Infotehnoloogia maailmas muutub prioriteediks teabe terviklikkuse, usaldusväärsuse ja konfidentsiaalsuse tagamise küsimus. Seetõttu on organisatsiooni infoturbe haldussüsteemi (ISMS) vajaduse mõistmine strateegiline otsus.
See töötati välja ISMS-i loomiseks, juurutamiseks, hooldamiseks ja pidevaks täiustamiseks ettevõttes. Samuti saab selle standardi kasutamise kaudu välistele partneritele selgeks organisatsiooni võime täita oma infoturbe nõudeid. Selles artiklis käsitletakse standardi põhinõudeid ja selle ülesehitust.
Teie ettevõte jõuab uus tase kvaliteet, kui saate kogenud spetsialistide abiga seadusliku ISO-sertifikaadi.
ISO 27001 standardi peamised eesmärgid
Enne standardi ülesehituse kirjeldamise juurde asumist kirjeldame selle põhieesmärke ja käsitleme standardi ilmumise ajalugu Venemaal.
Standardi eesmärgid:
- kõigile organisatsioonidele ühtsete nõuete kehtestamine ISMS-i loomiseks, rakendamiseks ja täiustamiseks;
- kõrgema juhtkonna ja töötajate vahelise suhtluse tagamine;
- teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse säilitamine.
Lisaks on standardiga kehtestatud nõuded üldised ja mõeldud kohaldamiseks kõikidele organisatsioonidele, olenemata nende tüübist, suurusest või olemusest.
Standardi ajalugu:
- 1995. aastal võttis Briti Standardiinstituut (BSI) vastu Ühendkuningriigi riikliku standardina infoturbe halduskoodeksi ja registreeris selle BS 7799 – 1. osana.
- 1998. aastal avaldas BSI standardi BS7799-2, mis koosneb kahest osast, millest üks sisaldas tegevusjuhendit ja teine - nõudeid infoturbe haldussüsteemidele.
- Järgnevate muudatuste käigus avaldati esimene osa BS 7799:1999 1. osana. 1999. aastal viidi see standardi versioon üle Rahvusvaheline organisatsioon vastavalt sertifikaadile.
- See dokument kiideti heaks 2000. aastal rahvusvaheline standard ISO/IEC 17799:2000 (BS 7799-1:2000). Uusim versioon See 2005. aastal vastu võetud standard on ISO/IEC 17799:2005.
- 2002. aasta septembris jõustus BS 7799 teine osa Infoturbe haldussüsteemi spetsifikatsioon. BS 7799 teist osa vaadati üle 2002. aastal ja 2005. aasta lõpus võttis ISO selle üle rahvusvahelise standardina ISO/IEC 27001:2005 Infotehnoloogia – Turvatehnikad – Infoturbe haldussüsteemid – Nõuded.
- 2005. aastal lisati ISO/IEC 17799 standard 27. standardite seeriasse ja sai uus number- ISO/IEC 27002:2005.
- 25. septembril 2013 jõustus uuendatud standard ISO/IEC 27001:2013 „Infoturbe haldussüsteemid. Nõuded". Praegu toimub organisatsioonide sertifitseerimine standardi selle versiooni järgi.
Standardi struktuur
Selle standardi üks eeliseid on selle struktuuri sarnasus standardiga ISO 9001, kuna see sisaldab identseid alajaotiste pealkirju, identset teksti, üldtingimused ja põhimääratlused. See asjaolu võimaldab säästa aega ja raha, kuna osa dokumentatsioonist on juba ISO 9001 sertifitseerimise käigus välja töötatud.
Kui me räägime standardi ülesehitusest, siis see on sertifitseerimiseks kohustuslike ISMS-i nõuete loetelu, mis koosneb järgmistest osadest:
| Peamised sektsioonid | Lisa A |
|---|---|
| 0. Sissejuhatus | A.5 Infoturbe põhimõtted |
| 1. Kohaldamisala | A.6 Infoturbe organisatsioon |
| 2. Normatiivviited | A.7 Ohutus inimressursse(personal) |
| 3. Mõisted ja määratlused | A.8 Varahaldus |
| 4. Organisatsiooniline kontekst | A.9 Juurdepääsu kontroll |
| 5. Juhtimine | A.10 Krüptograafia |
| 6. Planeerimine | A.11 Füüsiline ja keskkonnakaitse |
| 7. Toetus | A.12 Toimingute turvalisus |
| 8. Toimingud (Operation) | A.13 Sideturve |
| 9. Tulemuslikkuse hindamine (Measurement). | A.14 Omandamine, arendus ja hooldus infosüsteemid |
| 10. Täiustamine (täiustamine) | A.15 Suhted tarnijatega |
| A.16 Juhtumijuhtimine | |
| A.17 Talitluspidevus | |
| A.18 Õigusaktide järgimine |
“Lisa A” nõuded on kohustuslikud, kuid standard lubab välistada valdkonnad, mida ettevõttes rakendada ei saa.
Standardi rakendamisel ettevõttes edasiseks sertifitseerimiseks tasub meeles pidada, et erandid jaotistes 4–10 kehtestatud nõuetest ei ole lubatud.
Alustame jaotisest 4 – Organisatsiooni kontekst
Organisatsiooni kontekst
Selles jaotises nõuab standard organisatsioonilt välise ja sisemised probleemid mis on selle eesmärkide seisukohast olulised ja mõjutavad selle ISMSi võimet saavutada kavandatud tulemusi. See peaks võtma arvesse õiguslikke ja regulatiivseid nõudeid ning lepingulisi kohustusi seoses teabeturbega. Samuti peab organisatsioon määratlema ja dokumenteerima ISMS-i piirid ja kohaldatavuse, et kehtestada selle ulatus.
Juhtimine
Tippjuhtkond peaks näitama juhirolli ja pühendumust infoturbe juhtimissüsteemile, näiteks tagades, et infoturbe poliitika ja infoturbe eesmärgid on paika pandud ja kooskõlas organisatsiooni strateegiaga. Samuti peab tippjuhtkond tagama, et kõik ISMS-i jaoks vajalikud ressursid oleksid tagatud. Teisisõnu peaks töötajatele olema selge, et juhtkond on infoturbe küsimustega seotud.
Infoturbepoliitika tuleb dokumenteerida ja töötajatele teatavaks teha. See dokument on sarnane ISO 9001 kvaliteedipoliitikaga. Samuti peab see olema kooskõlas organisatsiooni eesmärgiga ja sisaldama teabeturbe eesmärke. On hea, kui need on tõelised eesmärgid, näiteks teabe konfidentsiaalsuse ja terviklikkuse säilitamine.
Juhtkonnalt oodatakse ka infoturbega seotud funktsioonide ja kohustuste jaotamist töötajate vahel.
Planeerimine
Selles osas jõuame juhtimisprintsiibi PDCA (Plan - Do - Check - Act) esimese etapini - planeeri, tee, kontrolli, tegutse.
Infoturbe juhtimissüsteemi kavandamisel peaks organisatsioon arvestama punktis 4 nimetatud küsimustega ning välja selgitama riskid ja võimalikud võimalused, millega on vaja arvestada, et ISMS suudaks saavutada oma kavandatud tulemusi, vältida soovimatuid mõjusid ning saavutada pidevat paranemist.
Infoturbeeesmärkide saavutamise kavandamisel peab organisatsioon kindlaks määrama:
- mida tehakse;
- milliseid ressursse on vaja;
- kes vastutab;
- millal eesmärgid saavutatakse;
- kuidas tulemusi hinnatakse.
Lisaks peab organisatsioon säilitama infoturbe eesmärgid dokumenteeritud teabena.
Turvalisus
Organisatsioon peab tuvastama ja tagama ISMS-i arendamiseks, juurutamiseks, hooldamiseks ja pidevaks täiustamiseks vajalikud ressursid, mis hõlmavad nii personali kui ka dokumentatsiooni. Personali osas oodatakse organisatsioonilt infoturbe valdkonna kvalifitseeritud ja kompetentsete töötajate valikut. Töötajate kvalifikatsiooni peavad kinnitama tunnistused, diplomid jms. Võimalik on lepinguga kaasata kolmandate isikute spetsialiste või koolitada oma töötajaid. Mis puutub dokumentatsiooni, siis see peaks sisaldama:
- standardis nõutud dokumenteeritud teave;
- dokumenteeritud teave, mille organisatsioon peab vajalikuks infoturbe juhtimissüsteemi tõhususe tagamiseks.
ISMS-i ja standardiga nõutud dokumenteeritud teavet tuleb kontrollida tagamaks, et see:
- juurdepääsetav ja sobiv kasutamiseks seal ja siis, kui seda vajatakse, ning
- on piisavalt kaitstud (näiteks konfidentsiaalsuse kaotuse, väärkasutuse või terviklikkuse kaotuse eest).
Operatsioon
Selles jaotises käsitletakse PDCA juhtimispõhimõtte teist etappi – organisatsiooni vajadust juhtida protsesse, et tagada vastavus ja viia läbi Planeerimise osas määratletud toimingud. Samuti on selles kirjas, et organisatsioon peaks läbi viima infoturbe riskianalüüse kavandatud ajavahemike järel või siis, kui kavandatakse või tehakse olulisi muudatusi. Organisatsioon säilitab infoturbe riskide hindamise tulemused dokumenteeritud teabena.
Tulemuslikkuse hindamine
Kolmas etapp on kontrollimine. Organisatsioon hindab ISMSi toimimist ja tõhusust. Näiteks peaks see teabe saamiseks läbi viima siseauditi
- Kas infoturbe haldussüsteem vastab nõuetele?
- organisatsiooni enda nõuded oma infoturbe juhtimissüsteemile;
- standardi nõuetele;
- et infoturbe juhtimissüsteem oleks tõhusalt rakendatud ja toimiks.
Loomulikult tuleks auditite maht ja ajastus ette planeerida. Kõik tulemused tuleb dokumenteerida ja säilitada.
Parandamine
Selle jaotise põhiolemus on mittevastavuse tuvastamise korral tegutsemisviisi kindlaksmääramine. Organisatsioonil on vaja lahknevus, tagajärjed parandada ja olukorra analüüs läbi viia, et seda edaspidi ei juhtuks. Kõik mittevastavused ja parandusmeetmed tuleb dokumenteerida.
Sellega on standardi põhiosad lõpetatud. Lisas A on toodud täpsemad nõuded, millele organisatsioon peab vastama. Näiteks juurdepääsu kontrollimise, kasutamise osas mobiilseadmed ja andmekandjad.
ISO 27001 rakendamise ja sertifitseerimise eelised
- organisatsiooni staatuse ja sellest tulenevalt partnerite usalduse suurendamine;
- organisatsiooni toimimise stabiilsuse suurendamine;
- infoturbeohtude vastase kaitse taseme tõstmine;
- huvitatud isikute teabe vajaliku konfidentsiaalsuse taseme tagamine;
- organisatsiooni osaluse laiendamine suurtes lepingutes.
Majanduslikud eelised on järgmised:
- sertifitseerimisasutuse sõltumatu kinnitus selle kohta, et organisatsioonil on kõrge infoturbe tase, mida kontrollivad pädevad töötajad;
- kehtivate seaduste ja määruste täitmise tõend (vastavus kohustuslike nõuete süsteemile);
- teatud kõrgetasemeliste juhtimissüsteemide demonstreerimine, et tagada organisatsiooni klientide ja partnerite nõuetekohane teenindustase;
- Juhtimissüsteemide regulaarsete auditite, tulemuslikkuse hindamiste ja pidevate parenduste läbiviimise demonstreerimine.
Sertifitseerimine
Organisatsiooni võivad selle standardi järgi sertifitseerida akrediteeritud asutused. Sertifitseerimisprotsess koosneb kolmest etapist:
- 1. etapp - ISMS-i võtmedokumentide kontrollimine standardi nõuetele vastavuse osas audiitori poolt - saab läbi viia nii organisatsiooni territooriumil kui ka nende dokumentide edastamisega välisaudiitorile;
- 2. etapp - detailne audit, sealhulgas rakendatud meetmete testimine ja nende tõhususe hindamine. Sisaldab standardis nõutud dokumentide täielikku uurimist;
- 3. etapp – järelevalveauditi läbiviimine, et kinnitada, et sertifitseeritud organisatsioon vastab esitatud nõuetele. Teostatakse perioodiliselt.
Alumine rida
Nagu näete, võimaldab selle standardi kasutamine ettevõttes kvalitatiivselt tõsta infoturbe taset, mis on tänapäevases reaalsuses palju väärt. Standard sisaldab palju nõudeid, kuid kõige olulisem nõue on teha seda, mis on kirjas! Ilma standardi nõudeid reaalselt rakendamata muutub see tühjaks paberitükiks.
Kehtiv Juhtkiri alates 27.12.2006
| Dokumendi nimi | "INFOTEHNOLOOGIA. MEETODID JA TURVEVAHENDID. TEABETURVUSE HALDUSSÜSTEEMID. NÕUDED. GOST R ISO/IEC 27001-2006" (kinnitatud Rostekhregulirovaniya 27. detsembri 2006. aasta korraldusega N) 37 |
| Dokumendi tüüp | järjekord, standard, gost, iso |
| Vastuvõttev volitus | Rostekhregulirovanie |
| Dokumendi number | ISO/IEC 27001-2006 |
| Vastuvõtmise kuupäev | 01.01.1970 |
| Läbivaatamise kuupäev | 27.12.2006 |
| Justiitsministeeriumis registreerimise kuupäev | 01.01.1970 |
| Olek | kehtiv |
| Väljaanne |
|
| Navigaator | Märkmed |
"INFOTEHNOLOOGIA. MEETODID JA TURVEVAHENDID. TEABETURVUSE HALDUSSÜSTEEMID. NÕUDED. GOST R ISO/IEC 27001-2006" (kinnitatud Rostekhregulirovaniya 27. detsembri 2006. aasta korraldusega N) 37
8. Infoturbe juhtimissüsteemi täiustamine
8.1. Pidev täiustamine
Organisatsioon parandab pidevalt ISMS-i efektiivsust IS-i poliitika, IS-i eesmärkide, audititulemuste kasutamise, kontrollitavate sündmuste ülevaatamise, korrigeerivate ja ennetavate tegevuste ning juhtkonnapoolse ISMS-i ülevaatuse tulemuste kasutamise kaudu (vt punkt 7).
8.2. Parandusmeetmed
Organisatsioon peab rakendama meetmeid ISMS nõuete mittetäitmise põhjuste kõrvaldamiseks, et vältida nende kordumist. Dokumenteeritud parandusmeetmete menetlus kehtestab nõuded:
a) mittevastavuste tuvastamine;
b) mittevastavuste põhjuste väljaselgitamine;
C) mittevastavuste kordumise vältimiseks tegutsemise vajaduse hindamine;
d) vajalike parandusmeetmete kindlakstegemine ja rakendamine;
e) võetud meetmete tulemuste üle arvestuse pidamine (vt 4.3.3);
f) võetud parandusmeetmete läbivaatamine.
8.3. Ennetavad tegevused
Organisatsioon määrab kindlaks meetmed, mis on vajalikud võimalike ISMS-i nõuetele mittevastavuste põhjuste kõrvaldamiseks, et vältida nende kordumist. Ennetavad meetmed peavad olema kooskõlas võimalike probleemide tagajärgedega. Ennetusmeetmete võtmise dokumenteeritud kord peaks kehtestama nõuded:
a) võimalike mittevastavuste ja nende põhjuste tuvastamine;
b) mittevastavuste vältimiseks võetavate meetmete vajaduse hindamine;
c) vajalike ennetusmeetmete kindlaksmääramine ja rakendamine;
d) võetud meetmete tulemuste registreerimine (vt 4.3.3);
e) võetud meetmete tulemuste analüüs.
Organisatsioon määrab kindlaks muudatused riskianalüüsides ja kehtestab nõuded ennetustegevusele, tegeledes sellega erilist tähelepanu oluliselt muutunud kvantitatiivsetele riskinäitajatele.
Ennetusmeetmete rakendamise prioriteedid tuleks kindlaks määrata riskianalüüsi tulemuste põhjal.
MÄRKUS. Tavaliselt on mittevastavuste ärahoidmiseks võetavate meetmete maksumus säästlikum kui parandusmeetmete võtmine.
Informatsioon on üks olulisemaid äriressursse, mis annab organisatsioonile lisaväärtust ja mille tulemusena on vaja seda kaitsta. Infoturbe nõrkused võivad kaasa tuua rahalisi kaotusi ja kahjustada äritegevust. Seetõttu on meie ajal infoturbe juhtimissüsteemi arendamise ja organisatsioonis juurutamise küsimus kontseptuaalne.
ISO 27001 määratleb infoturbe järgmiselt: „teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse säilitamine; Lisaks võidakse lisada muid omadusi, nagu autentsus, mittesalgamine ja usaldusväärsus.
Konfidentsiaalsus – teabele juurdepääsu tagamine ainult neile, kellel on vastavad volitused (volitatud kasutajad);
Terviklikkus – teabe täpsuse ja täielikkuse tagamine, samuti selle töötlemise meetodid;
Kättesaadavus – teabele juurdepääsu tagamine volitatud kasutajatele vajadusel (nõudmisel).
Annab sertifitseerimiseks vajaliku infoturbe haldussüsteemi nõuete loetelu ning standard :2005 toimib juurutusjuhendina, mida saab kasutada organisatsiooni poolt infoturberiskide vähendamiseks valitud juhtelementide kavandamisel.
ISO 27001 määratleb protsessid, mis võimaldavad ettevõttel luua, rakendada, üle vaadata, jälgida ja hooldada tõhusat infoturbe juhtimissüsteemi; kehtestab nõuded dokumenteeritud infoturbe juhtimissüsteemi arendamiseks, juurutamiseks, toimimiseks, jälgimiseks, analüüsiks, toetamiseks ja täiustamiseks organisatsiooni olemasolevate äririskide kontekstis.
Riis. ISMS haldussüsteem
- ISO 27001 standardil põhinev infoturbe juhtimissüsteem võimaldab:
- Muutke enamik teabevarasid ettevõtte juhtkonnale arusaadavamaks
- Tehke kindlaks peamised turbeohud olemasolevatele äriprotsessidele
- Arvutage riske ja tehke otsuseid lähtuvalt ettevõtte ärieesmärkidest
- Tagada tõhus süsteemihaldus kriitilistes olukordades
- Viia läbi turvapoliitika elluviimise protsess (leida ja parandada infoturbesüsteemi nõrkused)
- Määratlege selgelt isiklik vastutus
- Saavutada turvasüsteemide tugikulude vähendamine ja optimeerimine
- Hõlbustada turbe alamsüsteemi integreerimist äriprotsessidesse ja integreerimist standardiga ISO 9001:2000
- Näidake klientidele, partneritele ja ettevõtete omanikele oma pühendumust infoturbele
- Koguda rahvusvahelist tunnustust ja kasvatada ettevõtte autoriteeti nii siseturul kui ka välisturgudel
- Rõhutage standardi järgimise kaudu äritegevuse läbipaistvust ja puhtust seaduse ees
Koos juhtnupud arvutite ja arvutivõrgud, standard maksab suurt tähelepanu ohutuspoliitika väljatöötamise küsimused, töö personaliga (värbamine, väljaõpe, vallandamine), tootmisprotsessi järjepidevuse tagamine, seadusest tulenevad nõuded.
Selle standardi nõuded on üldise iseloomuga ja neid saavad kasutada paljud organisatsioonid - väikesed, keskmised ja suured - turu kaubandus- ja tööstussektorid: finants- ja kindlustus, telekommunikatsiooni, kommunaalteenuste jne valdkonnas. jaekaubandus ja tootmine, erinevad teenindustööstused, transport, valitsusasutused ja paljud teised.
ISO 27001 standard on ühtlustatud kvaliteedijuhtimissüsteemi standarditega ISO 9001:2000 ja ISO 14001:2004 ning lähtub nende põhiprintsiipidest. Pealegi on ISO 9001 standardi kohustuslikud protseduurid nõutud ka ISO 27001 standardiga. ISO 27001 nõuete dokumentatsiooni struktuur on sarnane ISO 9001 nõuetega. Enamik ISO 27001 nõutav dokumentatsioon võib olla juba ISO 9001 raames välja töötatud ja kasutatud. Seega, kui organisatsioonil on juba olemas näiteks ISO 9001 või ISO 14001 kohane juhtimissüsteem), siis on eelistatav tagada et olemasolevate süsteemide raames oleks täidetud ISO 27001 nõue, mis tähendab ettevõtte sisekulude ning juurutamis- ja sertifitseerimistööde kulude olulist vähenemist.
ISO 27001:2005 standard annab infoturbe juhtimissüsteemi ametliku sertifikaadi.
Standardile vastavuse sertifikaat võimaldab teil selgelt näidata äripartnerid, investoritele ja klientidele, et ettevõte on seadnud infoturbe kõrgele tasemele ja loonud tõhusa infoturbe juhtimise.
Infoturbe juhtimissüsteemi arendamise ja juurutamise etapid
Infoturbe haldussüsteemi väljatöötamisel võib eristada järgmisi põhietappe:
- Varade laoseisu.
- Varade liigitamine.
- Infosüsteemi turvalisuse hindamine.
- Inforiskide hindamine.
- Teaberiskide käsitlemine (sh väärtuslike varade kaitsmise konkreetsete meetmete kindlaksmääramine).
- Valitud riskiravi meetmete rakendamine.
- Valitud meetmete rakendamise ja tulemuslikkuse jälgimine.
- Ettevõtte juhtimise roll infoturbe juhtimissüsteemis
Infoturbe juhtimissüsteemi tõhusa toimimise üheks peamiseks tingimuseks on ettevõtte juhtkonna kaasamine infoturbe juhtimise protsessi. Kõik töötajad peavad mõistma, et esiteks on kõik infoturbe tegevused juhtkonna algatatud ja täitmiseks kohustuslikud, teiseks kontrollib ettevõtte juhtkond isiklikult infoturbe juhtimissüsteemi toimimist, kolmandaks järgib juhtkond ise info tagamisel samu reegleid. turvalisus, nagu ka kõik ettevõtte töötajad.
Ettevõtte varade inventuur
Kõigepealt tuleb välja selgitada, mis on ettevõtte väärtuslik vara infoturbe seisukohalt. ISO 17799 standardis, mis kirjeldab üksikasjalikult infoturbe juhtimissüsteemi protseduure, eristatakse järgmist tüüpi varasid:
- inforessursid (andmebaasid ja failid, lepingud ja kokkulepped, süsteemi dokumentatsioon, uurimisinfo, dokumentatsioon, koolitusmaterjalid jne);
- tarkvara;
- materiaalne põhivara (arvutiseadmed, telekommunikatsioon jne);
- teenused (telekommunikatsiooniteenused, elu toetavad süsteemid jne);
- ettevõtte töötajad, nende kvalifikatsioon ja kogemused;
- immateriaalsed ressursid (ettevõtte maine ja kuvand).
Inventuur seisneb ettevõtte väärtuslike varade nimekirja koostamises.
Varade kriitilisust hinnatakse kolme parameetri alusel: konfidentsiaalsus, terviklikkus ja kättesaadavus. Need. hinnata tuleks kahju, mida ettevõte kannab, kui vara konfidentsiaalsus, terviklikkus või kättesaadavus satub ohtu.
Varade kriitilisust saab hinnata rahaühikutes ja tasemetes.
Iga kindlaksmääratud vara kriitilisuse hindamise põhimõtted:
- infovara (või teabe liike) hinnatakse nende avalikustamisest ettevõttele tekitatud kahju seisukohalt;
- tarkvara, füüsilisi ressursse ja teenuseid hinnatakse nende kättesaadavuse või toimivuse alusel.
- Ettevõtte töötajaid hinnatakse konfidentsiaalsuse ja aususe seisukohalt, võttes arvesse nende juurdepääsu inforessurssidele lugemis- ja muutmisõigusega.
- Ettevõtte mainet hinnatakse seoses inforessurssidega.
Inforiski hindamine
Inforiskide hindamine seisneb riskide arvutamises, mille läbiviimisel võetakse arvesse teavet varade kriitilisuse kohta, samuti haavatavuste esinemise tõenäosust.
Riskid aktsepteeritakse, kui riskide taset peetakse vastuvõetavaks. Need. Ettevõte ei pea nende riskidega seoses meetmete võtmist soovitavaks ja on valmis kahju kandma.
Riski vältimine on riskiallika täielik kõrvaldamine.
Riski ülekandmine on riski eest vastutuse üleandmine kolmandatele isikutele (näiteks seadme tarnijale või kindlustusseltsile) ilma riski allikat kõrvaldamata.
Riski vähendamine on kahju tekkimise tõenäosuse vähendamise meetmete valik ja rakendamine.
Riskijuhtimise protsess nõuab esmalt kindlaks, millised riskid nõuavad edasist töötlemist ja milliseid saab aktsepteerida.
Riskide hindamise ja ravi tulemuste põhjal töötatakse välja kohaldatavuse määrus . Sertifikaadi läbimiseks on vajalik selle dokumendi olemasolu.
ISO 27001 standardi lisas A on loetletud kõik ohutusnõuded, mida ettevõte peab täitma. Seetõttu on kohaldatavusavaldus lõplik otsus ettevõtte inforiskide vähendamise kohta.
Dokumenteeritud protseduuridStandard nõuab, et kõik riskide maandamise meetmed tuleb dokumenteerida. Need. Sest tõhus juhtimine Infoturve eeldab protseduuride olemasolu, mida toetavad teatud dokumendid (juhised, eeskirjad, määrused) ja mis viiakse läbi teatud inimesed. Ja iga protseduur peab kajastuma vastavas dokumendis. Dokumenteeritud protseduurid on infoturbe juhtimissüsteemi kohustuslik element. Seetõttu on juhtimissüsteemi raames vaja välja töötada alus reguleerivad dokumendid, mis kirjeldab kõiki infoturbe valdkonna protseduure.
Peamised infoturbe haldamise dokumendid on
- Infoturbe halduspoliitika
- Infoturbe poliitika.
- Meetodid ja juhised,
- Infoturbe tagamise ja selle haldamise kord.
- Füüsilise turvalisuse eeskirjad.
Ettevõtte töötajate koolitamine
Töötajate koolitust saab läbi viia täiskoormusega ja korrespondentkursuste vormis koos järgneva testimisega, on soovitatav korraldada töötajate koolitus süsteemi abil kaugõpe, mille raames saab esitada erinevaid kursusi (nii kasutajatele kui spetsialistidele), mängupõhiseid õppemeetodeid ja testimist.
Peamine raskus võib seisneda infoturbe haldussüsteemi protseduuride tõhususe kontrollimises. Need. Iga protseduuri jaoks on vaja välja töötada kriteeriumid, mille alusel selle tõhusust kontrollitakse, ning lisaks tuleb sellised kriteeriumid välja töötada kogu juhtimissüsteemi kui terviku jaoks.
Infoturbe juhtimissüsteemi efektiivsuse hindamise kriteeriumiteks võivad olla näiteks muutused infoturbeintsidentide arvus, kasutajate kvalifikatsioon infoturbe valdkonnas jne.
Infoturbe juhtimissüsteemi protseduuride rakendamine
Protseduuride läbiviimine seisneb reeglina asjaomaste töötajate teavitamises menetluse läbiviimise reeglitest ja tähtaegadest, protseduuri läbiviimise regulaarsest jälgimisest, samuti selle tulemuslikkuse hindamisest, parandus- ja ennetusmeetmete elluviimisest, st asjaomaste töötajate teavitamises menetluse läbiviimise reeglitest ja tähtaegadest. PDCA mudeli kogu tsükkel iga protseduuri jaoks.
Lisaks:
- alla laadida
- ISO/IEC 27003:2010 –
Aktiivne
PDCA mudeli kasutuselevõtt peegeldab ka Majanduskoostöö ja Arengu Organisatsiooni (OECD) infosüsteemide ja võrkude turvalisust reguleerivates direktiivides kehtestatud põhimõtteid. Käesolev standard annab selge mudeli nende põhimõtete praktiliseks rakendamiseks, mis võimaldab hinnata riske, kujundada ja rakendada infoturbesüsteemi, seda juhtida ja ümber hinnata.
1 Nõue võib olla, et infoturbe rikkumised ei tooks organisatsioonile kaasa olulist rahalist kahju ja/või olulisi häireid selle tegevuses,
MÄRKUS 2 Eeldatav tulemus on see, et organisatsioonil on piisavalt hästi koolitatud töötajad, et viia läbi protseduure võimalike kahjulike tagajärgede minimeerimiseks suurema intsidendi korral, näiteks häkkerite rünnak organisatsiooni veebisaidile, mille kaudu ta tegeleb e-kaubandusega. .
| Tabel 1 | |
See standard on kooskõlas standarditega "Kvaliteedijuhtimissüsteemid. Nõuded" ja "Juhtimissüsteemid" keskkond. Nõuded ja rakendusjuhised", et toetada järjepidevat ja integreeritud juurutamist ja koostoimet teiste sarnaste seotud juhtimisstandarditega. Seega suudab üks hästi läbimõeldud juhtimissüsteem organisatsioonis rahuldada kõigi nende standardite nõuded.
See standard on mõeldud kasutamiseks mis tahes omandivormiga organisatsioonidele (näiteks äri-, valitsus- ja mittetulundusühingud). See standard määrab kindlaks nõuded dokumenteeritud infoturbe juhtimissüsteemi (ISMS) arendamiseks, juurutamiseks, toimimiseks, jälgimiseks, analüüsiks, toeks ja täiustamiseks organisatsiooni üldiste äririskide jaoks. Lisaks kehtestab standard nõuded infoturbe juhtimis- ja kontrollimeetmete rakendamiseks, mida organisatsioonid või nende osakonnad saavad kasutada vastavalt kehtestatud infoturbe (IS) tagamise eesmärkidele ja eesmärkidele.
ISMS-i loomise eesmärk on valida sobivad turvakontrollid, mille eesmärk on kaitsta teabevarasid ja tagada sidusrühmade usaldus.
MÄRKUS Käesolevas standardis kasutatud mõistet "äri" mõistetakse kui laiemas mõttes, tähistab kõiki neid tegevusi, mis on organisatsiooni eksisteerimise eesmärkide aluseks.
Käesoleva standardiga kehtestatud nõuded on mõeldud kehtima kõikidele organisatsioonidele, sõltumata nende tegevuse liigist, suurusest ja ulatusest. Mis tahes punktis nimetatud nõuete välistamine,
Vastavalt standardi GOST R ISO/IEC 27001-2006 nõuetele. "Infotehnoloogia. Turvalisuse tagamise meetodid ja vahendid. Infoturbe haldussüsteemide nõuded", peab organisatsioon rakendama järgmist:
sisaldab mõistet, mis sisaldab infoturbe valdkonna eesmärke, põhisuundi ja tegevuspõhimõtteid;
võtab arvesse ärinõudeid, regulatiivseid nõudeid ja lepingulisi tagatiskohustusi;
on kooskõlas organisatsiooni riskijuhtimise strateegilise sisuga, mille raames ISMSi arendatakse ja hooldatakse;
kehtestab riskide hindamise kriteeriumid;
organisatsiooni juhtkonna poolt heaks kiidetud.
Määratlege organisatsiooni äriomaduste, asukoha, varade ja tehnoloogia põhjal ISMS-i poliitika, mis:
GOST R ISO/IEC 27002
Eesmärk: Tagada, et infoturvet haldaks ja toetaks tippjuhtkond vastavalt ärinõuetele ning asjakohastele seadustele ja määrustele.
Kõrgem juhtkond peab seadma selge poliitikasuuna, mis on kooskõlas ärieesmärkidega ning näitama üles toetust ja pühendumust infoturbele, töötades välja ja säilitades organisatsioonisisese infoturbepoliitika.
Vajadusel peaks olema organisatsiooni sees infoturbe küsimustes kontaktpunkt, kuhu huvitatud töötajad saaksid pöörduda. Selleks et olla kursis valdkonna suundumustega, jälgida standardeid ja hindamismeetodeid ning tagada piisavad kontaktpunktid infoturbeintsidentide käsitlemisel, tuleks luua kontaktid väliste turvaspetsialistide või spetsialistide rühmadega, sealhulgas asjaomaste ametiasutustega. Julgustada tuleks multidistsiplinaarset lähenemist infoturbele.
See peab olema juhtkonna poolt heaks kiidetud, avaldatud ja edastatud kõigile organisatsiooni töötajatele ja asjaomastele kolmandatele osapooltele.
Infoturbepoliitikas tuleks sätestada juhtkonna kohustused ja ühtlasi visandada organisatsiooni lähenemine infoturbe juhtimisele. Poliitikadokument peab sisaldama järgmisi sätteid:
seadusest tulenevate nõuete ja lepinguliste kohustuste täitmine;
turvateadlikkus, haridus- ja koolitusnõuded;
talitluspidevuse juhtimine;
vastutus infoturbepoliitika rikkumiste eest;
töötajate üldiste ja spetsiifiliste kohustuste määratlemine infoturbe juhtimise raames, sh turvaintsidentidest teavitamine;
lingid infoturbepoliitikat täiendavatele dokumentidele, näiteks konkreetsete infosüsteemide täpsemad turvapoliitikad ja protseduurid, samuti turvareeglid, mida kasutajad peavad järgima.
infoturbe, selle üldiste eesmärkide ja ulatuse määratlemine ning turvalisuse kui teabe jagamist võimaldava vahendi olulisuse mainimine;
Juhtkonna kavatsused, mis toetavad äristrateegia ja eesmärkidega kooskõlas olevaid infoturbe eesmärke ja põhimõtteid;
lähenemine kontrollide ja kontrollide kehtestamisele ning nende rakendamise eesmärgid, sealhulgas riskihindamise ja riskijuhtimise raamistik;
Ülevaatlik selgitus organisatsiooni kõige olulisemate turvapoliitikate, põhimõtete, standardite ja vastavusnõuete kohta, näiteks:
See infoturbepoliitika tuleb edastada kasutajatele kogu organisatsioonis asjakohasel, juurdepääsetaval ja arusaadaval viisil.
Infoturbepoliitika võib moodustada osa üldisest poliitikadokumendist. Kui infoturbepoliitikat levitatakse väljaspool organisatsiooni, tuleks võtta kasutusele meetmed tundliku teabe mitteavaldamiseks. Lisainfo võib leida standardist ISO/IEC 13335-1.
GOST R ISO/IEC 27003
Standard "GOST R ISO/IEC 27003 Infotehnoloogia. Turvalisuse tagamise meetodid ja vahendid. Infoturbe haldussüsteemid. Juhised infoturbe juhtimissüsteemi rakendamiseks" soovitab:
Võtke algandmeteks:
ISMSi väljatöötamise organisatsioonilised prioriteedid - üldised eesmärgid ja nõuete loetelu;
ISMS-i rakenduse kirjelduse koostamine antud ettevõttele ja projektiplaani juhtkonnale kinnitamiseks - esialgne kinnitamine ISMS-i projekti juhtkonna poolt;
Kõigi ulatuste ja piiride kombineerimine ulatuse ja piiride saamiseks - ISMS ulatus ja piirid;
ISMS poliitika väljatöötamine ja juhtkonna heakskiidu saamine - ISMS poliitika;
ISMS protsessi infoturbenõuete määramine;
ISMS-i kohaldamisalasse kuuluvate varade identifitseerimine;
Infoturbe hindamise läbiviimine;
Riskianalüüsi tulemused ning eesmärkide ja kontrollide valik;
Infoturbe lõpliku organisatsioonilise struktuuri väljatöötamine;
ISMSi dokumenteerimise raamistiku väljatöötamine;
Juhtkonna ja halduse strateegiline positsioon, mis on seotud infoturbe eesmärkidega ISMS-i kasutamisel, peab olema dokumenteeritud.
Infoturbepoliitika dokumenteerib organisatsiooni strateegilist positsiooni infoturbe osas kogu organisatsiooni ulatuses.
Poliitika on üles ehitatud teabele ja teadmistele. Juhtkonna poolt eelnevate ülevaatuste käigus oluliseks peetud punktid tuleks nähtavaks teha ja poliitikas pöörata erilist tähelepanu organisatsiooni stimuleerimisele ja motivatsioonile. Samuti on oluline märkida, mis juhtub, kui valitud poliitikat ei järgita, ning tuua välja seaduste ja määruste mõju kõnealusele organisatsioonile.
Infoturbepoliitika näiteid võib võtta teatmeteostest, Internetist, huviringkondadest ja tööstusühendustest. Keelt ja juhiseid võib leida aastaaruannetest, muudest poliitikadokumentidest või juhtkonna hallatavatest dokumentidest.
Poliitikadokumentide tegeliku ulatuse osas võib see olla erinevad tõlgendused ja nõuded. See dokumentatsioon peab olema piisavalt kokku võetud tagamaks, et organisatsiooni töötajad mõistavad poliitika tähendust. Lisaks peab see piisavalt selgelt näitama, millised eesmärgid tuleb saavutada, et kehtestada organisatsioonile reeglid ja eesmärgid.
Infoturbepoliitika ulatus ja struktuur peaksid toetama dokumente, mida kasutatakse infoturbe juhtimissüsteemi juurutamise protsessi järgmises etapis.
Suurte keeruka struktuuriga organisatsioonide jaoks (näiteks paljude erinevate tegevusvaldkondadega) võib osutuda vajalikuks luua üldine poliitika ja palju muud poliitikat. madal tase, kohandatud konkreetsetele tegevusvaldkondadele.
Operatiivjuht peaks kavandatud poliitikat (koos versiooninumbri ja kuupäevaga) ristkontrollima ja organisatsioonis kehtestama. Pärast juhtimisrühmas või sarnases organis asumist kinnitab operatiivjuht teabeturbepoliitika. Seejärel edastatakse see kõigile organisatsioonis osalejatele sobival viisil, et see oleks lugejatele kättesaadav ja arusaadav.
Väljund on dokument, mis kirjeldab ja dokumenteerib juhtkonna poolt kinnitatud ISMS-i poliitikat. See dokument tuleb projekti järgmises etapis uuesti kinnitada, kuna see sõltub riskianalüüsi tulemustest.
GOST R ISO/IEC 27003-2012. Lisa D: Poliitikaraamistik
See lisa annab täiendavaid juhiseid poliitika kujundamise, sealhulgas infoturbepoliitika kohta.
poliitika- Need on üldised kavatsused ja suunad, mida juhtkond on ametlikult väljendanud. Poliitika sisu reguleerib poliitika sisuga seotud tegevusi ja otsuseid. Organisatsioonil võib olla mitu poliitikat, üks iga organisatsiooni jaoks olulise tegevusvaldkonna jaoks. Mõned poliitikad on üksteisest sõltumatud, teised aga on hierarhilises suhtes. Turvavaldkonnas on poliitikad tavaliselt korraldatud hierarhiliselt. Tavaliselt on organisatsiooni turvapoliitika tipptase. Seda toetavad spetsiifilisemad poliitikad, sealhulgas infoturbepoliitika ja infoturbe haldussüsteemi poliitika. Infoturbepoliitikat saab omakorda toetada üksikasjalikumate poliitikatega konkreetsed esemed seotud infoturbe aspektidega. Paljusid neist poliitikatest on kirjeldatud ISO/IEC 27002 standardis, näiteks toetavad infoturbepoliitikat juurdepääsukontrolli, selge töölaua ja selge ekraani poliitika, võrguteenuste kasutamise ja krüptograafiliste juhtelementidega seotud eeskirjad. Mõnel juhul on võimalik lubada täiendavaid poliitikatasemeid.
ISO/I EU 27001 nõuab organisatsioonidelt ISMSi poliitikat ja infoturbepoliitikat. See aga ei tähenda mingit konkreetset seost nende poliitikate vahel. Neid poliitikaid võib välja töötada võrdsete poliitikatena: ISMS-i poliitika võib olla allutatud infoturbepoliitikale või vastupidi, infoturbe poliitika võib olla allutatud ISMS-i poliitikale.
organisatsiooni eesmärgid ja eesmärgid;
nende eesmärkide saavutamiseks kohandatud strateegiad;
organisatsiooni poolt vastu võetud struktuur ja protsessid;
poliitika teemaga seotud eesmärgid ja eesmärgid;
seotud kõrgema taseme poliitikate nõuded.
Poliitikatel võib olla järgmine struktuur:
Eeskirjade kokkuvõte – üldine kirjeldusühest või kahest lausest.
Sissejuhatus – poliitika teema lühiselgitus.
Ulatus – kirjeldab organisatsiooni osi või tegevusi, mida poliitika mõjutab. Vajaduse korral loetletakse jaotises Reguleerimisala muud eeskirjad, mida see poliitika toetab.
Eesmärgid – poliitika eesmärgi kirjeldus.
Põhimõtted on reeglite kirjeldused, mis puudutavad tegevusi ja otsuseid eesmärkide saavutamiseks. Mõnel juhul võib olla kasulik kindlaks teha võtmeprotsessid seotud poliitika teemaga ja seejärel protsesside läbiviimise reeglitega.
Vastutusvaldkonnad – kes vastutab tegevuste eest poliitika nõuete täitmiseks. Mõnel juhul võib see klausel kirjeldada nii organisatsioonilist korraldust kui ka konkreetsete rollidega isikute kohustusi.
Võtmetulemused on tulemuste kirjeldus, mille ettevõte saavutab eesmärkide saavutamisel.
Seotud poliitikad – eesmärkide saavutamise seisukohast oluliste muude poliitikate kirjeldus, pakkudes tavaliselt täiendavaid üksikasju üksikute teemade kohta.
Infoturbepoliitika näide
Järgnevalt on toodud näide infoturbepoliitikast, mis näitab selle struktuuri ja näidissisu.
Infoturbepoliitika (näide)
Poliitika kokkuvõte
Teavet tuleb alati kaitsta, olenemata selle vormist ja levitamise, edastamise ja säilitamise viisist.
Sissejuhatus
Teave võib esineda mitmel erineval kujul. Seda saab printida või paberile kirjutada, hoiustada elektrooniline vorm, edastatakse posti või elektrooniliste seadmete kaudu, näidatakse filmil või edastatakse suuliselt.
Infoturve on teabe kaitsmine erinevate ohtude eest, mis on loodud äriprotsesside järjepidevuse tagamiseks, äririski minimeerimiseks ja investeeringutasuvuse maksimeerimiseks ning ärivõimaluste tagamiseks.
Ulatus
See poliitika tugevdab organisatsiooni üldist turvapoliitikat.
See poliitika kehtib kõigile organisatsiooni töötajatele.
Infoturbe eesmärgid
Strateegiliste ja operatiivsete infoturberiskide mõistmine ja käsitlemine nii, et need oleksid organisatsioonile vastuvõetavad.
Kliendiinfo, tootearenduste ja turundusplaanide konfidentsiaalsuse kaitsmine.
Raamatupidamismaterjalide terviklikkuse säilitamine.
Veenduge, et jagatud veebiteenused ja sisevõrgud vastaksid asjakohastele juurdepääsetavuse standarditele.
Infoturbe põhimõtted
Organisatsioon soodustab riskide võtmist ja ületab riske, mida konservatiivselt juhitud organisatsioonid ei suuda ületada, mõistes, jälgides ja vajadusel teabe riske käsitledes. Üksikasjalik kirjeldus riskide hindamiseks ja käsitlemiseks kasutatavad lähenemisviisid leiate ISMSi poliitikast.