu o dane uzyskane z monitoringu i audytu.

    h) Rejestrować działania i zdarzenia, które mogą mieć wpływ na skuteczność lub działanie SZBI (patrz 4.3.3).

    4.2.4 Wsparcie i doskonalenie SZBI

    Organizacja musi stale wykonywać następujące czynności.

    a) Wdrożyć pewne poprawki do SZBI.

    b) Podjąć odpowiednie środki korygujące i zapobiegawcze zgodnie z 8.2 i 8.3. Wykorzystuj wiedzę zgromadzoną przez samą organizację i zdobytą na doświadczeniach innych organizacji.

    c) Komunikować swoje działania i ulepszenia wszystkim zainteresowanym stronom na poziomie szczegółowości odpowiednim do sytuacji; i w związku z tym koordynują swoje działania.

    d) Zapewnienie, że ulepszenia osiągnęły zamierzony cel.

    4.3 Wymagania dotyczące dokumentacji

    4.3.1 Ogólne

    Dokumentacja musi zawierać protokoły (zapisy) decyzje zarządcze przekonać, że o potrzebie działania decydują decyzje i polityka zarządzania; i zapewniają powtarzalność zarejestrowanych wyników.

    Ważne jest, aby móc się wykazać informacja zwrotna wybranych kontroli z wynikami procesów oceny ryzyka i redukcji ryzyka, a następnie z polityką SZBI i jej celami.

    Dokumentacja SZBI musi zawierać:

    a) udokumentowane oświadczenia dotyczące polityki i celów SZBI (patrz 4.2.1b));

    b) Pozycja ISMS (patrz 4.2.1a));

    c) koncepcję i mechanizmy kontrolne wspierające SZBI;

    d) opis metodologii oceny ryzyka (patrz 4.2.1c));

    e) raport z oceny ryzyka (patrz 4.2.1c) – 4.2.1g));

    f) plan redukcji ryzyka (patrz 4.2.2b));

    g) udokumentowaną koncepcję, niezbędną organizację zapewnić skuteczność planowania, funkcjonowania i zarządzania procesami bezpieczeństwa informacji oraz opisać, w jaki sposób mierzyć skuteczność kontroli (patrz 4.2.3c));

    h) dokumenty wymagane przez niniejszą Normę Międzynarodową (patrz 4.3.3); I

    i) Oświadczenie o stosowalności.

    UWAGA 1: Dla celów niniejszej Normy Międzynarodowej termin „udokumentowana koncepcja” oznacza, że ​​koncepcja jest wdrożona, udokumentowana, wdrożona i przestrzegana.

    UWAGA 2: Rozmiar dokumentacji SZBI w różnych organizacjach może się różnić w zależności od:

    Wielkość organizacji i rodzaj jej aktywów; I

    Skala i złożoność wymagań bezpieczeństwa i systemu zarządzanego.

    UWAGA 3: Dokumenty i raporty mogą być dostarczane w dowolnej formie.

    4.3.2 Kontrola dokumentów

    Dokumenty wymagane przez SZBI muszą być chronione i regulowane. Konieczne jest zatwierdzenie procedury dokumentacyjnej niezbędnej do opisania działań zarządczych dla:

    a) ustalenie zgodności dokumentów z określonymi normami przed ich publikacją;

    b) sprawdzanie i w razie potrzeby aktualizację dokumentów, ponowne zatwierdzanie dokumentów;

    c) zapewnienie zgodności zmian z aktualnym stanem poprawionych dokumentów;

    d) zapewnienie dostępności ważnych wersji aktualnych dokumentów;

    e) zapewnienie, że dokumenty są zrozumiałe i czytelne;

    f) zapewnienie dostępności dokumentów osobom, które ich potrzebują; a także ich przenoszenie, przechowywanie i ostateczne niszczenie zgodnie z procedurami stosowanymi w zależności od ich klasyfikacji;

    g) ustalanie autentyczności dokumentów pochodzących ze źródeł zewnętrznych;

    h) kontrola dystrybucji dokumentów;

    i) zapobieganie niezamierzonemu wykorzystaniu nieaktualnych dokumentów; I

    j) zastosowania wobec nich odpowiedniego sposobu identyfikacji, jeżeli są przechowywane na wszelki wypadek.

    4.3.3 Kontrola zapisów

    Należy tworzyć i utrzymywać zapisy, aby zapewnić zgodność z wymaganiami i skuteczne działanie SZBI. Zapisy należy chronić i weryfikować. SZBI musi uwzględniać wszelkie wymogi prawne i regulacyjne oraz zobowiązania umowne. Dokumentacja musi być zrozumiała, łatwa do zidentyfikowania i odnalezienia. Kontrole niezbędne do identyfikacji, przechowywania, ochrony, odzyskiwania, okresu przechowywania i niszczenia dokumentacji muszą być udokumentowane i wdrożone.

    Zapisy powinny zawierać informacje o realizacji działań opisanych w 4.2 oraz o wszystkich incydentach i znaczących zdarzeniach związanych z bezpieczeństwem związanych z SZBI.

    Przykłady zapisów obejmują księgę gości, dzienniki audytu i wypełnione formularze autoryzacji dostępu.

    Norma BS ISO/IEC 27001:2005 opisuje model systemu zarządzania bezpieczeństwem informacji (ISMS) i oferuje zbiór wymagań dotyczących organizacji bezpieczeństwa informacji w przedsiębiorstwie bez odniesienia do metod wdrażania wybranych przez wykonawców organizacji.

    Kontrola – faza oceny efektywności i funkcjonowania SZBI. Zwykle przeprowadzane przez audytorów wewnętrznych.

    Decyzję o utworzeniu (a następnie certyfikacji) SZBI podejmuje najwyższe kierownictwo organizacji. Świadczy to o wsparciu kierownictwa i potwierdzeniu wartości SZBI dla biznesu. Kierownictwo organizacji inicjuje utworzenie grupy planistycznej SZBI.

    W skład grupy odpowiedzialnej za planowanie SZBI powinni wchodzić:

    · przedstawiciele najwyższego kierownictwa organizacji;

    · przedstawiciele jednostek biznesowych objętych SZBI;



    · specjaliści działów bezpieczeństwa informacji;

    · Zewnętrzni konsultanci (w razie potrzeby).

    Komitet IS zapewnia wsparcie w działaniu SZBI i jego ciągłym doskonaleniu.

    Grupa robocza należy kierować się ramami regulacyjnymi i metodologicznymi, zarówno w odniesieniu do tworzenia SZBI, jak i związanymi z obszarem działalności organizacji, oraz, oczywiście, ogólnym systemem prawa państwowego.

    Podstawa normatywna o tworzeniu SZBI:

    · ISO/IEC 27000:2009 Słownictwo i definicje.

    · ISO/IEC 27001:2005 Ogólne wymagania dotyczące SZBI.

    ISO/IEC 27002:2005 Praktyczny przewodnik o zarządzaniu bezpieczeństwem informacji.

    · ISO/IEC 27003:2010 Praktyczne wskazówki dotyczące wdrażania SZBI.

    · ISO/IEC 27004:2009 Metryki (Pomiary) bezpieczeństwa informacji.

    · ISO/IEC 27005:2011 Przewodnik po zarządzaniu ryzykiem bezpieczeństwa informacji.

    · Przewodnik ISO/IEC 73:2002, Zarządzanie ryzykiem – Słownictwo – Wytyczne do stosowania w normach.

    · ISO/IEC 13335-1:2004, Technologia informacyjna – Techniki bezpieczeństwa – Zarządzanie bezpieczeństwem technologii informacyjno-komunikacyjnych – Część 1: Koncepcje i modele zarządzania bezpieczeństwem technologii informacyjno-komunikacyjnych.

    · ISO/IEC TR 18044 Technologia informatyczna – Techniki bezpieczeństwa – Zarządzanie incydentami związanymi z bezpieczeństwem informacji.

    · ISO/IEC 19011:2002 Wytyczne dotyczące audytowania systemów zarządzania jakością i/lub środowiskiem.

    · Seria metod British Standards Institute do tworzenia SZBI (poprzednio: dokumenty serii PD 3000).

    Proces tworzenia SZBI składa się z 4 etapów:

    Scena 1. Planowanie ISMS.

    Ustanawianie polityk, celów, procesów i procedur związanych z zarządzaniem ryzykiem i bezpieczeństwem informacji zgodnie z ogólną polityką i celami organizacji.

    a) Określenie zakresu i granic SZBI:

    · Opis rodzaju działalności i celów biznesowych organizacji;

    · Wskazanie granic systemów objętych SZBI;

    Opis majątku organizacji (rodzaje zasoby informacji, oprogramowanie i sprzęt, personel i struktura organizacyjna);

    · Opis procesów biznesowych wykorzystujących chronione informacje.

    Opis granic systemu obejmuje:

    Opis istniejącej struktury organizacji (z możliwe zmiany jakie mogą powstać w związku z rozwojem systemu informatycznego).

    Zasoby systemu informatycznego podlegające ochronie ( Inżynieria komputerowa, informacje, oprogramowanie systemowe i aplikacyjne). Aby je ocenić, należy wybrać system kryteriów i metodologię uzyskiwania ocen według tych kryteriów (kategoryzacja).

    Technologie przetwarzania informacji i problemy do rozwiązania. Aby zadania zostały rozwiązane, modele przetwarzania informacji muszą być zbudowane pod kątem zasobów.

    Schemat systemu informatycznego organizacji i infrastruktury wspierającej.

    Z reguły na tym etapie sporządzany jest dokument, który ustala granice systemu informacyjnego, wymienia zasoby informacyjne firmy, które mają być chronione, oraz zapewnia system kryteriów i metod oceny wartości zasoby informacyjne firmy.

    b) Zdefiniowanie polityki SZBI organizacji (rozszerzona wersja karty charakterystyki).

    · Cele, kierunki i zasady działania w zakresie bezpieczeństwa informacji;

    · Opis strategii (podejścia) zarządzania ryzykiem w organizacji, konstruowanie środków zaradczych w celu ochrony informacji według rodzaju (prawne, organizacyjne, sprzęt i oprogramowanie, inżynieria);

    · Opis kryteriów istotności ryzyka;

    · Stanowisko kierownictwa, określenie częstotliwości spotkań na temat bezpieczeństwa informacji na szczeblu kierowniczym, w tym okresowy przegląd zapisów polityki bezpieczeństwa informacji, a także tryb szkolenia wszystkich kategorii użytkowników systemu informacyjnego w zakresie bezpieczeństwa informacji kwestie.

    c) Określić podejście do oceny ryzyka w organizacji.

    Metodologia oceny ryzyka dobierana jest w zależności od ustalonego SZBI wymagania biznesowe ochrona informacji, wymogi prawne i regulacyjne.

    Wybór metodologii oceny ryzyka zależy od poziomu wymagań wobec reżimu bezpieczeństwa informacji w organizacji, charakteru uwzględnianych zagrożeń (spektrum skutków zagrożeń) oraz skuteczności potencjalnych środków zaradczych chroniących informacje. W szczególności istnieją wymagania podstawowe, a także podwyższone lub pełne dotyczące reżimu bezpieczeństwa informacji.

    Minimalne wymagania dotyczące trybu bezpieczeństwa informacji odpowiadają podstawowemu poziomowi bezpieczeństwa informacji. Wymagania takie dotyczą z reguły standardowych rozwiązań konstrukcyjnych. Istnieje szereg standardów i specyfikacji, które uwzględniają minimalny (typowy) zestaw najbardziej prawdopodobnych zagrożeń, takich jak: wirusy, awarie sprzętu, nieautoryzowany dostęp itp. Aby zneutralizować te zagrożenia, należy podjąć środki zaradcze, niezależnie od prawdopodobieństwa ich wdrożenia i wrażliwości zasobów. Nie jest zatem konieczne rozpatrywanie charakterystyki zagrożeń na poziomie podstawowym. Zagraniczne standardy w tym obszarze to ISO 27002, BSI, NIST itp.

    W przypadkach, gdy naruszenia reżimu bezpieczeństwa informacji prowadzą do poważnych konsekwencji, nakładane są dodatkowe podwyższone wymagania.

    Aby sformułować dodatkowe zwiększone wymagania, konieczne jest:

    Określ wartość zasobów;

    Dodać do zestawu standardów listę zagrożeń istotnych dla badanego systemu informatycznego;

    Ocenić prawdopodobieństwo zagrożeń;

    Identyfikacja luk w zasobach;

    Oceń potencjalne szkody spowodowane wpływem intruzów.

    Konieczne jest wybranie takiej metodologii oceny ryzyka, którą można stosować na bieżąco przy minimalnych zmianach. Istnieją dwa sposoby: wykorzystać istniejące na rynku metody i narzędzia oceny ryzyka lub stworzyć własną metodologię, dostosowaną do specyfiki firmy i obszaru działalności objętego SZBI.

    Ostatnia opcja jest najkorzystniejsza, ponieważ jak dotąd większość istniejących na rynku produktów, które wdrażają tę lub inną technikę analizy ryzyka, nie spełnia wymagań Standardu. Typowe wady takich metod to:

    · standardowy zestaw zagrożeń i podatności, których często nie da się zmienić;

    · przyjęcie jako aktywa wyłącznie oprogramowania, sprzętu komputerowego i zasobów informacyjnych – bez wynagrodzenia zasoby ludzkie, usługi i inne ważne zasoby;

    · ogólna złożoność techniki pod względem jej zrównoważonego i wielokrotnego użycia.

    · Kryteria akceptacji ryzyka i akceptowalny poziom ryzyka (muszą opierać się na osiągnięciu celów strategicznych, organizacyjnych i zarządczych organizacji).

    d) Identyfikacja ryzyka.

    · Identyfikacja majątku i jego właścicieli

    Wejścia informacyjne;

    Wyjście informacyjne;

    Zapisy informacyjne;

    Zasoby: ludzie, infrastruktura, sprzęt, oprogramowanie, narzędzia, usługi.

    · Identyfikacja zagrożeń (standardy oceny ryzyka często proponują klasy zagrożeń, które można uzupełniać i rozszerzać).

    · Identyfikacja podatności (istnieją także listy najczęstszych podatności, na których możesz polegać podczas analizy swojej organizacji).

    Ustalenie wartości majątku ( możliwe konsekwencje przed utratą poufności, integralności i dostępności aktywów). Informację o wartości składnika majątku można uzyskać od jego właściciela lub od osoby, której właściciel przekazał całość władzy nad składnikiem majątku, w tym zapewnienie jego bezpieczeństwa.

    e) Ocena ryzyka.

    · Ocena szkód, jakie mogą zostać wyrządzone przedsiębiorstwu w wyniku utraty poufności, integralności i dostępności aktywów.

    · Ocena prawdopodobieństwa realizacji zagrożeń poprzez istniejące podatności, z uwzględnieniem istniejących kontroli bezpieczeństwa informacji i ocena ewentualnych wyrządzonych szkód;

    · Określenie poziomu ryzyka.

    Stosowanie kryteriów akceptacji ryzyka (akceptowalne/wymagające leczenia).

    f) Postępowanie z ryzykiem (zgodnie z wybraną strategią zarządzania ryzykiem).

    Możliwe działania:

    Działania pasywne:

    Akceptacja ryzyka (decyzja o akceptowalności powstałego poziomu ryzyka);

    Unikanie ryzyka (decyzja o zmianie działań, które powodują dany poziom ryzyka - przeniesienie serwera WWW poza granice lokalna sieć);

    Aktywne działania:

    Redukcja ryzyka (za pomocą środków organizacyjnych i technicznych);

    Transfer ryzyka (ubezpieczenie (pożar, kradzież, błędy oprogramowania)).

    Wybór możliwych działań zależy od przyjętych kryteriów ryzyka (określony jest akceptowalny poziom ryzyka, poziomy ryzyka, które można ograniczyć poprzez kontrole bezpieczeństwa informacji, poziomy ryzyka, przy których zaleca się zaniechanie lub przekształcenie rodzaju działalności, która je powoduje, i ryzyko, że pożądane jest przeniesienie na inne strony).

    g) Wybór celów i kontroli postępowania z ryzykiem.

    Cele i kontrole muszą realizować strategię zarządzania ryzykiem, uwzględniać kryteria akceptacji ryzyka oraz wymagania legislacyjne, regulacyjne i inne.

    Norma ISO 27001-2005 podaje listę celów i kontroli jako podstawę do budowy planu postępowania z ryzykiem (wymagania SZBI).

    Plan postępowania z ryzykiem zawiera listę priorytetowych środków mających na celu zmniejszenie poziomu ryzyka, wskazując:

    · osoby odpowiedzialne za realizację tych działań i środków;

    · harmonogram realizacji działań i priorytety ich realizacji;

    · zasoby na realizację takich działań;

    · poziomy ryzyka resztkowego po wdrożeniu środków i kontroli.

    Przyjęcie planu postępowania z ryzykiem i kontrola jego realizacji sprawowana jest przez najwyższe kierownictwo organizacji. Kryterium podjęcia decyzji o oddaniu SZBI do eksploatacji jest realizacja kluczowych działań planu.

    Na tym etapie uzasadniony jest wybór różnych środków zaradczych dla bezpieczeństwa informacji, uporządkowanych według regulacyjnych, organizacyjnych, zarządczych, technologicznych i sprzętowo-programowych poziomów bezpieczeństwa informacji. (Ponadto wdrażany jest zestaw środków zaradczych zgodnie z wybraną strategią zarządzania ryzykiem informacyjnym). W pełnej wersji analizy ryzyka dla każdego ryzyka dodatkowo oceniana jest skuteczność działań zaradczych.

    h) Zatwierdzenie przez kierownictwo proponowanego ryzyka szczątkowego.

    i) Uzyskanie zgody kierownictwa na wdrożenie i uruchomienie SZBI.

    j) Oświadczenie o stosowalności (zgodnie z normą ISO 27001-2005).

    Datą uruchomienia SZBI jest data zatwierdzenia przez najwyższe kierownictwo firmy Regulaminu w sprawie stosowania kontroli, który opisuje cele i środki wybrane przez organizację do zarządzania ryzykiem:

    · narzędzia zarządzania i kontroli dobierane na etapie postępowania z ryzykiem;

    · narzędzia zarządzania i kontroli już istniejące w organizacji;

    · środki zapewniające zgodność z wymogami prawnymi i wymaganiami organizacji regulacyjnych;

    · środki zapewniające spełnienie wymagań klienta;

    · środki zapewniające zgodność z ogólnymi wymaganiami korporacyjnymi;

    · wszelkie inne odpowiednie kontrole i kontrole.

    Etap 2. Wdrażanie i działanie SZBI.

    W celu wdrożenia i funkcjonowania polityki bezpieczeństwa informacji, kontroli, procesów i procedur w zakresie bezpieczeństwa informacji realizowane są następujące działania:

    a) Opracowanie planu postępowania z ryzykiem (opis planowanych kontroli, zasobów (oprogramowanie, sprzęt, personel) niezbędnych do ich wdrożenia, wsparcie, kontrola i obowiązki zarządcze w zakresie zarządzania ryzykiem bezpieczeństwa informacji (opracowanie dokumentów na etapie planowania, wsparcie cele bezpieczeństwa informacji, określenie ról i odpowiedzialności, zapewnienie niezbędne zasoby stworzenie SZBI, audyt i analiza).

    b) Przydział środków finansowych, role i obowiązki w zakresie wdrożenia planu postępowania z ryzykiem.

    c) Wdrożenie zaplanowanych kontroli.

    d) Określenie wskaźników (metryk) wykonania kontroli i metod ich pomiaru, które zapewnią porównywalne i powtarzalne wyniki.

    e) Podnoszenie kwalifikacji i świadomości personelu w zakresie bezpieczeństwa informacji zgodnie z zakresem obowiązków służbowych.

    f) Zarządzanie operacjami SZBI, zarządzanie zasobami w celu utrzymania, kontroli i doskonalenia SZBI.

    g) Wdrożenie procedur i innych kontroli umożliwiających szybkie wykrywanie i reagowanie na incydenty związane z bezpieczeństwem informacji.

    Etap 3. Stały monitoring i analiza funkcjonowania SZBI.

    Etap obejmuje ocenę lub pomiar kluczowych wskaźników wydajności procesu, analizę wyników i dostarczenie kierownictwu raportów do analizy i obejmuje:

    a) Prowadzenie ciągłego monitoringu i analiz (pozwala na szybkie wykrycie błędów w funkcjonowaniu SZBI, szybką identyfikację i reakcję na incydenty bezpieczeństwa, zróżnicowanie ról personelu i systemy automatyczne w ISMS zapobiegaj incydentom związanym z bezpieczeństwem poprzez analizę niezwykłe zachowanie, określić skuteczność obsługi incydentów bezpieczeństwa).

    b) Prowadzenie regularnych przeglądów efektywności SZBI (zgodność z politykami i celami SZBI, audyty, kluczowe wskaźniki skuteczność, sugestie i reakcje interesariuszy).

    c) Pomiar skuteczności kontroli mających na celu sprawdzenie, czy spełnione są wymogi ochrony

    d) Okresowa ponowna ocena ryzyk, analiza ryzyk resztkowych i określenie akceptowalnych poziomów ryzyka dla wszelkich zmian w organizacji (cele i procesy biznesowe, zidentyfikowane zagrożenia, nowo zidentyfikowane podatności itp.)

    e) Okresowe przeprowadzanie audytów wewnętrznych SZBI.

    Audyt ISMS – sprawdzenie zgodności wybranych środków zaradczych z celami i zadaniami biznesowymi zadeklarowanymi w polityce bezpieczeństwa przemysłowego organizacji, na podstawie jej wyników dokonuje się oceny ryzyk szczątkowych i, w razie potrzeby, przeprowadza się ich optymalizację;

    f) Regularny przegląd zakresu i trendów SZBI przez kierownictwo.

    g) Aktualizacja planów zarządzania ryzykiem w celu odzwierciedlenia wyników kontroli i analiz.

    h) Prowadzenie rejestrów zdarzeń, które miały wpływ Negatywny wpływ na skuteczność lub jakość pracy SZBI.

    Etap 4. Wsparcie i doskonalenie SZBI.

    Na podstawie wyników audytu wewnętrznego ISMS i analiz zarządczych opracowywane i wdrażane są działania korygujące i zapobiegawcze ciągłe doskonalenie ISMS:

    a) Doskonalenie polityki bezpieczeństwa informacji, celów ochrony informacji, przeprowadzania audytów, analizowania zaobserwowanych zdarzeń.

    b) Opracowanie i wdrożenie działań korygujących i zapobiegawczych mających na celu wyeliminowanie niezgodności SZBI z wymaganiami.

    c) Monitorowanie ulepszeń ISMS.

    Wniosek

    ISO 27001 opisuje ogólny model wdrażania i działania SZBI, a także działania mające na celu monitorowanie i doskonalenie SZBI. ISO zamierza zharmonizować różne standardy systemów zarządzania, takie jak ISO/IEC 9001:2000, która dotyczy zarządzania jakością oraz ISO/IEC 14001:2004, która dotyczy systemów zarządzania środowiskowego. Celem ISO jest zapewnienie spójności i integracji SZBI z innymi systemami zarządzania w przedsiębiorstwie. Podobieństwo standardów pozwala na wykorzystanie podobnych narzędzi i funkcjonalności przy wdrażaniu, zarządzaniu, rewizji, weryfikacji i certyfikacji. Rozumie się, że jeśli firma wdrożyła inne standardy zarządzania, może stosować jeden system audytu i zarządzania, który ma zastosowanie do zarządzania jakością, zarządzania środowiskowego, zarządzania bezpieczeństwem itp. Wdrażając SZBI, wyższa kadra kierownicza ma środki do monitorowania i zarządzania bezpieczeństwem, co zmniejsza resztkowe ryzyko biznesowe. Po wdrożeniu SZBI firma może formalnie zapewnić bezpieczeństwo informacji i nadal spełniać wymagania klientów, ustawodawstwa, organów regulacyjnych i akcjonariuszy.

    Warto zauważyć, że w ustawodawstwie Federacji Rosyjskiej istnieje dokument GOST R ISO/IEC 27001-2006, który jest przetłumaczoną wersją międzynarodowej normy ISO27001.

    Bibliografia

    1. Korneev I.R., Belyaev A.V. Bezpieczeństwo informacji w przedsiębiorstwie. – St.Petersburg: BHV-Petersburg, 2003. – 752 s.

    2.Międzynarodowe Norma ISO 27001

    (http://www.specon.ru/files/ISO27001.pdf) (data dostępu: 23.05.12).

    3. Norma krajowa Federacja Rosyjska GOST R ISO/IEC 27003 - „Technologie informacyjne. Metody bezpieczeństwa. Wytyczne dotyczące wdrażania Systemu Zarządzania Bezpieczeństwem Informacji

    (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (data dostępu: 23.05.12).

    4. Skiba V.Yu., Kurbatov V.A. Przewodnik dotyczący ochrony przed zagrożeniami wewnętrznymi dla bezpieczeństwa informacji. Petersburg: Piotr, 2008. - 320 s.

    System zarządzania bezpieczeństwem informacji jest częścią ogólnego systemu zarządzania, opierającego się na wykorzystaniu metod oceny ryzyka biznesowego do opracowywania, wdrażania, eksploatacji, monitorowania, analizy, wspierania i doskonalenia bezpieczeństwa informacji.

    System zarządzania obejmuje struktura organizacyjna, polityki, planowanie działań, podział obowiązków, zajęcia praktyczne, procedury, procesy i zasoby [GOST R ISO/IEC 27001-2006]

    Norma ISO 27001 określa wymagania dotyczące systemu zarządzania bezpieczeństwem informacji (ISMS). Wymagania normy mają charakter w pewnym stopniu abstrakcyjny i nie są powiązane ze specyfiką żadnego obszaru działalności firmy.

    Rozwój systemów informatycznych na początku lat 90-tych doprowadził do konieczności stworzenia standardu zarządzania bezpieczeństwem. Na prośbę brytyjskiego rządu i przemysłu brytyjski Departament Handlu i Przemysłu opracował praktykę ISMS.

    Pierwotna norma BS 7799 przeszła długą drogę wraz z serią testów i dostosowań. Najważniejszym etapem w jego „karierze” był rok 2005, kiedy to standard oceny SZBI został uznany na arenie międzynarodowej (czyli potwierdzono zgodność jego wymagań z nowoczesnym SZBI). Od tego momentu wiodące przedsiębiorstwa na całym świecie zaczęły aktywnie wdrażać normę ISO 27001 i przygotowywać się do certyfikacji.

    Struktura ISMS

    Nowoczesny SZBI to system zarządzania zorientowany na proces, obejmujący komponenty organizacyjne, dokumentacyjne oraz sprzętowe i programowe. Można wyróżnić następujące „poglądy” na SZBI: procesowy, dokumentacyjny i dojrzały.

    Procesy ISMS tworzone są zgodnie z wymogami normy ISO/IEC 27001:2005, która opiera się na cyklu zarządzania Plan-Do-Check-Act. Zgodnie z nią cykl życia SZBI składa się z czterech rodzajów działań: Tworzenie – Wdrożenie i eksploatacja – Monitorowanie i analiza – Utrzymanie i doskonalenie. Udokumentowane procesy ISMS zapewniają spełnienie wszystkich wymagań normy 27001.

    Dokumentacja ISMS składa się z polityk, udokumentowanych procedur, standardów i zapisów i jest podzielona na dwie części: dokumentację zarządzania ISMS i dokumentację operacyjną ISMS.

    Dojrzały model SZBI determinuje szczegółowość opracowywanej dokumentacji oraz stopień automatyzacji procesów zarządzania i funkcjonowania SZBI. Model dojrzałości CobiT wykorzystywany jest w ocenie i planowaniu. Program Poprawy Dojrzałości ISMS zapewnia skład i harmonogram działań mających na celu poprawę procesów zarządzania bezpieczeństwem informacji i zarządzania działaniem narzędzi bezpieczeństwa informacji

    Standard proponuje zastosowanie modelu PDCA (Plan-Do-Check-Act). koło życia SZBI, który obejmuje rozwój, wdrażanie, obsługę, kontrolę, analizę, wsparcie i doskonalenie (rysunek 1).

    Plan – faza tworzenia SZBI, tworzenia listy aktywów, oceny ryzyka i wyboru środków;

    Do (Action) - etap wdrożenia i wdrożenia odpowiednich działań;

    Kontrola – faza oceny efektywności i funkcjonowania SZBI. Zwykle przeprowadzane przez audytorów wewnętrznych.

    Działaj - Podejmowanie działań zapobiegawczych i korygujących.

    Proces tworzenia SZBI składa się z 4 etapów:

    Proces planowania, którego celem jest identyfikacja, analiza i projektowanie sposobów radzenia sobie z zagrożeniami bezpieczeństwa informacji. Tworząc ten proces, należy opracować metodologię kategoryzowania aktywów informacyjnych i formalnej oceny ryzyka w oparciu o dane istotne dla infrastrukturę informatyczną zagrożenia i podatności. Jeśli chodzi o audyt PCI DSS, istnieją dwa rodzaje cennych zasobów informacyjnych, które mają różne poziomy krytyczności: dane posiadaczy kart i krytyczne dane uwierzytelniające.

    Proces wdrażania planowanych metod postępowania z ryzykiem, który opisuje procedurę uruchomienia nowego procesu bezpieczeństwa informacji lub modernizacji istniejącego. Szczególną uwagę należy zwrócić na opisanie ról i obowiązków oraz planowanie wdrożenia.

    Proces monitorowania funkcjonowania procesów SZBI (warto zaznaczyć, że zarówno procesy SZBI, jak i sam SZBI podlegają monitorowaniu wydajności – wszak cztery procesy zarządzania to nie granitowe rzeźby i dotyczy ich samorealizacja).

    Proces doskonalenia procesów SZBI zgodnie z wynikami monitoringu, pozwalający na wdrożenie działań korygujących i zapobiegawczych.

    GOST R ISO/IEC 27001-2006" Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania"

    Twórcy standardu zauważają, że został on przygotowany jako model rozwoju, wdrażania, działania, monitorowania, analizy, wsparcia i doskonalenia systemu zarządzania bezpieczeństwem informacji (ISMS). ISMS (angielski - system zarządzania bezpieczeństwem informacji; ISMS) definiuje się jako część ogólnego systemu zarządzania, opierającą się na wykorzystaniu metod oceny ryzyka biznesowego w celu opracowania, wdrożenia, eksploatacji, monitorowania, analizy, wspierania i doskonalenia bezpieczeństwa informacji. System zarządzania obejmuje strukturę organizacyjną, zasady, działania związane z planowaniem, obowiązki, praktyki, procedury, procesy i zasoby.

    Norma zakłada stosowanie podejścia procesowego przy opracowywaniu, wdrażaniu, funkcjonowaniu, monitorowaniu, analizie, wsparciu i doskonaleniu SZBI organizacji. Opiera się na modelu Plan – Wykonaj – Sprawdź – Działaj (PDCA), który można zastosować przy konstruowaniu wszystkich procesów SZBI. Na ryc. Rysunek 4.4 pokazuje, jak SZBI, wykorzystując jako dane wejściowe wymagania dotyczące bezpieczeństwa informacji i oczekiwania interesariuszy, generuje wyniki dotyczące bezpieczeństwa informacji, które spełniają te wymagania i oczekiwane wyniki poprzez wymagane działania i procesy.

    Ryż. 4.4.

    Na scenie „Opracowanie systemu zarządzania bezpieczeństwem informacji” Organizacja musi wykonać następujące czynności:

    • - określić zakres i granice SZBI;
    • - określić politykę SZBI w oparciu o charakterystykę przedsiębiorstwa, organizacji, jej lokalizacji, aktywów i technologii;
    • - określić podejście do oceny ryzyka w organizacji;
    • - identyfikować ryzyka;
    • - analizować i oceniać ryzyko;
    • - zidentyfikować i ocenić różne opcje postępowania z ryzykiem;
    • - wybrać cele i środki kontroli postępowania z ryzykiem;
    • - uzyskać zgodę kierownictwa na szacunkowe ryzyko resztkowe;
    • - uzyskać pozwolenie kierownictwa na wdrożenie i obsługę SZBI;
    • - przygotować Oświadczenie o stosowalności.

    Scena " Wdrożenie i obsługa systemu zarządzania bezpieczeństwem informacji” sugeruje, że organizacja powinna:

    • - opracować plan postępowania z ryzykiem, który określa odpowiednie działania zarządcze, zasoby, obowiązki i priorytety w odniesieniu do zarządzania ryzykiem związanym z bezpieczeństwem informacji;
    • - wdrożyć plan postępowania z ryzykiem, aby osiągnąć zamierzone cele zarządcze, w tym kwestie finansowe, a także podział funkcji i odpowiedzialności;
    • - wdrożyć wybrane środki zarządzania;
    • - określić, w jaki sposób mierzyć skuteczność wybranych środków zarządzania;
    • - wdrażać programy szkoleń i rozwoju zawodowego pracowników;
    • - zarządzać pracą SZBI;
    • - zarządzać zasobami ISMS;
    • - wdrażać procedury i inne środki zarządzania zapewniające szybkie wykrywanie zdarzeń związanych z bezpieczeństwem informacji i reagowanie na incydenty związane z bezpieczeństwem informacji.

    Trzeci etap” Prowadzenie monitoringu i analizy systemu zarządzania bezpieczeństwem informacji” wymaga:

    • - przeprowadzać procedury monitorowania i analizy;
    • - prowadzić regularną analizę skuteczności SZBI;
    • - mierzyć skuteczność środków kontrolnych w celu sprawdzenia zgodności z wymogami bezpieczeństwa informacji;
    • - przeglądać oceny ryzyka w ustalonych okresach, analizować ryzyka szczątkowe i ustalać akceptowalne poziomy ryzyka, biorąc pod uwagę zmiany;
    • - przeprowadzać audyty wewnętrzne SZBI w ustalonych okresach;
    • - regularnie przeprowadzać analizy ISMS przez kierownictwo organizacji w celu potwierdzenia adekwatności systemu funkcjonowania i określenia obszarów wymagających doskonalenia;
    • - aktualizować plany bezpieczeństwa informacji z uwzględnieniem wyników analiz i monitoringu;
    • - rejestrować działania i zdarzenia, które mogą mieć wpływ na skuteczność lub funkcjonowanie SZBI.

    I wreszcie scena „Wsparcie i doskonalenie systemu zarządzania bezpieczeństwem informacji” sugeruje, że organizacja powinna regularnie przeprowadzać następujące działania:

    • - zidentyfikować możliwości ulepszenia SZBI;
    • - podejmować niezbędne działania korygujące i zapobiegawcze, wykorzystywać w praktyce doświadczenia w zakresie bezpieczeństwa informacji zdobyte zarówno w własną organizację oraz w innych organizacjach;
    • - transmitować dokładna informacja o działaniach mających na celu udoskonalenie SZBI wszystkim zainteresowanym, przy czym stopień szczegółowości powinien odpowiadać okolicznościom i, jeśli to konieczne, uzgadniać dalsze działania;
    • - zapewnić wdrożenie ulepszeń SZBI, aby osiągnąć zaplanowane cele.

    Ponadto norma określa wymagania dotyczące dokumentacji, która powinna zawierać postanowienia polityki SZBI oraz opis zakresu działania, opis metodologii i raport z oceny ryzyka, plan postępowania z ryzykiem oraz dokumentację powiązanych procedur. Należy również zdefiniować proces zarządzania dokumentami SZBI, w tym aktualizację, wykorzystanie, przechowywanie i niszczenie.

    Aby dostarczyć dowodów zgodności z wymaganiami i skuteczności SZBI, konieczne jest prowadzenie i utrzymywanie zapisów realizacji procesów. Przykładami mogą być dzienniki gości, raporty z audytu itp.

    Norma określa, że ​​kierownictwo organizacji jest odpowiedzialne za zapewnienie i zarządzanie zasobami niezbędnymi do stworzenia SZBI, a także organizację szkoleń personelu.

    Jak wcześniej wspomniano, organizacja musi zgodnie z zatwierdzonym harmonogramem przeprowadzić wewnętrzne audyty ISMS w celu oceny jego funkcjonalności i zgodności z normą. Kierownictwo musi przeprowadzić analizę systemu zarządzania bezpieczeństwem informacji.

    Należy także prowadzić prace nad doskonaleniem systemu zarządzania bezpieczeństwem informacji: zwiększeniem jego efektywności i poziomu zgodności stan aktulany systemu i jego wymagań.