Система менеджмента информационной безопасности организации. Система менеджмента информационной безопасности

Работу предприятий в 21 веке трудно представить без информационных и коммуникационных технологий. Информация — неотъемлемый компонент всех сфер деятельности предприятия, средство, без которого невозможно решать множество усложняющихся задач, стоящих перед предприятием.

Информация обладает несколькими характеристками, и одна из важнейших — безопасность. Информационная безопасность напрямую влияет на функционирование бизнеса, конкурентоспособность, имидж на рынке и, в конечном итоге, на финансовые показатели. Достаточно часто под ней понимают ограничение доступа сторонних лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью.

Лучшей мировой практикой в области управления информационной безопасностью признан международный стандарт ISO/IEC 27001:2005 (ISO 27001). Он устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы. Данный стандарт определяет информационную безопасность как «сохранение конфиденциальности, целостности и доступности информации».

Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия.

Целостность — обеспечение точности и полноты информации, а также методов ее обработки.

Доступность — обеспечение доступа к информации авторизованным пользователям в нужный момент времени.

Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба. Чтобы понять суть информационной безопасности необходимо наглядно представить всю цепочку, в которую входят информация, информационные потоки, свойства этих потоков, информационные проблемы. Только после этого можно осознать роль информационной безопасности.

ЖИЗНЕННЫЙ ЦИКЛ И ПОТОКИ ИНФОРМАЦИИ

Начнем с ключевого элемента жизнеобеспечения предприятия — информации.

Информация на предприятии находится в постоянном движении: где-то возникает, где-то накапливается, куда-то передается, кем-то используется на протяжении определенного времени и в конце концов становится ненужной. Таким образом формируется цикл жизни определенной информации. Каждый из этапов данного цикла (или набор этих этапов) можно рассматривать как информационный поток . В такие потоки на предприятии входит информация, необходимая:

• для принятия управленческих решений (экономические показатели собственного предприятия и конкурентов, данные о функционировании бизнес-процессов, данные о поставщиках, о рынке сбыта);
• для выполнения оперативных бизнес-целей (результаты управленческих решений, оперативные задания и корректировки, информация о сырье и материалах, требования заказчиков);
• для обеспечения работы бизнес-процессов (описания процессов и их взаимосвязей, методическая документация, административная документация).

Можно выделить следующие свойства информационных потоков :

• краткосрочность — информация важна в определенный момент времени,
• открытость — информация предприятия представляет интерес для третьих лиц (клиентов, поставщиков, конкурентов),
• склонность к росту — объем информации на предприятии велик и постоянно растет,
• изменчивость — информационные потоки на предприятии находятся в постоянном движении.

Необходимо заметить, что под информацией следует понимать все данные, представляющие интерес для предприятия и находящиеся в любом виде — в бумажном, электронном, звуковом (телефонные переговоры), графическом (слайды). Выделять электронный вид информации и подходить к нему как-то особенно с точки зрения безопасности не стоит, т. к. информация образует информационные потоки, которые зачастую формируются на бумаге или в устной речи, затем превращаются в электронный документ, пересылаются посредством электронной почты (факса), а затем могут быть распечатаны на бумаге. Вместе с тем электронная информация обладает дополнительными свойствами как положительными :

• ее можно быстро доставить в любую точку;
• можно оперативно создавать новые электронные документы на базе существующих;
• можно накапливать большие объемы информации, предоставляя удобный и оперативный доступ к необходимой ее части;

так и отрицательными :

• ее достаточно просто повредить или уничтожить;
• она легко может попасть в руки конкурента.

На каждом из этапов жизненного цикла информации действуют различные факторы, стремящиеся нарушить естественное, то есть бесконфликтное, течение информационных потоков. Обобщающим для различных факторов такого рода (объективных и субъективных) является понятие угроз информационной безопасности. Угрозы не появляются просто так. Возникновение угроз связано с наличием уязвимостей в информационных системах предприятий.

Примеры информационных угроз и уязвимостей, приводящих к возникновению угроз:

• попадание коммерческой информации к конкурентам (слабая система контроля доступа к информационным ресурсам сторонних лиц);
• частичная или полная потеря информации по разработке нового продукта (пожар в архиве, уход с работы ключевого сотрудника);
• несвоевременность получения информации (отсутствие четких правил по предоставлению информации, сбой в работе компьютерного оборудования);
• некорректность полученной информации для выполнения оперативных бизнес-целей, (ошибка оператора из-за недостаточной квалификации или уровня контроля ввода данных).

Основной задачей СМИБ по требованиям ISO 27001 является предотвращение происшествий, причиняющих ущерб бизнесу, путем эффективного ограничения внутренних и внешних умышленных и неумышленных угроз и уязвимостей.

ИСТОРИЯ РАЗВИТИЯ ISO 27001

Развитие информационных систем в начале 90-х годов привело к необходимости создания стандарта по управлению безопасностью. По запросу британского правительства и промышленности британский департамент торговли и промышленности разработал Практики к СМИБ . В разработке этого документа принимали участие British Telecom, Marks and Spencer, National Westminster Bank, Nationwide, Shell International, Unilever и др. Дальнейший путь развития стандарта был таким:

1995 г. Появление британского стандарта BS 7799-1:1995. Часть 1 описывает принципы и структуру СМИБ.

1998 г. Новая редакция BS 7799-1:1998. Появление стандарта BS 7799-2:1998. Часть 2 — Требования к СМИБ. Позволяет проводить сертификацию СМИБ. С этого момента появилась возможность проводить сертификацию по британскому стандарту.

1999 г. Новая редакция BS 7799-1:1999. Новая редакция BS 7799-2:1999

2000 г. Появление международного стандарта ISO 17799:2000. С этого момента стандарт BS 7799-1:1999 получил международное признание.

2001 г. Новая редакция BS 7799-2:2001.

2002 г. Новая редакция BS 7799-2:2002.

2003 г. Национальный Банк Молдовы выдвинул требования к коммерческим банкам о внедрении СМИБ на основе ISO 17799:2000.

2004 г. Белоруссия приняла национальный ГОСТ 17799. Центробанк РФ на базе ISO 17799:2000 создал стандарт управления информационной безопасностью для банковской сферы.

2005 г. Появление стандарта ISO/IEC 27001:2005, который заменил BS 7799-2:2002. Новая редакция ISO 17799:2005 (вскоре будет переименован в ISO/IEC 27002).

2006 г. Россия работает над переводом стандартов ISO 17799:2005 и ISO 27001:2005. В России и Украине появились специалисты по разработке СМИБ. Предприятия стран СНГ ведут работы по разработке СМИБ. Международные сертифицирующие органы получили аккредитацию на право проведения сертификации.

2007 г. Появление российского государственного стандарта ГОСТ Р ИСО/МЭК 17799:2005 (аналог ISO 17799:2000). Ожидается появление ГОСТ Р ИСО 17799:2007 и ГОСТ Р ИСО 27001:2007. Ожидается начало работ в Украине по выпуску ДСТУ ИСО 17799 и ДСТУ ИСО 27001.

Начальный стандарт BS 7799 прошел долгий путь, с чередой испытаний и корректировок. Важнейшим этапом в его «карьере» стал 2005 г., когда стандарт, позволяющий оценивать СМИБ, был признан международным (то есть подтверждена состоятельность его требований к современной СМИБ). С этого момента передовые предприятия во всем мире начали активно внедрять стандарт ISO 27001 и проводить подготовку к сертификации.

СТРУКТУРА ISO 27001

Знакомство со СМИБ лучше всего начинать с изучения лучших мировых практик в области информационной безопасности, приведенных в стандарте ISO 27001, который отличается логичным и понятным изложением, а лучшие практики сформулированы в качестве четких требований. Стандарт состоит из четырех частей.

Первая часть «Общие положения» содержит информацию о назначении стандарта, его связи с другими стандартами по ИБ, а также термины и определения.

Вторая часть «Требования к СМИБ» является основной. Она выдвигает обязательные для выполнения требования к СМИБ и позволяет на их основе построить эффективную систему. Общие требования занимают всего девять страниц и содержат следующие разделы: «Система менеджмента информационной безопасности», «Обязательства руководства», «Внутренние аудиты СМИБ», «Анализ СМИБ руководством», «Совершенствование СМИБ».

Третья часть «Приложение А. Цели и меры контроля» описывает конкретные требования к каждому направлению информационной безопасности (всего 11 направлений, которые обозначены в соответствии с разделами 5-15 стандарта ISO/IEC 17799:2005).

А5. Политика в области безопасности. Цель: обеспечить четкое управление и поддержку политики в области ИБ со стороны руководства предприятия.

А6. Организация системы безопасности. Цель: создать организационную структуру, которая будет внедрять и обеспечивать работоспособность СМИБ.

А7. Классификация активов и управление. Цель: поддерживать адекватную ИБ путем классификации информационных активов по необходимости и приоритету защиты, распределить ответственность.

А8. Безопасность и персонал. Цель: уменьшить риск человеческих ошибок, хищений и неправильного использования оборудования.

А9. Физическая и внешняя безопасность. Цель: предотвращать несанкционированный доступ, повреждение и нарушение работы информационной системы организации.

А10. Менеджмент компьютеров и сетей. Цель: обеспечить безопасное функционирование компьютеров и сетей.

А11. Управление доступом к системе. Цель: управлять доступом к информации, предотвращать несанкционированный доступ.

А12. Приобретение, разработка и обслуживание информационной системы. Цель: обеспечить выполнение требований безопасности при создании или развитии информационной системы организации, поддерживать безопасность приложений и данных.

А13. Менеджмент инцидентов информационной безопасности. Цель: обеспечить, чтобы сообщение об инцидентах и недостатках ИБ позволяли своевременно предпринять корректирующие действия.

А14. Обеспечение непрерывности бизнеса. Цель: подготовить план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации.

А15. Соответствие законодательству. Цель: обеспечить выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.

Стандарт ISO/IEC 17799:2005 содержит рекомендации по реализации требований «Приложения А» стандарта ISO/IEC 27001:2005. Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить те направления, которые невозможно применить на предприятии.

Четвертая часть стандарта состоит из «Приложения B: связь между принципами OECD и ISO 27001», «Приложения C: связь между ISO 9001:2000, ISO 14001:2004 и ISO 27001» и библиографических ссылок. Эта часть является информативной.

ВЫГОДЫ ВНЕДРЕНИЯ ISO 27001

Приведем выгоды внедрения и сертификации СМИБ на основе стандарта ISO 27001 вместе с требованиями стандарта, которые позволяют получить эти выгоды.

1. Информационные активы станут понятными для менеджмента компании. Организация должна управлять активами

• Инвентаризация активов.
• Определение ответственных за активы.
• Разработать принципы классификации активов по их значимости, правовым требованиям, важности и критичности для организации.
• Идентифицировать активы в соответствии с принципами классификации.

[Стандарт ISO 27001. Прил. А. Требование А.7]

2. Угрозы и уязвимости безопасности для существующих бизнес-процессов будут регулярно выявляться. Организация должна идентифицировать риски:

• Идентифицировать активы.
• Идентифицировать угрозы этим активам.
• Идентифицировать уязвимости, которые могут быть использованы этими угрозами.
• Определить воздействие, которое может привести к потере конфиденциальности, целостности и доступности ресурсов.

[Стандарт ISO 27001. Пункт 4.2.1 г)]

3. Риски будут просчитываться и приниматься решения на основе бизнес%целей компании. Организация должна проанализировать и оценить риски:

• Оценить ущерб бизнесу.
• Оценить вероятность возникновения нарушения.
• Оценить уровни рисков.
• Определить, является ли риск приемлемым или требуется обработка риска с использованием критериев принятия риска.

[Стандарт ISO 27001. Пункт 4.2.1 д)]

4. Управление системой в критичных ситуациях будет эффективным. Организация должна управлять непрерывностью бизнеса:

• Определить и внедрить процессы для непрерывности бизнеса.
• Идентифицировать события, которые могут привести к нарушениям бизнес-процессов, определить возможности и степени влияния.
• Разработать планы восстановления.
• Определить приоритеты планов для их тестирования и поддержки.
• Тестировать и регулярно обновлять планы.

[Стандарт ISO 27001. Прил. А. Требование А.14]

5. Будет проводиться процесс выполнения политики безопасности (находить и исправлять слабые места). Руководство должно:

• Разрабатывать политики СМИБ.
• Устанавливать цели и планы.
• Распределять ответственность в области ИБ.
• Доводить до сведения всех сотрудников.
• Обеспечивать ресурсами.
• Принимать решения о допустимости рисков.
• Обеспечивать проведение внутренних аудитов.
• Проводить анализ СМИБ.

[Стандарт ISO 27001. Пункт 5.1]

6. Подчеркнется прозрачность и чистота бизнеса перед законом благодаря соответствию стандарту. Организация должна:

• Определять применимое законодательство.
• Обеспечить защиту интеллектуальной собственности.
• Обеспечить защиту записей от потери, разрушения и фальсификации в соответствии с требованиями законодательства.
• Обеспечить защиту персональных данных и приватной информации.
• Предотвратить нецелевое использование средств обработки информации пользователем

[Стандарт ISO 27001. Прил. А. Требование А.15.1]

7. Снизится и оптимизируется стоимость поддержки системы безопасности. Стандарт требует идентифицировать и классифицировать активы. Классификацию можно провести в денежном выражении или по качественному признаку. Кроме того, стандарт требует оценить риски. Для принятия объективного решения о финансировании того или иного направления информационной безопасности стандарт требует разработать схему принятия рисков (рис. 1).

Таким образом, объективная оценка сочетаний «ущерб-вероятность» позволить постоянно эффективно финансировать информационную безопасность.

8. Появится надежная защита от рейдерских атак. Рейдеры — специалисты по перехвату оперативного управления или собственности фирмы с помощью специально инициированного бизнес-конфликта. Рейдерство — вывод активов из владения законных собственников. Одна из возможных схем работы рейдера — создать предприятию максимальное количество проблем, а затем забрать у собственников и менеджмента за бесценок с тем, чтобы с тысячекратной прибылью продать предприятие или его имущество третьим сторонам.

Уязвимости предприятия порождают рейдерский захват. Редкие предприятия не имеют «грехов». Эти «грехи», а точнее компрометирующая информация, находится в рамках общей информационной системы предприятия. Закрывая эту информацию от третьих лиц можно избежать инициирования рейдерского захвата.

Сам процесс рейдерского захвата базируется на изучении внутренних процессов предприятия, правил и норм его работы. Эта информация позволяет четко спланировать и провести рейдерский захват в наиболее подходящий момент времени. Закрытие этой информации или дезинформирование рейдеров не позволит осуществить план по захвату предприятия.

9. Подсистема безопасности интегрируется в общую систему менеджмента. СМИБ построена на принципах европейского менеджмента. Требования к общей системе менеджмента нашли свое отражение в стандарте ISO 9001:2000. Стандарт ISO 27001 гармонизирован со стандартом на системы менеджмента качества ISO 9001:2000 и базируется на его основных принципах.

Структура документации по требованиям ISO/IEC 27001:2005 может быть аналогична структуре по требованиям ISO 9001:2000. Большая часть документации, требуемая по ISO/IEC 27001:2005 уже могла быть разработана и использоваться в рамках общей системы менеджмента предприятия.

10. Предприятие получит международное признание и повысит авторитет как на внутреннем, так и на внешних рынках. Для получения этой выгоды необходимо подтвердить соответствие СМИБ требованиям стандарта с помощью третьей независимой стороны. Независимость третьей стороны — ключевой фактор получения вышеуказанных выгод. В качестве третьей стороны выступает сертифицирующий орган. Подтверждение сертифицирующего органа выражается в выдаче сертификата. Уровень доверия клиентов к системе напрямую зависит от доверия клиентов к сертификатам того или иного сертифицирующего органа.

УПРАВЛЕНИЕ РИСКАМИ

Основа стандарта ИСО 27001 — система управление рисками, связанными с информацией.

Система управления рисками позволяет получать ответы на следующие вопросы:

• Какие риски в данный момент угрожают нашим бизнес-процессам?
• На каком направлении информационной безопасности требуется сосредоточить внимание?
• Сколько времени и средств можно потратить на данное техническое решение для защиты информации?

Задача риск-менеджмента — идентификация рисков и управление ими. Риск-менеджмент — это руководство для любых действий как в краткосрочном, так и в долгосрочном разрезе жизнедеятельности организации. Риск-менеджмент уделяет основное внимание превентивным мероприятиям или мероприятиям, смягчающим размеры последствий.

Риск — это комбинация вероятности события и его последствий (ISO/IEC Guide 73).

В пункте 4.2.1 ISO 27001 требуется:

• в) оценить подход к оценке риска в организации (определить метод оценки риска, определить критерии принятия рисков),
• г) идентифицировать риски (идентифицировать активы, идентифицировать угрозы, идентифицировать уязвимости, идентифицировать возможные воздействия, которые могут привести к утрате конфиденциальности, целостности и доступности активов),
• д) проанализировать и оценить риски (оценить ущерб бизнесу, оценить вероятность, оценить уровни рисков, определить приемлемость/неприемлемость рисков),
• е) определить и оценить варианты обработки рисков ,
• ж) выбрать цели и меры контроля для обработки рисков .

Требования стандарта практически служат руководством к внедрению системы менеджмента рисков.

Алгоритм оценки и принятия рисков приведен на рис. 2. Стандарт позволяет проводить как качественную, так и количественную оценку рисков. На практике многие риски трудно или невозможно оценить в количественном эквиваленте.

Методика анализа рисков подробно описана в методике «ИТ-Грундшутц», в стандарте BSI 100-3 , который свободно доступен (www.bsi.de).

МЕТОДИКА ВНЕДРЕНИЯ СМИБ «ИТ-ГРУНДШУТЦ»

Стандарт ISO/IEC 27001:2005 выдвигает требования к СМИБ, но не описывает методику внедрения. Рассмотрим одну из самых простых и надежных в применении методик по созданию СМИБ — «ИТ-Грундшутц». Она разработана германским правительственным федеральным офисом по информационной безопасности (BSI), соответствующие документы находятся в открытом доступе на сайте www.bsi.de. Методика совместима с требованиями ISO/IEC 27001:2005, содержит структурированный и практический подход, а также конкретные, подробно описанные мероприятия по реализации требований ISO/IEC 27001:2005.

Благодаря конкретно сформулированным стандартным мероприятиям (каталоги базовой защиты) для самых разных аспектов информационной безопасности «ИТ-Грундшутц» — наименее затратная методика внедрения. Она базируется на следующих документах.

Стандарты:

• ISO/IEC 27001:2005 — cистемы менеджмента информационной безопасности (требования);
• BSI 100-1 — системы менеджмента информационной безопасности (рекомендации);
• BSI 100-2 — метододика «ИТ-Грундшутц» (как, что и зачем делать, в общем виде);
• BSI 100-3 — анализ рисков на основе методики «ИТ-Грундшутц» (позволяет внедрить систему управления рисками по требованиям ISO/IEC 27001:2005).

Каталоги (постоянно обновляются):

• Часть M. Модули — описывает конкретные действия по разработке СМИБ (например, раздел по разработке политики безопасности включает требования к политике, содержание политики, варианты разработки политики, примеры целей по безопасности, которые вытекают из политики);
• Часть Т. Угрозы. — подробное описание угроз, использованных в Части М (каталог угроз к многочисленным активам);
• Часть S. Методы защиты — подробное описание методов защиты, использованных в Части М (каталог мероприятий по снижению угроз).

НАЦИОНАЛЬНЫЕ ОСОБЕННОСТИ ВНЕДРЕНИЯ

Ответственность. Первоначальный вопрос в наших условиях — это ответственность за функционирование СМИБ. Наличие соответствующей должности не регламентировано в стандарте ISO/IEC 27001:2005, и европейские консультанты, занимающиеся внедрением СМИБ, настаивают на назначении ответственного лица из числа руководства. В наших условиях полномочия и обязанности такового могут быть возложены на одного из следующих лиц: руководитель службы безопасности, руководитель службы качества, руководитель службы ИТ, руководитель службы ИТ-безопасности, первый руководитель.

Место в общей системе менеджмента. В различных отраслях украинской промышленности место СМИБ будет различным, поскольку в отраслях мы имеем разный уровень развития информационных систем, разные степени автоматизации, разную специфику бизнеса.

Крупные предприятия горно-металлургического комплекса, машиностроительные и химические предприятия могут иметь СМИБ такого вида, как на рис. 3а.

Хочу подчеркнуть, что СМИБ практически полностью содержится внутри общей системы менеджмента, т. к. самые важные аспекты безопасности в этом случае — целостность и доступность информации.

Для предприятий финансовой сферы, телекоммуникационных услуг, авиакомпаний, государственных органов законодательной и исполнительной власти, управлений статистики, МВД и СБУ структура может быть такой, как на рис. 3б. В этом случае СМИБ является основой жизнедеятельности организации.

Для предприятий и организаций среднего размера СМИБ может иметь вид, как на рис. 3в.

Естественно, невозможно точно охарактеризовать место СМИБ в организации только в зависимости от отраслевой принадлежности и размеров. Каждое предприятие — всегда уникальный механизм со своим стилем менеджмента, своими технологическими и информационными механизмами.

Вовлечение персонала — еще один немаловажный фактор успеха внедрения СМИБ в Украине. Для реализация его в наших условиях необходимы следующие мероприятия:

• обучение ответственных за внедрение системы;
• разъяснение всем сотрудникам, вовлеченным в СМИБ, необходимости выполнения требований стандарта;
• исключение (минимизация) системы штрафов;
• разработка системы мотивации.

Отсутствие этих мер может значительно снизить эффективность СМИБ

Александр Анатольевич Дмитриев
эксперт по системам
информационной безопасности
ТЮФ Норд Украина (г. Донецк)

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

"Система менеджмента информационной безопасности"

менеджмент международный стандарт

В ведение

Система менеджмента информационной безопасности -- это совокупность процессов, которые работают в компании для обеспеченияконфиденциальности,целостностиидоступностиинформационных активов. В первой части реферата рассматривается процесс внедрения системы менеджмента в организацию, а также приведены основные аспекты выгоды от реализации системы менеджмента информационной безопасности.

Рис.1. Цикл управления

Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование (Рис.1). Этот стандарт будет рассмотрен подробнее во второй части.

С истема менеджмента информационной безопасности

Системой менеджмента информационной безопасности (СМИБ) называют ту часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. Процессы СМИБ созданы в соответствии с требованиям стандарта ISO/IEC 27001:2005, в основе которого лежит цикл

Работа системы основана на подходах современной теории рисков менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.

Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:

· Управление внутренней организацией информационной безопасности.

· Обеспечение информационной безопасности при взаимодействии с третьими сторонами.

· Управление реестром информационных активов и правила их классификации.

· Управление безопасностью оборудования.

· Обеспечение физической безопасности.

· Обеспечение информационной безопасности персонала.

· Планирование и принятие информационных систем.

· Резервное копирование.

· Обеспечение безопасности сети.

Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность -- это результат устойчивого функционирования процессов, связанных с информационными технологиями.

При построении СМИБ в компаниях специалисты проводят следующие работы:

· организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;

· определяют область деятельности (ОД) СМИБ;

· обследуют организацию в ОД СМИБ:

o в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;

o в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;

o в части ИТ инфраструктуры;

o в части ИБ инфраструктуры.

· разрабатывают и согласовывают аналитический отчет, содержащий перечень основных бизнес-процессов и оценку последствий реализации угроз ИБ в их отношении, перечень процессов менеджмента, ИТ-систем, подсистем информационной безопасности (ПИБ), оценку степени выполнения организацией всех требований ISO 27001 и оценку зрелости процессов организации;

· выбирают исходный и целевой уровень зрелости СМИБ, разрабатывают и утверждают Программу повышения зрелости СМИБ; разрабатывают высокоуровневую документацию в области ИБ:

o Концепцию обеспечения ИБ,

o Политики ИБ и СМИБ;

· выбирают и адаптируют методику оценки рисков, применимую в организации;

· выбирают, поставляют и развертывают ПО, используемое для автоматизации процессов СМИБ, организуют обучение специалистов компании;

· проводят оценку и обработку рисков, в ходе которой для их снижения выбираются меры Приложения «А» стандарта 27001 и формулируются требования к их реализации в организации, предварительно выбирают технические средства обеспечения ИБ;

· разрабатывают эскизные проекты ПИБ, производят оценку стоимости обработки рисков;

· организуют утверждение оценки рисков высшим руководством организации и разрабатывают Положения о применимости; разрабатывают организационные меры обеспечения ИБ;

· разрабатывают и реализуют технические проекты по внедрению технических подсистем информационной безопасности, поддерживающих выполнение выбранных мер, включая поставку оборудования, пуско-наладочные работы, разработку эксплуатационной документации и обучение пользователей;

· предоставляют консультации в ходе эксплуатации построенной СМИБ;

· организуют обучение внутренних аудиторов и проведение внутренних аудитов СМИБ.

Результатом данных работ является функционирующая СМИБ. Выгода от реализации СМИБ в компании достигаются за счет:

· эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;

· предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;

· повышения культуры ИБ в организации;

· повышения зрелости в области управления обеспечением ИБ;

· оптимизации расходования средств на обеспечение ИБ.

ISO/IEC 27001-- международный стандарт по информационной безопасности

Этот стандарт разработан совместно Международной Организацией по Стандартизации (ISO) и Международной электротехнической комиссией (IEC). Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания СМИБ. ISO 27001 устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные ресурсы. В международном стандарте используется понятие «защиты информации» и трактуется как обеспечение конфиденциальности, целостности и доступности информации. Основой стандарта является система управления рисками, связанными с информацией. Этот стандарт также можно использовать для оценки соответствия заинтересованными внутренними и внешними сторонами.

Для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшении системы менеджмента защиты информации (СМЗИ) стандарт принимает процессный подход. Он заключается в применении системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением.

Международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA), который еще называют циклом Шухарта-Деминга. Этот цикл применяется для структуризации всех процессов СМЗИ. На Рисунке 2 показано, как СМЗИ берет в качестве входных данных требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям.

Планирование - это фаза создания СМЗИ, создания перечня активов, оценки рисков и выбора мер.

Рисунок 2. Модель PDCA, примененная к процессам СМЗИ

Осуществление - это этап реализации и внедрения соответствующих мер.

Проверка - фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

Действие - выполнение превентивных и корректирующих действий.

В ыводы

ISO 27001 описывает общую модель внедрения и функционирования СМИБ, а также действий по мониторингу и улучшению СМИБ. ISO намеревается гармонизировать различные стандарты по системам менеджмента, такие как ISO/IEC 9001:2000, который посвящен менеджменту качества, и ISO/IEC 14001:2004, предназначенный для систем экологического менеджмента. Цель ISO состоит в том, чтобы обеспечить согласованность и интеграцию СМИБ с другими системами менеджмента в компании. Сходство стандартов позволяет использовать схожий инструментарий и функционал для внедрения, управления, пересмотра, проверки и сертификации. Подразумевается, что если компания внедрила другие стандарты менеджмента, она может использовать единую систему аудита и управления, которая применима к менеджменту качества, экологическому менеджменту, менеджменту безопасности и т.д. Внедрив СМИБ, высшее руководство получает средства мониторинга и управления безопасностью, что снижает остаточные бизнес-риски. После внедрения СМИБ, компания может официально обеспечивать безопасность информации и продолжать выполнять требования клиентов, законодательства, регуляторов и акционеров.

Стоит отметить, что в законодательстве РФ существует документ ГОСТ Р ИСО/МЭК 27001-2006, который представляет собой переведенную версию международного стандарта ISO27001.

С писок литературы

1.Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил.

2.Международный стандартISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (дата обращения: 23.05.12)

3.Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27003 - "Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента Информационной Безопасности"(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (дата обращения: 23.05.12)

4.Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. -- 320 с.: ил.

5.Статья свободной энциклопедии»Википедия», «Система менеджмента

информационной безопасности» (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (дата обращения: 23.05.12)

6.Sigurjon Thor Arnasonи Keith D. Willett "How to Achieve 27001 Certification" («Какподготовитьсяксертификациипостандарту ISO 27001»)

Размещено на Allbest.ru

Подобные документы

Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.

курсовая работа , добавлен 03.02.2011


Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.

курсовая работа , добавлен 03.02.2011


Основные этапы создания системы менеджмента на предприятии пищевой промышленности. HACCP как основа любой системы менеджмента безопасности пищевого продукта. Система менеджмента безопасности пищевых продуктов. Опасные факторы и предупреждающие действия.

реферат , добавлен 14.10.2014


Современные системы менеджмента и их интегрирование. Интегрированные системы менеджмента качества. Характеристика ОАО "275 АРЗ" и его системы менеджмента. Разработка системы управления охраной труда. Методы оценки интегрированной системы безопасности.

дипломная работа , добавлен 31.07.2011


Внедрение системы менеджмента качества. Сертификация систем менеджмента качества (ISO 9000), экологического менеджмента (ISO 14 000), системы управления охраной труда и техникой безопасности организаций (OHSAS 18 001:2007) на примере ОАО "Лента".

реферат , добавлен 06.10.2008


Разработка стандарта организации интегрированной системы менеджмента, устанавливающего единый порядок осуществления процесса управления документацией. Этапы создания системы менеджмента качества ОАО "ЗСМК". Размещение электронных версий документов.

дипломная работа , добавлен 01.06.2014


Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.

курсовая работа , добавлен 30.12.2011


Понятие системы управленческой информации и ее место в общей системе менеджмента. Виды информационных систем и их содержание. Понятие менеджмента как информационной системы. Функции системы управления финансами. Системы совершения сделок и операций.

реферат , добавлен 06.01.2015


Понятия в области охраны здоровья и безопасности труда. Международные стандарты ISO о системах менеджмента качества, системах экологического менеджмента, системах менеджмента профессиональной безопасности и здоровья. Адаптация стандарта OHSAS 18001-2007.

курсовая работа , добавлен 21.12.2014


Характеристика информационного менеджмента; субъектов информационно-правовых отношений; правового режима получения, передачи, хранения и использования информации. Особенности и юридические аспекты информационного обмена и информационной безопасности.

Действующий

Принятие модели PDCA также отражает принципы, установленные в Директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей . Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.

1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности,

2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.

Настоящий стандарт согласован со стандартами "Системы менеджмента качества. Требования" и "Системы управления окружающей средой. Требования и руководство по применению" в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.

Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).

Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Примечание - Термин "бизнес", в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации.

Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в ,

Согласно требованиям стандарта ГОСТ Р ИСО/МЭК 27001-2006. "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования" , организация должна осуществить следующее:

Определить политику СМИБ на основе характеристик бизнеса организации, ее размещения, активов и технологий, которая:


• содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ;
  

  принимает во внимание требования бизнеса, нормативно-правовые требования, а также договорные обязательства по обеспечению безопасности;
  

  согласуется со стратегическим содержанием менеджмента рисков организации, в рамках которого будет разрабатываться и поддерживаться СМИБ;
  

  устанавливает критерии оценки рисков;
  

  утверждается руководством организации.

ГОСТ Р ИСО/МЭК 27002

Цель : Обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с требованиями бизнеса и соответствующими законами и нормами.

Высшее руководство должно установить четкое направление политики в соответствии с целями бизнеса и демонстрировать поддержку и обязательства в отношении обеспечения информационной безопасности посредством разработки и поддержки политики информационной безопасности в рамках организации.

При необходимости следует предусмотреть наличие контактного лица, занимающегося вопросами информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности или группами специалистов, включая соответствующие органы, чтобы находиться в курсе отраслевых тенденций, осуществлять мониторинг стандартов и методов оценки, и обеспечивать адекватные точки контакта при обработке инцидентов информационной безопасности. Следует поощрять многопрофильный подход к обеспечению информационной безопасности.

Должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций.

Политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности. Документ, в котором излагается политика, должен содержать положения относительно:

определения информационной безопасности, ее общих целей и сферы действия, а также упоминания значения безопасности как инструмента, обеспечивающего возможность совместного использования информации;


изложения намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;


подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска;


краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия, например:


• соответствие законодательным требованиям и договорным обязательствам;
  

  требования по обеспечению осведомленности, обучения и тренинга в отношении безопасности;
  

  менеджмент непрерывности бизнеса;
  

  ответственность за нарушения политики информационной безопасности;
  

  определения общих и конкретных обязанностей сотрудников в рамках менеджмента информационной безопасности, включая информирование об инцидентах безопасности;
  

  ссылок на документы, дополняющие политику информационной безопасности, например более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Данная политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в актуальной, доступной и понятной форме.

Политика информационной безопасности может составлять часть документа по общей политике. Если политика информационной безопасности распространяется за пределами организации, следует принимать меры в отношении неразглашения чувствительной информации. Дополнительную информацию можно найти в ИСО/МЭК 13335-1.

ГОСТ Р ИСО/МЭК 27003

Стандарт "ГОСТ Р ИСО/МЭК 27003 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности" рекомендует:

В качестве исходных данных взять:

Приоритеты организации для разработки СМИБ - обобщенные цели и перечень требований;

Составление описания случая применения СМИБ для данного предприятия и плана проекта для утверждения руководством - первоначальное утверждение руководством проекта СМИБ;

Объединение всех областей действия и границ для получения области действия и границ - область действия и границы СМИБ;

Разработку политики СМИБ и получение одобрения руководства - политика СМИБ;

Определение требований к информационной безопасности для процесса СМИБ;

Определение активов в рамках области действия СМИБ;

Проведение оценки информационной безопасности;

Результаты оценки риска и выбора целей и средств управления;

Разработка конечной структуры организации для информационной безопасности;

Разработка основы для документирования СМИБ;

Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями информационной безопасности в отношении использования СМИБ.

Политика информационной безопасности документирует стратегическую позицию организации в отношении информационной безопасности во всей организации.

Политика строится на основе информации и знания. Моменты, признанные руководством важными во время ранее проведенного анализа, должны быть сделаны наглядными, им должно быть уделено особое внимание в политике, чтобы обеспечить стимуляцию и мотивацию в организации. Также важно отметить, что происходит, если не следовать выбранной политике, и подчеркнуть влияния законов и регулирующих положений на рассматриваемую организацию.

Примеры политики информационной безопасности можно взять из справочной литературы, сети Интернет, в сообществах по интересам и отраслевых объединениях. Формулировки и подсказки можно найти в годовых отчетах, других документах по политике или документах, сохраняемых руководством.

Относительно фактического объема документации по политике могут существовать различные интерпретации и требования. Эта документация должна быть в достаточной степени суммирована, чтобы работники организации понимали значение политики. Кроме того, она должна достаточно четко показывать, каких целей необходимо достичь, чтобы установить набор правил и целей организации.

Объем и структура политики информационной безопасности должны подкреплять документы, которые используются на следующем этапе процесса, для введения системы управления информационной безопасностью.

Для больших организаций со сложной структурой (например, с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.

Предлагаемая политика (с номером версии и датой) должна быть подвергнута перекрестной проверке и учреждена в организации оперативным руководителем. После учреждения в группе управления или аналогичном органе оперативный руководитель утверждает политику информационной безопасности. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.

Выходные данные представляют собой документ, описывающий и документирующий утвержденную руководством политику СМИБ. Этот документ должен быть повторно утвержден в следующей фазе проекта, поскольку зависит от результатов оценки риска.

ГОСТ Р ИСО/МЭК 27003-2012. Приложение D. Структура политики

В данном приложении содержатся дополнительные рекомендации по структуре политики, включая политику информационной безопасности.

Политика - это общие намерения и указания, официально выраженные руководством. Содержание политики управляет действиями и решениями, касающимися предмета политики. Организация может иметь несколько политик, по одной для каждой сферы деятельности, важной для организации. Некоторые политики независимы одна от другой, в то время как другие политики находятся в иерархическом соотношении. В области безопасности политики, как правило, иерархически организованы. Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику информационной безопасности и политику системы менеджмента информационной безопасности. В свою очередь, политика информационной безопасности может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам информационной безопасности. Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика информационной безопасности подкрепляется политиками, касающимися контроля доступа, политики «чистого стола» и «чистого экрана», использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.

Согласно стандарту ISO/I ЕС 27001 требуется, чтобы организации имели политику СМИБ и политику информационной безопасности. Однако это не подразумевает каких-либо конкретных соотношений между этими политиками. Эти политики могут разрабатываться как равноправные политики: политика СМИБ может подчиняться политике информационной безопасности, или, наоборот, политика информационной безопасности может подчиняться политике СМИБ.

цели и задачи организации;

стратегии, адаптированные для достижения этих целей;

структуру и процессы, адаптированные организацией;

цели и задачи, связанные с предметом политики;

требования связанных политик более высокого уровня.

Политики могут иметь следующую структуру:

Краткое изложение политики - общее описание из одного-двух предложений.

Введение - краткое объяснение предмета политики.

Область действия - описывает части или действия организации, находящиеся под влиянием политики. При необходимости в пункте «Область действия» перечисляются другие политики, подкрепляемые данной политикой.

Цели - описание назначения политики.

Принципы - описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем - правила выполнения процессов.

Сферы ответственности - кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.

Ключевые результаты - описание результатов, получаемых предприятием, если цели достигнуты.

Связанные политики - описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.

Пример политики информационной безопасности

Далее приведен пример политики информационной безопасности , показывающий ее структуру и пример содержания.

Политика информационной безопасности (Пример)

Краткое изложение политики

Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.

Введение

Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.

Информационная безопасность - это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.

Область действия

Данная политика подкрепляет общую политику безопасности организации.
Данная политика применяется ко всем сотрудникам организации.

Цели информационной безопасности

Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.

Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.

Сохранение целостности материалов бухгалтерского учета.

Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.

Принципы информационной безопасности

Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.

Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность – обеспечение точности и полноты информации, а также методов ее обработки;

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт :2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности.

Стандарт ISO 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

Рис. Система управления СУИБ

• Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:
• Сделать большинство информационных активов наиболее понятными для менеджмента компании
• Выявлять основные угрозы безопасности для существующих бизнес-процессов
• Рассчитывать риски и принимать решения на основе бизнес-целей компании
• Обеспечить эффективное управление системой в критичных ситуациях
• Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
• Четко определить личную ответственность
• Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
• Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000
• Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
• Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
• Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001), то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем, что предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации

По стандарту ISO 27001:2005 проводится официальная сертификация системы управления информационной безопасностью.

Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.

Этапы разработки и внедрения системы управления ИБ

Можно выделить следующие основные этапы разработки системы управления ИБ:

• Инвентаризация активов.
• Категорирование активов.
• Оценка защищенности информационной системы.
• Оценка информационных рисков.
• Обработка информационных рисков (в том числе определение конкретных мер для защиты ценных активов).
• Внедрение выбранных мер обработки рисков.
• Контроль выполнения и эффективности выбранных мер.
• Роль руководства компании в системе управления ИБ

Одним из основных условий эффективного функционирования системы управления ИБ является вовлеченность руководства компании в процесс управления ИБ. Все сотрудники должны понимать, что, во-первых, вся деятельность по обеспечению ИБ инициирована руководством и обязательна для выполнения, во-вторых, руководство компании лично контролирует функционирование системы управления ИБ, в-третьих, само руководство выполняет те же правила по обеспечению ИБ, что и все сотрудники компании.

Инвентаризация активов компании

Прежде всего, необходимо определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:

• информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
• программное обеспечение;
• материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
• сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);
• сотрудники компании, их квалификация и опыт;
• нематериальные ресурсы (репутация и имидж компании).

Инвентаризация заключается в составлении перечня ценных активов компании.

Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов.

Оценку критичности активов можно выполнять в денежных единица и в уровнях.

Принципы оценки критичности каждого указанного актива:

• информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия;
• программное обеспечение, материальные ресурсы и сервисы оцениваются с точки зрения их доступности или работоспособности.
• сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию.
• репутация компании оценивается в связи с информационными ресурсами.

Оценка информационных рисков

Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.

Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым. Т.е. компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.

Уклонение от рисков - это полное устранение источника риска.

Передача рисков - перенесение ответственности за риск на третьи лица (например, поставщику оборудования или страховой компании) без устранения источника риска.

Снижение рисков - это выбор и внедрение мер по снижению вероятности нанесения ущерба.

В процессе обработки рисков сначала требуется определить, какие риски требуют дальнейшей обработки, а какие можно принять.

По результатам оценки и обработки рисков разрабатывается Положение о применимости. Наличие этого документа обязательно для прохождения сертификации.

В Приложении А к стандарту ISO 27001 перечислены все требования к обеспечению безопасности, которые должны выполняться в компании. Следовательно, Положение о применимости является итоговым решением относительно снижения информационных рисков компании.

Стандарт требует, чтобы все меры по снижению рисков были документально зафиксированы. Т.е. для эффективного управления ИБ необходимо наличие процедур, которые будут поддерживаться определенными документами (инструкциями, политиками, регламентами), выполняться определенными людьми. И каждая процедура должна быть отражена в соответствующем документе. Документированные процедуры являются обязательным элементом системы управления ИБ. Следовательно, в рамках системы управления необходимо разработать базу нормативных документов, описывающих все процедуры в области ИБ.

Основными документами по управлению ИБ являются

• Политика управления информационной безопасностью
• Политика информационной безопасности.
• Методики и инструкции,
• Процедуры обеспечения ИБ и управления ею.
• Регламент обеспечения физической безопасности.

Обучение сотрудников компании

Обучение сотрудников можно выполнять в форме очных и заочных курсов с последующим тестированием, целесообразно организовать обучение сотрудников с помощью системы дистанционного обучения, в рамках которой могут быть представлены различные курсы (как для пользователей, так и для специалистов), игровые методики обучения, тестирование.

Основная сложность может заключаться в проверке эффективности процедур системы управления ИБ. Т.е. для каждой процедуры необходимо разработать критерии, по которым будет проверяться ее эффективность, и, кроме этого, такие критерии требуется разработать для всей системы управления в целом.

Критериями оценки эффективности системы управления ИБ могут быть, например, изменение количества инцидентов ИБ, квалификация пользователей в области ИБ и пр.

Внедрение процедур системы управления ИБ

Внедрение процедур, как правило, заключается в информировании соответствующих сотрудников о правилах и сроках выполнения процедуры, регулярный контроль выполнения процедуры, а также оценка ее эффективности, внесение корректирующих и превентивных действий, то есть внедрение всего цикла PDCA-модели для каждой процедуры.

Дополнительно:

• скачать
• ISO / IEC 27003:2010 -