Журнал

 
TRN.com.ua – тренинги в Украине

TÜV NORD - Мы делаем мир безопаснее.

ISO/IEC 27001 PDF Печать E-mail

СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ по требованиям международного стандарта ISO/IEC 27001:2005

Информационная безопасность тесно связана с работой бизнеса, его конкурентоспособностью, успешностью имиджа предприятия и, в конечном итоге, доходами компании. Лучшей мировой практикой в области управления информационной безопасностью признан стандарт ISO/IEC 27001:2005.
Безопасность - не только и не столько техническая проблема.
Безопасность, прежде всего, проблема менеджмента.

Выгоды внедрения системы менеджмента информационной безопасности по требованиям стандарта ISO/IEC 27001:2005


Система управления информационной безопасностью на основе стандарта ISO 27001 позволит:
Сделать большинство информационных активов наиболее понятными для менеджмента компании
Выявлять основные угрозы безопасности для существующих бизнес-процессов
Рассчитывать риски и принимать решения на основе бизнес-целей компании
Обеспечить эффективное управление системой в критичных ситуациях
Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
Четко определить личную ответственность
Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000
Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту

О стандарте ISO 27001

Международный стандарт ISO/IEC 27001:2005 "Системы менеджмента информационной безопасности. Требования" Устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.
Основа стандарта ИСО 27001 - система управление рисками, связанными с информацией.
Система управления рисками позволяет получать ответы на следующие вопросы:
- На каком направлении информационной безопасности требуется сосредоточить внимание?
- Сколько времени и средств можно потратить на данное техническое решение для защиты информации?
Менеджмент рисков происходит по классической схеме: поиск, классификация, ранжирование, оценка, план по снижению рисков, принятие остаточных рисков и регулярный пересмотр рисков.

Положения стандарта:

Данный Стандарт определяет информационную безопасность как: "сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность".
Основной задачей информационной безопасности является защита информационных ресурсов компании от внутренних и внешних умышленных и неумышленных угроз (подделка, вандализм, кража, пожар, системный сбой и др.).
Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба.
Стандарт определяет следующие аспекты информационной безопасности:
- Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);
- Целостность - обеспечение точности и полноты информации, а также методов ее обработки;
- Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Структура стандарта
Общие положения:
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Система информационной безопасности
5. Обязательства руководства
6. Внутренние аудиты системы менеджмента
7. Анализ системы менеджмента информационной безопасности руководством
8. Совершенствование системы менеджмента информационной безопасности

Приложение А (Обязательное). Цели и меры (средства) контроля:
ПОЛИТИКА В ОБЛАСТИ БЕЗОПАСНОСТИ
Цель: обеспечить четкое управление и поддержку политики в области информационной безопасности со стороны руководства предприятия.
ОРГАНИЗАЦИЯ СИСТЕМЫ БЕЗОПАСНОСТИ
Цель: создать организационную структуру, которая будет внедрять и обеспечивать работоспособность системы информационной безопасности в организации.
КЛАССИФИКАЦИЯ АКТИВОВ И УПРАВЛЕНИЕ
Цель: поддерживать адекватную информационную безопасность организации путем возложения персональной ответственности, а также классификации информационных активов по необходимости и приоритету защиты.
БЕЗОПАСНОСТЬ И ПЕРСОНАЛ
Цель: уменьшить риск человеческих ошибок, хищений и неправильного использования оборудования, в том числе путем эффективного обучения и внедрения механизма отслеживания инцидентов.
ФИЗИЧЕСКАЯ И ВНЕШНЯЯ БЕЗОПАСНОСТЬ
Цель: предотвратить несанкционированный доступ, повреждение и нарушение работы информационной системы организации.
МЕНЕДЖМЕНТ КОМПЬЮТЕРОВ И СЕТЕЙ
Цель: обеспечить безопасное функционирование компьютеров и сетей.
УПРАВЛЕНИЕ ДОСТУПОМ К СИСТЕМЕ
Цель: управлять доступом к деловой информации, предотвращать несанкционированный доступ и обнаруживать несанкционированную деятельность.
ПРИОБРЕТЕНИЕ, РАЗРАБОТКА И ОБСЛУЖИВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Цель: обеспечить выполнение требований безопасности при создании или развитии информационной системы организации, поддерживать безопасность приложений и данных.
МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Цель: обеспечить то, что инциденты информационной безопасности и недостатки, связанные с информационными системами, сообщаются способом, позволяющим своевременно предпринять корректирующие действия.
ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ БИЗНЕСА
Цель: подготовить план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации.
СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ
Цель: обеспечить выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.

Из вышеизложенного видно, что наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.