Dobar dan dragi moji!
Dugo nisam pisala Habru, nije bilo vremena, bilo je puno posla. Ali sada sam se rasteretio i formirao misli za novi post.

Razgovarao sam sa jednim od drugova, koji je bio zadužen za rad na informacionoj bezbednosti u organizaciji (druže sistem administrator) i zamolio me da mi kaže odakle da počnem i kuda da krenem. Malo je sredio svoje misli i znanje i dao mu grubi plan.
Nažalost, ova situacija je daleko od izolirane i često se javlja. Poslodavci, po pravilu, žele da imaju i Švajcarca i žeteoca, i igrača na lulu, i sve to za jednu cenu. Kasnije ću se vratiti na pitanje zašto informatičku sigurnost ne treba pripisivati ​​IT-u, ali sada ćemo ipak razmotriti odakle da počnemo ako se to dogodilo i vi ste se upisali u takvu avanturu, odnosno stvaranje informacijske sigurnosti sistem upravljanja (ISMS).

Analiza rizika

Gotovo sve u informacionoj sigurnosti počinje analizom rizika, to je osnova i početak svih sigurnosnih procesa. Provest ću kratak edukativni program iz ove oblasti, jer mnogi pojmovi nisu očigledni i najčešće se brkaju.
Dakle, postoje 3 glavna koncepta:

• Vjerovatnoća realizacije
• Ranjivost

Rizik je mogućnost nanošenja bilo kakvih gubitaka (monetarnih, reputacijskih, itd.) zbog implementacije ranjivosti.
Vjerovatnoća implementacije je kolika je vjerovatnoća da će određena ranjivost biti iskorištena za materijalizaciju rizika.
Ranjivost je direktno rupa u vašem sigurnosnom sistemu, koja sa određenim stepenom vjerovatnoće može uzrokovati štetu, odnosno ostvariti rizik.

Postoji mnogo metoda, različitih pristupa upravljanju rizicima, reći ću vam o osnovama, ostalo vam neće trebati u početku u formiranju ISMS-a.
Dakle, sav rad na upravljanju rizicima svodi se ili na smanjenje vjerovatnoće implementacije, ili na minimiziranje gubitaka od implementacije. Shodno tome, rizici mogu biti prihvatljivi i neprihvatljivi za organizaciju. Prihvatljivost rizika najbolje se izražava u konkretnim iznosima gubitaka od njegove implementacije (u svakom slučaju, čak i naizgled nematerijalni gubici reputacije na kraju rezultiraju izgubljenom dobiti). Potrebno je sa menadžmentom odlučiti koji će iznos za njih biti prag prihvatljivosti i napraviti gradaciju (poželjno 3-5 nivoa za gubitke). Zatim napravite gradaciju u smislu vjerovatnoće, kao i sa gubicima, a zatim procijenite rizike zbirom ovih pokazatelja.
Nakon pripremnih radova, istaknite stvarne ranjivosti vaše organizacije i procijenite rizike njihove implementacije i gubitka. Kao rezultat toga, dobit ćete 2 skupa rizika - prihvatljivih i neprihvatljivih. Sa prihvatljivim rizicima, jednostavno trpite i nećete preduzimati aktivne korake da ih minimizirate (odnosno, prihvatamo da će nas minimiziranje ovih rizika koštati više od gubitaka od njih), a sa neprihvatljivim postoje 2 scenarija.

Minimizirajte - smanjite vjerovatnoću nastanka, smanjite moguće gubitke ili čak poduzmite mjere za uklanjanje rizika (zatvaranje ranjivosti).
Prijenos - jednostavno prebacite brige o riziku na drugu osobu, na primjer, osigurajte organizaciju od rizičnih događaja ili prenesite rizično sredstvo (na primjer, prenesite servere u podatkovni centar, tako da će podatkovni centar biti odgovoran za nesmetano napajanje i fizičku sigurnost servera).

Vage

Prije svega, naravno, potrebno je procijeniti razmjere katastrofe. Neću se doticati pitanja zaštite ličnih podataka, već postoji mnogo članaka na ovu temu, postoje praktične preporuke i algoritmi radnji opisani više puta.
Podsjećam i da je informaciona sigurnost prvenstveno vezana za ljude, pa nam je potrebna regulatorna dokumentacija. Da biste ga napisali, prvo morate razumjeti šta tu unositi.
Postoje 3 glavna dokumenta za informacionu sigurnost u tom pogledu:

Politika sigurnosti informacija

Vaš glavni dokument, priručnik, Biblija i drugi naslovi visokog profila. U njemu su opisane sve procedure sigurnosti informacija, opisan je nivo sigurnosti koji pratite u svojoj organizaciji. Takoreći - idealna zaštita, dokumentovana i prihvaćena u skladu sa svim pravilima.
Politika ne treba da bude mrtva težina, dokument treba da živi, ​​da se menja pod uticajem novih pretnji, trendova u informacionoj bezbednosti ili želja. U tom smislu, politiku (kao, u principu, svaki procesni dokument) treba redovno revidirati u pogledu relevantnosti. Najbolje je to raditi barem jednom godišnje.

Koncept sigurnosti informacija

Mali izvod iz politike, koji opisuje osnove sigurnosti vaše organizacije, ne postoje konkretni procesi, ali postoje principi za izgradnju ISMS-a i principi za izgradnju sigurnosti.
Ovaj dokument je više slikovni dokument, ne bi trebao sadržavati nikakve "osjetljive" informacije i trebao bi biti otvoren i dostupan svima. Postavite ga na svoju web stranicu, stavite u poslužavnik na informativnom štandu kako bi se vaši kupci i posjetitelji mogli upoznati s njim ili jednostavno vidjeti da vam je stalo do sigurnosti i da ste spremni to demonstrirati.

Propisi o poslovnoj tajni (povjerljive informacije)

U zagradama navedite alternativni naziv za takav dokument. Uglavnom, kom. tajna je poseban slučaj povjerljivosti, ali postoji vrlo malo razlika.
Ovaj dokument mora naznačiti sljedeće: kako i gdje su dokumenti koji čine kom. tajna ko je odgovoran za čuvanje ovih dokumenata, kako treba da izgleda obrazac dokumenta koji sadrži takve informacije, šta će služiti za odavanje poverljivih informacija (prema zakonu iu skladu sa internim ugovorima sa menadžmentom). I naravno, lista informacija koje su za vašu organizaciju poslovna tajna ili su povjerljive.
Po zakonu, bez poduzetih mjera za zaštitu povjerljivosti, vi je, takoreći, nemate :-) Odnosno, sama informacija izgleda da postoji, ali ne može biti povjerljiva. I tu je zanimljiva stvar da ugovor o neotkrivanju podataka potpisuje 90% organizacije sa novim zaposlenima, ali je malo njih poduzelo mjere propisane zakonom. Maksimalna lista informacija.

Revizija

Da biste napisali ove dokumente, tačnije, da biste razumjeli šta bi u njima trebalo biti, potrebno je izvršiti reviziju trenutnog stanja sigurnosti informacija. Jasno je da u zavisnosti od aktivnosti organizacije, teritorijalne distribucije itd., postoji mnogo nijansi i faktora za svaku konkretnu organizaciju, ali postoji nekoliko glavnih tačaka koje su svima zajedničke.

Politika pristupa

Postoje 2 filijale - to je fizički pristup prostorijama i pristup informacionim sistemima.

Fizički pristup

Opišite svoj sistem kontrole pristupa. Kako i kada se izdaju pristupne kartice, ko određuje ko ima pristup kojim prostorijama (pod uslovom da su prostorije opremljene ACS-om). Takođe ovde vredi pomenuti sistem video nadzora, principe njegove izgradnje (odsustvo mrtvih uglova u nadgledanim prostorijama, obavezna kontrola ulaza i izlaza u/iz zgrade, kontrola ulaza u serversku sobu, itd. .). Takođe, ne zaboravite na posjetioce, ako nemate zajednički prijem (a čak i ako ga imate), naznačite kako posjetitelji ulaze u kontrolirani prostor (privremene propusnice, pratnja).
Za server sobu takođe treba da postoji posebna pristupna lista sa evidencijom poseta (lakše je ako je ACS instaliran u server sobi i sve se radi automatski).

Pristup informacionim sistemima

Opišite proceduru za izdavanje pristupa, ako se koristi višefaktorska autentifikacija, zatim izdavanje dodatnih identifikatora. Politika lozinke (istek lozinke, složenost, broj pokušaja prijave, vrijeme blokiranja KM nakon prekoračenja broja pokušaja) za sve sisteme kojima je odobren pristup ako nemate svugdje Single Log On.

Izgradnja mreže

Gdje se nalaze vanjski serveri za pristup (DMZ), kako im se pristupa iznutra i izvana. Segmentacija mreže, kako se ona pruža. Vatrozidovi, koje segmente štite (ako ih ima unutar mreže između segmenata).

Daljinski pristup

Kako je organizovano i ko ima pristup. Idealno bi trebalo da bude ovako: samo VPN, pristup samo u dogovoru sa najvišim menadžmentom i sa obrazloženjem potrebe. Ako vam je potreban pristup trećim stranama (prodavci, servisno osoblje itd.), tada je pristup vremenski ograničen, odnosno račun se izdaje na određeno vrijeme, nakon čega se automatski blokira. Naravno, sa daljinskim pristupom, bilo kojim, prava moraju biti ograničena na minimum.

Incidenti

Kako se oni obrađuju, ko je odgovoran i kako se gradi proces upravljanja incidentima i problema upravljanja (ako ih ima, naravno). Već sam imao post o radu sa incidentima: možete pročitati više.
Također je potrebno utvrditi trendove u vašoj organizaciji. Odnosno, koji se incidenti češće dešavaju, koji su štetniji (jednostavan, direktan gubitak imovine ili novca, oštećenje ugleda). Ovo će pomoći u kontroli rizika i analizi rizika.

Imovina

U ovom slučaju imovina znači sve što treba zaštititi. Odnosno, serveri, informacije na papiru ili prenosivim medijima, hard diskovi računara, itd. Ako bilo koja imovina sadrži "osjetljive" informacije, onda ih treba označiti u skladu s tim i treba postojati lista radnji dozvoljenih i zabranjenih sa ovim sredstvom, kao što je prijenos trećim stranama, prijenos e-poštom unutar organizacije, objavljivanje javnosti unutar organizacije itd.

Obrazovanje

Trenutak koji mnogi ljudi zaboravljaju. Zaposlene treba podučiti o sigurnosnim mjerama. Nije dovoljno upoznati se sa uputstvima i pravilima protiv potpisa, 90% ih neće pročitati, već ih jednostavno potpisati kako bi ih se riješili. Napravio sam i publikaciju o treningu: Postoje glavne tačke koje su važne u treningu i na koje ne treba zaboraviti. Pored same obuke, ovakvi događaji su korisni u komunikaciji između zaposlenih i službenika obezbeđenja (lep naziv, jako mi se sviđa :-). Možete saznati o nekim manjim incidentima, željama, pa čak i problemima za koje u normalnom radnom ritmu teško da biste znali.

Zaključak

To je, vjerovatno, sve što sam htio reći početnicima u oblasti informacione sigurnosti. Razumijem da bih ovakvim postom mogao nekog svog kolege lišiti posla, jer će potencijalni poslodavac te dužnosti jednostavno dodijeliti administratoru, ali ću također zaštititi mnoge organizacije od integratora prevara koji vole iznuđivati ​​novac za revizije i pisati pamfleti na više stranica o čemu, izdajući ih kao normativne (http://website/post/153581/).
Sljedeći put ću pokušati govoriti o organizaciji službe informacione sigurnosti kao takve.

P.S. Ako stavite minus, molim vas komentarišite, da ubuduće ne bih pravio ovakve greške.

Tagovi:

• Sigurnost informacija
• dokumentaciju
• obrazovanje

Dodaj oznake

Promovirajte svijest zaposlenih

Suštinski faktor u efektivnoj implementaciji ovih principa je premošćavajući ciklus aktivnosti koji osigurava da je upravljanje sigurnošću informacija stalno fokusirano na trenutne rizike. Važno je da najviši menadžment organizacije prepozna rizike poremećaja poslovnih procesa povezanih sa bezbednošću informacionih sistema. Osnova za razvoj i implementaciju politika i odabir potrebnih kontrola je procjena rizika pojedinačnih poslovnih aplikacija. Preduzeti koraci će povećati svijest korisnika o rizicima i povezanim politikama. Efikasnost kontrola je predmet evaluacije kroz različite studije i revizije. Dobijeni rezultati daju pristup naknadnoj procjeni rizika i određuju potrebne promjene u politikama i kontrolama. Svim ovim radnjama centralno koordinira služba obezbeđenja ili osoblje specijalista, koje se sastoji od konsultanata, predstavnika poslovnih jedinica i menadžmenta organizacije. Ciklus upravljanja rizikom je ilustrovan na slici.

Metode implementacije programa informacione sigurnosti

Sljedećih šesnaest metoda korištenih za implementaciju pet principa upravljanja rizikom istaknuto je na sljedećoj ilustraciji. Ove prakse su ključne za efikasnu implementaciju programa informacione bezbednosti organizacije.

Procijenite rizik i identificirajte potrebe

Procjena rizika je prvi korak u implementaciji programa informacione sigurnosti. Sigurnost se ne razmatra sama po sebi, već kao skup politika i povezanih kontrola dizajniranih da osiguraju poslovne procese i ublaže povezane rizike. Dakle, identifikacija poslovnih rizika povezanih sa bezbednošću informacija je polazna tačka ciklusa upravljanja rizikom (bezbednošću informacija).

Prepoznati informacione resurse kao bitnu (neotuđivu) imovinu organizacije

Prepoznavanje rizika bezbednosti informacija od strane menadžmenta organizacije, kao i skup mera za identifikaciju i upravljanje ovim rizicima, važan je faktor u razvoju programa informacione bezbednosti. Ovaj pristup menadžmentu će osigurati da se sigurnost informacija shvati ozbiljno na nižim organizacionim nivoima organizacije, a da se stručnjacima za sigurnost informacija obezbjede resursi neophodni za efikasnu implementaciju programa.

Razviti praktične procedure procjene rizika povezujući sigurnosne i poslovne zahtjeve

Postoje različite metodologije za procjenu rizika, u rasponu od neformalne rasprave o riziku do prilično složenih metoda koje uključuju korištenje specijalizovanih softverskih alata. Međutim, svjetsko iskustvo uspješnih procedura upravljanja rizicima opisuje relativno jednostavan proces koji uključuje učešće različitih odjela finansijskih institucija uz uključivanje stručnjaka sa poznavanjem poslovnih procesa, tehničkih stručnjaka i stručnjaka iz oblasti informacione sigurnosti.

Vrijedi naglasiti da razumijevanje rizika ne omogućava njihovu preciznu kvantifikaciju, uključujući vjerovatnoću incidenta ili cijenu štete. Takvi podaci nisu dostupni jer gubici možda neće biti otkriveni, a rukovodstvo možda neće biti obaviješteno. Osim toga, ograničeni su podaci o ukupnim troškovima sanacije štete uzrokovane slabim sigurnosnim kontrolama, kao i troškovima rada ovih mehanizama (kontrola). Zbog stalnih promjena u tehnologiji, kao i softverskih alata i alata dostupnih napadačima, upitna je primjena statistike prikupljene prethodnih godina. Kao rezultat toga, teško je, ako ne i nemoguće, precizno uporediti trošak kontrola sa rizikom od gubitka kako bi se utvrdilo koja kontrola je najisplativija. U svakom slučaju, menadžeri poslovnih jedinica i stručnjaci za sigurnost informacija treba da se oslone na najbolje dostupne informacije kada odlučuju o izboru potrebnih kontrola (metoda).

Uspostaviti odgovornost za menadžere poslovnih jedinica i menadžere uključene u sigurnosni program

Menadžeri poslovnih jedinica prvenstveno bi trebali biti odgovorni za određivanje nivoa sigurnosti (povjerljivosti) informacionih resursa koji podržavaju poslovne procese. Menadžeri poslovnih jedinica su ti koji najbolje mogu utvrditi koji od informacijskih resursa je najkritičniji, kao i mogući uticaj na poslovanje, u slučaju narušavanja njegovog integriteta, povjerljivosti ili dostupnosti. Osim toga, menadžeri poslovnih jedinica mogu ukazati na kontrole koje mogu naštetiti poslovnim procesima. Dakle, njihovim uključivanjem u izbor kontrola, može se osigurati da kontrole ispunjavaju zahtjeve i da će biti uspješno implementirane.

Kontinuirano upravljajte rizikom

Sigurnosti informacija treba posvetiti stalnu pažnju kako bi se osigurala adekvatnost i djelotvornost kontrola. Kao što je ranije napomenuto, savremene informacije i srodne tehnologije, kao i faktori koji se odnose na sigurnost informacija, stalno se mijenjaju. Takvi faktori uključuju prijetnje, tehnologije i konfiguracije sistema, poznate ranjivosti u softveru, nivo pouzdanosti automatizovanih sistema i elektronskih podataka i kritičnost podataka i operacija.

Instalirajte centralizirano upravljanje

Upravljačka grupa djeluje prvenstveno kao savjetnik ili konsultant poslovnim jedinicama i ne može nametati metode (sredstva) informacione sigurnosti.

Definirajte liderski tim koji će izvršiti ključne akcije

Općenito, upravljačka grupa treba da bude (1) katalizator (akcelerator) procesa, osiguravajući da se rizici po sigurnost informacija kontinuirano razmatraju; (2) centralni konsultantski resurs za organizacione jedinice; (3) sredstvo za saopštavanje rukovodstvu organizacije informacija o stanju informacione bezbednosti i preduzetim merama. Osim toga, upravljačka grupa vam omogućava da centralno upravljate dodijeljenim zadacima, inače ti zadaci mogu biti duplicirani od strane različitih odjela organizacije.

Omogućite liderskom timu lak i nezavisan pristup najvišem menadžmentu organizacije

Uočavamo potrebu za razgovorom o problemima sigurnosti informacija od strane menadžera upravljačke grupe sa najvišim menadžmentom organizacije. Takav dijalog će nam omogućiti da djelujemo efikasno i izbjegnemo nesuglasice. U suprotnom, može doći do sukoba sa menadžerima poslovnih jedinica i programerima sistema koji žele da se novi softverski proizvodi uvedu što je prije moguće, te stoga izazivaju primjenu kontrola koje mogu ometati efikasnost i udobnost rada sa softverom. Stoga, prilika da se razgovara o pitanjima sigurnosti informacija na najvišem nivou može osigurati da se rizici u potpunosti razumiju i tolerišu prije donošenja konačnih odluka.

Definirajte i rasporedite budžet i osoblje

Budžet će omogućiti planiranje i postavljanje ciljeva za program informacione sigurnosti. U najmanju ruku, budžet uključuje plate zaposlenih i troškove obuke. Veličina liderske grupe (sigurnosne jedinice) može varirati i biti zavidna kako postavljenim ciljevima tako i projektima koji se razmatraju. Kao što je ranije navedeno, u rad u grupi mogu biti uključeni i tehnički stručnjaci i zaposleni u poslovnim jedinicama.

Povećati profesionalizam i tehničko znanje zaposlenih

Zaposleni u organizaciji treba da budu uključeni u različite aspekte programa informacione bezbednosti i da imaju odgovarajuće veštine i znanja. Potreban nivo profesionalizma zaposlenih može se postići kroz obuku, koju mogu sprovoditi i stručnjaci organizacije i spoljni konsultanti.

Implementirati potrebne politike i odgovarajuće kontrole

Politike u oblasti informacione bezbednosti su osnova za usvajanje određenih procedura i izbor sredstava (mehanizama) kontrole (upravljanja). Politika je primarni mehanizam kojim menadžment saopštava svoja mišljenja i zahtjeve zaposlenima, kupcima i poslovnim partnerima. Za sigurnost informacija, kao i za druge oblasti interne kontrole, zahtjevi politika direktno zavise od rezultata procjene rizika.

Uspostaviti odnos između politika i poslovnih rizika

Sveobuhvatan skup adekvatnih politika koje su dostupne i razumljive korisnicima jedan je od prvih koraka u uspostavljanju programa za sigurnost informacija. Vrijedi naglasiti važnost kontinuiranog održavanja (prilagođavanja) politika za pravovremeni odgovor na identificirane rizike i moguće nesuglasice.

Napravite razliku između politika i smjernica

Opšti pristup kreiranju politika bezbednosti informacija treba da uključuje (1) kratke (koncizne) politike visokog nivoa i (2) detaljnije informacije date u praktičnim smernicama i standardima. Politike predviđaju osnovne i obavezne zahtjeve koje usvaja najviši menadžment. Dok vodiči sa uputstvima nisu obavezni za sve poslovne jedinice. Ovaj pristup omogućava najvišem rukovodstvu da se fokusira na najvažnije elemente informacione sigurnosti, kao i pruža prostor za manevrisanje menadžerima poslovnih jedinica, čini politike lakim za razumevanje zaposlenih.

Osigurajte da se politike pridržavaju liderskog tima

Rukovodeći tim bi trebao biti odgovoran za razvoj politike informacione sigurnosti organizacije u saradnji sa menadžerima poslovnih jedinica, internim revizorima i pravnicima. Pored toga, upravljačka grupa treba da pruži potrebna pojašnjenja i odgovore na pitanja korisnika. To će pomoći u rješavanju i sprječavanju nesporazuma, kao i poduzimanje potrebnih mjera koje nisu predviđene politikama (smjernicama).

Politika bi trebala biti dostupna tako da korisnici mogu pristupiti svojim trenutnim verzijama kada je to potrebno. Korisnici moraju potpisati da su upoznati sa pravilima prije nego im daju pristup informacionim resursima organizacije. Ako je korisnik umiješan u sigurnosni incident, ovaj ugovor će poslužiti kao dokaz da je upoznat sa politikom organizacije, kao i mogućim sankcijama ako se ona prekrši.

Promovirajte svijest

Kompetentnost korisnika je preduslov za uspješnu sigurnost informacija, a također pomaže da se osigura da kontrole rade ispravno. Korisnici ne mogu slijediti politiku koju ne znaju ili ne razumiju. Nesvjesni rizika povezanih sa informacionim resursima organizacije, oni možda neće vidjeti potrebu za implementacijom politika osmišljenih za smanjenje rizika.

Kontinuirana edukacija korisnika i ostalih zaposlenih na primjeru rizika i povezanih politika

Liderski tim treba da obezbedi strategiju za stalnu obuku zaposlenih koji na ovaj ili onaj način utiču na informacionu bezbednost organizacije. Grupa treba da se fokusira na zajedničko razumevanje rizika povezanih sa informacijama koje se obrađuju u organizaciji, kao i na politike i kontrole za ublažavanje tih rizika.

Koristite prijateljski pristup

Rukovodeći tim treba da koristi različite metode obuke i ohrabrivanja kako bi politike organizacije bile dostupne i educirali korisnike. Vrijedi izbjegavati sastanke koji se održavaju jednom godišnje sa svim zaposlenima u organizaciji, naprotiv, obuku je najbolje raditi u malim grupama zaposlenih.

Pratiti i ocjenjivati ​​djelotvornost politika i kontrola

Kao i svaka vrsta aktivnosti, informaciona sigurnost podliježe kontroli i periodičnoj ponovnoj evaluaciji kako bi se osigurala adekvatnost (usklađenost) politika i sredstava (metoda) kontrole sa postavljenim ciljevima.

Kontrolni faktori koji utiču na rizike i ukazuju na efikasnost informacione bezbednosti

Kontrola treba prvenstveno da se fokusira na (1) dostupnost kontrola i metoda i njihovu upotrebu u cilju smanjenja rizika i (2) procenu efikasnosti programa i politika informacione bezbednosti koje poboljšavaju razumevanje korisnika i smanjuju broj incidenata. Takve provjere uključuju testiranje sredstava (metoda) kontrole, procjenu njihove usklađenosti sa politikama organizacije, analizu sigurnosnih incidenata, kao i druge pokazatelje efikasnosti programa informacione sigurnosti. Učinkovitost upravljačke grupe može se procijeniti na osnovu, na primjer, sljedećih indikatora (ali ne ograničavajući se na):

• broj održanih obuka i sastanaka;
• broj izvršenih procjena(a) rizika;
• broj certificiranih specijalista;
• odsustvo incidenata koji ometaju rad zaposlenih u organizaciji;
• smanjenje broja novih projekata koji se realizuju sa zakašnjenjem zbog problema u informacionoj bezbednosti;
• puna usklađenost ili dogovorena i evidentirana odstupanja od minimalnih zahtjeva za sigurnost informacija;
• smanjenje broja incidenata koji uključuju neovlašteni pristup, gubitak ili izobličenje informacija.

Koristite dobijene rezultate za koordinaciju budućih napora i povećanje odgovornosti menadžmenta

Praćenje svakako dovodi organizaciju u usaglašenost sa prihvaćenim politikama informacione bezbednosti, ali puna korist od nadgledanja neće biti postignuta osim ako se rezultati ne koriste za poboljšanje programa informacione bezbednosti. Analiza rezultata kontrole pruža stručnjacima za sigurnost informacija i menadžerima poslovnih jedinica sredstva za (1) ponovnu procjenu prethodno identifikovanih rizika, (2) identifikaciju novih problematičnih područja, (3) ponovnu procjenu dovoljnosti i prikladnosti postojećih kontrola i metoda kontrola (upravljanje) i radnje za osiguranje informacione sigurnosti, (4) utvrđivanje potrebe za novim sredstvima i mehanizmima kontrole, (5) preusmjeravanje kontrolnih napora (kontrolne radnje). Osim toga, rezultati se mogu koristiti za procjenu učinka poslovnih menadžera odgovornih za razumijevanje i ublažavanje rizika u svim poslovnim jedinicama.

Pratite nove metode i kontrole

Važno je osigurati da (1) stručnjaci za sigurnost informacija budu u toku s razvojem metoda i alata (aplikacija) i da imaju najnovije informacije o ranjivosti informacionih sistema i aplikacija, (2) najviši menadžment osigurava da ima potrebne resurse za ovo.

Prijatelji! Pozivamo vas na diskusiju. Ako imate mišljenje, pišite nam u komentarima.

© Vadim Grebennikov, 2018

ISBN 978-5-4493-0690-6

Kreiran sa inteligentnim izdavačkim sistemom Ridero

1. Porodica standarda upravljanja sigurnošću informacija

1.1. Istorijat razvoja standarda upravljanja sigurnošću informacija

Danas sigurnost digitalnog prostora pokazuje novi put za nacionalnu sigurnost svake zemlje. U skladu sa ulogom informacija kao vrijedne robe u poslovanju, njihova zaštita je svakako neophodna. Da bi se postigao ovaj cilj, svaka organizacija, u zavisnosti od nivoa informacija (u smislu ekonomske vrednosti), treba da razvije sistem upravljanja bezbednošću informacija (u daljem tekstu ISMS), pri čemu je moguće zaštititi svoju informacionu imovinu.

U organizacijama čije postojanje značajno zavisi od informacione tehnologije (u daljem tekstu IT) mogu se koristiti svi alati za zaštitu podataka. Međutim, sigurnost informacija je od suštinskog značaja za potrošače, saradničke partnere, druge organizacije i vladu. S tim u vezi, u cilju zaštite vrijednih informacija, neophodno je da svaka organizacija teži određenoj strategiji i na njoj implementira sigurnosni sistem.

ISMS je dio integriranog sistema upravljanja zasnovanog na procjeni i analizi rizika za razvoj, implementaciju, administraciju, praćenje, analizu, održavanje i unapređenje sigurnosti informacija (u daljem tekstu IS) i njegovu implementaciju, proizašla iz ciljeva i zahtjeva organizacije. , sigurnosni zahtjevi korištenih procedura i veličina i struktura njegove organizacije.

Poreklo principa i pravila upravljanja sigurnošću informacija počelo je u Velikoj Britaniji 1980-ih. Tih godina, Ministarstvo trgovine i industrije Ujedinjenog Kraljevstva (DTI) organiziralo je radnu grupu za razvoj skupa najboljih praksi za osiguranje sigurnosti informacija.

Godine 1989. DTI je objavio prvi standard u ovoj oblasti, koji se zvao PD 0003 Praksa upravljanja sigurnošću informacija. Bila je to lista sigurnosnih kontrola koje su se u to vrijeme smatrale adekvatnim, normalnim i dobrim, primjenjivim i na tehnologije i na okruženja tog vremena. Dokument "DTI" objavljen je kao upravljački dokument Britanskog sistema standarda (eng. British Standard, BS).

Godine 1995. Britanska institucija za standarde (BSI) usvojila je nacionalni standard BS 7799-1 "Praktična pravila za upravljanje sigurnošću informacija". Opisala je 10 oblasti i 127 kontrolnih mehanizama potrebnih za izgradnju Sistema upravljanja sigurnošću informacija (ISMS) zasnovanog na najboljim praksama iz cijelog svijeta.

Ovaj standard je postao rodonačelnik svih međunarodnih ISMS standarda. Kao i svaki nacionalni standard, BS 7799 je u periodu 1995-2000. uživao, recimo, umjerenu popularnost samo u zemljama Britanskog Commonwealtha.

Godine 1998. pojavio se drugi dio ovog standarda - BS 7799-2 “ISMS. Specifikacija i vodič za primjenu“, kojim je utvrđen opšti model izgradnje ISMS-a i skup obaveznih zahtjeva za usklađenost sa kojima treba izvršiti sertifikaciju. Pojavom drugog dijela BS 7799, koji je definisao šta bi ISMS trebao biti, započeo je aktivan razvoj sistema sertifikacije u oblasti upravljanja sigurnošću.

Krajem 1999. godine stručnjaci Međunarodne organizacije za standardizaciju (ISO) i Međunarodne elektrotehničke komisije (IEC) došli su do zaključka da u okviru postojećih standarda ne postoji specijalizovani standard upravljanja sigurnošću informacija. Shodno tome, odlučeno je da se ne razvija novi standard, već da se u dogovoru sa BSI, uzimajući za osnovu BS 7799-1, usvoji odgovarajući međunarodni standard ISO/IEC.

Krajem 1999. godine oba dijela BS 7799 su revidirana i usklađena sa međunarodnim standardima za sisteme upravljanja kvalitetom ISO/IEC 9001 i okolišem ISO/IEC 14001, a godinu dana kasnije, bez promjena, BS 7799-1 je usvojen kao međunarodni standard ISO/IEC 17799:2000 „Informacione tehnologije (u daljem tekstu IT). Praktična pravila upravljanja sigurnošću informacija”.

Godine 2002. ažurirani su i prvi dio BS 7799-1 (ISO/IEC 17799) i drugi dio BS 7799-2.

Što se tiče zvanične sertifikacije prema ISO/IEC 17799, ona nije prvobitno bila obezbeđena (puna analogija sa BS 7799). Obezbijeđena je samo certifikacija prema BS 7799-2, koja je predstavljala skup obaveznih zahtjeva (nije uključena u BS 7799-1) a u dodatku lista uslovno obaveznih (po nahođenju certifikatora) najvažnijih zahtjeva od BS 7799-1 (ISO/IEC 17799).

Na teritoriji ZND, Bjelorusija je bila prva zemlja koja je usvojila ISO/IEC 17799:2000 kao nacionalni standard u novembru 2004. godine. Rusija je ovaj standard uvela tek 2007. godine. Centralna banka Ruske Federacije je na osnovu toga kreirala standard upravljanja sigurnošću informacija za bankarski sektor Ruske Federacije.

Kao dio ISO/IEC, Podkomitet br. 27 odgovoran je za razvoj porodice međunarodnih standarda za upravljanje sigurnošću informacija, stoga je usvojena šema numeriranja za ovu porodicu standarda korištenjem niza uzastopnih brojeva počevši od 27000 (27k ).

2005. godine, ISO/IEC Zajednički tehnički komitet JTC 1 IT je razvio standard sertifikacije ISO/IEC 27001 IT. Metode zaštite. SUIB. Zahtjevi”, koji je zamijenio BS 7799-2, a sada se sertifikacija vrši prema ISO 27001.

Godine 2005, na osnovu ISO/IEC 17799:2000, ISO/IEC 27002:2005 “IT. Metode zaštite. Kodeks normi i pravila za upravljanje sigurnošću informacija.

Početkom 2006. godine uveden je novi britanski nacionalni standard BS 7799-3 “ISMS. Vodič za upravljanje rizicima u sigurnosti informacija“, koji je 2008. godine dobio status međunarodnog standarda ISO/IEC 27005 „IT. Metode zaštite. Upravljanje rizikom za sigurnost informacija”.

Britanska institucija za standarde je 2004. objavila ISO/IEC TR 18044 IT. Metode zaštite. Upravljanje incidentima u sigurnosti informacija. 2011. godine, na osnovu njega, ISO/IEC 27035 “IT. Metode zaštite. Upravljanje incidentima u sigurnosti informacija.

2009. ISO/IEC 27000 IT. SUIB. Opšti pregled i terminologija". Daje pregled sistema upravljanja sigurnošću informacija i definiše povezane pojmove. Rečnik pažljivo formulisanih formalnih definicija pokriva većinu specijalizovanih termina za bezbednost informacija koji se koriste u standardima ISO/IEC 27 grupe.

25. septembra 2013. objavljene su nove verzije standarda ISO/IEC 27001 i 27002. Od tada su standardi serije ISO/IEC 27k (IS menadžment) u potpunosti integrisani sa standardima serije ISO/IEC 20k (upravljanje IT uslugama). Sva terminologija iz ISO/IEC 27001 je premještena u ISO/IEC 27000, koji definira zajedničku terminologiju za cijelu ISO/IEC 27k familiju standarda.

1.2. ISO/IEC 27000-2014 standard

Najnovije ažuriranje ISO/IEC 27000 “IT. SUIB. Opšti pregled i terminologija” održana je 14.01.2014.

Standard se sastoji od sljedećih odjeljaka:

– uvod;

- obim;

- Termini i definicije;

– Sistemi upravljanja IS;

– porodica ISMS standarda.

Uvod

Pregled

Međunarodni standardi sistema upravljanja daju model za uspostavljanje i rad sistema upravljanja. Ovaj model uključuje funkcije o kojima su stručnjaci postigli dogovor na osnovu međunarodnog iskustva stečenog u ovoj oblasti.

Koristeći ISMS porodicu standarda, organizacije mogu implementirati i poboljšati ISMS i pripremiti se za njegovu nezavisnu procjenu primijenjenu za zaštitu informacija kao što su finansijske informacije, intelektualna svojina, informacije o osoblju i informacije koje su povjerili kupci ili treća strana. Ove standarde organizacija može koristiti za pripremu nezavisne procjene svog ISMS-a sigurnosti informacija.

ISMS porodica standarda

Porodica ISMS standarda, koja ima opšti naziv „Informaciona tehnologija. Sigurnosne tehnike“ (Informacijska tehnologija. Metode zaštite), osmišljen je da pomogne organizacijama bilo koje vrste i veličine u implementaciji i radu ISMS-a i sastoji se od sljedećih međunarodnih standarda:

– ISO/IEC 27000 ISMS. Opšti pregled i terminologija;

– ISO/IEC 27001 ISMS. Zahtjevi;

– ISO/IEC 27002 Kodeks prakse za upravljanje sigurnošću informacija;

– ISO/IEC 27003 Smjernice za implementaciju ISMS-a;

– ISO/IEC 27004 PIB. mjerenja;

– ISO/IEC 27005 Upravljanje rizikom sigurnosti informacija;

– ISO/IEC 27006 Zahtjevi za tijela koja pružaju ISMS reviziju i sertifikaciju;

– ISO/IEC 27007 ISMS smjernice revizije;

– ISO/IEC TR 27008 Smjernice za reviziju kontrola sigurnosti informacija;

– ISO/IEC 27010 PIS za međusektorske i međuorganizacijske komunikacije;

– ISO/IEC 27011 Smjernice za PIS za telekomunikacijske organizacije zasnovane na ISO/IEC 27002;

– ISO/IEC 27013 Smjernice za integriranu implementaciju ISO/IEC 27001 i ISO/IEC 20000-1;

– ISO/IEC 27014 Upravljanje bezbednošću informacija od strane najvišeg menadžmenta;

– ISO/IEC TR 27015 Smjernice za PIS za finansijske usluge;

– ISO/IEC TR 27016 UIB. organizaciona ekonomija;

– ISO/IEC 27035 Upravljanje incidentima sigurnosti informacija (nije navedeno u standardu).

Međunarodni standard koji nema ovo uobičajeno ime:

– ISO 27799 Zdravstvena informatika. PEB prema ISO/IEC 27002.

Svrha standarda

Standard pruža pregled ISMS-a i definiše relevantne uslove.

ISMS porodica standarda sadrži standarde koji:

– definisati zahtjeve za ISMS i sertifikaciju takvih sistema;

– uključiti smjernice specifične za industriju za ISMS;

– voditi procjenu usklađenosti sa ISMS-om.

1. Opseg primjene

Standard pruža pregled ISMS-a i pojmova i definicija koje se obično koriste u ISMS porodici standarda. Standard je primjenjiv na sve vrste i veličine organizacija (npr. komercijalna preduzeća, vladine agencije, neprofitne organizacije).

2. Termini i definicije

Odjeljak sadrži definicije 89 pojmova, na primjer:

– Informacioni sistem– aplikacije, usluge, IT sredstva i druge komponente za obradu informacija;

– sigurnost informacija (IS)– održavanje povjerljivosti, integriteta i dostupnosti informacija;

– dostupnost– da je imovina dostupna i spremna za korištenje na zahtjev ovlaštenog lica;

– povjerljivost- svojstvo informacija da budu nedostupne ili zatvorene za neovlašćena lica;

– integritet- svojstvo tačnosti i potpunosti;

– neporicanje- sposobnost potvrđivanja nastanka događaja ili radnje i njihovih stvaralačkih subjekata;

– IS događaj– detektovano stanje sistema (usluge ili mreže) koje ukazuje na moguće kršenje politike ili mera bezbednosti informacija ili prethodno nepoznatu situaciju koja se može odnositi na bezbednost;

– incident informacione bezbednosti– jedan ili više IS događaja koji sa značajnim stepenom vjerovatnoće dovode do kompromitacije poslovanja i stvaraju prijetnje IS-u;

– upravljanje incidentimaIS– procesi za otkrivanje, upozoravanje, procenu, reagovanje, pregled i proučavanje incidenata u bezbednosti informacija;

– sistem kontrole– skup međusobno povezanih elemenata organizacije za uspostavljanje politika, ciljeva i procesa za postizanje tih ciljeva;

– praćenje– utvrđivanje statusa sistema, procesa ili aktivnosti;

– politika– opštu namjeru i smjer koji je formalno izrazio menadžment;

– rizik– efekat neizvesnosti u ciljevima;

– prijetnja– mogući uzrok neželjenog incidenta koji bi mogao uzrokovati štetu;

– ranjivost– nedostatak sredstva ili sigurnosne mjere koje se mogu iskoristiti jednom ili više prijetnji.

3. Sistemi upravljanja sigurnošću informacija

Odjeljak ISMS sastoji se od sljedećih glavnih stavki:

– opis ISMS-a;

– implementacija, kontrola, održavanje i unapređenje ISMS-a;

– prednosti implementacije porodičnih standarda ISMS-a.

3.1. Uvod

Organizacije svih vrsta i veličina:

– prikuplja, obrađuje, čuva i prenosi informacije;

– svjesni su da su informacije i povezani procesi, sistemi, mreže i ljudi važna sredstva za postizanje organizacijskih ciljeva;

– suočavaju se sa nizom rizika koji mogu uticati na performanse imovine;

– eliminisati uočeni rizik kroz implementaciju IS mjera i alata.

Sve informacije koje organizacija pohranjuje i obrađuje podložne su prijetnjama napada, greškama, prirodi (npr. požar ili poplava) i slično, i podložne su ranjivostima svojstvenim njihovom korištenju.

Obično se koncept informacione sigurnosti zasniva na informacijama koje se smatraju vrijednošću i zahtijevaju odgovarajuću zaštitu (na primjer, od gubitka dostupnosti, povjerljivosti i integriteta). Mogućnost da ovlaštena lica imaju pravovremeni pristup tačnim i potpunim informacijama katalizator je poslovne efikasnosti.

Efikasna zaštita informacionih sredstava definisanjem, kreiranjem, održavanjem i unapređenjem bezbednosti informacija je preduslov da organizacija postigne svoje ciljeve, te da održi i poboljša zakonsku usklađenost i ugled. Ove koordinisane akcije za implementaciju odgovarajućih zaštitnih mehanizama i rukovanje neprihvatljivim rizicima bezbednosti informacija su opšte poznate kao kontrole bezbednosti informacija.

Kako se rizici u informacijskoj sigurnosti mijenjaju i djelotvornost zaštitnih mjera kao odgovor na promjenjive okolnosti, organizacija bi trebala:

– prati i ocjenjuje efikasnost primijenjenih mjera i postupaka zaštite;

– identifikovati nove rizike za obradu;

– odabrati, implementirati i poboljšati odgovarajuće mjere zaštite prema potrebi.

Za međusobnu povezanost i koordinaciju aktivnosti informacione sigurnosti, svaka organizacija treba da uspostavi politiku i ciljeve informacione sigurnosti i efikasno ostvari ove ciljeve koristeći sistem upravljanja.

3.2. Opis ISMS-a

Opis ISMS-a uključuje sljedeće komponente:

– propisi i principi;

– informacije;

- Sigurnost informacija;

– menadžment;

- sistem kontrole;

– procesni pristup;

– važnost ISMS-a.

Propisi i principi

ISMS se sastoji od politika, procedura, smjernica i povezanih resursa i aktivnosti kojima organizacija zajednički upravlja kako bi se postigla zaštita svojih informacijskih sredstava. ISMS definiše sistematski pristup kreiranju, implementaciji, obradi, kontroli, pregledu, održavanju i poboljšanju sigurnosti informacija organizacije u cilju postizanja poslovnih ciljeva.

Zasnovan je na procjeni rizika i prihvatljivim nivoima rizika organizacije koji su dizajnirani da efikasno tretiraju i upravljaju rizikom. Analiza zahtjeva za zaštitu informacijske imovine i primjena odgovarajućih mjera zaštite za pružanje potrebne zaštite za ovu imovinu doprinosi uspješnoj implementaciji ISMS-a.

Sljedeći ključni principi doprinose uspješnoj implementaciji ISMS-a:

– razumijevanje potrebe za IS sistemom;

– dodjeljivanje odgovornosti za sigurnost informacija;

– kombinovanje obaveza menadžmenta i interesa zainteresovanih strana;

- rast društvenih vrijednosti;

– procjene rizika koje identifikuju odgovarajuće zaštitne mjere za postizanje prihvatljivih nivoa rizika;

– sigurnost kao sastavni element IS-a i mreža;

– aktivno sprečavanje i otkrivanje incidenata informacione bezbednosti;

– osiguranje integrisanog pristupa PEB-u;

– kontinuirano prevrednovanje i odgovarajuće unapređenje informacione sigurnosti.

Informacije

Informacije su imovina koja je, zajedno sa drugim kritičnim poslovnim sredstvima, važna za poslovanje organizacije i stoga treba da bude na odgovarajući način zaštićena. Informacije se mogu pohraniti u različitim oblicima, uključujući digitalni oblik (npr. datoteke podataka pohranjene na elektronskim ili optičkim medijima), materijalni oblik (npr. papir) i nematerijalni oblik u obliku znanja zaposlenih.

Informacije se mogu prenositi na različite načine, uključujući kurirsku, elektronsku ili glasovnu komunikaciju. Bez obzira na oblik u kojem su informacije predstavljene i kako se prenose, one moraju biti na odgovarajući način zaštićene.

U mnogim organizacijama informacije zavise od informacijske i komunikacijske tehnologije. Ova tehnologija je bitan element u svakoj organizaciji i olakšava stvaranje, obradu, skladištenje, prijenos, zaštitu i uništavanje informacija.

Sigurnost informacija

Informaciona sigurnost uključuje tri glavne dimenzije (osobine): povjerljivost, dostupnost i integritet. Informaciona bezbednost podrazumeva primenu i upravljanje odgovarajućim bezbednosnim merama koje obuhvataju razmatranje širokog spektra pretnji, sa ciljem da se obezbedi dugoročni poslovni uspeh i kontinuitet i minimizira uticaj incidenata informacione bezbednosti.

IS se postiže primenom odgovarajućeg skupa zaštitnih mera, definisanih kroz proces upravljanja rizicima i kojima upravlja ISMS, uključujući politike, procese, procedure, organizacione strukture, softver i hardver, kako bi se zaštitila identifikovana informaciona sredstva.

Ove zaštitne mjere moraju biti definirane, implementirane, praćene, testirane i poboljšane po potrebi kako bi se osiguralo da je nivo sigurnosti informacija u skladu sa poslovnim ciljevima organizacije. Odgovarajuće mjere i alati IS trebaju biti neprimjetno integrirani u poslovne procese organizacije.

Kontrola

Menadžment uključuje aktivnosti za usmjeravanje, kontrolu i kontinuirano unapređenje organizacije u okviru odgovarajućih struktura. Aktivnost upravljanja uključuje radnje, metode ili prakse stvaranja, obrade, usmjeravanja, praćenja i kontrole resursa. Veličina upravljačke strukture može varirati od jedne osobe u malim organizacijama do hijerarhije upravljanja u velikim organizacijama koja se sastoji od mnogo ljudi.

U odnosu na ISMS, menadžment uključuje praćenje i donošenje odluka neophodnih za postizanje poslovnih ciljeva kroz zaštitu informacionih sredstava. Upravljanje bezbednošću informacija se izražava kroz formulisanje i upotrebu politika, procedura i smernica za bezbednost informacija, koje zatim primenjuju u celoj organizaciji svi oni koji su sa njom povezani.

Sistem kontrole

Sistem upravljanja koristi skup resursa za postizanje ciljeva organizacije. Sistem menadžmenta organizacije uključuje strukturu, politike, planiranje, obaveze, prakse, procedure, procese i resurse.

U pogledu sigurnosti informacija, sistem upravljanja omogućava organizaciji da:

– ispunjavanje sigurnosnih zahtjeva kupaca i drugih zainteresovanih strana;

- unaprijediti planove i aktivnosti organizacije;

– ispuniti IS ciljeve organizacije;

– pridržavati se propisa, zakona i naredbi industrije;

– organizovano upravljaju informatičkom imovinom u cilju promovisanja stalnog poboljšanja i korekcije trenutnih ciljeva organizacije.

3.3. Procesni pristup

Organizacija treba da sprovodi i upravlja raznim aktivnostima da bi funkcionisala efektivno i efikasno. Svakom aktivnošću koja koristi resurse treba upravljati kako bi se omogućila transformacija inputa u izlaze kroz skup međusobno povezanih aktivnosti, koji se također nazivaju procesom.

Izlaz jednog procesa može direktno formirati ulaz sljedećeg procesa, a obično se ova transformacija odvija pod planiranim i kontroliranim uvjetima. Primjena sistema procesa unutar organizacije, zajedno sa identifikacijom i interakcijom ovih procesa, kao i njihovom kontrolom, može se definirati kao „procesni pristup“.

Dodatne informacije (nije uključeno u standard)

Osnivačom procesnog pristupa upravljanju kvalitetom smatra se američki naučnik Walter Shewhart. Njegova knjiga počinje razlikovanjem 3 faze u upravljanje kvalitetom rezultata aktivnosti organizacije:

1) izrada specifikacije (zadatka, specifikacije, kriterijumi za postizanje ciljeva) onoga što je potrebno;

2) proizvodnju proizvoda koji ispunjavaju specifikaciju;

3) verifikaciju (kontrolu) proizvedenih proizvoda radi ocene njihove usklađenosti sa specifikacijom.

Shewhart je bio jedan od prvih koji je predložio da se linearna percepcija ovih faza zatvori u ciklus, koji je poistovjetio sa "dinamičkim procesom sticanja znanja".

Nakon prvog ciklusa, rezultati inspekcije bi trebali biti osnova za poboljšanje specifikacije proizvoda. Zatim se proizvodni proces prilagođava na osnovu ažurirane specifikacije i ponovo se provjerava novi rezultat proizvodnog procesa itd.

Američki naučnik Edwards Deming transformirao je Shewhartov ciklus u oblik koji se danas najčešće viđa. On je, kako bi prešao sa kontrole kvaliteta na upravljanje kvalitetom, dao opštije nazive svakoj od faza, a uz to je dodao još jednu, 4. fazu, kojom je želio da skrene pažnju američkih menadžera na činjenica da nisu analizirali primljene u trećoj fazi, informacije i ne unapređuju proces. Zato se ova faza naziva „čin“ (Act), a prema tome Shewhart-Demingov ciklus se naziva „PDCA“ ili „PDSA“ model:

– plan – Planiranje– identifikacija i analiza problema; procjenu mogućnosti, postavljanje ciljeva i razvoj planova;

– Uradi – Implementacija– traženje rješenja problema i implementacija planova;

– Provjerite (proučite) – Evaluacija učinka- evaluacija rezultata implementacije i zaključaka u skladu sa zadatkom;

– čin– Poboljšanje– odlučivanje na osnovu nalaza, korekcija i unapređenje rada.

Model "PDCA" za ISMS

Planiranje - Implementacija - Kontrola - Poboljšanje

1.Planiranje (izrada i dizajn): postavljanje ciljeva, politika, kontrola, procesa i procedura za ISMS radi postizanja rezultata u skladu sa opštim politikama i ciljevima organizacije.

2. Implementacija (implementacija i održavanje): implementacija i primjena IS politika, kontrola, ISMS procesa i procedura za procjenu i rukovanje IS rizicima i incidentima.

3. Kontrola (praćenje i analiza funkcionisanja): procjena efektivnosti ispunjavanja zahtjeva politika, ciljeva IS i efektivnosti funkcionisanja ISMS-a i obavještavanje najvišeg rukovodstva o rezultatima.

4. Poboljšanje (održavanje i poboljšanje): poduzimanje korektivnih i preventivnih mjera na osnovu rezultata revizije i pregleda menadžmenta kako bi se postiglo poboljšanje ISMS-a

Shewhart-Demingova metoda i ciklus, koji se češće naziva Demingov ciklus, obično ilustruju šemu za upravljanje bilo kojim procesom aktivnosti. Do sada je, uz potrebna pojašnjenja, naširoko korišten u međunarodnim standardima upravljanja:

– kvalitet proizvoda ISO 9000;

– zaštita životne sredine ISO 14000;

– sigurnost i zaštita rada OHSAS 18000;

– ISO/IEC 20000 informacione usluge;

– sigurnost hrane ISO 22000;

– sigurnost informacija ISO/IEC 27000;

– sigurnost ISO 28000;

– kontinuitet poslovanja ISO 22300;

– ISO 31000 rizici;

– energija ISO 50000.

3.4. Važnost ISMS-a

Organizacija treba da odredi rizike povezane sa informacijskom imovinom. Postizanje informacione sigurnosti zahtijeva upravljanje rizicima i obuhvata fizičke, ljudske i tehnološke rizike vezane za prijetnje svim oblicima informacija unutar organizacije ili koje organizacija koristi.

Usvajanje ISMS-a je strateška odluka za organizaciju i od suštinskog je značaja da ova odluka bude kontinuirano integrisana, evaluirana i ažurirana u skladu sa potrebama organizacije.

Na razvoj i implementaciju ISMS-a organizacije utiču potrebe i ciljevi organizacije, sigurnosni zahtjevi, poslovni procesi koji se koriste, te veličina i struktura organizacije. Razvoj i rad ISMS-a treba da odražava interese i zahtjeve sigurnosti informacija svih dionika u organizaciji, uključujući kupce, dobavljače, poslovne partnere, dioničare i druge treće strane.

U međusobno povezanom svijetu, informacije i povezani procesi, sistemi i mreže su kritična imovina. Organizacije i njihovi informacioni sistemi i mreže suočavaju se sa sigurnosnim prijetnjama iz širokog spektra izvora, uključujući kompjuterske prijevare, špijunažu, sabotažu, vandalizam, te požare i poplave. Šteta IP-a i sistema uzrokovana zlonamjernim softverom, hakerima i DoS napadima postala je češća, veća i sofisticiranija.

ISMS je važan za preduzeća iu javnom iu privatnom sektoru. U svakoj industriji, ISMS je neophodan alat za podršku e-poslovanju i od suštinskog je značaja za aktivnosti upravljanja rizikom. Međusobno povezivanje javnih i privatnih mreža i razmjena informacijskih sredstava otežava upravljanje pristupom informacijama i njihovu obradu.

Osim toga, proliferacija mobilnih uređaja za skladištenje podataka koji sadrže informacijsku imovinu može oslabiti efikasnost tradicionalnih sigurnosnih mjera. Kada organizacije usvoje porodicu ISMS standarda, sposobnost primjene dosljednih i međusobno prepoznatljivih principa sigurnosti informacija može se pokazati poslovnim partnerima i drugim zainteresiranim stranama.

Informaciona sigurnost se ne uzima uvijek u obzir prilikom kreiranja i razvoja IS-a. Osim toga, sigurnost informacija se često smatra tehničkim problemom. Međutim, sigurnost informacija koja se može postići tehničkim sredstvima je ograničena i možda neće biti efikasna osim ako nije podržana odgovarajućim kontrolama i procedurama u kontekstu ISMS-a. Ugradnja sigurnosnog sistema u funkcionalno kompletan IC može biti složena i skupa.

ISMS uključuje identifikaciju dostupnih zaštitnih mjera i zahtijeva pažljivo planiranje i pažnju na detalje. Na primjer, mjere kontrole pristupa, koje mogu biti tehničke (logičke), fizičke, administrativne (upravljanje) ili njihova kombinacija, osiguravaju da je pristup informacijskoj imovini ovlašten i ograničen na osnovu zahtjeva za sigurnost poslovanja i informacija.

Uspješna primjena ISMS-a je važna za zaštitu informacijske imovine jer omogućava:

– povećati sigurnost da je informaciona imovina adekvatno zaštićena na kontinuiranoj osnovi od prijetnji sigurnosti informacija;

– održava strukturiran i sveobuhvatan sistem za procjenu prijetnji IS, odabir i primjenu odgovarajućih mjera zaštite, mjerenje i unapređenje njihove efikasnosti;

– kontinuirano poboljšavati upravljačko okruženje organizacije;

– Efikasno se pridržavati zakonskih i regulatornih zahtjeva.

3.5. Implementacija, kontrola, održavanje i unapređenje ISMS-a

Implementacija, kontrola, održavanje i unapređenje ISMS-a su operativne faze u razvoju ISMS-a.

Operativne faze ISMS-a određene su sljedećim komponentama:

– opšte odredbe;

– IS zahtjevi;

su odlučujući faktori za uspjeh ISMS-a.

Operativne faze ISMS-a pružaju sljedeće aktivnosti:

– procjena rizika IS;

– tretman rizika od IS;

– izbor i sprovođenje mjera zaštite;

– kontrola i održavanje ISMS-a;

- kontinuirano poboljšanje.

Opće odredbe

Organizacija će preduzeti sljedeće korake za implementaciju, kontrolu, održavanje i poboljšanje svog ISMS-a:

– definisanje informacionih sredstava i srodnih zahteva za bezbednost informacija;

– procjena i tretman rizika IS;

– odabir i implementaciju odgovarajućih mjera zaštite za upravljanje neprihvatljivim rizicima;

– kontrolu, održavanje i unapređenje efikasnosti mera zaštite u vezi sa informacionim sredstvima organizacije.

Da bi se osiguralo da ISMS efikasno štiti informaciona sredstva organizacije na kontinuiranoj osnovi, potrebno je kontinuirano ponavljati sve korake kako bi se otkrile promjene u riziku ili strategiji organizacije ili poslovnim ciljevima.

Zahtjevi sigurnosti informacija

U okviru ukupne strategije i poslovnih ciljeva organizacije, veličine i geografske distribucije, zahtjevi za sigurnost informacija mogu se odrediti razumijevanjem:

– informacijska sredstva i njihove vrijednosti;

– poslovne potrebe u radu sa informacijama;

– pravni, regulatorni i ugovorni zahtjevi.

Provođenje metodičke procjene rizika povezanih sa informacijskom imovinom organizacije uključuje analizu:

– prijetnje imovini;

– ranjivosti imovine;

- vjerovatnoća materijalizacije prijetnje;

– mogući uticaj incidenta bezbednosti informacija na imovinu.

Troškovi odgovarajućih zaštitnih mjera trebaju biti proporcionalni očekivanom poslovnom uticaju materijalizacije rizika.

Procjena rizika sigurnosti informacija

Upravljanje rizikom sigurnosti informacija zahtijeva odgovarajuću procjenu rizika i metod tretmana, koji može uključivati ​​procjenu troškova i koristi, zakonskih zahtjeva, zabrinutosti zainteresovanih strana i drugih inputa i varijabli.

Procjene rizika treba da identifikuju, mjere i daju prioritet rizicima, uzimajući u obzir kriterije prihvatljivosti rizika i ciljeve organizacije. Rezultati će pomoći u razvoju i donošenju odgovarajućih upravljačkih odluka za djelovanje i prioritizaciju upravljanja rizikom sigurnosti informacija i implementaciju mjera zaštite odabranih za zaštitu od ovih rizika.

Procjena rizika treba da uključi sistematski pristup procjeni obima rizika (analiza rizika) i proces poređenja procijenjenih rizika sa kriterijumima rizika kako bi se odredila ozbiljnost rizika (procjena rizika).

Procene rizika treba da se vrše periodično kako bi se izvršile promene u zahtevima bezbednosti informacija i rizičnim situacijama, na primer, imovine, pretnji, ranjivosti, uticaja, procene rizika iu slučaju značajnih promena. Ove procjene rizika treba da se vrše metodički kako bi se osigurali uporedivi i ponovljivi rezultati.

Procjena rizika za sigurnost informacija treba jasno definirati djelotvoran obim i sadržavati interakcije sa procjenama rizika u drugim oblastima gdje je to moguće.

Standard ISO/IEC 27005 pruža smjernice za upravljanje rizikom sigurnosti informacija, uključujući preporuke za procjenu, obradu, prihvatanje, upozoravanje, praćenje i analizu rizika.

Tretman rizika sigurnosti informacija

Prije razmatranja tretmana rizika, organizacija treba uspostaviti kriterije za određivanje da li se rizici mogu prihvatiti ili ne. Rizici se mogu prihvatiti ako je rizik nizak ili ako troškovi liječenja nisu isplativi za organizaciju. Takve odluke treba zabilježiti.

Za svaki rizik identificiran procjenom rizika treba donijeti odluku o tretmanu. Moguće opcije liječenja rizika uključuju:

– primjena odgovarajućih mjera zaštite za ublažavanje rizika;

– svjesno i objektivno preuzimanje rizika u strogom skladu sa politikom organizacije i kriterijumima prihvatanja rizika;

– sprečavanje rizika otklanjanjem radnji koje dovode do nastanka rizika;

– dijeljenje povezanih rizika sa drugim stranama, kao što su osiguravači ili dobavljači.

Treba izabrati i implementirati odgovarajuće mjere zaštite od onih rizika za koje je odlučeno da se primjene u svrhu tretmana rizika.

Izbor i provođenje mjera zaštite

Aleksandar Astahov, CISA, 2006

Uvod

Za mnoge ruske kompanije došlo je vrijeme da razmišljaju o upravljanju sigurnošću - IT infrastruktura mnogih od njih dostigla je nivo koji zahtijeva dobro uspostavljenu koordinaciju. Prilikom izgradnje sistema upravljanja sigurnošću (ISMS), stručnjaci preporučuju oslanjanje na međunarodne standarde ISO/IEC 27001/17799.

Menadžer je dužan da kontroliše situaciju u svojoj organizaciji, odjelu, projektu iu odnosima sa kupcima. To znači biti svjestan onoga što se dešava, biti svjestan svih vanrednih situacija na vrijeme i imati ideju o tome koje radnje je potrebno poduzeti u ovom ili onom slučaju. Postoji nekoliko nivoa upravljanja u organizaciji, od top menadžera do specifičnih izvođača, i na svakom nivou situacija mora ostati pod kontrolom. Drugim riječima, treba izgraditi vertikalu procesa upravljanja i upravljanja.

Sistem upravljanja sigurnošću informacija - šta je to?

Upravljanje sigurnošću informacija je cikličan proces, uključujući svijest o stepenu potrebe za zaštitom informacija i postavljanjem ciljeva; prikupljanje i analiza podataka o stanju informacione sigurnosti u organizaciji; procjena informacionih rizika; planiranje mjera tretmana rizika; implementacija i implementacija odgovarajućih mehanizama kontrole, raspodjela uloga i odgovornosti, obuka i motivacija osoblja, operativni rad na provođenju mjera zaštite; praćenje funkcionisanja kontrolnih mehanizama, ocjenjivanje njihove efikasnosti i odgovarajuće korektivne radnje.

Prema ISO 27001, sistem upravljanja sigurnošću informacija (ISMS) je „onaj dio cjelokupnog sistema upravljanja organizacije, zasnovan na procjeni poslovnog rizika, koji kreira, implementira, radi, nadgleda, pregleda, održava i poboljšava sigurnost informacija“. Sistem upravljanja uključuje organizacionu strukturu, politike, planiranje, odgovornosti posla, prakse, procedure, procese i resurse.

Stvaranje i rad ISMS-a zahtijeva isti pristup kao i svaki drugi sistem upravljanja. Model procesa koji se koristi u ISO 27001 za opisivanje ISMS-a omogućava kontinuirani ciklus aktivnosti: planiranje, implementacija, provjera, djelovanje (PRAP).

Primjena PRP modela na ISMS procese

Proces stalnog poboljšanja obično zahteva početno ulaganje: dokumentovanje aktivnosti, formalizovanje pristupa upravljanju rizicima, definisanje metoda analize i alokacije resursa. Ove mjere se koriste za pokretanje ciklusa. Ne moraju se završiti prije nego što se aktiviraju faze revizije.

Faza planiranja osigurava da su kontekst i obim ISMS-a ispravno postavljeni, da se procijene rizici za sigurnost informacija i da se predlaže odgovarajući plan za rukovanje ovim rizicima. Zauzvrat, u fazi implementacije, implementiraju se usvojene odluke koje su identifikovane u fazi planiranja. Faze pregleda i akcije jačaju, ispravljaju i poboljšavaju sigurnosna rješenja koja su već identificirana i implementirana.

Inspekcije se mogu vršiti u bilo koje vrijeme i sa bilo kojom učestalošću, ovisno o konkretnoj situaciji. U nekim sistemima, oni moraju biti ugrađeni u automatizovane procese kako bi se osiguralo trenutno izvršenje i odgovor. Za ostale procese, odgovor je potreban samo u slučaju sigurnosnih incidenata, kada su izvršene izmjene ili dopune zaštićenih informacionih resursa, kao i kada je došlo do promjena u prijetnjama i ranjivostima. Godišnji ili drugi periodični pregledi ili revizije su potrebni kako bi se osiguralo da sistem upravljanja u cjelini ostvaruje svoje ciljeve.

Jedna od opcija za organizacionu strukturu ISMS-a

Menadžment organizacije izdaje sigurnosnu politiku koja uvodi koncept ISMS-a i proglašava njegove glavne ciljeve: upravljanje kontinuitetom poslovanja i upravljanje sigurnošću. Na vrhu ISMS-a je direktor informacione sigurnosti, koji predsjedava Upravnim odborom za informacionu sigurnost, kolegijalnim tijelom dizajniranim za rješavanje strateških pitanja vezanih za obezbjeđivanje informacione sigurnosti. Glavni službenik za informacije odgovoran je za sve procese upravljanja sigurnošću informacija, koji uključuju: upravljanje incidentima i praćenje sigurnosti, upravljanje promjenama i sigurnosnu kontrolu, sigurnosnu infrastrukturu (politike, standardi, uputstva, procedure, planovi i programi), upravljanje rizicima, kontrolu usklađenosti, obuka (program podizanja svijesti).

Stvaranje takve strukture upravljanja je cilj implementacije ISO 27001/17799 u organizaciji. Jedan od glavnih principa ovdje je "predanost menadžmenta". To znači da takvu strukturu može kreirati samo menadžment kompanije, koji raspoređuje pozicije, odgovornosti i kontroliše izvršavanje dužnosti. Drugim rečima, menadžment organizacije gradi odgovarajuću vertikalu moći, odnosno modifikuje postojeću da bi zadovoljila bezbednosne potrebe organizacije. ISMS se može kreirati samo od vrha do dna.

Drugi temeljni princip je uključenost u proces osiguranja informacione sigurnosti svih zaposlenih u organizaciji koja se bavi informacionim resursima – „od direktora do čistačice“. Nedostatak svijesti konkretnih ljudi koji rade sa informacijama, nedostatak programa obuke o informacionoj sigurnosti jedan je od glavnih razloga neoperabilnosti određenih kontrolnih sistema.

Ništa manje važna je činjenica da svako planiranje aktivnosti informacione bezbednosti treba da se zasniva na proceni rizika. Nepostojanje procesa upravljanja rizicima u organizaciji dovodi do neadekvatnosti donesenih odluka i neopravdanih troškova. Drugim riječima, procjena rizika je osnova na kojoj počiva dobro proporcionalno ISMS stablo.

Jednako osnovni princip je „uradi sam implementacija i podrška ISMS-u“. Uključivanje vanjskih konsultanata u svim fazama implementacije, rada i poboljšanja ISMS-a je u mnogim slučajevima opravdano. Štaviše, ovo je jedan od kontrolnih mehanizama opisanih u ISO 17799. Međutim, stvaranje ISMS-a od strane vanjskih konsultanata nemoguće je po definiciji, jer ISMS je skup organizacionih struktura formiranih upravljanjem organizacijom i procesima koje implementiraju njeni zaposleni koji su pravilno svjesni svojih odgovornosti i obučeni za rukovanje informacijama i vještine zaštite. ISMS košta mnogo novca, ali nijedna količina novca ne može kupiti iskustvo i znanje.

Certificirati ili ne?

Procedura dobrovoljne certifikacije se koristi za potvrdu usklađenosti postojećeg ISMS-a organizacije sa zahtjevima standarda, kao i njegove adekvatnosti postojećim poslovnim rizicima. Iako možete i bez toga, u većini slučajeva certifikacija u potpunosti opravdava ulaganje i vrijeme.

Prvo, zvanična registracija ISMS-a organizacije u registar renomiranih tijela, kao što je Služba za akreditaciju Velike Britanije (UKAS), čime se jača imidž kompanije, povećava interes potencijalnih kupaca, investitora, kreditora i sponzora.

Drugo, kao rezultat uspješne certifikacije, širi se obim aktivnosti kompanije dobijanjem mogućnosti učešća na tenderima i razvoja poslovanja na međunarodnom nivou. U oblastima koje su najosjetljivije na nivo informacione sigurnosti, kao što su finansije, na primjer, prisustvo sertifikata o usklađenosti sa ISO 27001 počinje da djeluje kao obavezan zahtjev za obavljanje aktivnosti. Neke ruske kompanije već se suočavaju sa ovim ograničenjima.

Takođe je veoma važno da procedura sertifikacije ima ozbiljan motivacioni i mobilizujući efekat na osoblje kompanije: povećava se nivo svesti zaposlenih, efikasnije se identifikuju i eliminišu nedostaci i nedoslednosti u sistemu upravljanja bezbednošću informacija, što dugoročno znači smanjenje prosječne statističke štete od sigurnosnih incidenata za organizaciju, kao i smanjenje režijskih troškova za rad informacionih sistema. Sasvim je moguće da će posedovanje sertifikata omogućiti da se informacioni rizici organizacije osiguraju po povoljnijim uslovima.

Kao što pokazuje dosadašnja praksa, troškovi sertifikacije prema BS7799 u većini slučajeva su neuporedivo mali u odnosu na troškove organizacije za osiguranje informacione sigurnosti, a dobijene koristi ih višestruko kompenziraju.

Treba naglasiti da organizacija ostvaruje sve navedene pogodnosti samo ako se radi o međunarodno priznatom sistemu certificiranja koji osigurava odgovarajući kvalitet rada i pouzdanost rezultata.

Priprema za certifikaciju

Priprema organizacije za ISO 27001 certifikat je prilično dugotrajan i naporan proces. Općenito, uključuje šest uzastopnih faza, koje provodi organizacija, obično uz pomoć vanjskih konsultanata.

U prvoj fazi vrši se preliminarna revizija ISMS-a tokom koje se procjenjuje postojeće stanje, vrši se inventarizacija i dokumentacija svih glavnih komponenti ISMS-a, utvrđuju obim i granice sertifikacije, te obavlja se niz potrebnih pripremnih radnji. Na osnovu rezultata revizije izrađuje se detaljan akcioni plan za pripremu za sertifikaciju.

U drugoj fazi se vrši procena informacionog rizika, čija je osnovna svrha utvrđivanje primenljivosti kontrola opisanih u standardu u ovoj konkretnoj organizaciji, priprema deklaracije o primenljivosti i plana tretmana rizika.

U trećoj fazi vrši se analiza neusklađenosti sa zahtjevima standarda, kao rezultat čega se procjenjuje trenutno stanje kontrola u organizaciji i identifikuju odstupanja sa deklaracijom o primjenjivosti.

U narednim fazama vrši se planiranje i implementacija nedostajućih kontrolnih mehanizama, za svaku od kojih se razvija strategija i plan implementacije. Rad na implementaciji kontrolnih mehanizama uključuje tri glavne komponente: obuku zaposlenih u organizaciji: edukaciju, obuku, podizanje svijesti; priprema ISMS dokumentacije: politike, standardi, procedure, propisi, uputstva, planovi; priprema dokaza o funkcionisanju ISMS-a: izvještaji, protokoli, nalozi, evidencije, evidencije događaja, itd.

U završnoj fazi sprovode se pripreme za sertifikacioni audit: analizira se stanje ISMS-a, ocjenjuje stepen njegove spremnosti za sertifikaciju, preciziraju se obim i granice sertifikacije, te se vode odgovarajući pregovori sa revizorima certifikacijskom tijelu. Detaljne preporuke za uspostavljanje ISMS-a i pripremu za sertifikaciju sadržane su u BSI BIP 0071-0073 seriji dokumenata sa uputstvima.

Tačke spoticanja

U procesu implementacije ISMS-a postoje mnogi kamen spoticanja. Neki od njih se odnose na kršenje temeljnih principa upravljanja sigurnošću opisanih gore. Ozbiljne poteškoće za ruske organizacije leže u zakonodavnoj oblasti. Nepotpunost i nedosljednost važećeg ruskog zakonodavstva, njegova zabranjena priroda u oblasti upotrebe kriptografije iu mnogim drugim oblastima, kao i nedostatak regulacije sistema sertifikacije sigurnosti informacija, ozbiljno otežava ispunjavanje jednog od glavnih zahtjevi standarda - usklađenost sa važećim zakonodavstvom.

Izvor poteškoća često je netačna definicija opsega i granica ISMS-a. Preširoko tumačenje obima ISMS-a, na primjer, uključivanje u ovaj opseg svih poslovnih procesa organizacije, značajno smanjuje vjerovatnoću uspješnog završetka projekta implementacije i sertifikacije ISMS-a.

Jednako je važno razumjeti gdje leže granice ISMS-a i kako se on odnosi na druge sisteme upravljanja i procese organizacije. Na primjer, sistem upravljanja sigurnošću informacija i sistem upravljanja kontinuitetom poslovanja (BCM) organizacije blisko se ukrštaju. Ovo poslednje je jedno od 11 oblasti kontrole bezbednosti informacija definisanih standardom. Međutim, ISMS uključuje samo onaj dio BCM-a koji se odnosi na sigurnost informacija – to je zaštita kritičnih poslovnih procesa organizacije od velikih kvarova i nezgoda informacionih sistema. Ostali aspekti BCM-a su izvan opsega ISMS-a.

Standard - garancija sigurnosti

Danas je organizacija rada ozbiljne i efikasne kompanije koja tvrdi da je uspješna nužno zasnovana na savremenim informacionim tehnologijama. Stoga bi kompanije bilo koje veličine trebale obratiti pažnju na standarde upravljanja sigurnošću informacija. Po pravilu, pitanja upravljanja informacionom bezbednošću su relevantnija, što je kompanija veća, širi je obim njenih aktivnosti i zahteva za razvoj, i, kao rezultat, veća je njena zavisnost od informacionih tehnologija.

Upotreba međunarodnih standarda upravljanja sigurnošću informacija ISO 27001/17799 omogućava značajno pojednostavljenje kreiranja, rada i razvoja ISMS-a. Regulatorni zahtjevi i tržišni uslovi prisiljavaju organizacije da primjenjuju međunarodne standarde kada razvijaju planove i politike sigurnosti informacija i pokažu svoju posvećenost revizijama i sertifikacijama sigurnosti informacija. Usklađenost sa zahtjevima standarda daje određene garancije da organizacija ima osnovni nivo informacione sigurnosti, što pozitivno utiče na imidž kompanije.

SISTEM DOBOVOLJNOG CERTIFIKACIJE

"KOMUNIKACIJA - EFIKASNOST"

ROSS RU.M821.04FBG0

Sistem upravljanja bezbednošću informacija "Osnovni nivo informacione bezbednosti telekom operatera"

Zahtjevi, program i metodologija certifikacijskih ispitivanja

1 Uvod 1

2 Obim 2

4.2. Zahtjevi za politike operatera 5

4.3.Zahtjevi za funkcionalnost 6

4.4. Zahtjevi interoperabilnosti 7

5 Program testiranja certifikata 7

5.1. Testni objekat 7

5.2. Cilj testa 7

6 Procedura za provođenje certifikacijskih testova 8

6.1. Uslovi ispitivanja 8

6.2. Metoda ispitivanja 9

1. Uvod

Zahtjevi za Sistem upravljanja bezbednošću informacija „Osnovni nivo informacione bezbednosti telekom operatera“ (u daljem tekstu Zahtevi) određuju osnovni nivo informacione bezbednosti, pomoću kojeg svaki operater može proceniti stanje mrežne i informacione bezbednosti, uzimajući u obzir vodi računa o tome koji su sigurnosni standardi relevantni, koji od ovih standarda treba koristiti, kada ih treba koristiti i kako treba primjenjivati ​​Osim toga, spremnost i sposobnost telekom operatera za interakciju sa drugim operaterima, korisnicima i agencijama za provođenje zakona u opisan je način zajedničkog suprotstavljanja prijetnjama sigurnosti informacija.

Zahtjevi predstavljaju minimalni set preporuka, čija implementacija će garantovati dovoljan nivo informacione sigurnosti komunikacionih usluga, uz omogućavanje ravnoteže interesa operatera, korisnika i regulatora.

Program i metodologija utvrđuju sve vrste, uslove, obim i metode sertifikacionih ispitivanja osnovnog nivoa informacione bezbednosti telekom operatera.

Ovaj dokument se može koristiti u slučajevima kada telekom operater:

treba da dokaže svoju sposobnost pružanja komunikacijskih usluga koje ispunjavaju utvrđene zahtjeve;

ima za cilj da pokaže saradničkim telekom operaterima sposobnost i spremnost da se zajednički suprotstave prijetnjama sigurnosti informacija.

2 Obim

Ovi Zahtjevi, program i metodologija razvijeni su u skladu sa Pravilnikom o sistemu dobrovoljne certifikacije „Komunikacija – Efikasnost“ na osnovu Preporuka sektora standarda Međunarodne unije za telekomunikacije (ITU-T) Serija X, Dodatak 2, „X. 800-X849 Serija ITU-T - Dodatak o osnovnom nivou informacione sigurnosti telekom operatera.

Ovi Zahtjevi, program i metodologija su razvijeni za sistem dobrovoljne sertifikacije i namijenjeni su telekom operaterima, sertifikacionim centrima i laboratorijama prilikom dobrovoljne certifikacije Sistema upravljanja sigurnošću informacija „Osnovni nivo informacione sigurnosti telekom operatera“ u sistemu dobrovoljne sertifikacije“ Komunikacija - efikasnost".

3 Normativne reference, definicije i skraćenice

3.1. U ovim Zahtjevima, programu i metodologiji koriste se reference na sljedeće regulatorne dokumente:

Savezni zakon od 27. jula 2006. br. br. 149-FZ "O informacijama, informacionim tehnologijama i zaštiti informacija".

Doktrina informacione sigurnosti Ruske Federacije od 09.09.2000. br. Pr-1895.

Pravila za povezivanje telekomunikacionih mreža i njihovu interakciju (odobrena Uredbom Vlade Ruske Federacije od 28. marta 2005. godine, N 161).

GOST R 50739-95 Računarska oprema. Zaštita od neovlaštenog pristupa informacijama. Opšti tehnički zahtjevi.

GOST R 52448-2005 Sigurnost informacija. Osiguravanje sigurnosti telekomunikacionih mreža. Opće odredbe.

GOST R ISO/IEC 15408-2002 Informaciona tehnologija. Metode i sredstva osiguranja sigurnosti. Kriterijumi za ocjenu sigurnosti informacionih tehnologija.

GOST R ISO/IEC 27001-2006 Metode za osiguranje sigurnosti informacija. Sistemi upravljanja sigurnošću informacija. Zahtjevi.

OST 45.127-99. Informacijski sigurnosni sistem Međupovezane komunikacione mreže Ruske Federacije. Termini i definicije.

Preporuka sektora standarda Međunarodne unije za telekomunikacije (ITU-T), serija X, Aneks 2, "ITU-T X.800-X849 serija - Osnovni Aneks sigurnosti informacija telekom operatera".

3.2. U ovim Zahtjevima, programu i metodologiji korišteni su izrazi koji odgovaraju definicijama Federalnog zakona „O komunikacijama“, a dodatno su definisani sljedeći pojmovi i skraćenice:

Račun- lični korisnički nalog informacionog sistema, softversku opremu, uključujući korisničko ime (login), njegove skrivene individualne karakteristike (lozinku) i druge informacije potrebne za pristup.

Antivirusni softver- poseban softver dizajniran za otkrivanje i deaktiviranje (blokiranje) zlonamjernog koda posebno kreiranog da naruši integritet, dostupnost i povjerljivost podataka.

Napad uskraćivanja usluge- namjerni uticaj na informacioni sistem ili opremu kako bi se stvorili uslovi pod kojima legitimni korisnici ne mogu pristupiti resursima koje obezbjeđuje sistem ili oprema ili će takav pristup biti otežan.

Informaciona sigurnost telekom operatera- stanje zaštite informacionih resursa telekom operatera i infrastrukture koja ih podržava od slučajnih ili namernih uticaja prirodne ili veštačke prirode, bremenitih štetama za telekom operatera, korisnike komunikacionih usluga, a karakteriše ih sposobnost da se osigura povjerljivost, integritet i dostupnost informacija tokom njihovog skladištenja, obrade i prijenosa.

Ugovor o licenci– ugovor između vlasnika softvera i korisnika njegove kopije

Telekomunikacioni operater - pravno lice ili individualni preduzetnik koji pruža komunikacijske usluge na osnovu odgovarajuće licence.

Sigurnosna politika operatera– skup dokumentovanih sigurnosnih politika, procedura, praksi ili smjernica koje treba slijediti telekom operater.

Dobavljač usluga- pravno lice koje se bavi pružanjem (isporukom) komunikacionih usluga određene vrste pretplatniku i obezbjeđivanjem koordinisanog korištenja mrežnih mogućnosti povezanih sa ovim uslugama.

Neželjena pošta- neželjena prepiska koja se prenosi elektronskim putem (po pravilu putem elektronske pošte).

Upravljanje rizicima- proces identifikacije, kontrole, smanjenja ili potpunog eliminisanja (po prihvatljivoj ceni) rizika informacione bezbednosti koji mogu uticati na informacione sisteme telekom operatera i infrastrukturu koja ih podržava.