Mенеджмент безопасности информационных систем

Mенеджмент безопасности информационных систем

Для чего необходим менеджмент безопасности информационных систем?

Информация является в наши дни одним из наиболее важных «активов» фирмы. Что означает для Вашей фирмы потеря данных, разглашение коммерческой тайны или просто нефункциональность информационной системы?

Если данные аспекты несут существенную опасность ведению и развитию Вашего бизнеса, сертификация системы менеджмента безопасности информации может стать решением этой проблемы. Вы докажете своим партнерам, что заслуживаете доверия, т.е. получение Вами доступа к их информационным системам или данным не представляет для них никакой опасности.

Risks identification

ISO/IEC 27001:2005

Под системой управления информационной безопасностью (Information Security Management System, ISMS) понимается часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности.

В стандарте определены требования для разработки, реализации, эксплуатации, мониторинга, ревизии, поддержания и совершенствования документированной системы управления информационной безопасностью в контексте общего делового риска предприятия.

В соответствии с этим документом, система управления информационной безопасностью изначально должна проектироваться таким образом, чтобы предоставить выбор адекватных мер по обеспечению безопасности, которые защищают информационные ресурсы и гарантируют конфиденциальность заинтересованным сторонам.

Приложением к данному стандарту является созданный на основе ISO/IEC 17799 перечень требований и соответствующих мер, которые могут быть приняты в компании.

Причины и история формирования стандарта

Известные корпорации Англии на рубеже двух столетий анализировали опасности, связанные с расширением и соединением электронных информационных систем, и установили, что причиной махинаций, утечки информации или отказа информационных технологий является, в первую очередь, отсутствие элементарного контроля. На основе их инициативы возник стандарт BS 7799, касающийся решения не только вопроса об обеспечении безопасности инфомрационной системы, но также ее контроля, менеджмента и улучшения.

В 1995 году стандарт BS 7799 в качестве свода установленных норм и правил по отношению к обеспечению ИБ получил в Великобритании статус государственного. В 1999 году эта часть была переработана и передана в Международную организацию по стандартизации (ISO), а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems. А в октябре 2005 года Международная организация по стандартизации приняла стандарт BSI BS 7799-2:2002 в качестве международного — ISO/IEC 27001:2005

Первая часть стандарта «Управление информационной безопасностью. Практические правила»

содержит систематический, весьма полный, универсальный перечень регуляторов безопасности, полезный для организации практически любого размера, структуры и сферы деятельности.

Она предназначена для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание внутренней системы информационной безопасности.

цель информационной безопасности — обеспечить бесперебойную работу организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности.

Управление информационной безопасностью позволяет коллективно использовать данные, одновременно обеспечивая их защиту и защиту вычислительных ресурсов.

ISO 17799 описывает более 120 механизмов контроля, которые были разработаны на основе лучших примеров мирового опыта в данной области и подходят любой организации независимо от ее размера и направления деятельности.

Сертификация по ISO 17799 не проводится — документ представляет собой лишь сборник лучших практик и является неким руководством по созданию системы обеспечения информационной безопасности организации.

Вторая часть стандарта «Системы управления информационной безопасностью — спецификация с руководством по использованию»

Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.

В основу процесса управления положена четырехфазная модель, включающая:
•планирование;
•реализацию;
•оценку;
•корректировку.

Идентификация опасностей

Приобретение конфиденциальных данных конкуренцией.

Конкуренция может использовать базу данных о контактах с Вашими заказчиками, она может приобрести информацию о Ваших ценах, конфиденциальных производственных технологиях или инструкциях, а также сведения о ваших основных сотрудниках.

Потеря данных.

Потеря баз данных может означать угрозу для фирмы или замедление ее деятельности, высокие затраты по их реконструкции и зачастую – потерю заказов или рекламации заказчиков. В случае угрозы бухгалтерским или конфиденциальным личным базам данных – санкции со стороны государства.

Перерыв в деятельности фирмы.

Необыкновенно частый текущий ремонт системы, устранение дефектов, несовместимости означают, что сотрудники фирмы занимаются иной деятельностью, чем той, которая является намерением фирмы. Заказчики понимают временные проблемы только в случае, если они не часты и не повторяются, в первую очередь, если Вы эксплуатируете магазины или склады.

Где угроза безопасности может возникать?

Человеческий фактор.

Опасность возникает там, где информационной системой управляют внештатные лица. Наилучшие технические решения не могут воспрепятствовать намерению или небрежности лиц , наделенных правами администратора или также пользователей. Стандарт BS 7799 вводит систему участия менеджмента в контроле управления информационной системой, причем участие члена руководства не слишком обременяет и не требует большой специализации в области информационных систем.

Размещение серверов и иных носителей информации.

Говорят, что безопасные данные находятся в устройствах, не соединенных кабелем. Однако, забывают о том, что кто-нибудь также может данное устройство подключить или просто отнести. Стандарт BS 7799 вводит меры, чтобы такие устройства не были физически доступны для посторонних, а также чтобы они были защищены от повреждения или даже уничтожения.

Текущий ремонт.

Информационные системы требуют регулярного контроля, текущего ремонта и апгрейда софтверных частей, чтобы не произошло внезапного отказа системы. В результате внедрения системы управления текущим ремонтом можно снижать опасность внезапного отказа и ограничивать затраты тем самым, что хардвер и софтвер не будут приобретаться случайно.

Data carriers

When applying the standard ISO 27001, it is necessary to keep in mind that data carriers we wish to protect are not IT systems and local computers only, but also printed documents and the information shared by people over the phone or in person. This matter is often neglected in today’s contemporary time.

ISO 17833

A standard defining very detail and specific requirements for information system security and data protection. It however does not deal with the control of the data protection system. Summarised requirements of ISO 17799 standard have been included in Annex A as part of the standard ISO 27001.

here

Контакт:
+7(499) 918 32 23
Ardak Zhumasheva

Новости
Sep 1 2018 12:00AM ISO 9001, ISO 14001

цертификация по ИСО 9001:2008 и 14001:2004 истекает 15 сентября 2018. Сертификаты и сертификационне логотипы нельзя исползовать с этой мнбвдаты. Сейчас можно исползовать только новые ИСО 9001:2015 и ИСО 14001:2015.

Mar 1 2013 12:00AM ERCA регистрация

Мы начали проект персональной сертификации с регистрацией сертификатов по схеме ERCA.

предыдущие новости