İnformasiya təhlükəsizliyi idarəetmə sistemləri nümunələri. İnformasiya təhlükəsizliyi idarəetmə sisteminin (smib) yaradılması. İnformasiya təhlükəsizliyi idarəetmə sistemi

Bilik bazasında yaxşı işinizi göndərin sadədir. Aşağıdakı formadan istifadə edin

Tədris və işlərində bilik bazasından istifadə edən tələbələr, aspirantlar, gənc alimlər Sizə çox minnətdar olacaqlar.

haqqında yerləşdirilib http://www.allbest.ru/

"İnformasiya Təhlükəsizliyi İdarəetmə Sistemi"

idarəetmə beynəlxalq standartı

Vicra

İnformasiya təhlükəsizliyinin idarə edilməsi sistemi məlumat aktivlərinin məxfiliyini, bütövlüyünü və mövcudluğunu təmin etmək üçün şirkətdə işləyən proseslərin məcmusudur. İnşanın birinci hissəsi təşkilatda idarəetmə sisteminin tətbiqi prosesini araşdırır, həmçinin informasiya təhlükəsizliyi idarəetmə sisteminin tətbiqinin üstünlüklərinin əsas aspektlərini təqdim edir.

Şəkil 1. Nəzarət dövrü

Proseslərin siyahısı və onların fəaliyyətini ən yaxşı şəkildə necə təşkil etmək barədə tövsiyələr Planla-İşlə-Yoxla-Hərəkətli idarəetmə dövrünə əsaslanan ISO 27001:2005 beynəlxalq standartında verilmişdir. Buna uyğun olaraq, İBS-nin həyat dövrü dörd fəaliyyət növündən ibarətdir: Yaradılması - Həyata keçirilməsi və istismarı - Monitorinq və təhlil - Baxım və təkmilləşdirmə (Şəkil 1). Bu standart ikinci hissədə daha ətraflı müzakirə olunacaq.

İLƏsistemiidarəetməməlumattəhlükəsizlik

İnformasiya təhlükəsizliyinin idarə edilməsi sistemi (İMS) informasiya təhlükəsizliyinin yaradılması, həyata keçirilməsi, istismarı, monitorinqi, təhlili, dəstəklənməsi və təkmilləşdirilməsində biznes riski yanaşmasına əsaslanan ümumi idarəetmə sisteminin bir hissəsidir. ISMS prosesləri dövrəyə əsaslanan ISO / IEC 27001: 2005 tələblərinə uyğun olaraq hazırlanmışdır.

Sistemin işi risklərin idarə edilməsinin müasir nəzəriyyəsinin yanaşmalarına əsaslanır ki, bu da onun təşkilatın ümumi risk idarəetmə sisteminə inteqrasiyasını təmin edir.

İnformasiya təhlükəsizliyinin idarə edilməsi sisteminin tətbiqi informasiya təhlükəsizliyi risklərinin, yəni informasiya aktivlərinin (istənilən formada və hər hansı xarakterdə olan məlumat) əldə edilməsi nəticəsində yaranan risklərin sistematik müəyyənləşdirilməsinə, təhlilinə və azaldılmasına yönəlmiş prosedurun işlənib hazırlanmasını və həyata keçirilməsini nəzərdə tutur. məxfiliyini, bütövlüyünü və əlçatanlığını itirəcək.

İnformasiya təhlükəsizliyi risklərinin sistematik şəkildə azaldılmasını təmin etmək üçün risklərin qiymətləndirilməsinin nəticələrinə əsasən təşkilatda aşağıdakı proseslər həyata keçirilir:

· İnformasiya təhlükəsizliyinin daxili təşkilinin idarə edilməsi.

· Üçüncü şəxslərlə qarşılıqlı əlaqə zamanı informasiya təhlükəsizliyinin təmin edilməsi.

· İnformasiya aktivlərinin reyestrinin və onların təsnifatı qaydalarının idarə edilməsi.

· Avadanlıqların təhlükəsizliyinin idarə edilməsi.

· Fiziki təhlükəsizliyin təmin edilməsi.

· Kadrların informasiya təhlükəsizliyinin təmin edilməsi.

· İnformasiya sistemlərinin planlaşdırılması və qəbulu.

· Yedəkləmə.

· Şəbəkənin mühafizəsi.

İnformasiya təhlükəsizliyi idarəetmə sistemi prosesləri təşkilatın İT infrastrukturunun idarə edilməsinin bütün aspektlərinə təsir göstərir, çünki informasiya təhlükəsizliyi informasiya texnologiyaları ilə bağlı proseslərin davamlı fəaliyyətinin nəticəsidir.

Şirkətlərdə ISMS qurarkən mütəxəssislər aşağıdakı işləri həyata keçirirlər:

· Layihənin idarə edilməsini təşkil etmək, sifarişçi və podratçı tərəfdən layihə qrupu yaratmaq;

· İBS-nin fəaliyyət sahəsini (OD) müəyyən etmək;

OD ISMS-də təşkilatı araşdırın:

o təşkilatın biznes prosesləri, o cümlədən informasiya təhlükəsizliyi insidentlərinin mənfi nəticələrinin təhlili baxımından;

o təşkilatın idarəetmə prosesləri, o cümlədən mövcud keyfiyyətin idarə edilməsi və informasiya təhlükəsizliyinin idarə edilməsi prosesləri baxımından;

o İT infrastrukturu baxımından;

o informasiya təhlükəsizliyi infrastrukturu baxımından.

Əsas biznes proseslərinin siyahısını və onlarla bağlı informasiya təhlükəsizliyi təhdidlərinin həyata keçirilməsinin nəticələrinin qiymətləndirilməsini, idarəetmə proseslərinin, İT sistemlərinin, informasiya təhlükəsizliyi alt sistemlərinin (ISS) siyahısını ehtiva edən analitik hesabat hazırlamaq və razılaşdırmaq; təşkilatın bütün ISO 27001 tələblərini yerinə yetirmə dərəcəsinin qiymətləndirilməsi və təşkilatların proseslərin yetkinliyinin qiymətləndirilməsi;

· İlkin və hədəf İBS yetkinlik səviyyəsini seçmək, İBS-nin Yetkinlik üzrə Təkmilləşdirmə Proqramını hazırlamaq və təsdiq etmək; yüksək səviyyəli informasiya təhlükəsizliyi sənədlərinin hazırlanması:

o İnformasiya təhlükəsizliyi konsepsiyası,

o IS və ISMS siyasətləri;

· Təşkilatda tətbiq olunan risklərin qiymətləndirilməsi metodologiyasını seçmək və uyğunlaşdırmaq;

· İBS proseslərinin avtomatlaşdırılması üçün istifadə olunan proqram təminatının seçilməsi, təchizatı və tətbiqi, şirkət mütəxəssisləri üçün təlimlərin təşkili;

· Riskləri qiymətləndirmək və emal etmək, bu müddət ərzində onların azaldılması üçün 27001 standartının A Əlavəsinin tədbirləri seçilir və onların təşkilatda həyata keçirilməsi üçün tələblər formalaşdırılır, informasiya təhlükəsizliyinin texniki vasitələri əvvəlcədən seçilir;

· PIB-nin ilkin layihələrini hazırlamaq, risklərin müalicəsinin dəyərini qiymətləndirmək;

· Riskin qiymətləndirilməsinin təşkilatın yuxarı rəhbərliyi tərəfindən təsdiqini təşkil etmək və Tətbiq Etibarlılığı haqqında Bəyannaməni hazırlamaq; informasiya təhlükəsizliyinin təmin edilməsi üzrə təşkilati tədbirləri işləyib hazırlamaq;

· Seçilmiş tədbirlərin həyata keçirilməsini dəstəkləyən texniki informasiya təhlükəsizliyi alt sistemlərinin tətbiqi üçün texniki layihələrin hazırlanması və həyata keçirilməsi, o cümlədən avadanlıqların təchizatı, istismara verilməsi, əməliyyat sənədlərinin hazırlanması və istifadəçilərin təlimi;

· Quraşdırılmış İBS-nin istismarı zamanı məsləhətlərin verilməsi;

· Daxili auditorlar üçün təlimlərin təşkili və daxili İBS auditinin aparılması.

Bu işlərin nəticəsi fəaliyyət göstərən BSMS-dir. Şirkətdə ISMS-in tətbiqindən faydalar aşağıdakılar vasitəsilə əldə edilir:

· İnformasiya təhlükəsizliyi sahəsində qanunvericilik tələblərinə və biznes tələblərinə uyğunluğun səmərəli idarə edilməsi;

· İS insidentlərinin qarşısının alınması və baş verdikdə zərərin azaldılması;

· Təşkilatda informasiya təhlükəsizliyi mədəniyyətinin artırılması;

· İnformasiya təhlükəsizliyinin idarə edilməsi sahəsində yetkinliyin artırılması;

· İnformasiya təhlükəsizliyinə xərclərin optimallaşdırılması.

ISO / IEC27001-- beynəlxalqstandarthaqqındaməlumattəhlükəsizlik

Bu standart Beynəlxalq Standartlaşdırma Təşkilatı (ISO) və Beynəlxalq Elektrotexniki Komissiya (IEC) tərəfindən birgə hazırlanmışdır. Standart İBS-nin yaradılması, inkişafı və saxlanması üçün informasiya təhlükəsizliyi tələblərini ehtiva edir. ISO 27001 təşkilatın öz məlumat aktivlərini qorumaq qabiliyyətini nümayiş etdirmək üçün BSMS üçün tələbləri müəyyən edir. Beynəlxalq standartda “informasiya təhlükəsizliyi” anlayışından istifadə edilir və məlumatın məxfiliyinin, bütövlüyünün və əlçatanlığının təmin edilməsi kimi şərh edilir. Standartın əsasını informasiya risklərinin idarə edilməsi sistemi təşkil edir. Bu standart həm də maraqlı daxili və xarici tərəflər tərəfindən uyğunluğu qiymətləndirmək üçün istifadə edilə bilər.

Standart informasiya təhlükəsizliyi idarəetmə sistemini (İBS) yaratmaq, həyata keçirmək, idarə etmək, davamlı olaraq izləmək, təhlil etmək, saxlamaq və təkmilləşdirmək üçün proses yanaşmasını qəbul edir. O, təşkilat daxilində proseslər sisteminin tətbiqindən, bu proseslərin müəyyən edilməsi və qarşılıqlı əlaqəsi, habelə onların idarə edilməsindən ibarətdir.

Beynəlxalq standart Plan-Do-Check-Act (PDCA) modelini qəbul edir ki, bu da Shewhart-Deming dövrü adlanır. Bu dövrə bütün ISMS proseslərini strukturlaşdırmaq üçün istifadə olunur. Şəkil 2 İBS-nin informasiya təhlükəsizliyi tələblərini və maraqlı tərəflərin gözləntilərini giriş kimi necə qəbul etdiyini və lazımi tədbirlər və proseslər vasitəsilə həmin tələblərə və gözləntilərə cavab verən informasiya təhlükəsizliyi nəticələrini necə əldə etdiyini göstərir.

Planlaşdırma İBS-nin yaradılması, aktivlərin inventarının yaradılması, risklərin qiymətləndirilməsi və tədbirlərin seçilməsi mərhələsidir.

Şəkil 2. ISMS proseslərinə tətbiq olunan PDCA modeli

İcra - müvafiq tədbirlərin həyata keçirilməsi və həyata keçirilməsi mərhələsidir.

İcmal İBS-nin effektivliyinin və fəaliyyətinin qiymətləndirilməsi mərhələsidir. Adətən daxili auditorlar tərəfindən həyata keçirilir.

Fəaliyyət - qabaqlayıcı və düzəldici tədbirlərin görülməsi.

Vnəticələr

ISO 27001 İSMS-in tətbiqi və istismarı üçün ümumi modeli və İBS-nin monitorinqi və təkmilləşdirilməsi üçün tədbirləri təsvir edir. ISO keyfiyyətin idarə edilməsi ilə məşğul olan ISO / IEC 9001: 2000 və ətraf mühitin idarə edilməsi sistemləri ilə məşğul olan ISO / IEC 14001: 2004 kimi müxtəlif idarəetmə sistemi standartlarını uyğunlaşdırmaq niyyətindədir. İSO-nun məqsədi İBS-nin şirkətdəki digər idarəetmə sistemləri ilə ardıcıllığını və inteqrasiyasını təmin etməkdir. Standartların oxşarlığı tətbiq, idarəetmə, təftiş, yoxlama və sertifikatlaşdırma üçün oxşar alətlərdən və funksionallıqdan istifadə etməyə imkan verir. Nəticə ondan ibarətdir ki, əgər şirkət digər idarəetmə standartlarını tətbiq edibsə, o, keyfiyyətin idarə edilməsi, ətraf mühitin idarə edilməsi, təhlükəsizlik idarəetməsi və s. sahələrə tətbiq olunan vahid audit və idarəetmə sistemindən istifadə edə bilər. ISMS tətbiq etməklə, yüksək səviyyəli rəhbərlik təhlükəsizliyi izləmək və idarə etmək üçün vasitələr əldə edir ki, bu da qalıq biznes risklərini azaldır. İBS-ni tətbiq etdikdən sonra şirkət rəsmi olaraq məlumatın təhlükəsizliyini təmin edə və müştərilərin, qanunvericiliyin, tənzimləyicilərin və səhmdarların tələblərinə əməl etməyə davam edə bilər.

Qeyd etmək lazımdır ki, Rusiya Federasiyasının qanunvericiliyində ISO27001 beynəlxalq standartının tərcümə edilmiş versiyası olan GOST R ISO / IEC 27001-2006 sənədi mövcuddur.

İLƏcırıltıədəbiyyat

1.Korneev I.R., Belyaev A.V. Müəssisənin informasiya təhlükəsizliyi. - SPb .: BHV-Peterburq, 2003 .-- 752 s .: xəstə.

2. Beynəlxalq standart ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (giriş tarixi: 23/05/12)

3. Rusiya Federasiyasının milli standartı GOST R ISO / IEC 27003 - "İnformasiya texnologiyası. Təhlükəsizlik üsulları. İnformasiya Təhlükəsizliyi İdarəetmə Sisteminin tətbiqi üçün təlimatlar" (http://niisokb.ru/news/documents/IDT%20ISO% 20IEC%2027003- 2011-09-14.pdf) (əldə olunma tarixi: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. İnformasiya təhlükəsizliyinə daxili təhdidlərdən qorunmaq üçün təlimatlar. SPb .: Peter, 2008 .-- 320 s .: xəstə.

5. “Vikipediya” azad ensiklopediyasının məqaləsi, “İdarəetmə sistemi

informasiya təhlükəsizliyi "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (giriş tarixi: 23.05.12)

6. Sigurjon Thor Arnason və Keith D. Willett "27001 Sertifikatına Necə nail olmaq olar"

Allbest.ru saytında yerləşdirilib

Oxşar sənədlər

Müəssisədə informasiya təhlükəsizliyi təhdidləri. İnformasiya təhlükəsizliyi sistemində çatışmazlıqların müəyyən edilməsi. İnformasiya təhlükəsizliyi sisteminin formalaşmasının məqsəd və vəzifələri. Təşkilatın informasiya təhlükəsizliyi sisteminin təkmilləşdirilməsi üçün təklif olunan tədbirlər.

kurs işi 02/03/2011 əlavə edildi


Müəssisədə informasiya təhlükəsizliyi sisteminin təhlili. İnformasiya Təhlükəsizliyi Xidməti. Müəssisəyə məxsus informasiya təhlükəsizliyi təhdidləri. İnformasiyanın mühafizəsi üsulları və vasitələri. Təhlükəsizlik baxımından məlumat sistemi modeli.

kurs işi 02/03/2011 əlavə edildi


Qida sənayesi müəssisəsində idarəetmə sisteminin yaradılmasının əsas mərhələləri. HACCP istənilən qida təhlükəsizliyi idarəetmə sisteminin əsası kimi. Qida təhlükəsizliyi idarəetmə sistemi. Təhlükəli amillər və profilaktik tədbirlər.

mücərrəd 14.10.2014 tarixində əlavə edildi


Müasir idarəetmə sistemləri və onların inteqrasiyası. İnteqrasiya edilmiş keyfiyyət idarəetmə sistemləri. “275 ARZ” SC-nin və onun idarəetmə sisteminin təsviri. Əməyin mühafizəsi idarəetmə sisteminin inkişafı. İnteqrasiya edilmiş təhlükəsizlik sisteminin qiymətləndirilməsi üsulları.

dissertasiya, 07/31/2011 əlavə edildi


Keyfiyyət idarəetmə sisteminin tətbiqi. "Lenta" ASC-nin nümunəsində keyfiyyət idarəetmə sistemlərinin (ISO 9000), ətraf mühitin idarə edilməsinin (ISO 14000), təşkilatların sağlamlıq və təhlükəsizlik idarəetmə sistemlərinin (OHSAS 18 001: 2007) sertifikatlaşdırılması.

mücərrəd 10/06/2008 tarixində əlavə edildi


Sənəd idarəetmə prosesinin həyata keçirilməsi üçün vahid proseduru müəyyən edən inteqrasiya edilmiş idarəetmə sisteminin təşkili üçün standartın hazırlanması. "ZSMK" ASC-nin keyfiyyət idarəetmə sisteminin yaradılması mərhələləri. Sənədlərin elektron variantlarının yerləşdirilməsi.

dissertasiya, 06/01/2014 əlavə edildi


İşçilərin iyerarxik diaqramı. İnformasiya təhlükəsizliyi vasitələri. Təhlükəsizlik sualları. Müəssisə məlumat axınının diaqramı. İnformasiya sisteminin bütövlüyünün monitorinqi üsulları. Xidmət məlumatlarına giriş nəzarətinin modelləşdirilməsi.

kurs işi, 30/12/2011 əlavə edildi


İdarəetmə informasiya sistemi anlayışı və onun ümumi idarəetmə sistemindəki yeri. İnformasiya sistemlərinin növləri və onların məzmunu. İnformasiya sistemi kimi idarəetmə anlayışı. Maliyyə idarəetmə sisteminin funksiyaları. Sövdələşmələr və əməliyyatlar üçün sistemlər.

xülasə 01.06.2015 tarixində əlavə edildi


İş yerində sağlamlıq və təhlükəsizlik sahəsində anlayışlar. Keyfiyyət idarəetmə sistemləri, ətraf mühit idarəetmə sistemləri, əməyin mühafizəsi və sağlamlığı idarəetmə sistemləri üzrə ISO beynəlxalq standartları. OHSAS 18001-2007 standartının uyğunlaşdırılması.

kurs işi 21/12/2014 əlavə edildi


İnformasiya idarəetmə xüsusiyyətləri; informasiya və hüquq münasibətlərinin subyektləri; informasiyanın qəbulu, ötürülməsi, saxlanması və istifadəsi üçün hüquqi rejim. İnformasiya mübadiləsi və informasiya təhlükəsizliyinin xüsusiyyətləri və hüquqi aspektləri.

Həqiqətən utanc verici. Mövcud OHSAS 18001 əməyin mühafizəsi idarəetmə standartını əvəz etməli olan ISO 45001 standartının tezliklə buraxılması barədə məlumat verdik, dedik ki, 2016-cı ilin sonunda gözləməliyik... Gecə yarısı yaxınlaşır, lakin Herman hələ də yoxdur. Qəbul vaxtı - ISO 45001 gözləmədədir. Düzdür, yaxşı səbəblərə görə. Ekspert cəmiyyətinin ona həddən artıq çox sualı var. […]

GOST R ISO / IEC 27001-2006 “İnformasiya texnologiyası. Təhlükəsizliyin təmin edilməsi üsulları və vasitələri. İnformasiya təhlükəsizliyi idarəetmə sistemləri. Tələblər"

Standartın tərtibatçıları qeyd edirlər ki, o, informasiya təhlükəsizliyinin idarə edilməsi sisteminin (İBS) inkişafı, tətbiqi, istismarı, monitorinqi, təhlili, dəstəklənməsi və təkmilləşdirilməsi üçün bir model kimi hazırlanıb. ISMS (ingiliscə - information security management system; ISMS) informasiya təhlükəsizliyinin inkişafı, həyata keçirilməsi, istismarı, monitorinqi, təhlili, dəstəklənməsi və təkmilləşdirilməsi üçün biznes risklərinin qiymətləndirilməsi metodlarından istifadəyə əsaslanan ümumi idarəetmə sisteminin bir hissəsi kimi müəyyən edilir. İdarəetmə sisteminə təşkilati struktur, siyasət, planlaşdırma fəaliyyəti, məsuliyyətlər, təcrübələr, prosedurlar, proseslər və resurslar daxildir.

Standart təşkilatın İBS-nin inkişafı, tətbiqi, istismarı, monitorinqi, təhlili, dəstəklənməsi və təkmilləşdirilməsi üçün proses yanaşmasının istifadəsini nəzərdə tutur. O, bütün İBS proseslərini strukturlaşdırmaq üçün tətbiq oluna bilən Plan - Et - Yoxla - Akt (PDCA) modelinə əsaslanır. şək. 4.4 informasiya təhlükəsizliyi tələblərindən və maraqlı tərəflərin gözlənilən nəticələrindən giriş kimi istifadə edərək, lazımi tədbirlər və proseslər vasitəsilə İBS-nin bu tələblərə və gözlənilən nəticələrə cavab verən informasiya təhlükəsizliyi nəticələrini necə təmin etdiyini göstərir.

düyü. 4.4.

Səhnədə “İnformasiya təhlükəsizliyinin idarə edilməsi sisteminin inkişafı” təşkilat aşağıdakıları etməlidir:

• - İBS-in əhatə dairəsini və hüdudlarını müəyyən etmək;
• - biznesin, təşkilatın, onun yerləşdiyi yerin, aktivlərin və texnologiyaların xüsusiyyətlərinə əsaslanaraq İBS siyasətini müəyyən etmək;
• - təşkilatda risklərin qiymətləndirilməsinə yanaşmanı müəyyən etmək;
• - riskləri müəyyən etmək;
• - riskləri təhlil etmək və qiymətləndirmək;
• - risklərin müalicəsi üçün müxtəlif variantları müəyyən etmək və qiymətləndirmək;
• - risklərin müalicəsi üçün məqsədləri və nəzarəti seçmək;
• - gözlənilən qalıq risklərlə bağlı rəhbərliyin razılığını almaq;
• - İBS-nin tətbiqi və istismarı üçün rəhbərlikdən icazə almaq;
• - Tətbiq Bəyannaməsini hazırlamaq.

Mərhələ" İnformasiya təhlükəsizliyinin idarə edilməsi sisteminin tətbiqi və istismarı " təşkilata təklif edir:

• - informasiya təhlükəsizliyi risklərinin idarə olunması üçün müvafiq idarəetmə hərəkətlərini, resursları, məsuliyyətləri və prioritetləri müəyyən edən risklərin idarə edilməsi planını hazırlamaq;
• - nəzərdə tutulan idarəetmə məqsədlərinə nail olmaq üçün risklərin idarə edilməsi planını həyata keçirmək, o cümlədən maliyyə məsələləri, habelə rol və öhdəliklərin bölüşdürülməsi;
• - seçilmiş idarəetmə tədbirlərini həyata keçirmək;
• - seçilmiş nəzarət tədbirlərinin effektivliyinin ölçülməsi üsulunu müəyyən etmək;
• - işçilər üçün təlim və peşəkar inkişaf proqramlarını həyata keçirmək;
• - İBS-nin işini idarə etmək;
• - ISMS resurslarını idarə etmək;
• - informasiya təhlükəsizliyi ilə bağlı hadisələrin operativ aşkar edilməsini və informasiya təhlükəsizliyi ilə bağlı insidentlərə reaksiya verilməsini təmin etmək üçün prosedurları və digər nəzarət tədbirlərini həyata keçirmək.

Üçüncü mərhələ " İnformasiya təhlükəsizliyi idarəetmə sisteminin monitorinqi və təhlili " tələb edir:

• - monitorinq və təhlil prosedurlarını həyata keçirmək;
• - İBS-nin effektivliyinin müntəzəm təhlilini aparmaq;
• - İS tələblərinə uyğunluğu yoxlamaq üçün nəzarət tədbirlərinin effektivliyini ölçmək;
• - müəyyən edilmiş müddətlərdə risk qiymətləndirmələrinə yenidən baxmaq, dəyişiklikləri nəzərə almaqla qalıq riskləri və müəyyən edilmiş məqbul risk səviyyələrini təhlil etmək;
• - müəyyən edilmiş vaxt intervallarında daxili İBS auditini aparmaq;
• - SS-nin fəaliyyətinin adekvatlığını təsdiqləmək və təkmilləşdirmə istiqamətlərini müəyyən etmək üçün təşkilatın rəhbərliyi tərəfindən mütəmadi olaraq İBS-nin təhlilini aparmaq;
• - təhlil və monitorinqin nəticələri nəzərə alınmaqla İS planlarını yeniləmək;
• - İBS-nin effektivliyinə və ya fəaliyyətinə təsir edə biləcək hərəkətləri və hadisələri qeyd etmək.

Nəhayət, səhnə “İnformasiya təhlükəsizliyi idarəetmə sisteminin saxlanılması və təkmilləşdirilməsi” təşkilatın müntəzəm olaraq aşağıdakı tədbirləri həyata keçirməsini təklif edir:

• - İBS-nin təkmilləşdirilməsi imkanlarının müəyyən edilməsi;
• - zəruri düzəldici və qabaqlayıcı tədbirlər görmək, həm öz təşkilatında, həm də digər təşkilatlarda əldə edilmiş informasiya təhlükəsizliyinin təmin edilməsi təcrübəsindən praktikada istifadə etmək;
• - İBS-nin təkmilləşdirilməsi üzrə tədbirlər haqqında ətraflı məlumatı bütün maraqlı tərəflərə ötürmək, eyni zamanda onun təfərrüat dərəcəsi şəraitə uyğun olmalıdır və zəruri hallarda gələcək tədbirlər haqqında razılığa gəlmək;
• - planlaşdırılan məqsədlərə nail olmaq üçün İBS-də təkmilləşdirmələrin həyata keçirilməsini təmin etmək.

Bundan əlavə, standartda sənədlərə dair tələblər verilir, bunlara ISMS siyasətinin müddəaları və fəaliyyət sahəsinin təsviri, metodologiyanın təsviri və risklərin qiymətləndirilməsi hesabatı, riskin müalicəsi planı və sənədlər daxil edilməlidir. əlaqədar prosedurlar. İBS sənədlərinin idarə edilməsi prosesi də müəyyən edilməlidir, o cümlədən yenilənmə, istifadə, saxlama və utilizasiya.

İBS-nin tələblərinə uyğunluğunun sübutunu və fəaliyyətinin effektivliyini təmin etmək üçün proseslərin icrası ilə bağlı qeydləri və qeydləri saxlamaq və saxlamaq lazımdır. Nümunələr ziyarətçi qeydləri, audit hesabatları və s.

Standart müəyyən edir ki, təşkilatın rəhbərliyi İBS-nin yaradılması üçün tələb olunan resursların təmin edilməsinə və idarə olunmasına və kadrlar üçün təlimlərin təşkilinə cavabdehdir.

Daha əvvəl qeyd edildiyi kimi, təşkilat funksionallığını və standarta uyğunluğunu qiymətləndirmək üçün təsdiq edilmiş cədvələ uyğun olaraq daxili İBS auditini aparmalıdır. Rəhbərlik isə informasiya təhlükəsizliyi idarəetmə sisteminin təhlilini aparmalıdır.

Həmçinin, informasiya təhlükəsizliyinin idarə edilməsi sisteminin təkmilləşdirilməsi üzrə işlər aparılmalıdır: onun effektivliyini və sistemin mövcud vəziyyətinə və ona qoyulan tələblərə uyğunluq səviyyəsini artırmaq.

BS ISO / IEC 27001: 2005 standartı İnformasiya Təhlükəsizliyi İdarəetmə Sistemi (ISMS) modelini təsvir edir və təşkilatın icraçıları tərəfindən seçilən həyata keçirmə üsullarına istinad etmədən müəssisədə informasiya təhlükəsizliyinin təşkili üçün tələblər toplusunu təklif edir.

Yoxla - İBS-nin effektivliyinin və fəaliyyətinin qiymətləndirilməsi mərhələsi. Adətən daxili auditorlar tərəfindən həyata keçirilir.

İBS-nin yaradılması (və sonradan sertifikatlaşdırılması) haqqında qərar təşkilatın yuxarı rəhbərliyi tərəfindən qəbul edilir. Bu, rəhbərliyin dəstəyini və İBS-nin biznes üçün dəyərinin bir daha təsdiqini nümayiş etdirir. Təşkilatın rəhbərliyi ISMS planlaşdırma qrupunun yaradılması təşəbbüsü ilə çıxış edir.

İBS-nin planlaşdırılmasına cavabdeh olan qrupa aşağıdakılar daxil olmalıdır:

· Təşkilatın yuxarı rəhbərliyinin nümayəndələri;

· İBS-in əhatə etdiyi biznes bölmələrinin nümayəndələri;

· İnformasiya təhlükəsizliyi departamentlərinin mütəxəssisləri;

· Üçüncü tərəf məsləhətçiləri (lazım olduqda).

IS Komitəsi İİS-in fəaliyyətinə və onun davamlı təkmilləşdirilməsinə dəstək verir.

İşçi qrupu həm İMS-in yaradılması ilə bağlı, həm də təşkilatın fəaliyyət sahəsi ilə bağlı normativ-metodiki bazanı və təbii ki, dövlət qanunlarının ümumi sistemini rəhbər tutmalıdır.

ISMS yaratmaq üçün normativ baza:

· ISO / IEC 27000: 2009 Lüğət və təriflər.

· ISO / IEC 27001: 2005 ISMS üçün ümumi tələblər.

· ISO / IEC 27002: 2005 İnformasiya Təhlükəsizliyinin İdarə Edilməsi üzrə Praktik Bələdçi.

· ISO / IEC 27003: 2010 İBS-nin tətbiqi üçün praktiki təlimat.

· ISO / IEC 27004: 2009 İnformasiya təhlükəsizliyinin Metrikləri (Ölçmələri).

· ISO / IEC 27005: 2011 İnformasiya təhlükəsizliyi risklərinin idarə edilməsi üçün təlimatlar.

ISO / IEC Guide 73: 2002, Risk Management - Lüğət - Standartlarda istifadə üçün təlimatlar.

ISO / IEC 13335-1: 2004, İnformasiya texnologiyaları - Təhlükəsizlik texnikaları - İnformasiya və kommunikasiya texnologiyaları təhlükəsizliyinin idarə edilməsi - 1-ci Hissə: İnformasiya və kommunikasiya texnologiyalarının təhlükəsizliyinin idarə edilməsi üçün konsepsiyalar və modellər.

ISO / IEC TR 18044 İnformasiya texnologiyaları - Təhlükəsizlik texnikaları - İnformasiya təhlükəsizliyi insidentlərinin idarə edilməsi.

ISO / IEC 19011: 2002 Keyfiyyət və / və ya ətraf mühitin idarə edilməsi sistemlərinin auditi üçün təlimatlar.

· Britaniya Standartları İnstitutu ISMS Metodologiya Seriyası (əvvəllər PD 3000 Seriyası Sənədlər).

İBS-nin yaradılması prosesi 4 mərhələdən ibarətdir:

Mərhələ 1. ISMS-in planlaşdırılması.

Təşkilatın ümumi siyasət və məqsədlərinə uyğun olaraq risklərin idarə edilməsi və məlumatların qorunması ilə bağlı siyasət, məqsədlər, proseslər və prosedurların müəyyən edilməsi.

a) İBS-in əhatə dairəsinin və sərhədlərinin müəyyən edilməsi:

· Təşkilatın fəaliyyət növünün və biznes məqsədlərinin təsviri;

· İBS-in əhatə etdiyi sistemlərin sərhədlərinin göstəricisi;

· Təşkilatın aktivlərinin təsviri (informasiya resurslarının növləri, proqram və texniki vasitələrin, kadrların və təşkilati strukturun);

· Qorunan məlumatlardan istifadə etməklə biznes proseslərinin təsviri.

Sistem sərhədlərinin təsvirinə aşağıdakılar daxildir:

Təşkilatın mövcud strukturunun təsviri (informasiya sisteminin inkişafı ilə əlaqədar yarana biləcək mümkün dəyişikliklərlə).

Qorunacaq informasiya sistemi resursları (kompüterlər, informasiya, sistem və tətbiqi proqram təminatı). Onları qiymətləndirmək üçün meyarlar sistemi və bu meyarlara (kateqoriyalara) uyğun qiymətləndirmələrin alınması metodologiyası seçilməlidir.

İnformasiyanın emalı texnologiyası və həll edilməli olan vəzifələr. Həll ediləcək vəzifələr üçün resurslar baxımından informasiyanın emalı modelləri qurulmalıdır.

Təşkilatın informasiya sisteminin və dəstəkləyici infrastrukturun diaqramı.

Bir qayda olaraq, bu mərhələdə informasiya sisteminin sərhədlərinin müəyyən edildiyi, şirkətin qorunacaq informasiya ehtiyatlarının sadalandığı, şirkətin məlumatlarının dəyərini qiymətləndirmək üçün meyarlar və metodlar sistemi olan bir sənəd tərtib edilir. aktivlər verilir.

b) Təşkilatın ISMS siyasətinin müəyyən edilməsi (BKS-in genişləndirilmiş versiyası).

· informasiyanın mühafizəsi ilə bağlı fəaliyyətin məqsədləri, istiqamətləri və prinsipləri;

· Təşkilatda risklərin idarə edilməsi strategiyasının (yanmalarının) təsviri, məlumatların növlərinə görə (hüquqi, təşkilati, texniki və proqram təminatı, mühəndis-texniki) mühafizəsi üzrə əks tədbirlərin strukturlaşdırılması;

· Riskin əhəmiyyəti meyarlarının təsviri;

· Rəhbərliyin mövqeyi, idarəetmə səviyyəsində informasiya təhlükəsizliyi mövzusunda görüşlərin tezliyinin müəyyən edilməsi, o cümlədən informasiya təhlükəsizliyi siyasətinin müddəalarına vaxtaşırı yenidən baxılması, habelə informasiyanın bütün kateqoriyalarından olan istifadəçilərin təlimi qaydası; informasiya təhlükəsizliyi sistemi.

c) Təşkilatda risklərin qiymətləndirilməsinə yanaşmanın müəyyən edilməsi.

Risklərin qiymətləndirilməsi metodologiyası İBS-dən, müəyyən edilmiş biznes informasiya təhlükəsizliyi tələblərindən, qanuni və normativ tələblərdən asılı olaraq seçilir.

Riskin qiymətləndirilməsi metodologiyasının seçimi təşkilatda informasiya təhlükəsizliyi rejiminə olan tələblərin səviyyəsindən, nəzərə alınan təhdidlərin təbiətindən (təhdidlərin təsir spektri) və məlumatın qorunması üçün potensial əks tədbirlərin effektivliyindən asılıdır. Xüsusilə, informasiya təhlükəsizliyi rejimi üçün əsas və artırılmış və ya tam tələblər arasında fərq qoyulur.

Əsas informasiya təhlükəsizliyi səviyyəsi İS rejimi üçün minimum tələblərə uyğundur. Bu cür tələblər, bir qayda olaraq, tipik dizayn həllərinə aiddir. Ən çox ehtimal olunan təhdidlərin minimum (tipik) dəstini nəzərə alan bir sıra standartlar və spesifikasiyalar var, məsələn: viruslar, avadanlıqların nasazlığı, icazəsiz giriş və s. onların icrası və zəiflik resursları. Beləliklə, təhdidlərin xüsusiyyətlərini əsas səviyyədə nəzərə almaq lazım deyil. Bu sahədə xarici standartlar ISO 27002, BSI, NIST və s.

İB rejiminin pozulmasının ağır nəticələrə səbəb olduğu hallarda əlavə tələblər qoyulur.

Əlavə artan tələbləri formalaşdırmaq üçün aşağıdakıları etməlisiniz:

Resursların dəyərini müəyyən etmək;

Standart topluya öyrənilən informasiya sisteminə aid olan təhlükələrin siyahısını əlavə etmək;

Təhdidlərin ehtimalını qiymətləndirin;

Resurs zəifliklərini müəyyən etmək;

Təcavüzkarların təsirindən potensial zərəri qiymətləndirin.

Davamlı olaraq minimum dəyişikliklərlə istifadə edilə bilən risklərin qiymətləndirilməsi metodologiyasını tapmaq lazımdır. İki yol var: bazarda risklərin qiymətləndirilməsi üçün mövcud üsul və vasitələrdən istifadə etmək və ya şirkətin xüsusiyyətlərinə və İBS-in əhatə etdiyi fəaliyyət sahəsinə uyğunlaşdırılmış öz metodologiyanızı yaratmaq.

Sonuncu seçim daha üstündür, çünki bu günə qədər bazarda bu və ya digər risk təhlili metodologiyasını tətbiq edən məhsulların əksəriyyəti Standartın tələblərinə cavab vermir. Belə texnikanın tipik çatışmazlıqları aşağıdakılardır:

· Dəyişdirilməsi çox vaxt qeyri-mümkün olan təhdidlərin və zəifliklərin standart dəsti;

· İnsan resursları, xidmətlər və digər mühüm resurslar nəzərə alınmadan yalnız proqram təminatı, aparat və informasiya resurslarının aktiv kimi qəbul edilməsi;

· Davamlı və təkrarlanan istifadə baxımından metodologiyanın ümumi mürəkkəbliyi.

· Risklərin qəbulu üçün meyarlar və məqbul risk səviyyələri (təşkilatın strateji, təşkilati və idarəetmə məqsədlərinə nail olunmasına əsaslanmalıdır).

d) Riskin müəyyən edilməsi.

Aktivlərin və onların sahiblərinin müəyyən edilməsi

Məlumat daxiletmə məlumatları;

İnformasiya çıxışı;

Məlumat qeydləri;

Resurslar: insanlar, infrastruktur, aparat, proqram təminatı, alətlər, xidmətlər.

· Təhdidlərin müəyyən edilməsi (risklərin qiymətləndirilməsi üçün standartlar çox vaxt əlavə və genişləndirilə bilən təhlükə siniflərini təklif edir).

· Zəifliklərin müəyyən edilməsi (həmçinin təşkilatınızı təhlil edərkən etibar edə biləcəyiniz ən ümumi zəifliklərin siyahıları var).

· Aktivlərin dəyərinin müəyyən edilməsi (aktivlərin məxfiliyinin, bütövlüyünün və mövcudluğunun itirilməsinin mümkün nəticələri). Aktivin dəyəri haqqında məlumat onun sahibindən və ya mülkiyyətçinin bu aktiv üzərində bütün səlahiyyətləri, o cümlədən onun təhlükəsizliyini təmin etmək səlahiyyətini həvalə etdiyi şəxsdən əldə edilə bilər.

e) Riskin qiymətləndirilməsi.

· Aktivlərin məxfiliyinin, bütövlüyünün və mövcudluğunun itirilməsi nəticəsində biznesə dəyə biləcək zərərin qiymətləndirilməsi.

· Mövcud İS idarəetmə alətləri nəzərə alınmaqla, mövcud zəifliklər vasitəsilə təhdidlərin həyata keçirilməsi ehtimalının qiymətləndirilməsi və dəymiş mümkün zərərin qiymətləndirilməsi;

· Risk səviyyəsinin müəyyən edilməsi.

Riskin qəbulu meyarlarının tətbiqi (məqbul / müalicə tələb edən).

f) Riskin müalicəsi (seçilmiş risklərin idarə edilməsi strategiyasına uyğun olaraq).

Mümkün tədbirlər:

Passiv hərəkətlər:

Riskin qəbulu (nəticədə risk səviyyəsinin məqbul olmasına dair qərar);

Riskdən yayınma (verilmiş risk səviyyəsinə səbəb olan fəaliyyəti dəyişdirmək qərarı - veb serveri yerli şəbəkədən kənara çıxarmaq);

Aktiv hərəkətlər:

Riskin azaldılması (təşkilati və texniki əks tədbirlərdən istifadə etməklə);

Riskin ötürülməsi (sığorta (yanğın, oğurluq, proqram səhvləri)).

Mümkün tədbirlərin seçimi qəbul edilmiş risk meyarlarından asılıdır (məqbul risk səviyyəsi müəyyən edilir, informasiya təhlükəsizliyinin idarə edilməsi ilə azaldıla bilən risk səviyyələri, fəaliyyət növündən imtina etmək və ya dəyişdirmək tövsiyə olunan risk səviyyələri). buna səbəb olur və digər tərəflərə ötürülməsi arzuolunan risklər) ...

g) Risklərin müalicəsi üçün məqsəd və nəzarət vasitələrinin seçilməsi.

Məqsədlər və nəzarət risklərin idarə edilməsi strategiyasını həyata keçirməli, risklərin qəbulu meyarlarını, hüquqi, normativ və digər tələbləri nəzərə almalıdır.

ISO 27001-2005 risklərin müalicəsi planının qurulması üçün əsas kimi məqsədlər və nəzarətlərin siyahısını təqdim edir (ISMS tələbləri).

Riskin müalicəsi planı risk səviyyələrini azaltmaq üçün prioritet tədbirlərin siyahısını ehtiva edir və aşağıdakıları göstərir:

· Bu tədbirlərin həyata keçirilməsinə cavabdeh olan şəxslər və vəsaitlər;

· fəaliyyətin həyata keçirilməsi şərtləri və onların həyata keçirilməsi prioritetləri;

· Belə fəaliyyətlərin həyata keçirilməsi üçün resurslar;

· Tədbirlərin və nəzarət tədbirlərinin həyata keçirilməsindən sonra qalıq risklərin səviyyələri.

Təşkilatın yuxarı rəhbərliyi risklə mübarizə planının qəbulu və nəzarəti üçün məsuliyyət daşıyır. Planın əsas fəaliyyət istiqamətlərinin yerinə yetirilməsi İİS-in istismara verilməsi haqqında qərarın qəbul edilməsi üçün meyardır.

Bu mərhələdə informasiya təhlükəsizliyinin tənzimləyici, təşkilati, idarəetmə, texnoloji və texniki və proqram təminatı səviyyələrinə uyğun olaraq strukturlaşdırılmış İS üçün müxtəlif əks tədbirlərin seçilməsi üçün əsaslar hazırlanır. (Bundan sonra seçilmiş informasiya risklərinin idarə edilməsi strategiyasına uyğun olaraq əks tədbirlər kompleksi həyata keçirilir). Risk təhlilinin tam versiyası ilə hər bir risk üçün əks tədbirlərin effektivliyi əlavə olaraq qiymətləndirilir.

h) Rəhbərliyin təklif olunan qalıq riskinin təsdiqi.

i) İBS-nin tətbiqi və istismara verilməsi üçün rəhbərliyin təsdiqini almaq.

j) Tətbiq edilə bilənlik haqqında bəyanat (ISO 27001-2005-ə uyğun olaraq).

İBS-nin istifadəyə verildiyi tarix, şirkətin yüksək rəhbərliyi tərəfindən riskləri idarə etmək üçün təşkilat tərəfindən seçilmiş məqsədləri və vasitələri təsvir edən Nəzarət Tətbiqinin Tətbiq edilməsi haqqında Bəyannaməni təsdiq etdiyi tarixdir:

· Riskin müalicəsi mərhələsində seçilmiş nəzarət və nəzarət vasitələri;

· Təşkilatda artıq mövcud olan idarəetmə və nəzarət vasitələri;

· Tənzimləyici təşkilatların qanuni tələblərinə və tələblərinə əməl olunmasını təmin edən vasitələr;

· Müştəri tələblərinin yerinə yetirilməsini təmin edən vasitələr;

· Ümumi korporativ tələblərin yerinə yetirilməsini təmin edən vasitələr;

· Hər hansı digər müvafiq idarəetmə və nəzarət vasitələri.

Mərhələ 2. İBS-nin tətbiqi və istismarı.

İnformasiya təhlükəsizliyi sahəsində informasiya təhlükəsizliyi siyasətini, nəzarətlərini, proseslərini və prosedurlarını həyata keçirmək və idarə etmək üçün aşağıdakı tədbirlər həyata keçirilir:

a) Riskin müalicəsi planının hazırlanması (planlaşdırılmış nəzarət vasitələrinin, onların həyata keçirilməsi üçün tələb olunan resursların (proqram təminatı, texniki təchizat, personal) təsviri, dəstək, nəzarət və informasiya təhlükəsizliyi risklərinin idarə edilməsi üçün idarəetmə vəzifələri (planlaşdırma zamanı sənədlərin işlənib hazırlanması) mərhələ, informasiya təhlükəsizliyi məqsədlərinin dəstəklənməsi, rolların və öhdəliklərin müəyyən edilməsi, İBS-nin yaradılması üçün lazımi resursların təmin edilməsi, audit və nəzərdən keçirilməsi).

b) Risklərin müalicəsi planının həyata keçirilməsi üçün maliyyə vəsaitlərinin, rolların və öhdəliklərin bölüşdürülməsi.

c) Planlaşdırılmış nəzarət tədbirlərinin həyata keçirilməsi.

d) müqayisə edilə bilən və təkrarlana bilən nəticələri təmin edəcək nəzarət vasitələrinin performans göstəricilərinin (metriklərinin), onların ölçülməsi üsullarının yaradılması.

e) İnformasiya təhlükəsizliyi sahəsində kadrların öz vəzifə öhdəliklərinə uyğun olaraq ixtisaslarının, məlumatlılığının yüksəldilməsi.

f) İBS-nin fəaliyyətinin idarə edilməsi, İBS-nin saxlanılması, monitorinqi və təkmilləşdirilməsi üçün resursların idarə edilməsi.

g) İnformasiya təhlükəsizliyi insidentlərinin sürətli aşkarlanması və cavablandırılması üçün prosedurların və digər nəzarət tədbirlərinin həyata keçirilməsi.

Mərhələ 3: İBS-nin fəaliyyətinin davamlı monitorinqi və təhlili.

Bu mərhələ proseslərin əsas performans göstəricilərinin qiymətləndirilməsi və ya ölçülməsi, nəticələrin təhlili və təhlil üçün rəhbərliyə hesabatların təqdim edilməsini əhatə edir və aşağıdakıları əhatə edir:

a) Davamlı monitorinq və təhlilin aparılması (İSMS-in fəaliyyətində səhvləri tez aşkar etməyə, təhlükəsizlik insidentlərini tez müəyyən etməyə və onlara cavab verməyə, İBS-də personalın və avtomatlaşdırılmış sistemlərin rollarını müəyyənləşdirməyə, qeyri-adi davranışı təhlil edərək təhlükəsizlik insidentlərinin qarşısını almağa və təhlükəsizlik insidentlərinin emalının effektivliyini müəyyən etmək).

b) İBS-nin effektivliyinin müntəzəm nəzərdən keçirilməsi (İBS siyasətinə və məqsədlərinə uyğunluğun nəzərdən keçirilməsi, auditlər, əsas fəaliyyət göstəriciləri, təkliflər və maraqlı tərəflərin cavabları).

c) Təhlükəsizlik tələblərinin yerinə yetirildiyini yoxlamaq üçün nəzarət vasitələrinin effektivliyinin ölçülməsi

d) Risklərin vaxtaşırı yenidən qiymətləndirilməsi, qalıq risklərin təhlili və təşkilatda hər hansı dəyişiklik üçün məqbul risk səviyyələrinin müəyyən edilməsi (biznesin məqsədləri və prosesləri, müəyyən edilmiş təhlükələr, yeni aşkar edilmiş zəifliklər və s.)

e) İBS-nin dövri daxili auditləri.

ISMS auditi - seçilmiş əks tədbirlərin təşkilatın İS-də elan edilmiş biznesin məqsəd və vəzifələrinə uyğunluğunun yoxlanılması, nəticələrinə əsasən qalıq risklər qiymətləndirilir və zəruri hallarda optimallaşdırılır.

f) Rəhbərlik tərəfindən İBS-in əhatə dairəsi və meylinin müntəzəm olaraq nəzərdən keçirilməsi.

g) Monitorinq və təhlilin nəticələrini əldə etmək üçün risklərin idarə edilməsi planlarının yenilənməsi.

h) İBS-nin effektivliyinə və ya keyfiyyətinə mənfi təsir göstərən hadisələrin jurnalının aparılması.

Mərhələ 4. ISMS-in saxlanılması və təkmilləşdirilməsi.

Daxili İBS auditinin və idarəetmə təhlilinin nəticələrinə əsasən, İBS-nin davamlı təkmilləşdirilməsi üçün düzəldici və qabaqlayıcı tədbirlər hazırlanır və həyata keçirilir:

a) İnformasiya təhlükəsizliyi siyasətinin təkmilləşdirilməsi, informasiya təhlükəsizliyi məqsədləri, audit, müşahidə olunan hadisələrin təhlili.

b) İBS tələblərinə uyğunsuzluğu aradan qaldırmaq üçün düzəldici və qabaqlayıcı tədbirlərin işlənib hazırlanması və həyata keçirilməsi.

c) İBS-də təkmilləşdirmələrin monitorinqi.

Nəticə

ISO 27001 İSMS-in tətbiqi və istismarı üçün ümumi modeli və İBS-nin monitorinqi və təkmilləşdirilməsi üçün tədbirləri təsvir edir. ISO keyfiyyətin idarə edilməsi ilə məşğul olan ISO / IEC 9001: 2000 və ətraf mühitin idarə edilməsi sistemləri ilə məşğul olan ISO / IEC 14001: 2004 kimi müxtəlif idarəetmə sistemi standartlarını uyğunlaşdırmaq niyyətindədir. İSO-nun məqsədi İBS-nin şirkətdəki digər idarəetmə sistemləri ilə ardıcıllığını və inteqrasiyasını təmin etməkdir. Standartların oxşarlığı tətbiq, idarəetmə, təftiş, yoxlama və sertifikatlaşdırma üçün oxşar alətlərdən və funksionallıqdan istifadə etməyə imkan verir. Nəticə ondan ibarətdir ki, əgər şirkət digər idarəetmə standartlarını tətbiq edibsə, o, keyfiyyətin idarə edilməsi, ətraf mühitin idarə edilməsi, təhlükəsizlik idarəetməsi və s. sahələrə tətbiq olunan vahid audit və idarəetmə sistemindən istifadə edə bilər. ISMS tətbiq etməklə, yüksək səviyyəli rəhbərlik təhlükəsizliyi izləmək və idarə etmək üçün vasitələr əldə edir ki, bu da qalıq biznes risklərini azaldır. İBS-ni tətbiq etdikdən sonra şirkət rəsmi olaraq məlumatın təhlükəsizliyini təmin edə və müştərilərin, qanunvericiliyin, tənzimləyicilərin və səhmdarların tələblərinə əməl etməyə davam edə bilər.

Qeyd etmək lazımdır ki, Rusiya Federasiyasının qanunvericiliyində ISO27001 beynəlxalq standartının tərcümə edilmiş versiyası olan GOST R ISO / IEC 27001-2006 sənədi mövcuddur.

Biblioqrafiya

1.Korneev I.R., Belyaev A.V. Müəssisənin informasiya təhlükəsizliyi. - SPb .: BHV-Peterburq, 2003 .-- 752 s.

2. Beynəlxalq standart ISO 27001

(http://www.specon.ru/files/ISO27001.pdf) (giriş tarixi: 23/05/12).

3. Rusiya Federasiyasının milli standartı GOST R ISO / IEC 27003 - "İnformasiya texnologiyası. Təhlükəsizliyin təmin edilməsi üsulları. İnformasiya Təhlükəsizliyi İdarəetmə Sisteminin tətbiqi üçün təlimatlar.

(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (giriş tarixi: 23.05.12).

4. Skiba V.Yu., Kurbatov V.A. İnformasiya təhlükəsizliyinə daxili təhdidlərdən qorunmaq üçün təlimatlar. SPb .: Peter, 2008 .-- 320 s.

İnformasiya təhlükəsizliyinin idarə edilməsi sistemi informasiya təhlükəsizliyinin inkişafı, həyata keçirilməsi, istismarı, monitorinqi, təhlili, dəstəklənməsi və təkmilləşdirilməsi üçün biznes risklərinin qiymətləndirilməsi metodlarından istifadəyə əsaslanan ümumi idarəetmə sisteminin bir hissəsidir.

İdarəetmə sisteminə təşkilati struktur, siyasət, planlaşdırma fəaliyyəti, məsuliyyətlər, təcrübələr, prosedurlar, proseslər və resurslar daxildir [GOST R ISO / IEC 27001-2006]

ISO 27001 standartı İnformasiya Təhlükəsizliyi İdarəetmə Sistemi (ISMS) üçün tələbləri müəyyən edir. Standartın tələbləri müəyyən dərəcədə mücərrəddir və şirkətin fəaliyyətinin hər hansı sahəsinin xüsusiyyətləri ilə əlaqəli deyil.

90-cı illərin əvvəllərində informasiya sistemlərinin inkişafı təhlükəsizlik idarəetmə standartının yaradılması zərurətinə səbəb oldu. Böyük Britaniya Hökumətinin və Sənayesinin tələbi ilə Böyük Britaniyanın Ticarət və Sənaye Departamenti ISMS Təcrübələrini işləyib hazırlayıb.

İlkin BS 7799 standartı bir sıra sınaqlar və düzəlişlər ilə uzun bir yol keçmişdir. Onun “karyerasında” ən mühüm mərhələ 2005-ci ildə İBS-nin qiymətləndirilməsi standartının beynəlxalq kimi tanınması (yəni onun müasir İBS-ə olan tələblərinin ardıcıllığının təsdiqlənməsi) olmuşdur. Həmin andan etibarən dünyanın aparıcı müəssisələri ISO 27001 standartını fəal şəkildə tətbiq etməyə və sertifikatlaşdırmaya hazırlaşmağa başladılar.

ISMS strukturu

Müasir İSMS təşkilati, sənədli, proqram və aparat komponentlərini özündə birləşdirən proses yönümlü idarəetmə sistemidir. BSMS ilə bağlı aşağıdakı "baxışları" ayırd etmək olar: proses, sənədli və yetkinlik.

İBS prosesləri Planla-İşlə-Yoxla-Hərəkətli idarəetmə dövrünə əsaslanan ISO / IEC 27001: 2005 standartının tələblərinə uyğun olaraq yaradılır. Buna uyğun olaraq, İBS-nin həyat dövrü dörd fəaliyyət növündən ibarətdir: Yaradılma - Tətbiq və istismar - Monitorinq və təhlil - Baxım və təkmilləşdirmə. Sənədləşdirilmiş ISMS prosesləri 27001 standartının bütün tələblərinin yerinə yetirilməsini təmin edir.

İBS sənədləri siyasətlərdən, sənədləşdirilmiş prosedurlardan, standartlardan və qeydlərdən ibarətdir və iki hissəyə bölünür: İBS idarəetmə sənədləri və İBS-nin əməliyyat sənədləri.

İBS-in yetkinlik modeli hazırlanmış sənədlərin təfərrüatını və İBS-nin idarə edilməsi və əməliyyat proseslərinin avtomatlaşdırılması dərəcəsini müəyyən edir. CobiT yetkinlik modeli qiymətləndirmə və planlaşdırmada istifadə olunur. İSMS-in Yetkinliyinin Təkmilləşdirilməsi Proqramı İS idarəetmə proseslərini və İS obyektlərinin fəaliyyətinin idarə edilməsini təkmilləşdirmək üçün tədbirlərin tərkibini və vaxtını təmin edir.

Standart inkişaf, tətbiq, əməliyyat, nəzarət, təhlil, dəstək və təkmilləşdirməni özündə cəmləşdirən İBS-nin həyat dövrünə PDCA (Plan et-yoxla-hərəkət et) modelinin tətbiqini təklif edir (Şəkil 1).

Plan - İBS-nin yaradılması, aktivlərin siyahısının yaradılması, risklərin qiymətləndirilməsi və tədbirlərin seçilməsi mərhələsi;

Et (Fəaliyyət) - müvafiq tədbirlərin həyata keçirilməsi və həyata keçirilməsi mərhələsi;

Yoxla - İBS-nin effektivliyinin və səmərəliliyinin qiymətləndirilməsi mərhələsi. Adətən daxili auditorlar tərəfindən həyata keçirilir.

Akt (Təkmilləşdirmələr) - Önləyici və düzəldici tədbirlər həyata keçirin.

İBS-nin yaradılması prosesi 4 mərhələdən ibarətdir:

İnformasiya təhlükəsizliyi risklərinin idarə edilməsi yollarını müəyyən etmək, təhlil etmək və dizayn etmək məqsədi daşıyan planlaşdırma prosesi. Bu prosesi yaradarkən, nəzərdən keçirilən informasiya infrastrukturuna aid olan təhdidlər və zəifliklər haqqında məlumatlar əsasında informasiya aktivlərinin təsnifatı və formal risk qiymətləndirilməsi üçün metodologiya hazırlanmalıdır. PCI DSS audit sahəsinə gəldikdə, müxtəlif kritiklik səviyyələrinə malik iki növ dəyərli məlumat aktivini ayırd etmək olar - kart sahibi məlumatları və kritik autentifikasiya məlumatları.

Yeni informasiya təhlükəsizliyi prosesinin başlaması və ya mövcud olanın modernləşdirilməsi prosedurunu təsvir edən planlaşdırılmış risk müalicəsi üsullarının həyata keçirilməsi prosesi. Rol və məsuliyyətlərin təsvirinə və həyata keçirilməsinin planlaşdırılmasına xüsusi diqqət yetirilməlidir.

Fəaliyyət göstərən ISMS proseslərinin monitorinqi prosesi (qeyd etmək lazımdır ki, həm ISMS prosesləri, həm də İBS-nin özü effektivliyin monitorinqinə məruz qalır - axırda dörd idarəetmə prosesi qranit heykəllər deyil və özünü aktuallaşdırma onlara aiddir).

Monitorinqin nəticələrinə uyğun olaraq ISMS proseslərinin təkmilləşdirilməsi prosesi, düzəldici və qabaqlayıcı tədbirlərin həyata keçirilməsinə imkan verir.

ISO / IEC_27001 tələblərinə uyğun qurulubsa, o, PDCA modelinə əsaslanır:

Plan(Planlaşdırma) - İBS-nin yaradılması, aktivlərin siyahısının yaradılması, risklərin qiymətləndirilməsi və tədbirlərin seçilməsi mərhələsi;

Et(Fəaliyyət) - müvafiq tədbirlərin həyata keçirilməsi və həyata keçirilməsi mərhələsi;

Yoxlayın(Yoxlama) - İBS-nin effektivliyinin və fəaliyyətinin qiymətləndirilməsi mərhələsi. Adətən daxili auditorlar tərəfindən həyata keçirilir.

Akt(Təkmilləşdirmələr) - qabaqlayıcı və düzəldici tədbirlərin həyata keçirilməsi;

İnformasiya təhlükəsizliyi konsepsiyası

ISO 27001 standartı informasiya təhlükəsizliyini aşağıdakı kimi müəyyən edir: “məlumatın məxfiliyini, bütövlüyünü və əlçatanlığını qorumaq; Bundan əlavə, orijinallıq, rədd edilməməsi, etibarlılığı kimi digər xüsusiyyətlər də daxil edilə bilər.

Məxfilik - məlumatın yalnız müvafiq səlahiyyətə malik olanlar (səlahiyyətli istifadəçilər) üçün əlçatanlığının təmin edilməsi.

Dürüstlük - informasiyanın düzgünlüyünün və tamlığının, habelə onun emalı üsullarının təmin edilməsi.

Mövcudluq - zərurət olduqda (tələb üzrə) səlahiyyətli istifadəçilərin məlumatlara çıxışının təmin edilməsi.

4 İnformasiya təhlükəsizliyi idarəetmə sistemi

4.1 Ümumi tələblər

Təşkilat təşkilatın bütün biznes fəaliyyəti və üzləşdiyi risklər üzrə sənədləşdirilmiş İBS müddəalarını yaratmalı, tətbiq etməli, istifadə etməli, nəzarət etməli, nəzərdən keçirməli, saxlamalı və təkmilləşdirməlidir. Bu Beynəlxalq Standartın praktiki faydası üçün istifadə olunan proses Şəkil 1-də göstərilən PDCA modelinə əsaslanır. 1.

4.2 İBS-nin yaradılması və idarə edilməsi

4.2.1 İBS-nin yaradılması

Təşkilat aşağıdakıları etməlidir.

a) Təşkilatın fəaliyyətinin xüsusiyyətlərini, təşkilatın özünü, yerləşdiyi yeri, aktivlərini və texnologiyasını nəzərə alaraq, İBS-nin əhatə dairəsini və sərhədlərini, o cümlədən sənədin hər hansı müddəalarının İBS layihəsindən çıxarılmasının təfərrüatlarını və əsaslandırmalarını müəyyən etmək (bax. 1.2). ).

b) Təşkilatın fəaliyyətinin xüsusiyyətlərini, təşkilatın özünü, yerləşdiyi yeri, aktivlərini və texnologiyasını nəzərə alaraq, İBS siyasətini işləyib hazırlayır:

1) məqsədlərin (məqsədlərin) müəyyən edilməsi sistemini ehtiva edir və idarəetmənin ümumi istiqamətini və informasiya təhlükəsizliyi ilə bağlı fəaliyyət prinsiplərini müəyyən edir;

2) biznes və hüquqi və ya normativ tələbləri, müqavilə üzrə təminat öhdəliklərini nəzərə alır;

3) İBS-nin yaradılması və saxlanmasının baş verdiyi strateji risklərin idarə edilməsi mühitinə qoşulur;

4) riskin qiymətləndiriləcəyi meyarları müəyyən edir (bax 4.2.1 c)); və

5) rəhbərlik tərəfindən təsdiq edilir.

QEYD: Bu Beynəlxalq Standartın məqsədləri üçün ISMS siyasəti geniş məlumat təhlükəsizliyi siyasətləri toplusudur. Bu siyasətlər bir sənəddə təsvir edilə bilər.

c) Təşkilatda risklərin qiymətləndirilməsi üçün çərçivə hazırlayın.

1) İSMS və müəyyən edilmiş biznes informasiya təhlükəsizliyi, hüquqi və normativ tələblərə uyğun olan risklərin qiymətləndirilməsi metodologiyasını müəyyən etmək.

2) Riskin qəbul edilməsi üçün meyarlar hazırlamaq və məqbul risk səviyyələrini müəyyən etmək (bax 5.1f).

Seçilmiş risklərin qiymətləndirilməsi metodologiyası risklərin qiymətləndirilməsinin müqayisə edilə bilən və təkrarlana bilən nəticələr verməsini təmin etməlidir.

QEYD: Müxtəlif risklərin qiymətləndirilməsi metodologiyaları mövcuddur. Risklərin qiymətləndirilməsi metodologiyalarının nümunələri ISO / IEC TU 13335-3-də nəzərdən keçirilir, İnformasiya Texnologiyaları - İdarəetmə TövsiyələriOTəhlükəsizlik - İdarəetmə TexnikalarıOTəhlükəsizlik.

d) Riskləri müəyyən etmək.

1) İSMS çərçivəsində aktivləri və sahibləri müəyyən edin2 (2 "Sahibi" termini aktivlərin istehsalına, inkişafına, saxlanmasına, istifadəsinə və təhlükəsizliyinə nəzarət etmək üçün təsdiq edilmiş fiziki və ya qurumla eyniləşdirilir. Termin “sahibi” şəxsin bu aktivlər üzərində hər hansı mülkiyyət hüququna malik olması anlamına gəlmir.

2) Bu aktivlər üçün təhlükələri müəyyən edin.

3) Müdafiə sistemindəki zəiflikləri müəyyən edin.

4) Aktivlərin məxfiliyini, bütövlüyünü və mövcudluğunu pozan təsirləri müəyyən edin.

e) Riskləri təhlil etmək və qiymətləndirmək.

1) Mühafizə sisteminin nasazlığı, habelə aktivlərin məxfiliyinin, bütövlüyünün və ya mövcudluğunun pozulması nəticəsində təşkilatın biznesinə dəyə biləcək zərərin qiymətləndirilməsi.

2) Mövcud təhlükələr və zəifliklər, aktivlərlə bağlı təsirlər və hazırda qüvvədə olan nəzarətlər fonunda təhlükəsizliyin pozulması ehtimalını müəyyən edin.

3) Risk səviyyələrini qiymətləndirin.

4) 4.2.1c) 2).

f) Riskin azaldılması üçün alətləri müəyyən etmək və qiymətləndirmək.

Mümkün tədbirlərə aşağıdakılar daxildir:

1) Müvafiq nəzarət vasitələrinin tətbiqi;

2) Risklərin şüurlu və obyektiv qəbul edilməsi, onların təşkilatın siyasətinin tələblərinə və risklərə dözümlülük meyarlarına qeyd-şərtsiz uyğunluğunu təmin etmək (bax 4.2.1c) 2));

3) Riskdən yayınma; və

4) Müvafiq biznes risklərinin digər tərəfə, məsələn, sığorta şirkətlərinə, təchizatçılara ötürülməsi.

g) Riskləri azaltmaq üçün tapşırıqlar və nəzarət vasitələri seçin.

Məqsədlər və nəzarət vasitələri risklərin qiymətləndirilməsi və risklərin azaldılması prosesi ilə müəyyən edilmiş tələblərə uyğun seçilməli və həyata keçirilməlidir. Bu seçim həm riskin məqbulluğu meyarlarını (bax 4.2.1c) 2)), həm də hüquqi, tənzimləyici və müqavilə tələblərini nəzərə almalıdır.

Əlavə A-dakı tapşırıqlar və nəzarətlər müəyyən edilmiş tələblərə cavab vermək üçün bu prosesin bir hissəsi kimi seçilməlidir.

Bütün tapşırıqlar və nəzarət elementləri Əlavə A-da göstərilmədiyi üçün əlavə tapşırıqlar seçilə bilər.

QEYD: Əlavə A təşkilatlar üçün ən uyğun olduğu müəyyən edilmiş idarəetmə məqsədlərinin əhatəli siyahısını ehtiva edir. Nəzarət variantlarından bir vacib məqamı qaçırmamaq üçün bu Beynəlxalq Standartdan istifadə nümunə götürmə nəzarəti üçün başlanğıc nöqtəsi kimi A Əlavəsini rəhbər tutmalıdır.

h) Gözlənilən qalıq risklərin idarə edilməsinin təsdiqinə nail olmaq.

4) təhlükəsizlik hadisələrinin aşkar edilməsini asanlaşdırmaq və beləliklə, müəyyən edilmiş göstəricilərdən istifadə edərək təhlükəsizlik insidentlərinin qarşısını almaq; və

5) təhlükəsizlik pozuntularının qarşısının alınması üçün görülən tədbirlərin səmərəliliyini müəyyən etmək.

b) Auditlərin nəticələri, insidentlər, fəaliyyətin ölçülməsi, bütün maraqlı tərəflərin təklif və tövsiyələri nəzərə alınmaqla İBS-nin effektivliyinin müntəzəm olaraq nəzərdən keçirilməsini (o cümlədən İBS siyasətinin və onun məqsədlərinin müzakirəsi, təhlükəsizliyə nəzarət vasitələrinin nəzərdən keçirilməsi).

c) Təhlükəsizlik tələblərinin yerinə yetirilib-yetirilmədiyini müəyyən etmək üçün nəzarət vasitələrinin effektivliyini qiymətləndirin.

d) Riskin qiymətləndirilməsini planlaşdırılan dövrlərlə müqayisədə yoxlayın və aşağıdakı dəyişiklikləri nəzərə alaraq qalıq riskləri və risklərə dözümlülükləri yoxlayın:

1) təşkilatlar;

2) texnologiya;

3) biznes məqsədləri və prosesləri;

4) müəyyən edilmiş təhlükələr;

5) həyata keçirilən idarəetmə vasitələrinin səmərəliliyi; və

6) hüquqi və idarəetmə mühitindəki dəyişikliklər, dəyişdirilmiş müqavilə öhdəlikləri, sosial iqlimdəki dəyişikliklər kimi xarici hadisələr.

e) Planlaşdırılan dövrlərdə İBS-nin daxili auditini aparmaq (bax 6)

QEYD: Bəzən ilkin audit adlanan daxili auditlər, öz məqsədləri üçün təşkilatın özünün adından aparılır.

f) Vəziyyətin qüvvədə qalmasını və İBS-nin təkmilləşdirilməsini təmin etmək üçün mütəmadi olaraq İBS-nin idarə edilməsini nəzərdən keçirin.

g) Monitorinq və audit nəticələrinə əsasən təhlükəsizlik planlarını yeniləyin.

h) İBS-nin effektivliyinə və ya icrasına təsir edə biləcək hərəkətləri və hadisələri qeyd edin (bax 4.3.3).

4.2.4 İBS-nin saxlanılması və təkmilləşdirilməsi

Təşkilat davamlı olaraq aşağıdakıları etməlidir.

a) İBS-də xüsusi düzəlişləri həyata keçirin.

b) 8.2 və 8.3-ə uyğun olaraq müvafiq düzəldici və qabaqlayıcı tədbirlər görmək. Təşkilatın özünün və digər təşkilatların təcrübəsindən əldə etdiyi bilikləri tətbiq edin.

c) öz hərəkətlərini və təkmilləşdirmələrini vəziyyətə uyğun təfərrüatlı səviyyədə bütün maraqlı tərəflərə çatdırmaq; və müvafiq olaraq öz hərəkətlərini əlaqələndirirlər.

d) Təkmilləşdirmələrin nəzərdə tutulmuş məqsədə çatdığını yoxlayın.

4.3 Sənədləşdirmə tələbləri

4.3.1 Ümumi

Sənədləşməyə idarəetmə qərarlarının protokolları (qeydləri) daxil edilməlidir, hərəkətə ehtiyacın qərarlar və idarəetmə siyasətləri ilə bağlı olduğuna inandırmaq; və qeydə alınmış nəticələrin təkrarlanmasını təmin etmək.

Seçilmiş nəzarət vasitələrinin risklərin qiymətləndirilməsi və riskin azaldılması proseslərinin nəticələrinə, daha sonra isə İBS siyasəti və onun məqsədlərinə dair rəylərini nümayiş etdirə bilmək vacibdir.

ISMS sənədlərinə aşağıdakılar daxil edilməlidir:

a) İBS siyasəti və məqsədləri haqqında sənədləşdirilmiş bəyanat (bax 4.2.1b));

b) İBS-nin mövqeyi (bax 4.2.1a));

c) İBS-ni dəstəkləyən konsepsiya və nəzarət vasitələri;

d) riskin qiymətləndirilməsi metodologiyasının təsviri (bax 4.2.1c));

e) risklərin qiymətləndirilməsi hesabatı (bax 4.2.1c) - 4.2.1g));

f) riskin azaldılması planı (bax 4.2.2b));

g) təşkilatın informasiya təhlükəsizliyi proseslərini səmərəli şəkildə planlaşdırması, idarə etməsi və idarə etməsi və nəzarət vasitələrinin effektivliyinin necə ölçüldüyünü təsvir etmək üçün zəruri olan sənədləşdirilmiş konsepsiya (bax. 4.2.3c));

h) bu Beynəlxalq Standartla tələb olunan sənədlər (bax. 4.3.3); və

i) Tətbiq olunma haqqında bəyanat.

QEYD 1: Bu Beynəlxalq Standartın məqsədləri üçün “sənədləşdirilmiş konsepsiya” termini konsepsiyanın həyata keçirilməsini, sənədləşdirilməsini, həyata keçirilməsini və ona əməl olunmasını bildirir.

QEYD 2: Müxtəlif təşkilatlarda İBS sənədlərinin ölçüsü aşağıdakılardan asılı olaraq dəyişə bilər:

Təşkilatın ölçüsü və aktivlərinin növü; və

Təhlükəsizlik tələblərinin və idarə olunan sistemin miqyası və mürəkkəbliyi.

QEYD 3: Sənədlər və hesabatlar istənilən formada təqdim edilə bilər.

4.3.2 Sənədlərə nəzarət

İBS-nin tələb etdiyi sənədlər qorunmalı və tənzimlənməlidir. İdarəetmə tədbirlərini təsvir etmək üçün lazım olan sənədləşdirmə prosedurunu təsdiqləmək lazımdır:

a) sənədlərin dərc edilməzdən əvvəl müəyyən standartlara uyğunluğunun müəyyən edilməsi;

b) zəruri hallarda sənədləri yoxlamaq və yeniləmək, sənədləri yenidən təsdiqləmək;

c) dəyişikliklərin yenidən işlənmiş sənədlərin hazırkı vəziyyətinə uyğunluğunun təmin edilməsi;

d) etibarlı sənədlərin mühüm versiyalarının mövcudluğunun təmin edilməsi;

e) sənədlərin başa düşülən və oxunaqlı olmasını təmin etmək;

f) sənədləri ehtiyacı olanlara təqdim etmək; habelə təsnifatından asılı olaraq tətbiq edilən prosedurlara uyğun olaraq onların köçürülməsi, saxlanması və nəhayət məhv edilməsi;

g) xarici mənbələrdən sənədlərin həqiqiliyinin müəyyən edilməsi;

h) sənədlərin yayılmasına nəzarət etmək;

i) köhnəlmiş sənədlərdən məqsədsiz istifadənin qarşısının alınması; və

j) hər ehtimala qarşı saxlanılırsa, onlara müvafiq eyniləşdirmə metodunun tətbiqi.

4.3.3 Qeydlərə nəzarət

İBS-nin uyğunluğunun və effektiv işləməsinin sübutunu təmin etmək üçün qeydlər yaradılmalı və saxlanılmalıdır. Qeydlər qorunmalı və yoxlanılmalıdır. BSMS istənilən hüquqi və normativ tələbləri və müqavilə öhdəliklərini nəzərə almalıdır. Qeydlər başa düşülən, asanlıqla müəyyən edilə bilən və bərpa edilə bilən olmalıdır. Qeydlərin müəyyən edilməsi, saxlanması, mühafizəsi, bərpası, saxlanması və məhv edilməsi üçün zəruri olan nəzarət tədbirləri sənədləşdirilməli və həyata keçirilməlidir.

Qeydlərə 4.2-ci bənddə təsvir edilən fəaliyyətlərin həyata keçirilməsi, İSMS ilə bağlı bütün insidentlər və əhəmiyyətli təhlükəsizlik insidentləri haqqında məlumat daxil edilməlidir.

Girişlərə misal olaraq qonaq dəftəri, audit jurnalları və doldurulmuş giriş icazəsi formalarıdır.