Системы менеджмента информационной безопасности. Требования

ИСО 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. (2006)

ИСО 27001 является единственным пригодным для сертификации международным стандартом, определяющим требования к Системе Управления Информационной Безопасностью (СУИБ). Этот стандарт предназначен для обеспечения выбора адекватных и соразмерных средств защиты.

Система управления информационной безопасностью разработанная на основе стандарта ISO 27001 позволяет:

· Сделать большинство информационных активов наиболее понятными для менеджмента компании

· Выявлять основные угрозы безопасности для существующих бизнес-процессов

· Рассчитывать риски и принимать решения на основе бизнес-целей компании

· Обеспечить эффективное управление системой в критичных ситуациях

· Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)

· Четко определить личную ответственность

· Достигнуть снижения и оптимизации стоимости поддержки системы безопасности

· Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000

· Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности

· Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках

· Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту

Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Особенно полезен стандарт там, где защита информации приобретает очень важное значение, например в таких отраслях, как финансы, здравоохранение, госучреждения и ИТ.

Международный стандарт ИСО 27001 совмещен с ISO 9001и ISO 14001: для того, чтобы поддерживать согласованную и комплексную реализацию и работу со связанными стандартами менеджмента.

Для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения СМЗИ организации стандарт предлагает использовать процессный подход.

Где под процессом понимается любой вид деятельности использующий ресурсы и управляемый для того, чтобы преобразовать входов в выходы, причем выход одного процесса непосредственно образует вход следующего процесса.

Применение системы процессов в рамках организации, вместе с идентификацией и взаимодействием этих процессов, а также их управлением называется «процессный подход».

Для структуризации всех процессов СМЗИ, при создании системы менеджмента ИБ стандарт принимает модель «Plan-Do-Check-Act»(рис. 1).

Модель PDCA является циклической моделью, направленной на непрерывное совершенствование системы менеджмента информационной безопасности.

Начальное планирование и внедрение направлено на создание СМИБ и запуск последовательного выполнения этапов цикла PDCA, которое начинается с проверки текущего состояния СМИБ (этап проверки – Check), затем следует пересмотр СМИБ (этап улучшения – Act) и планирование ее обновления (этап планирования – Plan), после чего запланированные изменения внедряются в работу (этап выполнения – Do). Затем цикл повторяется.

Задачами первоначального планирования и внедрения являются:

· Сбор информации о работе компании.

o Вид деятельности

o Миссия

o Местонахождение офисов

o И т.д.

· Определение ключевых людей для процесса разработки СМИБ.

· Определение драйверов (мотивов) к управлению рисками и потребностей создания СМИБ.

· Получение высокоуровневого мгновенного снимка текущего состояния безопасности в компании, а также имеющихся возможностей и практик по выявлению и обработке бизнес-рисков.

· Сбор подробной информации, которая поможет установить границы и содержание СМИБ.

o Офисы, операции, бизнес-функции, информация, информационные технологии, инфраструктура и т.д.

· Определение целей создания СМИБ (например, следование лучшим практикам, или сертификация по ISO 27001).

· Описание содержания предполагаемой СМИБ.

· Формирование временнόго плана-графика разработки СМИБ.

· Описания процессов создания и дальнейшего сопровождения СМИБ.

Все перечисленные мероприятия входят в первый процесс создания СМИБ - Процесс оценки и определение текущего состояния, который состоит из двух больших этапов: сбор информации (background discovery) и определение уровня соответствия (compliance level discovery).

Сбор информации начинается с изучения общей информации о компании, ее целях, миссии, организации работы, опыте (general background), информации о роли безопасности в компании, а также об общем восприятия безопасности в корпоративной культуре. Сбор информации осуществляется посредством проведения опросов (questionnaire) и анкетирования (survey).

Определение уровня соответствия можно разделить на этапы:

Этап определения «как должно быть» который позволяет получить СМБ, учитывающую особенности конкретной компании и содержащую перечень требований по безопасности, основанных на отраслевых стандартах и учитывающих бизнес-риски этой компании.

Этап оценки «как есть». На этом этапе определяется текущее состояние безопасности в компании в сравнении с определенным «как должно быть» состоянием СМИБ. Определение «как есть» включает в себя процессы исследования, анализа (GAP-анализа) и подготовки отчета о результатах.

На данном этапе готовится опросный лист, учитывающий специфику СМБ. Также готовятся краткое описание проекта, бланки для записи результатов, аналитические инструменты для изучения результатов и нахождения в них важных сведений, на основе которых в конечном итоге формируется отчет, отражающий текущее состояние («мгновенный снимок») компании в области безопасности. Термин «мгновенный снимок» указывает на то, что состояние безопасности не статично, что оно может быстро изменяться. Поэтому любые результаты анализа состояния безопасности привязаны к конкретной дате и сохраняют свою актуальность в течение ограниченного промежутка времени, в рамках которого компания может использовать их для принятия решений.

После завершения первичных работ (сбора информации и оценки) составляется план перехода.

План перехода содержит конкретные шаги по переходу из состояния «как есть» в состояние «как должно быть». Реальный процесс перехода может потребовать более одного бюджетного цикла, в зависимости от объема работы, необходимой для обеспечения соответствия СМИБ установленным целям. Принимая во внимание продолжительность и возможную высокую стоимость этой работы, компания должна расставить приоритеты, т.е. соответствующим образом распределить ресурсы, направив их, в первую очередь, на обработку наиболее существенных для компании рисков.

Определение состояния «как должно быть» выполняется на этапе планирования (Plan) модели PDCA.

Деятельность по определению состояния «как есть» относится к этапам планирования и проверки модели PDCA: начальное планирование СМИБ производится на этапе планирования, а последующий мониторинг и анализ – на этапе проверки.

Создание плана перехода организуется на этапах выполнения (Do) и улучшения (Act) модели PDCA. Переход от первоначального состояния «как есть» («мгновенного снимка») осуществляется на этапе выполнения, а на этапе улучшения (Act) выполняется анализ и пересмотр, для которого также составляется план перехода.

Далее следует этап эксплуатации и сопровождения.

Эксплуатация и сопровождение (O&M – Operations and Maintenance) обеспечивают непрерывную поддержку СМИБ, выполняя, в частности, регулярный пересмотр целевого состояния («как должно быть»). Пересмотр состояния «как должно быть» может быть вызван выпуском обновленных (измененных) стандартов ISO 27001 и ISO 27002, изменениями в законодательстве или иных нормативных документах, заключением компанией новых договоров, а также изменениями бизнес-среды, приводящими к появлению новых уязвимых областей, которые могут стать препятствием для реализации миссии компании.

Кроме этого, на этапе эксплуатации и сопровождения производятся измерения и оценка показателей (метрик), на этом этапе формируются различные отчеты, относящиеся к функционированию безопасности, включая отчеты по анализу журналов регистрации событий, отчеты по инцидентам, отчеты по анализу их причин и т.д.

Эксплуатация и сопровождение выполняются на этапах проверки (Check) и улучшения (Act) модели PDCA.

Дата добавления: 2014-01-20; Просмотров: 1057; Нарушение авторских прав?; Мы поможем в написании вашей работы!