Krievijas Federācijas tiesiskais regulējums. Informācijas drošības vadības sistēma

Tiešām apkaunojoši. Informējām par drīzumā gaidāmo ISO 45001 standarta iznākšanu, kuram būtu jāaizstāj pašreizējais OHSAS 18001 darba drošības vadības standarts, teicām, ka jāsagaida 2016. gada beigās... Tuvojas pusnakts, bet Hermaņa joprojām ir prom. Laiks atzīt – ISO 45001 ir aizturēts. Tiesa, labu iemeslu dēļ. Ekspertu kopienai viņam ir pārāk daudz jautājumu. […]

  • Ir ieskicēts divkāršs raksts. Starptautiskā standartizācijas organizācija ir skaidri paudusi savu nostāju par savu standartu marķējuma izmantošanu produktiem – ISO saka "nē". Tomēr uzņēmēji joprojām vēlas to darīt. Kā tiem jābūt? Kāpēc gan ne? Jautājuma fons ir šāds. Kā jau varat iedomāties, ISO standarti nav tieši saistīti ar sertificēto uzņēmumu ražotajiem produktiem. […]

  • Beigsim tēmu. Pēdējā rakstā mēs sākām sarunu par astoņiem KVS principiem. Principi, uz kuriem balstās jebkura kvalitātes vadības sistēma. Mūsu mērķis ir pārtulkot šos principus no biznesa kouču valodas cilvēku valodā. Lai jūs varētu gūt reālu labumu no tiem. Viņi runāja par orientāciju uz klientu. Viņi runāja par to, kā ražot nevis "kaut ko [...]

  • Daudzi cilvēki runā par kvalitātes vadību. Bet nez kāpēc saka, ka nekas galu galā nav skaidrs. Tas nozīmē, ka kvalitātes vadība paliek tikai vārdi. Pārāk daudz gudros vārdos... Pārtulkosim tos normālā valodā un sapratīsim, kā kvalitātes vadības principi reāli palīdz uzlabot uzņēmuma darbību. Iztiksim bez garām prelūdijām. Kopumā šobrīd aktuālās kvalitātes vadības sistēmas, no kurām populārākās [...]

  • Projektu vadība... Esmu pārliecināts, ka ir daudzi cilvēki, kuri pārāk ilgi runā ar visādiem biznesa konsultantiem – un tagad viņiem no vienas šādas frāzes sāk palikt mazliet slikta dūša. Ko darīt? Izmetīsim no galvas biznesa konsultantus un liksim lietu cilvēku valodā. Projektu vadība ne vienmēr ir cilvēks baltā kreklā, kurš zīmē sarežģītas diagrammas un blokshēmas ar marķieri uz [...]

    • Saskaņā ar GOST R ISO / IEC 27001-2006 standarta prasībām. "Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības pārvaldības sistēmu prasības", organizācijai jāīsteno:

      Definējiet ISMS politiku, pamatojoties uz organizācijas uzņēmējdarbības īpašībām, atrašanās vietu, līdzekļiem un tehnoloģiju, kas:

      • satur koncepciju, kas ietver mērķus, galvenos darbības virzienus un principus informācijas drošības jomā;

        ņem vērā uzņēmējdarbības, regulējošās un līgumiskās drošības saistības;

        atbilst organizācijas risku vadības stratēģiskajam saturam, kura ietvaros tiks izstrādāta un uzturēta ISMS;

        nosaka riska novērtēšanas kritērijus;

        apstiprina organizācijas vadība.

    GOST R ISO / IEC 27002

    Mērķis: nodrošināt vadību un atbalstu no augstākās vadības informācijas drošība saskaņā ar uzņēmējdarbības prasībām un attiecīgajiem normatīvajiem aktiem.

    Augstākajai vadībai ir jānosaka skaidrs politikas virziens saskaņā ar uzņēmējdarbības mērķiem un jāparāda atbalsts un apņemšanās nodrošināt informācijas drošību, izstrādājot un uzturot informācijas drošības politiku organizācijā.

    Ja nepieciešams, organizācijā jābūt informācijas drošības kontaktpunktam, ar kuru varētu sazināties ieinteresētie darbinieki. Jāizveido kontakti ar ārējiem drošības speciālistiem vai ekspertu grupām, tostarp attiecīgajām iestādēm, lai sekotu nozares tendencēm, uzraudzītu standartus un novērtēšanas metodes un nodrošinātu atbilstošus kontaktpunktus, risinot informācijas drošības incidentus. Būtu jāveicina daudzdisciplīnu pieeja informācijas drošībai.

    Jāapstiprina vadība, jāpublicē un jāpaziņo visiem organizācijas darbiniekiem un attiecīgajām trešajām pusēm.

    Informācijas drošības politikā jānosaka vadības pienākumi, kā arī organizācijas pieeja informācijas drošības pārvaldībai. Politikas dokumentā jāiekļauj noteikumi par:

      definējot informācijas drošību, tās vispārējos mērķus un darbības jomu, kā arī minot drošības kā informācijas apmaiņas instrumenta nozīmi;

      paziņojums par vadības nodomiem, kas atbalsta informācijas drošības mērķus un principus saskaņā ar uzņēmējdarbības stratēģiju un mērķiem;

      pieeja kontroles izveidošanai un to mērķi, tostarp riska novērtēšanas un riska pārvaldības sistēma;

      īss skaidrojums par organizācijas svarīgākajām drošības politikām, principiem, standartiem un atbilstības prasībām, piemēram:

      • tiesību aktu prasību un līgumsaistību ievērošana;

        drošības izpratnes, izglītības un apmācības prasības;

        darbības nepārtrauktības vadība;

        atbildība par informācijas drošības politikas pārkāpumiem;

        darbinieku vispārējo un specifisko pienākumu noteikšana informācijas drošības pārvaldības ietvaros, tai skaitā ziņošana par drošības incidentiem;

        saites uz dokumentiem, kas papildina informācijas drošības politiku, piemēram, detalizētākas drošības politikas un procedūras konkrētām informācijas sistēmām, kā arī drošības noteikumi, kas lietotājiem jāievēro.

    Šī informācijas drošības politika ir jāpaziņo lietotājiem visā organizācijā aktuālā, pieejamā un saprotamā veidā.

    Informācijas drošības politika var būt daļa no vispārējās politikas dokumenta. Ja informācijas drošības politika tiek izplatīta ārpus organizācijas, jāveic pasākumi, lai nodrošinātu, ka sensitīva informācija netiek izpausta. Papildinformāciju var atrast ISO / IEC 13335-1.

    GOST R ISO / IEC 27003

    Standarts "GOST R ISO / IEC 27003 Informācijas tehnoloģija. Drošības nodrošināšanas metodes un līdzekļi. Informācijas drošības pārvaldības sistēmas. Informācijas drošības vadības sistēmas ieviešanas vadlīnijas" iesaka:

    Uzņemt kā sākotnējos datus:

      Organizācijas prioritātes ISMS izstrādē ir vispārīgi mērķi un prasību saraksts;

      ISMS lietošanas gadījuma apraksta sastādīšana priekš no šī uzņēmuma un projekta plāns vadības apstiprināšanai - sākotnējais apstiprinājums ISMS projekta vadībā;

      Apvienojot visas darbības jomas un robežas, lai iegūtu darbības jomu un robežas - ISMS darbības jomu un robežas;

      ISMS politikas izstrāde un vadības apstiprinājuma iegūšana - ISMS politika;

      Informācijas drošības prasību noteikšana ISMS procesam;

      Aktīvu identifikācija ISMS darbības jomā;

      Informācijas drošības novērtējums;

      Riska novērtēšanas un mērķu un kontroles pasākumu atlases rezultāti;

      Informācijas drošības galīgās organizācijas struktūras izstrāde;

      ISMS dokumentēšanas ietvara izstrāde;

    Ir jādokumentē vadības un administrācijas stratēģiskā pozīcija saistībā ar informācijas drošības mērķiem attiecībā uz ISMS izmantošanu.

    Informācijas drošības politika dokumentē organizācijas stratēģisko stāvokli attiecībā uz informācijas drošību visā organizācijā.

    Politika ir balstīta uz informāciju un zināšanām. Iepriekšējā analīzē vadības atzītie punkti ir jāpadara vizuāli, jādod Īpaša uzmanība politikā nodrošināt stimulāciju un motivāciju organizācijā. Tāpat ir svarīgi atzīmēt, kas notiek, ja izvēlētā politika netiek ievērota, un izcelt likumu un noteikumu ietekmi uz konkrēto organizāciju.

    Informācijas drošības politiku piemērus var atrast uzziņu grāmatās, internetā, interešu kopienās un nozares asociācijās. Valodu un norādījumus var atrast gada pārskatos, citos politikas dokumentos vai vadības saglabātajos dokumentos.

    Var būt dažādas interpretācijas un prasības attiecībā uz faktisko politikas dokumentācijas apjomu. Šai dokumentācijai jābūt pietiekami apkopotai, lai cilvēki organizācijā saprastu politikas nozīmi. Turklāt ir jābūt pietiekami skaidram, kādi mērķi ir jāsasniedz, lai organizācijai izveidotu noteikumu un mērķu kopumu.

    Informācijas drošības politikas apjomam un struktūrai ir jāatbalsta dokumenti, kas tiek izmantoti nākamajā informācijas drošības pārvaldības sistēmas ieviešanas procesa posmā.

    Lielām organizācijām ar sarežģīta struktūra(piemēram, ar plašu dažādu darbības jomu klāstu), var būt nepieciešams izveidot vispārīgas politikas un zemāka līmeņa politiku kopumu, kas pielāgots konkrētām darbības jomām.

    Piedāvātā politika (ar versijas numuru un datumu) ir jāpārbauda un jāizveido organizācijā darbības vadītājam. Kad tas ir izveidots vadības grupā vai līdzīgā struktūrā, operatīvais vadītājs apstiprina informācijas drošības politiku. Pēc tam tas tiek paziņots ikvienam organizācijas dalībniekam atbilstošā veidā, lai tas būtu pieejams un saprotams lasītājiem.

    Izvade ir dokuments, kurā aprakstīta un dokumentēta vadības apstiprināta ISMS politika. Šis dokuments ir atkārtoti jāapstiprina nākamajā projekta posmā, jo tas ir atkarīgs no riska novērtējuma rezultātiem.

    GOST R ISO / IEC 27003-2012. D pielikums. Politikas ietvars

    Šajā pielikumā sniegti papildu norādījumi par politikas struktūru, tostarp informācijas drošības politiku.

    Politika ir vispārīgi nodomi un virzieni, ko formāli pauž vadība. Politikas saturs nosaka darbības un lēmumus saistībā ar politikas priekšmetu. Organizācijai var būt vairākas politikas, viena katrai organizācijai svarīgajai jomai. Dažas politikas ir neatkarīgas viena no otras, bet citas ir hierarhiskas. Drošības jomā politikas parasti tiek organizētas hierarhiski. Parasti organizācijas drošības politika ir augstākā līmeņa politika. To atbalsta specifiskākas politikas, tostarp informācijas drošības politika un informācijas drošības pārvaldības sistēmas politika. Savukārt informācijas drošības politiku var papildināt ar detalizētākām politikām par konkrētām tēmām, kas saistītas ar informācijas drošības aspektiem. Daudzas no šīm politikām ir aprakstītas ISO/IEC 27002 standartā, piemēram, informācijas drošības politika ir balstīta uz politikām, kas saistītas ar piekļuves kontroli, skaidru galda un skaidra ekrāna politikām, tīkla pakalpojumu izmantošanu un kriptogrāfijas vadīklām. Dažos gadījumos var tikt iespējoti papildu politikas līmeņi.

    ISO / I EC 27001 pieprasa, lai organizācijām būtu ISMS un informācijas drošības politika. Tomēr tas nenozīmē nekādas īpašas attiecības starp šīm politikām. Šīs politikas var veidot kā taisnīgas politikas: ISMS politika var būt pakārtota informācijas drošības politikai vai, gluži pretēji, informācijas drošības politika var būt pakārtota ISMS politikai.

      organizācijas mērķi un uzdevumi;

      stratēģijas, kas pielāgotas šo mērķu sasniegšanai;

      organizācijas pielāgotā struktūra un procesi;

      ar politikas priekšmetu saistītie mērķi un uzdevumi;

      augstāka līmeņa saistītās politikas prasības.

    Politikas var strukturēt šādi:

      Īss apraksts par politiku - vispārīgs apraksts viens vai divi teikumi.

      Ievads – īss polises priekšmeta skaidrojums.

      Darbības joma - apraksta organizācijas daļas vai darbības, kuras ietekmē politika. Citas politikas, ko atbalsta šī politika, pēc vajadzības ir norādītas sadaļā “Tvērums”.

      Mērķi - polises mērķa apraksts.

      Principi – noteikumu apraksts, kas regulē darbības un lēmumus mērķu sasniegšanai. Dažos gadījumos var būt noderīgi definēt galvenos procesus, kas saistīti ar politikas priekšmetu, un pēc tam procesu izpildes noteikumus.

      Atbildības jomas — kurš ir atbildīgs par darbību veikšanu, lai nodrošinātu atbilstību politikai. Dažos gadījumos šī klauzula var saturēt organizatorisku līgumu aprakstu, kā arī to personu pienākumus, kurām ir noteiktas lomas.

      Galvenie rezultāti - uzņēmuma iegūto rezultātu apraksts, ja mērķi tiek sasniegti.

      Saistītās politikas — citu ar mērķu sasniegšanu saistītu politiku apraksts, parasti ar papildu informāciju saistībā ar konkrētiem tematiem.

    Informācijas drošības politikas piemērs

    Tālāk ir sniegts informācijas drošības politikas piemērs, kas parāda tās struktūru un satura piemēru.

    Informācijas drošības politika (piemērs)

    Politikas īss apraksts

    Informācija vienmēr ir jāaizsargā neatkarīgi no tās formas un veida, kā tā tiek izplatīta, pārraidīta un glabāta.

    Ievads

    Informācija var pastāvēt daudzās dažādas formas... To var izdrukāt vai rakstīt uz papīra, uzglabāt elektroniski, pārsūtīt pa pastu vai izmantojot elektroniskas ierīces, parādīt lentē vai pārsūtīt mutiski saziņas gaitā.

    Informācijas drošība ir informācijas aizsardzība pret dažādiem apdraudējumiem, lai nodrošinātu darbības nepārtrauktību, samazinātu biznesa risku un palielinātu ieguldījumu atdevi un biznesa iespējas.

    Darbības joma

    Šī politika atbalsta vispārējo organizācijas drošības politiku.
    Šī politika attiecas uz visiem organizācijas darbiniekiem.

    Informācijas drošības mērķi

      Stratēģisko un operatīvo informācijas drošības risku izpratne un vadība, lai tie būtu organizācijai pieņemami.

      Klientu informācijas, produktu izstrādes un mārketinga plānu konfidencialitātes aizsardzība.

      Grāmatvedības materiālu integritātes saglabāšana.

      Koplietojamo tīmekļa pakalpojumu un iekštīklu atbilstība attiecīgajiem pieejamības standartiem.

    Informācijas drošības principi

      Organizācija veicina risku pieņemšanu un pārvar riskus, kurus konservatīvi vadītas organizācijas nevar pārvarēt, izprotot, uzraugot un apstrādājot riskus, lai iegūtu informāciju pēc vajadzības. Detalizēts risku novērtēšanai un ārstēšanai izmantoto pieeju apraksts ir atrodams ISMS politikā.

    Uzņēmumu darbs 21. gadsimtā ir grūti iedomājams bez informācijas un komunikācijas tehnoloģijām. Informācija ir visu uzņēmuma jomu neatņemama sastāvdaļa, līdzeklis, bez kura nav iespējams atrisināt daudzus arvien sarežģītākos uzņēmuma uzdevumus.

    Informācijai ir vairākas pazīmes, un viena no svarīgākajām ir drošība. Informācijas drošība tieši ietekmē biznesa darbību, konkurētspēju, tirgus tēlu un galu galā arī finanšu rādītājus. Diezgan bieži tas tiek saprasts kā trešo personu piekļuves informācijai ierobežošana. Faktiski šī ir tikai viena daļa no vispārējā ar informācijas drošību saistīto jautājumu kopuma.

    Starptautiskais standarts ir atzīts par labāko pasaules praksi informācijas drošības pārvaldības jomā ISO/IEC 27001: 2005(ISO 27001). Tas nosaka prasības informācijas drošības pārvaldības sistēmai (ISMS), lai demonstrētu organizācijas spēju aizsargāt savus informācijas resursus. Šis standarts informācijas drošību definē kā "informācijas konfidencialitātes, integritātes un pieejamības saglabāšanu".

    Konfidencialitāte – nodrošinot, ka informācija ir pieejama tikai tiem, kam ir atbilstošas ​​pilnvaras.

    Integritāte - informācijas precizitātes un pilnīguma nodrošināšana, kā arī tās apstrādes metodes.

    Pieejamība – piekļuves nodrošināšana informācijai autorizētiem lietotājiem īstajā laikā.

    Informācijas drošības mērķis ir nodrošināt uzņēmuma darbības nepārtrauktību un minimizēt biznesa riskus, novēršot drošības incidentus un samazinot iespējamos bojājumus. Lai saprastu informācijas drošības būtību, nepieciešams vizualizēt visu ķēdi, kas ietver informāciju, informācijas plūsmas, šo plūsmu īpašības, informācijas problēmas. Tikai tad jūs varat saprast informācijas drošības lomu.

    DZĪVES CIKLS UN INFORMĀCIJAS PLŪSMAS

    Sāksim ar uzņēmuma dzīvības atbalsta galveno elementu – informāciju.

    Informācija uzņēmumā ir nemitīgā kustībā: kaut kur tā parādās, kaut kur tiek uzkrāta, kaut kur tiek pārraidīta, kāds tiek izmantots noteiktu laiku un galu galā kļūst nevajadzīgs. Tādējādi veidojas noteiktas informācijas dzīves cikls. Katru no šī cikla posmiem (vai šo posmu kopumu) var uzskatīt par informācijas plūsma... Šādas plūsmas uzņēmumā ietver nepieciešamo informāciju:

    • vadības lēmumu pieņemšanai (sava ​​uzņēmuma un konkurentu ekonomiskie rādītāji, dati par biznesa procesu darbību, dati par piegādātājiem, par pārdošanas tirgu);
    • izpildīt darbības biznesa mērķus (vadības lēmumu rezultāti, darbības uzdevumi un pielāgojumi, informācija par izejmateriāliem un materiāliem, klientu prasības);
    • nodrošināt biznesa procesu darbu (procesu un to saistību apraksti, metodiskā dokumentācija, administratīvā dokumentācija).

    Var atšķirt šādas īpašības informācijas plūsmas:

    • īstermiņa - informācija ir svarīga noteiktā laika posmā,
    • atklātība - uzņēmuma informācija interesē trešās puses (klientus, piegādātājus, konkurentus),
    • tieksme augt - informācijas apjoms uzņēmumā ir liels un pastāvīgi aug,
    • nepastāvība - informācijas plūsmas uzņēmumā ir pastāvīgā kustībā.

    Jāņem vērā, ka ar informāciju jāsaprot visi uzņēmumu interesējošie dati un jebkurā formā - papīra, elektroniskā, skaņas (telefona sarunas), grafiskā (slaidi). Nav vērts izcelt elektronisko informācijas veidu un kaut kā tam pietuvoties īpaši no drošības viedokļa, jo informācija veido informācijas plūsmas, kuras nereti veidojas uz papīra vai mutvārdu runa, pēc tam pārvērš elektroniskā dokumentā, nosūta pa e-pastu (faksu), un pēc tam var izdrukāt uz papīra. Tajā pašā laikā elektroniskajai informācijai ir papildu īpašības, piemēram, pozitīvs:

    • to var ātri piegādāt uz jebkuru punktu;
    • jūs varat ātri izveidot jaunus elektroniskos dokumentus, pamatojoties uz esošajiem;
    • iespējams uzkrāt lielus informācijas apjomus, nodrošinot ērtu un ātru piekļuvi nepieciešamajai tās daļai;

    tā un negatīvs:

    • pietiek ar to vienkārši sabojāt vai iznīcināt;
    • tas var viegli nonākt konkurenta rokās.

    Katrā informācijas dzīves cikla posmā darbojas dažādi faktori, cenšoties izjaukt dabisko, tas ir, bezkonfliktu, informācijas plūsmu. Vispārinot dažādus šāda veida faktorus (objektīvus un subjektīvus), ir jēdziens par draudiem informācijas drošībai. Draudi ne tikai parādās. Apdraudējumu rašanās ir saistīta ar ievainojamību esamību uzņēmumu informācijas sistēmās.

    Informācijas draudu un ievainojamību piemēri, kas rada draudus:

    • komerciālās informācijas nodošana konkurentiem (vāja piekļuves kontroles sistēma trešo personu informācijas resursiem);
    • daļējs vai pilnīgs informācijas zudums par jauna produkta izstrādi (aizdegšanās arhīvā, galvenā darbinieka atstāšana);
    • kavēšanās ar informācijas iegūšanu (skaidru informācijas sniegšanas noteikumu trūkums, datortehnikas darbības traucējumi);
    • saņemtās informācijas nepareizība, lai sasniegtu darbības biznesa mērķus (operatora kļūda nepietiekamas kvalifikācijas vai datu ievades kontroles līmeņa dēļ).

    ISMS galvenais mērķis saskaņā ar ISO 27001 ir novērst incidentus, kas kaitē uzņēmumam, efektīvi ierobežojot iekšējos un ārējos tīšus un netīšus draudus un ievainojamības.

    ATTĪSTĪBAS VĒSTURE ISO 27001

    Informācijas sistēmu attīstība 90. gadu sākumā radīja nepieciešamību izveidot drošības pārvaldības standartu. Pēc Lielbritānijas valdības un rūpniecības pieprasījuma izveidojās Lielbritānijas Tirdzniecības un rūpniecības departaments ISMS prakse... Šī dokumenta izstrādē piedalījās British Telecom, Marks and Spencer, National Westminster Bank, Nationwide, Shell International, Unilever u.c. Standarta tālākā attīstība bija šāda:

    1995 gads Ir dzimis Lielbritānijas standarts BS 7799-1: 1995. 1. daļā ir aprakstīti ISMS principi un struktūra.

    1998 gads Jauns BS 7799-1: 1998 izdevums. Parādījās standarts BS 7799-2: 1998. 2. daļa – ISMS prasības. Ļauj iegūt ISMS sertifikātu. No šī brīža kļuva iespējams veikt sertifikāciju atbilstoši Lielbritānijas standartam.

    1999 gads Jauns BS 7799-1: 1999 izdevums. Jauns BS 7799-2: 1999 izdevums

    2000 gads Starptautiskā standarta ISO 17799: 2000 rašanās. Kopš šī brīža standarts BS 7799-1: 1999 saņēma starptautisku atzinību.

    2001 gads Jauns BS 7799-2: 2001 izdevums.

    2002 gads Jauns BS 7799-2 izdevums: 2002.

    2003 r. Moldovas Nacionālā banka ir izvirzījusi prasības komercbankām ieviest ISMS, pamatojoties uz ISO 17799: 2000.

    2004 r. Baltkrievija ir pieņēmusi nacionālo GOST 17799. Krievijas Federācijas Centrālā banka, pamatojoties uz ISO 17799: 2000, ir izveidojusi informācijas drošības pārvaldības standartu banku sektoram.

    2005 gads ISO / IEC 27001: 2005 standarta parādīšanās, kas aizstāja BS 7799-2: 2002. Pārskatīts ISO 17799: 2005 (drīzumā tiks pārdēvēts par ISO / IEC 27002).

    2006 gads Krievija strādā pie ISO 17799: 2005 un ISO 27001: 2005 standartu tulkošanas. ISMS izstrādes speciālisti ir parādījušies Krievijā un Ukrainā. NVS valstu uzņēmumi strādā pie ISMS izstrādes. Starptautiskās sertifikācijas institūcijas ir saņēmušas akreditāciju sertifikācijas veikšanai.

    2007 gads Krievijas valsts standarta GOST R ISO / IEC 17799: 2005 (analogs ISO 17799: 2000) parādīšanās. Paredzams GOST R ISO 17799: 2007 un GOST R ISO 27001: 2007 izskats. Paredzams, ka Ukrainā tiks uzsākts darbs pie DSTU ISO 17799 un DSTU ISO 27001 izlaišanas.

    Sākotnējais BS 7799 standarts ir nogājis garu ceļu ar virkni testu un pielāgojumu. Svarīgākais posms viņa "karjerā" bija 2005. gads, kad ISMS vērtēšanas standarts tika atzīts par starptautisku (tas ir, tika apstiprināta tā prasību atbilstība mūsdienu ISMS). Kopš šī brīža vadošie uzņēmumi visā pasaulē sāka aktīvi ieviest ISO 27001 standartu un gatavoties sertifikācijai.

    STRUKTŪRA ISO 27001

    Iepazīšanos ar ISMS vislabāk ir sākt, izpētot pasaules labāko praksi informācijas drošības jomā, kas dota ISO 27001 standartā, kas ir loģiski un saprotami pateikts, un labākā prakse ir formulēta kā skaidras prasības. Standarts ir sadalīts četrās daļās.

    Pirmā daļa"Vispārīgie noteikumi" satur informāciju par standarta mērķi, tā saistību ar citiem IS standartiem, kā arī terminus un definīcijas.

    Otrā daļa“ISMS prasības” ir pamata. Tas izvirza obligātās prasības ISMS un ļauj uz to pamata izveidot efektīvu sistēmu. Vispārīgās prasības aizņem tikai deviņas lappuses un satur šādas sadaļas: "Informācijas drošības pārvaldības sistēma", "Pārvaldības pienākumi", "Iekšējie ISMS auditi", "ISMS pārvaldības analīze", "ISMS pilnveidošana".

    Trešā daļa"Pielikums A. Mērķi un kontrole" apraksta īpašās prasības katrai informācijas drošības jomai (kopā 11 apgabali, kas norādīti saskaņā ar ISO / IEC 17799: 2005 5.-15. sadaļu).

    A5. Drošības politika. Mērķis: nodrošināt skaidru informācijas drošības politikas pārvaldību un atbalstu no uzņēmuma vadības puses.

    A6. Drošības sistēmas organizācija. Mērķis: radīt organizatoriskā struktūra kas ieviesīs un uzturēs ISMS.

    A7. Aktīvu klasifikācija un pārvaldīšana. Mērķis: uzturēt adekvātu informācijas drošību, klasificējot informācijas līdzekļus atbilstoši aizsardzības nepieciešamībai un prioritātei, sadalīt atbildību.

    A8. Apsardze un personāls. Mērķis: samazināt cilvēku kļūdu, zādzību un aprīkojuma nepareizas lietošanas risku.

    A9. Fiziskā un ārējā drošība. Mērķis: novērst nesankcionētu piekļuvi, bojājumus un organizācijas informācijas sistēmas darbības traucējumus.

    A10. Datoru un tīklu vadība. Mērķis: nodrošināt datoru un tīklu drošu darbību.

    A11. Sistēmas piekļuves kontrole. Mērķis: kontrolēt piekļuvi informācijai, novērst nesankcionētu piekļuvi.

    A12. Informācijas sistēmas iegāde, izstrāde un uzturēšana. Mērķis: nodrošināt drošības prasību ievērošanu, veidojot vai attīstot organizācijas informācijas sistēmu, uzturēt aplikāciju un datu drošību.

    A13. Informācijas drošības incidentu vadība. Mērķis: Nodrošināt, ka ziņošana par incidentiem un informācijas drošības trūkumiem ļauj savlaicīgi veikt korektīvus pasākumus.

    A14. Uzņēmējdarbības nepārtrauktības nodrošināšana. Mērķis: Sagatavot ārkārtas rīcības plānu, lai nodrošinātu organizācijas nepārtrauktību.

    A15. Atbilstība tiesību aktiem. Mērķis: Nodrošināt atbilstību attiecīgajām civiltiesību un krimināltiesību prasībām, tostarp autortiesību un datu aizsardzības likumiem.

    ISO / IEC 17799: 2005 sniedz norādījumus par to, kā ieviest ISO / IEC 27001: 2005 “A pielikuma” prasības. "A pielikuma" prasības ir obligātas, taču standarts ļauj izslēgt tās jomas, kuras nevar piemērot uzņēmumā.

    Ceturtā daļa Standarts sastāv no “Pielikums B: Saikne starp ESAO principiem un ISO 27001”, “C pielikums: Saistība starp ISO 9001: 2000, ISO 14001: 2004 un ISO 27001” un bibliogrāfiskām atsaucēm. Šī daļa ir informatīva.

    ISO 27001 IEVIEŠANAS PRIEKŠROCĪBAS

    Šeit ir sniegtas priekšrocības, ko sniedz ISMS ieviešana un sertificēšana, pamatojoties uz ISO 27001 standartu, kā arī standarta prasības, kas ļauj iegūt šīs priekšrocības.

    1. Informācijas līdzekļi kļūs skaidri uzņēmuma vadībai. Organizācijai jāpārvalda aktīvi

    • Aktīvu uzskaite.
    • Par aktīviem atbildīgo personu noteikšana.
    • Izstrādāt principus aktīvu klasificēšanai pēc to nozīmīguma, juridiskajām prasībām, nozīmīguma un kritiskuma organizācijai.
    • Identificēt aktīvus saskaņā ar klasifikācijas principiem.

    [ISO 27001 standarts. App. A. Prasība A.7]

    2. Regulāri tiks identificēti esošo biznesa procesu draudi un drošības ievainojamības. Organizācijai ir jānosaka riski:

    • Identificējiet īpašumus.
    • Nosakiet draudus šiem īpašumiem.
    • Nosakiet ievainojamības, kuras var izmantot šie draudi.
    • Nosakiet ietekmi, kuras rezultātā var tikt zaudēta konfidencialitāte, integritāte un resursu pieejamība.

    [ISO 27001 standarta 4.2.1. d) punkts]

    3. Riski tiks aprēķināti un lēmumi tiks pieņemti, pamatojoties uz uzņēmuma biznesa mērķiem. Organizācijai jāanalizē un jānovērtē riski:

    • Novērtējiet uzņēmumam nodarīto kaitējumu.
    • Novērtējiet pārkāpuma iespējamību.
    • Novērtējiet riska līmeņus.
    • Nosakiet, vai risks ir pieņemams vai ir nepieciešama riska ārstēšana, izmantojot riska pieņemšanas kritērijus.

    [ISO 27001 standarta 4.2.1. e) apakšpunkts]

    4. Sistēmas vadība kritiskās situācijās būs efektīva. Organizācijai jāpārvalda darbības nepārtrauktība:

    • Definēt un ieviest procesus darbības nepārtrauktībai.
    • Identificējiet notikumus, kas var izraisīt biznesa procesu traucējumus, nosakiet iespējas un ietekmes pakāpi.
    • Izstrādāt atveseļošanās plānus.
    • Nosakiet prioritāti to testēšanas un uzturēšanas plāniem.
    • Regulāri pārbaudiet un atjauniniet plānus.

    [ISO 27001 standarts. App. A. Prasība A.14]

    5. Tiks veikts drošības politikas ieviešanas process (nepilnību atrašanai un novēršanai). Vadībai vajadzētu:

    • Izstrādāt ISMS politikas.
    • Izvirziet mērķus un plānus.
    • Sadalīt atbildību informācijas drošības jomā.
    • Sazinieties ar visiem darbiniekiem.
    • Nodrošiniet resursus.
    • Pieņemiet lēmumus par risku pieņemamību.
    • Nodrošināt iekšējo auditu.
    • Analizējiet ISMS.

    [ISO 27001 standarts. 5.1. punkts]

    6. Standarta ievērošanas dēļ tiks akcentēta uzņēmējdarbības caurskatāmība un tīrība likuma priekšā. Organizācijai vajadzētu:

    • Nosakiet piemērojamos tiesību aktus.
    • Nodrošināt intelektuālā īpašuma aizsardzību.
    • Aizsargājiet ierakstus no nozaudēšanas, iznīcināšanas un viltošanas saskaņā ar likumu prasībām.
    • Nodrošināt personas datu un privātās informācijas aizsardzību.
    • Novērst, ka lietotājs ļaunprātīgi izmanto informācijas apstrādes iekārtas

    [ISO 27001 standarts. App. A. Prasība A.15.1.]

    7. Tiks samazinātas un optimizētas drošības sistēmas uzturēšanas izmaksas. Standarts pieprasa aktīvu identifikāciju un klasifikāciju. Klasifikāciju var veikt naudas izteiksmē vai pēc kvalitātes. Turklāt standarts nosaka risku novērtējumu. Lai pieņemtu objektīvu lēmumu par konkrētas informācijas drošības jomas finansēšanu, standarts pieprasa izstrādāt riska pieņemšanas shēmu (1. att.).

    Tādējādi objektīvs kombināciju "bojājumu iespējamība" novērtējums ļaus nepārtraukti efektīvi finansēt informācijas drošību.

    8 uzticama aizsardzība no reideru uzbrukumiem. Raiders ir speciālisti uzņēmuma operatīvās vadības vai īpašuma pārtveršanā ar īpaši ierosināta biznesa konflikta palīdzību. Raidings ir aktīvu izņemšana no to likumīgo īpašnieku valdījuma. Viena no iespējamām reidera darba shēmām ir radīt uzņēmumam maksimāli daudz problēmu un pēc tam tās par niecīgu naudu izņemt no īpašniekiem un vadības, lai ar tūkstoškārtīgu peļņu pārdotu uzņēmumu vai tā īpašumu trešajām personām.

    Uzņēmuma ievainojamības izraisa raideru pārņemšanu. Dažiem uzņēmumiem nav "grēku". Šie "grēki" vai drīzāk kompromitējošā informācija atrodas uzņēmuma vispārējā informācijas sistēmā. Aizverot šo informāciju no trešajām pusēm, jūs varat izvairīties no raidera pārņemšanas.

    Pats reideru sagrābšanas process ir balstīts uz uzņēmuma iekšējo procesu, tā darba noteikumu un normu izpēti. Šī informācija ļauj skaidri plānot un veikt reidera lēkmi vispiemērotākajā brīdī. Šīs informācijas slēgšana vai reideru dezinformēšana neļaus plānam pārņemt uzņēmumu.

    9. Drošības apakšsistēma ir integrēta vispārējā vadības sistēmā. ISMS pamatā ir Eiropas pārvaldības principi. Vispārējās vadības sistēmas prasības ir atspoguļotas ISO 9001: 2000 standartā. ISO 27001 standarts ir saskaņots ar ISO 9001: 2000 kvalitātes vadības sistēmas standartu un ir balstīts uz tā pamatprincipiem.

    ISO / IEC 27001: 2005 prasību dokumentācijas struktūra var būt līdzīga struktūrai ISO 9001: 2000 prasībām. Lielāko daļu ISO / IEC 27001: 2005 pieprasītās dokumentācijas jau varēja izstrādāt un izmantot kā daļu no vispārējās uzņēmuma vadības sistēmas.

    10. Uzņēmums iegūs starptautisku atpazīstamību un palielinās savu uzticamību gan vietējā, gan ārējā tirgū. Lai iegūtu šo labumu, ar neatkarīgas trešās puses palīdzību ir jāpierāda ISMS atbilstība standarta prasībām. Trešās puses neatkarība ir galvenais faktors iepriekš minēto priekšrocību iegūšanai. Trešā puse ir sertifikācijas iestāde. Sertifikācijas institūcijas apliecinājums tiek izteikts sertifikāta izsniegšanā. Klientu uzticības līmenis sistēmai ir tieši atkarīgs no klientu uzticības konkrētas sertifikācijas iestādes sertifikātiem.

    RISKU PĀRVALDĪBA

    ISO 27001 pamatā ir informācijas riska pārvaldības sistēma.

    Riska vadības sistēma ļauj iegūt atbildes uz šādiem jautājumiem:

    • Kādi riski šobrīd apdraud mūsu biznesa procesus?
    • Uz kuru informācijas drošības jomu jums jākoncentrējas?
    • Cik daudz laika un naudas var tērēt šim tehniskajam risinājumam, lai aizsargātu informāciju?

    Risku vadības uzdevums ir identificēt un pārvaldīt riskus. Riska vadība ir ceļvedis jebkurai darbībai gan īstermiņā, gan ilgtermiņā organizācijas dzīvē. Riska pārvaldība koncentrējas uz preventīviem vai mazinošiem pasākumiem.

    Risks ir notikuma iespējamības un tā seku kombinācija (ISO/IEC Guide 73).

    ISO 27001 4.2.1. punktā ir noteikts:

    • c) izvērtēt pieeju riska novērtēšanai organizācijā(noteikt riska novērtēšanas metodi, noteikt risku pieņemšanas kritērijus),
    • d) identificēt riskus(identificējiet aktīvus, identificējiet draudus, identificējiet ievainojamības, identificējiet iespējamo ietekmi, kas var izraisīt konfidencialitātes, integritātes un līdzekļu pieejamības zudumu),
    • e) analizēt un novērtēt riskus(novērtēt uzņēmumam nodarīto kaitējumu, novērtēt iespējamību, novērtēt risku līmeņus, noteikt risku pieņemamību/nepieņemamību),
    • f) identificēt un novērtēt riska ārstēšanas iespējas,
    • g) izvēlas mērķus un kontroles pasākumus riska novēršanai.

    Standarta prasības praktiski kalpo kā ceļvedis risku vadības sistēmas ieviešanā.

    Risku novērtēšanas un pieņemšanas algoritms ir parādīts attēlā. 2. Standarts pieļauj gan kvalitatīvu, gan kvantitatīvu riska novērtējumu. Praksē daudzus riskus ir grūti vai neiespējami kvantificēt.

    Riska analīzes metodoloģija ir detalizēti aprakstīta IT-Grundschutz metodoloģijā, standartā BSI 100-3 kas ir brīvi pieejams (www.bsi.de).

    ISMS "IT-GRUNDSHUTTS" ĪSTENOŠANAS METODIKA

    ISO/IEC 27001: 2005 standarts nosaka prasības ISMS, bet neapraksta ieviešanas metodiku. Apskatīsim vienu no vienkāršākajām un uzticamākajām ISMS izveides metodēm - IT-Grundschutz. To izstrādāja Vācijas Federālā valdības informācijas drošības birojs (BSI), un attiecīgie dokumenti ir publiski pieejami www.bsi.de. Metodoloģija ir savietojama ar ISO / IEC 27001: 2005 prasībām, satur strukturētu un praktisku pieeju, kā arī konkrētus, detalizētus pasākumus ISO / IEC 27001: 2005 prasību ieviešanai.

    Pateicoties īpaši izstrādātiem standarta pasākumiem (pamata aizsardzības katalogiem) dažādiem informācijas drošības aspektiem, IT-Grundschutz ir vislētākā ieviešanas metodika. Tas ir balstīts uz šādiem dokumentiem.

    Standarti:

    • ISO / IEC 27001: 2005 — Informācijas drošības pārvaldības sistēmas (prasības);
    • BSI 100-1 - Informācijas drošības pārvaldības sistēmas (ieteikumi);
    • BSI 100-2 - IT-Grundschutz metodoloģija (kā, ko un kāpēc darīt, kopumā);
    • BSI 100-3 - riska analīze, kas balstīta uz IT-Grundschutz metodoloģiju (ļauj ieviest riska pārvaldības sistēmu saskaņā ar ISO / IEC 27001: 2005).

    Katalogi (pastāvīgi atjaunināti):

    • M daļa. Moduļi - apraksta konkrētus soļus ISMS izstrādei (piemēram, drošības politikas izstrādes sadaļā ir iekļautas politikas prasības, politikas saturs, politikas veidošanas iespējas, drošības mērķu piemēri, kas izriet no politikas);
    • T daļa. Draudi. - detalizēts M daļā izmantoto apdraudējumu apraksts (vairāku aktīvu apdraudējumu katalogs);
    • S daļa. Drošības metodes — M daļā (Draudu mazināšanas katalogs) izmantoto drošības metožu detalizēts apraksts.

    ĪSTENOŠANAS VALSTS ĪPAŠĪBAS

    Atbildība. Sākotnējais jautājums mūsu vidē ir atbildība par ISMS darbību. Amats nav norādīts ISO / IEC 27001: 2005, un Eiropas ISMS ieviešanas konsultanti uzstāj uz atbildīgās personas iecelšanu no vadības vidus. Mūsu apstākļos tādu pilnvaras un pienākumus var piešķirt kādai no šādām personām: drošības daļas vadītājam, kvalitātes dienesta vadītājam, IT daļas vadītājam, IT drošības nodaļas vadītājam, pirmais vadītājs.

    Vieta vispārējā vadības sistēmā. Dažādās Ukrainas rūpniecības nozarēs ISMS vieta būs atšķirīga, jo nozarēs mums ir dažādi informācijas sistēmu attīstības līmeņi, dažādas automatizācijas pakāpes, dažādas specifikas Bizness.

    Lielajiem kalnrūpniecības un metalurģijas kompleksa uzņēmumiem, mašīnbūves un ķīmijas uzņēmumiem var būt tāda paša veida ISMS kā attēlā. 3a.

    Vēlos uzsvērt, ka ISMS gandrīz pilnībā ir iekļauts kopējā vadības sistēmā, jo svarīgākie drošības aspekti šajā gadījumā ir informācijas integritāte un pieejamība.

    Uzņēmumiem finanšu sektorā, telekomunikāciju pakalpojumiem, aviosabiedrībām, valsts likumdošanas un izpildinstitūcijām, statistikas departamentiem, Iekšlietu ministrijai un Ukrainas Drošības dienestam struktūra var būt tāda pati kā attēlā. 3b. Šajā gadījumā ISMS ir organizācijas dzīves pamatā.

    Vidējiem uzņēmumiem un organizācijām ISMS var izskatīties kā attēlā. 3c.

    Protams, nav iespējams precīzi raksturot ISMS vietu organizācijā tikai atkarībā no nozares un lieluma. Katrs uzņēmums vienmēr ir unikāls mehānisms ar savu vadības stilu, saviem tehnoloģiskajiem un informatīvajiem mehānismiem.

    Personāla iesaistīšana Ir vēl viens svarīgs faktors ISMS ieviešanas panākumiem Ukrainā. Lai to ieviestu mūsu apstākļos, ir nepieciešami šādi pasākumi:

    • par sistēmas ieviešanu atbildīgo apmācību;
    • izskaidrojot visiem ISMS iesaistītajiem darbiniekiem nepieciešamību ievērot standarta prasības;
    • soda naudas sistēmas likvidēšana (minimizācija);
    • motivācijas sistēmas attīstība.

    Šo pasākumu neievērošana var ievērojami samazināt ISMS efektivitāti.

    Aleksandrs Anatoljevičs Dmitrijevs
    sistēmu eksperts
    informācijas drošība
    TUF Nord Ukraine (Doņecka)

    2011. gada 12. septembris

    Informācijas drošības vadība atbilstoši ISO 27001. Dokumentācijas prasības
    Laime pastāv. Informācijas drošības pārvaldību var veidot, pamatojoties uz ISO 27001 standartu. Kā to izdarīt, skaidro FBK finanšu iestāžu Audita un konsultāciju pakalpojumu departamenta Informācijas sistēmu audita virziena vadītāja vietnieks metodiskajā darbā Mihails Vinņikovs:

    Šodien es runāšu par procesu, kuram it kā nav nekāda sakara ar informācijas drošību, drīzāk - par dokumentu apriti, bet patiesībā tas ir svarīgs process, kas ietaupa operatoram daudz laika un nervu - par to, kādas prasības tiek izvirzītas. dokumentējot informācijas drošības procesus, vai - cik pareizi un ar minimālu piepūli aprakstīt ISMS un uzturēt šos aprakstus atjauninātus. Protams, koncentrējoties uz ISO 27001.

    Organizācijas vajadzībām atbilstošs informācijas drošības līmenis (turpmāk - IS) prasa skaidru pamatnoteikumu, principu un uzdevumu izklāstu, to adekvātu ieviešanu atkārtojamos un kontrolējamos aizsardzības pasākumos, pasākumu ieviešanu praksē, ko veic organizācija. organizācijas darbiniekiem, vienlaikus nodrošinot operatīvu esošās situācijas atspoguļojumu atbilstošas ​​vadītāju rīcības pieņemšanai.
    Labākais veidsšī īstenošana - ietērpt idejas, praktiskās domas un darbības rezultātus informācijas drošības nodrošināšanai dokumentālā formā, kas ļaus, pirmkārt, noteikt noteikumu mijiedarbības struktūru un praktiskas darbības, kas tos īsteno, un, otrkārt, ienest noteikumus katram darbiniekam atbilstošā biznesa procesa līmenī un IS prasības, pēc kurām viņam būtu jāvadās, veicot darba pienākumi, kā arī nosaka to atbilstības uzraudzības kārtību.
    Pamatojoties uz iepriekš minēto, mēs iegūstam jaunu "atzaru" IS vadības sistēmas (ISMS) shēmā atbilstoši ISO 27001 standartam (turpmāk tekstā Standarts):

    "ISIB" - "izstrādā" - "dokumentācijas prasības".

    Kodi uzdevumu nosaukumos, kā jau minēts mūsu publikāciju sākumā, norāda ISO 27001 sadaļas numuru.
    Kā organizēt ISMS dokumentālo atbalsta sistēmu?
    Katru dokumentu veidu var raksturot ar šādiem jautājumiem-atribūtiem, kas to ietekmē dzīves cikls:
    - kam tas paredzēts (kas to lasīs);
    - kurš tam piekrīt un apstiprina;
    - cik bieži tas var mainīties.
    Savukārt dokumentus formāli var iedalīt programmā (atsauce) un operatīvajos (satur darbības rezultātus). Saskaņā ar Standartu šādi dokumenti ir attiecīgi sadalīti faktiskajos dokumentos un ierakstos.
    Saskaņā ar standartu ISMS dokumentācijā jāiekļauj informācija par:
    - dokumentēti ISMS politikas noteikumi, tās mērķi un darbības jomas, IS politika;
    - ISMS izmantotās procedūras un kontroles;
    - informācijas drošības risku novērtēšanas metodika;
    - riska novērtējuma rezultāti un to ārstēšanas plāni;
    - procedūras ISOIB darbības rezultātu novērtēšanai;
    - pierādījumi par ISMS darbību.
    Kādā formātā šī informācija ir jāsniedz?
    Izstrādājot dokumentu sistēmu, kas nodrošina ISMS, rodas konflikts starp dokumentu sākotnējās izveides darbietilpību (resursu nepieciešamību) un to turpmāko uzturēšanu aktuālā stāvoklī. No vienas puses, ir vēlme, lai veidu skaits (nomenklatūra) un pašu dokumentu skaits būtu pēc iespējas mazāks (mazu skaitu ir vieglāk pārvaldīt, visas paketes sagatavošanu var pabeigt ātrāk utt. .). Savukārt, ja ISMS “dzīvo” un attīstās visu laiku, dokumenti periodiski un atsevišķos izstrādes posmos - diezgan bieži ir jālabo un jāpabeidz. Ja dokumenti par informācijas drošību ir iekļauti organizācijas vispārējā "birokrātiskajā" ciklā: "izstrāde-saskaņošana-apstiprināšana", tad jo augstāks ir dokumentu apstiprināšanas un apstiprināšanas līmenis, jo ilgāks ir jaunu dokumentu versiju ieviešanas cikls. , jo grūtāk ir tos atjaunināt.
    Pieņemsim, ka organizācija ir izstrādājusi Informācijas drošības politiku, kas ietver noteikumus par darbībām noteiktās informācijas drošības jomās (sauktas par privātās informācijas drošības politikām). Sakarā ar to, ka visiem organizācijas darbiniekiem ir jāzina IS politika, viņi centās dokumentu padarīt ne pārāk apjomīgu un detalizētu, un privāto politiku noteikumi tika aprakstīti īsi, abstraktu veidā.
    Kas tā rezultātā notika?
    Dokuments joprojām izrādījās apgrūtinošs - vairāk nekā desmit lappušu, kas ir daudz. Konkrētības trūkuma dēļ izveidotās privātās politikas praktiski neko neizskaidro, tāpēc tās nav iespējams piemērot. Dokumentu ir grūti uzturēt - lai veiktu un apstiprinātu korekciju sadaļā, piemēram, droša interneta lietošana, lemjot, vai izmantot, teiksim, ielaušanās atklāšanas sistēmu (IDS), jāsagaida nākamā direktoru sanāksme utt. Tie. dokuments izrādījās nederīgs.
    Informācijas drošības politikai jābūt viegli saprotamai un ideālā gadījumā vienā vai divās lappusēs, jo tā kā stratēģisks dokuments tiek apstiprināts vadības hierarhijas augstākajā līmenī un ar to būtu jāiepazīstas visiem organizācijas darbiniekiem. . Vispārējo un privāto politiku nodalīšana atsevišķos dokumentos ļauj efektīvāk precizēt, paplašināt un pielāgot privātās politikas, atbilstošā dokumenta apstiprināšana būs daudz ātrāka, vienlaikus NEMAINOT vispārējo informācijas drošības politiku.
    Tas pats ir, ja privātā politika atspoguļo konkrētas tehnoloģijas vai sistēmas izmantošanu, tās konfigurāciju. Mainot sistēmu vai pārkonfigurējot to, jāmaina direktora līmenī parakstītais dokuments. Nepareizi! Privātajā polisē ir vieglāk norādīt uz pakārtotajiem dokumentiem (trešais un ceturtais līmenis), privātās politikas pielikumā norādot pārvaldības nodrošināšanai nepieciešamo informācijas formātu un sarakstu.
    Es ceru, ka pārliecināju jūs par domu, ka informācijas drošības dokumentu sistēma jāveido pēc hierarhiskas shēmas ar visvispārīgākajiem un abstraktākajiem dokumentiem hierarhijas augstākajā līmenī un "konkrētības" palielināšanu, tuvojoties praktiskajam. daļa.
    Ko mums iesaka standarti?
    ISO 13335-1 standarts nodrošina 4 informācijas drošības politiku (noteikumu) līmeņus:
    - uzņēmuma drošības politika;
    - informācijas drošības politika;
    - korporatīvā politika informācijas un komunikācijas tehnoloģiju drošībai;
    - [individuālo] informācijas un komunikācijas tehnoloģiju sistēmu drošības politika.
    Ieteikumi Krievijas Bankas RS BR IBBS 2.0-2007 standartizācijas jomā piedāvā šādu iepriekšminētā standarta noteikumu interpretāciju:

    Kādus dokumentus var piešķirt katram no līmeņiem?

    Dokumentu līmeņi

    Dokumentu veidi

    Pirmais līmenis

    ISMS politika, informācijas drošības politika, informācijas drošības koncepcija

    Otrais līmenis

    Privātās informācijas drošības politikas (fiziskās drošības nodrošināšana, piekļuves nodrošināšana, interneta un e-pasta lietošana, informācijas drošība tehnoloģiskajos procesos u.c.)

    Trešais līmenis

    Instrukcijas, noteikumi, procedūras, rokasgrāmatas, mācību līdzekļi un apmācību programmas, konfigurācijas prasības utt.

    Ceturtais līmenis

    Ieraksti OS, DBVS un IS sistēmas žurnālos; informācijas līdzekļu reģistri; pieprasījumi un izpildīti pasūtījumi piekļuves piešķiršanai; ieraksti žurnālos par apmācību un instruktāžu informācijas drošības jomā, testu protokoli, akti, pienākumi par konfidenciālas informācijas neizpaušanu u.c.

    Dokumentiem, kas piešķirti dažādiem hierarhijas līmeņiem, ir dažādi dzīves cikli.

    Dokumentu līmeņi

    Cik bieži tās mainās?

    Pirmais līmenis

    reti (stratēģiskā līmeņa izmaiņas)

    Otrais līmenis

    ne bieži (ar izmaiņām taktisko lēmumu līmenī)

    Trešais līmenis

    salīdzinoši bieži

    Ceturtais līmenis

    nepārtraukti

    Augsta līmeņa dokumentiem jābūt pēc iespējas vispārīgākiem un abstraktākiem un jāmainās, mainoties stratēģiskajam līmenim - biznesa stratēģijas maiņa, jaunu standartu pieņemšana, kardinālas izmaiņas informācijas sistēmā utt. Hierarhijā (trešajā līmenī) pakārtotie dokumenti var mainīties ievērojami biežāk - ieviešot jaunus produktus, informācijas drošības tehnoloģijas, veidojot papildu apmācību kursus vai izstrādājot procedūras informācijas dublēšanai. Ceturtajā līmenī ieraksti veidojas nepārtraukti un laika gaitā, visticamāk, to formāts tiks precizēts.

    Dokumenti dažādos hierarhijas līmeņos ir jāapstiprina dažādos pārvaldes līmeņos.

    Augsta līmeņa dokumenti - ISMS un IS politikas, kas nosaka stratēģiskās pieejas IS uzturēšanai, tiek apstiprinātas īpašnieku vai direktoru padomes līmenī.
    Privātās politikas, kas regulē informācijas drošību noteiktās jomās, var tikt apstiprinātas izpilddirektora vai uzraugošā vadītāja līmenī, bet tajā pašā laikā tām ir jābūt plašam vienošanos par departamentiem, ko šīs darbības jomas ietekmē.
    Noteikumi, instrukcijas un citi praktiskie dokumenti ir informācijas drošības infrastruktūru apkalpojošo struktūrvienību darba dokumenti, tie tos veido, labo un maina. Dažos gadījumos dažiem trešo personu dokumentiem var būt nepieciešams apstiprinājums organizācijas vadības līmenī (piemēram, noteikumi par departamentiem utt.).
    Pierādījumus par informācijas drošības darbību, ja nepieciešams, apliecina ar darbuzņēmēja parakstu.
    Lai neapjuktu dokumentu versijās, pareizi sadalītu dokumentus starp darbiniekiem, kam tie paredzēti, ir PĀRVALDĪTA visa šī dokumentu kaudze.
    Dokumentu kontroles procedūrai jānodrošina:
    - dokumentu apstiprināšana atbilstošā organizācijas vadības struktūras līmenī;
    - dokumentu pārskatīšana un modernizācija, ja nepieciešams;
    - nodrošināt veikto izmaiņu un dokumentu versiju pašreizējā statusa apzināšanu;
    - piekļuve dokumentu darba versijām to izmantošanas vietās;
    - procedūras esamība dokumentu identificēšanai un piekļuves nodrošināšanai tiem;
    - piekļuvi pilnvaroto personu dokumentiem, kā arī to, ka to dzīves cikls (pārvietošana, uzglabāšana un iznīcināšana) tiek veikts atbilstoši to konfidencialitātes klasifikācijas līmenim;
    - ārpus organizācijas izveidoto dokumentu identifikācija;
    - dokumentu izplatīšanas kontrole;
    - novecojušu dokumentu izmantošanas novēršana;
    - atbilstoša novecojušo dokumentu identifikācija, ja tie tiek glabāti kādam nolūkam.
    IS dokumentu pārvaldīšanas kārtību vēlams aprakstīt atsevišķa dokumenta veidā, kurā cita starpā ir visu dokumentu saraksts un mērķis, pārskatīšanas periods un/vai nosacījumi, kurš ir katra dokumenta īpašnieks. , kurš vienojas un apstiprina kādu dokumentu, kam katrs dokumenta veids paredzēts utt.
    Visiem dokumentu veidošanas, maiņas, saskaņošanas un apstiprināšanas noteikumiem ir jāatbilst organizācijā pieņemtajiem dokumentu aprites noteikumiem.
    Jāņem vērā, ka dokumentu pārskatīšanas procedūra ne vienmēr nozīmē izmaiņas dokumentos. Dažiem dokumentu veidiem ir lietderīgi paredzēt procedūru to atbilstības apstiprināšanai, kas tiek veikta ar gariem, bet regulāriem starplaikiem. No Krievijas Bankas ieteikumiem par trīs gadu periodu, lai veiktu pašnovērtējumu vai auditu par atbilstību STO BR IBBS-1.0 standarta prasībām, var pieņemt, ka tas pats periods IS pārskatīšanai / apstiprināšanai. politiku var uzskatīt par saprātīgu (tādā nozīmē, NAV RETI!). Pārējiem dokumentiem, iespējams, pārskatīšanas procedūra būtu jāveic nedaudz biežāk.
    Pierādījumi par ISMS darbību būtu jāģenerē arī tādu dokumentu veidā, kas pastāv parastā papīra vai elektroniskā formā. Pierādījumi par ISMS darbību ir dažādi pieprasījumi un rīkojumi par piekļuves piešķiršanu, operētājsistēmu, DBVS un lietojumprogrammu reģistrēšana, ielaušanās novēršanas sistēmu darbības rezultāti un ziņojumi par iespiešanās testu rezultātiem, konfigurācijas pārbaudes akti. darbstacijas un serveri utt. Šī dokumentu klase standartā tiek saukta par “ierakstiem”. Ierakstu kontroles procedūrai jānodrošina, ka tie tiek kontrolēti un aizsargāti pret izmaiņām. noteiktos apstākļos tie var būt materiāli informācijas drošības incidentu izmeklēšanai, un šo materiālu uzglabāšanas kvalitāte nosaka, vai šie materiāli tiks atzīti par leģitīmiem vai, gluži pretēji, neuzticamiem. Uzskaitē tiek iekļauti arī ISMS monitoringa rezultāti, informācijas drošības incidentu izmeklēšanas rezultāti, ziņojumi par ISMS darbības rezultātiem u.c.
    Ierakstu pārvaldības procedūrām jābūt:
    - nodrošināt, lai dokumentārie pierādījumi būtu skaidri, vienkārši, identificējami un atgūstami;
    - izmantot kontroles pasākumus, kas nodrošina identifikāciju, uzglabāšanu, konfidencialitātes un integritātes aizsardzību, izguvi, uzglabāšanas termiņu un iznīcināšanas kārtības noteikšanu.
    Kā piemēru sniegsim nelielu "vertikālu" ISMS dokumentācijas sistēmu veidojošo dokumentu tipu saraksta fragmentu, piemēram, informācijas drošības nodrošināšanai piekļūstot internetam:

    Līmenis

    Dokumenti

    Pirmais līmenis

    > Organizācijas informācijas drošības politika

    > Informācijas drošības koncepcija

    Otrais līmenis

    > Organizācijas informācijas drošības privātā politika darbā ar interneta resursiem

    > Informācijas drošības dokumentos lietotie termini (glosārijs)

    Trešais līmenis

    > Lietotāju piekļuves interneta resursiem nodrošināšanas kārtība

    > Piekļuves profilu apraksts (atļauju un aizliegumu kopums) interneta resursiem

    > Ar internetu savienota datortīkla diagramma

    > Starpniekservera iestatījumu karte

    > Ugunsmūra konfigurācijas karte starp iekšējiem tīkla segmentiem un DMZ ( DMZ)

    > Darbstacijas iestatīšanas karte [interneta piekļuves nodrošināšanai]

    > Lietotāja piezīme par interneta resursu lietošanu

    > Funkcionālās lomas "Interneta piekļuves sistēmu administrators" apraksts un kvalifikācijas prasības

    > Darbinieka, kurš pilda funkcionālo lomu "interneta piekļuves sistēmu administrators" amata apraksts

    Ceturtais līmenis

    > Lietojumprogramma-pasūtījums lietotāja pieslēgšanai interneta resursu lietošanai

    > Internetam pieslēgto lietotāju saraksts ar piekļuves profila norādi

    > Starpniekservera žurnāls par lietotāja piekļuvi interneta resursiem

    > Ielaušanās noteikšanas sistēmas žurnāls ( IDS ) tīkla segmentā, kas atrodas DMZ

    > Ziņojums par ielaušanos DMZ atklāja IDS

    > Ugunsmūra konfigurācijas verifikācijas ziņojums

    Iepriekš minētais saraksts nebūt nav pilnīgs pat izvēlētajam virzienam un ir atkarīgs no konkrētajām tehnoloģijām un pakalpojumiem, ko organizācija saņem vai sniedz, izmantojot internetu, kā arī pieejas informācijas drošības nodrošināšanai.
    Šeit ir dažas vispārīgas vadlīnijas ISMS dokumentu izveidei.
    > Atsevišķa dokumenta veidā jāizstrādā dokuments ar nosaukumu "Glosārijs", kas ir kopīgs vismaz pirmo divu līmeņu dokumentiem, tiek izmantots dokumentu izstrādē un norādīts dokumentos kā atsauce.
    > Lai standartizētu dokumentu formas, augsta līmeņa dokumentu pielikumos iespējams norādīt pakārtoto dokumentu veidlapas, īpaši tās, kas liecina par izpildi (atskaites, pieprasījumu veidlapas u.c.). No vienas puses, tas nedaudz sarežģī dokumenta sākotnējās izstrādes procedūru. No otras puses, ja visi saistītie dokumenti tiek izstrādāti kā daļa no procedūras, jūs nekavējoties iegūstat lietošanai gatavu tehnoloģiju.
    > Izplatīta kļūda augsta līmeņa dokumentu (politiku un privāto politiku, noteikumu u.c.) sagatavošanā ir tieši dokumentu tekstā ievadīt konkrētus nosaukumus, sistēmu nosaukumus utt. Attiecīgi izpildītāja maiņa noved arī pie ilga dokumenta "jaunās" versijas apstiprināšanas cikla uzsākšanas. Labāk ir sākotnēji pārsūtīt šādas "mainīgās" vērtības uz lietojumprogrammām, pakārtotajiem dokumentiem vai ierakstiem (ceturtā līmeņa dokumentiem).
    > Veidojot "praktiskus" dokumentus, aprakstot kādas konkrētas funkcijas izpildi, vēlams norādīt nevis amatu, bet gan funkcionālu lomu, piemēram, "pretvīrusu sistēmas administrators" vai "rezerves sistēmas operators", un atsevišķā dokumentā reģistrē darbiniekus, kuri veic šo vai citu lomu ... Tas pagarinās dokumenta dzīves ciklu bez nepieciešamības veikt labojumus un nodrošinās elastību tā izmantošanā, jo jūs varat izveidot atsevišķu "kompetenču" reģistru un ātri nomainīt izpildītājus, kad rodas vajadzība.
    > Katrā dokumentā jābūt tā īpašnieka (atbildīgā darbinieka) zīmei, pārskatīšanas apjomam un noteikumiem.
    > ISMS dokumenti un ieraksti var pastāvēt gan “cietā” (papīra), gan elektroniskā formā. Lai revidentiem vai recenzentiem izsniegtu dokumentu kopiju kopijas elektroniskā formā, ir jāpastāv atbilstošai kārtībai un jānosaka to atbildīgie izpildītāji.
    Iepriekšminētajam var piebilst, ka, ja augsta līmeņa dokumentu (politiku, noteikumu u.c.) izstrādi var uzticēt ārējiem konsultantiem, tad zemāka līmeņa dokumenti un uzskaite būtu jāveido un jāatjaunina organizācijas darbinieki, kuri ir maksimāli iesaistīti ISMS darbībā un tās veidošanas procedūrās.
    Nākamajā publikācijā apspriedīsim organizācijas vadības līdzdalību informācijas drošības vadības sistēmā.

    Informācijas tehnoloģiju pasaulē par prioritāti kļūst jautājums par informācijas integritātes, uzticamības un konfidencialitātes nodrošināšanu. Tāpēc organizācijas informācijas drošības pārvaldības sistēmas (ISMS) nepieciešamības apzināšana ir stratēģisks lēmums.

    Tas tika izstrādāts, lai izveidotu, ieviestu, uzturētu un nepārtraukti uzlabotu ISMS visā uzņēmumā, un, piemērojot šo standartu ārējiem partneriem, kļūst skaidrs, ka organizācija spēj izpildīt savas informācijas drošības prasības. Šajā rakstā tiks aplūkotas standarta pamatprasības un apskatīta tā struktūra.

    Jūsu bizness turpināsies jauns līmenis kvalitāti, iegūstot likumīgu ISO sertifikātu ar pieredzējušu speciālistu palīdzību.

    ISO 27001 standarta galvenie mērķi

    Pirms turpināt Standarta struktūras aprakstu, noteiksim tā galvenos uzdevumus un apskatīsim Standarta parādīšanās vēsturi Krievijā.

    Standarta mērķi:

    • vienotu prasību noteikšana visām organizācijām ISMS izveidei, ieviešanai un pilnveidošanai;
    • augstākās vadības un darbinieku mijiedarbības nodrošināšana;
    • informācijas konfidencialitātes, integritātes un pieejamības saglabāšana.

    Tajā pašā laikā Standartā noteiktās prasības ir vispārīgas, un tās ir paredzēts piemērot jebkurai organizācijai neatkarīgi no to veida, lieluma vai rakstura.

    Standarta vēsture:

    • 1995. gadā Lielbritānijas Standartu institūts (BSI) pieņēma Informācijas drošības pārvaldības kodeksu kā Apvienotās Karalistes nacionālo standartu un reģistrēja to saskaņā ar BS 7799 — 1. daļu.
    • 1998. gadā BSI publicē BS7799-2 divās daļās, no kurām viena ietver kodu praktiskie noteikumi un otrs ir prasības informācijas drošības pārvaldības sistēmām.
    • Turpmāko labojumu laikā pirmā daļa tika publicēta kā BS 7799: 1999, 1. daļa. 1999. gadā šī standarta versija tika nodota Starptautiskajai sertifikācijas organizācijai.
    • Šis dokuments tika apstiprināts 2000. gadā kā starptautiskais standarts ISO / IEC 17799: 2000 (BS 7799-1: 2000). Jaunākā versija punktā, kas pieņemts 2005. gadā, ir ISO / IEC 17799: 2005.
    • 2002. gada septembrī stājās spēkā BS 7799 otrā daļa "Informācijas drošības pārvaldības sistēmas specifikācija". BS 7799 otrā daļa tika pārskatīta 2002. gadā, un 2005. gada beigās ISO pieņēma kā starptautisko standartu ISO / IEC 27001: 2005 "Informācijas tehnoloģija - Drošības tehnikas - Informācijas drošības pārvaldības sistēmas - Prasības".
    • 2005. gadā ISO / IEC 17799 tika iekļauts 27. standartu sērijā un saņēma jaunu numuru - ISO / IEC 27002: 2005.
    • 2013. gada 25. septembrī tika publicēts atjauninātais ISO / IEC 27001: 2013 “Informācijas drošības pārvaldības sistēmas”. Prasības". Pašlaik organizācijas ir sertificētas saskaņā ar šo standarta versiju.

    Standarta struktūra

    Viena no šī standarta priekšrocībām ir tā struktūras līdzība ar ISO 9001, jo tajā ir identiski apakšvirsraksti, identisks teksts, kopīgi termini un pamatdefinīcijas. Šis apstāklis ​​ietaupa laiku un naudu, jo daļa dokumentācijas jau ir izstrādāta ISO 9001 sertifikācijas laikā.

    Ja mēs runājam par Standarta struktūru, tas ir ISMS prasību saraksts, kuras ir obligātas sertifikācijai un sastāv no šādām sadaļām:

    Galvenās sadaļasPielikums A
    0. Ievads A.5 Informācijas drošības politikas
    1 izmantošanas joma A.6 Informācijas drošības organizācija
    2. Normatīvās atsauces A.7 Drošība cilvēku resursi(personāls)
    3. Termini un definīcijas A.8. Aktīvu pārvaldība
    4. Organizācijas konteksts A.9 Piekļuves kontrole
    5. Līderība A.10 Kriptogrāfija
    6. Plānošana A.11 Fiziskā un vides drošība
    7. Atbalsts A.12 Operāciju drošība
    8. Operācijas (Operation) A.13 Sakaru drošība
    9. Darbības novērtējums (mērīšana). A.14 Informācijas sistēmu iegāde, izstrāde un uzturēšana
    10. Uzlabošana (Uzlabošana) A.15 Piegādātāju attiecības
    A.16 Incidentu pārvaldība
    A.17 Darbības nepārtrauktība
    A.18. Tiesiskā atbilstība

    "A pielikuma" prasības ir obligātas, taču standarts ļauj izslēgt jomas, kuras uzņēmumā nevar piemērot.

    Ieviešot Standartu uzņēmumā turpmākai sertifikācijai, ir vērts atcerēties, ka nav pieļaujami nekādi izņēmumi no 4. - 10. sadaļās noteiktajām prasībām. Šīs sadaļas tiks apspriestas tālāk.

    Sāksim ar 4. sadaļu – Organizācijas konteksts

    Organizācijas konteksts

    Šajā sadaļā standarts pieprasa, lai organizācija identificētu ārējos un iekšējos jautājumus, kas ir saistīti ar tās mērķiem un ietekmē tās ISMS spēju sasniegt gaidītos rezultātus. Šajā gadījumā būtu jāņem vērā likumdošanas un normatīvajām prasībām un līgumsaistības attiecībā uz informācijas drošību. Organizācijai arī jādefinē un jādokumentē ISMS darbības joma un piemērojamība, lai noteiktu tās darbības jomu.

    Vadība

    Augstākajai vadībai vajadzētu demonstrēt vadību un uzticību informācijas drošības pārvaldības sistēmai, piemēram, nodrošinot, ka informācijas drošības politika un informācijas drošības mērķi ir noteikti un saskaņoti ar organizācijas stratēģiju. Tāpat augstākajai vadībai ir jānodrošina, lai tiktu nodrošināti visi ISMS nepieciešamie resursi. Citiem vārdiem sakot, darbiniekiem ir jābūt acīmredzamam, ka vadība ir iesaistīta informācijas drošības jautājumos.

    Informācijas drošības politika ir jādokumentē un jādara zināma darbiniekiem. Šis dokuments atgādina kvalitātes politiku ISO 9001. Tam arī jāatbilst organizācijas mērķim un jāiekļauj informācijas drošības mērķi. Ir labi, ja tie ir reāli mērķi, piemēram, informācijas konfidencialitātes un integritātes saglabāšana.

    Tāpat vadībai paredzēts sadalīt ar informācijas drošību saistītās funkcijas un pienākumus starp darbiniekiem.

    Plānošana

    Šajā sadaļā nonākam pie PDCA (Plānot – Dari – Pārbaudi – Rīkojies) vadības principa pirmā posma – plāno, izpildi, pārbaudi, rīkojies.

    Plānojot informācijas drošības pārvaldības sistēmu, organizācijai jāņem vērā 4.punktā minētie jautājumi un jānosaka riski un iespējamās iespējas, kas jāņem vērā, lai nodrošinātu, ka ISMS var sasniegt gaidītos rezultātus, novērst nevēlamas sekas un panākt pastāvīgus uzlabojumus.

    Plānojot, kā sasniegt savus informācijas drošības mērķus, organizācijai jānosaka:

    • kas tiks darīts;
    • kādi resursi būs nepieciešami;
    • kurš būs atbildīgs;
    • kad mērķi ir sasniegti;
    • kā tiks novērtēti rezultāti.

    Turklāt organizācija saglabā datus par informācijas drošības mērķiem kā dokumentētu informāciju.

    Drošība

    Organizācija nosaka un nodrošina resursus, kas nepieciešami, lai izstrādātu, ieviestu, uzturētu un nepārtraukti uzlabotu ISMS, tostarp gan personālu, gan dokumentāciju. Attiecībā uz personālu organizācijai ir jāpieņem darbā kvalificēts un kompetents informācijas drošības personāls. Strādnieku kvalifikācija jāapliecina ar sertifikātiem, diplomiem utt. Ir iespējams piesaistīt trešo personu speciālistus ar līgumu vai apmācīt savus darbiniekus. Ciktāl tas attiecas uz dokumentāciju, tajā jāiekļauj:

    • Standartā prasītā dokumentēta informācija;
    • dokumentētu informāciju, ko organizācija atzinusi par nepieciešamu informācijas drošības pārvaldības sistēmas efektivitātes nodrošināšanai.

    ISMS un Standarta pieprasītā dokumentētā informācija ir jākontrolē, lai nodrošinātu, ka tā:

    • pieejams un piemērots lietošanai, kur un kad tas ir nepieciešams, un
    • atbilstoši aizsargāta (piemēram, no konfidencialitātes zaudēšanas, ļaunprātīgas izmantošanas vai integritātes zaudēšanas).

    Darbojas

    Šajā sadaļā aplūkots PDCA pārvaldības principa otrā fāze – nepieciešamība organizācijai pārvaldīt procesus, lai nodrošinātu atbilstību un ievērotu Plānošanas sadaļā norādītās aktivitātes. Tajā arī teikts, ka organizācijai ir jāveic informācijas drošības riska novērtējumi plānotajos intervālos vai tad, kad tiek ierosinātas vai notikušas būtiskas izmaiņas. Informācijas drošības riska novērtējuma rezultātus organizācija saglabā kā dokumentētu informāciju.

    Darbības novērtējums

    Trešais posms ir pārbaude. Organizācija novērtē ISMS darbību un efektivitāti. Piemēram, tai jāveic iekšējais audits, lai iegūtu informāciju par to, vai

    1. Vai informācijas drošības pārvaldības sistēma atbilst prasībām
      • pašas organizācijas prasības savai informācijas drošības pārvaldības sistēmai;
      • Standarta prasības;
    2. ka informācijas drošības pārvaldības sistēma ir efektīvi ieviesta un darbojas.

    Pats par sevi saprotams, ka auditu apjoms un laiks ir jāplāno iepriekš. Visi rezultāti ir jādokumentē un jāsaglabā.

    Uzlabojums

    Šīs sadaļas mērķis ir noteikt darbības virzienu, ja tiek konstatēta neatbilstība. Organizācijai ir jālabo neatbilstības, sekas un jāanalizē situācija, lai tas nenotiktu nākotnē. Visas neatbilstības un koriģējošās darbības ir jādokumentē.

    Tas noslēdz standarta galvenās sadaļas. A pielikumā ir sniegtas konkrētākas prasības, kas organizācijai jāievēro. Piemēram, attiecībā uz piekļuves kontroli, izmantošanu mobilās ierīces un informācijas nesēji.

    Ieguvumi no ISO 27001 ieviešanas un sertifikācijas

    • organizācijas statusa un attiecīgi partneru uzticības paaugstināšana;
    • organizācijas stabilitātes paaugstināšana;
    • aizsardzības līmeņa paaugstināšana pret informācijas drošības apdraudējumiem;
    • nodrošināt nepieciešamo ieinteresēto personu informācijas konfidencialitātes līmeni;
    • paplašinot organizācijas iespējas piedalīties lielos līgumos.

    Ekonomiskie ieguvumi ir:

    • neatkarīgs sertifikācijas institūcijas apstiprinājums, ka organizācijai ir augsts informācijas drošības līmenis, ko kontrolē kompetents personāls;
    • apliecinājums par atbilstību spēkā esošajiem normatīvajiem aktiem (atbilstība obligāto prasību sistēmai);
    • noteikta augsta līmeņa vadības sistēmu demonstrēšana, lai nodrošinātu atbilstošu apkalpošanas līmeni organizācijas klientiem un partneriem;
    • Pārvaldības sistēmu regulāru auditu, darbības rezultātu novērtēšanas un nepārtrauktas uzlabošanas demonstrēšana.

    Sertifikācija

    Organizāciju var sertificēt akreditētas aģentūras saskaņā ar šo standartu. Sertifikācijas process sastāv no trim posmiem:

    • 1. posms - auditora pētījums galvenie dokumenti ISMS par atbilstību Standarta prasībām - var veikt gan organizācijas teritorijā, gan nododot šos dokumentus ārējam auditoram;
    • 2.posms - detalizēts audits, tai skaitā īstenoto pasākumu testēšana un to efektivitātes novērtējums. Ietver pilnīgu standartā nepieciešamo dokumentu izpēti;
    • 3. posms - pārbaudes audita veikšana, lai apstiprinātu, ka sertificēta organizācija atbilst noteiktajām prasībām. Tiek veikta periodiski.

    Rezultāts

    Kā redzat, šī standarta izmantošana uzņēmumā ļaus kvalitatīvi uzlabot informācijas drošības līmeni, kas mūsdienu realitātē ir dārgs. Standarts satur daudzas prasības, bet vissvarīgākā prasība ir darīt to, kas rakstīts! Faktiski nepiemērojot standarta prasības, tas pārvēršas par tukšu papīra gabalu komplektu.



    © 2021 Mēs zinām visu par pamatiem. Darbs. Materiāli. Izvēle. Dokumentācija