Системы менеджмента информационной безопасности реферат

Обновлено: 03.07.2024

Система менеджмента информационной безопасности (СМИБ) — та часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

В случае построения в соответствии с требованиями ISO/IEC_27001 основывается на PDCA модели:

Plan (Планирование) — фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;

Do (Действие) — этап реализации и внедрения соответствующих мер;

Check (Проверка) — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

Act (Улучшения) — выполнение превентивных и корректирующих действий;

^ Понятие информационной безопасности

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).

Целостность – обеспечение точности и полноты информации, а также методов ее обработки.

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).
^ 4 Система менеджмента информационной безопасности

4.1 Общие требования

Организация должна вводить, выполнять, использовать, контролировать, пересматривать, поддерживать и совершенствовать документированные положения СМИБ в рамках всей бизнес-деятельности организации, а также рисков, с которыми она сталкивается. Ради практической пользы данного Международного Стандарта используемый процесс основывается на модели PDCA, показанной на рис. 1.

^ 4.2 Создание и менеджмент СМИБ

4.2.1 Создание СМИБ

Организация должна сделать следующее.

a) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, определить масштаб и границы СМИБ, включая детали и обоснования исключений каких-либо положений документа из проекта СМИБ (см.1.2).

b) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, разработать политику СМИБ которая:

включает систему постановки целей (задач) и устанавливает общее направление руководства и принципы действия относительно информационной безопасности;

принимает во внимание деловые и юридические или регулятивные требования, договорные обязательства по безопасности;

присоединена к стратегической среде управления риском, в которой имеет место создание и поддержка СМИБ;

устанавливает критерии, по которым будет оцениваться риск (см. 4.2.1 с)); и

ПРИМЕЧАНИЕ: В целях этого Международного Стандарта, политикой СМИБ считается расширенный набор политик информационной безопасности. Эти политики могут быть описаны в одном документе.

c) Разработать концепцию оценки риска в организации.

Определить методологию оценки риска, которая подходит СМИБ, и установленной деловой информационной безопасности, юридическим и регулятивным требованиям.

Разрабатывать критерии принятия риска и определять приемлемые уровни риска (см. 5.1f).

Выбранная методология оценки риска должна гарантировать, что оценка риска приносит сравнимые и воспроизводимые результаты.

ПРИМЕЧАНИЕ: Существуют различные методологии оценки риска. Примеры методологий оценки риска рассмотрены в МОС/МЭК ТУ 13335-3, ^ Информационные технологии – Рекомендации к менеджменту IT Безопасности – Методы менеджмента IT Безопасности.

d) Выявить риски.

2) Выявить опасности для этих активов.

Выявить уязвимые места в системе защиты.

Выявить воздействия, которые разрушают конфиденциальность, целостность и доступность активов.

e) Проанализировать и оценить риски.

Оценить ущерб бизнесу организации, который может быть нанесён вследствие несостоятельности системы защиты, а также являться последствием нарушения конфиденциальности, целостности, или доступности активов.

Определить вероятность провала системы безопасности в свете преобладающих опасностей и уязвимостей, ударов, связанных с активами, и внедренных в настоящее время элементов управления.

Оценить уровни риска.

Определить приемлемость риска, или же требовать его сокращения, используя критерии допустимости риска, установленные в 4.2.1с)2).

f) Выявить и оценить инструменты для сокращения риска.

Возможные действия включают:

Применение подходящих элементов управления;

Сознательное и объективное принятие рисков, гарантирующее их безусловное соответствие требованиям политики организации и критериям допустимости риска (см. 4.2.1с)2));

Избежание риска; и

Передача соответствующих бизнес-рисков другой стороне, например, страховым компаниям, поставщикам.

g) Выбрать задачи и средства управления для сокращения рисков.

Задачи и средства управления должны быть выбраны и внедрены в соответствии с требованиями, установленными процессом оценкой риска и сокращения риска. Этот выбор должен учитывать как критерии допустимости риска (см. 4.2.1с)2)), так и юридические, регулятивные и договорные требования.

Задачи и средства управления из Приложения A должны быть выбраны как часть этого процесса, отвечающие установленным требованиям.

Т.к. в Приложении А перечислены не все задачи и средства управления, то могут быть выбраны дополнительные.

ПРИМЕЧАНИЕ: Приложение А содержит всесторонний список целей управления, которые были определены как наиболее значимые для организаций. Чтобы не пропустить ни один важный пункт из опций управления, пользующимся данным Международным Стандартом следует ориентироваться на Приложение А как на отправной пункт для контроля выборки.

h) Достигнуть утверждения управления предполагаемыми остаточными рисками.

i) Достигнуть авторизации управления для функционирования СМИБ.

j) Составить Декларацию Применимости

А Декларация Применимости должна включать следующее:

задачи и средства управления, выбранные в 4.2.1g), и причины их выбора;

задачи и средства управления, действующие в настоящее время (см. 4.2.1e)2)); и

исключение каких-либо задач и средств управления из Приложения А и обоснование их исключения.

ПРИМЕЧАНИЕ: Декларация применимости представляет собой сводку решений относительно сокращения риска. Обоснование исключений обеспечивает перепроверку по разным источникам того, что ни одного элемента управления не было упущено.

^ 4.2.2 Внедрение и использование СМИБ

Организация должна сделать следующее.

a) Сформулировать план сокращения риска, который определяет соответствующие управляющие действия, ресурсы, обязательства и приоритеты для управления рисками информационной безопасности (см. 5).

b) Осуществить план сокращения рисков для того, чтобы достигнуть установленных целей, которые включают анализ финансирования и распределения ролей и обязанностей.

c) Внедрить средства управления, выбранные в 4.2.1g), для достижения поставленных целей.

d) Определить, как измерить эффективность выбранных средств управления или групп средств управления, и установить как эта система мер должна использоваться, чтобы оценить эффективность управления и получить соизмеримые и воспроизводимые результаты (см. 4.2.3с)).

ПРИМЕЧАНИЕ: Оценка эффективности средств управления позволяет менеджерам и штату служащих определить, насколько хорошо средства управления достигают поставленных целей.

e) Внедрить обучающие и информирующие программы (см. 5.2.2).

f) Управлять функционированием СМИБ.

g) Обеспечить СМИБ трудовыми ресурсами (см. 5.2)

h) Внедрить методику и другие средства управления, способные своевременно выявить события безопасности и ответную реакцию на инциденты безопасности (см. 4.2.3а)).

^ 4.2.3 Мониторинг и проверка СМИБ

Организация должна сделать следующее.

a) Внедрить правила мониторинга и проверки и другие средства управления для того, чтобы:

1) своевременно обнаруживать ошибки в результатах процесса;

2) своевременно распознавать неудавшиеся и удавшиеся нарушения безопасности и инциденты;

3) задействовать менеджмент, чтобы определить, надлежащим ли образом выполняется работа по безопасности, порученная людям либо осуществляемая информационными технологиями;

4) содействовать обнаружению событий безопасности и таким образом, используя определённые показатели, предупреждать инциденты безопасности; и

5) определить эффективность действий, предпринятых для предотвращения нарушения безопасности.

b) Проводить регулярные проверки эффективности СМИБ (включая обсуждение политики СМИБ и её задач, проверку средств управления безопасностью), принимая во внимание результаты аудитов, инцидентов, результаты измерений эффективности, предложения и рекомендации всех заинтересованных сторон.

c) Оценить эффективность средств управления, чтобы выявить, удовлетворены ли требования безопасности.

d) Проверить оценку рисков по запланированным периодам и проверить остаточные риски и допустимые уровни рисков, принимая во внимания изменения в:

3) бизнес-целях и процессах;

4) идентифицированных угрозах;

5) эффективности внедрённых средств управления; и

6) внешних событиях, таких как изменения в юридической и управленческой среде, изменённые договорные обязательства, смены социального климата.

e) Проводить внутренние аудиты СМИБ в запланированные периоды (см. 6)

ПРИМЕЧАНИЕ: Внутренние аудиты, иногда называемые первичными аудитами, проводятся от имени самой организации в её собственных целях.

f) На регулярной основе проводить проверку управления СМИБ, чтобы убедиться, что положение остается пригодным, а СМИБ совершенствуется.

g) Обновлять планы безопасности с учётом данных, полученных в результате мониторинга и проверки.

h) Записывать действия и события, которые могут оказать влияние на эффективность или производительность СМИБ (см. 4.3.3).

^ 4.2.4 Поддержка и совершенствование СМИБ

Организация должна постоянно делать следующее.

a) Внедрять в СМИБ определённые исправления.

b) Предпринимать соответствующие корректирующие и превентивные меры в соответствии с 8.2 и 8.3. Применять знания, накопленные самой организацией и полученные из опыта других организаций.

c) Сообщать о своих действиях и совершенствованиях всем заинтересованным сторонам в степени детализации, соответствующей обстановке; и, соответственно, согласовывать свои действия.

d) Убедиться, что улучшения достигли намеченной цели.

^ 4.3 Требования обеспечения документацией

4.3.1 Общие положения

Документация должна включать протоколы (записи) управленческих решений, убеждать в том, что необходимость действий обусловлена решениями и политикой менеджмента; и убеждать во воспроизводимости записанных результатов.

Важно уметь демонстрировать обратную связь выбранных средств управления с результатами процессов оценки риска и его сокращения, и далее с политикой СМИБ и ее целями.

В документацию СМИБ необходимо включить:

a) документированные формулировки политики и целей СМИБ (см. 4.2.1b));

b) положение СМИБ (см. 4.2.1а));

c) концепцию и средства управления в поддержку СМИБ;

d) описание методологии оценки риска (см. 4.2.1с));

e) отчет об оценке риска (см. 4.2.1с) – 4.2.1g));

f) план сокращения риска (см. 4.2.2b));

g) документированную концепцию, необходимую организации для обеспечения эффективности планирования, функционирования и управления процессами её информационной безопасности и описания способов измерения эффективности средств управления (см. 4.2.3с));

h) документы, требуемые данным Международным Стандартом (см. 4.3.3); и

i) Утверждение о Применимости.

ПРИМЕЧАНИЕ 2: Размер документации СМИБ в различных организациях может колебаться в зависимости от:

- размера организации и типа ее активов; и

- масштаба и сложности требований безопасности и управляемой системы.

ПРИМЕЧАНИЕ 3: Документы и отчёты могут предоставляться в любой форме.

^ 4.3.2 Контроль документов

Документы, требуемые СМИБ, необходимо защищать и регулировать. Необходимо утвердить процедуру документации, необходимую для описания управленческих действий по:

a) установлению соответствия документов определённым нормам до их опубликования;

b) проверке и обновлению документов как необходимости, переутверждению документов;

c) обеспечению соответствия изменений текущему состоянию исправленных документов;

d) обеспечению доступности важных версий действующих документов;

e) обеспечению понятности и читабельности документов;

f) обеспечению доступности документов тем, кому они необходимы; а также их передачи, хранения и, наконец, уничтожения в соответствии с процедурами, применяемыми в зависимости от их классификации;

g) установлению подлинности документов из внешних источников;

h) контролированию распространения документов;

i) предупреждению непреднамеренного использования вышедших из употребления документов; и

j) применению к ним соответствующего способа идентификации, если они хранятся просто на всякий случай.

^ 4.3.3 Контроль записей

Записи должны создаваться и храниться для того, чтобы обеспечить подтверждение соответствия требованиям и эффективное функционирование СМИБ. Записи необходимо защищать и проверять. СМИБ должна учитывать любые юридические и регулятивные требования и договорные обязательства. Записи должны быть понятны, легко идентифицируемы и восстановимы. Средства управления, необходимые для идентификации, хранения, защиты, восстановления, продолжительности хранения и уничтожения записей, должны быть документально утверждены и введены в действие.

В записи необходимо включать информацию о проведении мероприятий, описанных в 4.2, и обо всех происшествиях и значимых для безопасности инцидентах, относящихся к СМИБ.

Примерами записей являются гостевая книга, протоколы аудита и заполненные формы авторизации доступа.

Аннотация рабочей программы учебной дисциплины по выбору студентов учет и анализ в условиях антикризисного управления

Задачи профиля: усвоение основных понятий в области бухгалтерского учета; приобретение знаний в области методики бухгалтерского учета хозяйственных процессов в торговых организациях

Понятие системы менеджмента информационной безопасности. Особенности цикла управления Plan-Do-Check-Act. Анализ международного стандарта по информационной безопасности ISO/IEC 27001. Основные этапы процесса внедрения системы менеджмента в организацию.

Рубрика Менеджмент и трудовые отношения
Вид реферат
Язык русский
Дата добавления 15.07.2012
Размер файла 319,6 K

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

"Система менеджмента информационной безопасности"

менеджмент международный стандарт

Введение

Система менеджмента информационной безопасности -- это совокупность процессов, которые работают в компании для обеспеченияконфиденциальности,целостностиидоступностиинформационных активов. В первой части реферата рассматривается процесс внедрения системы менеджмента в организацию, а также приведены основные аспекты выгоды от реализации системы менеджмента информационной безопасности.

Рис.1. Цикл управления

Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование (Рис.1). Этот стандарт будет рассмотрен подробнее во второй части.

Система менеджмента информационной безопасности

Системой менеджмента информационной безопасности (СМИБ) называют ту часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. Процессы СМИБ созданы в соответствии с требованиям стандарта ISO/IEC 27001:2005, в основе которого лежит цикл

Работа системы основана на подходах современной теории рисков менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.

Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:

· Управление внутренней организацией информационной безопасности.

· Обеспечение информационной безопасности при взаимодействии с третьими сторонами.

· Управление реестром информационных активов и правила их классификации.

· Управление безопасностью оборудования.

· Обеспечение физической безопасности.

· Обеспечение информационной безопасности персонала.

· Планирование и принятие информационных систем.

· Обеспечение безопасности сети.

Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность -- это результат устойчивого функционирования процессов, связанных с информационными технологиями.

При построении СМИБ в компаниях специалисты проводят следующие работы:

· организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;

· определяют область деятельности (ОД) СМИБ;

· обследуют организацию в ОД СМИБ:

o в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;

o в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;

o в части ИТ инфраструктуры;

o в части ИБ инфраструктуры.

· разрабатывают и согласовывают аналитический отчет, содержащий перечень основных бизнес-процессов и оценку последствий реализации угроз ИБ в их отношении, перечень процессов менеджмента, ИТ-систем, подсистем информационной безопасности (ПИБ), оценку степени выполнения организацией всех требований ISO 27001 и оценку зрелости процессов организации;

· выбирают исходный и целевой уровень зрелости СМИБ, разрабатывают и утверждают Программу повышения зрелости СМИБ; разрабатывают высокоуровневую документацию в области ИБ:

o Концепцию обеспечения ИБ,

o Политики ИБ и СМИБ;

· выбирают и адаптируют методику оценки рисков, применимую в организации;

· выбирают, поставляют и развертывают ПО, используемое для автоматизации процессов СМИБ, организуют обучение специалистов компании;

· разрабатывают эскизные проекты ПИБ, производят оценку стоимости обработки рисков;

· организуют утверждение оценки рисков высшим руководством организации и разрабатывают Положения о применимости; разрабатывают организационные меры обеспечения ИБ;

· разрабатывают и реализуют технические проекты по внедрению технических подсистем информационной безопасности, поддерживающих выполнение выбранных мер, включая поставку оборудования, пуско-наладочные работы, разработку эксплуатационной документации и обучение пользователей;

· предоставляют консультации в ходе эксплуатации построенной СМИБ;

· организуют обучение внутренних аудиторов и проведение внутренних аудитов СМИБ.

Результатом данных работ является функционирующая СМИБ. Выгода от реализации СМИБ в компании достигаются за счет:

· эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;

· предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;

· повышения культуры ИБ в организации;

· повышения зрелости в области управления обеспечением ИБ;

· оптимизации расходования средств на обеспечение ИБ.

ISO/IEC 27001-- международный стандарт по информационной безопасности

Для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшении системы менеджмента защиты информации (СМЗИ) стандарт принимает процессный подход. Он заключается в применении системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением.

Планирование - это фаза создания СМЗИ, создания перечня активов, оценки рисков и выбора мер.

Рисунок 2. Модель PDCA, примененная к процессам СМЗИ

Осуществление - это этап реализации и внедрения соответствующих мер.

Проверка - фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

Действие - выполнение превентивных и корректирующих действий.

Выводы

ISO 27001 описывает общую модель внедрения и функционирования СМИБ, а также действий по мониторингу и улучшению СМИБ. ISO намеревается гармонизировать различные стандарты по системам менеджмента, такие как ISO/IEC 9001:2000, который посвящен менеджменту качества, и ISO/IEC 14001:2004, предназначенный для систем экологического менеджмента. Цель ISO состоит в том, чтобы обеспечить согласованность и интеграцию СМИБ с другими системами менеджмента в компании. Сходство стандартов позволяет использовать схожий инструментарий и функционал для внедрения, управления, пересмотра, проверки и сертификации. Подразумевается, что если компания внедрила другие стандарты менеджмента, она может использовать единую систему аудита и управления, которая применима к менеджменту качества, экологическому менеджменту, менеджменту безопасности и т.д. Внедрив СМИБ, высшее руководство получает средства мониторинга и управления безопасностью, что снижает остаточные бизнес-риски. После внедрения СМИБ, компания может официально обеспечивать безопасность информации и продолжать выполнять требования клиентов, законодательства, регуляторов и акционеров.

Стоит отметить, что в законодательстве РФ существует документ ГОСТ Р ИСО/МЭК 27001-2006, который представляет собой переведенную версию международного стандарта ISO27001.

Список литературы

1.Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил.

4.Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. -- 320 с.: ил.

Подобные документы

Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.

курсовая работа [235,0 K], добавлен 03.02.2011

Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.

курсовая работа [1,4 M], добавлен 03.02.2011

Основные этапы создания системы менеджмента на предприятии пищевой промышленности. HACCP как основа любой системы менеджмента безопасности пищевого продукта. Система менеджмента безопасности пищевых продуктов. Опасные факторы и предупреждающие действия.

реферат [75,7 K], добавлен 14.10.2014

Современные системы менеджмента и их интегрирование. Интегрированные системы менеджмента качества. Характеристика ОАО "275 АРЗ" и его системы менеджмента. Разработка системы управления охраной труда. Методы оценки интегрированной системы безопасности.

дипломная работа [612,1 K], добавлен 31.07.2011

Внедрение системы менеджмента качества. Сертификация систем менеджмента качества (ISO 9000), экологического менеджмента (ISO 14 000), системы управления охраной труда и техникой безопасности организаций (OHSAS 18 001:2007) на примере ОАО "Лента".

реферат [27,0 K], добавлен 06.10.2008

Разработка стандарта организации интегрированной системы менеджмента, устанавливающего единый порядок осуществления процесса управления документацией. Этапы создания системы менеджмента качества ОАО "ЗСМК". Размещение электронных версий документов.

дипломная работа [985,6 K], добавлен 01.06.2014

Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.

Работа системы основана на подходах современной теории риск менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.
Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

Содержание

Внедрение системы менеджмента информационной безопасности……………………………………………………………………….4
Организация защиты информации на предприятии……………. 10
Документирование конфиденциальной информации………………11
Библиографический список………………………………………………..13
Список электронных ресурсов…………………………………………….14

Вложенные файлы: 1 файл

Реферат123.docx

Система менеджмента информационной безопасности и защиты информации организации: документирование конфиденциальной информации

  1. Список сокращений и специальных терминов…………………… ……….3
  2. Содержание реферата………………………………………………………. .4
    1. Внедрение системы менеджмента информационной безопасности……………………………………………… ……………………….4
    2. Организация защиты информации на предприятии……………. 10
    3. Документирование конфиденциальной информации………………11

    Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

    Доступность информации – это возможность получить за приемлемое время требуемую информационную услугу.

    Информационная безопасность — это состояние защищённости информационной среды; защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

    Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

    Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.

    Конфиденциальность информации – это защита от несанкционированного доступа к информации.

    Политика безопасности – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

    Система менеджмента информационной безопасности — это совокупность процессов, которые работают в компании для обеспечения конфиденциальности, целостности и доступности информационных активов.

    Целостность информации – актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

      1. Внедрение системы менеджмента информацио нной безопасности

      Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005.

      Работа системы основана на подходах современной теории риск менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.

      Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

      Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:

      • управление внутренней организацией информационной безопасности;
      • обеспечение информационной безопасности при взаимодействии с третьими сторонами;
      • управление реестром информационных активов и правила их классификации;
      • управление безопасностью оборудования;
      • обеспечение физической безопасности;
      • обеспечение информационной безопасности персонала;
      • планирование и принятие информационных систем;
      • резервное копирование;
      • обеспечение безопасности сети;
      • и многие другие.

      Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность — это результат устойчивого функционирования процессов, связанных с информационными технологиями.

      Использование ИТ-решений для поддержки основных бизнес-процессов компании или непосредственно для оказания услуг клиентам предъявляет высокие требования к их качеству – доступности, мощности, непрерывности и безопасности использования. Реализация угроз различного характера – от вирусной эпидемии во внутренней сети до отказа системы электропитания в масштабах города – может привести к нарушению деятельности организации, прямым финансовым потерям и ущербу репутации. Зрелая Система менеджмента информационной безопасности (СМИБ) обеспечивает эффективное управление обеспечением ИБ: отсутствие неприемлемых рисков со стороны ИТ-систем для организации, и поддержание баланса между рисками и затратами на обеспечение ИБ.

      Выгоды от реализации СМИБ в организации достигаются за счет:

      • эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;
      • предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;
      • повышения культуры ИБ в организации;
      • повышения зрелости в области управления обеспечением ИБ;
      • оптимизации расходования средств на обеспечение ИБ.

      Компания Открытые Технологии предоставляет своим клиентам полный спектр услуг в области построения, эксплуатации, развития и сертификации СМИБ.

      Современная СМИБ представляет собой процессно- ориентированную систему управления, включающую организационный, документальный и программно-аппаратный компоненты. Можно выделить следующие разрезы СМИБ: процессный, документальный и зрелостный.

      Процессы СМИБ созданы в соответствии с требованиями стандарта ISO/IEC 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание – Внедрение и эксплуатация – Мониторинг и анализ – Сопровождение и совершенствование. Процессы СМИБ интегрируются в существующую структуру бизнес-процессов организации для выполнения всех требований стандарта.

      Для их автоматизации применяется специализированное программное обеспечение, использование которого позволяет существенно уменьшить трудоемкость эксплуатации СМИБ, повысить уровень зрелости процессов менеджмента и упростить процедуры внутреннего и внешнего сертификационного аудита.

      Документация СМИБ состоит из политик, документированных процедур, стандартов и записей и делится на две части: документация менеджмента СМИБ и эксплуатационная документация СМИБ.

      Документация менеджмента ИБ представлена Политиками ИБ и СМИБ, основной процедурой – "Менеджмент ИБ" и сопутствующими формами записей, процедурами "Внутренний аудит", "Управление документацией" и Управление Записями. При необходимости СМИБ интегрируется с существующей в организации СМК, а также с другими системами менеджмента.

      Зрелостная модель СМИБ определяет состав и детализацию разрабатываемой документации, последовательность построения СМИБ, детальность разрабатываемой документации и степень автоматизации процессов менеджмента и эксплуатации СМИБ. При оценке и планировании используется модель зрелости CobiT. В Программе повышения зрелости СМИБ приводятся состав и сроки мероприятий по совершенствованию процессов менеджмента ИБ и управления эксплуатацией средств ИБ.

      При построении СМИБ специалисты компании Открытее Технологии проводят следующие работы:

      • организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;
      • определяют область деятельности (ОД) СМИБ;
      • обследуют организацию в ОД СМИБ:
        • в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;
        • в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;
        • в части ИТ инфраструктуры;
        • в части ИБ инфраструктуры;

        Результатом данных работ является функционирующая СМИБ целевого уровня зрелости.

        Сертификация СМИБ проводится по решению высшего руководства организации. Она обеспечивает конкурентное преимущество организации в случае, если соответствующие требования являются значимыми на целевых рынках. Сертификация СМИБ включает:

        • выбор сертифицирующей организации;
        • организацию предсертификационного аудита;
        • консультационные услуги по выполнению корректирующих и предупреждающих действий по устранению замечаний, полученных на предсертификационном аудите;
        • организацию сертификационного аудита;
        • консультационные услуги по выполнению корректирующих и предупреждающих действий по устранению замечаний, полученных на сертификационном аудите;
        • сопровождение СМИБ после сертификационного аудита.

        Привлечение к сертификационному аудиту СМИБ зарубежных аудиторов диктует использование в ходе построения СМИБ оригинальных англоязычных версий современных стандартов в области управления ИБ и ИТ.

        Используются следующие источники:

        • международные стандарты ISO/IEC: 27001:2005, 27005:2008, 27002:2005;
        • другие зарубежные стандарты и рекомендации: ISO/IEC TR 18044, BS 25999-1:2006, BS 25999-2:2007, PAS 77:2006, IT BIP 0071, 0072, 0073, 0074, NIST SP 800-53:2007;
        • собственные разработки компании Открытые Технологии: концепция обеспечения информационной безопасности в распределенной организации;
        • количественная и рейтинговая методики оценки рисков ИБ; обобщенная процессная модель СМИБ;
        • типовые проекты построения технических подсистем информационной безопасности.

        Перечень подсистем, состав средств каждой подсистемы и их поставщик определяются на этапе разработки и реализации технических проектов на основании результатов оценки и обработки рисков и принятия решения по их обработке высшим руководством компании.

        Пути создания системы менеджмента информационной безопасности на предприятиях Донецкого региона

        Научный руководитель: к.т.н., доц. Котляр Николай Андреевич

        Содержание

        Введение

        Быстро развивающееся предприятие, равно как и гигант своего сегмента, заинтересовано в получении прибыли и ограждении себя от воздействия злоумышленников. Если ранее основной опасностью были кражи материальных ценностей, то на сегодняшний день основная роль хищений происходит в отношении ценной информации. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации [1].

        Особенно остро ощущают утечку информации банки, управленческие организации, страховые предприятия. Защита информации на предприятии — это комплекс мер, обеспечивающий безопасность данных клиентов и сотрудников, важных электронных документов и разного рода информации, тайн. Каждое предприятие оснащено компьютерной техникой и доступом к всемирной паутине Интернет. Злоумышленники умело подключаются практически к каждой составной этой системы и с помощью многочисленного арсенала (вирусы, вредоносное ПО, подбор паролей и другое) воруют ценную информацию. Система информационной безопасности должна внедряться в каждую организацию. Руководителям необходимо собрать, проанализировать и классифицировать все виды информации, которая нуждается в защите, и использовать надлежащую систему обеспечения безопасности. Но этого будет мало, потому что, кроме техники, существует человеческий фактор, который также успешно может сливать информацию конкурентам. Важно правильно организовать защиту своего предприятия на всех уровнях. Для этих целей используется система менеджмента информационной безопасности, с помощью которой руководитель наладит непрерывный процесс мониторинга бизнеса и обеспечит высокий уровень безопасности своих данных.

        1. Актуальность темы

        Для каждого современного предприятия, компании или организации одной из самых главных задач является именно обеспечение информационной безопасности. Когда предприятие стабильно защищает свою информационную систему, оно создает надежную и безопасную среду для своей деятельности. Повреждение, утечка, неимение и кража информации — это всегда убытки для каждой компании. Поэтому создание системы менеджмента информационной безопасности на предприятиях является актуальным вопросом современности.

        2. Цели и задачи исследования

        Проанализировать пути создания системы менеджмента информационной безопасности на предприятии, учитывая особенности Донецкого региона.

        • провести анализ современного состояния систем менеджмента информационной безопасности на предприятиях;
        • выявить причины создания и внедрения системы менеджмента информационной безопасности на предприятиях;
        • разработать и внедрить систему менеджмента информационной безопасности на примере предприятия ЧАО Донецкий завод горноспасательной аппаратуры ;
        • оценить результативность, эффективность и экономическую целесообразность внедрения системы менеджмента информационной безопасности на предприятии.

        3. Система менеджмента информационной безопасности

        Под информационной безопасностью понимают состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера (информационных угроз, угроз информационной безопасности), которые могут нанести неприемлемый ущерб субъектам информационных отношений.

        Доступность информации — свойство системы обеспечивать своевременный беспрепятственный доступ правомочных (авторизированных) субъектов к интересующей их информации или осуществлять своевременный информационный обмен между ними.

        Целостность информации — свойство информации, характеризующее ее устойчивость к случайному или преднамеренному разрушению или несанкционированному изменению. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)).

        Конфиденциальность информации — свойство информации быть известной и доступной, только правомочным субъектам системы (пользователям, программам, процессам). Конфиденциальность — самый проработанный у нас в стране аспект информационной безопасности.

        Система менеджмента информационной безопасности (далее СМИБ) — часть общей системы менеджмента, основанной на подходах к деловому риску, предназначенная для учреждения, внедрения, управления, мониторинга, поддержания и улучшения информационной безопасности [2].

        Основными факторами, оказывающими влияние на защиту информации и данных на предприятии, являются:

        • Приумножение сотрудничества компании с партнерами;
        • Автоматизация бизнес-процессов;
        • Тенденция к росту объемов информации предприятия, которая передается по доступным каналам связи;
        • Тенденция к росту компьютерных преступлений.

        Задачи систем информационной безопасности компании многогранны. К примеру, это обеспечение надежного хранения данных на различных носителях; защита информации, передаваемой по каналам связи; ограничение доступа к некоторым данным; создание резервных копий и другое.

        Полноценное обеспечение информационной безопасности компании реально только при правильном подходе к защите данных. В системе информационной безопасности нужно учитывать все актуальные на сегодняшний день угрозы и уязвимости.

        Одним из наиболее эффективных инструментов управления и защиты информации является система менеджмента информационной безопасности, построенная на базе модели МС ISO/IEC 27001:2005. В основе стандарта лежит процессный подход к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ компании. Он заключается в создании и применении системы процессов управления, которые взаимоувязаны в непрерывный цикл планирования, внедрения, проверки и улучшения СУИБ [3].

        Настоящий международный стандарт был подготовлен с целью создания модели для внедрения, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования СМИБ.

        Основные факторы реализации СМИБ:

        • законодательные — требования действующего национального законодательства в части ИБ, международные требования;
        • конкурентные — соответствие уровню, элитарность, защита своих НМА, превосходство;
        • антикриминальные — защита от рейдеров ( белых воротничков ), предупреждение НСД и скрытого наблюдения, сбор доказательств для разбирательств.

        Структура документации в области информационной безопасности изображена на рисунке 1.

        Структура документации в области ИБ

        Рисунок 1 — Структура документации в области ИБ

        4. Построение СМИБ

        Сторонники подходов ISO используют для создания СМИБ модель PDCA. ISO применяет эту модель во многих своих стандартах по менеджменту и ISO 27001 не является исключением. Кроме того, следование модели PDCA при организации процесса менеджмента позволяет использовать те же приемы и в дальнейшем – для менеджмента качества, экологического менеджмента, менеджмента безопасности, а также в других областях менеджмента, что снижает затраты. Поэтому PDCA является отличным выбором, полностью отвечающим задачам по созданию и поддержке СМИБ. Иными словами, этапы PDCA определяют, как установить политику, цели, процессы и процедуры, соответствующие обрабатываемым рискам (этап планирования — Plan), внедрить и использовать (этап выполнения — Do), оценивать и, там где это возможно, измерять результаты процесса с точки зрения политики (этап проверки — Check), выполнять корректирующие и превентивные действия (этап улучшения — Act). Дополнительными концепциями, не входящими в состав стандартов ISO, которые могут быть полезны при создании СМИБ, являются: состояние как должно быть (to-be); состояние как есть (as-is); план перехода (transition plan).

        Основа стандарта ИСО 27001 — система управление рисками, связанными с информацией [4].

        Этапы создания СУИБ

        В рамках работ по созданию СУИБ можно выделить следующие основные этапы:

        1. Принятие решения о создании СУИБ.
          Решение о создании и последующей сертификации СУИБ должно приниматься высшим руководством организации. Таким образом руководство выражает свою поддержку началу данного процесса, что является ключевым фактором для успешного внедрения СУИБ в организации. При этом руководство должно осознавать конечную цель данного мероприятия и ценность сертификации для бизнеса компании.
        2. Подготовка к созданию СУИБ.
          Не менее важным фактором успешного внедрения СУИБ является создание рабочей группы, ответственной за внедрение СУИБ. Рабочая группа должна иметь в своем распоряжении всю необходимую нормативно-методическую базу для успешного создания системы управления информационной безопасностью, соответствующей требованиям Стандарта. Для уточнения объема работ и необходимых затрат на создание и последующую сертификацию СУИБ члены рабочей группы проводят работы по выявлению и анализу несоответствий существующих в организации мер защиты требованиям Стандарта [5].
        3. Анализ рисков.
          Одной из наиболее ответственных и сложных задач, решаемых в процессе создания СУИБ, следует назвать проведение анализа рисков информационной безопасности в отношении активов организации в выбранной области деятельности и принятие высшим руководством решения о выборе мер противодействия выявленным рискам. Анализ рисков — это основной движущий процесс СУИБ. Он выполняется не только при создании СУИБ, но и периодически при изменении бизнес-процессов организации и требований по безопасности [6]. Принятие плана обработки рисков и контроль за его выполнением осуществляет высшее руководство организации. Выполнение ключевых мероприятий плана является критерием, позволяющим принять решение о вводе СУИБ в эксплуатацию.
        4. Разработка политик и процедур СУИБ.
          Разработка организационно-нормативной базы, необходимой для функционирования СУИБ, может проводиться параллельно с реализацией мероприятий плана обработки рисков. На данном этапе разрабатываются документы, явно указанные в Стандарте, а также те, необходимость реализации которых вытекает из результатов анализа рисков и из собственных требований компании к защите информации.
        5. Внедрение СУИБ в эксплуатацию.
          Датой ввода СУИБ в эксплуатацию является дата утверждения высшим руководством компании положения о применимости средств управления. Данный документ является публичным и декларирует цели и средства, выбранные организацией для управления рисками. При вводе СУИБ в эксплуатацию задействуются все разработанные процедуры и механизмы, реализующие выбранные цели и средства управления.

        Рисунок 2 — Модель PDCA для управления ИБ (анимация: 6 кадров, 6 повторений, 246 килобайт)

        5. Управление рисками, связанными с информацией

        Управление рисками рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

        Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая (пере) оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки [7].

        Суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми).

        Процесс управления рисками можно разделить на следующие этапы:

        1. Выбор анализируемых объектов и уровня детализации их рассмотрения.
        2. Выбор методологии оценки рисков.
        3. Идентификация активов.
        4. Анализ угроз и их последствий, выявление уязвимых мест в защите.
        5. Оценка рисков.
        6. Выбор защитных мер.
        7. Реализация и проверка выбранных мер.
        8. Оценка остаточного риска.

        Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты — минимальными.

        Очень важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства стоит использовать. Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками — типичная оптимизационная задача, и существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности). Принципиальная трудность, однако, состоит в неточности исходных данных. Можно, конечно, попытаться получить для всех анализируемых величин денежное выражение, высчитать все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой.

        Основные этапы управления рисками.

        Первый шаг в анализе угроз — их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (исключив, например, землетрясения, однако не забывая о возможности захвата организации террористами), но в пределах выбранных видов провести максимально подробный анализ.

        Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет в выборе дополнительных средств защиты.

        После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).

        Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости.

        Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно планировать. В плане необходимо учесть наличие финансовых средств и сроки обучения персонала. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования (автономного и комплексного).

        Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.

        Выводы

        Каждый руководитель предприятия заботится о своем бизнесе и поэтому должен понимать, что решение о внедрении системы менеджмента информационной безопасности (СМИБ) — важный шаг, который позволит минимизировать риски потерь активов предприятия/организации и сократить финансовые потери, а в некоторых случаях избежать банкротства.

        Информационная безопасность важна для предприятий, как частного, так и государственного секторов. Ее следует рассматривать как инструмент реализации оценки, анализа и минимизации соответствующих рисков.

        Безопасность, которая может быть достигнута техническими средствами, имеет свою ограниченность и ее следует поддерживать соответствующими методами управления и процедурами.

        Определение средств управления требует тщательного планирования и внимания.

        Для эффективной защиты информации, должны быть разработаны наиболее подходящие меры безопасности, которые могут быть достигнуты путем определения основных рисков информации в системе и внедрением соответствующих мер.

        Интеграция целей и средств управления с менеджментом рисков приводит к сокращению, возможно и полному отсутствию финансовых потерь.

        При написании данного реферата магистерская работа еще не завершена.

        Окончательное завершение: июнь 2017 года. Полный текст работы и материалы по теме могут быть получены у автора или его руководителя после указанной даты.

        Читайте также: