Príklady systémov riadenia informačnej bezpečnosti. Vytvorenie systému riadenia informačnej bezpečnosti (smib). Systém riadenia informačnej bezpečnosti

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.

Uverejnené dňa http://www.allbest.ru/

"Systém riadenia bezpečnosti informácií"

medzinárodný štandard riadenia

Vdirigovanie

Systém riadenia informačnej bezpečnosti je súbor procesov, ktoré fungujú v spoločnosti na zabezpečenie dôvernosti, integrity a dostupnosti informačných aktív. Prvá časť eseje sa zaoberá procesom implementácie systému manažérstva v organizácii a poskytuje aj hlavné aspekty výhod zavedenia systému manažérstva informačnej bezpečnosti.

Obr. Kontrolný cyklus

Zoznam procesov a odporúčaní, ako čo najlepšie organizovať ich fungovanie, uvádza medzinárodná norma ISO 27001: 2005, ktorá vychádza z manažérskeho cyklu Plan-Do-Check-Act. V súlade s ním životný cyklus ISMS pozostáva zo štyroch typov činností: Tvorba - Implementácia a prevádzka - Monitorovanie a analýza - Údržba a zlepšovanie (obr. 1). Tejto norme sa budeme podrobnejšie venovať v druhej časti.

Ssystémzvládanieinformáciebezpečnosť

Systém riadenia informačnej bezpečnosti (ISMS) je tá časť celkového systému riadenia, ktorá je založená na prístupe k podnikateľským rizikám pri tvorbe, implementácii, prevádzke, monitorovaní, analýze, podpore a zlepšovaní informačnej bezpečnosti. Procesy ISMS sú navrhnuté v súlade s požiadavkami normy ISO / IEC 27001: 2005, ktorá vychádza z cyklu

Práca systému je založená na prístupoch modernej teórie riadenia rizík, čo zabezpečuje jeho integráciu do celkového systému riadenia rizík organizácie.

Implementácia systému manažérstva informačnej bezpečnosti zahŕňa vývoj a implementáciu postupu zameraného na systematickú identifikáciu, analýzu a zmierňovanie rizík informačnej bezpečnosti, teda rizík, v dôsledku ktorých sú informačné aktíva (informácie v akejkoľvek forme a akejkoľvek povahy) stratí dôvernosť, integritu a dostupnosť.

Na zabezpečenie systematického zmierňovania rizík informačnej bezpečnosti sa na základe výsledkov hodnotenia rizík v organizácii implementujú nasledovné procesy:

· Riadenie vnútornej organizácie informačnej bezpečnosti.

· Zabezpečenie informačnej bezpečnosti pri interakcii s tretími stranami.

· Vedenie registra informačných aktív a pravidlá ich triedenia.

· Riadenie bezpečnosti zariadení.

· Zabezpečenie fyzickej bezpečnosti.

· Zabezpečenie informačnej bezpečnosti personálu.

· Plánovanie a prijímanie informačných systémov.

· Zálohovanie.

· Zabezpečenie siete.

Procesy systému riadenia informačnej bezpečnosti ovplyvňujú všetky aspekty riadenia IT infraštruktúry organizácie, keďže informačná bezpečnosť je výsledkom udržateľného fungovania procesov súvisiacich s informačnými technológiami.

Pri budovaní ISMS vo firmách špecialisti vykonávajú tieto práce:

· Organizovať riadenie projektu, vytvárať projektovú skupinu zo strany objednávateľa a zhotoviteľa;

· Definujte oblasť činnosti (OD) ISMS;

Prieskum organizácie v OD ISMS:

o z hľadiska obchodných procesov organizácie vrátane analýzy negatívnych dôsledkov incidentov informačnej bezpečnosti;

o z hľadiska procesov riadenia organizácie vrátane existujúcich procesov riadenia kvality a riadenia informačnej bezpečnosti;

o z hľadiska IT infraštruktúry;

o z hľadiska infraštruktúry informačnej bezpečnosti.

Vypracovať a odsúhlasiť analytickú správu obsahujúcu zoznam hlavných podnikových procesov a posúdenie dôsledkov implementácie hrozieb informačnej bezpečnosti vo vzťahu k nim, zoznam riadiacich procesov, IT systémov, subsystémov informačnej bezpečnosti (ISS), posúdenie miery, do akej organizácia spĺňa všetky požiadavky ISO 27001 a posúdenie vyspelosti procesných organizácií;

· Zvoliť počiatočnú a cieľovú úroveň vyspelosti ISMS, vypracovať a schváliť Program zlepšovania vyspelosti ISMS; vypracovať dokumentáciu o bezpečnosti informácií na vysokej úrovni:

o koncepciu informačnej bezpečnosti,

o politiky IS a ISMS;

· Vybrať a prispôsobiť metodiku hodnotenia rizík použiteľnú v organizácii;

· Vybrať, dodať a nasadiť softvér používaný na automatizáciu procesov ISMS, organizovať školenia pre špecialistov spoločnosti;

· Posúdiť a spracovať riziká, pri ktorých sa na ich zníženie vyberú opatrenia Prílohy A normy 27001 a formulujú sa požiadavky na ich implementáciu v organizácii, predvolia sa technické prostriedky informačnej bezpečnosti;

· Vypracovať predbežné návrhy PIB, posúdiť náklady na liečbu rizík;

· Zabezpečiť schválenie hodnotenia rizík vrcholovým manažmentom organizácie a vypracovať vyhlásenie o použiteľnosti; vypracovať organizačné opatrenia na zabezpečenie informačnej bezpečnosti;

· Vypracovať a realizovať technické projekty na implementáciu technických podsystémov informačnej bezpečnosti, ktoré podporujú implementáciu vybraných opatrení, vrátane dodávky zariadení, uvedenia do prevádzky, vypracovania prevádzkovej dokumentácie a školenia používateľov;

· poskytovať konzultácie počas prevádzky vybudovaného ISMS;

· Organizovať školenia pre interných audítorov a vykonávať interné audity ISMS.

Výsledkom týchto prác je fungujúci ISMS. Prínosy z implementácie ISMS v spoločnosti sa dosahujú prostredníctvom:

· Efektívne riadenie dodržiavania zákonných požiadaviek a obchodných požiadaviek v oblasti informačnej bezpečnosti;

· Prevencia incidentov IS a znižovanie škôd v prípade ich vzniku;

· Zvyšovanie kultúry informačnej bezpečnosti v organizácii;

· Zvyšovanie zrelosti v oblasti riadenia informačnej bezpečnosti;

· Optimalizácia výdavkov na informačnú bezpečnosť.

ISO / IEC27001-- medzinárodnéštandardnánainformáciebezpečnosť

Táto norma bola vyvinutá spoločne Medzinárodnou organizáciou pre normalizáciu (ISO) a Medzinárodnou elektrotechnickou komisiou (IEC). Norma obsahuje požiadavky informačnej bezpečnosti na vytváranie, vývoj a údržbu ISMS. ISO 27001 špecifikuje požiadavky na ISMS na preukázanie schopnosti organizácie chrániť svoje informačné aktíva. Medzinárodná norma používa pojem „bezpečnosť informácií“ a interpretuje sa ako zabezpečenie dôvernosti, integrity a dostupnosti informácií. Základom normy je informačný systém riadenia rizík. Táto norma môže byť tiež použitá na posúdenie zhody internými a externými zainteresovanými stranami.

Norma prijíma procesný prístup k vytvoreniu, implementácii, prevádzke, nepretržitému monitorovaniu, analýze, údržbe a zlepšovaniu systému riadenia informačnej bezpečnosti (ISMS). Spočíva v aplikácii systému procesov v rámci organizácie spolu s identifikáciou a interakciou týchto procesov, ako aj ich riadením.

Medzinárodný štandard preberá model Plan-Do-Check-Act (PDCA), ktorý sa nazýva aj Shewhartov-Demingov cyklus. Tento cyklus sa používa na štruktúrovanie všetkých procesov ISMS. Obrázok 2 ukazuje, ako ISMS berie požiadavky informačnej bezpečnosti a očakávania zainteresovaných strán ako vstupy a prostredníctvom potrebných činností a procesov vytvára výsledky informačnej bezpečnosti, ktoré spĺňajú tieto požiadavky a očakávania.

Plánovanie je fázou vytvárania ISMS, tvorby súpisu majetku, hodnotenia rizík a výberu opatrení.

Obrázok 2. Model PDCA aplikovaný na procesy ISMS

Implementácia je etapa implementácie a implementácie vhodných opatrení.

Preskúmanie je fázou hodnotenia účinnosti a výkonnosti ISMS. Zvyčajne vykonávajú interní audítori.

Činnosť – Prijímanie preventívnych a nápravných opatrení.

Vzávery

ISO 27001 opisuje všeobecný model implementácie a prevádzky ISMS a činnosti na monitorovanie a zlepšenie ISMS. ISO má v úmysle harmonizovať rôzne normy systému manažérstva, ako napríklad ISO / IEC 9001: 2000, ktorá sa zaoberá manažérstvom kvality, a ISO / IEC 14001: 2004, ktorá sa zaoberá systémami environmentálneho manažérstva. Cieľom ISO je zabezpečiť konzistentnosť a integráciu ISMS s ostatnými manažérskymi systémami v spoločnosti. Podobnosť noriem umožňuje použitie podobných nástrojov a funkcionality na implementáciu, správu, revíziu, overovanie a certifikáciu. Z toho vyplýva, že ak má spoločnosť zavedené iné manažérske štandardy, môže využívať jednotný systém auditu a manažérstva, ktorý je aplikovateľný na manažérstvo kvality, environmentálne manažérstvo, manažérstvo bezpečnosti atď. Implementáciou ISMS získa vyšší manažment prostriedky na monitorovanie a riadenie bezpečnosti, čo znižuje zvyškové obchodné riziká. Po implementácii ISMS môže spoločnosť formálne zabezpečiť bezpečnosť informácií a naďalej spĺňať požiadavky zákazníkov, legislatívy, regulátorov a akcionárov.

Treba poznamenať, že v legislatíve Ruskej federácie existuje dokument GOST R ISO / IEC 27001-2006, ktorý je preloženou verziou medzinárodnej normy ISO27001.

Sškrípanieliteratúre

1. Korneev I.R., Belyaev A.V. Informačná bezpečnosť podniku. - SPb .: BHV-Petersburg, 2003 .-- 752 s.: chor.

2. Medzinárodná norma ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (dátum prístupu: 23.05.2012)

3. Národná norma Ruskej federácie GOST R ISO / IEC 27003 - "Informačné technológie. Bezpečnostné metódy. Pokyny na implementáciu systému manažérstva informačnej bezpečnosti" (http://niisokb.ru/news/documents/IDT%20ISO% 20IEC%2027003- 2011-09-14.pdf) (dátum prístupu: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Smernice na ochranu pred vnútornými hrozbami informačnej bezpečnosti. SPb .: Peter, 2008 .-- 320 s.: chor.

5. Článok voľnej encyklopédie „Wikipedia“, „Systém riadenia

informačná bezpečnosť "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (dátum prístupu: 23.05.12)

6. Sigurjon Thor Arnason a Keith D. Willett „Ako dosiahnuť certifikáciu 27001“

Uverejnené na Allbest.ru

Podobné dokumenty

Hrozby informačnej bezpečnosti v podniku. Identifikácia nedostatkov v systéme informačnej bezpečnosti. Ciele a zámery formovania systému informačnej bezpečnosti. Navrhované opatrenia na zlepšenie systému informačnej bezpečnosti organizácie.

semestrálna práca pridaná 2.3.2011


Analýza systému informačnej bezpečnosti v podniku. Služba informačnej bezpečnosti. Hrozby informačnej bezpečnosti špecifické pre podniky. Metódy a prostriedky ochrany informácií. Model informačného systému z hľadiska bezpečnosti.

semestrálna práca pridaná 2.3.2011


Hlavné etapy tvorby systému riadenia v potravinárskom podniku. HACCP ako chrbtica akéhokoľvek systému riadenia bezpečnosti potravín. Systém riadenia bezpečnosti potravín. Nebezpečné faktory a preventívne opatrenia.

abstrakt pridaný dňa 14.10.2014


Moderné manažérske systémy a ich integrácia. Integrované systémy manažérstva kvality. Popis spoločnosti JSC "275 ARZ" a jej systému riadenia. Vývoj systému riadenia ochrany práce. Metódy hodnotenia integrovaného bezpečnostného systému.

práca, pridané 31.07.2011


Zavedenie systému manažérstva kvality. Certifikácia systémov manažérstva kvality (ISO 9000), environmentálneho manažérstva (ISO 14000), systémov manažérstva BOZP organizácií (OHSAS 18 001: 2007) na príklade JSC "Lenta".

abstrakt pridaný dňa 10.06.2008


Vypracovanie štandardu organizácie integrovaného manažérskeho systému, ktorý stanovuje jednotný postup implementácie procesu správy dokumentov. Etapy tvorby systému manažérstva kvality JSC "ZSMK". Umiestňovanie elektronických verzií dokumentov.

práca, pridané 01.06.2014


Hierarchický diagram zamestnancov. Nástroje informačnej bezpečnosti. Bezpečnostné otázky. Diagram podnikových informačných tokov. Metódy monitorovania integrity informačného systému. Modelovanie riadenia prístupu k servisným informáciám.

ročníková práca, pridaná 30.12.2011


Pojem manažérskeho informačného systému a jeho miesto vo všeobecnom systéme manažérstva. Typy informačných systémov a ich obsah. Pojem manažment ako informačný systém. Funkcie systému finančného riadenia. Systémy na uzatváranie obchodov a operácií.

abstrakt pridaný dňa 01.06.2015


Pojmy v oblasti bezpečnosti a ochrany zdravia pri práci. Medzinárodné normy ISO pre systémy manažérstva kvality, systémy environmentálneho manažérstva, systémy manažérstva bezpečnosti a ochrany zdravia pri práci. Prispôsobenie normy OHSAS 18001-2007.

semestrálna práca pridaná 21.12.2014


Charakteristiky správy informácií; subjekty informácií a právnych vzťahov; právny režim prijímania, prenosu, uchovávania a používania informácií. Vlastnosti a právne aspekty výmeny informácií a informačnej bezpečnosti.

Naozaj trápne. Informovali sme o blížiacom sa vydaní normy ISO 45001, ktorá by mala nahradiť súčasnú normu manažérstva bezpečnosti a ochrany zdravia pri práci OHSAS 18001, povedali sme si, že sa jej máme dočkať koncom roka 2016 ... Blíži sa polnoc, no Herman je stále preč. Čas priznať - ISO 45001 je pozastavené. Pravdaže, z dobrých dôvodov. Odborná obec má naňho priveľa otázok. […]

GOST R ISO / IEC 27001-2006 „Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Systémy riadenia informačnej bezpečnosti. požiadavky"

Tvorcovia normy poznamenávajú, že bola pripravená ako model pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, podporu a zlepšovanie systému riadenia bezpečnosti informácií (ISMS). ISMS (anglicky - systém riadenia informačnej bezpečnosti; ISMS) je definovaný ako súčasť celkového systému riadenia založeného na využívaní metód hodnotenia podnikateľských rizík pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, podporu a zlepšovanie informačnej bezpečnosti. Systém riadenia zahŕňa organizačnú štruktúru, politiky, plánovacie činnosti, zodpovednosti, praktiky, postupy, procesy a zdroje.

Norma predpokladá použitie procesného prístupu pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, podporu a zlepšovanie ISMS organizácie. Je založený na modeli Plan - Do - Check - Act (PDCA), ktorý je možné použiť na štruktúrovanie všetkých procesov ISMS. Na obr. 4.4 ukazuje, ako ISMS, využívajúci požiadavky informačnej bezpečnosti a očakávané výsledky zainteresovaných strán ako vstup, prostredníctvom potrebných akcií a procesov poskytuje výsledky informačnej bezpečnosti, ktoré spĺňajú tieto požiadavky a očakávané výsledky.

Ryža. 4.4.

Na javisku "Vývoj systému riadenia informačnej bezpečnosti" organizácia by mala urobiť nasledovné:

• - určiť rozsah a hranice ISMS;
• - určiť politiku ISMS na základe charakteristík podniku, organizácie, jej umiestnenia, aktív a technológií;
• - určiť prístup k hodnoteniu rizík v organizácii;
• - identifikovať riziká;
• - analyzovať a posudzovať riziká;
• - identifikovať a zhodnotiť rôzne možnosti liečby rizík;
• - vybrať ciele a kontroly na riešenie rizík;
• - získať súhlas vedenia o očakávaných zvyškových rizikách;
• - získať povolenie od vedenia na implementáciu a prevádzku ISMS;
• - pripraviť vyhlásenie o použiteľnosti.

javisko" Implementácia a prevádzka systému riadenia informačnej bezpečnosti " navrhuje, aby organizácia:

• - vypracovať plán spracovania rizík, ktorý definuje vhodné manažérske činnosti, zdroje, zodpovednosti a priority pre riadenie rizík informačnej bezpečnosti;
• - implementovať plán riešenia rizík na dosiahnutie zamýšľaných cieľov manažmentu, vrátane otázok financovania, ako aj rozdelenia úloh a zodpovedností;
• - implementovať vybrané riadiace opatrenia;
• - určiť spôsob merania účinnosti vybraných kontrolných opatrení;
• - realizovať školenia a programy odborného rozvoja zamestnancov;
• - riadiť prácu ISMS;
• - riadiť zdroje ISMS;
• - zaviesť postupy a iné kontrolné opatrenia na zabezpečenie rýchleho odhalenia udalostí informačnej bezpečnosti a reakcie na incidenty súvisiace s informačnou bezpečnosťou.

Tretia etapa" Monitorovanie a analýza systému riadenia informačnej bezpečnosti " vyžaduje:

• - vykonávať monitorovacie a analytické postupy;
• - vykonávať pravidelnú analýzu účinnosti ISMS;
• - merať účinnosť kontrolných opatrení na overenie súladu s požiadavkami IS;
• - revidovať hodnotenia rizík v určených časových obdobiach, analyzovať zvyškové riziká a stanoviť prijateľné úrovne rizika, berúc do úvahy zmeny;
• - vykonávať interné audity ISMS v určených časových intervaloch;
• - pravidelne vykonávať analýzu ISMS vedením organizácie s cieľom potvrdiť primeranosť fungovania ss a určiť smery na zlepšenie;
• - aktualizovať plány IS s prihliadnutím na výsledky analýzy a monitorovania;
• - registrovať akcie a udalosti, ktoré môžu ovplyvniť účinnosť alebo fungovanie ISMS.

Konečne pódium "Udržiavanie a zlepšovanie systému riadenia informačnej bezpečnosti" navrhuje, aby organizácia pravidelne vykonávala tieto činnosti:

• - identifikovať príležitosti na zlepšenie ISMS;
• - vykonávať potrebné nápravné a preventívne opatrenia, v praxi využívať skúsenosti zo zaisťovania informačnej bezpečnosti, získané tak vo vlastnej organizácii, ako aj v iných organizáciách;
• - zasielať podrobné informácie o opatreniach na zlepšenie ISMS všetkým zainteresovaným stranám, pričom miera ich podrobnosti by mala zodpovedať okolnostiam a v prípade potreby dohodnúť ďalšie opatrenia;
• - zabezpečiť implementáciu zlepšení ISMS na dosiahnutie plánovaných cieľov.

Ďalej v norme sú uvedené požiadavky na dokumentáciu, ktorá by mala obsahovať ustanovenia politiky ISMS a popis oblasti prevádzky, popis metodiky a správu o hodnotení rizík, plán liečby rizík a dokumentáciu. súvisiacich postupov. Mal by sa definovať aj proces správy dokumentov ISMS vrátane aktualizácie, používania, uchovávania a likvidácie.

Pre preukázanie plnenia požiadaviek a efektívnosti fungovania ISMS je potrebné viesť a uchovávať záznamy a záznamy o vykonávaní procesov. Príklady zahŕňajú denníky návštevníkov, správy o audite atď.

Norma špecifikuje, že manažment organizácie je zodpovedný za poskytovanie a riadenie zdrojov potrebných na zriadenie ISMS a za organizáciu školení pre zamestnancov.

Ako už bolo uvedené, organizácia by mala vykonávať interné audity ISMS v súlade so schváleným harmonogramom, aby posúdila jej funkčnosť a súlad s normou. A manažment by mal vykonať analýzu systému riadenia informačnej bezpečnosti.

Taktiež by sa malo pracovať na zlepšení systému riadenia informačnej bezpečnosti: zvýšiť jeho účinnosť a úroveň súladu so súčasným stavom systému a požiadavkami naň.

Norma BS ISO / IEC 27001: 2005 popisuje model systému manažérstva informačnej bezpečnosti (ISMS) a navrhuje súbor požiadaviek na organizáciu informačnej bezpečnosti v podniku bez odkazu na metódy implementácie, ktoré volia realizátori organizácie.

Kontrola – Fáza hodnotenia účinnosti a výkonnosti ISMS. Zvyčajne vykonávajú interní audítori.

O vytvorení (a následnej certifikácii) ISMS rozhoduje vrcholový manažment organizácie. To demonštruje podporu manažmentu a opätovné potvrdenie hodnoty ISMS pre podnik. Vedenie organizácie iniciuje vytvorenie plánovacieho tímu ISMS.

Skupina zodpovedná za plánovanie ISMS by mala zahŕňať:

· Zástupcovia vrcholového manažmentu organizácie;

· zástupcovia obchodných jednotiek, na ktoré sa vzťahuje ISMS;

· špecialisti oddelení informačnej bezpečnosti;

· Konzultanti tretích strán (ak je to potrebné).

Výbor IS zabezpečuje podporu prevádzky ISMS a jeho neustáleho zlepšovania.

Pracovná skupina by sa mala riadiť regulačným a metodickým rámcom tak vo vzťahu k tvorbe ISMS, ako aj vo vzťahu k oblasti činnosti organizácie, a samozrejme všeobecným systémom zákonov štátu.

Regulačný rámec pre vytvorenie ISMS:

· ISO / IEC 27000: 2009 Slovník a definície.

· ISO / IEC 27001: 2005 Všeobecné požiadavky na ISMS.

· ISO / IEC 27002: 2005 Praktická príručka pre manažment informačnej bezpečnosti.

· ISO / IEC 27003: 2010 Praktický návod na implementáciu ISMS.

· ISO / IEC 27004: 2009 Metriky (merania) informačnej bezpečnosti.

· ISO / IEC 27005: 2011 Smernice pre riadenie rizík informačnej bezpečnosti.

ISO / IEC Guide 73: 2002, Manažment rizík - Slovník - Pokyny pre použitie v normách.

ISO / IEC 13335-1: 2004, Informačné technológie - Bezpečnostné techniky - Manažment bezpečnosti informačných a komunikačných technológií - Časť 1: Koncepcie a modely pre riadenie bezpečnosti informačných a komunikačných technológií.

ISO / IEC TR 18044 Informačné technológie - Bezpečnostné techniky - Riadenie incidentov informačnej bezpečnosti.

ISO / IEC 19011: 2002 Smernice pre audit systémov manažérstva kvality a/alebo environmentálneho manažérstva.

· British Standards Institution ISMS Methodology Series (predtým PD 3000 Series Documents).

Proces vytvárania ISMS pozostáva zo 4 fáz:

1. fáza Plánovanie ISMS.

Stanovenie politík, cieľov, procesov a postupov súvisiacich s riadením rizík a ochranou informácií v súlade s celkovou politikou a cieľmi organizácie.

a) Určenie rozsahu a hraníc ISMS:

· Popis druhu činnosti a obchodných cieľov organizácie;

· Označenie hraníc systémov pokrytých ISMS;

· Popis majetku organizácie (druhy informačných zdrojov, softvér a hardvér, personálna a organizačná štruktúra);

· Popis obchodných procesov s použitím chránených informácií.

Opis hraníc systému zahŕňa:

Popis existujúcej štruktúry organizácie (s možnými zmenami, ktoré môžu nastať v súvislosti s rozvojom informačného systému).

Zdroje informačného systému, ktoré sa majú chrániť (počítače, informácie, systémový a aplikačný softvér). Na ich hodnotenie by sa mal zvoliť systém kritérií a metodika získavania hodnotení podľa týchto kritérií (kategorizácia).

Technológia spracovania informácií a úlohy, ktoré treba riešiť. Pre úlohy, ktoré sa majú riešiť, by sa mali vybudovať modely spracovania informácií z hľadiska zdrojov.

Schéma informačného systému organizácie a podpornej infraštruktúry.

Spravidla sa v tejto fáze vypracuje dokument, v ktorom sú stanovené hranice informačného systému, sú uvedené informačné zdroje spoločnosti, ktorá sa má chrániť, systém kritérií a metód hodnotenia hodnoty informácií spoločnosti. sa poskytuje majetok.

b) Definícia politiky ISMS organizácie (rozšírená verzia ISS).

· Ciele, smery a zásady činnosti vo vzťahu k ochrane informácií;

· Popis stratégie (prístupov) riadenia rizík v organizácii, štruktúrovanie protiopatrení na ochranu informácií podľa typu (právne, organizačné, hardvérové ​​a softvérové, inžinierske a technické);

· Popis kritérií závažnosti rizika;

· Postavenie vedenia, určenie frekvencie stretnutí k téme informačnej bezpečnosti na riadiacej úrovni vrátane pravidelnej revízie ustanovení politiky informačnej bezpečnosti, ako aj postupu pri školení všetkých kategórií používateľov informácií systém informačnej bezpečnosti.

c) Stanovenie prístupu k hodnoteniu rizík v organizácii.

Metodológia hodnotenia rizík sa vyberá v závislosti od ISMS, stanovených požiadaviek na bezpečnosť obchodných informácií, právnych a regulačných požiadaviek.

Výber metodiky hodnotenia rizík závisí od úrovne požiadaviek na režim informačnej bezpečnosti v organizácii, charakteru zohľadňovaných hrozieb (spektrum dopadu hrozieb) a účinnosti prípadných protiopatrení na ochranu informácií. Najmä sa rozlišuje medzi základnými a zvýšenými alebo úplnými požiadavkami na režim informačnej bezpečnosti.

Základná úroveň informačnej bezpečnosti zodpovedá minimálnym požiadavkám na režim IS. Takéto požiadavky sa spravidla vzťahujú na typické konštrukčné riešenia. Existuje množstvo noriem a špecifikácií, ktoré berú do úvahy minimálny (typický) súbor najpravdepodobnejších hrozieb, ako sú: vírusy, zlyhania zariadení, neoprávnený prístup atď. Na neutralizáciu týchto hrozieb je potrebné prijať protiopatrenia bez ohľadu na pravdepodobnosť ich implementácia a zdroje zraniteľnosti. Nie je teda potrebné zvažovať charakteristiky hrozieb na základnej úrovni. Zahraničné normy v tejto oblasti ISO 27002, BSI, NIST atď.

V prípadoch, keď porušenia režimu IB vedú k vážnym následkom, sú uložené ďalšie požiadavky.

Ak chcete sformulovať ďalšie zvýšené požiadavky, musíte:

určiť hodnotu zdrojov;

Do štandardnej množiny pridať zoznam hrozieb, ktoré sú relevantné pre študovaný informačný systém;

Posúdiť pravdepodobnosť hrozieb;

určiť zraniteľné miesta zdrojov;

Posúďte potenciálne škody spôsobené účinkami narušiteľov.

Je potrebné nájsť metodiku hodnotenia rizík, ktorá sa dá s minimálnymi zmenami priebežne používať. Existujú dva spôsoby: využiť existujúce metódy a nástroje na hodnotenie rizík na trhu, alebo si vytvoriť vlastnú metodiku, prispôsobenú špecifikám spoločnosti a oblasti činnosti pokrytej ISMS.

Posledná možnosť je najvýhodnejšia, pretože doteraz väčšina produktov na trhu, ktoré implementujú jednu alebo druhú metodológiu analýzy rizík, nespĺňa požiadavky normy. Typické nevýhody takýchto techník sú:

· Štandardný súbor hrozieb a slabých miest, ktoré sa často nedajú zmeniť;

· Akceptovanie len softvéru, hardvéru a informačných zdrojov ako aktíva – bez zohľadnenia ľudských zdrojov, služieb a iných dôležitých zdrojov;

· Celková komplexnosť metodiky z hľadiska jej udržateľného a opakovateľného používania.

· Kritériá pre akceptovanie rizík a prijateľné úrovne rizika (mali by byť založené na dosahovaní strategických, organizačných a riadiacich cieľov organizácie).

d) Identifikácia rizika.

Identifikácia majetku a jeho vlastníkov

Informačné vstupné údaje;

Informačný výstup;

Informačné záznamy;

Zdroje: ľudia, infraštruktúra, hardvér, softvér, nástroje, služby.

· Identifikácia hrozieb (štandardy na hodnotenie rizík často navrhujú triedy hrozieb, ktoré možno doplniť a rozšíriť).

· Identifikácia zraniteľností (existujú aj zoznamy najbežnejších zraniteľností, na ktoré sa môžete spoľahnúť pri analýze vašej organizácie).

· Určenie hodnoty aktív (možné dôsledky straty dôvernosti, integrity a dostupnosti aktív). Informácie o hodnote majetku je možné získať od jeho vlastníka alebo od osoby, na ktorú vlastník delegoval všetky právomoci nad týmto majetkom vrátane zabezpečenia jeho bezpečnosti.

e) Hodnotenie rizika.

· Posúdenie škody, ktorá môže byť spôsobená podniku stratou dôvernosti, integrity a dostupnosti aktív.

· Posúdenie pravdepodobnosti implementácie hrozieb prostredníctvom existujúcich zraniteľností s prihliadnutím na dostupné nástroje riadenia IS a posúdenie možnej spôsobenej škody;

· Stanovenie úrovne rizika.

Aplikácia kritérií akceptácie rizika (prijateľné/vyžadujúce liečbu).

f) Ošetrenie rizík (v súlade so zvolenou stratégiou riadenia rizík).

Možné akcie:

Pasívne akcie:

Prijatie rizika (rozhodnutie o akceptovateľnosti výslednej miery rizika);

Vyhýbanie sa riziku (rozhodnutie o zmene činnosti, ktorá spôsobuje danú mieru rizika – presun webového servera mimo lokálnej siete);

Aktívne akcie:

Zníženie rizika (pomocou organizačných a technických protiopatrení);

Prenos rizika (poistenie (požiar, krádež, softvérové ​​chyby)).

Výber možných opatrení závisí od akceptovaných kritérií rizika (je stanovená prijateľná úroveň rizika, úrovne rizika, ktoré možno znížiť pomocou riadenia informačnej bezpečnosti, úrovne rizika, pri ktorých sa odporúča opustiť alebo zmeniť typ činnosti ktorý to spôsobuje a riziká, ktoré je žiaduce preniesť na iné strany) ...

g) Výber cieľov a kontrol na riešenie rizík.

Ciele a kontroly by mali implementovať stratégiu riadenia rizík, zohľadňovať kritériá akceptovania rizík a právne, regulačné a iné požiadavky.

ISO 27001-2005 poskytuje zoznam cieľov a kontrol ako základ pre zostavenie plánu riešenia rizík (požiadavky ISMS).

Plán liečby rizika obsahuje zoznam prioritných opatrení na zníženie úrovne rizika, pričom uvádza:

· Osoby zodpovedné za implementáciu týchto opatrení a fondov;

· Podmienky realizácie aktivít a priority ich realizácie;

· zdroje na realizáciu takýchto aktivít;

· Úrovne zvyškových rizík po implementácii opatrení a kontrol.

Za prijatie a dohľad nad plánom liečby rizík je zodpovedný vrcholový manažment organizácie. Splnenie kľúčových aktivít plánu je kritériom pre rozhodnutie o uvedení ISMS do prevádzky.

V tejto fáze sa zdôvodňuje výber rôznych protiopatrení pre IS, štruktúrovaných podľa regulačnej, organizačnej, manažérskej, technologickej a hardvérovej a softvérovej úrovne informačnej bezpečnosti. (Ďalej je implementovaný súbor protiopatrení v súlade so zvolenou stratégiou riadenia informačných rizík). Pri úplnej verzii analýzy rizík sa dodatočne posudzuje účinnosť protiopatrení pre každé riziko.

h) Schválenie navrhovaného zvyškového rizika vedením.

i) Získať súhlas vedenia na implementáciu a uvedenie ISMS do prevádzky.

j) Vyhlásenie o použiteľnosti (v súlade s ISO 27001-2005).

Dátum uvedenia ISMS do prevádzky je dátum, kedy vrcholový manažment spoločnosti schváli Vyhlásenie o použiteľnosti kontrol, ktoré popisuje ciele a prostriedky zvolené organizáciou na riadenie rizík:

· Kontroly a kontroly zvolené počas štádia riešenia rizika;

· Už existujúce v organizácii prostriedky riadenia a kontroly;

· Prostriedky na zabezpečenie súladu s právnymi požiadavkami a požiadavkami regulačných organizácií;

· Prostriedky na zabezpečenie plnenia požiadaviek zákazníka;

· Prostriedky zabezpečujúce plnenie všeobecných podnikových požiadaviek;

· Akékoľvek iné vhodné prostriedky riadenia a kontroly.

2. fáza Implementácia a prevádzka ISMS.

Na implementáciu a prevádzku politiky informačnej bezpečnosti, kontrol, procesov a postupov v oblasti informačnej bezpečnosti sa vykonávajú tieto činnosti:

a) Vypracovanie plánu riešenia rizík (popis plánovaných kontrol, zdrojov (softvér, hardvér, personál), ktoré sú potrebné na ich implementáciu, podpora, kontrola a manažérske zodpovednosti pre riadenie rizík informačnej bezpečnosti (vypracovanie dokumentov pri plánovaní etapa, podpora cieľov informačnej bezpečnosti, definovanie úloh a zodpovedností, poskytovanie potrebných zdrojov na vytvorenie ISMS, audit a preskúmanie).

b) Pridelenie financií, úloh a zodpovedností za implementáciu plánu riešenia rizík.

c) Vykonávanie plánovaných kontrol.

d) Stanovenie výkonnostných benchmarkov (metrík) kontrol, metód ich merania, ktoré poskytnú porovnateľné a reprodukovateľné výsledky.

e) Zvyšovanie kvalifikácie, informovanosti personálu v oblasti informačnej bezpečnosti v súlade s jeho pracovnými povinnosťami.

f) Riadenie prevádzky ISMS, riadenie zdrojov na údržbu, monitorovanie a zlepšovanie ISMS.

g) Implementácia postupov a iných kontrol na rýchle zistenie a reakciu na incidenty informačnej bezpečnosti.

Etapa 3: Priebežné monitorovanie a analýza fungovania ISMS.

Táto fáza zahŕňa hodnotenie alebo meranie kľúčových ukazovateľov výkonnosti procesov, analýzu výsledkov a poskytovanie správ manažmentu na analýzu a zahŕňa:

a) Priebežné monitorovanie a analýzy (umožňuje rýchlo odhaliť chyby vo fungovaní ISMS, rýchlo identifikovať a reagovať na bezpečnostné incidenty, vymedziť úlohy personálu a automatizovaných systémov v ISMS, predchádzať bezpečnostným incidentom pomocou analýzy neobvyklého správania a určiť efektívnosť spracovania bezpečnostných incidentov).

b) Vykonávanie pravidelnej kontroly účinnosti ISMS (kontrola súladu s politikou a cieľmi ISMS, audity, kľúčové ukazovatele výkonnosti, návrhy a reakcie zainteresovaných strán).

c) Meranie účinnosti kontrol na overenie plnenia bezpečnostných požiadaviek

d) Pravidelné prehodnocovanie rizík, analýza zvyškových rizík a stanovenie prijateľných úrovní rizika pre akékoľvek zmeny v organizácii (obchodné ciele a procesy, identifikované hrozby, novoidentifikované zraniteľnosti atď.)

e) Pravidelné interné audity ISMS.

Audit ISMS - kontrola súladu vybraných protiopatrení s cieľmi a zámermi podnikania deklarovanými v IS organizácie, na základe jeho výsledkov sa posudzujú zvyškové riziká a v prípade potreby sa optimalizujú.

f) Pravidelná kontrola rozsahu a trendu ISMS vedením.

g) Aktualizácia plánov riadenia rizík s cieľom zachytiť výsledky monitorovania a analýzy.

h) Vedenie záznamu udalostí, ktoré majú negatívny vplyv na efektívnosť alebo kvalitu ISMS.

4. fáza Udržiavanie a zlepšovanie ISMS.

Na základe výsledkov interného auditu a manažérskej analýzy ISMS sa vyvíjajú a implementujú nápravné a preventívne opatrenia na neustále zlepšovanie ISMS:

a) Zlepšenie politiky informačnej bezpečnosti, ciele informačnej bezpečnosti, audit, analýza pozorovaných udalostí.

b) Vypracovanie a implementácia nápravných a preventívnych opatrení na odstránenie nesúladu s požiadavkami ISMS.

c) Monitorovanie zlepšení ISMS.

Záver

ISO 27001 opisuje všeobecný model implementácie a prevádzky ISMS a činnosti na monitorovanie a zlepšenie ISMS. ISO má v úmysle harmonizovať rôzne normy systému manažérstva, ako napríklad ISO / IEC 9001: 2000, ktorá sa zaoberá manažérstvom kvality, a ISO / IEC 14001: 2004, ktorá sa zaoberá systémami environmentálneho manažérstva. Cieľom ISO je zabezpečiť konzistentnosť a integráciu ISMS s ostatnými manažérskymi systémami v spoločnosti. Podobnosť noriem umožňuje použitie podobných nástrojov a funkcionality na implementáciu, správu, revíziu, overovanie a certifikáciu. Z toho vyplýva, že ak má spoločnosť zavedené iné manažérske štandardy, môže využívať jednotný systém auditu a manažérstva, ktorý je aplikovateľný na manažérstvo kvality, environmentálne manažérstvo, manažérstvo bezpečnosti atď. Implementáciou ISMS získa vyšší manažment prostriedky na monitorovanie a riadenie bezpečnosti, čo znižuje zvyškové obchodné riziká. Po implementácii ISMS môže spoločnosť formálne zabezpečiť bezpečnosť informácií a naďalej spĺňať požiadavky zákazníkov, legislatívy, regulátorov a akcionárov.

Treba poznamenať, že v legislatíve Ruskej federácie existuje dokument GOST R ISO / IEC 27001-2006, ktorý je preloženou verziou medzinárodnej normy ISO27001.

Bibliografia

1. Korneev I.R., Belyaev A.V. Informačná bezpečnosť podniku. - SPb .: BHV-Petersburg, 2003 .-- 752 s.

2.Medzinárodná norma ISO 27001

(http://www.specon.ru/files/ISO27001.pdf) (dátum prístupu: 23.05.2012).

3. Národná norma Ruskej federácie GOST R ISO / IEC 27003 - "Informačné technológie. Metódy zaistenia bezpečnosti. Smernice pre implementáciu systému manažérstva informačnej bezpečnosti

(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (dátum prístupu: 23.05.12).

4. Skiba V.Yu., Kurbatov V.A. Smernice na ochranu pred vnútornými hrozbami informačnej bezpečnosti. SPb .: Peter, 2008 .-- 320 s.

Systém manažérstva informačnej bezpečnosti je súčasťou celkového manažérskeho systému založeného na využívaní metód hodnotenia podnikateľských rizík pre vývoj, implementáciu, prevádzku, monitorovanie, analýzu, podporu a zlepšovanie informačnej bezpečnosti.

Systém manažérstva zahŕňa organizačnú štruktúru, politiky, plánovacie činnosti, zodpovednosti, praktiky, postupy, procesy a zdroje [GOST R ISO / IEC 27001-2006]

Norma ISO 27001 definuje požiadavky na systém riadenia informačnej bezpečnosti (ISMS). Požiadavky normy sú do určitej miery abstraktné a nie sú viazané na špecifiká žiadnej oblasti činnosti spoločnosti.

Rozvoj informačných systémov na začiatku 90. rokov viedol k potrebe vytvorenia štandardu riadenia bezpečnosti. Na žiadosť vlády a priemyslu Spojeného kráľovstva ministerstvo obchodu a priemyslu Spojeného kráľovstva vyvinulo postupy ISMS.

Počiatočný štandard BS 7799 prešiel dlhou cestou sériou testov a úprav. Najdôležitejšou etapou v jeho „kariére“ bol rok 2005, keď bol štandard na hodnotenie ISMS uznaný za medzinárodný (čiže bola potvrdená konzistentnosť jeho požiadaviek na moderný ISMS). Od tohto momentu začali popredné spoločnosti na celom svete aktívne implementovať normu ISO 27001 a pripravovať sa na certifikáciu.

Štruktúra ISMS

Moderný ISMS je procesne orientovaný systém riadenia, ktorý zahŕňa organizačné, dokumentačné, softvérové ​​a hardvérové ​​komponenty. Na ISMS možno rozlíšiť tieto „pohľady“: procesný, dokumentárny a zrelosť.

Procesy ISMS sú vytvárané v súlade s požiadavkami normy ISO / IEC 27001: 2005, ktorá vychádza z cyklu riadenia Plan-Do-Check-Act. V súlade s tým sa životný cyklus ISMS skladá zo štyroch typov činností: Tvorba - Implementácia a prevádzka - Monitorovanie a analýza - Údržba a zlepšovanie. Zdokumentované procesy ISMS zabezpečujú splnenie všetkých požiadaviek normy 27001.

Dokumentácia ISMS pozostáva zo zásad, zdokumentovaných postupov, noriem a záznamov a je rozdelená na dve časti: dokumentáciu riadenia ISMS a prevádzkovú dokumentáciu ISMS.

Model vyspelosti ISMS určuje detailnosť vypracovanej dokumentácie a stupeň automatizácie procesov riadenia a prevádzky ISMS. Pri hodnotení a plánovaní sa používa model zrelosti CobiT. Program zlepšovania vyspelosti ISMS zabezpečuje skladbu a načasovanie opatrení na zlepšenie procesov riadenia IS a riadenia prevádzky zariadení IS.

Norma navrhuje aplikáciu modelu PDCA (Plan-Do-Check-Act) na životný cyklus ISMS, ktorý zahŕňa vývoj, implementáciu, prevádzku, kontrolu, analýzu, podporu a zlepšovanie (obrázok 1).

Plán - fáza tvorby ISMS, tvorba zoznamu aktív, hodnotenie rizika a výber opatrení;

Do (Action) – fáza implementácie a implementácie príslušných opatrení;

Kontrola – Fáza hodnotenia účinnosti a efektívnosti ISMS. Zvyčajne vykonávajú interní audítori.

Zákon (vylepšenia) – Prijmite preventívne a nápravné opatrenia.

Proces vytvárania ISMS pozostáva zo 4 fáz:

Proces plánovania, ktorého cieľom je identifikovať, analyzovať a navrhnúť spôsoby, ako zvládnuť riziká informačnej bezpečnosti. Pri vytváraní tohto procesu by sa mala vypracovať metodika na kategorizáciu informačných aktív a formálne hodnotenie rizík na základe údajov o hrozbách a zraniteľnostiach, ktoré sú relevantné pre uvažovanú informačnú infraštruktúru. Pokiaľ ide o oblasť auditu PCI DSS, možno rozlíšiť dva typy cenných informačných aktív s rôznou úrovňou kritickosti – údaje o držiteľoch karty a kritické autentifikačné údaje.

Proces implementácie plánovaných metód liečby rizík, popis postupu pri spustení nového procesu informačnej bezpečnosti, prípadne modernizácie existujúceho. Osobitná pozornosť by sa mala venovať opisu úloh a zodpovedností a plánovaniu implementácie.

Proces monitorovania fungujúcich procesov ISMS (za zmienku stojí, že ako procesy ISMS, tak aj samotný ISMS podliehajú monitorovaniu efektívnosti – štyri procesy riadenia predsa nie sú žulové sochy a je na ne aplikovateľná sebaaktualizácia).

Proces skvalitňovania procesov ISMS v súlade s výsledkami monitorovania, ktorý umožňuje realizovať nápravné a preventívne opatrenia.

Ak je postavený v súlade s požiadavkami ISO / IEC_27001, je založený na modeli PDCA:

Plán(Plánovanie) - fáza tvorby ISMS, tvorba zoznamu aktív, hodnotenie rizika a výber opatrení;

Do(Akcia) - štádium implementácie a implementácie vhodných opatrení;

Skontrolujte(Verifikácia) – Fáza hodnotenia účinnosti a výkonnosti ISMS. Zvyčajne vykonávajú interní audítori.

zák(Zlepšenia) - vykonávanie preventívnych a nápravných opatrení;

Koncepcia informačnej bezpečnosti

Norma ISO 27001 definuje informačnú bezpečnosť ako: „zachovanie dôvernosti, integrity a dostupnosti informácií; okrem toho môžu byť zahrnuté ďalšie vlastnosti, ako je pravosť, nepopierateľnosť, spoľahlivosť."

Dôvernosť - zabezpečenie dostupnosti informácií len pre tých, ktorí majú príslušné oprávnenie (oprávnení používatelia).

bezúhonnosť - zabezpečenie správnosti a úplnosti informácií, ako aj spôsobov ich spracovania.

Dostupnosť - poskytovanie prístupu k informáciám oprávneným používateľom, ak je to potrebné (na požiadanie).

4 Systém riadenia informačnej bezpečnosti

4.1 Všeobecné požiadavky

Organizácia musí vytvoriť, implementovať, používať, kontrolovať, revidovať, udržiavať a zlepšovať zdokumentované ustanovenia ISMS počas obchodných aktivít organizácie a rizík, ktorým čelí. Pre praktický prínos tejto medzinárodnej normy je použitý proces založený na modeli PDCA znázornenom na obr. 1.

4.2 Zriadenie a správa ISMS

4.2.1 Vytvorenie ISMS

Organizácia by mala urobiť nasledovné.

a) S prihliadnutím na špecifiká činnosti organizácie, samotnej organizácie, jej sídla, majetku a technológie určiť rozsah a hranice ISMS vrátane podrobností a zdôvodnení vylúčenia akýchkoľvek ustanovení dokumentu z návrhu ISMS (pozri 1.2). ).

b) Berúc do úvahy špecifiká činností organizácie, samotnej organizácie, jej umiestnenia, majetku a technológie, vypracujte politiku ISMS, ktorá:

1) obsahuje systém stanovovania cieľov (cieľov) a stanovuje všeobecné smerovanie riadenia a princípy konania v oblasti informačnej bezpečnosti;

2) zohľadňuje obchodné a zákonné alebo regulačné požiadavky, zmluvné bezpečnostné záväzky;

3) je pripojená k prostrediu strategického riadenia rizík, v ktorom prebieha vytváranie a udržiavanie ISMS;

4) stanovuje kritériá, podľa ktorých sa bude riziko posudzovať (pozri 4.2.1 c)); a

5) schvaľuje vedenie.

POZNÁMKA: Na účely tejto medzinárodnej normy je politika ISMS rozšíreným súborom politík informačnej bezpečnosti. Tieto zásady možno opísať v jednom dokumente.

c) Vypracovať rámec pre hodnotenie rizík v organizácii.

1) Určite metodiku hodnotenia rizík, ktorá je vhodná pre ISMS a zavedené požiadavky na bezpečnosť obchodných informácií, právne a regulačné požiadavky.

2) Vypracujte kritériá na akceptovanie rizika a určte prijateľné úrovne rizika (pozri 5.1f).

Zvolená metodika hodnotenia rizika by mala zabezpečiť, že hodnotenie rizika prinesie porovnateľné a reprodukovateľné výsledky.

POZNÁMKA: Existujú rôzne metodiky hodnotenia rizík. Príklady metodík hodnotenia rizík sú uvedené v ISO / IEC TU 13335-3, Informačné technológie – odporúčania pre manažmentITBezpečnosť – manažérske technikyITBezpečnosť.

d) Identifikujte riziká.

1) Definujte aktíva v rámci ISMS a vlastníkov2 (2 Pojem „vlastník“ sa identifikuje s jednotlivcom alebo subjektom, ktorý je schválený ako zodpovedný za dohľad nad výrobou, vývojom, údržbou, používaním a bezpečnosťou aktív. „vlastník“ neznamená, že osoba má nejaké vlastnícke práva k majetku) tohto majetku.

2) Identifikujte nebezpečenstvá pre tieto aktíva.

3) Identifikujte slabé miesta v systéme ochrany.

4) Identifikujte vplyvy, ktoré ničia dôvernosť, integritu a dostupnosť aktív.

e) Analyzovať a posudzovať riziká.

1) Posúdiť poškodenie podnikania organizácie, ktoré môže byť spôsobené zlyhaním ochranného systému, ako aj dôsledok porušenia dôvernosti, integrity alebo dostupnosti majetku.

2) Stanovte pravdepodobnosť zlyhania zabezpečenia vzhľadom na prevládajúce nebezpečenstvá a slabé miesta, vplyvy súvisiace s majetkom a aktuálne zavedené kontroly.

3) Posúďte úrovne rizika.

4) Určiť prijateľnosť rizika alebo požadovať jeho zníženie pomocou kritérií prijateľnosti rizika uvedených v 4.2.1c) 2).

f) Identifikovať a vyhodnotiť nástroje na zníženie rizika.

Možné akcie zahŕňajú:

1) Aplikácia vhodných kontrol;

2) Vedomé a objektívne akceptovanie rizík, zabezpečenie ich bezpodmienečného súladu s požiadavkami politiky organizácie a kritériami tolerancie rizík (pozri 4.2.1c) 2));

3) vyhýbanie sa riziku; a

4) Prevod relevantných obchodných rizík na inú stranu, napr. poisťovne, dodávateľov.

g) Výber úloh a kontrol na zmiernenie rizík.

Ciele a kontroly by sa mali vyberať a implementovať v súlade s požiadavkami stanovenými v procese hodnotenia rizika a znižovania rizika. Tento výber by mal zohľadňovať tak kritériá prijateľnosti rizika (pozri 4.2.1c) 2)), ako aj právne, regulačné a zmluvné požiadavky.

Úlohy a ovládacie prvky z Prílohy A by sa mali vybrať ako súčasť tohto procesu, aby sa splnili špecifikované požiadavky.

Keďže nie všetky úlohy a ovládacie prvky sú uvedené v prílohe A, možno vybrať ďalšie úlohy.

POZNÁMKA: Príloha A obsahuje komplexný zoznam cieľov manažmentu, ktoré boli identifikované ako najrelevantnejšie pre organizácie. Aby sa nevynechal jediný dôležitý bod z možností kontroly, používanie tejto medzinárodnej normy by sa malo riadiť prílohou A ako východiskovým bodom kontroly odberu vzoriek.

h) Dosiahnuť schválenie riadenia očakávaných zvyškových rizík.

4) uľahčovať detekciu bezpečnostných udalostí a tak pomocou definovaných indikátorov predchádzať bezpečnostným incidentom; a

5) určiť účinnosť opatrení prijatých na zabránenie narušeniam bezpečnosti.

b) Vykonávať pravidelné kontroly účinnosti ISMS (vrátane diskusie o politike ISMS a jej cieľoch, preskúmanie bezpečnostných kontrol), pričom zohľadní výsledky auditov, incidentov, výsledky meraní výkonnosti, návrhy a odporúčania všetkých zainteresovaných strán. .

c) Vyhodnoťte účinnosť kontrol, aby ste určili, či sú splnené bezpečnostné požiadavky.

d) Skontrolujte posúdenie rizika v porovnaní s plánovanými obdobiami a skontrolujte zvyškové riziká a tolerancie rizika, pričom zohľadnite zmeny v:

1) organizácie;

2) technológia;

3) obchodné ciele a procesy;

4) identifikované hrozby;

5) efektívnosť implementovaných nástrojov riadenia; a

6) vonkajšie udalosti, ako sú zmeny v právnom a manažérskom prostredí, zmenené zmluvné záväzky, zmeny spoločenskej klímy.

e) Vykonávať interné audity ISMS počas plánovaných období (pozri 6)

POZNÁMKA: Interné audity, niekedy nazývané primárne audity, sa vykonávajú v mene samotnej organizácie na jej vlastné účely.

f) Pravidelne prehodnocovať riadenie ISMS, aby sa zabezpečilo, že situácia zostáva platná a že sa ISMS zlepšuje.

g) Aktualizovať bezpečnostné plány na základe zistení monitorovania a auditu.

h) Zaznamenajte činnosti a udalosti, ktoré by mohli ovplyvniť účinnosť alebo výkon ISMS (pozri 4.3.3).

4.2.4 Udržiavanie a zlepšovanie ISMS

Organizácia musí neustále robiť nasledovné.

a) Implementovať špecifické opravy v ISMS.

b) Prijať vhodné nápravné a preventívne opatrenia v súlade s 8.2 a 8.3. Aplikovať poznatky získané samotnou organizáciou a zo skúseností iných organizácií.

c) Informovať o svojich činnostiach a zlepšeniach všetky zainteresované strany na úrovni podrobností primeranej situácii; a podľa toho koordinovať svoje kroky.

d) Overte, či vylepšenia dosiahli svoj zamýšľaný účel.

4.3 Požiadavky na dokumentáciu

4.3.1 Všeobecné

Dokumentácia by mala obsahovať protokoly (záznamy) rozhodnutí manažmentu, aby sa presvedčilo, že potreba konať je spôsobená rozhodnutiami a politikou manažmentu; a zabezpečiť reprodukovateľnosť zaznamenaných výsledkov.

Je dôležité vedieť preukázať spätnú väzbu vybraných kontrol na výsledky procesov hodnotenia rizík a znižovania rizík a ďalej na politiku ISMS a jej ciele.

Dokumentácia ISMS by mala obsahovať:

a) zdokumentované vyhlásenie o politike a cieľoch ISMS (pozri 4.2.1b));

b) polohu ISMS (pozri 4.2.1a));

c) koncepcia a kontroly na podporu ISMS;

d) opis metodiky hodnotenia rizika (pozri 4.2.1c));

e) správa o hodnotení rizika (pozri 4.2.1c) - 4.2.1g));

f) plán na zníženie rizika (pozri 4.2.2b));

g) zdokumentovaný koncept potrebný na to, aby organizácia mohla efektívne plánovať, prevádzkovať a riadiť svoje procesy informačnej bezpečnosti a popisovať, ako sa meria účinnosť kontrol (pozri 4.2.3c));

h) dokumenty požadované touto medzinárodnou normou (pozri 4.3.3); a

i) Vyhlásenie o použiteľnosti.

POZNÁMKA 1. – Na účely tejto medzinárodnej normy termín „dokumentovaná koncepcia“ znamená, že koncepcia je implementovaná, zdokumentovaná, implementovaná a dodržiavaná.

POZNÁMKA 2: Veľkosť dokumentácie ISMS v rôznych organizáciách sa môže líšiť v závislosti od:

Veľkosť organizácie a druh jej aktív; a

Rozsah a zložitosť bezpečnostných požiadaviek a riadeného systému.

POZNÁMKA 3: Dokumenty a správy môžu byť poskytnuté v akejkoľvek forme.

4.3.2 Kontrola dokumentov

Dokumenty požadované ISMS musia byť chránené a regulované. Je potrebné schváliť postup dokumentácie potrebný na popis činností manažmentu pre:

a) stanovenie súladu dokumentov s určitými normami pred ich zverejnením;

b) kontrola a aktualizácia dokumentov podľa potreby, opätovné schvaľovanie dokumentov;

c) zabezpečenie súladu zmien so súčasným stavom revidovaných dokumentov;

d) zabezpečenie dostupnosti dôležitých verzií platných dokumentov;

e) zabezpečenie zrozumiteľnosti a čitateľnosti dokumentov;

f) sprístupnenie dokumentov tým, ktorí ich potrebujú; ako aj ich prevoz, skladovanie a nakoniec zničenie v súlade s postupmi uplatňovanými v závislosti od ich klasifikácie;

g) overenie pravosti dokumentov z externých zdrojov;

h) kontrola distribúcie dokumentov;

i) predchádzanie neúmyselnému použitiu zastaraných dokumentov; a

j) použitie vhodnej metódy identifikácie, ak sú pre každý prípad uložené.

4.3.3 Kontrola záznamov

Záznamy by sa mali vytvárať a udržiavať, aby poskytli dôkaz o zhode a efektívnej prevádzke ISMS. Záznamy musia byť chránené a overené. ISMS by mal zohľadňovať všetky právne a regulačné požiadavky a zmluvné záväzky. Záznamy musia byť zrozumiteľné, ľahko identifikovateľné a vyhľadateľné. Kontroly potrebné na identifikáciu, uchovávanie, ochranu, obnovu, uchovávanie a zničenie záznamov musia byť zdokumentované a implementované.

Záznamy by mali obsahovať informácie o vykonávaní činností opísaných v 4.2 ao všetkých incidentoch a významných bezpečnostných incidentoch súvisiacich s ISMS.

Príkladmi záznamov sú kniha návštev, denníky auditu a vyplnené formuláre na autorizáciu prístupu.