Maghanap 

Mga paraan upang lumikha ng isang sistema ng pamamahala ng seguridad ng impormasyon sa mga negosyo sa rehiyon ng Donetsk. Sistema ng Pamamahala ng Seguridad ng Impormasyon

Ang awkward talaga. Iniulat namin ang nalalapit na pagpapalabas ng pamantayang ISO 45001, na dapat palitan ang kasalukuyang pamantayan sa pamamahala ng kaligtasan at kalusugan sa trabaho na OHSAS 18001, at sinabi na dapat naming asahan ito sa katapusan ng 2016... Halos hatinggabi na, at wala pa ring senyales ng Herman. Oras na para aminin na ang ISO 45001 ay naantala. Totoo, ayon sa magandang dahilan. Napakaraming tanong ng ekspertong komunidad para sa kanya. […]

  • Malapit na ang dalawahang artikulo. internasyonal na organisasyon Malinaw na ipinahayag ng standardisasyon ang posisyon nito sa paggamit ng mga marka ng pamantayan nito sa mga produkto - "hindi" ang sabi ng ISO. Gayunpaman, nais pa rin ng mga negosyante na gawin ito. Paano sila dapat? Bakit hindi, eksakto? Ang background sa tanong ay ang mga sumusunod. Tulad ng naiintindihan mo, ang mga pamantayan ng ISO ay hindi direktang nauugnay sa mga produktong ginawa ng mga negosyong na-certify sa kanila. […]

  • Tapusin na natin ang topic. Sa huling artikulo, nagsimula kami ng pag-uusap tungkol sa walong prinsipyo ng isang QMS. Ang mga prinsipyo kung saan itinayo ang anumang sistema ng pamamahala ng kalidad. Ang aming layunin ay isalin ang mga prinsipyong ito mula sa wika ng mga business coach sa wika ng tao. Upang ang mga tunay na benepisyo ay maaaring makuha mula sa kanila. Nag-usap kami tungkol sa customer orientation. Pinag-usapan nila kung paano gumawa ng hindi "isang bagay [...]

  • Maraming tao ang nagsasalita tungkol sa pamamahala ng kalidad. Ngunit sa ilang kadahilanan ay sinasabi nila ito sa paraang sa huli ay walang malinaw. Nangangahulugan ito na ang pamamahala ng kalidad ay nananatiling mga salita. Sobra na may matatalinong salita. Isalin natin ang mga ito sa normal na wika at unawain kung paano talaga nakakatulong ang mga prinsipyo ng pamamahala sa kalidad na mapabuti ang mga aktibidad ng kumpanya. Gawin natin nang walang mahabang preludes. Sa kabuuan, kasalukuyang nauugnay na mga sistema ng pamamahala ng kalidad, ang pinakasikat kung saan [...]

  • Pamamahala ng proyekto… Sigurado akong maraming tao ang matagal nang nakikipag-ugnayan sa lahat ng uri ng mga consultant ng negosyo - at ngayon pa lang marinig ang ganoong parirala ay bahagyang naduduwal. Anong gagawin? Alisin na lang natin ang mga business consultant sa ating mga ulo at ilagay ang bagay sa wika ng tao. Ang pamamahala ng proyekto ay hindi nangangahulugang isang taong naka-white shirt na gumuhit ng mga kumplikadong diagram at flowchart na may marker […]

    • (SMIB)- bahaging iyon karaniwang sistema pamamahala, na batay sa isang diskarte sa panganib sa negosyo sa paglikha, pagpapatupad, pagpapatakbo, pagsubaybay, pagsusuri, suporta at pagpapabuti seguridad ng impormasyon.

    Kung binuo alinsunod sa mga kinakailangan ng ISO/IEC_27001, ito ay batay sa modelo ng PDCA:

      Plano(Planning) - ang yugto ng paglikha ng ISMS, paglikha ng listahan ng mga asset, pagtatasa ng mga panganib at pagpili ng mga hakbang;
      Gawin(Aksyon) - ang yugto ng pagpapatupad at pagpapatupad ng mga naaangkop na hakbang;
      Suriin(Verification) - yugto ng pagtatasa sa pagiging epektibo at pagganap ng ISMS. Karaniwang ginagawa ng mga panloob na auditor.
      Kumilos(Mga Pagpapabuti) - pagpapatupad ng preventive at corrective actions;

    Konsepto ng seguridad ng impormasyon

    Ang ISO 27001 ay tumutukoy sa seguridad ng impormasyon bilang: "pagpapanatili ng pagiging kompidensyal, integridad at pagkakaroon ng impormasyon; bilang karagdagan, maaaring isama ang iba pang mga pag-aari, tulad ng pagiging tunay, hindi pagtanggi, at pagiging maaasahan."

    Pagiging kompidensyal – pagtiyak na ang impormasyon ay maa-access lamang sa mga may naaangkop na awtoridad (mga awtorisadong gumagamit).

    Integridad – tinitiyak ang katumpakan at pagkakumpleto ng impormasyon, pati na rin ang mga pamamaraan ng pagproseso nito.

    Availability – pagbibigay ng access sa impormasyon sa mga awtorisadong gumagamit kung kinakailangan (on demand).

    4 Sistema ng pamamahala ng seguridad ng impormasyon

    4.1 Pangkalahatang mga kinakailangan

    Ang organisasyon ay dapat magtatag, magpatupad, gumamit, magmonitor, magrepaso, magpanatili at pagbutihin ang mga nakadokumentong probisyon ng ISMS sa buong aktibidad ng negosyo ng organisasyon at ang mga panganib na kinakaharap nito. Para sa praktikal na benepisyo ng International Standard na ito, ang prosesong ginamit ay batay sa modelo ng PDCA na ipinapakita sa Fig. 1.

    4.2 Paglikha at pamamahala ng isang ISMS

    4.2.1 Paglikha ng ISMS

    Dapat gawin ng organisasyon ang mga sumusunod.

    a) Isinasaalang-alang ang mga detalye ng mga aktibidad ng organisasyon, ang organisasyon mismo, ang lokasyon nito, mga asset at teknolohiya, tinutukoy ang saklaw at mga hangganan ng ISMS, kabilang ang mga detalye at katwiran para sa pagbubukod ng anumang mga probisyon ng dokumento mula sa draft na ISMS (tingnan ang 1.2 ).

    b) Isinasaalang-alang ang mga katangian ng mga aktibidad ng organisasyon, ang organisasyon mismo, ang lokasyon nito, mga ari-arian at teknolohiya, bumuo ng isang patakaran ng ISMS na:

    1) kasama ang isang sistema para sa pagtatakda ng mga layunin (mga layunin) at nagtatatag ng pangkalahatang direksyon ng pamamahala at mga prinsipyo ng pagkilos tungkol sa seguridad ng impormasyon;

    2) isinasaalang-alang ang mga kinakailangan sa negosyo at legal o regulasyon, mga obligasyon sa seguridad sa kontraktwal;

    3) ay konektado sa estratehikong kapaligiran sa pamamahala ng peligro kung saan nagaganap ang paglikha at pagpapanatili ng ISMS;

    4) nagtatatag ng pamantayan kung saan susuriin ang panganib (tingnan ang 4.2.1 c)); At

    5) naaprubahan ng pamamahala.

    TANDAAN: Para sa mga layunin ng International Standard na ito, ang isang patakaran ng ISMS ay itinuturing na isang pinalawig na hanay ng mga patakaran sa seguridad ng impormasyon. Ang mga patakarang ito ay maaaring ilarawan sa isang dokumento.

    c) Bumuo ng isang konsepto para sa pagtatasa ng panganib sa organisasyon.

    1) Tukuyin ang pamamaraan ng pagtatasa ng panganib na nababagay sa ISMS at itinatag na seguridad ng impormasyon ng negosyo, legal at mga kinakailangan sa regulasyon.

    2) Bumuo ng pamantayan sa pagtanggap ng panganib at tukuyin ang mga katanggap-tanggap na antas ng panganib (tingnan ang 5.1f).

    Ang pamamaraan ng pagtatasa ng panganib na pinili ay dapat tiyakin na ang pagtatasa ng panganib ay nagbubunga ng mga maihahambing at maaaring kopyahin na mga resulta.

    TANDAAN: Mayroong iba't ibang mga pamamaraan ng pagtatasa ng panganib. Ang mga halimbawa ng mga pamamaraan ng pagtatasa ng panganib ay tinalakay sa MOS/IEC TU 13335-3, Teknolohiya ng impormasyon – Mga rekomendasyon para sa pamamahalaITSeguridad - Pamamaraan ng PamamahalaITSeguridad.

    d) Tukuyin ang mga panganib.

    1) Tukuyin ang mga ari-arian sa loob ng balangkas ng mga probisyon ng ISMS, at mga may-ari2 (2 Ang terminong "may-ari" ay tinutukoy sa indibidwal o entity na naaprubahan na maging responsable para sa kontrol ng produksyon, pag-unlad, Pagpapanatili, mga aplikasyon at seguridad ng asset. Ang terminong "may-ari" ay hindi nangangahulugan na ang tao ay talagang may anumang mga karapatan sa pagmamay-ari sa asset.

    2) Tukuyin ang mga panganib sa mga asset na ito.

    3) Tukuyin ang mga kahinaan sa sistema ng seguridad.

    4) Tukuyin ang mga epekto na sumisira sa pagiging kumpidensyal, integridad at pagkakaroon ng mga asset.

    e) Suriin at tasahin ang mga panganib.

    1) Suriin ang pinsala sa negosyo ng organisasyon na maaaring idulot dahil sa pagkabigo ng sistema ng seguridad, pati na rin ang resulta ng isang paglabag sa pagiging kumpidensyal, integridad, o pagkakaroon ng mga asset.

    2) Tukuyin ang posibilidad ng pagkabigo sa seguridad dahil sa umiiral na mga panganib at kahinaan, mga epekto sa asset, at kasalukuyang ipinapatupad na mga kontrol.

    3) Suriin ang mga antas ng panganib.

    4) Tukuyin ang katanggap-tanggap ng panganib, o kailanganin ang pagbabawas nito, gamit ang pamantayan sa pagtanggap sa panganib na itinatag sa 4.2.1c)2).

    f) Kilalanin at suriin ang mga tool sa pagbabawas ng panganib.

    Kabilang sa mga posibleng aksyon ang:

    1) Paglalapat ng angkop na mga kontrol;

    2) Mulat at layunin na pagtanggap ng mga panganib, tinitiyak ang kanilang walang kundisyong pagsunod sa mga kinakailangan ng patakaran ng organisasyon at pamantayan sa pagtanggap ng panganib (tingnan ang 4.2.1c)2));

    3) Pag-iwas sa panganib; At

    4) Paglipat ng mga nauugnay na panganib sa negosyo sa ibang partido, halimbawa, mga kompanya ng seguro, mga supplier.

    g) Pumili ng mga layunin at kontrol upang mabawasan ang mga panganib.

    Ang mga layunin at kontrol ay dapat piliin at ipatupad alinsunod sa mga kinakailangan na itinatag ng pagtatasa ng panganib at proseso ng pagbabawas ng panganib. Dapat isaalang-alang ng pagpipiliang ito ang parehong pamantayan sa pagpaparaya sa panganib (tingnan ang 4.2.1c)2) at mga kinakailangan sa legal, regulasyon at kontraktwal.

    Ang mga gawain at kontrol sa Appendix A ay dapat piliin bilang bahagi ng prosesong ito upang matugunan ang mga tinukoy na kinakailangan.

    Dahil hindi lahat ng gawain at kontrol ay nakalista sa Appendix A, maaaring pumili ng mga karagdagang gawain.

    TANDAAN: Ang Appendix A ay naglalaman ng isang komprehensibong listahan ng mga layunin sa pamamahala na natukoy na pinaka-kaugnay sa mga organisasyon. Para hindi makaligtaan kahit isa mahalagang punto Para sa mga opsyon sa kontrol, ang mga gumagamit ng International Standard na ito ay dapat umasa sa Annex A bilang panimulang punto para sa sample control.

    h) Makamit ang pag-apruba ng pamamahala ng mga inaasahang natitirang panganib.

    4) mapadali ang pagtuklas ng mga kaganapan sa seguridad at sa gayon, gamit ang ilang mga tagapagpahiwatig, maiwasan ang mga insidente sa seguridad; At

    5) tukuyin ang pagiging epektibo ng mga aksyon na ginawa upang maiwasan ang isang paglabag sa seguridad.

    b) Magsagawa ng mga regular na pagsusuri sa pagiging epektibo ng ISMS (kabilang ang talakayan sa patakaran ng ISMS at mga layunin nito, pagsusuri ng mga kontrol sa seguridad), isinasaalang-alang ang mga resulta ng mga pag-audit, mga insidente, mga resulta ng mga sukat ng pagganap, mga mungkahi at rekomendasyon ng lahat ng mga interesadong partido .

    c) Suriin ang pagiging epektibo ng mga kontrol upang matukoy kung ang mga kinakailangan sa kaligtasan ay natutugunan.

    d) Suriin ang pagtatasa ng panganib para sa mga nakaplanong panahon at suriin ang mga natitirang panganib at pinahihintulutang mga antas mga panganib, isinasaalang-alang ang mga pagbabago sa:

    1) mga organisasyon;

    2) teknolohiya;

    3) mga layunin at proseso ng negosyo;

    4) natukoy na mga banta;

    5) ang pagiging epektibo ng mga ipinatupad na kontrol; At

    6) mga panlabas na kaganapan, tulad ng mga pagbabago sa ligal at kapaligiran ng pamamahala, binago ang mga obligasyong kontraktwal, mga pagbabago sa klima ng lipunan.

    e) Magsagawa ng mga panloob na pag-audit ng ISMS sa mga nakaplanong panahon (tingnan ang 6)

    TANDAAN: Ang mga panloob na pag-audit, kung minsan ay tinatawag na pangunahing pag-audit, ay isinasagawa sa ngalan ng mismong organisasyon para sa sarili nitong mga layunin.

    f) Suriin ang pamamahala ng ISMS sa isang regular na batayan upang matiyak na ang probisyon ay nananatiling angkop at ang ISMS ay pinagbubuti.

    g) I-update ang mga plano sa seguridad batay sa data na nakuha mula sa pagsubaybay at pag-audit.

    h) Magtala ng mga aktibidad at kaganapan na maaaring magkaroon ng epekto sa pagiging epektibo o pagganap ng ISMS (tingnan ang 4.3.3).

    4.2.4 Suporta at pagpapabuti ng ISMS

    Dapat na patuloy na gawin ng organisasyon ang mga sumusunod.

    a) Magpatupad ng ilang mga pagwawasto sa ISMS.

    b) Gumawa ng naaangkop na pagwawasto at pag-iwas na mga hakbang alinsunod sa 8.2 at 8.3. Ilapat ang kaalaman na naipon ng organisasyon mismo at nakuha mula sa karanasan ng iba pang mga organisasyon.

    c) Ipaalam ang mga aksyon at pagpapabuti nito sa lahat ng interesadong partido sa isang antas ng detalyeng naaangkop sa sitwasyon; at, nang naaayon, i-coordinate ang kanilang mga aksyon.

    d) Tiyakin na ang mga pagpapabuti ay makakamit ang kanilang nilalayon na layunin.

    4.3 Mga kinakailangan sa dokumentasyon

    4.3.1 Pangkalahatan

    Dapat kasama sa dokumentasyon ang mga protocol (record) mga desisyon sa pamamahala, kumbinsihin na ang pangangailangan para sa aksyon ay tinutukoy ng mga desisyon at patakaran ng pamamahala; at tiyakin ang reproducibility ng mga naitala na resulta.

    Mahalagang makapagpakita puna piniling mga kontrol na may mga resulta ng pagtatasa ng panganib at mga proseso ng pagbabawas ng panganib, at pagkatapos ay sa patakaran ng ISMS at mga layunin nito.

    Ang dokumentasyon ng ISMS ay dapat kasama ang:

    a) mga dokumentadong pahayag ng patakaran at layunin ng ISMS (tingnan ang 4.2.1b));

    b) Posisyon ng ISMS (tingnan ang 4.2.1a));

    c) ang konsepto at mga kontrol upang suportahan ang ISMS;

    d) paglalarawan ng pamamaraan ng pagtatasa ng panganib (tingnan ang 4.2.1c));

    e) ulat sa pagtatasa ng panganib (tingnan ang 4.2.1c) – 4.2.1g));

    f) plano sa pagbabawas ng panganib (tingnan ang 4.2.2b));

    g) isang dokumentadong konsepto, kinakailangang organisasyon upang matiyak ang pagiging epektibo ng pagpaplano, pagpapatakbo at pamamahala ng mga proseso ng seguridad ng impormasyon nito at ilarawan kung paano sukatin ang pagiging epektibo ng mga kontrol (tingnan ang 4.2.3c));

    h) ang mga dokumentong kinakailangan ng International Standard na ito (tingnan ang 4.3.3); At

    i) Pahayag ng Paglalapat.

    TANDAAN 1: Para sa mga layunin ng International Standard na ito, ang terminong "dokumento na konsepto" ay nangangahulugang ang konsepto ay ipinatupad, naidokumento, ipinatupad at sinusunod.

    TANDAAN 2: Ang laki ng dokumentasyon ng ISMS sa iba't ibang organisasyon ay maaaring mag-iba depende sa:

    Ang laki ng organisasyon at ang uri ng mga ari-arian nito; At

    Ang sukat at pagiging kumplikado ng mga kinakailangan sa seguridad at ang pinamamahalaang sistema.

    TANDAAN 3: Ang mga dokumento at ulat ay maaaring ibigay sa anumang anyo.

    4.3.2 Kontrol sa dokumento

    Ang mga dokumentong kinakailangan ng ISMS ay kailangang protektahan at kontrolin. Kinakailangang aprubahan ang pamamaraan ng dokumentasyong kinakailangan upang ilarawan ang mga aksyon sa pamamahala para sa:

    a) pagtatatag ng pagsunod ng mga dokumento sa ilang mga pamantayan bago ang kanilang publikasyon;

    b) pagsuri at pag-update ng mga dokumento kung kinakailangan, muling pag-apruba ng mga dokumento;

    c) pagtiyak na ang mga pagbabago ay naaayon sa kasalukuyang estado ng mga binagong dokumento;

    d) pagtiyak ng pagkakaroon ng mahahalagang bersyon ng kasalukuyang mga dokumento;

    e) pagtiyak na ang mga dokumento ay naiintindihan at nababasa;

    f) pagtiyak na ang mga dokumento ay magagamit ng mga nangangailangan nito; pati na rin ang kanilang paglipat, pag-iimbak at sa wakas ay pagkasira alinsunod sa mga pamamaraang inilapat depende sa kanilang pag-uuri;

    g) pagtatatag ng pagiging tunay ng mga dokumento mula sa mga panlabas na mapagkukunan;

    h) kontrol sa pamamahagi ng mga dokumento;

    i) pagpigil sa hindi sinasadyang paggamit ng mga hindi na ginagamit na dokumento; At

    j) paglalapat ng angkop na paraan ng pagkakakilanlan sa kanila kung sila ay itinatago kung sakali.

    4.3.3 Pagkontrol ng mga talaan

    Ang mga rekord ay dapat gawin at panatilihin upang matiyak ang pagsunod sa mga kinakailangan at ang epektibong operasyon ng ISMS. Ang mga rekord ay dapat protektahan at ma-verify. Dapat isaalang-alang ng ISMS ang anumang mga kinakailangan sa batas at regulasyon at mga obligasyong kontraktwal. Ang mga rekord ay dapat na maunawaan, madaling matukoy at mabawi. Ang mga kontrol na kinakailangan para sa pagkilala, pag-iimbak, proteksyon, pagbawi, panahon ng pagpapanatili at pagkasira ng mga talaan ay dapat na idokumento at mailagay sa lugar.

    Ang mga rekord ay dapat magsama ng impormasyon tungkol sa pagpapatupad ng mga aktibidad na inilarawan sa 4.2 at tungkol sa lahat ng mga insidente at makabuluhang mga insidente sa kaligtasan na nauugnay sa ISMS.

    Kasama sa mga halimbawa ng mga tala ang isang guest book, mga audit log, at nakumpletong mga form ng awtorisasyon sa pag-access.

    Ang pamantayang BS ISO/IEC 27001:2005 ay naglalarawan ng isang modelo ng information security management system (ISMS) at nag-aalok ng isang hanay ng mga kinakailangan para sa pag-aayos ng seguridad ng impormasyon sa isang negosyo nang walang pagtukoy sa mga pamamaraan ng pagpapatupad na pinili ng mga gumaganap ng organisasyon.

    Check - yugto ng pagtatasa sa pagiging epektibo at pagganap ng ISMS. Karaniwang ginagawa ng mga panloob na auditor.

    Ang desisyon na lumikha (at pagkatapos ay patunayan) ang isang ISMS ay ginawa ng nangungunang pamamahala ng organisasyon. Nagpapakita ito ng suporta sa pamamahala at kumpirmasyon ng halaga ng ISMS sa negosyo. Pinasimulan ng pamamahala ng organisasyon ang paglikha ng isang grupo sa pagpaplano ng ISMS.

    Ang pangkat na responsable para sa pagpaplano ng ISMS ay dapat kasama ang:

    · mga kinatawan ng nangungunang pamamahala ng organisasyon;

    · mga kinatawan ng mga yunit ng negosyo na sakop ng ISMS;



    · mga espesyalista ng mga departamento ng seguridad ng impormasyon;

    · mga third-party na consultant (kung kinakailangan).

    Ang IS Committee ay nagbibigay ng suporta para sa pagpapatakbo ng ISMS at ang patuloy na pagpapabuti nito.

    Working group dapat gabayan ng balangkas ng regulasyon at pamamaraan, kapwa may kaugnayan sa paglikha ng isang ISMS at nauugnay sa larangan ng aktibidad ng organisasyon, at, siyempre, ang pangkalahatang sistema ng mga batas ng estado.

    Batayang normatibo sa paglikha ng ISMS:

    · ISO/IEC 27000:2009 Bokabularyo at mga kahulugan.

    · ISO/IEC 27001:2005 Pangkalahatang mga kinakailangan para sa ISMS.

    ISO/IEC 27002:2005 Praktikal na gabay sa pamamahala ng seguridad ng impormasyon.

    · ISO/IEC 27003:2010 Praktikal na patnubay para sa pagpapatupad ng isang ISMS.

    · ISO/IEC 27004:2009 Mga Sukatan (Mga Pagsukat) ng seguridad ng impormasyon.

    · ISO/IEC 27005:2011 Gabay sa pamamahala ng panganib sa seguridad ng impormasyon.

    · ISO/IEC Guide 73:2002, Pamamahala sa peligro - Bokabularyo - Mga patnubay para sa paggamit sa mga pamantayan.

    · ISO/IEC 13335-1:2004, Teknolohiya ng impormasyon - Mga diskarte sa seguridad - Pamamahala ng seguridad ng teknolohiya ng impormasyon at komunikasyon - Bahagi 1: Mga konsepto at modelo para sa pamamahala sa seguridad ng teknolohiya ng impormasyon at komunikasyon.

    · ISO/IEC TR 18044 Information technology - Mga diskarte sa seguridad - Pamamahala ng insidente sa seguridad ng impormasyon.

    · ISO/IEC 19011:2002 Mga Alituntunin para sa kalidad at/o environmental management systems auditing.

    · BSI serye ng mga pamamaraan para sa paglikha ng ISMS (dati: PD 3000 series na mga dokumento).

    Ang proseso ng paglikha ng ISMS ay binubuo ng 4 na yugto:

    Stage 1. pagpaplano ng ISMS.

    Pagtatatag ng mga patakaran, layunin, proseso at pamamaraan na may kaugnayan sa pamamahala sa peligro at seguridad ng impormasyon alinsunod sa pangkalahatang mga patakaran at layunin ng organisasyon.

    a) Pagtukoy sa saklaw at mga hangganan ng ISMS:

    · Paglalarawan ng uri ng aktibidad at mga layunin sa negosyo ng organisasyon;

    · Indikasyon ng mga hangganan ng mga sistemang sakop ng ISMS;

    Paglalarawan ng mga asset ng organisasyon (mga uri mapagkukunan ng impormasyon, software at hardware, tauhan at istraktura ng organisasyon);

    · Paglalarawan ng mga proseso ng negosyo na gumagamit ng protektadong impormasyon.

    Ang paglalarawan ng mga hangganan ng system ay kinabibilangan ng:

    Paglalarawan ng umiiral na istraktura ng organisasyon (na may posibleng pagbabago na maaaring lumitaw na may kaugnayan sa pagbuo ng isang sistema ng impormasyon).

    Ang mga mapagkukunan ng sistema ng impormasyon ay dapat protektahan ( Computer Engineering, impormasyon, system at application software). Upang masuri ang mga ito, isang sistema ng pamantayan at isang pamamaraan para sa pagkuha ng mga pagtatasa ayon sa mga pamantayang ito (kategorya) ay dapat mapili.

    Teknolohiya sa pagpoproseso ng impormasyon at mga problemang lutasin. Para malutas ang mga gawain, ang mga modelo sa pagpoproseso ng impormasyon ay dapat na binuo sa mga tuntunin ng mga mapagkukunan.

    Diagram ng sistema ng impormasyon ng organisasyon at sumusuporta sa imprastraktura.

    Bilang isang patakaran, sa yugtong ito, ang isang dokumento ay iginuhit na nag-aayos ng mga hangganan ng sistema ng impormasyon, naglilista ng mga mapagkukunan ng impormasyon ng kumpanya na protektahan, at nagbibigay ng isang sistema ng pamantayan at pamamaraan para sa pagtatasa ng halaga. mga asset ng impormasyon mga kumpanya.

    b) Pagtukoy sa patakaran ng ISMS ng organisasyon (pinalawak na bersyon ng SDS).

    · Mga layunin, direksyon at prinsipyo ng aktibidad patungkol sa seguridad ng impormasyon;

    · Paglalarawan ng diskarte sa pamamahala ng peligro (mga diskarte) sa organisasyon, pag-istruktura ng mga countermeasure upang maprotektahan ang impormasyon ayon sa uri (legal, organisasyon, hardware at software, engineering);

    · Paglalarawan ng pamantayan sa kahalagahan ng panganib;

    · Posisyon ng pamamahala, pagpapasiya ng dalas ng mga pagpupulong sa mga paksa ng seguridad ng impormasyon sa antas ng pamamahala, kabilang ang pana-panahong pagsusuri ng mga probisyon ng patakaran sa seguridad ng impormasyon, pati na rin ang pamamaraan para sa pagsasanay sa lahat ng mga kategorya ng mga gumagamit ng sistema ng impormasyon sa seguridad ng impormasyon mga isyu.

    c) Tukuyin ang diskarte sa pagtatasa ng panganib sa organisasyon.

    Ang pamamaraan ng pagtatasa ng panganib ay pinili depende sa itinatag na ISMS mga pangangailangan sa negosyo proteksyon ng impormasyon, mga kinakailangan sa batas at regulasyon.

    Ang pagpili ng pamamaraan ng pagtatasa ng panganib ay nakasalalay sa antas ng mga kinakailangan para sa rehimen ng seguridad ng impormasyon sa organisasyon, ang likas na katangian ng mga banta na isinasaalang-alang (ang spectrum ng epekto ng mga banta) at ang pagiging epektibo ng mga potensyal na countermeasures upang maprotektahan ang impormasyon. Sa partikular, mayroong mga pangunahing, pati na rin ang nadagdagan o kumpletong mga kinakailangan para sa rehimen ng seguridad ng impormasyon.

    Ang pinakamababang kinakailangan para sa mode ng seguridad ng impormasyon ay tumutugma sa pangunahing antas ng seguridad ng impormasyon. Ang ganitong mga kinakailangan ay nalalapat, bilang panuntunan, sa mga karaniwang solusyon sa disenyo. Mayroong ilang mga pamantayan at mga detalye na isinasaalang-alang ang isang minimum (karaniwang) hanay ng mga pinaka-malamang na banta, tulad ng: mga virus, mga pagkabigo sa hardware, hindi awtorisadong pag-access at iba pa. Upang ma-neutralize ang mga banta na ito, kailangang gumawa ng mga countermeasure, anuman ang posibilidad ng kanilang pagpapatupad at ang kahinaan ng mga mapagkukunan. Kaya, hindi kinakailangang isaalang-alang ang mga katangian ng mga banta sa isang pangunahing antas. Ang mga dayuhang pamantayan sa lugar na ito ay ISO 27002, BSI, NIST, atbp.

    Sa mga kaso kung saan ang mga paglabag sa rehimen ng seguridad ng impormasyon ay humantong sa malubhang kahihinatnan, ang mga karagdagang pagtaas ng mga kinakailangan ay ipinapataw.

    Upang bumalangkas ng karagdagang tumaas na mga kinakailangan, kinakailangan:

    Tukuyin ang halaga ng mga mapagkukunan;

    Magdagdag sa pamantayang set ng listahan ng mga banta na may kaugnayan sa sistema ng impormasyon na pinag-aaralan;

    Suriin ang posibilidad ng mga pagbabanta;

    Kilalanin ang mga kahinaan sa mapagkukunan;

    Suriin ang potensyal na pinsala mula sa impluwensya ng mga nanghihimasok.

    Kinakailangang pumili ng pamamaraan ng pagtatasa ng panganib na maaaring gamitin nang may kaunting pagbabago sa patuloy na batayan. Mayroong dalawang paraan: gumamit ng mga umiiral na pamamaraan at tool sa merkado para sa pagtatasa ng panganib o lumikha ng iyong sariling pamamaraan, na inangkop sa mga detalye ng kumpanya at ang lugar ng aktibidad na sakop ng ISMS.

    Ang huling pagpipilian ay ang pinaka-kanais-nais, dahil sa ngayon ang karamihan ng mga produkto na umiiral sa merkado na nagpapatupad ng isa o isa pang diskarte sa pagsusuri ng panganib ay hindi nakakatugon sa mga kinakailangan ng Pamantayan. Ang mga karaniwang disadvantages ng naturang mga pamamaraan ay:

    · karaniwang hanay ng mga banta at kahinaan, na kadalasan ay hindi na mababago;

    · pagtanggap bilang mga asset lamang ng software, hardware at mga mapagkukunan ng impormasyon - nang walang pagsasaalang-alang yamang tao, mga serbisyo at iba pang mahahalagang mapagkukunan;

    · ang pangkalahatang pagiging kumplikado ng pamamaraan sa mga tuntunin ng napapanatiling at paulit-ulit na paggamit nito.

    · Pamantayan para sa pagtanggap ng mga panganib at mga katanggap-tanggap na antas ng panganib (dapat na nakabatay sa pagkamit ng mga layunin ng estratehiko, organisasyonal at pamamahala ng organisasyon).

    d) Pagkilala sa panganib.

    · Pagkilala sa mga ari-arian at mga may-ari ng mga ito

    Mga input ng impormasyon;

    Output ng impormasyon;

    Mga talaan ng impormasyon;

    Mga mapagkukunan: tao, imprastraktura, kagamitan, software, kasangkapan, serbisyo.

    · Pagkilala sa banta (ang mga pamantayan sa pagtatasa ng panganib ay kadalasang nagmumungkahi ng mga klase ng mga banta na maaaring dagdagan at palawakin).

    · Pagkilala sa kahinaan (may mga listahan din ng mga pinakakaraniwang kahinaan na maaasahan mo kapag sinusuri ang iyong organisasyon).

    Pagtukoy sa halaga ng mga ari-arian ( posibleng kahihinatnan mula sa pagkawala ng pagiging kumpidensyal, integridad at pagkakaroon ng mga ari-arian). Maaaring makuha ang impormasyon tungkol sa halaga ng isang asset mula sa may-ari nito o mula sa isang tao kung kanino ipinagkatiwala ng may-ari ang lahat ng awtoridad sa asset, kabilang ang pagtiyak ng seguridad nito.

    e) Pagtatasa ng panganib.

    · Pagtatasa ng pinsalang maaaring idulot sa isang negosyo mula sa pagkawala ng pagiging kumpidensyal, integridad at pagkakaroon ng mga ari-arian.

    · Pagtatasa sa posibilidad ng mga banta na maisakatuparan sa pamamagitan ng mga kasalukuyang kahinaan, isinasaalang-alang ang mga umiiral na kontrol sa seguridad ng impormasyon at pagtatasa sa posibleng pinsalang idulot;

    · Pagtukoy sa antas ng panganib.

    Paglalapat ng pamantayan sa pagtanggap ng panganib (katanggap-tanggap/nangangailangan ng paggamot).

    f) Paggamot sa peligro (alinsunod sa napiling diskarte sa pamamahala ng peligro).

    Mga posibleng aksyon:

    Mga passive na aksyon:

    Pagtanggap sa panganib (pagpasya sa katanggap-tanggap ng nagresultang antas ng panganib);

    Pag-iwas sa peligro (pagpasyang baguhin ang mga aktibidad na nagdudulot ng isang partikular na antas ng panganib - paglipat ng web server sa labas ng mga hangganan lokal na network);

    Mga aktibong aksyon:

    Pagbabawas ng panganib (gamit ang organisasyonal at teknikal na mga hakbang);

    Paglipat ng peligro (insurance (sunog, pagnanakaw, mga error sa software)).

    Ang pagpili ng mga posibleng aksyon ay depende sa tinatanggap na pamantayan sa panganib (isang katanggap-tanggap na antas ng panganib ay tinukoy, mga antas ng panganib na maaaring bawasan ng mga kontrol sa seguridad ng impormasyon, mga antas ng panganib kung saan inirerekomenda na talikuran o baguhin ang uri ng aktibidad na sanhi nito, at mga panganib na kanais-nais na ilipat sa ibang mga partido) .

    g) Pagpili ng mga layunin at kontrol para sa paggamot sa panganib.

    Ang mga layunin at kontrol ay dapat ipatupad ang diskarte sa pamamahala ng peligro, isaalang-alang ang pamantayan para sa pagtanggap ng mga panganib at pambatasan, regulasyon at iba pang mga kinakailangan.

    Ang pamantayang ISO 27001-2005 ay nagbibigay ng isang listahan ng mga layunin at kontrol bilang batayan para sa pagbuo ng isang plano sa paggamot sa panganib (mga kinakailangan sa ISMS).

    Ang plano sa paggamot sa panganib ay naglalaman ng isang listahan ng mga priyoridad na hakbang upang mabawasan ang mga antas ng panganib, na nagsasaad ng:

    · mga taong responsable para sa pagpapatupad ng mga aktibidad at paraan na ito;

    · timing ng pagpapatupad ng mga aktibidad at priyoridad para sa kanilang pagpapatupad;

    · mga mapagkukunan para sa pagpapatupad ng mga naturang aktibidad;

    · mga antas ng natitirang mga panganib pagkatapos ng pagpapatupad ng mga hakbang at kontrol.

    Ang pagpapatibay ng plano sa paggamot sa peligro at kontrol sa pagpapatupad nito ay isinasagawa ng nangungunang pamamahala ng organisasyon. Ang pagkumpleto ng mga pangunahing aktibidad ng plano ay isang pamantayan para sa paggawa ng desisyon sa paglalagay ng ISMS sa operasyon.

    Sa yugtong ito, ang pagpili ng iba't ibang mga hakbang para sa seguridad ng impormasyon ay makatwiran, na nakaayos ayon sa mga antas ng regulasyon, organisasyon, managerial, teknolohikal at hardware-software ng seguridad ng impormasyon. (Dagdag pa, isang hanay ng mga countermeasure ay ipinatupad alinsunod sa napiling diskarte sa pamamahala ng peligro ng impormasyon). Sa buong bersyon ng pagtatasa ng panganib, ang pagiging epektibo ng mga countermeasure ay karagdagang tinatasa para sa bawat panganib.

    h) Pag-apruba ng pamamahala sa iminungkahing natitirang panganib.

    i) Pagkuha ng pag-apruba ng pamamahala para sa pagpapatupad at pagkomisyon ng ISMS.

    j) Pahayag ng pagiging angkop (alinsunod sa ISO 27001-2005).

    Ang petsa ng pagpapatakbo ng ISMS ay ang petsa ng pag-apruba ng nangungunang pamamahala ng kumpanya ng Regulasyon sa pagiging angkop ng mga kontrol, na naglalarawan sa mga layunin at paraan na pinili ng organisasyon upang pamahalaan ang mga panganib:

    · mga tool sa pamamahala at kontrol na pinili sa yugto ng paggamot sa panganib;

    · mga tool sa pamamahala at kontrol na mayroon na sa organisasyon;

    · nangangahulugan upang matiyak ang pagsunod sa mga legal na kinakailangan at mga kinakailangan ng mga organisasyong pang-regulasyon;

    · ibig sabihin upang matiyak ang katuparan ng mga kinakailangan ng customer;

    · ibig sabihin upang matiyak ang pagsunod sa mga pangkalahatang kinakailangan ng korporasyon;

    · anumang iba pang naaangkop na kontrol at kontrol.

    Stage 2. Pagpapatupad at pagpapatakbo ng ISMS.

    Upang ipatupad at patakbuhin ang patakaran sa seguridad ng impormasyon, mga kontrol, proseso at pamamaraan sa larangan ng seguridad ng impormasyon, ang mga sumusunod na aksyon ay isinasagawa:

    a) Pagbuo ng isang plano sa paggamot sa panganib (paglalarawan ng mga nakaplanong kontrol, mga mapagkukunan (software, hardware, mga tauhan) na kinakailangan para sa kanilang pagpapatupad, suporta, kontrol, at mga responsibilidad sa pamamahala para sa pamamahala ng panganib sa seguridad ng impormasyon (pagbuo ng mga dokumento sa yugto ng pagpaplano, suporta ng mga layunin sa seguridad ng impormasyon, mga tungkulin at responsibilidad sa kahulugan, pagtiyak kinakailangang mapagkukunan upang lumikha ng ISMS, pag-audit at pagsusuri).

    b) Paglalaan ng pagpopondo, mga tungkulin at responsibilidad para sa pagpapatupad ng plano sa paggamot sa panganib.

    c) Pagpapatupad ng mga nakaplanong kontrol.

    d) Pagpapasiya ng mga tagapagpahiwatig ng pagganap ng kontrol (mga sukatan) at mga pamamaraan para sa pagsukat sa mga ito na magbibigay ng maihahambing at maihahambing na mga resulta.

    e) Pagpapabuti ng mga kwalipikasyon at kamalayan ng mga tauhan sa larangan ng seguridad ng impormasyon alinsunod sa kanilang mga responsibilidad sa trabaho.

    f) Pamamahala ng operasyon ng ISMS, pamamahala ng mga mapagkukunan upang mapanatili, kontrolin at pagbutihin ang ISMS.

    g) Pagpapatupad ng mga pamamaraan at iba pang mga kontrol upang mabilis na matukoy at tumugon sa mga insidente ng seguridad ng impormasyon.

    Stage 3. Patuloy na pagsubaybay at pagsusuri sa paggana ng ISMS.

    Kasama sa yugto ang pagtatasa o pagsukat ng mga pangunahing tagapagpahiwatig ng pagganap ng proseso, pagsusuri sa mga resulta at pagbibigay ng mga ulat sa pamamahala para sa pagsusuri at kasama ang:

    a) Pagsasagawa ng tuluy-tuloy na pagsubaybay at pagsusuri (nagbibigay-daan sa iyong mabilis na makakita ng mga error sa paggana ng ISMS, mabilis na tukuyin at tumugon sa mga insidente sa seguridad, pag-iba-iba ang mga tungkulin ng mga tauhan at mga awtomatikong sistema sa ISMS, maiwasan ang mga insidente sa seguridad sa pamamagitan ng pagsusuri hindi pangkaraniwang pag-uugali, tukuyin ang pagiging epektibo ng paghawak ng insidente sa seguridad).

    b) Pagsasagawa ng mga regular na pagsusuri sa pagiging epektibo ng ISMS (pagsunod sa mga patakaran at layunin ng ISMS, mga pag-audit, mga pangunahing tagapagpahiwatig pagiging epektibo, mungkahi at reaksyon ng stakeholder).

    c) Pagsukat sa pagiging epektibo ng mga kontrol upang mapatunayan na ang mga kinakailangan sa proteksyon ay natutugunan

    d) Pana-panahong muling pagtatasa ng mga panganib, pagsusuri ng mga natitirang panganib at pagpapasiya ng mga katanggap-tanggap na antas ng panganib para sa anumang mga pagbabago sa organisasyon (mga layunin at proseso ng negosyo, natukoy na mga banta, mga bagong natukoy na kahinaan, atbp.)

    e) Pana-panahong pagsasagawa ng panloob na pag-audit ng ISMS.

    Pag-audit ng ISMS - sinusuri ang pagsunod ng mga napiling countermeasure sa mga layunin at layunin ng negosyo na idineklara sa patakaran sa kaligtasan ng industriya ng organisasyon batay sa mga resulta nito, ang mga natitirang panganib ay tinasa at, kung kinakailangan, ang kanilang pag-optimize ay isinasagawa;

    f) Regular na pagsusuri ng saklaw at uso ng ISMS ng pamamahala.

    g) Pag-update ng mga plano sa pamamahala ng peligro upang ipakita ang mga resulta ng mga kontrol at pagsusuri.

    h) Pagpapanatili ng mga tala ng mga kaganapan na nagkaroon ng epekto Negatibong impluwensya sa pagiging epektibo o kalidad ng gawaing ISMS.

    Stage 4. Suporta at pagpapabuti ng ISMS.

    Batay sa mga resulta ng panloob na pag-audit at pagsusuri ng pamamahala ng ISMS, ang mga pagwawasto at pag-iwas sa mga aksyon ay binuo at ipinatupad na naglalayong patuloy na pagpapabuti ISMS:

    a) Pagpapabuti ng patakaran sa seguridad ng impormasyon, mga layunin sa proteksyon ng impormasyon, pagsasagawa ng mga pag-audit, pagsusuri sa mga naobserbahang kaganapan.

    b) Pagbuo at pagpapatupad ng mga corrective at preventive na aksyon upang maalis ang hindi pagsunod ng ISMS sa mga kinakailangan.

    c) Pagsubaybay sa mga pagpapabuti ng ISMS.

    Konklusyon

    Inilalarawan ng ISO 27001 ang isang pangkalahatang modelo para sa pagpapatupad at pagpapatakbo ng isang ISMS, pati na rin ang mga aktibidad para sa pagsubaybay at pagpapabuti ng ISMS. Nilalayon ng ISO na pagsamahin ang iba't ibang pamantayan ng sistema ng pamamahala, tulad ng ISO/IEC 9001:2000, na tumatalakay sa pamamahala ng kalidad, at ISO/IEC 14001:2004, na tumatalakay sa mga sistema ng pamamahala sa kapaligiran. Ang layunin ng ISO ay upang matiyak ang pagkakapare-pareho at pagsasama ng ISMS sa iba pang mga sistema ng pamamahala sa kumpanya. Ang pagkakatulad ng mga pamantayan ay nagbibigay-daan sa paggamit ng mga katulad na tool at functionality para sa pagpapatupad, pamamahala, rebisyon, pagpapatunay at sertipikasyon. Nauunawaan na kung ang isang kumpanya ay nagpatupad ng iba pang mga pamantayan sa pamamahala, maaari itong gumamit ng isang solong audit at sistema ng pamamahala na naaangkop sa pamamahala ng kalidad, pamamahala sa kapaligiran, pamamahala sa kaligtasan, atbp. Sa pamamagitan ng pagpapatupad ng ISMS, ang senior management ay may paraan upang subaybayan at pamahalaan ang seguridad, na binabawasan ang mga natitirang panganib sa negosyo. Sa sandaling maipatupad ang ISMS, pormal na masisiguro ng kumpanya ang seguridad ng impormasyon at patuloy na matutugunan ang mga kinakailangan ng mga customer, batas, regulator at shareholder.

    Kapansin-pansin na sa batas ng Russian Federation mayroong isang dokumento na GOST R ISO/IEC 27001-2006, na isang isinalin na bersyon ng internasyonal na pamantayang ISO27001.

    Bibliograpiya

    1. Korneev I.R., Belyaev A.V. Seguridad ng impormasyon ng negosyo. – St. Petersburg: BHV-Petersburg, 2003. – 752 p.

    2.Internasyonal Pamantayan ng ISO 27001

    (http://www.specon.ru/files/ISO27001.pdf) (petsa ng pag-access: 05/23/12).

    3.Pambansang pamantayan Pederasyon ng Russia GOST R ISO/IEC 27003 - "Mga teknolohiya ng impormasyon. Mga pamamaraan ng seguridad. Mga alituntunin para sa pagpapatupad ng isang Information Security Management System

    (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (petsa ng access: 05/23/12).

    4. Skiba V.Yu., Kurbatov V.A. Gabay sa pagprotekta laban sa mga banta ng tagaloob sa seguridad ng impormasyon. St. Petersburg: Peter, 2008. - 320 p.

    Ang sistema ng pamamahala ng seguridad ng impormasyon ay bahagi ng pangkalahatang sistema ng pamamahala, batay sa paggamit ng mga pamamaraan ng pagtatasa ng panganib sa negosyo para sa pagpapaunlad, pagpapatupad, pagpapatakbo, pagsubaybay, pagsusuri, suporta at pagpapabuti ng seguridad ng impormasyon.

    Kasama sa sistema ng pamamahala istraktura ng organisasyon, mga patakaran, mga aktibidad sa pagpaplano, pamamahagi ng mga responsibilidad, praktikal na gawain, mga pamamaraan, proseso at mapagkukunan [GOST R ISO/IEC 27001-2006]

    Ang pamantayang ISO 27001 ay tumutukoy sa mga kinakailangan para sa isang information security management system (ISMS). Ang mga kinakailangan ng pamantayan ay sa isang tiyak na lawak abstract at hindi nakatali sa mga detalye ng anumang lugar ng mga aktibidad ng kumpanya.

    Ang pagbuo ng mga sistema ng impormasyon noong unang bahagi ng 90s ay humantong sa pangangailangan na lumikha ng isang pamantayan para sa pamamahala ng seguridad. Sa kahilingan ng gobyerno at industriya ng Britanya, ang Kagawaran ng Kalakalan at Industriya ng Britanya ay bumuo ng ISMS Practice.

    Malayo na ang narating ng paunang pamantayan ng BS 7799, na may serye ng mga pagsubok at pagsasaayos. Ang pinakamahalagang yugto sa kanyang "karera" ay noong 2005, nang ang pamantayang nagpapahintulot para sa pagsusuri ng isang ISMS ay kinikilala sa buong mundo (iyon ay, ang pagkakapare-pareho ng mga kinakailangan nito para sa isang modernong ISMS ay nakumpirma). Mula sa sandaling iyon, ang mga nangungunang negosyo sa buong mundo ay nagsimulang aktibong ipatupad ang pamantayang ISO 27001 at maghanda para sa sertipikasyon.

    Istraktura ng ISMS

    Ang modernong ISMS ay isang sistema ng pamamahala na nakatuon sa proseso, kabilang ang mga bahagi ng organisasyon, dokumentaryo at hardware at software. Ang mga sumusunod na "pananaw" sa ISMS ay maaaring makilala: proseso, dokumentaryo at kapanahunan.

    Ang mga proseso ng ISMS ay nilikha alinsunod sa mga kinakailangan ng pamantayang ISO/IEC 27001:2005, na batay sa cycle ng pamamahala ng Plan-Do-Check-Act. Alinsunod dito, ang siklo ng buhay ng ISMS ay binubuo ng apat na uri ng mga aktibidad: Paglikha - Pagpapatupad at pagpapatakbo - Pagsubaybay at pagsusuri - Pagpapanatili at pagpapabuti. Tinitiyak ng mga dokumentadong proseso ng ISMS na natutugunan ang lahat ng kinakailangan ng pamantayang 27001.

    Ang dokumentasyon ng ISMS ay binubuo ng mga patakaran, mga nakadokumentong pamamaraan, mga pamantayan at mga talaan at nahahati sa dalawang bahagi: Dokumentasyon sa pamamahala ng ISMS at dokumentasyon ng pagpapatakbo ng ISMS.

    Tinutukoy ng mature na modelo ng ISMS ang detalye ng dokumentasyong ginagawa at ang antas ng automation ng mga proseso ng pamamahala at pagpapatakbo ng ISMS. Ang modelo ng maturity ng CobiT ay ginagamit sa pagtatasa at pagpaplano. Ang ISMS Maturity Improvement Program ay nagbibigay ng komposisyon at timing ng mga aktibidad upang mapabuti ang mga proseso ng pamamahala ng seguridad ng impormasyon at pamamahala ng pagpapatakbo ng mga tool sa seguridad ng impormasyon

    Ang pamantayan ay nagmumungkahi ng aplikasyon ng PDCA (Plan-Do-Check-Act) na modelo sa ikot ng buhay ISMS, na kinabibilangan ng pag-unlad, pagpapatupad, pagpapatakbo, kontrol, pagsusuri, suporta at pagpapabuti (Larawan 1).

    Plano - ang yugto ng paglikha ng ISMS, paglikha ng listahan ng mga asset, pagtatasa ng mga panganib at pagpili ng mga hakbang;

    Gawin (Aksyon) - ang yugto ng pagpapatupad at pagpapatupad ng mga naaangkop na hakbang;

    Check - yugto ng pagtatasa sa pagiging epektibo at pagganap ng ISMS. Karaniwang ginagawa ng mga panloob na auditor.

    Kumilos - Pagsasagawa ng mga aksyong pang-iwas at pagwawasto.

    Ang proseso ng paglikha ng ISMS ay binubuo ng 4 na yugto:

    Isang proseso ng pagpaplano na ang layunin ay tukuyin, pag-aralan, at magdisenyo ng mga paraan upang mahawakan ang mga panganib sa seguridad ng impormasyon. Kapag nililikha ang prosesong ito, dapat kang bumuo ng isang pamamaraan para sa pagkakategorya ng mga asset ng impormasyon at pormal na pagtatasa ng mga panganib batay sa data na nauugnay sa imprastraktura ng impormasyon mga banta at kahinaan. Pagdating sa pag-audit ng PCI DSS, mayroong dalawang uri ng mahahalagang asset ng impormasyon na may iba't ibang antas ng pagiging kritikal: data ng cardholder at data ng kritikal na pagpapatunay.

    Ang proseso ng pagpapatupad ng mga nakaplanong pamamaraan ng paggamot sa panganib, na naglalarawan sa pamamaraan para sa paglulunsad ng isang bagong proseso ng seguridad ng impormasyon o pag-upgrade ng isang umiiral na. Ang partikular na atensyon ay dapat bayaran sa paglalarawan ng mga tungkulin at responsibilidad at pagpaplano para sa pagpapatupad.

    Ang proseso ng pagsubaybay sa gumaganang mga proseso ng ISMS (ito ay nagkakahalaga na tandaan na ang parehong mga proseso ng ISMS at ang ISMS mismo ay napapailalim sa pagsubaybay sa pagganap - pagkatapos ng lahat, ang apat na proseso ng pamamahala ay hindi mga eskultura ng granite, at ang self-actualization ay naaangkop sa kanila).

    Ang proseso ng pagpapabuti ng mga proseso ng ISMS alinsunod sa mga resulta ng pagsubaybay, na ginagawang posible na ipatupad ang mga pagwawasto at pag-iwas.

    GOST R ISO/IEC 27001-2006 " Teknolohiya ng impormasyon. Mga pamamaraan at paraan ng pagtiyak ng seguridad. Mga sistema ng pamamahala ng seguridad ng impormasyon. Mga kinakailangan"

    Ang mga developer ng karaniwang tandaan na ito ay inihanda bilang isang modelo para sa pagbuo, pagpapatupad, pagpapatakbo, pagsubaybay, pagsusuri, suporta at pagpapabuti ng isang sistema ng pamamahala ng seguridad ng impormasyon (ISMS). Ang ISMS (Ingles - sistema ng pamamahala ng seguridad ng impormasyon; ISMS) ay tinukoy bilang isang bahagi ng pangkalahatang sistema ng pamamahala, batay sa paggamit ng mga pamamaraan ng pagtatasa ng panganib sa negosyo para sa pagbuo, pagpapatupad, pagpapatakbo, pagsubaybay, pagsusuri, suporta at pagpapabuti ng seguridad ng impormasyon. Kasama sa isang sistema ng pamamahala ang istraktura ng organisasyon, mga patakaran, mga aktibidad sa pagpaplano, mga responsibilidad, mga kasanayan, mga pamamaraan, mga proseso at mga mapagkukunan.

    Ipinapalagay ng pamantayan ang paggamit ng diskarte sa proseso para sa pagbuo, pagpapatupad, pagpapatakbo, pagsubaybay, pagsusuri, suporta at pagpapabuti ng ISMS ng organisasyon. Nakabatay ito sa modelong Plan - Do - Check - Act (PDCA), na maaaring ilapat sa pagbubuo ng lahat ng proseso ng ISMS. Sa Fig. Ipinapakita ng Figure 4.4 kung paano ang isang ISMS, gamit ang mga kinakailangan sa seguridad ng impormasyon at mga inaasahan ng stakeholder bilang input, ay gumagawa ng mga output ng seguridad ng impormasyon na nakakatugon sa mga kinakailangan at inaasahang resulta sa pamamagitan ng mga kinakailangang aktibidad at proseso.

    kanin. 4.4.

    Sa entablado "Pagbuo ng isang sistema ng pamamahala ng seguridad ng impormasyon" Dapat gawin ng organisasyon ang mga sumusunod:

    • - tukuyin ang saklaw at mga hangganan ng ISMS;
    • - tukuyin ang patakaran ng ISMS batay sa mga katangian ng negosyo, organisasyon, lokasyon nito, mga ari-arian at teknolohiya;
    • - matukoy ang diskarte sa pagtatasa ng panganib sa organisasyon;
    • - kilalanin ang mga panganib;
    • - pag-aralan at tasahin ang mga panganib;
    • - tukuyin at suriin ang iba't ibang mga opsyon sa paggamot sa panganib;
    • - pumili ng mga layunin at mga hakbang sa pagkontrol para sa paggamot sa panganib;
    • - kumuha ng pag-apruba ng pamamahala sa tinantyang natitirang mga panganib;
    • - kumuha ng pahintulot sa pamamahala upang ipatupad at patakbuhin ang ISMS;
    • - maghanda ng Statement of Applicability.

    Yugto " Pagpapatupad at pagpapatakbo ng isang sistema ng pamamahala ng seguridad ng impormasyon" nagmumungkahi na ang organisasyon ay dapat:

    • - bumuo ng isang plano sa paggamot sa panganib na tumutukoy sa naaangkop na mga aksyon sa pamamahala, mga mapagkukunan, mga responsibilidad at mga priyoridad na may kaugnayan sa pamamahala ng panganib sa seguridad ng impormasyon;
    • - ipatupad ang isang plano sa paggamot sa panganib upang makamit ang mga layunin sa pamamahala, kabilang ang mga isyu sa pagpopondo, pati na rin ang pamamahagi ng mga tungkulin at responsibilidad;
    • - ipatupad ang mga napiling hakbang sa pamamahala;
    • - tukuyin kung paano sukatin ang pagiging epektibo ng mga napiling hakbang sa pamamahala;
    • - ipatupad ang mga programa para sa pagsasanay at propesyonal na pag-unlad ng mga empleyado;
    • - pamahalaan ang gawain ng ISMS;
    • - pamahalaan ang mga mapagkukunan ng ISMS;
    • - magpatupad ng mga pamamaraan at iba pang mga hakbang sa pamamahala upang matiyak ang mabilis na pagtuklas ng mga kaganapan sa seguridad ng impormasyon at pagtugon sa mga insidente na may kaugnayan sa seguridad ng impormasyon.

    ikatlong yugto" Pagsasagawa ng pagsubaybay at pagsusuri ng sistema ng pamamahala ng seguridad ng impormasyon" nangangailangan ng:

    • - magsagawa ng mga pamamaraan ng pagsubaybay at pagsusuri;
    • - magsagawa ng regular na pagsusuri ng pagiging epektibo ng ISMS;
    • - sukatin ang pagiging epektibo ng mga hakbang sa pagkontrol upang mapatunayan ang pagsunod sa mga kinakailangan sa seguridad ng impormasyon;
    • - suriin ang mga pagtatasa ng panganib sa mga itinakdang yugto ng panahon, pag-aralan ang mga natitirang panganib at itinatag ang mga katanggap-tanggap na antas ng panganib, na isinasaalang-alang ang mga pagbabago;
    • - magsagawa ng mga panloob na pag-audit ng ISMS sa mga itinakdang yugto ng panahon;
    • - regular na magsagawa ng pagsusuri ng ISMS ng pamamahala ng organisasyon upang kumpirmahin ang kasapatan ng sistema ng paggana at matukoy ang mga lugar para sa pagpapabuti;
    • - i-update ang mga plano sa seguridad ng impormasyon na isinasaalang-alang ang mga resulta ng pagsusuri at pagsubaybay;
    • - Magtala ng mga aksyon at kaganapan na maaaring makaapekto sa pagiging epektibo o paggana ng ISMS.

    At sa wakas, ang entablado "Suporta at pagpapabuti ng sistema ng pamamahala ng seguridad ng impormasyon" nagmumungkahi na dapat na regular na isagawa ng organisasyon ang mga sumusunod na aktibidad:

    • - tukuyin ang mga pagkakataon upang mapabuti ang ISMS;
    • - gawin ang mga kinakailangang pagkilos sa pagwawasto at pag-iwas, gamitin sa pagsasanay ang karanasan sa seguridad ng impormasyon na nakuha pareho sa sariling organisasyon, at sa iba pang mga organisasyon;
    • - magpadala Detalyadong impormasyon tungkol sa mga aksyon upang mapabuti ang ISMS sa lahat ng mga interesadong partido, habang ang antas ng detalye ay dapat tumutugma sa mga pangyayari at, kung kinakailangan, sumang-ayon sa karagdagang mga aksyon;
    • - tiyakin ang pagpapatupad ng mga pagpapabuti ng ISMS upang makamit ang mga nakaplanong layunin.

    Dagdag pa, ang pamantayan ay nagbibigay ng mga kinakailangan para sa dokumentasyon, na dapat magsama ng mga probisyon ng patakaran ng ISMS at isang paglalarawan ng saklaw ng operasyon, isang paglalarawan ng pamamaraan at isang ulat sa pagtatasa ng panganib, isang plano sa paggamot sa peligro, at dokumentasyon ng mga kaugnay na pamamaraan. Ang proseso para sa pamamahala ng mga dokumento ng ISMS, kabilang ang pag-update, paggamit, pag-iimbak at pagsira, ay dapat ding tukuyin.

    Upang magbigay ng katibayan ng pagsunod sa mga kinakailangan at ang pagiging epektibo ng ISMS, kinakailangan upang mapanatili at mapanatili ang mga talaan ng pagpapatupad ng mga proseso. Kasama sa mga halimbawa ang mga log ng bisita, mga ulat sa pag-audit, atbp.

    Tinutukoy ng pamantayan na ang pamamahala ng organisasyon ay may pananagutan sa pagbibigay at pamamahala ng mga mapagkukunang kinakailangan upang lumikha ng ISMS, pati na rin ang pag-aayos ng pagsasanay sa mga tauhan.

    Gaya ng naunang nabanggit, ang organisasyon ay dapat, alinsunod sa naaprubahang iskedyul, magsagawa ng mga panloob na pag-audit ng ISMS upang masuri ang paggana at pagsunod nito sa pamantayan. At ang pamamahala ay dapat magsagawa ng pagsusuri sa sistema ng pamamahala ng seguridad ng impormasyon.

    Dapat ding isagawa ang trabaho upang mapabuti ang sistema ng pamamahala ng seguridad ng impormasyon: dagdagan ang pagiging epektibo at antas ng pagsunod nito kasalukuyang estado sistema at mga kinakailangan nito.