Создавање на систем за управување со безбедноста на информациите (SMIB). Систем за управување со безбедноста на информациите Систем за управување со безбедноста на информациите доц

Испратете ја вашата добра работа во базата на знаење е едноставна. Користете ја формата подолу

Студентите, дипломираните студенти, младите научници кои ја користат базата на знаење во нивните студии и работа ќе ви бидат многу благодарни.

Објавено на http://www.allbest.ru/

„Систем за управување со безбедноста на информациите“

управување меѓународен стандард

ВОдиригирање

Системот за управување со безбедноста на информациите е збир на процеси кои функционираат во рамките на една компанија за да се обезбеди доверливост, интегритет и достапност на информациските средства. Во првиот дел од апстрактот се дискутира за процесот на имплементација на систем за управување во една организација, а исто така ги претставува главните аспекти на придобивките од имплементацијата на системот за управување со безбедноста на информациите.

Сл.1. Контролен циклус

Список на процеси и препораки за тоа како најдобро да се организира нивното функционирање се дадени во меѓународниот стандард ISO 27001:2005, кој се базира на циклусот на управување Планирај-направи-провери-дејствувај. Според него животен циклус ISMS се состои од четири типа на активности: Креирање - Имплементација и работа - Следење и анализа - Одржување и подобрување (сл. 1). Овој стандард ќе биде разгледан подетално во вториот дел.

СОсистемуправувањеинформативнибезбедност

Системот за управување со безбедноста на информациите (ISMS) е оној дел од целокупниот систем за управување што се заснова на пристап на деловниот ризик за создавање, имплементација, работење, следење, анализа, поддршка и подобрување на безбедноста на информациите. ISMS процесите се креирани во согласност со барањата на стандардот ISO/IEC 27001:2005, кој се базира на циклусот

Работењето на системот се заснова на пристапите модерна теоријауправување со ризици, со што се обезбедува негова интеграција во целокупниот систем за управување со ризици на организацијата.

Имплементацијата на систем за управување со безбедноста на информациите подразбира развој и спроведување на постапка насочена кон систематско идентификување, анализа и ублажување на ризиците за безбедноста на информациите, односно ризиците како резултат на кои информациските средства (информации во која било форма и од која било природа) ќе изгуби доверливост, интегритет и достапност.

За да се обезбеди систематско ублажување на ризиците за безбедноста на информациите, врз основа на резултатите од проценката на ризикот, во организацијата се спроведуваат следните процеси:

· Управување со организација за внатрешна безбедност на информациите.

· Обезбедување безбедност на информациите при интеракција со трети страни.

· Управување со регистарот на информациски средства и правила за нивна класификација.

· Управување со безбедноста на опремата.

· Обезбедување физичка безбедност.

· Обезбедување информациска безбедност на персоналот.

· Планирање и усвојување на информациски системи.

· Бекап.

· Обезбедување мрежна безбедност.

Процесите на системот за управување со безбедноста на информациите влијаат на сите аспекти на управувањето со ИТ инфраструктурата на организацијата, бидејќи безбедноста на информациите е резултат на одржливото функционирање на процесите поврзани со информатичката технологија.

Кога градат ISMS во компаниите, специјалистите ја вршат следната работа:

· организира проектен менаџмент, формира проектен тим од страна на клиентот и изведувачот;

· да се определи областа на активност (ОА) на ISMS;

· испитајте ја организацијата во OD ISMS:

o во однос на деловните процеси на организацијата, вклучувајќи анализа на негативните последици од инцидентите со безбедноста на информациите;

o во однос на процесите на управување на организацијата, вклучувајќи ги постоечките процеси за управување со квалитетот и управување со безбедноста на информациите;

o во однос на ИТ инфраструктурата;

o во однос на инфраструктурата за безбедност на информации.

· развива и одобрува аналитички извештај кој содржи листа на главни деловни процеси и проценка на последиците од имплементацијата на заканите по безбедноста на информациите во однос на нив, листа на процеси на управување, ИТ системи, потсистеми за безбедност на информации (ИС), проценка за степенот до кој организацијата ги исполнува сите барања на ISO 27001 и проценка на зрелоста на процесите на организации;

· изберете го почетното и целното ниво на зрелост на ISMS, развиете и одобрувајте ја Програмата за подобрување на зрелоста на ISMS; развие документација на високо ниво во областа на информациската безбедност:

o Концептот за поддршка на информациската безбедност,

o Политики за IS и ISMS;

· изберете и приспособете ја методологијата за проценка на ризикот применлива во организацијата;

· избирање, снабдување и распоредување на софтвер што се користи за автоматизирање на процесите на ISMS, организирање обука за специјалисти од компанијата;

· спроведе проценка и обработка на ризиците, при што, за нивно намалување, се избираат мерки од Додаток „А“ од стандардот 27001 и се формулираат барања за нивна имплементација во организацијата, прелиминарно се избираат технички средства за обезбедување на безбедноста на информациите;

· развиваат идејни проектиПИБ, проценете ги трошоците за третман на ризик;

· да организира одобрување на проценката на ризикот од страна на највисокото раководство на организацијата и да развие Правила за применливост; развиваат организациски мерки за обезбедување на безбедноста на информациите;

· развиваат и спроведуваат технички проектиза имплементација на потсистеми за техничка безбедност на информации кои го поддржуваат спроведувањето на избраните мерки, вклучително и набавка на опрема, пуштање во работа, развој на оперативна документација и обука на корисниците;

· да обезбеди консултации во текот на работењето на изградениот ISMS;

· да организира обука на внатрешните ревизори и да спроведе интерни ISMS ревизии.

Резултатот од оваа работа е функционален ISMS. Придобивките од имплементацијата на ISMS во компанијата се постигнуваат преку:

· ефективно управувањеусогласеност со законските барања и деловните барања од областа на безбедноста на информациите;

· спречување на појава на инциденти за безбедноста на информациите и намалување на штетите доколку се случат;

· подобрување на културата на информациската безбедност во организацијата;

· зголемување на зрелоста во областа на управувањето со безбедноста на информациите;

· оптимизација на трошењето на средствата за безбедност на информациите.

ISO/IEC27001-- меѓународнистандарденОд страна наинформативнибезбедност

Овој стандард беше развиен заеднички од Меѓународната организација за стандардизација (ISO) и Меѓународната електротехничка комисија (IEC). Стандардот содржи барања од областа на безбедноста на информациите за креирање, развој и одржување на ISMS. ISO 27001 ги специфицира барањата за ISMS за да ја покаже способноста на организацијата да ги заштити своите информациски средства. Меѓународниот стандард го користи концептот на „безбедност на информации“ и го толкува како обезбедување на доверливост, интегритет и достапност на информациите. Основата на стандардот е систем за управување со ризици поврзани со информации. Овој стандард може да се користи и за проценка на усогласеноста на внатрешните и надворешните чинители.

За креирање, имплементирање, работење, континуирано следење, анализа, одржување и подобрување на системот за управување со безбедноста на информациите (ISMS), стандардот го усвојува процесен пристап. Се состои од примена на систем на процеси во една организација, заедно со идентификација и интеракција на овие процеси, како и нивно управување.

Меѓународниот стандард го усвојува моделот Plan-Do-Check-Act (PDCA), кој исто така се нарекува и циклус Shewhart-Deming. Овој циклус се користи за структурирање на сите процеси на ISMS. Слика 2 покажува како ISMS ги зема барањата за безбедност на информациите и очекувањата на засегнатите страни како влез и, преку потребните активности и процеси, произведува резултати за безбедност на информациите кои ги исполнуваат тие барања и очекувања.

Планирањето е фаза на креирање ISMS, креирање попис на средства, проценка на ризиците и избор на мерки.

Слика 2. PDCA модел применет на ISMS процесите

Имплементацијата е фаза на спроведување и спроведување на соодветни мерки.

Верификацијата е фаза на проценка на ефективноста и перформансите на ISMS. Обично го вршат внатрешни ревизори.

Акција - преземање превентивни и корективни активности.

ВОзаклучоци

ISO 27001 опишува општ модел за имплементација и функционирање на ISMS, како и активности за следење и подобрување на ISMS. ISO има намера да усогласи различни стандарди за системи за управување, како што се ISO/IEC 9001:2000, кој се занимава со управување со квалитетот и ISO/IEC 14001:2004, кој се занимава со системи за управување со животната средина. Целта на ISO е да обезбеди конзистентност и интеграција на ISMS со другите системи за управување во компанијата. Сличноста на стандардите овозможува користење на слични алатки и функционалност за имплементација, управување, ревизија, верификација и сертификација. Импликацијата е дека ако компанијата има имплементирано други стандарди за управување, може да користи унифициран системревизија и управување, што е применливо за управување со квалитет, управување со животната средина, управување со безбедноста итн. Со имплементирање на ISMS, повисокото раководство има средства за следење и управување со безбедноста, што ги намалува преостанатите деловни ризици. Откако ќе се имплементира ISMS, компанијата може формално да обезбеди безбедност на информациите и да продолжи да ги исполнува барањата на клиентите, законодавството, регулаторите и акционерите.

Вреди да се напомене дека во законодавството на Руската Федерација постои документ ГОСТ Р ISO/IEC 27001-2006, кој е преведена верзија на меѓународниот стандард ISO27001.

СОчкрипењелитература

1. Корнеев И.Р., Белјаев А.В. Безбедност на информации на претпријатието. - Санкт Петербург: БХВ-Петербург, 2003. - 752 стр.: ил.

2. Меѓународен стандард ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (датум на пристап: 23.05.12)

3.Национален стандард Руска ФедерацијаГОСТ Р ISO/IEC 27003 - "Информациски технологии. Безбедносни методи. Насоки за имплементација на систем за управување со безбедноста на информациите" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (датум на пристап: 23.05.12)

4. Скиба В.Ју., Курбатов В.А. Водич за заштита од инсајдерски закани за безбедноста на информациите. Санкт Петербург: Петар, 2008. -- 320 стр.: ill.

5. Член од слободната енциклопедија „Википедија“, „Систем на управување

безбедност на информациите“ (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (датум на пристап: 23.05.12)

6. Сигурјон Тор Арнасон и Кит Д. Вилет „Како да се постигне сертификат 27001“

Објавено на Allbest.ru

Слични документи

Закани за безбедноста на информациите во претпријатието. Идентификување на недостатоци во системот за информациска безбедност. Цели и задачи на формирање систем за информациска безбедност. Предложени мерки за подобрување на системот за информациска безбедност на организацијата.

работа на курсот, додадена 02/03/2011


Анализа на системот за безбедност на информации во претпријатието. Служба за заштита на информации. Закани за безбедноста на информациите специфични за претпријатието. Методи и средства за безбедност на информациите. Модел на информациски систем од безбедносна перспектива.

работа на курсот, додадена 02/03/2011


Главните фази на создавање на систем за управување во претпријатието Прехранбена индустрија. HACCP како основа на секој систем за управување со безбедноста на храната. Систем за управување со безбедноста прехранбени производи. Опасни фактории превентивни акции.

апстракт, додаден на 14.10.2014 година


Модерни системиуправување и нивна интеграција. Интегрирани системи за управување со квалитет. Карактеристики на АД „275 АРЗ“ и неговиот систем за управување. Развој на систем за управување со заштита на трудот. Методи за проценка на интегриран безбедносен систем.

теза, додадена 31.07.2011


Имплементација на систем за управување со квалитет. Сертификација на системи за управување со квалитет (ISO 9000), управување со животната средина (ISO 14 000), системи за управување со здравјето и безбедноста при работа на организации (OHSAS 18 001: 2007) користејќи го примерот на Lenta OJSC.

апстракт, додаден 10/06/2008


Изработка на стандард за организирање на интегриран систем за управување, воспоставување унифицирана процедура за спроведување на процесот на управување со документација. Фази на создавање систем за управување со квалитет во АД ЗСМК. Поставување електронски верзии на документи.

теза, додадена на 01.06.2014 година


Хиерархиски дијаграм на вработени. Алатки за безбедност на информации. Прашања за безбедносната состојба. Шема текови на информациипретпријатија. Методи за следење на интегритетот на информацискиот систем. Моделирање на контрола на пристап до информации за услугата.

работа на курсот, додадена на 30.12.2011 година


Концептот на информациски систем за управување и неговото место во целокупниот систем на управување. Видови информациски системи и нивната содржина. Концептот на менаџментот како информациски систем. Функции на системот за финансиско управување. Системи за правење трансакции и операции.

апстракт, додаден 01.06.2015


Концепти од областа на здравјето и безбедноста. ISO меѓународни стандарди за системи за управување со квалитет, системи за управување со животната средина, системи за управување со безбедност и здравје при работа. Адаптација на стандардот OHSAS 18001-2007.

работа на курсот, додадена 21.12.2014


Карактеристики на управување со информации; субјекти на информации и правни односи; правен режим за примање, пренесување, складирање и користење на информации. Карактеристики и правни аспектиразмена на информации и безбедност на информации.

ГОСТ Р ISO/IEC 27001-2006 " Информациска технологија. Методи и средства за обезбедување безбедност. Системи за управување со безбедноста на информациите. Барања"

Развивачите на стандардот забележуваат дека тој е подготвен како модел за развој, имплементација, функционирање, следење, анализа, поддршка и подобрување на систем за управување со безбедноста на информациите (ISMS). ISMS (англиски - систем за управување со безбедноста на информациите; ISMS) е дефиниран како дел од целокупниот систем за управување, базиран на употреба на методи за проценка на деловниот ризик за развој, имплементација, работење, следење, анализа, поддршка и подобрување на безбедноста на информациите. Системот за управување вклучува организациска структура, политики, планирање на активности, распределба на одговорности, практични активности, процедури, процеси и ресурси.

Стандардот претпоставува употреба на процесен пристап за развој, имплементација, работење, следење, анализа, поддршка и подобрување на ISMS на организацијата. Се заснова на моделот Планирај - Направи - Провери - Акт (PDCA), кој може да се примени при структурирање на сите процеси на ISMS. На сл. Слика 4.4 покажува како ISMS, користејќи ги барањата за безбедност на информациите и очекувањата на засегнатите страни како влез, произведува излези за безбедност на информациите кои ги исполнуваат тие барања и очекуваните резултати преку потребните активности и процеси.

Ориз. 4.4.

На сцената „Развој на систем за управување со безбедноста на информациите“Организацијата мора да го направи следново:

• - утврдување на опсегот и границите на ISMS;
• - ја одредува политиката на ISMS врз основа на карактеристиките на бизнисот, организацијата, нејзината локација, средствата и технологиите;
• - утврдување на пристапот за проценка на ризикот во организацијата;
• - да ги идентификува ризиците;
• - анализира и проценува ризици;
• - идентификуваат и оценуваат различни опциитретман на ризик;
• - избираат цели и контролни мерки за третман на ризик;
• - да добие одобрение од раководството за проценетите преостанати ризици;
• - да добие дозвола за управување за имплементација и управување со ISMS;
• - подготви Изјава за применливост.

сцена" Имплементација и функционирање на систем за управување со безбедноста на информациите“сугерира дека организацијата треба:

• - да развијат план за третман на ризик кој ги дефинира соодветните активности за управување, ресурси, одговорности и приоритети во однос на управувањето со ризикот од безбедноста на информациите;
• - спроведување на план за третман на ризик за да се постигнат планираните цели на управување, вклучително и прашањата за финансирање, како и распределбата на функциите и одговорностите;
• - спроведување на избрани мерки за управување;
• - одредува како да се измери ефективноста на избраните мерки за управување;
• - спроведува програми за обука и професионален развој за вработените;
• - управува со работата на ISMS;
• - управување со ресурсите на ISMS;
• - спроведување на процедури и други мерки за управување за да се обезбеди брзо откривање на настани за безбедноста на информациите и одговор на инциденти поврзани со безбедноста на информациите.

Трета фаза“ Спроведување на мониторинг и анализа на системот за управување со безбедноста на информациите“бара:

• - спроведува постапки за следење и анализа;
• - спроведува редовна анализа на ефективноста на ISMS;
• - мерење на ефективноста на контролните мерки за проверка на усогласеноста со барањата за безбедност на информациите;
• - да ги прегледа проценките на ризикот во утврдени временски периоди, да ги анализира резидуалните ризици и утврдените прифатливи нивоа на ризик, земајќи ги предвид промените;
• - врши внатрешна ревизија на ISMS во утврдени временски периоди;
• - редовно спроведува ISMS анализа од страна на раководството на организацијата со цел да се потврди адекватноста на системот на функционирање и да се утврдат областите за подобрување;
• - ажурирање на плановите за безбедност на информациите земајќи ги предвид резултатите од анализата и мониторингот;
• - евиденција на активности и настани кои можат да влијаат на ефективноста или функционирањето на ISMS.

И конечно, сцената „Поддршка и подобрување на системот за управување со безбедноста на информациите“предлага организацијата редовно да ги спроведува следните активности:

• - да се идентификуваат можностите за подобрување на ISMS;
• - да ги преземе потребните корективни и превентивни активности, да го искористи во пракса искуството за безбедноста на информациите стекнато и во сопствена организација, и во други организации;
• - да се доставуваат детални информации за активностите за подобрување на ISMS на сите заинтересирани страни, а нивото на детали треба да биде соодветно на околностите и, доколку е потребно, да се договорат за понатамошни активности;
• - да се обезбеди спроведување на подобрувањата на ISMS за да се постигнат планираните цели.

Понатаму, стандардот обезбедува барања за документација, која треба да вклучува одредби од политиката ISMS и опис на опсегот на работа, опис на методологијата и извештај за проценка на ризикот, план за третман на ризик и документација за поврзаните процедури. Треба да се дефинира и процесот за управување со ISMS документи, вклучувајќи ажурирање, користење, складирање и уништување.

За да се обезбедат докази за усогласеност со барањата и ефективноста на ISMS, неопходно е да се одржува и одржува евиденција за извршување на процесите. Примерите вклучуваат дневници на посетители, ревизорски извештаи итн.

Стандардот наведува дека раководството на организацијата е одговорно за обезбедување и управување со ресурсите потребни за создавање на ISMS, како и за организирање на обука на персоналот.

Како што беше претходно забележано, организацијата мора, во согласност со одобрениот распоред, да спроведе внатрешни ISMS ревизии за да ја процени нејзината функционалност и усогласеност со стандардот. И менаџментот мора да спроведе анализа на системот за управување со безбедноста на информациите.

Треба да се работи и на подобрување на системот за управување со безбедноста на информациите: да се зголеми неговата ефикасност и нивото на усогласеност со моменталната состојба на системот и барањата за него.

Вовед

Брзо растечко претпријатие, како и гигант во својот сегмент, е заинтересиран да оствари профит и да се заштити од влијанието на напаѓачите. Ако претходно главната опасност била кражба материјални средства, тогаш денес главната улога на кражбата се јавува во однос на вредните информации. Превод на значителен дел од информациите во електронска форма, употребата на локални и глобалните мрежисоздаваат квалитативно нови закани за доверливите информации.

Банките, менаџерските организации и осигурителните компании се особено чувствителни на истекување на информации. Заштитата на информации во претпријатието е збир на мерки кои обезбедуваат безбедност на податоците на клиентите и вработените, важни електронски документии секакви информации, тајни. Секое претпријатие е опремено компјутерска опремаи пристап до World Wide Web. Напаѓачите вешто се поврзуваат со речиси секоја компонента на овој систем и, користејќи голем арсенал (вируси, малициозен софтвер, погодување лозинка, итн.), крадат вредни информации. Во секоја организација мора да се имплементира систем за безбедност на информации. Менаџерите треба да собираат, анализираат и класифицираат сите видови информации кои треба да бидат заштитени и да користат соодветен безбедносен систем. Но, тоа нема да биде доволно, бидејќи, покрај технологијата, постои и човечки фактор кој исто така може успешно да протече информации до конкурентите. Важно е правилно да ја организирате заштитата на вашето претпријатие на сите нивоа. За овие цели се користи систем за управување со безбедноста на информациите, со чија помош менаџерот ќе воспостави континуиран процес на деловно следење и ќе обезбеди високо ниво на безбедност на своите податоци.

1. Релевантност на темата

За секој модерно претпријатие, компанија или организација, една од најважните задачи е да се обезбеди безбедност на информациите. Кога претпријатието постојано го штити својот информациски систем, тоа создава доверлива и сигурна средина за своите активности. Оштетувањето, истекувањето, неинформираноста и кражбата на информации се секогаш загуби за секоја компанија. Затоа, создавањето на систем за управување со безбедноста на информациите кај претпријатијата е актуелно прашање на нашето време.

2. Цели и цели на студијата

Анализирајте ги начините за создавање систем за управување со безбедноста на информациите во претпријатието, земајќи ги предвид карактеристиките на регионот Донецк.

• спроведе анализа моментална состојбасистеми за управување со безбедноста на информациите кај претпријатијата;
• идентификување на причините за создавање и имплементација на систем за управување со безбедноста на информациите кај претпријатијата;
• развие и имплементира систем за управување со безбедноста на информациите користејќи пример претпријатија на PrJSCФабрика за опрема за спасување од рудници во Доњецк;
• оцени ја ефективноста, ефикасноста и економската изводливост на имплементација на систем за управување со безбедноста на информациите во претпријатието.

3. Систем за управување со безбедноста на информациите

Безбедноста на информациите се подразбира како состојба на безбедност на информациите и поддршка на инфраструктурата од случајни или намерни влијанија од природна или вештачка природа (информациски закани, закани за безбедноста на информациите), што може да предизвика неприфатлива штета на субјектите на информациските односи.

Достапноста на информациите е сопственост на системот за да обезбеди навремен, непречен пристап на подобните (овластени) субјекти до информации од интерес за нив или да врши навремена размена на информации меѓу нив.

Интегритетот на информациите е својство на информацијата што ја карактеризира нејзината отпорност на случајно или намерно уништување или неовластена промена. Интегритетот може да се подели на статичен (сфатен како непроменливост на информациските објекти) и динамичен (се однесува на правилното извршување на сложени дејства (трансакции)).

Доверливоста на информациите е својство на информациите да бидат познати и достапни само за овластени субјекти на системот (корисници, програми, процеси). Доверливоста е најразвиениот аспект на информациската безбедност кај нас.

Системот за управување со безбедноста на информациите (во понатамошниот текст ISMS) е дел од целокупниот систем за управување заснован на пристапи кон деловниот ризик, наменет за воспоставување, имплементација, управување, следење, одржување и подобрување на безбедноста на информациите.

Главните фактори кои влијаат на заштитата на информациите и податоците во едно претпријатие се:

• Зголемување на соработката на компанијата со партнерите;
• Автоматизација на деловните процеси;
• Трендот кон раст на обемот на информации за претпријатието што се пренесуваат преку достапните комуникациски канали;
• Има нагорен тренд кај компјутерските криминали.

Задачите на информациските безбедносни системи на компанијата се повеќеслојни. На пример, ова е обезбедување сигурно складирање на податоци на различни медиуми; заштита на информациите што се пренесуваат преку комуникациските канали; ограничување на пристапот до некои податоци; создавање резервни копии и многу повеќе.

Целосното обезбедување на безбедноста на информациите на компанијата е можно само со правилен пристап кон заштитата на податоците. Системот за безбедност на информации мора да ги земе предвид сите моментални закани и слабости.

Еден од повеќето ефективни алаткиуправување и заштита на информации е систем за управување со безбедноста на информациите изграден врз основа на моделот MS ISO/IEC 27001:2005. Стандардот се заснова на процесен пристап за развој, имплементација, работење, следење, анализа, одржување и подобрување на ISMS на компанијата. Се состои од креирање и примена на систем на процеси на управување кои се меѓусебно поврзани во континуиран циклус на планирање, имплементација, верификација и подобрување на ISMS.

Овој меѓународен стандард е подготвен да обезбеди модел за имплементација, имплементација, функционирање, следење, анализа, одржување и подобрување на ISMS.

Главните фактори за имплементација на ISMS:

• законодавни - барања на постојното национално законодавство во однос на безбедноста на информациите, меѓународни барања;
• конкурентна - усогласеност со нивото, елитизам, заштита на нечии нематеријални средства, супериорност;
• антикриминални - заштита од напаѓачи (криминалци од белата јака), спречување на незаконски активности и прикриен надзор, собирање докази за постапка.

Структурата на документацијата од областа на информациската безбедност е прикажана на слика 1.

Слика 1 — Структура на документацијата за безбедност на информациите

4. Изградба на ISMS

Застапниците на ISO пристапите го користат моделот PDCA за да создадат ISMS. ISO го користи овој модел во многу од своите стандарди за управување и ISO 27001 не е исклучок. Дополнително, следењето на моделот PDCA при организирање на процесот на управување ви овозможува да ги користите истите техники во иднина - за управување со квалитет, управување со животната средина, управување со безбедноста, како и во други области на управување, што ги намалува трошоците. Затоа, PDCA е одличен избор кој целосно одговара на предизвиците за создавање и одржување на ISMS. Со други зборови, фазите на PDCA дефинираат како да се воспостават политики, цели, процеси и процедури соодветни на ризиците што се третираат (фаза на планирање), имплементација и работа (фаза Do), евалуација и, каде што е можно, мерење на резултатите од процесот од гледна точка на перспективата на политиката (фаза на проверка), изврши корективни и превентивни активности (фаза на подобрување - Акт). Дополнителни концепти кои не се вклучени во ISO стандардите кои можат да бидат корисни при креирањето на ISMS се: достојна состојба; состојба како што е (како што е); план за транзиција.

Основата на стандардот ISO 27001 е системот за управување со информациски ризик.

Фази на креирање ISMS

Како дел од работата за создавање на ISMS, може да се разликуваат следните главни фази:

Слика 2 - PDCA модел за управување со безбедноста на информациите (анимација: 6 рамки, 6 повторувања, 246 килобајти)

5. Управување со информациски ризик

Управувањето со ризикот се разгледува на административно ниво на безбедноста на информациите, бидејќи само раководството на организацијата може да ги распредели потребните ресурси, да иницира и контролира спроведувањето на релевантните програми.

Употребата на информациски системи е поврзана со одреден збир на ризици. Кога потенцијалната штета е неприфатливо голема, мора да се преземат економски изводливи заштитни мерки. Потребна е периодична (повторна) проценка на ризиците за да се следи ефективноста на безбедносните активности и да се земат предвид промените во опкружувањето.

Суштината на управувањето со ризикот е да се процени големината на ризикот, да се развијат ефективни и ефективни мерки за ублажување на ризикот и потоа да се осигура дека ризиците се содржани (и остануваат такви) во прифатливи граници.

Процесот на управување со ризик може да се подели на следниве фази:

1. Избор на предмети што треба да се анализираат и ниво на детали за нивното разгледување.
2. Избор на методологија за проценка на ризик.
3. Идентификација на имот.
4. Анализа на заканите и нивните последици, идентификација на безбедносни пропусти.
5. Проценка на ризик.
6. Избор на заштитни мерки.
7. Имплементација и тестирање на избрани мерки.
8. Проценка на резидуален ризик.

Управувањето со ризик, како и секоја друга активност за безбедност на информации, мора да биде интегрирано во животниот циклус на ИС. Тогаш ефектот е најголем, а трошоците минимални.

Многу е важно да се избере разумна методологија за проценка на ризикот. Целта на оценувањето е да се одговори на две прашања: се постоечки ризици, а ако не, каква заштитна опрема треба да се користи. Ова значи дека проценката мора да биде квантитативна, што овозможува споредба со претходно избраните граници на допуштеност и трошоците за имплементација на нови безбедносни регулатори. Управувањето со ризик е типичен проблем за оптимизација, а ги има неколку софтверски производишто може да помогне во неговото решавање (понекогаш таквите производи едноставно се вклучени во книгите за безбедност на информациите). Основната тешкотија, сепак, лежи во неточноста на изворните податоци. Можете, се разбира, да се обидете да добиете паричен израз за сите анализирани количини, да пресметате сè до најблискиот денар, но нема поента во ова. Попрактично е да се користат конвенционални единици. Во наједноставниот и целосно прифатлив случај, можете да користите скала со три точки.

Главни фази на управување со ризик.

Првиот чекор во анализата на заканите е да се идентификуваат. Видовите на закани што се разгледуваат треба да се изберат врз основа на размислувања за здрав разум (со исклучок, на пример, земјотреси, но не заборавајќи ја можноста организацијата да биде заробена од терористи), но во рамките на избраните типови, да се изврши најдетална анализа.

Препорачливо е да се идентификуваат не само самите закани, туку и изворите на нивното појавување - ова ќе помогне во изборот на дополнителни средства за заштита.

По идентификувањето на заканата, неопходно е да се процени веројатноста за нејзино спроведување. Прифатливо е да се користи скала со три точки (ниска (1), средна (2) и висока (3) веројатност).

Доколку некои ризици се покажат како неприфатливо високи, неопходно е да се неутрализираат со спроведување на дополнителни заштитни мерки. Вообичаено, за да се елиминира или неутрализира ранливоста што ја направи заканата реална, постојат неколку безбедносни механизми, кои се разликуваат по ефективност и цена.

Како и секоја друга активност, имплементацијата и тестирањето на новите безбедносни прописи треба однапред да се планираат. Планот мора да ја земе предвид достапноста на средствата и времето на обука на персоналот. Ако ние зборуваме заза механизмот за заштита на софтверот и хардверот, треба да подготвите план за тестирање (автономно и сеопфатно).

Кога ќе се преземат планираните мерки, неопходно е да се провери нивната ефикасност, односно да се осигура дека преостанатите ризици станале прифатливи. Ако навистина е така, тогаш можете безбедно да го одредите датумот за следната ревалоризација. Во спротивно, ќе мора да ги анализирате направените грешки и веднаш да спроведете повторувачка сесија за управување со ризик.

заклучоци

Секој менаџер на компанија се грижи за својот бизнис и затоа мора да разбере дека одлуката да се имплементира систем за управување со безбедноста на информациите (ISMS) е важен чекор што ќе ги минимизира ризиците од губење на средствата на компанијата/организацијата и ќе ги намали финансиските загуби, а во некои случаи избегне банкрот.

Безбедноста на информациите е важна за бизнисите и во приватниот и во јавниот сектор. Треба да се смета како алатка за проценка, анализа и минимизирање на релевантните ризици.

Безбедност што може да се постигне технички средства, има свои ограничувања и треба да биде поддржано со соодветни практики и процедури за управување.

Утврдувањето на контролите бара внимателно планирање и внимание.

За ефикасна заштита на информациите, мора да се развијат најсоодветните безбедносни мерки, што може да се постигне со идентификување на главните ризици од информациите во системот и спроведување на соодветни мерки.

Бијачуев Т.А. Безбедност на корпоративни мрежи / ед. Л.Г. Осовецки. - Санкт Петербург: издавачка куќа на Државниот универзитет во Санкт Петербург ITMO, 2006. - 161 стр.

Развивачите на стандардот забележуваат дека тој е подготвен како модел за развој, имплементација, функционирање, следење, анализа, поддршка и подобрување на систем за управување со безбедноста на информациите (ISMS). ISMS (англиски: Information Security Management system; ISMS) е дефиниран како дел од целокупниот систем за управување, базиран на употреба на методи за проценка на деловниот ризик за развој, имплементација, работење, следење, анализа, поддршка и подобрување безбедност на информации. Системменаџментот вклучува организациона структура, политики, активности за планирање, одговорности, практики, процедури, процеси и ресурси.

Стандардот ја претпоставува употребата процесен пристапза развој, имплементација, одржување, следење, анализа, поддршка и подобрување на ISMS на организацијата. Се заснова на моделот Планирај - Направи - Провери - Акт (PDCA), кој може да се примени при структурирање на сите процеси на ISMS. На сл. Слика 2.3 покажува како ISMS, користејќи ги барањата за безбедност на информациите и очекувањата на засегнатите страни како влез, произведува излези за безбедност на информациите кои ги исполнуваат тие барања и очекуваните резултати преку потребните активности и процеси.

Во фазата на развој на систем за управување со безбедноста на информациите, организацијата мора да го спроведе следново:

• определување на опсегот и границите на ISMS;
• дефинирање на политиката на ISMS врз основа на карактеристиките на бизнисот, организацијата, локацијата, средствата и технологијата;
• одредување на пристапот за проценка на ризикот во организацијата;
• идентификуваат ризици;
• анализираат и проценуваат ризици;
• идентификуваат и проценуваат различни опции за третман на ризик;
• изберете цели и контроли за третман на ризик;
• добие одобрение од раководството на предложените резидуални ризици;
• да добие дозвола за управување за имплементација и управување со ISMS;
• подготви Изјава за применливост.

Ориз. 2.3.

Фазата „имплементација и функционирање на системот за управување со безбедноста на информациите“ претпоставува дека организацијата мора да го стори следново:

• да развијат план за третман на ризик кој ги дефинира соодветните активности за управување, ресурси, одговорности и приоритети во однос на управувањето со ризикот од безбедноста на информациите;
• спроведување на план за управување со ризик за да се постигнат планираните цели на управување, вклучително и прашањата за финансирање, како и распределбата на улогите и одговорностите;
• спроведување на избрани мерки за управување;
• утврди како да се измери ефективноста на избраните мерки за управување;
• спроведување на програми за обука и професионален развој за вработените;
• управуваат со работата на ISMS;
• управување со ресурсите на ISMS;
• спроведување на процедури и други мерки за управување за да се обезбеди брзо откривање на настаните од безбедноста на информациите и одговор на инциденти за безбедноста на информациите.

Третата фаза „Следење и анализа на системот за управување со безбедноста на информациите“ бара:

• спроведување на постапки за следење и анализа;
• врши редовна анализа на ефективноста на ISMS;
• мерење на ефективноста на контролните мерки за проверка на усогласеноста со барањата за безбедност на информациите;
• да ги прегледа проценките на ризикот во одредени периоди, да ги прегледа преостанатите ризици и да воспостави прифатливи нивоа на ризик, земајќи ги предвид промените;
• спроведува внатрешна ревизија на ISMS во утврдени периоди;
• Раководството на организацијата редовно врши анализа на ISMS со цел да се потврди соодветноста на неговото функционирање и да се идентификуваат областите за подобрување;
• ажурирање на плановите за безбедност на информациите земајќи ги предвид резултатите од анализата и мониторингот;
• евиденција на активности и настани кои можат да влијаат на ефективноста или функционирањето на ISMS.

Конечно, фазата „Одржување и подобрување на системот за управување со безбедноста на информациите“ претпоставува дека организацијата мора редовно да ги спроведува следните активности:

• идентификуваат можности за подобрување на ISMS;
• преземете ги потребните корективни и превентивни активности, искористете го во пракса искуството за безбедноста на информациите стекнато и во вашата организација и во други организации;
• доставуваат детални информации за активностите за подобрување на ISMS на сите заинтересирани страни, со ниво на детали соодветно на околностите и, доколку е потребно, договарање за понатамошни активности;
• обезбеди имплементација на подобрувања на ISMS за да се постигнат планираните цели.

Понатаму, стандардот обезбедува барања за документација, која, особено, треба да ги содржи одредбите од политиката ISMS и опис на опсегот на работа, опис на методологијата и извештај за проценка на ризикот, план за третман на ризик и документација за поврзани процедури. Треба да се дефинира и процесот за управување со ISMS документи, вклучувајќи ажурирање, користење, складирање и уништување.

За да се обезбедат докази за усогласеност со барањата и ефективноста на ISMS, неопходно е да се одржува и одржува евиденција за извршување на процесите. Примерите вклучуваат дневници на посетители, ревизорски извештаи итн.

Стандардот наведува дека раководството на организацијата е одговорно за обезбедување и управување со ресурсите потребни за создавање на ISMS, како и за организирање на обука на персоналот.

Како што беше претходно забележано, организацијата мора, во согласност со одобрениот распоред, да спроведе внатрешни ISMS ревизии за да ја процени нејзината функционалност и усогласеност со стандардот. И менаџментот мора да спроведе анализа на системот за управување со безбедноста на информациите.

Треба да се работи и на подобрување на системот за управување со безбедноста на информациите: да се зголеми неговата ефикасност и нивото на усогласеност со моменталната состојба на системот и барањата за него.

Навистина, тоа е незгодно. Известивме за претстојното објавување на стандардот ISO 45001, кој треба да го замени сегашниот стандард за управување со безбедност и здравје при работа OHSAS 18001, и рековме дека треба да го очекуваме на крајот на 2016 година... Речиси е полноќ, а сè уште нема знаци на Херман. Време е да се признае дека ISO 45001 е одложен. Точно, според добри причини. Експертската јавност имаше премногу прашања за него. […]