Системи за управление на информационната сигурност

Системи за управление на информационната сигурност

Защо се въвежда контрол по защита на информацията?

В наши дни информацията е едно от най- големите “предимства” на фирмата. Какво значение за Вашата фирма има загубата на данни, издаването на професионални тайни или просто срив в информационната система? Ако тези рискове са важни от гледна точка развитието на компанията Ви, то тогава потърсете решение чрез въвеждане на система за управление на информационната сигурност. Със сертифицирането й може да демонстрирате пред партньорите си сигурност: при достъп до информационните им системи или при взаимното споделяне на данни и информация.

Идентификация на рисковете

Добиване на тайна информация от конкуренцията.

Конкурентите могат да използват базата данни за контакти с клиентите Ви, могат да придобиват информация за цените Ви, за тайни производствени технологии или инструкции, както и информация за ключови Ви клиенти. На базата на тяхната инициатива се създава BS 7799, по- късно сменен от ISO 27001, който не само въвежда сигурността на информационната система, но така също нейния контрол, поддръжка и усъвършенстване.

Загуба на данни.

Загубата на база данни може да означава заплаха за компанията или снижаване дейността й, значителни разходи за възстановяването им, загуба на поръчки и оплаквания от клиенти. В случай на опасност за сметки или лични данни, може да има санкции от държавата.

Затруднения в развитието на компанията.

Необичайно честото поддържане на системата, премахването на грешките и несъвместимостите, всичко това означава, че служителите на компанията са посветили времето си на различни дейности отколкото на компанията. Клиентите разбират временните проблеми, освен ако не възникват прекалено често и не се повтарят, особено ако се занимават с продажби, разпродажби или складова дейност.

Откъде идват рисковете в сигурността?

Човешки фактор.

Рискът възниква там, където информационната система се управлява външно. Колкото и добро да е техническото решение, то не може да предотврати намерението или небрежността на човек, който е с права на администратор или дори на потребител. ISO 27001 предлага система за управление на участието в проверката на мениджмънта на информационната система. Едновременно с това, участието на членове на управлението не е натоварващо и изискващо специализация в сферата на информационните системи.

Разположение на сървърите и други информационни носители.

Знае се, че защитените данни се намират в носител, който не е свързан с кабел. Някои забравят, че може да се осъществи прикачване към такъв носител или просто да бъде присвоен. Мерките, които прилага ISO 27001, правят този носител физически недостъпен за неоторизирани хора, а също така го предпазват от повреди или разрушение.

Поддръжка.

Информационните системи изискават редовни проверки, поддръжка и обновяване на софтуера, така че да не възникват случайни неизправности. Чрез въвеждането на системен контрол на поддръжката, Вие снижавате риска от внезапни неизправности и сваляте цените, по начин, по който случайните инциденти няма да се отразят на хардуера и софтуера.

Заплахи (подборка)

• Злоупотреба с администраторски права • Небрежност при администрирането на данните • Изтриване на данни • Подслушване на важни заседания • Хакване на системата • Инсталиране на неприятелска програма • Нефункциониране на системата • Кражби • Грешки и пропуски на потребителите • Неправилна насока • Авария на системата • Стихийни бедствия • Компенсиране на щети, причинени на клиенти

Слаби места (подборка)

• Достъп до помещенията на сървъра • Недостатъчна защита на локалните станции • Недостатъчен контрол • Политика на пароли и достъп • Достъп на трети страни (подизпълнители) • Неконцептуално развитие на хардуера и софтуера • Подценяване на подслушването • Непрофесионално инсталиране на програми • обединяване на правомощия • Недостатъчен анализ на рисковете • Недостатъчен контрол при администрирането на данните и достъп до информацията на клиентите

АНКЕТА ЗА РЪКОВОДСТВОТО (отговаряйте с Да – Не)

1. Администраторът на системата има ограничени правомощия и мониториран достъп до системата, разрешени са само най-необходимите функции за ефективно администриране. 2. Базите данни са защитени срещу нерегламентиран достъп, правата за достъп се управляват и данните редовно се запазват в безопасно пространство. 3. Политиката на паролите е формулирана и контролирана. 4. Правят се редовни проверки за нерегламентиран достъп, срив на системата, актуализиране на антивирусните програми и други програми. Системата допуска свързване само на одобрени устройства. 5. Правомощията и отговорностите на служителите са еднозначно определени и делегирани. Техните лични данни са надлежно защитени. 6. Помещенията се охраняват срещу достъп на неоторизирани лица, особено помещението на сървъра и други чувствителни информационни активи. 7. Дистанционният достъп до информационната система е достатъчно осигурен, възможностите за нерегламентиран безжичен достъп са контролирани. 8. Рисковете, произтичащи от сътрудничество с трети страни (подизпълнители) са анализирани и достъпът на трети страни до информацията е контролиран и управляван. 9. Набавянето на софтуер и хардуер е планиране, а не случайно. Отделните основни компоненти на информационните системи се набавят след анализ на рисковете. 10. Дейността на собствените ни служители при администрирането на данни и информация се наблюдава и оценява.

Ако отговорите с "Да" на 8 от 10-те въпроса, не ни се обаждайте.

Data carriers

When applying the standard ISO 27001, it is necessary to keep in mind that data carriers we wish to protect are not IT systems and local computers only, but also printed documents and the information shared by people over the phone or in person. This matter is often neglected in today’s contemporary time.

ISO 17802

A standard defining very detail and specific requirements for information system security and data protection. It however does not deal with the control of the data protection system. Summarised requirements of ISO 17799 standard have been included in Annex A as part of the standard ISO 27001.

here