Разработчики стандарта отмечают, что он был подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). СМИБ (англ. -information security management system; ISMS ) определяется как часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Стандарт предполагает использование процессного подхода для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. Он основан на модели "Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рис. 2.3 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам.

На этапе разработки системы менеджмента информационной безопасности организация должна осуществить следующее:

• определить область и границы действия СМИБ;
• определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
• определить подход к оценке риска в организации;
• идентифицировать риски;
• проанализировать и оценить риски;
• определить и оценить различные варианты обработки рисков;
• выбрать цели и меры управления для обработки рисков;
• получить утверждение руководством предполагаемых остаточных рисков ;
• получить разрешение руководства на внедрение и эксплуатацию СМИБ;
• подготовить Положение о применимости.

Рис. 2.3.

Этап "внедрение и функционирование системы менеджмента информационной безопасности" предполагает, что организация должна выполнить следующее:

• разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ;
• реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;
• внедрить выбранные меры управления;
• определить способ измерения результативности выбранных мер управления;
• реализовать программы по обучению и повышению квалификации сотрудников;
• управлять работой СМИБ;
• управлять ресурсами СМИБ;
• внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ.

Третий этап "Проведение мониторинга и анализа системы менеджмента информационной безопасности" требует:

• выполнять процедуры мониторинга и анализа;
• проводить регулярный анализ результативности СМИБ;
• измерять результативность мер управления для проверки соответствия требованиям ИБ;
• пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения;
• проводить внутренние аудиты СМИБ через установленные периоды времени;
• регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования;
• обновлять планы ИБ с учетом результатов анализа и мониторинга;
• регистрировать действия и события, способные повлиять на результативность или функционирование СМИБ.

И наконец, этап "Поддержка и улучшение системы менеджмента информационной безопасности" предполагает, что организация должна регулярно проводить следующие мероприятия:

• выявлять возможности улучшения СМИБ;
• предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;
• передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
• обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.

Далее в стандарте приводятся требования к документации, которая в частности должна включать положения политики СМИБ и описание области функционирования, описание методики и отчет об оценке рисков, план обработки рисков, документирование связанных процедур. Также должен быть определен процесс управления документами СМИБ, включающий актуализацию, использование, хранение и уничтожение.

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи и записи о выполнении процессов. В качестве примеров называются журналы регистрации посетителей, отчеты о результатах аудита и т.п.

Стандарт определяет, что руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания СМИБ, а также организацию подготовки персонала.

Как уже ранее отмечалось, организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие оценить ее функциональность и соответствие стандарту. А руководство должно проводить анализ системы менеджмента информационной безопасности.

Также должны проводиться работы по улучшению системы менеджмента информационной безопасности: повышению ее результативности и уровня соответствия текущего состояния системы и предъявляемым к ней требованиям.

Введение

Быстро развивающееся предприятие, равно как и гигант своего сегмента, заинтересовано в получении прибыли и ограждении себя от воздействия злоумышленников. Если ранее основной опасностью были кражи материальных ценностей, то на сегодняшний день основная роль хищений происходит в отношении ценной информации. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации .

Особенно остро ощущают утечку информации банки, управленческие организации, страховые предприятия. Защита информации на предприятии — это комплекс мер, обеспечивающий безопасность данных клиентов и сотрудников, важных электронных документов и разного рода информации, тайн. Каждое предприятие оснащено компьютерной техникой и доступом к всемирной паутине Интернет. Злоумышленники умело подключаются практически к каждой составной этой системы и с помощью многочисленного арсенала (вирусы, вредоносное ПО, подбор паролей и другое) воруют ценную информацию. Система информационной безопасности должна внедряться в каждую организацию. Руководителям необходимо собрать, проанализировать и классифицировать все виды информации, которая нуждается в защите, и использовать надлежащую систему обеспечения безопасности. Но этого будет мало, потому что, кроме техники, существует человеческий фактор, который также успешно может сливать информацию конкурентам. Важно правильно организовать защиту своего предприятия на всех уровнях. Для этих целей используется система менеджмента информационной безопасности, с помощью которой руководитель наладит непрерывный процесс мониторинга бизнеса и обеспечит высокий уровень безопасности своих данных.

1. Актуальность темы

Для каждого современного предприятия, компании или организации одной из самых главных задач является именно обеспечение информационной безопасности. Когда предприятие стабильно защищает свою информационную систему, оно создает надежную и безопасную среду для своей деятельности. Повреждение, утечка, неимение и кража информации — это всегда убытки для каждой компании. Поэтому создание системы менеджмента информационной безопасности на предприятиях является актуальным вопросом современности.

2. Цели и задачи исследования

Проанализировать пути создания системы менеджмента информационной безопасности на предприятии, учитывая особенности Донецкого региона.

• провести анализ современного состояния систем менеджмента информационной безопасности на предприятиях;
• выявить причины создания и внедрения системы менеджмента информационной безопасности на предприятиях;
• разработать и внедрить систему менеджмента информационной безопасности на примере предприятия ЧАО Донецкий завод горноспасательной аппаратуры;
• оценить результативность, эффективность и экономическую целесообразность внедрения системы менеджмента информационной безопасности на предприятии.

3. Система менеджмента информационной безопасности

Под информационной безопасностью понимают состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера (информационных угроз, угроз информационной безопасности), которые могут нанести неприемлемый ущерб субъектам информационных отношений.

Доступность информации — свойство системы обеспечивать своевременный беспрепятственный доступ правомочных (авторизированных) субъектов к интересующей их информации или осуществлять своевременный информационный обмен между ними.

Целостность информации — свойство информации, характеризующее ее устойчивость к случайному или преднамеренному разрушению или несанкционированному изменению. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)).

Конфиденциальность информации — свойство информации быть известной и доступной, только правомочным субъектам системы (пользователям, программам, процессам). Конфиденциальность — самый проработанный у нас в стране аспект информационной безопасности.

Система менеджмента информационной безопасности (далее СМИБ) — часть общей системы менеджмента, основанной на подходах к деловому риску, предназначенная для учреждения, внедрения, управления, мониторинга, поддержания и улучшения информационной безопасности .

Основными факторами, оказывающими влияние на защиту информации и данных на предприятии, являются:

• Приумножение сотрудничества компании с партнерами;
• Автоматизация бизнес-процессов;
• Тенденция к росту объемов информации предприятия, которая передается по доступным каналам связи;
• Тенденция к росту компьютерных преступлений.

Задачи систем информационной безопасности компании многогранны. К примеру, это обеспечение надежного хранения данных на различных носителях; защита информации, передаваемой по каналам связи; ограничение доступа к некоторым данным; создание резервных копий и другое.

Полноценное обеспечение информационной безопасности компании реально только при правильном подходе к защите данных. В системе информационной безопасности нужно учитывать все актуальные на сегодняшний день угрозы и уязвимости.

Одним из наиболее эффективных инструментов управления и защиты информации является система менеджмента информационной безопасности, построенная на базе модели МС ISO/IEC 27001:2005. В основе стандарта лежит процессный подход к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ компании. Он заключается в создании и применении системы процессов управления, которые взаимоувязаны в непрерывный цикл планирования, внедрения, проверки и улучшения СУИБ .

Настоящий международный стандарт был подготовлен с целью создания модели для внедрения, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования СМИБ.

Основные факторы реализации СМИБ:

• законодательные — требования действующего национального законодательства в части ИБ, международные требования;
• конкурентные — соответствие уровню, элитарность, защита своих НМА, превосходство;
• антикриминальные — защита от рейдеров (белых воротничков), предупреждение НСД и скрытого наблюдения, сбор доказательств для разбирательств.

Структура документации в области информационной безопасности изображена на рисунке 1.

Рисунок 1 — Структура документации в области ИБ

4. Построение СМИБ

Сторонники подходов ISO используют для создания СМИБ модель PDCA. ISO применяет эту модель во многих своих стандартах по менеджменту и ISO 27001 не является исключением. Кроме того, следование модели PDCA при организации процесса менеджмента позволяет использовать те же приемы и в дальнейшем – для менеджмента качества, экологического менеджмента, менеджмента безопасности, а также в других областях менеджмента, что снижает затраты. Поэтому PDCA является отличным выбором, полностью отвечающим задачам по созданию и поддержке СМИБ. Иными словами, этапы PDCA определяют, как установить политику, цели, процессы и процедуры, соответствующие обрабатываемым рискам (этап планирования — Plan), внедрить и использовать (этап выполнения — Do), оценивать и, там где это возможно, измерять результаты процесса с точки зрения политики (этап проверки — Check), выполнять корректирующие и превентивные действия (этап улучшения — Act). Дополнительными концепциями, не входящими в состав стандартов ISO, которые могут быть полезны при создании СМИБ, являются: состояние как должно быть (to-be); состояние как есть (as-is); план перехода (transition plan).

Основа стандарта ИСО 27001 — система управление рисками, связанными с информацией .

Этапы создания СУИБ

В рамках работ по созданию СУИБ можно выделить следующие основные этапы:

Рисунок 2 — Модель PDCA для управления ИБ (анимация: 6 кадров, 6 повторений, 246 килобайт)

5. Управление рисками, связанными с информацией

Управление рисками рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая (пере) оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки .

Суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми).

Процесс управления рисками можно разделить на следующие этапы:

1. Выбор анализируемых объектов и уровня детализации их рассмотрения.
2. Выбор методологии оценки рисков.
3. Идентификация активов.
4. Анализ угроз и их последствий, выявление уязвимых мест в защите.
5. Оценка рисков.
6. Выбор защитных мер.
7. Реализация и проверка выбранных мер.
8. Оценка остаточного риска.

Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты — минимальными.

Очень важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства стоит использовать. Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками — типичная оптимизационная задача, и существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности). Принципиальная трудность, однако, состоит в неточности исходных данных. Можно, конечно, попытаться получить для всех анализируемых величин денежное выражение, высчитать все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой.

Основные этапы управления рисками.

Первый шаг в анализе угроз — их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (исключив, например, землетрясения, однако не забывая о возможности захвата организации террористами), но в пределах выбранных видов провести максимально подробный анализ.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет в выборе дополнительных средств защиты.

После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).

Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости.

Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно планировать. В плане необходимо учесть наличие финансовых средств и сроки обучения персонала. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования (автономного и комплексного).

Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.

Выводы

Каждый руководитель предприятия заботится о своем бизнесе и поэтому должен понимать, что решение о внедрении системы менеджмента информационной безопасности (СМИБ) — важный шаг, который позволит минимизировать риски потерь активов предприятия/организации и сократить финансовые потери, а в некоторых случаях избежать банкротства.

Информационная безопасность важна для предприятий, как частного, так и государственного секторов. Ее следует рассматривать как инструмент реализации оценки, анализа и минимизации соответствующих рисков.

Безопасность, которая может быть достигнута техническими средствами, имеет свою ограниченность и ее следует поддерживать соответствующими методами управления и процедурами.

Определение средств управления требует тщательного планирования и внимания.

Для эффективной защиты информации, должны быть разработаны наиболее подходящие меры безопасности, которые могут быть достигнуты путем определения основных рисков информации в системе и внедрением соответствующих мер.

Биячуев Т.А. Безопасность корпоративных сетей / под ред. Л.Г. Осовецкого. - СПб.:изд-во СПб ГУ ИТМО, 2006. - 161 с.

Гладких А.А., Дементьев В.Е. / Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов; - Ульяновск: изд-во УлГТУ, 2009. - 168 с.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

"Система менеджмента информационной безопасности"

менеджмент международный стандарт

В ведение

Система менеджмента информационной безопасности -- это совокупность процессов, которые работают в компании для обеспеченияконфиденциальности,целостностиидоступностиинформационных активов. В первой части реферата рассматривается процесс внедрения системы менеджмента в организацию, а также приведены основные аспекты выгоды от реализации системы менеджмента информационной безопасности.

Рис.1. Цикл управления

Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование (Рис.1). Этот стандарт будет рассмотрен подробнее во второй части.

С истема менеджмента информационной безопасности

Системой менеджмента информационной безопасности (СМИБ) называют ту часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. Процессы СМИБ созданы в соответствии с требованиям стандарта ISO/IEC 27001:2005, в основе которого лежит цикл

Работа системы основана на подходах современной теории рисков менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.

Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:

· Управление внутренней организацией информационной безопасности.

· Обеспечение информационной безопасности при взаимодействии с третьими сторонами.

· Управление реестром информационных активов и правила их классификации.

· Управление безопасностью оборудования.

· Обеспечение физической безопасности.

· Обеспечение информационной безопасности персонала.

· Планирование и принятие информационных систем.

· Резервное копирование.

· Обеспечение безопасности сети.

Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность -- это результат устойчивого функционирования процессов, связанных с информационными технологиями.

При построении СМИБ в компаниях специалисты проводят следующие работы:

· организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;

· определяют область деятельности (ОД) СМИБ;

· обследуют организацию в ОД СМИБ:

o в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;

o в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;

o в части ИТ инфраструктуры;

o в части ИБ инфраструктуры.

· разрабатывают и согласовывают аналитический отчет, содержащий перечень основных бизнес-процессов и оценку последствий реализации угроз ИБ в их отношении, перечень процессов менеджмента, ИТ-систем, подсистем информационной безопасности (ПИБ), оценку степени выполнения организацией всех требований ISO 27001 и оценку зрелости процессов организации;

· выбирают исходный и целевой уровень зрелости СМИБ, разрабатывают и утверждают Программу повышения зрелости СМИБ; разрабатывают высокоуровневую документацию в области ИБ:

o Концепцию обеспечения ИБ,

o Политики ИБ и СМИБ;

· выбирают и адаптируют методику оценки рисков, применимую в организации;

· выбирают, поставляют и развертывают ПО, используемое для автоматизации процессов СМИБ, организуют обучение специалистов компании;

· проводят оценку и обработку рисков, в ходе которой для их снижения выбираются меры Приложения «А» стандарта 27001 и формулируются требования к их реализации в организации, предварительно выбирают технические средства обеспечения ИБ;

· разрабатывают эскизные проекты ПИБ, производят оценку стоимости обработки рисков;

· организуют утверждение оценки рисков высшим руководством организации и разрабатывают Положения о применимости; разрабатывают организационные меры обеспечения ИБ;

· разрабатывают и реализуют технические проекты по внедрению технических подсистем информационной безопасности, поддерживающих выполнение выбранных мер, включая поставку оборудования, пуско-наладочные работы, разработку эксплуатационной документации и обучение пользователей;

· предоставляют консультации в ходе эксплуатации построенной СМИБ;

· организуют обучение внутренних аудиторов и проведение внутренних аудитов СМИБ.

Результатом данных работ является функционирующая СМИБ. Выгода от реализации СМИБ в компании достигаются за счет:

· эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;

· предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;

· повышения культуры ИБ в организации;

· повышения зрелости в области управления обеспечением ИБ;

· оптимизации расходования средств на обеспечение ИБ.

ISO/IEC 27001-- международный стандарт по информационной безопасности

Этот стандарт разработан совместно Международной Организацией по Стандартизации (ISO) и Международной электротехнической комиссией (IEC). Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания СМИБ. ISO 27001 устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные ресурсы. В международном стандарте используется понятие «защиты информации» и трактуется как обеспечение конфиденциальности, целостности и доступности информации. Основой стандарта является система управления рисками, связанными с информацией. Этот стандарт также можно использовать для оценки соответствия заинтересованными внутренними и внешними сторонами.

Для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшении системы менеджмента защиты информации (СМЗИ) стандарт принимает процессный подход. Он заключается в применении системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением.

Международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA), который еще называют циклом Шухарта-Деминга. Этот цикл применяется для структуризации всех процессов СМЗИ. На Рисунке 2 показано, как СМЗИ берет в качестве входных данных требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям.

Планирование - это фаза создания СМЗИ, создания перечня активов, оценки рисков и выбора мер.

Рисунок 2. Модель PDCA, примененная к процессам СМЗИ

Осуществление - это этап реализации и внедрения соответствующих мер.

Проверка - фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

Действие - выполнение превентивных и корректирующих действий.

В ыводы

ISO 27001 описывает общую модель внедрения и функционирования СМИБ, а также действий по мониторингу и улучшению СМИБ. ISO намеревается гармонизировать различные стандарты по системам менеджмента, такие как ISO/IEC 9001:2000, который посвящен менеджменту качества, и ISO/IEC 14001:2004, предназначенный для систем экологического менеджмента. Цель ISO состоит в том, чтобы обеспечить согласованность и интеграцию СМИБ с другими системами менеджмента в компании. Сходство стандартов позволяет использовать схожий инструментарий и функционал для внедрения, управления, пересмотра, проверки и сертификации. Подразумевается, что если компания внедрила другие стандарты менеджмента, она может использовать единую систему аудита и управления, которая применима к менеджменту качества, экологическому менеджменту, менеджменту безопасности и т.д. Внедрив СМИБ, высшее руководство получает средства мониторинга и управления безопасностью, что снижает остаточные бизнес-риски. После внедрения СМИБ, компания может официально обеспечивать безопасность информации и продолжать выполнять требования клиентов, законодательства, регуляторов и акционеров.

Стоит отметить, что в законодательстве РФ существует документ ГОСТ Р ИСО/МЭК 27001-2006, который представляет собой переведенную версию международного стандарта ISO27001.

С писок литературы

1.Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил.

2.Международный стандартISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (дата обращения: 23.05.12)

3.Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27003 - "Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента Информационной Безопасности"(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (дата обращения: 23.05.12)

4.Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. -- 320 с.: ил.

5.Статья свободной энциклопедии»Википедия», «Система менеджмента

информационной безопасности» (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (дата обращения: 23.05.12)

6.Sigurjon Thor Arnasonи Keith D. Willett "How to Achieve 27001 Certification" («Какподготовитьсяксертификациипостандарту ISO 27001»)

Размещено на Allbest.ru

Подобные документы

Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.

курсовая работа , добавлен 03.02.2011


Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.

курсовая работа , добавлен 03.02.2011


Основные этапы создания системы менеджмента на предприятии пищевой промышленности. HACCP как основа любой системы менеджмента безопасности пищевого продукта. Система менеджмента безопасности пищевых продуктов. Опасные факторы и предупреждающие действия.

реферат , добавлен 14.10.2014


Современные системы менеджмента и их интегрирование. Интегрированные системы менеджмента качества. Характеристика ОАО "275 АРЗ" и его системы менеджмента. Разработка системы управления охраной труда. Методы оценки интегрированной системы безопасности.

дипломная работа , добавлен 31.07.2011


Внедрение системы менеджмента качества. Сертификация систем менеджмента качества (ISO 9000), экологического менеджмента (ISO 14 000), системы управления охраной труда и техникой безопасности организаций (OHSAS 18 001:2007) на примере ОАО "Лента".

реферат , добавлен 06.10.2008


Разработка стандарта организации интегрированной системы менеджмента, устанавливающего единый порядок осуществления процесса управления документацией. Этапы создания системы менеджмента качества ОАО "ЗСМК". Размещение электронных версий документов.

дипломная работа , добавлен 01.06.2014


Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.

курсовая работа , добавлен 30.12.2011


Понятие системы управленческой информации и ее место в общей системе менеджмента. Виды информационных систем и их содержание. Понятие менеджмента как информационной системы. Функции системы управления финансами. Системы совершения сделок и операций.

реферат , добавлен 06.01.2015


Понятия в области охраны здоровья и безопасности труда. Международные стандарты ISO о системах менеджмента качества, системах экологического менеджмента, системах менеджмента профессиональной безопасности и здоровья. Адаптация стандарта OHSAS 18001-2007.

курсовая работа , добавлен 21.12.2014


Характеристика информационного менеджмента; субъектов информационно-правовых отношений; правового режима получения, передачи, хранения и использования информации. Особенности и юридические аспекты информационного обмена и информационной безопасности.

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

Разработчики стандарта отмечают, что он был подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). СМИБ (англ. - information security management system; ISMS) определяется как часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Стандарт предполагает использование процессного подхода для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. Он основан на модели «Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)» (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рис. 4.4 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам.

Рис. 4.4.

На этапе «Разработка системы менеджмента информационной безопасности» организация должна осуществить следующее:

• - определить область и границы действия СМИБ;
• - определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
• - определить подход к оценке риска в организации;
• - идентифицировать риски;
• - проанализировать и оценить риски;
• - определить и оценить различные варианты обработки рисков;
• - выбрать цели и меры управления для обработки рисков;
• - получить утверждение руководством предполагаемых остаточных рисков;
• - получить разрешение руководства на внедрение и эксплуатацию СМИБ;
• - подготовить Положение о применимости.

Этап «Внедрение и функционирование системы менеджмента информационной безопасности» предполагает, что организация должна:

• - разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ;
• - реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;
• - внедрить выбранные меры управления;
• - определить способ измерения результативности выбранных мер управления;
• - реализовать программы по обучению и повышению квалификации сотрудников;
• - управлять работой СМИБ;
• - управлять ресурсами СМИБ;
• - внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ.

Третий этап «Проведение мониторинга и анализа системы менеджмента информационной безопасности» требует:

• - выполнять процедуры мониторинга и анализа;
• - проводить регулярный анализ результативности СМИБ;
• - измерять результативность мер управления для проверки соответствия требованиям ИБ;
• - пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения;
• - проводить внутренние аудиты СМИБ через установленные периоды времени;
• - регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности сс функционирования и определения направлений совершенствования;
• - обновлять планы ИБ с учетом результатов анализа и мониторинга;
• - регистрировать действия и события, способные повлиять па результативность или функционирование СМИБ.

И наконец, этап «Поддержка и улучшение системы менеджмента информационной безопасности» предполагает, что организация должна регулярно проводить следующие мероприятия:

• - выявлять возможности улучшения СМИБ;
• - предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;
• - передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
• - обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.

Далее в стандарте приводятся требования к документации, которая должна включать положения политики СМИБ и описание области функционирования, описание методики и отчет об оценке рисков, план обработки рисков, документирование связанных процедур. Также должен быть определен процесс управления документами СМИБ, включающий актуализацию, использование, хранение и уничтожение.

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи и записи о выполнении процессов. В качестве примеров называются журналы регистрации посетителей, отчеты о результатах аудита и т. гг

Стандарт определяет, что руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания СМИБ, а также организацию подготовки персонала.

Как уже ранее отмечалось, организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие оценить ее функциональность и соответствие стандарту. А руководство должно проводить анализ системы менеджмента информационной безопасности.

Также должны проводиться работы по улучшению системы менеджмента информационной безопасности: повышению ее результативности и уровня соответствия текущего состояния системы и предъявляемым к ней требованиям.

Стандарт BS ISO/IEC 27001:2005 описывает модель системы управления информационной безопасностью (СМИБ) и предлагает набор требований к организации ИБ на предприятии без привязки к способам реализации, которые выбираются исполнителями организации.

Check (Проверка) - фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

Решение о создании (и последующей сертификации) СМИБ принимается высшим руководством организации. Это демонстрирует поддержку и подтверждение руководством ценности СМИБ для бизнеса. Руководство организации инициирует создание группы по планированию СМИБ.

Группа, ответственная за планирование СМИБ, должна включать:

· представителей высшего руководства организации;

· представителей бизнес-подразделений, охватываемых СМИБ;

· специалистов подразделений ИБ;

· сторонних консультантов (при необходимости).

Комитет по ИБ обеспечивает поддержку эксплуатации СМИБ и ее непрерывного совершенствования.

Рабочая группа должна руководствоваться нормативно-методической базой, как в отношении создания СМИБ, так и относящейся к сфере деятельности организации, и, конечно, общей системой государственных законов.

Нормативная база по созданию СМИБ:

· ISO/IEC 27000:2009 Словарь и определения.

· ISO/IEC 27001:2005 Общие требования к СМИБ.

· ISO/IEC 27002:2005 Практическое руководство по управлению информационной безопасностью.

· ISO/IEC 27003:2010 Практическое руководство по внедрению СМИБ.

· ISO/IEC 27004:2009 Метрики (Измерения) ИБ.

· ISO/IEC 27005:2011 Руководство по менеджменту рисков ИБ.

· ISO/IEC Guide 73:2002, Risk management - Vocabulary - Guidelines for use in standards.

· ISO/IEC 13335-1:2004, Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security managment.

· ISO/IEC TR 18044 Information technology - Security techniques - Information security incident management.

· ISO/IEC 19011:2002 Guidelines for quality and / or environmental management systems auditing.

· Серия методик Британского института стандартов по созданию СМИБ (ранее: документы серии PD 3000).

Процесс создания СМИБ состоит из 4 этапов:

1 этап. Планирование СМИБ.

Установление политики, целей, процессов и процедур, относящихся к управлению рисками и защите информации, в соответствии с общей политикой и целями организации.

a) Определение области применения и границ СМИБ:

· Описание вида деятельности и бизнес-целей организации;

· Указание границ систем, охватываемых СМИБ;

· Описание активов организации (виды информационных ресурсов, программно-технические средства, персонал и организационная структура);

· Описание бизнес-процессов, использующих защищаемую информацию.

Описание границ системы включает:

Описание существующей структуры организации (с возможными изменениями, которые могут возникнуть в связи с разработкой информационной системы).

Ресурсы информационной системы, подлежащие защите (вычислительная техника, информация, системное и прикладное ПО). Для их оценки должна быть выбрана система критериев и методика получения оценок по этим критериям (категорирования).

Технология обработки информации и решаемые задачи. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.

Схема информационной системы организации и поддерживающей инфраструктуры.

Как правило, на этом этапе составляется документ, в котором фиксируют границы информационной системы, перечисляют информационные ресурсы компании, подлежащие защите, приводят систему критериев и методики для оценки ценности информационных активов компании.

b) Определение политики в отношении СМИБ организации (расширенная версия ПБ).

· Цели, направления и принципы деятельности в отношении защиты информации;

· Описание стратегии (подходов) управления рисками в организации, структуризация контрмер по защите информации по видам (правовые, организационные, аппаратно-программные, инженерно-технические);

· Описание критериев значимости риска;

· Позиция руководства, определение периодичности проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядка обучения всех категорий пользователей информационной системы по вопросам ИБ.

c) Определение подхода к оценке рисков в организации.

Методология оценки риска выбирается в зависимости от СМИБ, установленных деловых требований защиты информации, законодательных и нормативных требований.

Выбор методологии оценки рисков зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер по защите информации. В частности различают базовые, а также повышенные или полные требования к режиму ИБ.

Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Такие требования применяются, как правило, к типовым проектным решениям. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как: вирусы, сбои оборудования, несанкционированный доступ и т. д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно. Зарубежные стандарты в этой области ISO 27002, BSI, NIST и др.

В случаях, когда нарушения режима ИБ ведут к тяжелым последствиям, предъявляются дополнительно повышенные требования.

Для формулирования дополнительных повышенных требований, необходимо:

Определить ценность ресурсов;

К стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;

Оценить вероятности угроз;

Определить уязвимости ресурсов;

Оценить потенциальный ущерб от воздействий злоумышленников.

Необходимо подобрать такую методику оценки рисков, которую можно было бы использовать с минимальными изменениями на постоянной основе. Есть два пути: использовать существующие на рынке методики и инструментарий для оценки рисков или создать свою методику, адаптированную к специфике компании и охватываемой СМИБ области деятельности.

Последний вариант наиболее предпочтителен, поскольку пока большинство существующих на рынке продуктов, реализующих ту или иную методику анализа рисков, не отвечают требованиям Стандарта. Типичными недостатками таких методик являются:

· стандартный набор угроз и уязвимостей, который зачастую невозможно изменить;

· принятие в качестве активов только программно-технических и информационных ресурсов - без рассмотрения человеческих ресурсов, сервисов и других важных ресурсов;

· общая сложность методики с точки зрения ее устойчивого и повторяющегося использования.

· Критерии принятия рисков и приемлемые уровни риска (должны базироваться на достижении стратегических, организационных и управленческих целей организации).

d) Выявление рисков.

· Идентификация активов и их владельцев

Информационные входные данные;

Информационные выходные данные;

Информационные записи;

Ресурсы: люди, инфраструктура, оборудование, программное обеспечение, инструменты, услуги.

· Идентификация угроз (в стандартах по оценке рисков зачастую предлагаются классы угроз, которые можно дополнять и расширять).

· Идентификация уязвимостей (также существуют списки наиболее распространенных уязвимостей, на которые можно опираться при анализе своей организации).

· Определение ценности активов (возможные последствия от потери конфиденциальности, целостности и доступности активов). Информация о ценности актива может быть получена от его владельца или же от лица, которому владелец делегировал все полномочия по данному активу, включая обеспечение его безопасности.

e) Оценка риска.

· Оценка ущерба, который может быть нанесен бизнесу от потери конфиденциальности, целостности и доступности активов.

· Оценка вероятности реализации угроз через существующие уязвимости с учетом имеющихся средств управления ИБ и оценки возможного наносимого ущерба;

· Определение уровня риска.

Применение критериев принятия риска (приемлемый/требующий обработки).

f) Обработка рисков (в соответствии с выбранной стратегией управления рисками).

Возможные действия:

Пассивные действия:

Принятие риска (решение о приемлемости полученного уровня риска);

Уклонение от риска (решение об изменении деятельности, вызывающей данный уровень риска – вынесение веб-сервера за границы локальной сети);

Активные действия:

Уменьшение риска (применением организационных и технических контрмер);

Передача риска (страхование (пожара, кражи, ошибок в ПО)).

Выбор возможных действий зависит от принятых критериев рисков (задается приемлемый уровень риска, уровни риска, которые могут быть понижены средствами управления ИБ, уровни риска, при которых рекомендуется отказаться или преобразовать вид деятельности, которая его вызывает, и риски, которые желательно передать другим сторонам).

g) Выбор целей и средств управления для обработки риска.

Цели и средства управления должны реализовывать стратегию управления рисками, учитывать критерии для принятия рисков и законодательные, нормативные и др. требования.

Стандарт ИСО 27001-2005 предлагает список целей и средств управления в качестве основы для построения плана обработки рисков (требований к СМИБ).

План обработки рисков содержит перечень первоочередных мероприятий по снижению уровней рисков с указанием:

· лиц, ответственных за реализацию данных мероприятий и средств;

· сроков реализации мероприятий и приоритетов их выполнения;

· ресурсов для реализации таких мероприятий;

· уровней остаточных рисков после внедрения мероприятий и средств управления.

Принятие плана обработки рисков и контроль за его выполнением осуществляет высшее руководство организации. Выполнение ключевых мероприятий плана является критерием, позволяющим принять решение о вводе СМИБ в эксплуатацию.

На данном этапе производится обоснование выбора различных контрмер по ЗИ, структурированных по нормативно-правовому, организационно-управленческому, технологическому и аппаратно-программному уровням обеспечения информационной безопасности. (Далее комплекс контрмер реализуется в соответствии с выбранной стратегией управления информационными рисками). При полном варианте анализа рисков, для каждого риска дополнительно оценивается эффективность контрмер.

h) Утверждение руководством предлагаемого остаточного риска.

i) Получение разрешения руководства на реализацию и ввод в эксплуатацию СМИБ.

j) Заявление о применимости (в соответствии с ИСО 27001-2005).

Датой ввода СМИБ в эксплуатацию является дата утверждения высшим руководством компании Положения о применимости средств управления, которое описывает цели и средства, выбранные организацией для управления рисками:

· средства управления и контроля, выбранные на этапе обработки рисков;

· уже существующие в организации средства управления и контроля;

· средства, обеспечивающие выполнение требований законодательства и требований регулирующих организаций;

· средства, обеспечивающие выполнение требований заказчиков;

· средства, обеспечивающие выполнение общекорпоративных требований;

· любые другие соответствующие средства управления и контроля.

2 этап. Реализация и эксплуатация СМИБ.

Для внедрения и эксплуатации политики ИБ, средств управления, процессов и процедур в области ИБ выполняются следующие действия:

a) Разработка плана обработки рисков (описание запланированных средств управления, ресурсов (программные, аппаратные, персонал), которые требуются для их реализации, поддержки, контроля, и обязанностей руководства по управлению рисками ИБ (разработка документов на этапе планирования, поддержка целей ИБ, определение ролей и ответственности, обеспечение необходимыми ресурсами для создания СМИБ, аудит и анализ).

b) Распределение финансирования, ролей и ответственности по реализации плана обработки рисков.

c) Внедрение запланированных средств управления.

d) Определение контрольных показателей эффективности (метрик) средств управления, методов их измерения, которые обеспечат сравнимые и воспроизводимые результаты.

e) Повышение квалификации, осведомленности персонала в области ИБ в соответствии с их трудовыми обязанностями.

f) Управление эксплуатацией СМИБ, управление ресурсами для поддержки в рабочем состоянии, контроля и улучшения СМИБ.

g) Внедрение процедур и других средств управления для быстрого обнаружения и реагирования на инциденты ИБ.

3 этап.Постоянный контроль и анализ функционирования СМИБ.

Этап предполагает проведение оценки или измерений ключевых показателей эффективности процессов, анализ результатов и предоставление отчетов руководству для анализа и включает:

а) Проведение постоянного контроля и анализа (позволяет быстро обнаруживать ошибки функционирования СМИБ, быстро выявлять и реагировать на инциденты безопасности, разграничить роли персонала и автоматизированных систем в СМИБ, предотвращать инциденты безопасности за счет анализа необычного поведения, определять результативность обработки инцидентов безопасности).

b) Проведение регулярного анализа результативности СМИБ (анализируются соответствие политике и целям СМИБ, аудиты, ключевые показатели эффективности, предложения и реакция заинтересованных сторон).

c) Измерение эффективности средств управления для проверки выполнения требований защиты

d) Периодическая переоценка рисков, анализ остаточных рисков и определение приемлемых уровней риска при каких-либо изменениях в организации (бизнес-целей и процессов, выявленных угроз, новых выявленных уязвимостей и т.д.)

e) Периодическое проведение внутренних аудитов СМИБ.

Аудит СМИБ – проверка соответствия выбранных контрмер целям и задачам бизнеса, декларированным в ПБ организации, по его результатам проводится оценка остаточных рисков и, в случае необходимости, их оптимизация.

f) Регулярный анализ области применения и тенденции СМИБ руководством.

g) Обновление планов управления рисками для учета результатов контроля и анализа.

h) Ведение журналов регистрации событий, оказавших негативное влияние на результативность или качество работы СМИБ.

4 этап. Поддержка и улучшение СМИБ.

По результатам внутреннего аудита СМИБ и анализа со стороны руководства разрабатываются и внедряются корректирующие и предупреждающие действия, направленные на постоянное улучшение СМИБ:

a) Совершенствование политики ИБ, целей защиты информации, проведение аудита, анализ наблюдаемых событий.

b) Разработка и реализация корректирующих и предупреждающих действий для устранения несоответствий СМИБ требованиям.

c) Контроль улучшений СМИБ.

Заключение

ISO 27001 описывает общую модель внедрения и функционирования СМИБ, а также действий по мониторингу и улучшению СМИБ. ISO намеревается гармонизировать различные стандарты по системам менеджмента, такие как ISO/IEC 9001:2000, который посвящен менеджменту качества, и ISO/IEC 14001:2004, предназначенный для систем экологического менеджмента. Цель ISO состоит в том, чтобы обеспечить согласованность и интеграцию СМИБ с другими системами менеджмента в компании. Сходство стандартов позволяет использовать схожий инструментарий и функционал для внедрения, управления, пересмотра, проверки и сертификации. Подразумевается, что если компания внедрила другие стандарты менеджмента, она может использовать единую систему аудита и управления, которая применима к менеджменту качества, экологическому менеджменту, менеджменту безопасности и т.д. Внедрив СМИБ, высшее руководство получает средства мониторинга и управления безопасностью, что снижает остаточные бизнес-риски. После внедрения СМИБ, компания может официально обеспечивать безопасность информации и продолжать выполнять требования клиентов, законодательства, регуляторов и акционеров.

Стоит отметить, что в законодательстве РФ существует документ ГОСТ Р ИСО/МЭК 27001-2006, который представляет собой переведенную версию международного стандарта ISO27001.

Список литературы

1.Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. – СПб.: БХВ-Петербург, 2003. – 752 с.

2.Междунородный стандарт ISO 27001

(http://www.specon.ru/files/ISO27001.pdf) (дата обращения: 23.05.12).

3.Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27003 - "Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента Информационной Безопасности

(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (дата обращения: 23.05.12).

4.Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. - 320 с.

Система менеджмента информационной безопасности – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.[ГОСТ Р ИСО/МЭК 27001-2006]

Стандарт ISO 27001 определяет требования к системе управления (менеджмента) информационной безопасности (СУИБ). Требования стан-дарта в определенной степени абстрактны и не привязаны к специфике какой-либо области деятельности компании.

Развитие информационных систем в начале 90-х годов привело к необходимости создания стандарта по управлению безопасностью. По запросу британского правительства и промышленности британский департамент торговли и промышленности разработал Практики к СМИБ.

Начальный стандарт BS 7799 прошел долгий путь, с чередой испытаний и корректировок. Важнейшим этапом в его «карьере» стал 2005 г., когда стандарт, позволяющий оценивать СМИБ, был признан международным (то есть подтверждена состоятельность его требований к современной СМИБ). С этого момента передовые предприятия во всем мире начали активно внедрять стандарт ISO 27001 и проводить подготовку к сертификации.

Структура СМИБ

Современная СМИБ представляет собой процессно-ориентированную систему управления, включающую организационный, документальный и программно-аппаратный компоненты. Можно выделить следующие «взгляды» на СМИБ: процессный, документальный и зрелостный.

Процессы СМИБ созданы в соответствии с требованиями стандарта ISO/IEC 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним, жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование. Документированные процессы СМИБ обеспечивают выполнение всех требований стандарта 27001.

Документация СМИБ состоит из политик, документированных процедур, стандартов и записей и делится на две части: документация менеджмента СМИБ и эксплуатационная документация СМИБ.

Зрелостная модель СМИБ определяет детализацию разрабатываемой документации и степень автоматизации процессов менеджмента и эксплуатации СМИБ. При оценке и планировании используется модель зрелости CobiT. В Программе повышения зрелости СМИБ приводятся состав и сроки мероприятий по совершенствованию процессов менеджмента ИБ и управления эксплуатацией средств ИБ

В стандарте предложено применение модели PDCA (Plan-Do-Check-Act) к жизненному циклу СМИБ, который включает разработку, внедрение, эксплуатацию, контроль, анализ, поддержку и совершенствование (Рисунок 1).

Plan (Планирование) - фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;

Do (Действие) - этап реализации и внедрения соответствующих мер;

Check (Проверка) - фаза оценки эффективности и производитель-ности СМИБ. Обычно выполняется внутренними аудиторами.

Act (Улучшения) - выполнение превентивных и корректирующих действий.

Процесс создания СМИБ состоит из 4 этапов:

Процесс планирования, целью которого является выявление, анализ и проектирование способов обработки рисков информационной безопасности. При создании этого процесса следует разработать методику категорирования информационных активов и формальной оценки рисков на основе данных об актуальных для рассматриваемой информационной инфраструктуры угрозах и уязвимостях. Применительно к области аудита PCI DSS можно выделить два типа ценных информационных активов, обладающих разным уровнем критичности – данные о держателях карт и критичные аутентификационные данные.

Процесс внедрения спланированных методов обработки рисков, описывающий процедуру запуска нового процесса обеспечения информационной безопасности, либо модернизации существующего. Особое внимание следует уделить описанию ролей и обязанностей, а также планированию внедрения.

Процесс мониторинга функционирующих процессов СМИБ (стоит отметить, что мониторингу эффективности подлежат как процессы СМИБ, так и самой СМИБ – ведь четыре процесса менеджмента - не гранитные изваяния, и к ним применима самоактуализация).

Процесс совершенствования процессов СМИБ в соответствии с результатами мониторинга, который делает возможным реализацию корректирующих и превентивных действий.