Šahhalov Igor Jurjevitš

Kvaliteedijuhtimissüsteemide integreerimise teemal ja infoturbe

Kokkuvõte: vaadeldakse rahvusvahelisi standardeid ISO 27001 ja ISO 9001. Analüüsitakse kvaliteedijuhtimissüsteemi ja infoturbe juhtimissüsteemi sarnasusi ja erinevusi. Näidatakse kvaliteedijuhtimissüsteemi ja infoturbe juhtimissüsteemi integreerimise võimalust. Tutvustatakse integreeritud infoturbe juhtimissüsteemi ehitamise ja juurutamise põhietappe. Näidatud on integreeritud lähenemisviisi eelised.

Märksõnad: juhtimissüsteemid, infoturve, integreeritud juhtimissüsteemid, ISMS, QMS, ISO 27001.

Natalja Olegovna

Sissejuhatus

IN kaasaegne maailm tulekuga laialt levinud ja mugav tehnilised seadmed Infoturbe probleem on muutunud üsna teravaks. Kvaliteetsete toodete tootmise või ettevõtetele ja organisatsioonidele teenuse osutamise kõrval on oluline hoida vajalikku teavet konkurentide eest saladuses, et püsida turul soodsal positsioonil. IN konkurentsi Laialt levinud on mitmesugused toimingud, mille eesmärk on saada (välja võtta, hankida) konfidentsiaalset teavet mitmel erineval viisil, sealhulgas otsene tööstusspionaaž, kasutades kaasaegseid tehnilisi vahendeid intelligentsus.

Seega saavad turuliidrid organisatsioonid, kes järgivad parimaid ülemaailmseid tavasid, mis sisaldavad nõudeid ja juhiseid organisatsiooni äriprotsesside juhtimissüsteemide rakendamiseks. Selliste süsteemide arendamise, juurutamise, jälgimise ja täiustamise parimad standardid on dokumendid Rahvusvaheline organisatsioon standardimiseks (ISO). Erilist tähelepanu tuleks pöörata ISO 900x ja ISO 2700x seeria standarditele, mis sisaldavad parimaid praktikaid kvaliteedijuhtimissüsteemi (QMS) ja infoturbe juhtimissüsteemi (ISMS) juurutamiseks.

Nõuetekohaselt rakendatud kvaliteedijuhtimissüsteem ISO standard 9001, on pikka aega tunnistatud lahutamatuks atribuudiks edukas ettevõte kvaliteetsete toodete tootmine või kõrgetasemeliste teenuste pakkumine. Tänapäeval on vastavussertifikaadi olemasolu nii tõhus turunduslahendus kui ka tootmisprotsesside jälgimise mehhanism. QMS-audit on arenenud ärivaldkond.

Iga päev ettevõtte eduka tegevuse sõltuvus sellest ettevõtte süsteem teabe kaitse. Selle põhjuseks on ettevõtte infosüsteemis töödeldavate elutähtsate andmete mahu suurenemine. Infosüsteemid muutuvad keerukamaks ja nendes leiduvate haavatavuste arv kasvab. ISMS-i audit võimaldab hinnata ettevõtte toimimise turvalisuse hetkeseisu infosüsteem,

hinnata ja prognoosida riske, juhtida nende mõju ettevõtte äriprotsessidele.

Kuna ISO 9001 standard on sertifikaatide arvu poolest maailmas pikka aega olnud liidripositsioonil ning ISO 27001 standard näitab infoturbe juhtimissüsteemide sertifitseerimisel tõusutrendi, on soovitatav kaaluda võimalikku interaktsiooni ja integratsiooni. QMS ja ISMS.

Standardite integreerimine

Esmapilgul on kvaliteedijuhtimine ja infoturve täiesti olemas erinevaid valdkondi. Praktikas on need aga omavahel tihedalt seotud ja moodustavad ühe terviku (joonis 1). Kliendi rahulolu, mis on kvaliteedi objektiivne eesmärk, sõltub iga aastaga üha enam infotehnoloogia kättesaadavusest ja andmeturbest, mida toetab ISO 27001 standard.turvalisus. Tänu integreeritud lähenemisviisile saab ISO 27001 tõhusalt integreerida olemasolevasse QMS-i või rakendada koos QMS-iga.

STI (ISO 27001) ja IT-teenuste haldamine (ISO 20000) on sarnase struktuuriga ja protsessi lähenemine. See annab sünergia, mis tasub end ära: praktikas säästab käimasolevate toimingute integreeritud haldussüsteem 20–30 protsenti süsteemi optimeerimise, kontrollide ja auditite kogukuludest.

Infoturbe ja kvaliteedijuhtimise standardid keskenduvad pidevale täiustamisele vastavalt Plan-Do-Check-Act (PDCA) mudelile, mida tuntakse Demingi tsüklina (vt joonis 2). Need on ka oma ülesehituselt sarnased, nagu on näidatud ISO 27001 C lisas olevas vastavustabelis. Mõlemad standardid määratlevad protsessi lähenemisviisi, ulatuse, süsteemi- ja dokumentatsiooninõuded ning halduskohustused. Mõlemal juhul lõpeb raamistik siseauditi, juhtkonna ülevaatuse ja süsteemi täiustamisega. Sel juhul on mõlemad süsteemid vastastikku toimivad. Näiteks nõuab ISO 9001 nõuetele mittevastavate toodete haldamist. Sarnaselt on ISO 27001 standardis rikete lahendamiseks nõue intsidentide haldamisest.

Riis. 1. Kvaliteedisüsteemi ja ISMSi interaktsioonivaldkonnad ja sarnasused

Riis. 2. Demingi tsükkel

Enam kui 27 200 organisatsioonil erinevates tööstusharudes enam kui 100 riigis üle maailma on kvaliteedijuhtimise ISO 9001:2008 sertifikaat. Olenevalt turust ja juriidilistest nõuetest on paljud organisatsioonid sunnitud üha enam tegelema infoturbega. Sellega seoses pakub juhtimissüsteemide integreerimine tõelisi võimalusi. Kompleksne lähenemine huvitav ka ettevõtetele, kes pole seni ühtegi juhtimisprotsessi kasutanud. ISO kvaliteedistandardid (ISO 9001), turvalisus keskkond(ISO 14000), infoturve

Erinevused standardite vahel täiendavad üksteist kasulikult, mis aitab tugevalt kaasa äriedu suurenemisele. Näiteks ISO 9001 nõuab ettevõtte eesmärkide määratlemist, kliendikesksust ja mõõdetavust, mil määral eesmärgid ja eesmärgid saavutatakse. Need on kolm probleemi, mis ei ole ISO 27001 fookuses. See standard seab omakorda prioriteediks riskijuhtimise, et säilitada äritegevuse järjepidevus ja pakub üksikasjalikku abi ISMS-i rakendamisel. Võrreldes

sellega on ISO 9001 pigem teoreetiline standard.

ISO 27001 ei ole ainult IT jaoks

Paljud arvavad, et ISO 27001 standard on ainult IT-protsesside jaoks, kuid tegelikult see nii pole. Standardi ISO 27001 MS&B rakendamise põhipunkt on varade määratlemine.

■ "lilltpHiimiir-J. » iJillllF.lEL^OIU.IC.

g t^tsdkpinizh ts netuvk^tnslschs tEp.tna.

» ■irreiiKinfundu «GcTMHiiociv

* KYADROMK:

■ JI!l"|"l"L>4_l]Jil"HIIL,k

» D|KtttcCcU H «patitU.

» jimii 14: ii |vju7JIIIM.

Riis. 3. Varade liigid

Vara on kõik, mis on ettevõtte jaoks väärtuslik (joonis 3). See tähendab, et vara võib olla: inimressursid, infrastruktuur, tööriistad, seadmed, side, teenused ja mis tahes muu vara, sealhulgas ostetud toodete tarnimise teenused. Ettevõte määrab protsesside põhjal kindlaks, millised varad tal on ja millised varad on kaasatud kriitilistesse protsessidesse ning hindab varade väärtust. Ja alles pärast seda hinnatakse kõigi väärtuslike varade riske. Seega pole ISMS mõeldud ainult selleks digitaalne teave, mida töödeldakse automatiseeritud süsteemis. Näiteks hõlmavad mõned kõige kriitilisemad protsessid

Ettevalmistus

ürituste plaanid

2 Kontrollige H:i vastavust

teabe paberkoopiate salvestamisega, mida on arvesse võetud ka standardis ISO 27001. ISMS hõlmab kõiki viise, kuidas teie ettevõttes saab olulist teavet säilitada, alates sellest, kuidas teie ettevõttes meilid kaitstud, lõpetades sellega, kus hoones hoitakse töötajate isikutoimikuid.

Seetõttu on tohutu eksiarvamus arvata, et kuna standard on suunatud infoturbe haldussüsteemi ülesehitamisele, saab see kehtida ainult arvutisse salvestatud andmete kohta. Ka meie digiajastul kajastub palju infot endiselt paberil, mida tuleb ka usaldusväärselt kaitsta.

ISO 9001 ei suuda rahuldada ettevõtte infoturbe vajadusi, sest see on kitsalt keskendunud toote kvaliteedile. Seetõttu on väga oluline juurutada ettevõttes ISO 27001. Esmapilgul võib spetsialistile tunduda, et mõlemad standardid on väga üldised ja neil puudub spetsiifika. Kuid see pole nii: ISO 27001 standard kirjeldab peaaegu iga sammu ISMS-i rakendamisel ja selle toimimise jälgimisel (joonis 4).

Infoturbe juhtimissüsteemi ülesehitamise põhietapid

ISMS-i ehitamise põhietapid on illustreeritud joonisel 4. Vaatame neid lähemalt.

1. etapp. Tegevuskavade koostamine. Peal selles etapis spetsialistid koguvad organisatsioonilisi ja haldusdokumente (ORD) ja muid töömaterjale,

3 A tüüpi tavaline ii ORD

4 Analüüs ii riskianalüüs 11B

Rakendamine

5 RyazraOoghya ja<>RaeryaOopv kompleks & 00\*ieeiitii:

kiirgusplaanid ■-> aktiivsuse norm -> sündmus -> CfftpJOTHW*

üritused E>PB ORD avapäeval

INORSNESS'i IMB tulemuste hindamise 10 AiUtuin moodustamine

Riis. 4. ISMSi ehitamise etapid

seotud ettevõtte infosüsteemide ehitamise ja toimimisega, kavandatud infoturbe mehhanismide ja vahendite kasutamiseks. Lisaks koostatakse, lepitakse kokku ja kinnitatakse ettevõtte juhtkonna poolt tööetappide tegevuskavad.

2. etapp: ISO/IEC 27001:2005 vastavuse testimine. Juhtide ja osakonna töötajate küsitlemine ja küsitlemine. Ettevõtte ISMS-i analüüs ISO/IEC 27001:2005 standardi nõuetele vastavuse osas.

3. etapp. Regulatiivsete ja korralduslike dokumentide analüüs, mis põhineb organisatsiooniline struktuur ettevõtted. Selle tulemuste põhjal määratakse kaitstud ulatus (SA) ja töötatakse välja ettevõtte infoturbepoliitika eskiis.

4. etapp. Infoturbe riskide analüüs ja hindamine. Ettevõtte riskijuhtimise ja -analüüsi metoodika väljatöötamine. Analüüs teabeallikad ettevõtetele, eelkõige kohtvõrkudele, et tuvastada kaitstud ML-varade ohud ja haavatavused. Varade laoseisu. Konsultatsioonide läbiviimine ettevõtte spetsialistidele ja vastavuse hindamine tegelike ja nõutav tase turvalisus. Riskide arvutamine, iga konkreetse vara jaoks kehtiva ja vastuvõetava riskitaseme määramine. Riskide järjestamine, nende vähendamise meetmete komplektide valik ja arvutamine teoreetiline efektiivsus rakendamine

5. etapp. Infoturbe tegevuskavade väljatöötamine ja rakendamine. Kontrollide rakendatavust käsitlevate sätete väljatöötamine vastavalt standardile ISO/IEC 27001:2005. Arvepidamise ja riskide kõrvaldamise plaani koostamine. Aruannete koostamine ettevõtte juhile.

6. etapp. Regulatiivsete ja tegevuseeskirjade väljatöötamine. Lõpliku IS poliitika ja vastavate sätete (erapoliitika) väljatöötamine ja kinnitamine. Standardite, protseduuride ja juhiste väljatöötamine, et tagada ettevõtte ISMS-i normaalne toimimine ja toimimine.

Etapp 7. Infoturbe riskide vähendamise terviklike meetmete rakendamine ja nende efektiivsuse hindamine vastavalt juhtkonna poolt kinnitatud riskide töötlemise ja kõrvaldamise plaanile.

Etapp 8. Personali koolitus. Tegevuskavade väljatöötamine ja programmide elluviimine ettevõtte töötajate koolitamiseks ja pädevuse tõstmiseks, et infoturbe põhimõtted tõhusalt edastada kõikidele töötajatele ja

peamiselt need, kes töötavad struktuurijaotused, pakkudes peamisi äriprotsesse.

9. etapp. Aruandlus. Uuringutulemuste süstematiseerimine ja aruannete koostamine. Töötulemuste tutvustamine ettevõtete juhtidele. Dokumentide koostamine ISO/IEC 27001:2005 vastavuse litsentsimiseks ja nende üleandmine sertifitseerivale organisatsioonile.

Etapp 10. ISMS-i juurutamise tulemuste analüüs ja hindamine metoodika alusel, mis hindab ettevõtte ISMSi usaldusväärsust. Soovituste väljatöötamine ettevõtte infoturbe juhtimissüsteemi täiustamiseks.

ISMS-i juurutamise iga etappi analüüsides võime öelda, et ISO 27001-l on selge struktuur ja nõuded, mis võimaldavad teil luua toimiva süsteemi, milles toimub interaktsioon kõigil vajalikel tasanditel. Kuid me ei tohi unustada, et ISMSi ja QMSi peamine erinevus seisneb selles, et esimene süsteem on keskendunud infoturbele.

Infoturbe tähtsus tänapäeva maailmas

Tänapäeva äri ei saa eksisteerida ilma infotehnoloogiata. Teatavasti sõltub umbes 70% maailma rahvuslikust kogutoodangust ühel või teisel viisil infosüsteemidesse salvestatud teabest. Arvutite laialdane kasutuselevõtt on tekitanud lisaks üldtuntud mugavustele ka probleeme, millest tõsiseim on infoturbe probleem.

Ettevõtete juhid peavad mõistma infoturbe tähtsust ning õppima ennustama ja juhtima selle valdkonna trende. Nendele aitab kaasa ISMS-i rakendamine, millel on oma struktuuris arengupotentsiaal, juhtimise läbipaistvus ja paindlikkus muudatuste suhtes. Koos juhtnupud arvutite ja arvutivõrgud ISO 27001 standard pöörab suurt tähelepanu turvapoliitika väljatöötamisele, tööle personaliga (värbamine, väljaõpe, vallandamine), järjepidevuse tagamisele tootmisprotsess, regulatiivsed nõuded, samal ajal on üksikud tehnilised küsimused üksikasjalikult kirjeldatud sarja teistes standardites

ISO 27000. ISMS-i juurutamisel ettevõttes on palju eeliseid, mõned neist on toodud joonisel fig. 5.

Glbkshl Scale subdr>h;b1[part

Juvumi vähenemine

HiKiinimi n II11 \ 11 Ch"G 1111 111 pudnT

Prtrtshal wirddoctle

" Ji|m|ill p.Ki u:

azhchtnya nr tsn ^ st

Riis. 5. Infoturbe haldussüsteemi juurutamise eelised

Tuleks välja tuua ISO eelised

Ohutusalase pädevuse demonstreerimine. ISO 27001 annab organisatsioonile praktilisi juhiseid, mis aitavad sõnastada turbenõudeid, et saavutada vajalik turvalisuse tase ja täita konkreetseid turbeeesmärke. Organisatsioonide jaoks on eriti oluline, et nad oleksid pädevad neljas ohutusjuhtimise valdkonnas, sealhulgas: ettevõtte varade tuvastamine ja hindamine, riskide hindamine ja riskide aktsepteerimise kriteeriumide määratlemine, nende elementide haldamine ja aktsepteerimine ning pidev täiustamine. üldine programm organisatsiooni turvalisus.

Klientide usalduse pakkumine. ISO 27001 pakub sõltumatuid tõendeid selle kohta, et programmid ettevõtte juhtimine mida toetavad parimad, arenenud rahvusvahelised tavad. ISO 27001 sertifikaat tagab meelerahu ettevõtetele, kes soovivad näidata klientidele, aktsionäridele ja potentsiaalsetele partneritele ausust ning mis kõige tähtsam, näidata, et ettevõte on edukalt juurutanud tugeva infoturbe juhtimissüsteemi. Paljudes tugevalt reguleeritud tööstusharudes, nagu rahandus või Interneti-teenused, võib tarnija valida

piirduda organisatsioonidega, millel on juba ISO 27001 sertifikaat.

Rohkem tõhus kasutamine ressursse. Tänu protsessikäsitluse kasutamisele on võimalik optimeerida ettevõttes toimuvaid protsesse. Mis tähendab ressursside, näiteks aja, kasutamise vähendamist.

Pidev täiustamine. ISMS kasutab PCDA mudelit, mis võimaldab regulaarselt kontrollida kogu süsteemi olekut, analüüsida ja täiustada juhtimissüsteemi

1. Pilt, kaubamärk. ISO 27001 sertifikaat avab ettevõttele laialdased võimalused: rahvusvahelistumine, uued partnerlussuhted, rohkem kliente, uued lepingud, edu pakkumistel. ISMSi olemasolu ettevõttes on indikaator kõrge tase arengut.

2. ISMS-i paindlikkus. Olenemata muutustest protsessides, uutest tehnoloogiatest jääb ISMS-i põhistruktuur kehtima. ISMS-i on uuendustega üsna lihtne kohandada, uuendades olemasolevaid ja juurutades uusi vastumeetmeid.

3. Standardi juurutamise skaleeritavus. Kuna ISO 27001 on reguleerimisala, võimaldab see sertifitseerida ainult protsesside alamhulka. Saate alustada ISMS-i juurutamist ettevõtte jaoks kõige olulisemas OD-s ja hiljem seda laiendada.

4. Audit. Palju Venemaa ettevõtted tajuda audititööd katastroofina. ISO 27001 näitab rahvusvahelist lähenemist auditite läbiviimisele: ennekõike on ettevõte huvitatud standardite reaalsest täitmisest, mitte aga sertifitseerimisest kuidagi, lihtsalt näitamiseks.

5. Regulaarne sise- või välisauditid võimaldab teil rikkumisi parandada, ISMS-i täiustada ja riske oluliselt vähendada. Seda vajab ettevõte eelkõige enda meelerahu huvides, et kõik oleks korras ja kahjumiriskid oleksid viidud miinimumini. Ja teiseks - vastavussertifikaat, mis kinnitab partneritele või klientidele, et seda ettevõtet saab usaldada.

6. Juhtimise läbipaistvus. ISO 27001 standardi kasutamine annab üsna selged juhised kontrollide loomiseks ja

ka nõuded dokumentatsioonile, mis ettevõttel peab olema. Paljude ettevõtete probleem seisneb selles, et teatud osakondade olemasolevad dokumendid pole lihtsalt loetavad, sest välja mõelda, mis kellele on mõeldud, on dokumentatsioonisüsteemi keerukuse tõttu sageli võimatu. Dokumentatsioonitasemete hierarhia alates infoturbepoliitikast kuni teatud protseduuride kirjeldamiseni muudab olemasolevate reeglite, määruste ja muu kasutamise oluliselt lihtsamaks. Samuti hõlmab infoturbe juhtimise juurutamine personali koolitamist: seminaride läbiviimist, postitamist, hoiatusplakatite riputamist, mis tõstab oluliselt tavatöötajate infoturbealast teadlikkust.

Kokkuvõtteks tuleb märkida, et in kaasaegne äri võõrandamatus põhisüsteem ISO 9001 standardi nõuete kohaselt üles ehitatud kvaliteedijuhtimine ning infoturbe juhtimissüsteemi positsiooni saavutamine on ilmne.

Tänapäeval on turuliidrid ettevõtted, kes jälgivad mitte ainult toodete ja teenuste kvaliteeti, vaid ka nende kohta käiva teabe konfidentsiaalsust, terviklikkust ja kättesaadavust. Samuti on edu oluliseks teguriks riskide prognoosimine ja hindamine, mis eeldab pädevat lähenemist ja parimate kasutamist rahvusvahelistest tavadest. Kvaliteedijuhtimis- ja infoturbesüsteemide ühine juurutamine ja sertifitseerimine aitab lahendada paljusid probleeme igas tööstuses või kaubanduses, mis omakorda toob kaasa pakutavate teenuste taseme kvalitatiivse tõusu.

Kirjandus

1. Dorofejev A.V., Shakhalov I.Yu. Infoturbe juhtimise alused kaasaegne organisatsioon// Õigusinformaatika. 2013. nr 3. Lk 4-14.

2. Chashkin V. N. Infoturbe juhtimine kui organisatsiooni infotehnoloogiaalase tegevuse juhtimissüsteemi element // Infotehnoloogiate turvalisus. 2009. nr 1. S. 123-124.

3. Gorjatšov V.V. Uus GOST QMS-is. Peamised erinevused standardist GOST RV 15.002-2003 //

Kvaliteedijuhtimise meetodid. 2013. nr 7. lk 18-23.

4. Dotsenko S. P., Pshenetsky S. P. Lähenemisviis infoturbe haldussüsteemide mudeli loomisele // Kubani Riikliku Põllumajandusülikooli polütemaatilise võrgu elektrooniline teadusajakiri. 2009. nr 53. lk 47-56.

5. Kamenev A.V., Zavoritko E.V. Infoturbe juhtimissüsteemi mudel ettevõttes (organisatsioonis) // Intellekt. Innovatsioon. Investeeringud. 2013. nr 1. Lk 111-114.

6. Solovjov A. M. Regulatiivne ja metoodiline baas infoturbe tagamise valdkonnas // Majandus, statistika ja informaatika. UMO bülletään. 2012. nr 1. S. 174-181.

7. Kozin I. F., Livshits I. I. Infoturve. Rahvusvaheliste standardite integreerimine Venemaa infoturbesüsteemi // Informatiseerimine ja side. 2010. nr 1. Lk 50-55.

8. Kolodin V. S. Integreeritud juhtimissüsteemide sertifitseerimine // Irkutski Riikliku Tehnikaülikooli bülletään. 2010. V. 41. nr 1. S. 44-48.

9. Merkushova N. I., Naumenko Yu. A., Merkushova Yu. A. Integreeritud juhtimissüsteemid: loomise eeldused Venemaa ettevõtted// Noor teadlane.

2013. nr 12 (59). lk 327-331.

10. Voropaeva V. Ya., Shcherbov I. L., Khaustova E. D. Info- ja telekommunikatsioonisüsteemide infoturbe haldamine mudelil “P1ap-Do-Check-Act” // Donetski riikliku tehnikaülikooli Sciences1 sling. Ser1ya: "Tehnilised seadmed ja automaatika on arvutatud." 2013. nr 2 (25). lk 104-110.

11. Dorofejev A.V., Markov A.S. Infoturbe juhtimine: põhimõisted // Küberturvalisuse küsimused.

2014. nr 1 (2). lk 67-73.

12. Shper V.L. Standardist 18O/1EC 27001 // Kvaliteedijuhtimise meetodid. 2008. nr 3. Lk 60-61.

13. Markov A. S., Tsirlov V. L. Riskijuhtimine - infoturbe regulatiivne vaakum // Avatud süsteemid. DBMS. 2007. nr 8. Lk 63-67.

14. Matveev V. A., Tsirlov V. L. Vene Föderatsiooni infoturbe tööstuse olukord ja väljavaated

tsioone 2014. aastal // Küberturvalisuse küsimused. 2013. nr 1(1). lk 61-64.

15. Barabanov A. V. Turvalise tarkvara arendamise protsessi standardimine // Küberturvalisuse küsimused. 2013. nr 1(1). lk 37-41.

16. Markov A. S., Tsirlov V. L. Küberturvalisuse juhised kontekstis

ISO 27032 // Küberturvalisuse probleemid. 2014. nr 1 lõige 2. lk 28-35. 17. Hramtsovskaja N. Mida peab juht teadma infoturbe kohta // Personaliametnik. 2009. nr 4. Lk 061-072.

BS ISO/IEC 27001:2005 standard kirjeldab infoturbe haldussüsteemi (ISMS) mudelit ja pakub nõuete kogumit infoturbe korraldamiseks ettevõttes, viitamata organisatsiooni teostajate valitud juurutusmeetoditele.

Standard pakub PDCA (Plan-Do-Check-Act) mudeli rakendamist eluring ISMS, mis hõlmab arendust, juurutamist, käitamist, kontrolli, analüüsi, tuge ja täiustamist (joonis 1).

Plaan - ISMSi loomise faas, varade nimekirja koostamine, riskide hindamine ja meetmete valik;

Do (Action) - asjakohaste meetmete rakendamise ja rakendamise etapp;

Kontroll – ISMSi tõhususe ja toimivuse hindamise faas. Tavaliselt teostavad siseaudiitorid.

Tegutsema – ennetavate ja parandusmeetmete võtmine.

Otsuse ISMSi loomise (ja seejärel sertifitseerimise) kohta teeb organisatsiooni tippjuhtkond. See näitab juhtkonna toetust ja kinnitust ISMS-i väärtusele ettevõtte jaoks. Organisatsiooni juhtkond algatab ISMS planeerimisgrupi loomise.

ISMSi kavandamise eest vastutav rühm peaks hõlmama:

· organisatsiooni tippjuhtkonna esindajad;

· ISMS-iga hõlmatud äriüksuste esindajad;

· infoturbe osakondade spetsialistid;

· kolmandatest isikutest konsultandid (vajadusel).

IS-i komitee toetab ISMS-i toimimist ja selle pidevat täiustamist.

Töörühm peaks lähtuma regulatiivsest ja metoodilisest raamistikust nii ISMSi loomise kui ka organisatsiooni tegevusvaldkonnaga seonduvalt ning loomulikult ka üldisest riigi seaduste süsteemist.

Normatiivne alus ISMS-i loomiseks:

· ISO/IEC 27000:2009 Sõnavara ja määratlused.

ISO/IEC 27001:2005 Üldnõuded ISMS-ile.

ISO/IEC 27002:2005 Praktiline juhend infoturbe haldamise kohta.

· ISO/IEC 27003:2010 Praktilised juhised ISMSi rakendamiseks.

· ISO/IEC 27004:2009 Infoturbe mõõdikud (mõõtmised).

· ISO/IEC 27005:2011 Infoturbe riskijuhtimise juhend.

· ISO/IEC juhend 73:2002, Riskijuhtimine – Sõnavara – Juhised kasutamiseks standardites.

· ISO/IEC 13335-1:2004, Infotehnoloogia. Turvatehnikad. Info- ja sidetehnoloogia turvalisuse juhtimine. Osa 1: Info- ja sidetehnoloogia turbehalduse kontseptsioonid ja mudelid.

· ISO/IEC TR 18044 Infotehnoloogia – Turvatehnikad – Infoturbeintsidentide haldamine.

· ISO/IEC 19011:2002 juhised kvaliteedi- ja/või keskkonnajuhtimissüsteemide auditeerimiseks.

· British Standards Institute meetodite seeria ISMS-i loomiseks (varem: PD 3000 seeria dokumendid).

ISMS-i loomise protsess koosneb neljast etapist:

1. etapp. ISMS planeerimine.

Riskijuhtimise ja infoturbega seotud poliitikate, eesmärkide, protsesside ja protseduuride kehtestamine kooskõlas organisatsiooni üldiste poliitikate ja eesmärkidega.

a) ISMS-i ulatuse ja piiride kindlaksmääramine:

Organisatsiooni tegevusliigi ja ärieesmärkide kirjeldus;

· ISMS-iga hõlmatud süsteemide piiride märkimine;

· Organisatsiooni varade kirjeldus (inforessursside liigid, tarkvara ja riistvara, personal ja organisatsiooni struktuur);

· Kaitstud teavet kasutavate äriprotsesside kirjeldus.

Süsteemi piiride kirjeldus sisaldab järgmist:

Organisatsiooni olemasoleva struktuuri kirjeldus (koos võimalike muudatustega, mis võivad tekkida seoses infosüsteemi arendamisega).

Kaitstavad infosüsteemi ressursid (arvutitehnoloogia, info-, süsteemi- ja rakendustarkvara). Nende hindamiseks tuleb valida kriteeriumite süsteem ja metoodika nende kriteeriumite järgi hinnangute saamiseks (kategoriseerimine).

Infotöötlustehnoloogia ja lahendatavad ülesanded. Ülesannete lahendamiseks tuleb ressursside osas üles ehitada infotöötlusmudelid.

Organisatsiooni infosüsteemi ja seda toetava infrastruktuuri skeem.

Üldjuhul koostatakse selles etapis dokument, mis fikseerib infosüsteemi piirid, loetleb kaitse alla kuuluvad ettevõtte inforessursid ning annab kriteeriumide ja meetodite süsteemi ettevõtte infovara väärtuse hindamiseks. .

b) Organisatsiooni ISMS poliitika määratlemine (SDS laiendatud versioon).

· Infokaitsega seotud eesmärgid, suunad ja tegevuspõhimõtted;

· Organisatsiooni riskijuhtimise strateegia (lähenemisviiside) kirjeldus, teabe kaitsmise vastumeetmete struktureerimine liikide kaupa (juriidiline, organisatsiooniline, riist- ja tarkvara, tehnika);

· Riski olulisuse kriteeriumide kirjeldus;

· Juhtkonna ametikoht, infoturbeteemaliste koosolekute sageduse määramine juhtimistasandil, sh infoturbepoliitika sätete perioodiline ülevaatamine, samuti infoturbealase infosüsteemi kõikide kategooriate kasutajate koolitamise kord. probleeme.

c) Määrake lähenemine riskide hindamisele organisatsioonis.

Riskianalüüsi metoodika valitakse sõltuvalt ISMS-ist, kehtestatud ärinõuetest infoturbe osas, juriidilistest ja regulatiivsetest nõuetest.

Riskianalüüsi metoodika valik sõltub infoturbe režiimi nõuete tasemest organisatsioonis, arvesse võetavate ohtude iseloomust (ohtude mõju spekter) ja potentsiaalsete vastumeetmete tõhususest teabe kaitsmiseks. Eelkõige on infoturbe režiimile kehtestatud nii põhi- kui ka kõrgendatud või täielikud nõuded.

Infoturberežiimi miinimumnõuded vastavad infoturbe baastasemele. Sellised nõuded kehtivad reeglina standardsetele projektlahendustele. On mitmeid standardeid ja spetsifikatsioone, mis võtavad arvesse kõige tõenäolisemate ohtude minimaalset (tüüpilist) kogumit, nagu viirused, riistvararikked, volitamata juurdepääs jne. Nende ohtude neutraliseerimiseks tuleb võtta vastumeetmeid, olenemata ohu tõenäosusest. nende rakendamist ja haavatavuse ressursse. Seega ei ole ohtude tunnuseid algtasemel vaja arvestada. Välisstandardid selles valdkonnas on ISO 27002, BSI, NIST jne.

Juhtudel, kui infoturbe režiimi rikkumised toovad kaasa tõsiseid tagajärgi, kehtestatakse täiendavad kõrgendatud nõuded.

Täiendavate kõrgendatud nõuete sõnastamiseks on vaja:

Määrata ressursside väärtus;

Standardkomplekti lisada uuritava infosüsteemi jaoks oluliste ohtude loetelu;

Hinda ohtude tõenäosust;

Määrake ressursside haavatavused;

Hinnake sissetungijate mõjust tulenevat võimalikku kahju.

Vajalik on valida riskihindamise metoodika, mida saab minimaalsete muudatustega jooksvalt kasutada. On kaks võimalust: kasutada riskide hindamiseks turul olemasolevaid meetodeid ja tööriistu või luua oma metoodika, mis on kohandatud ettevõtte spetsiifikale ja ISMS-iga hõlmatud tegevusvaldkonnale.

Eelistatuim on viimane variant, kuna seni ei vasta enamus turul olevatest toodetest, mis rakendavad üht või teist riskianalüüsi tehnikat, standardi nõuetele. Selliste meetodite tüüpilised puudused on järgmised:

· standardne komplekt ohud ja haavatavused, mida on sageli võimatu muuta;

· ainult tarkvara, riistvara ja inforessursside aktsepteerimine varadena – ilma vastutasuta inimressursid, teenused ja muud olulised ressursid;

· tehnika üldine keerukus selle säästva ja korduva kasutamise seisukohalt.

· Riskide aktsepteerimise kriteeriumid ja vastuvõetavad riskitasemed (peavad põhinema organisatsiooni strateegiliste, organisatsiooniliste ja juhtimiseesmärkide saavutamisel).

d) Riski tuvastamine.

· Varade ja nende omanike tuvastamine

Teabe sisendid;

Infoväljund;

Teabekirjed;

Ressursid: inimesed, infrastruktuur, seadmed, tarkvara, tööriistad, teenused.

· Ohu tuvastamine (riskihindamise standardid pakuvad sageli ohtude klasse, mida saab täiendada ja laiendada).

· Haavatavuse tuvastamine (seal on ka loendid levinumatest haavatavustest, millele võite oma organisatsiooni analüüsides toetuda).

· Varade väärtuse määramine (varade konfidentsiaalsuse, terviklikkuse ja kättesaadavuse kaotuse võimalikud tagajärjed). Teavet vara väärtuse kohta saab selle omanikult või isikult, kellele omanik on delegeerinud kõik volitused vara üle, sealhulgas selle turvalisuse tagamise.

e) Riski hindamine.

· Konfidentsiaalsuse, terviklikkuse ja varade kättesaadavuse kaotamisest ettevõttele tekitatud kahju hindamine.

· Olemasolevate haavatavuste kaudu ohtude realiseerumise tõenäosuse hindamine, võttes arvesse olemasolevaid infoturbe kontrolle ja hinnata võimalikke tekitatud kahjusid;

· Riskitaseme määramine.

Riski aktsepteerimise kriteeriumide rakendamine (vastuvõetav/ravi vajav).

f) Riski käsitlemine (vastavalt valitud riskijuhtimisstrateegiale).

Võimalikud toimingud:

Passiivsed toimingud:

Riski aktsepteerimine (otsus sellest tuleneva riskitaseme vastuvõetavuse kohta);

Riski vältimine (otsus muuta tegevusi, mis põhjustavad teatud riskitaset – veebiserveri teisaldamine väljaspool piire kohalik võrk);

Aktiivsed toimingud:

Riskide vähendamine (kasutades organisatsioonilisi ja tehnilisi vastumeetmeid);

Riski ülekandmine (kindlustus (tulekahju, vargus, tarkvaravead)).

Võimalike toimingute valik sõltub aktsepteeritud riskikriteeriumidest (määratakse vastuvõetav riskitase, riskitasemed, mida on võimalik infoturbe kontrollidega vähendada, riskitasemed, mille puhul on soovitatav loobuda või muuta seda põhjustavat tegevust, ja riskid, mis on soovitav teistele osapooltele üle kanda).

g) riskide käsitlemise eesmärkide ja kontrollide valimine.

Eesmärgid ja kontrollid peavad rakendama riskijuhtimise strateegiat, arvestama riskide aktsepteerimise kriteeriume ning seadusandlikke, regulatiivseid ja muid nõudeid.

ISO 27001-2005 standard annab riskide käsitlemise plaani (ISMS nõuded) koostamise aluseks eesmärkide ja kontrollide loetelu.

Riskiraviplaan sisaldab riskitaseme vähendamise prioriteetsete meetmete loetelu, mis näitab:

· nende tegevuste ja vahendite rakendamise eest vastutavad isikud;

· tegevuste elluviimise ajastus ja nende elluviimise prioriteedid;

· vahendid selliste tegevuste elluviimiseks;

· jääkriskide tase pärast meetmete ja kontrollide rakendamist.

Riskikäsitluse plaani vastuvõtmise ja selle täitmise kontrolli teostab organisatsiooni tippjuhtkond. Plaani põhitegevuste elluviimine on kriteerium, mis võimaldab teha otsuse ISMS-i kasutuselevõtu kohta.

Selles etapis on erinevate infoturbe vastumeetmete valik põhjendatud, struktureeritud vastavalt infoturbe regulatiivsele, organisatsioonilisele, juhtimis-, tehnoloogilisele ja riistvaralis-tarkvara tasemele. (Edaspidi rakendatakse vastumeetmete komplekti vastavalt valitud inforiskide maandamise strateegiale). Kell täisversioon riskianalüüs, iga riski puhul hinnatakse täiendavalt vastumeetmete tõhusust.

h) juhtkonna heakskiit kavandatavale jääkriskile.

i) Juhtkonna heakskiidu saamine ISMS-i rakendamiseks ja kasutuselevõtuks.

j) Kohaldatavuse avaldus (vastavalt standardile ISO 27001-2005).

ISMS-i kasutuselevõtmise kuupäev on kuupäev, mil ettevõtte tippjuhtkond kinnitab kontrollide rakendatavuse avalduse, mis kirjeldab organisatsiooni poolt riskijuhtimiseks valitud eesmärke ja vahendeid:

· riskiravi etapis valitud juhtimis- ja kontrollivahendid;

· organisatsioonis juba olemasolevad juhtimis- ja kontrollivahendid;

· vahendid õigusaktide nõuete ja reguleerivate organisatsioonide nõuete täitmise tagamiseks;

· vahendid kliendi nõudmiste täitmise tagamiseks;

· vahendid ettevõtte üldiste nõuete täitmise tagamiseks;

· mis tahes muud asjakohased juhtimis- ja juhtimisseadised.

2. etapp. ISMSi juurutamine ja toimimine.

Infoturbe valdkonna infoturbepoliitika, kontrollide, protsesside ja protseduuride rakendamiseks ja käitamiseks tehakse järgmised toimingud:

a) Riskikäsitluse plaani väljatöötamine (planeeritud kontrollide, nende rakendamiseks vajalike ressursside (tarkvara, riistvara, personali) kirjeldus, tugi, kontroll ja juhtimisvastutused infoturbe riskide juhtimiseks (dokumentide väljatöötamine planeerimisetapis, toetus infoturbe eesmärgid, rollide ja kohustuste määratlemine, tagamine vajalikke ressursse luua ISMS, audit ja analüüs).

b) Rahastamise, rollide ja vastutuse jaotamine riskiraviplaani rakendamiseks.

c) kavandatud kontrollide rakendamine.

d) Kontrolli tulemuslikkuse näitajate (mõõdikute) ja nende mõõtmise meetodite kindlaksmääramine, mis annavad võrreldavaid ja reprodutseeritavaid tulemusi.

e) Infoturbe valdkonna töötajate kvalifikatsiooni ja teadlikkuse tõstmine vastavalt nende tööülesannetele.

f) ISMS-i toimimise juhtimine, ressursside haldamine ISMS-i hooldamiseks, kontrollimiseks ja täiustamiseks.

g) protseduuride ja muude kontrollide rakendamine infoturbeintsidentide kiireks tuvastamiseks ja neile reageerimiseks.

3. etapp. ISMSi toimimise pidev jälgimine ja analüüs.

Etapp hõlmab protsessi peamiste tulemusnäitajate hindamist või mõõtmist, tulemuste analüüsimist ja juhtkonnale analüüsimiseks aruannete esitamist ning hõlmab järgmist:

a) Pideva monitooringu ja analüüsi läbiviimine (võimaldab kiiresti avastada vigu ISMS-i töös, kiiresti tuvastada ja reageerida turvaintsidentidele, eristada personali rolle ja automatiseeritud süsteemid ISMS-is ennetada turvaintsidente, analüüsides ebatavalist käitumist, määrata turvaintsidentide töötlemise efektiivsus).

b) ISMSi tõhususe regulaarsete ülevaatuste läbiviimine (analüüsitakse vastavust ISMS-i põhimõtetele ja eesmärkidele, auditeid, peamisi tulemusnäitajaid, ettepanekuid ja huvirühmade reaktsioone).

c) kontrollide tõhususe mõõtmine, et kontrollida, kas kaitsenõuded on täidetud

d) Riskide perioodiline ümberhindamine, jääkriskide analüüs ja vastuvõetavate riskitasemete määramine organisatsioonis toimuvate muudatuste jaoks (ärieesmärgid ja protsessid, tuvastatud ohud, äsja tuvastatud haavatavused jne)

e) Perioodiline ISMSi siseauditid.

ISMS audit – valitud vastumeetmete vastavuse kontrollimine organisatsiooni tööohutuspoliitikas deklareeritud äritegevuse eesmärkidele ja eesmärkidele, selle tulemuste põhjal hinnatakse jääkriske ja vajadusel optimeeritakse neid.

f) ISMS-i ulatuse ja suundumuste korrapärane ülevaatamine juhtkonna poolt.

g) ajakohastada riskijuhtimisplaane, et kajastada kontrollide ja ülevaatuste tulemusi.

h) Mõju avaldanud sündmuste logide pidamine Negatiivne mõju ISMSi töö tõhususe või kvaliteedi kohta.

4. etapp. ISMS-i tugi ja täiustamine.

ISMS-i siseauditi ja juhtimisanalüüsi tulemuste põhjal töötatakse välja ja rakendatakse parandus- ja ennetusmeetmeid, mille eesmärk on ISMS-i pidev täiustamine:

a) Infoturbepoliitika, infokaitse eesmärkide täiustamine, auditite läbiviimine, vaadeldud sündmuste analüüsimine.

b) Parandus- ja ennetusmeetmete väljatöötamine ja rakendamine ISMS-i nõuetele mittevastavuse kõrvaldamiseks.

c) ISMS-i täiustuste jälgimine.

GOST R ISO/IEC 27001-2006 “Infotehnoloogia. Turvalisuse tagamise meetodid ja vahendid. Infoturbe haldussüsteemid. Nõuded"

Standardi väljatöötajad märgivad, et see koostati mudelina infoturbe juhtimissüsteemi (ISMS) arendamiseks, juurutamiseks, käitamiseks, jälgimiseks, analüüsiks, toeks ja täiustamiseks. ISMS (inglise keeles - information security management system; ISMS) on määratletud osana ühine süsteem juhtimine, mis põhineb äririskide hindamise meetodite kasutamisel infoturbe arendamiseks, juurutamiseks, toimimiseks, jälgimiseks, analüüsimiseks, toetamiseks ja täiustamiseks. Juhtimissüsteem hõlmab organisatsiooni struktuuri, poliitikaid, planeerimistegevusi, vastutuse jaotust, praktiline tegevus, protseduurid, protsessid ja ressursid.

Standard eeldab protsessipõhise lähenemise kasutamist organisatsiooni ISMS-i arendamiseks, juurutamiseks, toimimiseks, jälgimiseks, analüüsimiseks, toetamiseks ja täiustamiseks. See põhineb PDCA (Plan – Do – Check – Act) mudelil, mida saab rakendada kõigi ISMS protsesside struktureerimisel. Joonisel fig. Joonis 4.4 näitab, kuidas ISMS, kasutades sisendina infoturbe nõudeid ja huvirühmade ootusi, toodab infoturbe väljundeid, mis vastavad nendele nõuetele ja eeldatavatele tulemustele läbi nõutud tegevuste ja protsesside.

Riis. 4.4.

Laval "Infoturbe juhtimissüsteemi arendamine" Organisatsioon peab tegema järgmist:

• - määrata ISMS-i ulatus ja piirid;
• - määrata kindlaks ISMS-i poliitika lähtudes ettevõtte, organisatsiooni, selle asukoha, varade ja tehnoloogiate omadustest;
• - määrata lähenemine riskide hindamisele organisatsioonis;
• - tuvastada riske;
• - analüüsida ja hinnata riske;
• - tuvastada ja hinnata erinevaid valikuid riskiravi;
• - valida riskide käsitlemise eesmärgid ja kontrollimeetmed;
• - saada juhtkonna heakskiit eeldatavate jääkriskide kohta;
• - hankida juhtimisluba ISMS-i juurutamiseks ja käitamiseks;
• - koostada kohaldatavusavaldus.

Lava" Infoturbe juhtimissüsteemi juurutamine ja toimimine" soovitab organisatsioonil:

• - töötada välja riskide käsitlemise plaan, mis määratleb asjakohased juhtimismeetmed, ressursid, vastutused ja prioriteedid seoses infoturbe riskide juhtimisega;
• - rakendama riskide käsitlemise plaani kavandatud juhtimiseesmärkide saavutamiseks, sealhulgas rahastamisküsimused, samuti funktsioonide ja vastutuse jaotus;
• - rakendada valitud juhtimismeetmeid;
• - määrata kindlaks, kuidas mõõta valitud juhtimismeetmete tõhusust;
• - viia ellu töötajate koolitus- ja professionaalse arengu programme;
• - juhtida ISMSi tööd;
• - hallata ISMS-i ressursse;
• - rakendada protseduure ja muid juhtimismeetmeid, et tagada infoturbe sündmuste kiire avastamine ja infoturbega seotud intsidentidele reageerimine.

Kolmas etapp" Infoturbe juhtimissüsteemi monitooringu ja analüüsi läbiviimine" vajab:

• - teostada seire- ja analüüsiprotseduure;
• - teostada regulaarset ISMSi tõhususe analüüsi;
• - mõõta infoturbe nõuete täitmise kontrollimise kontrollimeetmete tõhusust;
• - vaadata läbi riskihinnangud kindlaksmääratud ajavahemikel, analüüsida jääkriske ja kehtestatud aktsepteeritavaid riskitasemeid, võttes arvesse muutusi;
• - teha kindlaksmääratud ajavahemikel ISMSi siseauditeid;
• - regulaarselt läbi viia organisatsiooni juhtkonna poolt ISMS analüüsi, et kinnitada toimimissüsteemi adekvaatsust ja määrata kindlaks parendusvaldkonnad;
• - uuendada infoturbe plaane arvestades analüüsi ja seire tulemusi;
• - salvestada toimingud ja sündmused, mis võivad mõjutada ISMSi tõhusust või toimimist.

Ja lõpuks lava "Infoturbe juhtimissüsteemi tugi ja täiustamine" soovitab organisatsioonil regulaarselt läbi viia järgmisi tegevusi:

• - tuvastada võimalused ISMS-i täiustamiseks;
• - rakendama vajalikke parandus- ja ennetustoiminguid, kasutama praktikas nii oma organisatsioonis kui ka teistes organisatsioonides omandatud infoturbekogemust;
• - edastada detailne info ISMS-i täiustamise tegevuste kohta kõigile huvitatud osapooltele, samas kui üksikasjalikkuse aste peaks vastama asjaoludele ja vajadusel kokku leppima edasistes tegevustes;
• - tagada ISMS-i parenduste rakendamine kavandatud eesmärkide saavutamiseks.

Lisaks sätestab standard nõuded dokumentatsioonile, mis peaks sisaldama ISMS-i poliitika sätteid ja tegevuse ulatuse kirjeldust, metoodika kirjeldust ja riskianalüüsi aruannet, riskide käsitlemise plaani ja sellega seotud protseduuride dokumentatsiooni. Samuti tuleks määratleda ISMS-i dokumentide haldamise protsess, sealhulgas ajakohastamine, kasutamine, säilitamine ja hävitamine.

Nõuetele vastavuse ja ISMS-i toimimise tõhususe tõendamiseks on vaja seda töökorras hoida ja hoida. Kontod ja protsessi teostamise kirjed. Näiteks külastajate logid, auditiaruanded jne.

Standard täpsustab, et organisatsiooni juhtkond vastutab ISMS-i loomiseks vajalike ressursside tagamise ja haldamise ning personali väljaõppe korraldamise eest.

Nagu eelnevalt märgitud, peab organisatsioon vastavalt kinnitatud ajakavale läbi viima ISMS-i siseauditeid, et hinnata oma funktsionaalsust ja standardile vastavust. Ja juhtkond peab läbi viima infoturbe juhtimissüsteemi analüüsi.

Samuti tuleks teha tööd infoturbe juhtimissüsteemi täiustamiseks: tõsta selle efektiivsust ja vastavust süsteemi hetkeseisule ja sellele esitatavatele nõuetele.

(SMIB)- see osa üldisest juhtimissüsteemist, mis põhineb äririskide lähenemisviisil infoturbe loomisel, rakendamisel, toimimisel, monitooringul, analüüsil, toetamisel ja täiustamisel.

Kui see on ehitatud vastavalt standardi ISO/IEC_27001 nõuetele, põhineb see PDCA mudelil:

Plaan(Planeerimine) - ISMSi loomise faas, varade nimekirja koostamine, riskide hindamine ja meetmete valik;

Tee(Action) – asjakohaste meetmete rakendamise ja rakendamise etapp;

Kontrollima(Verification) – ISMSi tõhususe ja toimivuse hindamise faas. Tavaliselt teostavad siseaudiitorid.

seadus(Täiustused) - ennetavate ja parandusmeetmete rakendamine;

Infoturbe kontseptsioon

ISO 27001 standard määratleb infoturbe järgmiselt: „teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse säilitamine; Lisaks võib lisada muid omadusi, nagu autentsus, mittesalgamine ja usaldusväärsus."

Konfidentsiaalsus – tagada, et teave on juurdepääsetav ainult neile, kellel on asjakohased volitused (volitatud kasutajad).

Terviklikkus – teabe täpsuse ja täielikkuse ning selle töötlemise meetodite tagamine.

Kättesaadavus – vajaduse korral (nõudmisel) volitatud kasutajatele juurdepääsu võimaldamine teabele.

4 Infoturbe juhtimissüsteem

4.1 Üldnõuded

Organisatsioon kehtestab, rakendab, kasutab, jälgib, vaatab üle, säilitab ja täiustab dokumenteeritud ISMS-i sätteid kogu organisatsiooni äritegevuse ja sellega kaasnevate riskide jooksul. Sellest praktilisest kasust Rahvusvaheline standard Kasutatav protsess põhineb joonisel fig 1 näidatud PDCA mudelil. 1.

4.2 ISMSi loomine ja haldamine

4.2.1 ISMSi loomine

Organisatsioon peab tegema järgmist.

a) Võttes arvesse organisatsiooni tegevuse spetsiifikat, organisatsiooni ennast, selle asukohta, varasid ja tehnoloogiat, määrake ISMS-i ulatus ja piirid, sealhulgas üksikasjad ja põhjendused ISMS-i eelnõust dokumendi mis tahes sätete väljajätmiseks (vt 1.2). ).

b) Võttes arvesse organisatsiooni tegevuse iseärasusi, organisatsiooni ennast, selle asukohta, varasid ja tehnoloogiat, töötage välja ISMS poliitika, mis:

1) sisaldab eesmärkide (ülesannete) püstitamise süsteemi ning kehtestab infoturbe alase juhtimise üldise suuna ja tegevuspõhimõtted;

2) arvestab äri- ja õigus- või regulatiivnõudeid, lepingulisi tagatiskohustusi;

3) on seotud strateegilise riskijuhtimise keskkonnaga, milles ISMSi loomine ja hooldamine toimub;

4) kehtestab kriteeriumid, mille alusel riski hinnatakse (vt 4.2.1 c); Ja

5) kinnitatud juhtkonna poolt.

MÄRKUS. Selle rahvusvahelise standardi tähenduses loetakse ISMS-poliitikat infoturbepoliitika laiendatud komplektiks. Neid põhimõtteid saab kirjeldada ühes dokumendis.

c) Töötada välja organisatsioonis riskide hindamise kontseptsioon.

1) Määrata kindlaks riskihindamise metoodika, mis sobib ISMS-iga ja kehtestatud äriinfoturbe, juriidiliste ja regulatiivsete nõuetega.

2) Töötada välja riski aktsepteerimise kriteeriumid ja määrata vastuvõetavad riskitasemed (vt 5.1f).

Valitud riskihindamise metoodika peaks tagama, et riskihindamine annab võrreldavaid ja korratavaid tulemusi.

MÄRKUS. Riski hindamise metoodikaid on erinevaid. Riskianalüüsi metoodikate näiteid käsitletakse standardis ISO/IEC TR 13335-3, Infotehnoloogia– Soovitused juhtimiseksITTurvalisus – haldusmeetodidITTurvalisus.

d) Tehke kindlaks riskid.

1) Tehke kindlaks varad ISMS-i sätete raames ja omanikud2 (2 Mõiste "omanik" tähistatakse üksikisiku või juriidilise isikuga, kes on heaks kiidetud vastutama tootmise, arenduse, Hooldus, rakenduste ja varade turvalisus. Mõiste "omanik" ei tähenda, et isikul oleks tegelikult varale mingeid omandiõigusi.

2) Tehke kindlaks nende varadega seotud ohud.

3) Tuvastage kaitsesüsteemi haavatavused.

4) Tehke kindlaks mõjud, mis hävitavad varade konfidentsiaalsust, terviklikkust ja kättesaadavust.

e) Analüüsida ja hinnata riske.

1) Hinnake kahju organisatsiooni äritegevusele, mis võib tekkida turvasüsteemi rikke tõttu, samuti varade konfidentsiaalsuse, terviklikkuse või kättesaadavuse rikkumise tagajärg.

2) Määrake kindlaks turvasüsteemi rikke tõenäosus, pidades silmas valitsevaid ohte ja haavatavust, vara mõjusid ja praegu rakendatud kontrolle.

3) Hinda riskitaset.

4) Tehke kindlaks riski vastuvõetavus või nõudke selle vähendamist, kasutades punktis 4.2.1c)2 sätestatud riski vastuvõetavuse kriteeriume.

f) tuvastada ja hinnata riski vähendamise vahendeid.

Võimalikud toimingud hõlmavad järgmist:

1) sobivate juhtimisseadmete kasutamine;

2) Riskide teadlik ja objektiivne aktsepteerimine, nende tingimusteta vastavuse tagamine organisatsiooni poliitika ja riskide aktsepteerimise kriteeriumide nõuetele (vt 4.2.1c)2));

3) riskide vältimine; Ja

4) Asjakohaste äririskide üleandmine teisele osapoolele, näiteks kindlustusseltsidele, tarnijatele.

g) Valige riskide vähendamiseks ülesanded ja kontrollid.

Eesmärgid ja kontrollid tuleks valida ja rakendada vastavalt riskihindamise ja riskide vähendamise protsessiga kehtestatud nõuetele. See valik peaks võtma arvesse nii riskitaluvuse kriteeriume (vt 4.2.1c)2) kui ka õiguslikke, regulatiivseid ja lepingulisi nõudeid.

Lisas A toodud ülesanded ja juhtelemendid tuleb valida selle protsessi osana, et need vastaksid kindlaksmääratud nõuetele.

Kuna kõiki ülesandeid ja juhtelemente pole lisas A loetletud, võib valida täiendavaid.

MÄRKUS. Lisa A sisaldab põhjalikku nimekirja kontrollieesmärkidest, mis on organisatsioonide jaoks kõige olulisemad. Et mitte jätta tähelepanuta ühtki olulist juhtimisvalikute punkti, peaksid selle rahvusvahelise standardi kasutajad proovide võtmise kontrollimise lähtepunktina viima lisale A.

h) Saavutada heakskiit tajutavate jääkriskide juhtimiseks.

4) hõlbustada turvasündmuste avastamist ja seeläbi teatud näitajaid kasutades ennetada turvaintsidente; Ja

5) määrab turvalisuse rikkumise ärahoidmiseks tehtavate toimingute tulemuslikkuse.

b) viima läbi korrapäraseid ISMS-i tõhususe ülevaatusi (sealhulgas arutelu ISMS-i poliitika ja selle eesmärkide üle, turvakontrollide ülevaatamine), võttes arvesse auditite tulemusi, intsidente, tulemuslikkuse mõõtmise tulemusi, kõikide huvitatud osapoolte ettepanekuid ja soovitusi .

c) hindab kontrollide tõhusust, et teha kindlaks, kas ohutusnõuded on täidetud.

d) Kontrollige planeeritud perioodide riskihinnangut ning jääkriske ja vastuvõetavaid riskitasemeid, võttes arvesse muutusi:

1) organisatsioonid;

2) tehnoloogia;

3) äritegevuse eesmärgid ja protsessid;

4) tuvastatud ohud;

5) rakendatud kontrollide tõhusus; Ja

6) välissündmused, nagu muutused õigus- ja juhtimiskeskkonnas, muutunud lepingulised kohustused, muutused sotsiaalses kliimas.

e) Viige läbi ISMS-i siseauditeid ettenähtud aegadel (vt 6)

MÄRKUS. Siseauditeid, mida mõnikord nimetatakse esmaseks audititeks, viiakse läbi organisatsiooni enda nimel selle enda eesmärkidel.

f) Vaadake ISMS-i juhtimine korrapäraselt üle, et tagada sätte sobivus ja ISMS-i täiustamine.

g) Värskendage turvaplaane seirest ja auditeerimisest saadud andmete põhjal.

h) Salvestage tegevused ja sündmused, mis võivad mõjutada ISMSi tõhusust või toimivust (vt 4.3.3).

4.2.4 ISMSi hooldus ja täiustamine

Organisatsioon peab pidevalt tegema järgmist.

a) Rakendage ISMS-i konkreetseid parandusi.

b) Võtta asjakohaseid parandus- ja ennetusmeetmeid vastavalt punktidele 8.2 ja 8.3. Rakendada organisatsiooni enda kogutud ja teiste organisatsioonide kogemustest saadud teadmisi.

c) teavitama kõiki huvitatud pooli oma tegevusest ja täiustustest olukorrale vastaval detailsusel; ja vastavalt oma tegevusi koordineerima.

d) Tagada, et täiustused saavutavad ettenähtud eesmärgi.

4.3 Nõuded dokumentidele

4.3.1 Üldine

Dokumentatsioon peab sisaldama protokolle (kirjeid) juhtimisotsused, veenda, et tegutsemisvajaduse määravad ära juhtkonna otsused ja poliitika; ja tagama salvestatud tulemuste reprodutseeritavuse.

Oluline on osata näidata tagasisidet valitud kontrollid riskihindamise ja riskide vähendamise protsesside tulemustega ning seejärel ISMS-i poliitika ja selle eesmärkidega.

ISMS-i dokumentatsioon peab sisaldama:

a) dokumenteeritud avaldused ISMSi poliitika ja eesmärkide kohta (vt 4.2.1b);

b) ISMS-i asukoht (vt 4.2.1a));

c) ISMS-i toetamise kontseptsioon ja juhtelemendid;

d) riskihindamise metoodika kirjeldus (vt 4.2.1c));

e) riskianalüüsi aruanne (vt 4.2.1c) – 4.2.1g));

f) riskide vähendamise plaan (vt 4.2.2b));

g) dokumenteeritud raamistik, mis on organisatsiooni jaoks vajalik, et tagada tema infoturbe protsesside tõhus planeerimine, käitamine ja kontrollimine, ning kirjeldada, kuidas kontrollide tõhusust mõõdetakse (vt 4.2.3c);

h) käesolevas rahvusvahelises standardis nõutavad dokumendid (vt 4.3.3); Ja

i) Kohaldatavus.

MÄRKUS 1. Selle rahvusvahelise standardi tähenduses tähendab mõiste “dokumenteeritud kontseptsioon” seda, et kontseptsiooni rakendatakse, dokumenteeritakse, rakendatakse ja järgitakse.

MÄRKUS 2: ISMS-i dokumentatsiooni suurus tollides erinevad organisatsioonid võib varieeruda sõltuvalt:

organisatsiooni suurus ja selle varade liik; Ja

Turvanõuete ja hallatava süsteemi ulatus ja keerukus.

MÄRKUS 3. Dokumente ja aruandeid võib esitada mis tahes kujul.

4.3.2 Dokumendikontroll

ISMS-i nõutavad dokumendid peavad olema kaitstud ja reguleeritud. Vajalik on kinnitada dokumentatsiooniprotseduur, mis on vajalik juhtimistoimingute kirjeldamiseks:

a) dokumentide teatavatele standarditele vastavuse kindlakstegemine enne nende avaldamist;

b) vajadusel dokumentide kontrollimine ja uuendamine, dokumentide uuesti kinnitamine;

c) muudatuste järgimise tagamine praegune olek parandatud dokumendid;

d) kehtivate dokumentide oluliste versioonide kättesaadavuse tagamine;

e) dokumentide arusaadavuse ja loetavuse tagamine;

f) tagada dokumentidele juurdepääs neile, kes neid vajavad; samuti nende üleandmine, ladustamine ja lõplik hävitamine vastavalt nende klassifikatsioonist olenevalt kohaldatavale korrale;

g) välistest allikatest pärit dokumentide autentsuse tuvastamine;

h) dokumentide levitamise kontroll;

i) aegunud dokumentide tahtmatu kasutamise vältimine; Ja

j) neile sobiva identifitseerimismeetodi rakendamine, kui neid igaks juhuks alles hoitakse.

4.3.3 Kirjete kontroll

Nõuetele vastavuse ja ISMSi tõhusa toimimise tagamiseks tuleks luua ja säilitada dokumente. Kirjeid tuleb kaitsta ja kontrollida. ISMS peab võtma arvesse kõiki juriidilisi ja regulatiivseid nõudeid ning lepingulisi kohustusi. Kirjed peavad olema arusaadavad, kergesti tuvastatavad ja leitavad. Arhivaalide tuvastamiseks, säilitamiseks, kaitsmiseks, taastamiseks, säilitamiseks ja hävitamiseks vajalikud kontrollid tuleb dokumenteerida ja kasutusele võtta.

Kirjed peaksid sisaldama teavet punktis 4.2 kirjeldatud tegevuste rakendamise ning kõigi ISMS-iga seotud vahejuhtumite ja oluliste ohutusintsidentide kohta.

Kirjete näideteks on külalisteraamat, auditi logid ja täidetud juurdepääsulubade vormid.