Действующий
Принятие модели PDCA также отражает принципы, установленные в Директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей . Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.
1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности,
2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.
Таблица 1 | |
Настоящий стандарт согласован со стандартами "Системы менеджмента качества. Требования" и "Системы управления окружающей средой. Требования и руководство по применению" в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.
Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).
Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Примечание - Термин "бизнес", в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации.
Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в ,
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
"Система менеджмента информационной безопасности"
менеджмент международный стандарт
В ведение
Система менеджмента информационной безопасности -- это совокупность процессов, которые работают в компании для обеспеченияконфиденциальности,целостностиидоступностиинформационных активов. В первой части реферата рассматривается процесс внедрения системы менеджмента в организацию, а также приведены основные аспекты выгоды от реализации системы менеджмента информационной безопасности.
Рис.1. Цикл управления
Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование (Рис.1). Этот стандарт будет рассмотрен подробнее во второй части.
С истема менеджмента информационной безопасности
Системой менеджмента информационной безопасности (СМИБ) называют ту часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. Процессы СМИБ созданы в соответствии с требованиям стандарта ISO/IEC 27001:2005, в основе которого лежит цикл
Работа системы основана на подходах современной теории рисков менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.
Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.
Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:
· Управление внутренней организацией информационной безопасности.
· Обеспечение информационной безопасности при взаимодействии с третьими сторонами.
· Управление реестром информационных активов и правила их классификации.
· Управление безопасностью оборудования.
· Обеспечение физической безопасности.
· Обеспечение информационной безопасности персонала.
· Планирование и принятие информационных систем.
· Резервное копирование.
· Обеспечение безопасности сети.
Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность -- это результат устойчивого функционирования процессов, связанных с информационными технологиями.
При построении СМИБ в компаниях специалисты проводят следующие работы:
· организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;
· определяют область деятельности (ОД) СМИБ;
· обследуют организацию в ОД СМИБ:
o в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;
o в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;
o в части ИТ инфраструктуры;
o в части ИБ инфраструктуры.
· разрабатывают и согласовывают аналитический отчет, содержащий перечень основных бизнес-процессов и оценку последствий реализации угроз ИБ в их отношении, перечень процессов менеджмента, ИТ-систем, подсистем информационной безопасности (ПИБ), оценку степени выполнения организацией всех требований ISO 27001 и оценку зрелости процессов организации;
· выбирают исходный и целевой уровень зрелости СМИБ, разрабатывают и утверждают Программу повышения зрелости СМИБ; разрабатывают высокоуровневую документацию в области ИБ:
o Концепцию обеспечения ИБ,
o Политики ИБ и СМИБ;
· выбирают и адаптируют методику оценки рисков, применимую в организации;
· выбирают, поставляют и развертывают ПО, используемое для автоматизации процессов СМИБ, организуют обучение специалистов компании;
· проводят оценку и обработку рисков, в ходе которой для их снижения выбираются меры Приложения «А» стандарта 27001 и формулируются требования к их реализации в организации, предварительно выбирают технические средства обеспечения ИБ;
· разрабатывают эскизные проекты ПИБ, производят оценку стоимости обработки рисков;
· организуют утверждение оценки рисков высшим руководством организации и разрабатывают Положения о применимости; разрабатывают организационные меры обеспечения ИБ;
· разрабатывают и реализуют технические проекты по внедрению технических подсистем информационной безопасности, поддерживающих выполнение выбранных мер, включая поставку оборудования, пуско-наладочные работы, разработку эксплуатационной документации и обучение пользователей;
· предоставляют консультации в ходе эксплуатации построенной СМИБ;
· организуют обучение внутренних аудиторов и проведение внутренних аудитов СМИБ.
Результатом данных работ является функционирующая СМИБ. Выгода от реализации СМИБ в компании достигаются за счет:
· эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;
· предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;
· повышения культуры ИБ в организации;
· повышения зрелости в области управления обеспечением ИБ;
· оптимизации расходования средств на обеспечение ИБ.
ISO/IEC 27001-- международный стандарт по информационной безопасности
Этот стандарт разработан совместно Международной Организацией по Стандартизации (ISO) и Международной электротехнической комиссией (IEC). Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания СМИБ. ISO 27001 устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные ресурсы. В международном стандарте используется понятие «защиты информации» и трактуется как обеспечение конфиденциальности, целостности и доступности информации. Основой стандарта является система управления рисками, связанными с информацией. Этот стандарт также можно использовать для оценки соответствия заинтересованными внутренними и внешними сторонами.
Для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшении системы менеджмента защиты информации (СМЗИ) стандарт принимает процессный подход. Он заключается в применении системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением.
Международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA), который еще называют циклом Шухарта-Деминга. Этот цикл применяется для структуризации всех процессов СМЗИ. На Рисунке 2 показано, как СМЗИ берет в качестве входных данных требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям.
Планирование - это фаза создания СМЗИ, создания перечня активов, оценки рисков и выбора мер.
Рисунок 2. Модель PDCA, примененная к процессам СМЗИ
Осуществление - это этап реализации и внедрения соответствующих мер.
Проверка - фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.
Действие - выполнение превентивных и корректирующих действий.
В ыводы
ISO 27001 описывает общую модель внедрения и функционирования СМИБ, а также действий по мониторингу и улучшению СМИБ. ISO намеревается гармонизировать различные стандарты по системам менеджмента, такие как ISO/IEC 9001:2000, который посвящен менеджменту качества, и ISO/IEC 14001:2004, предназначенный для систем экологического менеджмента. Цель ISO состоит в том, чтобы обеспечить согласованность и интеграцию СМИБ с другими системами менеджмента в компании. Сходство стандартов позволяет использовать схожий инструментарий и функционал для внедрения, управления, пересмотра, проверки и сертификации. Подразумевается, что если компания внедрила другие стандарты менеджмента, она может использовать единую систему аудита и управления, которая применима к менеджменту качества, экологическому менеджменту, менеджменту безопасности и т.д. Внедрив СМИБ, высшее руководство получает средства мониторинга и управления безопасностью, что снижает остаточные бизнес-риски. После внедрения СМИБ, компания может официально обеспечивать безопасность информации и продолжать выполнять требования клиентов, законодательства, регуляторов и акционеров.
Стоит отметить, что в законодательстве РФ существует документ ГОСТ Р ИСО/МЭК 27001-2006, который представляет собой переведенную версию международного стандарта ISO27001.
С писок литературы
1.Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил.
2.Международный стандартISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (дата обращения: 23.05.12)
3.Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27003 - "Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента Информационной Безопасности"(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (дата обращения: 23.05.12)
4.Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. -- 320 с.: ил.
5.Статья свободной энциклопедии»Википедия», «Система менеджмента
информационной безопасности» (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (дата обращения: 23.05.12)
6.Sigurjon Thor Arnasonи Keith D. Willett "How to Achieve 27001 Certification" («Какподготовитьсяксертификациипостандарту ISO 27001»)
Размещено на Allbest.ru
Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.
курсовая работа , добавлен 03.02.2011
Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа , добавлен 03.02.2011
Основные этапы создания системы менеджмента на предприятии пищевой промышленности. HACCP как основа любой системы менеджмента безопасности пищевого продукта. Система менеджмента безопасности пищевых продуктов. Опасные факторы и предупреждающие действия.
реферат , добавлен 14.10.2014
Современные системы менеджмента и их интегрирование. Интегрированные системы менеджмента качества. Характеристика ОАО "275 АРЗ" и его системы менеджмента. Разработка системы управления охраной труда. Методы оценки интегрированной системы безопасности.
дипломная работа , добавлен 31.07.2011
Внедрение системы менеджмента качества. Сертификация систем менеджмента качества (ISO 9000), экологического менеджмента (ISO 14 000), системы управления охраной труда и техникой безопасности организаций (OHSAS 18 001:2007) на примере ОАО "Лента".
реферат , добавлен 06.10.2008
Разработка стандарта организации интегрированной системы менеджмента, устанавливающего единый порядок осуществления процесса управления документацией. Этапы создания системы менеджмента качества ОАО "ЗСМК". Размещение электронных версий документов.
дипломная работа , добавлен 01.06.2014
Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.
курсовая работа , добавлен 30.12.2011
Понятие системы управленческой информации и ее место в общей системе менеджмента. Виды информационных систем и их содержание. Понятие менеджмента как информационной системы. Функции системы управления финансами. Системы совершения сделок и операций.
реферат , добавлен 06.01.2015
Понятия в области охраны здоровья и безопасности труда. Международные стандарты ISO о системах менеджмента качества, системах экологического менеджмента, системах менеджмента профессиональной безопасности и здоровья. Адаптация стандарта OHSAS 18001-2007.
курсовая работа , добавлен 21.12.2014
Характеристика информационного менеджмента; субъектов информационно-правовых отношений; правового режима получения, передачи, хранения и использования информации. Особенности и юридические аспекты информационного обмена и информационной безопасности.
September 12th, 2011
Управление ИБ по Стандарту ISO 27001. Требования по документированию
Счастье есть. Управление информационной безопасностью возможно построить на основе стандарта ISO 27001. О том, как это сделать, рассказывает заместитель руководителя по методологической работе направления "Аудит информационных систем" департамента аудиторских и консультационных услуг финансовым институтам ФБК Михаил Винников:
Сегодня я расскажу о процессе вроде бы не имеющем отношения к ИБ, скорее - к документообороту, но на самом деле - процессе важном, экономящем эксплуатанту кучу времени и нервов - о том, какие требования предъявляются к документированию процессов ИБ, или - как правильно и с минимальными затратами сил описать СМИБ и поддерживать эти описания в актуальном состоянии. Естественно, ориентируясь на ISO 27001.
Уровень информационной безопасности (далее - ИБ), адекватный потребностям организации, требует ясного изложения основных правил, принципов и задач, адекватной реализации их в повторяемые и контролируемые защитные меры, воплощения мер на практике силами сотрудников организации при обеспечении оперативного отражения текущей ситуации для принятия соответствующих управляющих действий.
Наилучший способ реализации этого - облечь идеи, практические мысли и результаты деятельности по обеспечению ИБ в документальную форму, что позволит, во-первых, определить структуру взаимодействия правил и реализующих их практических действий, а во-вторых, довести до каждого работника на соответствующем уровне делового процесса правила и требования по обеспечению ИБ, которыми он должен руководствоваться при выполнении своих должностных обязанностей, а также определить порядок контроля их соблюдения.
Исходя из изложенного выше, получаем новую «ветку» в схеме системы менеджмента ИБ (СМИБ) по Стандарту ИСО 27001 (далее - Стандарт):
«СМИБ» - «разрабатывает» - «требования по документированию».
Коды в названиях задач, как уже упоминалось в начале наших публикаций, указывают на номер раздела Стандарта ИСО 27001.
Как организовать систему документального обеспечения СМИБ?
Каждый тип документа можно дополнительно охарактеризовать следующими вопросами-атрибутами, влияющими на его жизненный цикл:
- для кого он предназначен (кто его будет читать);
- кто его согласовывает и утверждает;
- как часто он может меняться.
С другой стороны, формально документы можно разделить на программные (справочные) и оперативные (содержащие результаты деятельности). В терминах Стандарта, такие документы разделяются, соответственно, на собственно документы и записи.
Согласно Стандарта, документация СМИБ должна включать в себя информацию о:
- документированных положениях политики СМИБ, ее целей и области функционирования, политике ИБ;
- процедурах и мерах управления, используемых СМИБ;
- методологии оценки рисков ИБ;
- результатах оценки рисков и планы их обработки;
- процедурах оценки результатов функционирования СМОИБ;
- свидетельства функционирования СМИБ.
В каком формате необходимо представить эту информацию?
При разработке системы документов, обеспечивающих СМИБ, возникает коллизия между трудоемкостью (потребностью в ресурсах) первоначального создания документов и дальнейшего поддержания их в актуальном состоянии. С одной стороны, есть желание, чтобы число типов (номенклатура) и количество самих документов было как можно меньше (малым количеством легче управлять, быстрее можно закончить подготовку всего пакета и т.п.). С другой стороны, если СМИБ «живет» и все время развивается, документы периодически, а на некоторых периодах развития - достаточно часто, приходится корректировать и дорабатывать. Если документы по обеспечению ИБ включены в общий «бюрократический» цикл организации: «разработка-согласование-утверждени е», то чем более высокий уровень утверждения и согласования документов, тем дольше будет цикл ввода в действие новых версий документов, тем труднее поддерживать их в актуальном состоянии.
Предположим, организация разработала Политику информационной безопасности, включив в нее положения по правилам действий по отдельным направлениям ИБ (называемые частными политиками ИБ). Ввиду того, что с Политикой ИБ должны быть ознакомлены все сотрудники организации, документ старались сделать не очень объемным и подробным, а положения частных политик описали кратко, в виде тезисов.
Что получилось в результате?
Документ все равно получился тяжеловесным - более десятка страниц, что очень много. Получившиеся частные политики из-за неконкретности практически ничего не объясняют, поэтому применять их невозможно. Документ трудно сопровождать - для того чтобы внести и утвердить корректировку в раздел, например, безопасного использования Интернет при принятии решения об использовании, скажем, системы обнаружения вторжений (IDS), нужно ждать очередного собрания директоров и т.п. Т.е. документ получился нерабочим.
Политика ИБ должна быть проста для понимания и умещаться, в идеале, на одну-две страницы, ведь она как стратегический документ утверждается на самом высоком уровне управленческой иерархии, и знакомиться с ней должны все сотрудники организации. Разделение общей и частных политик на отдельные документы позволяет дорабатывать, расширять и корректировать частные политики эффективнее, утверждение соответствующего документа пройдет существенно быстрее, при этом, БЕЗ ИЗМЕНЕНИЯ общей политики ИБ.
Точно также получается, если в частной политике отражать использование какой-либо конкретной технологии или системы, ее конфигурацию. Смена системы или ее перенастройка влечет изменение документа, подписываемого на уровне директора. Не правильно! Проще в частной политике указать на подчиненные документы (третьего и четвертого уровня), приведя в приложении к частной политике формат и перечень информации, необходимой для обеспечения управления.
Надеюсь, я убедил Вас в мысли, что система документов ИБ должна быть построена по иерархической схеме с максимально общими и абстрактными документами на высшем уровне иерархии, и повышение «конкретности» по мере приближения к практической части.
Что рекомендуют нам стандарты?
Стандарт ISO 13335-1 предусматривает 4 уровня политик (правил) информационной безопасности:
- корпоративная политика безопасности;
- политика информационной безопасности;
- корпоративная политика безопасности информационных и коммуникационных технологий;
- политика безопасности [отдельных] систем информационных и коммуникационных технологий.
Рекомендации в области стандартизации Банка России РС БР ИББС 2.0-2007 предлагают следующую интерпретацию положений упомянутого выше стандарта:
Какие документы могут быть отнесены к каждому из уровней?
Уровни документов | Типы документов |
Первый уровень | Политика СМИБ, Политика информационной безопасности, Концепция информационной безопасности |
Второй уровень | Частные политики информационной безопасности (обеспечение физической безопасности, предоставление доступа, использование Интернет и электронной почты, ИБ в технологических процессах и т.п.) |
Третий уровень | Инструкции, положения, порядки, руководства, методические пособия и программы обучения, требования к конфигурации и т.п. |
Четвертый уровень | Записи в системных журналах ОС, СУБД и ИС; реестры информационных активов; заявки и выполненные наряды по предоставлению доступа; записи в журналах обучения и инструктажа по ИБ, протоколы испытаний, акты, обязательства о неразглашении конфиденциальной информации и т.п. |
Документы, отнесенные к разным уровням иерархии, имеют разный по длительности жизненный цикл.
Уровни документов | Как часто меняются? |
Первый уровень | редко (изменения стратегического уровня) |
Второй уровень | не часто (при изменениях на уровне тактических решений) |
Третий уровень | относительно часто |
Четвертый уровень | непрерывно |
Документы, находящиеся на разных уровнях иерархии, требуют утверждения на разных уровнях управления.
Высокоуровневые документы - политики СМИБ и ИБ, определяющие стратегические подходы к обеспечению ИБ, утверждаются на уровне собственников или совета директоров.
Частные политики, определяющие правила информационной безопасности в отдельных сферах, могут утверждаться на уровне исполнительного директора или курирующего руководителя, но при этом должны иметь широкий круг согласования в подразделениях, которых эти сферы деятельности затрагивают.
Положения, инструкции и прочие практические документы являются рабочими документами подразделений, эксплуатирующих инфраструктуру обеспечения ИБ, они их создают, корректируют и изменяют. В отдельных случаях, некоторые документы третьего могут требовать утверждения на уровне руководства организации (например, положения о подразделениях и т.п.).
Свидетельства функционирования ИБ при необходимости аутентифицируются подписью исполнителя.
Чтобы не запутаться в версиях документов, правильно распространять документы среди сотрудников, для кого они предназначены, всей этой кипой документов надо УПРАВЛЯТЬ.
Процедура управления документами должна обеспечивать:
- утверждение документов на соответствующем уровне управляющей структуры организации;
- пересмотр и модернизацию, при необходимости, документов;
- обеспечение идентификации внесенных изменений и текущего статуса версий документов;
- доступ к рабочим версиям документов в местах их использования;
- наличие порядка идентификации документов и предоставления доступа к ним;
- доступ к документам авторизованных лиц, а также то, что их жизненный цикл (передача, хранение и уничтожение) проводится в соответствии с уровнем классификации их конфиденциальности;
- идентификацию документов, созданных вне организации;
- контроль за распространением документов;
- предотвращение использования устаревших документов;
- соответствующую идентификацию устаревших документов в случае, если они сохраняются для какой-либо цели.
Процедуру управления документами ИБ желательно описать в виде отдельного документа, содержащего, в том числе, перечень и назначение всех документов, период и/или условия пересмотра, кто является владельцем каждого из документов, кто какой документ согласовывает и утверждает, для кого каждый тип документов предназначен и т.п.
Все правила создания, изменения, согласования и утверждения документов должны соответствовать принятым в организации правилам документооборота.
Следует отметить, что процедура пересмотра документов не обязательно подразумевает внесение изменений в документы. Полезно предусмотреть для некоторых типов документов процедуру подтверждения их актуальности, проводимую через большие, но регулярные промежутки времени. Из рекомендаций Банка России о периоде в три года для проведения самооценки или аудита соответствия требованиям стандарта СТО БР ИББС-1.0, можно предположить, что такой же период для пересмотра/подтверждения политики ИБ можно признать разумным (в смысле, НЕ РЕЖЕ!). Для остальных документов, возможно, процедуру пересмотра надо проводить несколько чаще.
Свидетельства функционирования СМИБ так же должны формироваться в виде документов, существующих в обычной бумажной форме или электронной. К свидетельствам функционирования СМИБ можно отнести различные заявки и наряды по предоставлению доступа, записи журналов операционных систем, СУБД и прикладных программ, результаты функционирования систем предотвращения вторжения и отчеты по результатам теста на проникновение, акты проверки конфигурации рабочих мест и серверов и т.п. Данный класс документов обозначаются в Стандарте как «записи». Процедура управления записями должна обеспечивать их контроль и защиту от модификации, т.к. при определенных условиях они могут являться материалами для проведения расследования инцидентов ИБ и качество хранения данных материалов определяет, будут ли признаны данные материалы легитимными или наоборот не заслуживающими доверия. К записям также можно отнести результаты мониторинга СМИБ, расследования инцидентов ИБ, отчеты о результатах функционирования СМИБ и т.п.
Процедуры управления записями должны:
- обеспечивать четкость, простоту, идентифицируемость и восстанавливаемость документальных свидетельств;
- использовать меры управления, обеспечивающие идентификацию, хранение, защиту конфиденциальности и целостности, поиск, определение сроков хранения и порядка уничтожения.
В качестве примера, приведем небольшой «вертикальный» фрагмент перечня типов документов, составляющих систему документирования СМИБ, например, обеспечения ИБ при доступе к сети Интернет:
Уровень | Документы |
Первый уровень | > Политика информационной безопасности организации > Концепция обеспечения информационной безопасности |
Второй уровень | > Частная политика информационной безопасности организации при работе с ресурсами сети Интернет > Термины, используемые в документах ИБ (глоссарий) |
Третий уровень | > Порядок предоставления доступа пользователей к ресурсам сети Интернет > Описание профилей доступа (набора разрешений и запретов) к ресурсам сети Интернет > Схема компьютерной сети, подключенной к сети Интернет > Карточка настройки прокси-сервера > Карточка настройки межсетевого экрана между сегментами внутренней сети и демилитаризованной зоной (DMZ ) > Карточка настройки рабочей станции [для обеспечения доступа к Интернет] > Памятка пользователя о порядке использования ресурсов сети Интернет > Описание и квалификационные требования функциональной роли «администратор систем доступа в Интернет» > Должностная инструкция сотрудника, исполняющего функциональную роль «администратор систем доступа в Интернет» |
Четвертый уровень | > Заявка-наряд на подключение пользователя к использованию ресурсов сети Интернет > Перечень пользователей, подключенных к сети Интернет с указание профиля доступа > Журнал прокси-сервера о доступе пользователей к ресурсам сети Интернет > Журнал системы обнаружения вторжений (IDS ) в сегменте сети, расположенном в DMZ > Отчет о вторжениях в DMZ , обнаруженных IDS > Акт проведения проверки конфигурации межсетевого экрана |
Действует Редакция от 27.12.2006
Наименование документ | "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст) |
Вид документа | приказ, стандарт, гост, исо |
Принявший орган | ростехрегулирование |
Номер документа | ИСО/МЭК 27001-2006 |
Дата принятия | 01.01.1970 |
Дата редакции | 27.12.2006 |
Дата регистрации в Минюсте | 01.01.1970 |
Статус | действует |
Публикация |
|
Навигатор | Примечания |
"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)
8. Улучшение системы менеджмента информационной безопасности
8.1. Постоянное улучшение
Организация должна постоянно повышать результативность СМИБ посредством уточнения политики ИБ, целей ИБ, использования результатов аудитов, анализа контролируемых событий, корректирующих и предупреждающих действий, а также использования руководством результатов анализа СМИБ (см. раздел 7).
8.2. Корректирующие действия
Организация должна проводить мероприятия по устранению причин несоответствий требованиям СМИБ с целью предупредить их повторное возникновение. Документированная процедура корректирующего действия должна устанавливать требования по:
a) выявлению несоответствий;
b) определению причин несоответствий;
C) оцениванию необходимости действий во избежание повторения несоответствий;
d) определению и реализации необходимых корректирующих действий;
e) ведению записей результатов предпринятых действий (см. 4.3.3);
f) анализу предпринятого корректирующего действия.
8.3. Предупреждающие действия
Организация должна определять действия, необходимые для устранения причин потенциальных несоответствий требованиям СМИБ, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать последствиям потенциальных проблем. Документированная процедура предпринятого предупреждающего действия должна устанавливать требования по:
a) выявлению потенциальных несоответствий и их причин;
b) оцениванию необходимости действия с целью предупредить появление несоответствий;
c) определению и реализации необходимого предупреждающего действия;
d) записи результатов предпринятого действия (см. 4.3.3);
e) анализу результатов предпринятого действия.
Организация должна определить изменения в оценках рисков и установить требования к предупреждающим действиям, при этом обращая особое внимание на существенно измененные количественные показатели рисков.
Приоритеты в отношении реализации предупреждающих действий должны быть определены на основе результатов оценки риска.
Примечание - Обычно затраты на проведение мероприятий по предотвращению несоответствий более экономичны, чем на корректирующие действия.
Право, неловко. Мы сообщали о скором выходе стандарта ISO 45001, который должен заменить нынешний стандарт управления охраной труда OHSAS 18001, говорили, что ждать его надо в конце 2016 года… Уж полночь близится, а Германа все нет. Пора признать — ISO 45001 задерживается. Правда, по уважительным причинам. У экспертного сообщества возникло слишком много вопросов к нему. […]
Двойственная статья намечается. Международная организация по стандартизации четко выразила свою позицию по поводу использования маркировки ее стандартов на продукции — ISO говорит «нельзя». Однако предприниматели хотят все-таки хотят делать это. Как им быть? Почему нет, собственно? Предыстория вопроса такова. Как вы понимаете, стандарты ISO не имеют непосредственного отношения к продукции, выпускаемой сертифицированными по ним предприятиями. […]
Добьем тему. В прошлой статье мы с вами начали разговор о восьми принципах СМК. Принципах, на которых строится любая система менеджмента качества. Наша цель в том, чтобы перевести эти принципы с языка бизнес-тренеров на человеческий язык. Чтобы из них можно было извлечь реальную пользу. Про ориентацию на потребителя — говорили. Говорили, как производить не «что-то […]
Про менеджмент качества говорят многие. Но говорят почему-то так, что ничего в итоге непонятно. А значит, менеджмент качества остается словами. Слишком умными словами. Давайте переведем их на нормальный язык и поймем, чем принципы менеджмента качества реально помогают улучшить деятельность компании. Обойдемся без долгих прелюдий. Всего у актуальных сейчас систем менеджмента качества, самой популярной из которых […]
Проектный менеджмент… Уверен, найдется немало людей, которые слишком долго общались со всевозможными бизнес-консультантами — и теперь от одного подобного словосочетания начинают испытывать легкую тошноту. Что делать? Давайте просто выбросим бизнес-консультантов из головы и изложим дело человеческим языком. Проектный менеджмент — это не обязательно человек в белой рубашке, который рисует сложные диаграммы и блок-схемы маркером на […]