Kako postaviti pametne telefone i računala. Informativni portal
  • Dom
  • Recenzije
  • Sustav upravljanja informacijskom sigurnošću “Osnovna razina informacijske sigurnosti telekom operatera. Vadim grebennikov Upravljanje sigurnošću informacija

Sustav upravljanja informacijskom sigurnošću “Osnovna razina informacijske sigurnosti telekom operatera. Vadim grebennikov Upravljanje sigurnošću informacija

12.08.2019 Recenzije

Dobar dan draga!
Odavno nisam pisao na Habru, nije bilo vremena, bilo je puno posla. Ali sada sam se rasteretio i formirao misli za novi post.

Razgovarao sam s jednim svojim suborcem koji je bio zadužen za poslove informacijske sigurnosti u organizaciji (druže sistem administrator) i zamolio me da vam kažem odakle početi i kamo se kretati. Malo sam posložio svoje misli i znanje i dao mu okvirni plan.
Nažalost, ova situacija je daleko od izoliranosti i često se događa. Poslodavci u pravilu žele imati i švicarca i kosca i gejmera na lulu, a sve to za jedan cjenik. Na pitanje zašto informacijsku sigurnost ne bi trebalo svrstati u IT, vratit ću se kasnije, ali sada ćemo ipak razmotriti odakle početi, ako se to dogodilo i ako ste se upisali u takvu avanturu, odnosno stvaranje upravljanja informacijskom sigurnošću sustav (ISMS).

Analiza rizika

Gotovo sve u informacijskoj sigurnosti počinje analizom rizika, to je osnova i početak svih sigurnosnih procesa. Provest ću kratak edukativni program iz ovog područja, jer mnogi pojmovi nisu očiti i najčešće se brkaju.
Dakle, postoje 3 osnovna koncepta:
  • Vjerojatnost realizacije
  • Ranjivost

Rizik je mogućnost nanošenja bilo kakvih gubitaka (novčanih, reputacijskih, itd.) zbog implementacije ranjivosti.
Vjerojatnost realizacije je kolika je vjerojatnost da će određena ranjivost biti iskorištena za materijalizaciju rizika.
Ranjivost je izravno proboj u vaš sigurnosni sustav, koji s određenim stupnjem vjerojatnosti može naštetiti, odnosno ostvariti rizik.

Postoji mnogo metoda, različitih pristupa upravljanju rizicima, reći ću vam o osnovama, ostalo vam u početku neće trebati u formiranju ISMS-a.
Dakle, sav rad na upravljanju rizicima svodi se ili na smanjenje vjerojatnosti implementacije, ili na minimiziranje gubitaka od implementacije. Sukladno tome, rizici mogu biti prihvatljivi i neprihvatljivi za organizaciju. Prihvatljivost rizika najbolje se izražava u konkretnim iznosima gubitaka od njegove implementacije (u svakom slučaju, čak i naizgled nematerijalni gubici ugleda na kraju se pretvore u izgubljenu dobit). Potrebno je s upravom odlučiti koji će iznos za njih biti prag prihvatljivosti i napraviti gradaciju (po mogućnosti 3-5 razina za gubitke). Zatim napravite gradaciju vjerojatnosti, kao i gubitaka, a zatim procijenite rizike zbrojem ovih pokazatelja.
Nakon završetka pripremnih radova, istaknite stvarne ranjivosti vaše organizacije i procijenite rizike njihove implementacije i gubitaka. Kao rezultat toga, dobit ćete 2 skupa rizika - prihvatljivih i neprihvatljivih. Uz prihvatljive rizike, jednostavno prihvaćate i nećete poduzeti aktivne korake da ih minimizirate (odnosno, prihvaćamo da će nas minimiziranje tih rizika koštati više od gubitaka od njih), a s neprihvatljivim postoje 2 opcije za razvoj događaja.

Minimizirati - smanjiti vjerojatnost nastanka, smanjiti moguće gubitke ili čak poduzeti mjere za uklanjanje rizika (zatvaranje ranjivosti).
Prijenos – jednostavno prenesite brigu o riziku na drugu osobu, na primjer, osigurajte organizaciju od nastanka rizika ili prenesite rizično sredstvo (na primjer, prenesite poslužitelje u podatkovni centar, tako će podatkovni centar biti odgovoran za nesmetano napajanje i fizička sigurnost poslužitelja) ...

Ljestvica

Prije svega, naravno, potrebno je procijeniti razmjere katastrofe. Neću se doticati točaka zaštite osobnih podataka, već postoji puno članaka na ovu temu, postoje praktične preporuke i algoritmi djelovanja opisani više puta.
Podsjetim i da je informacijska sigurnost prvenstveno vezana uz ljude pa je potrebna regulatorna dokumentacija. Da biste to napisali, prvo morate razumjeti što tu napisati.
U tom smislu postoje 3 glavna dokumenta za informacijsku sigurnost:
Politika informacijske sigurnosti
Vaš glavni dokument, priručnik, Biblija i drugi naslovi visokog profila. U njemu su opisani svi postupci za informacijsku sigurnost, opisana je razina sigurnosti koju slijedite u svojoj organizaciji. Odnosno - savršena zaštita, dokumentirana i prihvaćena po svim pravilima.
Politika ne bi trebala biti mrtvi teret, dokument bi trebao živjeti, trebao bi se mijenjati pod utjecajem novih prijetnji, trendova u informacijskoj sigurnosti ili želja. S tim u vezi, politiku (kao, u načelu, svaki procesni dokument) treba redovito provjeravati u pogledu relevantnosti. Bolje je to učiniti barem jednom godišnje.
Koncept informacijske sigurnosti
Mali izvadak iz politike, koji opisuje osnove sigurnosti vaše organizacije, nema specifičnih procesa, ali postoje principi za izgradnju ISMS-a i principi za izgradnju sigurnosti.
Ovaj dokument je više dokument o brendiranju, ne bi trebao sadržavati nikakve "osjetljive" informacije i trebao bi biti otvoren i dostupan svima. Postavite ga na svoju web stranicu, stavite u ladicu na informativnom štandu, tako da ga vaši kupci i posjetitelji mogu pročitati ili samo vidjeti da vam je stalo do sigurnosti i da ste spremni to demonstrirati.
Pravilnik o poslovnim tajnama (povjerljivi podaci)
U zagradama je naveden alternativni naziv za takav dokument. Uglavnom, kom. tajna je poseban slučaj povjerljivog, ali postoji vrlo malo razlika.
Ovaj dokument mora naznačiti sljedeće: kako i gdje se nalaze dokumenti koji čine kom. tajna tko je odgovoran za pohranjivanje tih dokumenata, kako bi trebao izgledati predložak dokumenta koji sadrži takve podatke, što će biti za odavanje povjerljivih podataka (prema zakonu i prema internim ugovorima s upravom). I naravno, popis podataka koji su za vašu organizaciju poslovna tajna ili su povjerljivi.
Prema zakonu, bez poduzetih mjera za zaštitu povjerljivog, nemate ga :-) Odnosno, sama informacija izgleda da postoji, ali ne može biti povjerljiva. I ovdje je zanimljiva točka da 90% organizacija potpisuje povjerljive ugovore o tajnosti podataka s novim zaposlenicima, ali je malo njih poduzelo mjere propisane zakonom. Maksimalni popis informacija.

Revizija

Da biste napisali te dokumente, točnije, da biste razumjeli što bi u njima trebalo biti, trebate revidirati trenutno stanje informacijske sigurnosti. Jasno je da, ovisno o djelatnostima organizacije, teritorijalnoj raspodjeli itd., postoji mnogo nijansi i čimbenika za svaku konkretnu organizaciju, ali postoji nekoliko glavnih točaka koje su svima zajedničke.
Politika pristupa
Postoje 2 grane - fizički pristup prostorima i pristup informacijskim sustavima.
Fizički pristup
Opišite svoj sustav kontrole pristupa. Kako i kada se izdaju pristupne kartice, tko određuje tko ima pristup kojoj prostoriji (pod uvjetom da je soba opremljena ACS-om). Vrijedi spomenuti i sustav videonadzora, principe njegove konstrukcije (bez mrtvih kutova u nadziranim prostorijama, obvezna kontrola ulaza i izlaza u/iz zgrade, kontrola ulaza u server sobu i sl.). Također, ne zaboravite na posjetitelje, ako nemate opći doček (a ako ga imate), naznačite kako posjetitelji ulaze u kontrolirani prostor (privremene propusnice, pratnja).
Za poslužiteljsku sobu također treba postojati zaseban popis pristupa s zapisnikom posjeta (lakše je ako je ACS instaliran u poslužiteljskoj sobi i sve se radi automatski).
Pristup informacijskim sustavima
Opišite postupak za izdavanje pristupa, ako se koristi višefaktorska provjera autentičnosti, zatim izdavanje dodatnih identifikatora. Politika lozinke (datum isteka lozinke, složenost, broj pokušaja prijave, vrijeme blokiranja UZ nakon prekoračenja broja pokušaja) za sve sustave kojima je pristup odobren, ako nemate svugdje Single Log On.
Izgradnja mreže
Gdje se nalaze poslužitelji s pristupom izvana (DMZ), kako im se pristupa iznutra i izvana. Segmentacija mreže, kako se ona pruža. Vatrozidovi, koje segmente štite (ako ih ima unutar mreže između segmenata).
Daljinski pristup
Kako je to organizirano i tko ima pristup. Idealno bi trebalo biti ovako: samo VPN, pristup samo uz odobrenje višeg menadžmenta i uz opravdanje potrebe. Ako vam je potreban pristup trećim stranama (dobavljači, servisno osoblje itd.), tada je pristup vremenski ograničen, odnosno račun se izdaje na određeno razdoblje, nakon čega se automatski blokira. Naravno, s daljinskim pristupom, bilo tko, prava moraju biti ograničena na minimum.
Incidenti
Kako se obrađuju, tko je odgovoran i kako je strukturiran proces upravljanja incidentima i problemima upravljanja (ako postoji, naravno). Već sam imao post o radu s incidentima: možete pročitati više.
Također je potrebno utvrditi trendove u vašoj organizaciji. Odnosno, koji se incidenti događaju češće, koji su štetniji (jednostavan, izravan gubitak imovine ili novca, oštećenje ugleda). To će pomoći u kontroli rizika i analizi rizika.
Imovina
U ovom slučaju pod imovinom se podrazumijeva sve ono što zahtijeva zaštitu. Odnosno, poslužitelji, informacije na papiru ili prijenosnim medijima, tvrdi diskovi računala itd. Ako bilo koja imovina sadrži "osjetljive" informacije, tada bi trebala biti označena u skladu s tim i trebao bi postojati popis radnji koje su dopuštene i zabranjene s ovim materijalom, kao što je prijenos trećim stranama, slanje e-poštom unutar organizacije, stavljanje u javna domena unutar organizacije itd.

Obrazovanje

Trenutak na koji mnogi ljudi zaborave. Zaposlenike je potrebno educirati o sigurnosnim mjerama. Nije dovoljno upoznati se s uputama i pravilima protiv potpisa, 90% ih neće pročitati, već jednostavno potpisati kako bi ih se riješili. Napravio sam i publikaciju o treningu: Sadrži glavne točke koje su važne u treningu i na koje ne smijete zaboraviti. Osim same edukacije, ovakvi događaji su korisni i u komunikaciji između djelatnika i zaštitara (predivan naziv, jako mi se sviđa :-). Možete saznati za neke sitne incidente, želje, pa čak i probleme za koje u normalnom radnom ritmu teško da biste znali.

Zaključak

To je, vjerojatno, sve što sam želio reći početnicima u području informacijske sigurnosti. Razumijem da bih takvim objavom mogao uskratiti posao nekima od svojih kolega, budući da će potencijalni poslodavac te dužnosti jednostavno dodijeliti administratoru, ali ću također zaštititi mnoge organizacije od integratora-prevaranata koji vole ispumpati novac za revizije i pisati pamflete na više stranica.što, predstavljajući ih kao normativ (http: // site / post / 153581 /).
Sljedeći put pokušat ću vam ispričati o organizaciji službe informacijske sigurnosti kao takve.

p.s. ako staviš minus molim te komentiraj da ubuduće ne radim takve greške.

Oznake:

  • Sigurnost informacija
  • dokumentacija
  • obrazovanje
Dodaj oznake

Promicati svijest zaposlenika

Bitan čimbenik učinkovite provedbe ovih načela je povezujući ciklus operacija, koji osigurava da je upravljanje sigurnošću informacija dosljedno usredotočeno na trenutne rizike. Važno je da najviši menadžment organizacije prepozna rizike narušavanja poslovnih procesa vezanih uz sigurnost informacijskih sustava. Temelj za razvoj i provedbu politika te odabir potrebnih kontrola je procjena rizika pojedinih poslovnih aplikacija. Poduzeti koraci povećat će svijest korisnika o rizicima i povezanim politikama. Učinkovitost kontrola ocjenjuje se kroz različite studije i revizije. Nalazi pružaju pristup naknadnoj procjeni rizika i identificiraju potrebne promjene politika i kontrola. Sve ove aktivnosti centralno koordinira zaštitarska služba ili osoblje stručnjaka, koje se sastoji od konzultanata, predstavnika poslovnih jedinica i menadžmenta organizacije. Ciklus upravljanja rizikom prikazan je na slici.

Metode provedbe programa informacijske sigurnosti

Sljedećih šesnaest metoda korištenih za provedbu pet načela upravljanja rizicima istaknuto je na sljedećoj slici. Te su tehnike ključne za učinkovitu provedbu programa informacijske sigurnosti organizacije.

Procijenite rizik i identificirajte potrebe

Procjena rizika prvi je korak u provedbi programa informacijske sigurnosti. Sigurnost se ne promatra sama po sebi, već kao skup politika i povezanih kontrola dizajniranih za podršku poslovnih procesa i ublažavanje povezanih rizika. Stoga je prepoznavanje poslovnih rizika povezanih s informacijskom sigurnošću početna točka ciklusa rizika (informacijske sigurnosti).

Prepoznati informacijske resurse kao bitnu (integralnu) imovinu organizacije

Prepoznavanje rizika informacijske sigurnosti od strane menadžmenta organizacije, kao i skup mjera usmjerenih na prepoznavanje i upravljanje tim rizicima, važan je čimbenik u razvoju programa informacijske sigurnosti. Ovaj pristup menadžmentu će osigurati da se informacijska sigurnost shvaća ozbiljno na nižim organizacijskim razinama organizacije i da se stručnjacima za informacijsku sigurnost osiguraju resursi potrebni za učinkovitu provedbu programa.

Razviti praktične postupke procjene rizika povezujući sigurnosne i poslovne zahtjeve

Postoje različite metodologije za procjenu rizika, od neformalne rasprave o riziku do prilično složenih metoda koje uključuju korištenje specijaliziranih softverskih alata. Međutim, svjetsko iskustvo uspješnih postupaka upravljanja rizicima opisuje relativno jednostavan proces koji uključuje sudjelovanje različitih odjela financijskih institucija uz uključivanje stručnjaka koji poznaju poslovne procese, tehničkih stručnjaka i stručnjaka iz područja informacijske sigurnosti.

Vrijedno je naglasiti da razumijevanje rizika ne omogućuje njihovu preciznu kvantificiranje, uključujući vjerojatnost incidenta ili cijenu štete. Takvi podaci nisu dostupni jer se gubici možda neće otkriti i uprava nije obaviještena. Osim toga, ograničeni su podaci o ukupnim troškovima sanacije štete uzrokovane slabim sigurnosnim kontrolama, kao i operativni troškovi tih kontrola (kontrola). Zbog stalnih promjena u tehnologiji i softveru i alatima dostupnim napadačima, upitna je upotreba statistike prikupljene prethodnih godina. Kao rezultat toga, teško je, ako ne i nemoguće, točno usporediti trošak kontrola s rizikom gubitka kako bi se utvrdilo koja je kontrola najisplativija. U svakom slučaju, voditelji poslovnih jedinica i stručnjaci za informacijsku sigurnost trebali bi se osloniti na najpotpunije informacije koje su im dostupne prilikom odlučivanja o izboru potrebnih sredstava (metoda) kontrole.

Odredite odgovornosti za poslovne menadžere i menadžere uključene u sigurnosni program

Voditelji poslovnih jedinica trebali bi imati primarnu odgovornost za određivanje razine sigurnosti (povjerljivosti) informacijskih resursa koji podržavaju poslovne procese. Upravo su rukovoditelji poslovnih jedinica najsposobniji odrediti koji je od informacijskih resursa najkritičniji, kao i mogući utjecaj na poslovanje u slučaju narušavanja njegova integriteta, povjerljivosti ili dostupnosti. Osim toga, voditelji poslovnih jedinica mogu ukazati na kontrole (mehanizme) koje mogu naštetiti poslovnim procesima. Dakle, njihovim uključivanjem u odabir kontrola može se osigurati da kontrole ispunjavaju navedene zahtjeve i da će biti uspješno provedene.

Kontinuirano upravljajte rizikom

Sigurnosti informacija treba posvetiti stalnu pozornost kako bi se osigurala primjerenost i učinkovitost kontrola. Kao što je ranije navedeno, suvremene informacijske i srodne tehnologije, kao i čimbenici koji se odnose na informacijsku sigurnost, neprestano se mijenjaju. Ti čimbenici uključuju prijetnje, tehnologiju i konfiguracije sustava, poznate softverske ranjivosti, razinu pouzdanosti automatiziranih sustava i elektroničkih podataka te kritičnost podataka i operacija.

Postavite centralizirano upravljanje

Voditeljska skupina djeluje prvenstveno u ulozi savjetnika ili konzultanta poslovnim jedinicama i ne može nametati metode (sredstva) informacijske sigurnosti.

Identificirajte vodeći tim koji će poduzeti ključne akcije

Općenito, upravljačka skupina treba biti (1) katalizator (akcelerator) procesa, osiguravajući da se rizici informacijske sigurnosti kontinuirano rješavaju; (2) središnji savjetodavni resurs za poslovne jedinice; (3) sredstvo za priopćavanje informacija o stanju informacijske sigurnosti i poduzetim mjerama menadžmentu organizacije. Osim toga, vodeći tim omogućuje vam centralno upravljanje dodijeljenim zadacima, inače te zadatke mogu duplicirati različiti odjeli organizacije.

Omogućite vodstvenom timu lak i neovisan pristup najvišem menadžmentu organizacije

Napominjemo potrebu rasprave o problemima informacijske sigurnosti od strane menadžera upravljačke grupe s najvišim menadžmentom organizacije. Takav će dijalog omogućiti učinkovito djelovanje i izbjegavanje nesuglasica. Inače, moguće su konfliktne situacije s voditeljima poslovnih jedinica i programerima sustava koji žele što prije implementirati nove softverske proizvode te stoga osporavaju korištenje kontrola koje mogu ometati učinkovitost i udobnost rada sa softverom. Dakle, sposobnost rasprave o pitanjima informacijske sigurnosti na najvišoj razini može jamčiti potpuno razumijevanje rizika i njihovu prihvatljivost prije donošenja konačnih odluka.

Definirajte i rasporedite proračun i osoblje

Proračun će vam omogućiti planiranje i postavljanje ciljeva za vaš program informacijske sigurnosti. Proračun uključuje najmanje plaće osoblja i troškove obuke. Osoblje voditeljskog tima (sigurnosne jedinice) može varirati i ovisiti o postavljenim ciljevima i projektima koji se razmatraju. Kao što je ranije navedeno, u rad grupe mogu biti uključeni i tehnički stručnjaci i zaposlenici poslovnih jedinica.

Povećati profesionalnost i tehničko znanje zaposlenika

Ljudi u organizaciji trebali bi biti uključeni u različite aspekte programa informacijske sigurnosti te imati odgovarajuće vještine i znanja. Potrebna razina profesionalnosti zaposlenika može se postići uz pomoć edukacija koje mogu provoditi i stručnjaci organizacije i vanjski konzultanti.

Provesti potrebne politike i odgovarajuće kontrole

Politike informacijske sigurnosti temelj su usvajanja određenih postupaka i izbora sredstava (mehanizama) kontrole (upravljanja). Politika je primarni mehanizam kojim menadžment komunicira svoja mišljenja i zahtjeve zaposlenicima, kupcima i poslovnim partnerima. Za informacijsku sigurnost, kao i za druga područja unutarnje kontrole, zahtjevi politike izravno ovise o rezultatima procjene rizika.

Uspostaviti odnos između politika i poslovnih rizika

Sveobuhvatan skup adekvatnih politika koje su dostupne i razumljive korisnicima jedan je od prvih koraka u uspostavljanju programa informacijske sigurnosti. Vrijedno je naglasiti važnost kontinuiranog održavanja (prilagođavanja) politika za pravodobno reagiranje na identificirane rizike i moguće nesuglasice.

Razlikujte politike i smjernice

Opći pristup kreiranju politika informacijske sigurnosti trebao bi uključivati ​​(1) sažete (sažete) politike visoke razine i (2) detaljnije informacije dane u praktičnim smjernicama i standardima. Politike propisuju osnovne i obvezne zahtjeve koje usvaja najviši menadžment. Dok su vodiči s uputama izborni za sve poslovne jedinice. Ovakav pristup omogućuje vrhunskom menadžmentu da se usredotoči na najvažnije elemente informacijske sigurnosti, kao i pruža priliku za manevriranje menadžerima poslovnih jedinica, čini politike lakim za razumijevanje zaposlenicima.

Osigurajte da se politike pridržavaju upravljačkog tima

Voditeljski tim trebao bi biti odgovoran za razvoj politike informacijske sigurnosti organizacije, u suradnji s menadžerima poslovnih jedinica, unutarnjim revizorima i odvjetnicima. Osim toga, upravljačka skupina trebala bi dati potrebna pojašnjenja i dati odgovore na pitanja korisnika. To će pomoći u rješavanju i sprječavanju nesporazuma te poduzeti potrebne mjere koje nisu predviđene politikama (smjernicama).

Vrijedno je učiniti pravila dostupnima kako bi korisnici mogli pristupiti njihovim najnovijim verzijama kada je to potrebno. Korisnici moraju potpisati da su upoznati s pravilima prije nego im dodijele pristup informacijskim resursima organizacije. Ako je korisnik uključen u sigurnosni incident, ovaj će ugovor poslužiti kao dokaz da je upoznat s politikom organizacije, kao i mogućim sankcijama ako se ona prekrši.

Promicati svijest

Kompetencija korisnika preduvjet je za uspješnu informacijsku sigurnost i pomaže osigurati da kontrole rade prema očekivanjima. Korisnici ne mogu slijediti pravila koja ne poznaju ili ne razumiju. Nesvjesni rizika povezanih s informacijskim resursima organizacije, ne vide potrebu za provedbom politika osmišljenih za ublažavanje rizika.

Kontinuirana edukacija korisnika i ostalih zaposlenika na primjeru rizika i povezanih politika

Voditeljski tim trebao bi osigurati strategiju kontinuirane edukacije za zaposlenike koji na ovaj ili onaj način utječu na informacijsku sigurnost organizacije. Tim bi se trebao usredotočiti na globalno razumijevanje rizika povezanih s informacijama kojima se rukuje u organizaciji te politikama i kontrolama za ublažavanje tih rizika.

Zauzmite prijateljski pristup

Voditeljska skupina treba koristiti različite metode obuke i poticaja kako bi pravila organizacije bila dostupna i educirala korisnike. Vrijedno je izbjegavati sastanke koji se održavaju jednom godišnje sa svim zaposlenicima organizacije, naprotiv, bolje je provoditi obuku u malim skupinama zaposlenika.

Pratiti i ocjenjivati ​​učinkovitost politika i kontrola

Kao i svaka aktivnost, informacijska sigurnost podliježe kontroli i periodičnoj ponovnoj procjeni kako bi se osigurala primjerenost (sukladnost) politika i sredstava (metoda) kontrole za postavljene ciljeve.

Kontrolirati čimbenike koji utječu na rizike i ukazuju na učinkovitost informacijske sigurnosti

Kontrole bi se trebale prvenstveno usredotočiti na (1) dostupnost i korištenje kontrola i njihovu upotrebu za ublažavanje rizika i (2) procjenu učinkovitosti programa informacijske sigurnosti i politika koje poboljšavaju razumijevanje korisnika i smanjuju incidente. Takve revizije uključuju testiranje kontrola (metoda), procjenu njihove usklađenosti s politikama organizacije, analizu sigurnosnih incidenata i druge pokazatelje učinkovitosti programa informacijske sigurnosti. Učinak upravljačke grupe može se mjeriti na temelju, na primjer, ali ne ograničavajući se na sljedeće metrike:

  • broj održanih edukacija i sastanaka;
  • broj izvršenih procjena rizika (rizika);
  • broj certificiranih stručnjaka;
  • odsutnost incidenata koji ometaju rad zaposlenika organizacije;
  • smanjenje broja novih projekata koji se provode s zakašnjenjem zbog problema s informacijskom sigurnošću;
  • potpuna usklađenost ili dogovorena i zabilježena odstupanja od minimalnih zahtjeva za informacijsku sigurnost;
  • smanjenje broja incidenata koji za sobom povlače neovlašteni pristup, gubitak ili izobličenje informacija.

Iskoristite dobivene rezultate za koordinaciju budućih napora i povećanje odgovornosti menadžmenta

Kontrole zasigurno mogu dovesti organizaciju u skladu s utvrđenim politikama informacijske sigurnosti, ali pune prednosti kontrole neće se postići ako se rezultati ne koriste za poboljšanje programa informacijske sigurnosti. Analiza rezultata kontrole pruža stručnjacima za informacijsku sigurnost i poslovnim menadžerima sredstva za (1) ponovnu procjenu prethodno identificiranih rizika, (2) identificiranje novih problematičnih područja, (3) ponovnu procjenu adekvatnosti i prikladnosti postojećih kontrola (upravljanja) i radnji za osiguranje informacijska sigurnost, (4) utvrđivanje potrebe za novim sredstvima i kontrolnim mehanizmima, (5) preusmjeravanje kontrolnih napora (kontrolne radnje). Osim toga, rezultati se mogu koristiti za procjenu učinka poslovnih menadžera koji su odgovorni za razumijevanje i ublažavanje rizika u svim poslovnim jedinicama.

Pratite nove metode i kontrole

Važno je osigurati da (1) stručnjaci za informacijsku sigurnost idu u korak s razvijenim metodama i alatima (aplikacijama) i imaju najnovije informacije o ranjivosti informacijskih sustava i aplikacija, (2) najviši menadžment osigurava da ima potrebne resurse za napravi to.

Prijatelji! Pozivamo vas na raspravu. Ako imate svoje mišljenje, pišite nam u komentarima.

© Vadim Grebennikov, 2018

ISBN 978-5-4493-0690-6

Pokreće Ridero Intelligent Publishing System

1. Obitelj standarda upravljanja informacijskom sigurnošću

1.1. Povijest razvoja standarda upravljanja informacijskom sigurnošću

Danas sigurnost digitalnog prostora pokazuje novi put za nacionalnu sigurnost svake zemlje. Sukladno ulozi informacija kao vrijedne robe u poslovanju, njihova je zaštita svakako nužna. Za postizanje ovog cilja svaka organizacija, ovisno o razini informiranosti (u smislu ekonomske vrijednosti), zahtijeva razvoj sustava upravljanja informacijskom sigurnošću (u daljnjem tekstu – ISMS), a postoji mogućnost da zaštiti svoju informacijsku imovinu.

U organizacijama čije postojanje značajno ovisi o informacijskoj tehnologiji (u daljnjem tekstu – IT) mogu se koristiti svi alati za zaštitu podataka. Međutim, informacijska sigurnost ključna je za potrošače, partnere u suradnji, druge organizacije i vlade. U tom smislu, kako bi se zaštitile vrijedne informacije, potrebno je da svaka organizacija teži određenoj strategiji i implementaciji na njoj temeljenog sigurnosnog sustava.

ISMS je dio integriranog sustava upravljanja koji se temelji na procjeni i analizi rizika za razvoj, implementaciju, administraciju, praćenje, analizu, održavanje i poboljšanje informacijske sigurnosti (u daljnjem tekstu – IS) i njezinu implementaciju, proizašla iz ciljeva i zahtjeva organizacije, sigurnosti zahtjevi korištenih postupaka te veličina i struktura njegove organizacije.

Pojava načela i pravila upravljanja informacijskom sigurnošću započela je u Velikoj Britaniji 1980-ih godina. Tih je godina Ministarstvo trgovine i industrije Ujedinjenog Kraljevstva (DTI) organiziralo radnu skupinu za razvoj niza najboljih praksi za informacijsku sigurnost.

1989. godine "DTI" je objavio prvi standard u ovom području koji se zvao PD 0003 "Praktična pravila upravljanja informacijskom sigurnošću". Bio je to popis sigurnosnih kontrola koje su se u to vrijeme smatrale prikladnim, normalnim i dobrim, primjenjivim i na tehnologiju i na okruženja tog vremena. DTI je objavljen kao vodič britanskog standarda (BS).

Godine 1995. Britanska institucija za standarde (BSI) usvojila je nacionalnu normu BS 7799-1 "Praktična pravila za upravljanje sigurnošću informacija". Opisala je 10 područja i 127 kontrolnih mehanizama potrebnih za izgradnju sustava upravljanja informacijskom sigurnošću (ISMS), identificiranih na temelju najboljih primjera iz svjetske prakse.

Ovaj standard postao je rodonačelnik svih međunarodnih ISMS standarda. Kao i svaki nacionalni standard BS 7799 u razdoblju 1995.-2000. uživao je, recimo, umjerenu popularnost samo u zemljama British Commonwealtha.

Godine 1998. pojavio se drugi dio ovog standarda - BS 7799-2 “ISMS. Specification and Application Guidance“, koji je definirao opći model za izgradnju ISMS-a i skup obveznih zahtjeva za usklađenost s kojima se mora provesti certifikacija. Pojavom drugog dijela BS 7799, koji je definirao što bi ISMS trebao biti, započeo je aktivan razvoj sustava certificiranja u području upravljanja sigurnošću.

Krajem 1999. godine stručnjaci Međunarodne organizacije za standardizaciju (ISO) i Međunarodne elektrotehničke komisije (IEC) došli su do zaključka da u postojećim standardima ne postoji specijalizirani standard upravljanja informacijskom sigurnošću. Sukladno tome, odlučeno je da se ne razvija nova norma, već se u dogovoru s BSI-jem, uzimajući BS 7799-1 kao osnovu, usvoji odgovarajući međunarodni standard ISO/IEC.

Krajem 1999. oba dijela BS 7799 revidirana su i usklađena s međunarodnim standardima za sustave upravljanja kvalitetom ISO/IEC 9001 i okoliš ISO/IEC 14001, a godinu dana kasnije bez promjena BS 7799-1 je usvojen kao međunarodni standard ISO / IEC 17799: 2000 „Informacijska tehnologija (u daljnjem tekstu – IT). Praktična pravila upravljanja informacijskom sigurnošću“.

Godine 2002. ažurirani su i prvi dio BS 7799-1 (ISO / IEC 17799) i drugi dio BS 7799-2.

Što se tiče službene certifikacije prema ISO / IEC 17799, ona u početku nije bila predviđena (potpuna analogija s BS 7799). Osigurana je samo certifikacija prema BS 7799-2, što je bio niz obveznih zahtjeva (nije uključen u BS 7799-1) a u dodatku popis uvjetno obveznih (prema ocjeni ovjeritelja) najvažnijih zahtjeva BS 7799-1 (ISO / IEC 17799).

U CIS-u, Bjelorusija je bila prva zemlja koja je usvojila ISO / IEC 17799: 2000 kao nacionalni standard u studenom 2004. Rusija je ovaj standard uvela tek 2007. godine. Na temelju toga, Središnja banka Ruske Federacije stvorila je standard upravljanja informacijskom sigurnošću za bankarski sektor Ruske Federacije.

Kao dio ISO/IEC-a, Pododbor br. 27 odgovoran je za razvoj obitelji međunarodnih standarda za upravljanje sigurnošću informacija, stoga je shema numeriranja za ovu obitelj standarda usvojena pomoću niza uzastopnih brojeva, počevši od 27000 (27k ).

Godine 2005. Pododbor SC 27 „Tehnike IT sigurnosti“ JTC 1 „IT“ ISO/IEC razvio je certifikacijski standard ISO/IEC 27001 „IT. Metode zaštite. ISMS. Zahtjevi “, koji je zamijenio BS 7799-2, a sada se certifikacija provodi prema ISO 27001.

Godine 2005, na temelju ISO / IEC 17799: 2000, ISO / IEC 27002: 2005 „IT. Metode zaštite. Kodeks normi i pravila za upravljanje informacijskom sigurnošću".

Početkom 2006. novi britanski nacionalni standard BS 7799-3 “ISMS. IS Risk Management Guide", koji je 2008. godine dobio status međunarodne norme ISO/IEC 27005 "IT". Metode zaštite. Upravljanje rizikom informacijske sigurnosti".

Godine 2004. Britanski institut za standarde objavio je ISO / IEC TR 18044 “IT. Metode zaštite. Upravljanje incidentima u informacijskoj sigurnosti". Godine 2011., na temelju njega, standard ISO / IEC 27035 „IT. Metode zaštite. Upravljanje incidentima u informacijskoj sigurnosti".

2009. godine standard ISO / IEC 27000 „IT. ISMS. Opći pregled i terminologija". Pruža pregled sustava upravljanja informacijskom sigurnošću i definira povezane pojmove. Rječnik pažljivo sročenih formalnih definicija pokriva većinu specijaliziranih pojmova za informacijsku sigurnost koji se koriste u standardima ISO/IEC 27 grupe.

Dana 25. rujna 2013. objavljene su nove verzije ISO / IEC 27001 i 27002. Od sada je serija ISO / IEC 27k (upravljanje sigurnošću informacija) u potpunosti integrirana sa serijom ISO / IEC 20k (upravljanje IT uslugama). Sva terminologija iz ISO/IEC 27001 premještena je u ISO/IEC 27000, koji definira zajednički terminološki okvir za cijelu ISO/IEC 27k obitelj standarda.

1.2. ISO / IEC 27000-2014 standard

Najnovije ažuriranje ISO / IEC 27000 “IT. ISMS. Opći pregled i terminologija ”održao se 14. siječnja 2014.

Standard se sastoji od sljedećih odjeljaka:

- Uvod;

- opseg primjene;

- Termini i definicije;

- Sustavi upravljanja IS-om;

- obitelj ISMS standarda.

Uvod

Pregled

Međunarodni standardi sustava upravljanja daju model za uspostavu i rad sustava upravljanja. Ovaj model uključuje funkcije oko kojih su se stručnjaci dogovorili na temelju međunarodnog iskustva u ovom području.

Korištenjem ISMS obitelji standarda, organizacije mogu implementirati i poboljšati ISMS i pripremiti se za neovisne procjene koje se koriste za zaštitu informacija kao što su financijske informacije, intelektualno vlasništvo, informacije o osoblju i informacije povjerene korisnicima ili trećoj strani. Ove standarde organizacija može koristiti za pripremu neovisne procjene svog sustava upravljanja informacijskom sigurnošću (ISMS).

ISMS obitelj standarda

Obitelj ISMS standarda, zajednički poznatih kao "Informacijska tehnologija. Sigurnosne tehnike ”namijenjena je pomoći organizacijama svih vrsta i veličina u implementaciji i radu ISMS-a i sastoji se od sljedećih međunarodnih standarda:

- ISO / IEC 27000 ISMS. Opći pregled i terminologija;

- ISO / IEC 27001 ISMS. Zahtjevi;

- ISO / IEC 27002 Kodeks prakse za upravljanje informacijskom sigurnošću;

- Vodič za implementaciju ISO / IEC 27003 ISMS;

- ISO / IEC 27004 UIB. Mjerenja;

- ISO / IEC 27005 Upravljanje rizicima informacijske sigurnosti;

- ISO / IEC 27006 Zahtjevi za tijela koja pružaju reviziju i certifikaciju ISMS-a;

- ISO / IEC 27007 Smjernice za provođenje ISMS revizije;

- ISO / IEC TR 27008 Smjernice za reviziju kontrola informacijske sigurnosti;

- ISO / IEC 27010 ISB za međusektorsku i međuorganizacijsku komunikaciju;

- ISO/IEC 27011 Smjernice za ISB za telekomunikacijske organizacije temeljene na ISO/IEC 27002;

- ISO/IEC 27013 Smjernice za integriranu implementaciju ISO/IEC 27001 i ISO/IEC 20000-1;

- ISO / IEC 27014 IS upravljanje od strane najvišeg menadžmenta;

- ISO / IEC TR 27015 ISB smjernice za financijske usluge;

- ISO / IEC TR 27016 UIB. Organizacijska ekonomija;

- ISO / IEC 27035 Upravljanje incidentima u informacijskoj sigurnosti (nije navedeno u standardu).

Međunarodni standard koji nema ovaj zajednički naziv:

- ISO 27799 Zdravstvena informatika. EIB prema ISO / IEC 27002.

Svrha standarda

Standard pruža pregled ISMS-a i definira povezane uvjete.

ISMS obitelj standarda sadrži standarde koji:

- definirati zahtjeve za ISMS i certifikaciju takvih sustava;

- uključiti industrijske smjernice za ISMS;

- nadzirati provođenje ocjene sukladnosti ISMS-a.

1. Opseg primjene

Standard pruža pregled ISMS-a te pojmova i definicija koje se široko koriste u obitelji ISMS standarda. Standard je primjenjiv na sve vrste i veličine organizacija (na primjer, trgovačka poduzeća, vladine agencije, neprofitne organizacije).

2. Pojmovi i definicije

Ovaj odjeljak sadrži definicije 89 pojmova, na primjer:

Informacijski sistem- aplikacije, usluge, IT sredstva i druge komponente za obradu informacija;

informacijska sigurnost (IS)- održavanje povjerljivosti, integriteta i dostupnosti informacija;

dostupnost- da je nekretnina dostupna i spremna za korištenje na zahtjev ovlaštene osobe;

povjerljivost- svojstvo da informacija bude nedostupna ili zatvorena za neovlaštene osobe;

integritet- svojstvo točnosti i potpunosti;

neporicanje- sposobnost potvrde nastanka događaja ili radnje i njegovih kreatora;

IB događaj- identificirano stanje sustava (usluge ili mreže), što ukazuje na moguće kršenje politike ili mjera IS-a ili prethodno nepoznatu situaciju koja se može odnositi na sigurnost;

incident informacijske sigurnosti- jedan ili više događaja informacijske sigurnosti koji sa značajnim stupnjem vjerojatnosti dovode do ugrožavanja poslovanja i stvaraju prijetnje informacijskoj sigurnosti;

upravljanje incidentimaIB- procesi otkrivanja, obavještavanja, procjene, odgovora, razmatranja i proučavanja incidenata informacijske sigurnosti;

kontrolni sustav- skup međusobno povezanih elemenata organizacije za uspostavljanje politika, ciljeva i procesa za postizanje tih ciljeva;

praćenje- utvrđivanje statusa sustava, procesa ili radnje;

politika- opća namjera i smjer, formalno izraženi od strane menadžmenta;

rizik- učinak neizvjesnosti u ciljevima;

prijetnja- mogući uzrok neželjenog incidenta koji bi mogao uzrokovati štetu;

ranjivost- nedostatak imovine ili sigurnosne mjere koja se može iskoristiti jednom ili više prijetnji.

3. Sustavi upravljanja informacijskom sigurnošću

Odjeljak "ISMS" sastoji se od sljedećih glavnih točaka:

- opis ISMS-a;

- implementacija, kontrola, održavanje i poboljšanje ISMS-a;

- prednosti uvođenja standarda ISMS obitelji.

3.1. Uvod

Organizacije svih vrsta i veličina:

- prikuplja, obrađuje, pohranjuje i prenosi informacije;

- razumjeti da su informacije i povezani procesi, sustavi, mreže i ljudi bitna imovina za postizanje ciljeva organizacije;

- suočavaju se s nizom rizika koji mogu utjecati na funkcioniranje imovine;

- eliminirati uočeni rizik primjenom mjera i sredstava informacijske sigurnosti.

Sve informacije koje organizacija pohranjuje i obrađuje podložne su prijetnjama napada, pogreške, prirode (na primjer, požar ili poplava), itd., i podložne su ranjivostima svojstvenim njihovoj upotrebi.

Obično se koncept informacijske sigurnosti temelji na informacijama koje se smatraju vrijednom imovinom i zahtijevaju odgovarajuću zaštitu (na primjer, od gubitka dostupnosti, povjerljivosti i integriteta). Sposobnost pravovremenog dobivanja točnih i potpunih informacija od ovlaštenih osoba katalizator je poslovne učinkovitosti.

Učinkovita zaštita informacijske imovine definiranjem, stvaranjem, održavanjem i poboljšanjem informacijske sigurnosti preduvjet je organizacije za postizanje svojih ciljeva, kao i održavanje i poboljšanje zakonske usklađenosti i ugleda. Ove koordinirane radnje za provedbu odgovarajućih zaštitnih mjera i rješavanje neprihvatljivih rizika informacijske sigurnosti općenito su poznate kao kontrole informacijske sigurnosti.

Kako se rizici informacijske sigurnosti razvijaju i učinkovitost mjera zaštite, ovisno o promjenjivim okolnostima, organizacija treba:

- pratiti i ocjenjivati ​​učinkovitost provedenih mjera i postupaka zaštite;

- identificirati nove rizike za obradu;

- odabrati, provesti i unaprijediti odgovarajuće mjere zaštite prema potrebi.

Za međusobnu povezanost i koordinaciju akcija informacijske sigurnosti, svaka organizacija treba formulirati politiku i ciljeve informacijske sigurnosti te učinkovito postići te ciljeve koristeći sustav upravljanja.

3.2. Opis ISMS-a

Opis ISMS-a uključuje sljedeće komponente:

- odredbe i načela;

- informacije;

- Sigurnost informacija;

- upravljanje;

- kontrolni sustav;

- procesni pristup;

- važnost ISMS-a.

Propisi i načela

ISMS se sastoji od politika, postupaka, smjernica i povezanih resursa i akcija kojima organizacija zajednički upravlja kako bi se postigla zaštita svoje informacijske imovine. ISMS definira sustavni pristup kreiranju, implementaciji, obradi, kontroli, reviziji, održavanju i poboljšanju informacijske sigurnosti organizacije u svrhu postizanja poslovnih ciljeva.

Temelji se na procjeni rizika organizacije i prihvatljivim razinama rizika, osmišljen za učinkovito rukovanje i upravljanje rizikom. Analiza sigurnosnih zahtjeva za informacijsku imovinu i primjena odgovarajućih mjera zaštite kako bi se osiguralo da je ta imovina zaštićena prema potrebi pridonijet će uspješnoj implementaciji ISMS-a.

Sljedeća osnovna načela doprinose uspješnoj implementaciji ISMS-a:

- razumijevanje potrebe za sustavom informacijske sigurnosti;

- dodjeljivanje odgovornosti za informacijsku sigurnost;

- konsolidacija obveza uprave i interesa dionika;

- povećanje društvenih vrijednosti;

- procjene rizika kojima se definiraju odgovarajuće zaštitne mjere za postizanje prihvatljivih razina rizika;

- sigurnost kao sastavni element IS-a i mreža;

- aktivno sprječavanje i otkrivanje incidenata informacijske sigurnosti;

- osiguravanje integriranog pristupa EIB-u;

- kontinuirano ponovno ocjenjivanje i odgovarajuće poboljšanje informacijske sigurnosti.

Informacija

Informacije su imovina koja je, zajedno s drugom važnom poslovnom imovinom, važna za poslovanje organizacije i stoga mora biti adekvatno zaštićena. Informacije se mogu pohraniti u različitim oblicima, uključujući digitalni oblik (na primjer, datoteke s podacima pohranjene na elektroničkim ili optičkim medijima), materijalni oblik (na primjer, na papiru), kao i nematerijalni oblik u obliku znanja zaposlenika.

Informacije se mogu prenositi na različite načine, uključujući kurirsku, elektroničku ili glasovnu komunikaciju. Bez obzira na oblik u kojem se informacije prezentiraju i kako se prenose, one moraju biti propisno zaštićene.

U mnogim organizacijama informacije ovise o informacijskoj i komunikacijskoj tehnologiji. Ova tehnologija je bitan element u svakoj organizaciji i olakšava stvaranje, obradu, pohranu, prijenos, zaštitu i uništavanje informacija.

Sigurnost informacija

Informacijska sigurnost uključuje tri glavne dimenzije (svojstva): povjerljivost, dostupnost i integritet. Informacijska sigurnost osigurava primjenu i upravljanje odgovarajućim sigurnosnim mjerama, koje uključuju razmatranje širokog spektra prijetnji, kako bi se osigurao dugoročni uspjeh i kontinuitet poslovanja te minimizirao utjecaj incidenata informacijske sigurnosti.

Informacijska sigurnost postiže se primjenom odgovarajućeg skupa sigurnosnih mjera, definiranih kroz proces upravljanja rizikom i upravljanih korištenjem ISMS-a, uključujući politike, procese, procedure, organizacijske strukture, softver i hardver, za zaštitu identificirane informacijske imovine.

Ove zaštitne mjere treba identificirati, implementirati, pratiti, testirati i, ako je potrebno, poboljšati kako bi se osiguralo da je razina informacijske sigurnosti u skladu s poslovnim ciljevima organizacije. Relevantne mjere i alati za informacijsku sigurnost trebaju biti organski integrirani u poslovne procese organizacije.

Kontrolirati

Upravljanje uključuje radnje za usmjeravanje, kontrolu i kontinuirano poboljšanje organizacije unutar odgovarajućih struktura. Aktivnosti upravljanja uključuju radnje, metode ili prakse oblikovanja, obrade, usmjeravanja, promatranja i kontrole resursa. Veličina upravljačke strukture može varirati od jedne osobe u malim organizacijama do hijerarhije upravljanja u velikim organizacijama s mnogo ljudi.

U odnosu na ISMS, upravljanje uključuje nadzor i donošenje odluka potrebnih za postizanje poslovnih ciljeva zaštitom informacijske imovine. Upravljanje informacijskom sigurnošću izražava se kroz formuliranje i korištenje politika, postupaka i preporuka informacijske sigurnosti, koje zatim primjenjuju u cijeloj organizaciji sve osobe povezane s njom.

Kontrolni sustav

Sustav upravljanja koristi skup resursa za postizanje ciljeva organizacije. Sustav upravljanja organizacije uključuje strukturu, politike, planiranje, obveze, metode, procedure, procese i resurse.

U smislu informacijske sigurnosti, sustav upravljanja omogućuje organizaciji da:

- ispunjavati sigurnosne zahtjeve kupaca i drugih zainteresiranih strana;

- unaprijediti planove i aktivnosti organizacije;

- pridržavati se ciljeva informacijske sigurnosti organizacije;

- pridržavati se propisa, zakona i industrijskih naredbi;

- upravljati informacijskom imovinom na organiziran način kako bi se omogućilo kontinuirano poboljšanje i prilagodba trenutnih ciljeva organizacije.

3.3. Procesni pristup

Organizacija treba provoditi i upravljati raznim aktivnostima kako bi djelotvorno i djelotvorno funkcionirala. Svakom aktivnošću koja koristi resurse potrebno je upravljati kako bi se inputi mogli transformirati u izlaze kroz skup međusobno povezanih aktivnosti – to se također naziva procesom.

Izlaz jednog procesa može izravno formirati ulaz sljedećeg procesa, a obično se ova transformacija događa u planiranom i kontroliranom okruženju. Primjena sustava procesa unutar organizacije, zajedno s identifikacijom i interakcijom tih procesa i njihovim upravljanjem, može se nazvati “procesnim pristupom”.

dodatne informacije (nije uključeno u standard)

Američki znanstvenik Walter Shewhart smatra se utemeljiteljem procesnog pristupa upravljanju kvalitetom. Njegova knjiga počinje isticanjem 3 faze u upravljanje kvalitetom izvedbe organizacije:

1) izrada specifikacije (zadatka, tehnički uvjeti, kriteriji za postizanje ciljeva) onoga što je potrebno;

2) proizvodnju proizvoda koji zadovoljavaju specifikaciju;

3) provjeru (kontrolu) proizvedenih proizvoda radi ocjene njihove usklađenosti sa specifikacijom.

Shewhart je bio jedan od prvih koji je predložio da se linearna percepcija ovih faza zatvori u ciklus, koji je poistovjetio s "dinamičkim procesom stjecanja znanja".

Nakon prvog ciklusa, rezultati provjere trebali bi biti temelj za poboljšanje specifikacije proizvoda. Nadalje, proizvodni proces se prilagođava na temelju revidirane specifikacije, te se ponovno provjerava novi rezultat proizvodnog procesa itd.

Američki znanstvenik Edwards Deming transformirao je Shewhartov ciklus u oblik koji se danas najčešće viđa. Kako bi prešao s kontrole kvalitete na upravljanje kvalitetom, dao je općenitije nazive svakoj od faza, a uz to je dodao još jednu, 4. fazu, uz pomoć koje je američkim menadžerima želio skrenuti pozornost na činjenica da nisu dovoljno analizirali primljeni treći korak je informacija i ne poboljšava proces. Zato se ova faza naziva "Akt", pa se prema tome Shewhart-Demingov ciklus naziva "PDCA" ili "PDSA" model:

PlanPlaniranje- identifikacija i analiza problema; procjenu prilika, postavljanje ciljeva i razvoj planova;

ČiniImplementacija- traženje rješenja problema i provedba planova;

Provjerite (proučite)Procjena učinka- evaluacija rezultata provedbe i zaključaka u skladu s zadatkom;

DjelujPoboljšanje- donošenje odluka na temelju nalaza, ispravljanje i poboljšanje rada.

Model "PDCA" za ISMS

Planiranje - Implementacija - Kontrola - Poboljšanje

1.Planiranje (izrada i dizajn): Uspostavljanje ciljeva, politika, kontrola, procesa i procedura za ISMS za postizanje rezultata u skladu s općom politikom i ciljevima organizacije.

2... Implementacija (implementacija i održavanje): implementacija i primjena IS politika, kontrola, ISMS procesa i postupaka za procjenu i rukovanje IS rizicima i incidentima.

3. Kontrola (praćenje i analiza učinka): ocjenjivanje učinkovitosti ispunjavanja zahtjeva politika, ciljeva informacijske sigurnosti i učinkovitosti ISMS-a te obavještavanje najvišeg menadžmenta o rezultatima.

4. Poboljšanje (održavanje i poboljšanje): poduzimanje korektivnih i preventivnih radnji na temelju rezultata revizija i pregleda menadžmenta kako bi se postiglo poboljšanje ISMS-a

Shewhart-Demingova metoda i ciklus, koji se češće naziva Demingov ciklus, obično ilustriraju shemu upravljanja za bilo koji proces aktivnosti. Uz potrebna pojašnjenja, sada se naširoko koristi u međunarodnim standardima upravljanja:

- kvaliteta proizvoda ISO 9000;

- zaštita okoliša ISO 14000;

- sigurnost i zdravlje na radu OHSAS 18000;

- informacijske usluge ISO / IEC 20000;

- sigurnost hrane ISO 22000;

- informacijska sigurnost ISO / IEC 27000;

- sigurnost ISO 28000;

- ISO 22300 kontinuitet poslovanja;

- rizici ISO 31000;

- energija ISO 50.000.

3.4. Važnost ISMS-a

Organizacija treba identificirati rizike povezane s informacijskom imovinom. Postizanje informacijske sigurnosti zahtijeva upravljanje rizicima i pokriva fizičke, ljudske i tehnološke rizike povezane s prijetnjama koje se odnose na sve oblike informacija unutar organizacije ili ih koristi organizacija.

Usvajanje ISMS-a je strateška odluka za organizaciju i bitno je da se rješenje kontinuirano integrira, evaluira i ažurira prema potrebama organizacije.

Na dizajn i implementaciju ISMS-a organizacije utječu potrebe i ciljevi organizacije, sigurnosni zahtjevi, korišteni poslovni procesi te veličina i struktura organizacije. Dizajn i rad ISMS-a trebaju odražavati interese i zahtjeve za informacijskom sigurnošću svih dionika u organizaciji, uključujući kupce, dobavljače, poslovne partnere, dioničare i druge treće strane.

U međusobno povezanom svijetu, informacije i povezani procesi, sustavi i mreže predstavljaju kritičnu imovinu. Organizacije i njihove IP adrese i mreže suočavaju se sa sigurnosnim prijetnjama iz širokog spektra izvora, uključujući računalne prijevare, špijunažu, sabotažu, vandalizam, te požare i poplave. Šteta na IC-ovima i sustavima uzrokovana zlonamjernim softverom, hakerima i DoS napadima postala je sve raširenija, raširenija i sofisticiranija.

ISMS je važan i za poduzeća u javnom i privatnom sektoru. U svakoj industriji, ISMS je neophodan alat za podršku e-poslovanju i bitan je za aktivnosti upravljanja rizicima. Međusobno povezivanje javnih i privatnih mreža i razmjena informacijske imovine komplicira kontrolu i obradu pristupa informacijama.

Osim toga, proliferacija mobilnih uređaja za pohranu koji sadrže informacijsku imovinu mogla bi oslabiti učinkovitost tradicionalnih sigurnosnih mjera. Kada organizacije usvoje obitelj ISMS standarda, poslovnim partnerima i drugim dionicima može se pokazati sposobnost primjene dosljednih i međusobno prepoznatljivih načela informacijske sigurnosti.

Informacijska sigurnost se ne uzima uvijek u obzir pri izradi i razvoju IS-a. Osim toga, često se vjeruje da je informacijska sigurnost tehnički problem. Međutim, informacijska sigurnost koja se može postići tehničkim sredstvima ograničena je i može biti neučinkovita ako nije podržana odgovarajućim upravljanjem i postupcima u kontekstu ISMS-a. Ugradnja sigurnosnog sustava u funkcionalno potpuni IC može biti složena i skupa.

ISMS uključuje identificiranje dostupnih kontrola i zahtijeva pažljivo planiranje i pažnju na detalje. Na primjer, mjere kontrole pristupa, koje mogu biti tehničke (logičke), fizičke, administrativne (upravljačke) ili njihova kombinacija, osiguravaju da je pristup informacijskoj imovini ovlašten i ograničen na temelju zahtjeva poslovne i informacijske sigurnosti.

Uspješna primjena ISMS-a važna je za zaštitu informacijske imovine jer omogućuje:

- povećati jamstva da je informacijska imovina na kontinuiranoj osnovi adekvatno zaštićena od prijetnji IS-a;

- održavati strukturiran i sveobuhvatan sustav za procjenu prijetnji informacijskoj sigurnosti, odabir i primjenu odgovarajućih mjera zaštite, mjerenje i poboljšanje njihove učinkovitosti;

- stalno poboljšavati upravljačko okruženje organizacije;

- učinkovito ispunjavati zakonske i regulatorne zahtjeve.

3.5. Implementacija, kontrola, održavanje i poboljšanje ISMS-a

Implementacija, kontrola, održavanje i poboljšanje ISMS-a operativne su faze razvoja ISMS-a.

Operativne faze ISMS-a određene su sljedećim komponentama:

- opće odredbe;

- IS zahtjevi;

- odlučujući čimbenici za uspjeh ISMS-a.

Operativne faze ISMS-a pružaju sljedeće aktivnosti:

- procjena rizika IS-a;

- obrada rizika informacijske sigurnosti;

- odabir i provedba zaštitnih mjera;

- kontrola i održavanje ISMS-a;

- stalno poboljšanje.

Opće odredbe

Organizacija treba poduzeti sljedeće korake za implementaciju, kontrolu, održavanje i poboljšanje svog ISMS-a:

- definiranje informacijske imovine i povezanih zahtjeva za IS;

- procjena i obrada rizika informacijske sigurnosti;

- odabir i provedbu odgovarajućih zaštitnih mjera za upravljanje neprihvatljivim rizicima;

- kontrolu, održavanje i poboljšanje učinkovitosti mjera zaštite povezanih s informacijskom imovinom organizacije.

Kako bi se osiguralo da ISMS učinkovito štiti informacijsku imovinu organizacije na kontinuiranoj osnovi, svi se koraci moraju neprestano ponavljati kako bi se identificirale promjene u rizicima ili strategiji organizacije ili poslovnim ciljevima.

IS zahtjevi

Unutar cjelokupne strategije i poslovnih ciljeva organizacije, njezine veličine i geografske distribucije, zahtjevi za informacijsku sigurnost mogu se odrediti kao rezultat razumijevanja:

- informacijska sredstva i njihove vrijednosti;

- poslovne potrebe za radom s informacijama;

- pravni, regulatorni i ugovorni zahtjevi.

Provođenje metodološke procjene rizika povezanih s informacijskom imovinom organizacije uključuje analizu:

- prijetnje imovini;

- ranjivosti imovine;

- vjerojatnost materijalizacije prijetnje;

- mogući utjecaj incidenta u informacijskoj sigurnosti na imovinu.

Trošak odgovarajućih zaštitnih mjera trebao bi biti razmjeran očekivanom poslovnom učinku materijalizacije rizika.

procjena rizika IS-a

Upravljanje rizikom informacijske sigurnosti zahtijeva odgovarajuću metodu za procjenu i liječenje rizika, koja može uključivati ​​procjenu troškova i koristi, zakonskih zahtjeva, zabrinutosti dionika i drugih ulaznih i izlaznih podataka.

Procjene rizika trebaju identificirati, mjeriti i odrediti prioritete rizika, uzimajući u obzir kriterije za prihvaćanje rizika i ciljeve organizacije. Rezultati će pomoći u razvoju i donošenju odgovarajućih upravljačkih odluka za djelovanje i određivanje prioriteta upravljanja rizicima informacijske sigurnosti i provedbu zaštitnih mjera odabranih za zaštitu od tih rizika.

Procjena rizika trebala bi uključivati ​​sustavni pristup procjeni veličine rizika (analiza rizika) i proces za usporedbu procijenjenih rizika s kriterijem rizika za određivanje težine rizika (procjena rizika).

Procjene rizika treba provoditi povremeno kako bi se napravile promjene u zahtjevima informacijske sigurnosti i rizičnim situacijama, na primjer, u imovini, prijetnjama, ranjivostima, utjecajima, procjeni rizika i u slučaju značajnih promjena. Ove procjene rizika moraju se provoditi metodički kako bi se osigurali usporedivi i ponovljivi rezultati.

Procjena rizika IS-a trebala bi jasno definirati opseg kako bi bila učinkovita i uključivati ​​interakcije s procjenama rizika u drugim područjima gdje je to moguće.

Standard ISO / IEC 27005 daje smjernice za upravljanje rizikom sigurnosti informacija, uključujući preporuke za procjenu, obradu, prihvaćanje, izvješćivanje, praćenje i analizu rizika.

Liječenje rizika informacijske sigurnosti

Prije razmatranja tretmana rizika, organizacija treba uspostaviti kriterij za određivanje mogu li se rizici prihvatiti ili ne. Rizici se mogu prihvatiti ako je rizik nizak ili trošak obrade nije isplativ za organizaciju. Takve odluke treba zabilježiti.

Za svaki rizik identificiran procjenom rizika treba donijeti odluku o njegovom tretmanu. Moguće opcije liječenja rizika uključuju:

- primjena odgovarajućih zaštitnih mjera za ublažavanje rizika;

- svjesno i objektivno prihvaćanje rizika u strogom skladu s politikom organizacije i kriterijem za prihvaćanje rizika;

- sprječavanje rizika otklanjanjem radnji koje dovode do nastanka rizika;

- dijeljenje povezanih rizika s drugim stranama, na primjer, osiguravateljima ili dobavljačima.

Potrebno je odabrati i provesti odgovarajuće mjere zaštite protiv onih rizika za koje je donesena odluka da se primjene na tretman rizika.

Odabir i provedba zaštitnih mjera

Aleksandar Astahov, CISA, 2006

Uvod

Došlo je vrijeme da mnoge ruske tvrtke razmisle o upravljanju sigurnošću – IT infrastruktura mnogih od njih dosegnula je razinu koja zahtijeva dobro podmazanu koordinaciju. Prilikom izgradnje sustava upravljanja sigurnošću (ISMS), stručnjaci preporučuju oslanjanje na međunarodne standarde ISO/IEC 27001/17799.

Voditelj je dužan kontrolirati stanje u svojoj organizaciji, odjelu, projektu iu odnosima s kupcima. To znači biti svjestan onoga što se događa, znati o svim izvanrednim situacijama na vrijeme i zamišljati koje će radnje treba poduzeti u jednom ili drugom slučaju. Postoji nekoliko razina upravljanja u organizaciji, od viših menadžera do specifičnih izvođača, i na svakoj razini situacija mora ostati pod kontrolom. Drugim riječima, treba izgraditi upravljačku vertikalu i procese upravljanja.

Sustav upravljanja informacijskom sigurnošću - što je to?

Upravljanje sigurnošću informacija je ciklički proces, uključujući svijest o stupnju potrebe za zaštitom informacija i postavljanje ciljeva; prikupljanje i analiza podataka o stanju informacijske sigurnosti u organizaciji; procjena informacijskih rizika; planiranje mjera liječenja rizika; provedba i provedba odgovarajućih mehanizama kontrole, raspodjela uloga i odgovornosti, obuka i motivacija osoblja, operativni rad na provedbi zaštitnih mjera; praćenje funkcioniranja kontrolnih mehanizama, ocjenjivanje njihove učinkovitosti i odgovarajuće korektivne radnje.

Prema ISO 27001, sustav upravljanja informacijskom sigurnošću (ISMS) je "onaj dio cjelokupnog sustava upravljanja poslovnim rizicima organizacije koji stvara, implementira, radi, nadzire, pregledava, održava i poboljšava informacijsku sigurnost." Sustav upravljanja uključuje organizacijsku strukturu, politike, planiranje, poslovne odgovornosti, prakse, procedure, procese i resurse.

Izgradnja i upravljanje ISMS-om zahtijeva isti pristup kao i svaki drugi sustav upravljanja. Procesni model korišten u ISO 27001 za opisivanje ISMS-a osigurava kontinuirani ciklus aktivnosti: planiranje, provedba, provjera, djelovanje (PDAP).

Primjena PDAP modela na ISMS procese

Kontinuirano poboljšanje obično zahtijeva početno ulaganje: dokumentiranje aktivnosti, formaliziranje pristupa upravljanju rizicima, definiranje metoda analize i raspodjela resursa. Ove mjere se koriste za pokretanje ciklusa. Ne moraju se dovršiti prije nego što se aktiviraju faze revizije.

U fazi planiranja osigurava se ispravna postavka konteksta i razmjera ISMS-a, procjenjuju se rizici informacijske sigurnosti i predlaže odgovarajući plan za postupanje s tim rizicima. Zauzvrat, u fazi provedbe provode se donesene odluke koje su utvrđene u fazi planiranja. Tijekom faza provjere i djelovanja, oni pojačavaju, ispravljaju i poboljšavaju sigurnosna rješenja koja su već identificirana i implementirana.

Provjere se mogu provoditi u bilo koje vrijeme i s bilo kojom učestalošću, ovisno o konkretnoj situaciji. U nekim sustavima ih je potrebno ugraditi u automatizirane procese kako bi se osiguralo trenutno izvršenje i odgovor. Za ostale procese, odgovor je potreban samo u slučaju sigurnosnih incidenata, kada su napravljene promjene ili dopune zaštićenih informacijskih resursa, kao i kada su se prijetnje i ranjivosti promijenile. Godišnje ili druge periodične provjere ili revizije potrebne su kako bi se osiguralo da sustav upravljanja u cjelini postiže svoje ciljeve.

Jedna od opcija za organizacijsku strukturu ISMS-a


Uprava organizacije izdaje sigurnosnu politiku koja uvodi koncept ISMS-a i proglašava njegove glavne ciljeve: upravljanje kontinuitetom poslovanja i upravljanje sigurnošću. Na vrhu ISMS-a je direktor IS-a, koji vodi Upravni odbor IS-a - kolegijalno tijelo osmišljeno za rješavanje strateških pitanja vezanih uz IS. Direktor IS-a odgovoran je za sve procese upravljanja informacijskom sigurnošću, uključujući: upravljanje incidentima i nadzor sigurnosti, upravljanje promjenama i sigurnosnu kontrolu, sigurnosnu infrastrukturu (politike, standardi, upute, procedure, planovi i programi), upravljanje rizicima, kontrolu usklađenosti, obuku ( program za podizanje svijesti).

Uspostavljanje takve strukture upravljanja cilj je implementacije ISO 27001/17799 u organizaciji. Jedno od glavnih načela ovdje je “predanost vodstva”. To znači da takvu strukturu može stvoriti samo uprava tvrtke koja raspoređuje pozicije, odgovornosti i prati obavljanje dužnosti. Drugim riječima, menadžment organizacije gradi odgovarajuću vertikalu moći, odnosno modificira postojeću kako bi zadovoljila sigurnosne potrebe organizacije. ISMS se može kreirati samo od vrha do dna.

Drugi temeljni princip je uključenost u proces osiguravanja informacijske sigurnosti svih zaposlenika organizacije koja se bavi informacijskim resursima - "od direktora do čistačice". Nedostatak svijesti konkretnih ljudi koji rade s informacijama, nepostojanje programa obuke o informacijskoj sigurnosti jedan je od glavnih razloga neoperabilnosti pojedinih kontrolnih sustava.

Jednako je važno da se svako planiranje mjera informacijske sigurnosti temelji na procjeni rizika. Nedostatak procesa upravljanja rizicima u organizaciji dovodi do neadekvatnosti odluka i neopravdanih troškova. Drugim riječima, procjena rizika je temelj na kojem počiva lean ISMS stablo.

Jednako je temeljna “uradi sam implementacija i održavanje ISMS-a”. Uključivanje vanjskih konzultanata u sve faze implementacije, rada i poboljšanja ISMS-a u mnogim je slučajevima sasvim opravdano. Štoviše, to je jedan od kontrolnih mehanizama opisanih u ISO 17799. Međutim, stvaranje ISMS-a od strane vanjskih konzultanata nemoguće je po definiciji, budući da ISMS je skup organizacijskih struktura formiranih upravljanjem organizacijom i procesima koje provode njezini zaposlenici koji su pravilno svjesni svoje odgovornosti i osposobljeni za vještine rukovanja informacijama i njihove zaštite. ISMS košta puno novca, ali nikakav novac ne može kupiti iskustvo i znanje.

Ovjeriti ili ne?

Za potvrdu usklađenosti postojećeg ISMS-a u organizaciji sa zahtjevima standarda, kao i njegove primjerenosti postojećim poslovnim rizicima, koristi se postupak dobrovoljnog certificiranja. Iako možete i bez njega, u većini slučajeva certifikacija u potpunosti opravdava ulaganje i vrijeme.

Prvo, službena registracija ISMS-a organizacije u registru renomiranih tijela kao što je UK Accreditation Service (UKAS), što jača imidž tvrtke, povećava interes potencijalnih klijenata, investitora, zajmodavaca i sponzora.

Drugo, kao rezultat uspješne certifikacije širi se opseg tvrtke zbog mogućnosti sudjelovanja na natječajima i razvoja poslovanja na međunarodnoj razini. U područjima koja su najosjetljivija na razinu informacijske sigurnosti, kao što su financije, na primjer, dostupnost certifikata o sukladnosti ISO 27001 počinje djelovati kao obvezni uvjet za provedbu aktivnosti. Neke ruske tvrtke već se suočavaju s tim ograničenjima.

Također je vrlo važno da postupak certificiranja ima ozbiljan motivirajući i mobilizirajući učinak na osoblje tvrtke: povećava se razina svijesti zaposlenika, učinkovitije se identificiraju i otklanjaju nedostaci i nedosljednosti u sustavu upravljanja informacijskom sigurnošću, što dugoročno znači za organizaciju smanjenje prosječne statističke štete od sigurnosnih incidenata, kao i smanjenje režijskih troškova za rad informacijskih sustava. Sasvim je moguće da će prisutnost certifikata omogućiti organizaciji da osigura informacijske rizike pod povoljnijim uvjetima.

Kao što pokazuje dosadašnja praksa, troškovi BS7799 certifikacije su u većini slučajeva neusporedivo mali u odnosu na troškove organizacije za informacijsku sigurnost, a koristi su višestruke.

Treba naglasiti da sve navedene prednosti organizacija ostvaruje samo ako se radi o međunarodno priznatom sustavu certificiranja, unutar kojeg se osigurava odgovarajuća kvaliteta rada i pouzdanost rezultata.

Priprema za certifikaciju

Priprema organizacije za certifikaciju prema ISO 27001 prilično je dugotrajan i naporan proces. Općenito, uključuje šest uzastopnih koraka koje provodi organizacija, obično uz pomoć vanjskih konzultanata.

U prvoj fazi provodi se preliminarna revizija ISMS-a, tijekom koje se ocjenjuje trenutno stanje, provodi inventar i dokumentacija svih glavnih sastavnica ISMS-a, utvrđuje opseg i opseg certificiranja te niz izvode se potrebne pripremne radnje. Na temelju rezultata revizije izrađuje se detaljan akcijski plan za pripremu za certifikaciju.

U drugoj fazi provodi se procjena informacijskog rizika, čija je glavna svrha utvrditi primjenjivost kontrolnih mehanizama opisanih u normi u ovoj konkretnoj organizaciji, pripremiti izjavu o primjenjivosti i plan tretmana rizika.

U trećoj fazi provodi se analiza neusklađenosti sa zahtjevima standarda, uslijed čega se procjenjuje trenutno stanje kontrola u organizaciji i identificiraju odstupanja s izjavom o primjenjivosti.

U kasnijim fazama provode se planiranje i provedba nedostajućih kontrolnih mehanizama, za svaki od kojih se razvija strategija i plan provedbe. Rad na implementaciji kontrolnih mehanizama uključuje tri glavne komponente: osposobljavanje zaposlenika organizacije: edukacija, obuka, podizanje svijesti; priprema ISMS dokumentacije: politike, standardi, procedure, propisi, upute, planovi; priprema dokaza o funkcioniranju ISMS-a: izvješća, protokoli, nalozi, zapisi, zapisnici događaja itd.

U završnoj fazi provodi se priprema za certifikacijski audit: analizira se stanje ISMS-a, ocjenjuje stupanj njegove spremnosti za certifikaciju, specificiraju se opseg i granice certificiranja te se vode odgovarajući pregovori s revizorima certifikacijsko tijelo. Detaljne upute o postavljanju ISMS-a i pripremi za certifikaciju sadržane su u BSI BIP 0071-0073 seriji dokumenata sa smjernicama.

Točke lijepljenja

Mnogo je kamena spoticanja u implementaciji ISMS-a. Neki od njih se odnose na kršenje temeljnih načela upravljanja sigurnošću opisanih gore. Ozbiljne poteškoće za ruske organizacije leže u zakonodavnom području. Nepotpunost i nedosljednost važećeg ruskog zakonodavstva, njegova zabranjena priroda u korištenju kriptografije iu mnogim drugim područjima, kao i neregulirani sustav certificiranja sredstava informacijske sigurnosti ozbiljno otežava ispunjavanje jednog od glavnih zahtjeva standarda - usklađenost s važećim zakonodavstvom.

Zabuna često proizlazi iz netočne definicije opsega i granica ISMS-a. Preširoko tumačenje opsega ISMS-a, na primjer, uključivanje svih poslovnih procesa organizacije u ovo područje, značajno smanjuje vjerojatnost uspješnog završetka projekta implementacije i certificiranja ISMS-a.

Jednako je važno dobro razumjeti gdje leže granice ISMS-a i kako je on povezan s drugim sustavima upravljanja i procesima u organizaciji. Na primjer, sustav upravljanja informacijskom sigurnošću i sustav upravljanja kontinuitetom poslovanja (BCM) organizacije usko se preklapaju. Potonje je jedno od 11 područja kontrole sigurnosti informacija definiranih standardom. Međutim, ISMS uključuje samo onaj dio BCM-a koji se odnosi na informacijsku sigurnost – to je zaštita kritičnih poslovnih procesa organizacije od velikih kvarova i nezgoda informacijskih sustava. Ostali aspekti BCM-a nadilaze ISMS.

Standard - jamstvo sigurnosti

Danas se organizacija rada ozbiljne i učinkovite tvrtke koja tvrdi da se uspješno razvija nužno temelji na suvremenim informacijskim tehnologijama. Stoga bi tvrtke bilo koje veličine trebale obratiti pozornost na standarde upravljanja informacijskom sigurnošću. U pravilu, što je tvrtka veća, to je širi opseg njezinih aktivnosti i zahtjeva za razvojem, a kao posljedica toga, što je veća ovisnost o informacijskim tehnologijama, to su pitanja upravljanja informacijskom sigurnošću aktualnija.

Korištenje međunarodnih standarda za upravljanje informacijskom sigurnošću ISO 27001/17799 omogućuje značajno pojednostavljenje izrade, rada i razvoja ISMS-a. Regulatorni zahtjevi i tržišni uvjeti prisiljavaju organizacije da primjenjuju međunarodne standarde pri razvoju planova i politika informacijske sigurnosti te pokažu svoju predanost provođenjem revizija i certificiranja informacijske sigurnosti. Usklađenost sa zahtjevima standarda daje određena jamstva da organizacija ima osnovnu razinu informacijske sigurnosti, što pozitivno utječe na imidž tvrtke.

SUSTAV DOVOLJNOG CERTIFIKACIJE

"KOMUNIKACIJA - UČINKOVITOST"

ROSS RU.M821.04FBG0

Sustav upravljanja informacijskom sigurnošću "Osnovna razina informacijske sigurnosti telekom operatera"

Zahtjevi, program i način certifikacijskih ispitivanja

1 Uvod 1

2 Opseg 2

4.2 Zahtjevi za politike operatera 5

4.3 Zahtjevi za funkcionalnost 6

4.4. Zahtjevi interoperabilnosti 7

5 Program ispitivanja certificiranja 7

5.1. Ispitni predmet 7

5.2. Cilj testa 7

6 Metodologija za provođenje certifikacijskih ispitivanja 8

6.1. Uvjeti ispitivanja 8

6.2. Metoda ispitivanja 9

1. Uvod

Zahtjevi za Sustav upravljanja informacijskom sigurnošću "Osnovna razina informacijske sigurnosti telekomunikacijskih operatera" (u daljnjem tekstu Zahtjevi) određuju temeljnu razinu informacijske sigurnosti pomoću koje svaki operater može procijeniti stanje mrežne i informacijske sigurnosti, uzimajući u obzir koji su sigurnosni standardi relevantni, koji od ovih standarda treba koristiti, kada ih treba koristiti i kako ih treba primijeniti. Također opisuje spremnost i sposobnost prijevoznika da stupi u interakciju s drugim prijevoznicima, korisnicima i tijelima za provedbu zakona kako bi zajednički suzbijati prijetnje informacijske sigurnosti.

Zahtjevi predstavljaju minimalni skup preporuka, čija će provedba jamčiti dovoljnu razinu informacijske sigurnosti komunikacijskih usluga, uz osiguranje ravnoteže interesa operatera, korisnika i regulatora.

Program i metodologija definiraju sve vrste, uvjete, opseg i metode certifikacijskih ispitivanja osnovne razine informacijske sigurnosti telekom operatera.

Ovaj dokument se može koristiti u slučajevima kada telekom operater:

    treba pokazati svoju sposobnost pružanja komunikacijskih usluga koje zadovoljavaju utvrđene zahtjeve;

    ima za cilj pokazati telekom operaterima u interakciji sposobnost i spremnost, zajedno s njima, da se odupru prijetnjama informacijskoj sigurnosti.

2 Opseg

      Ovi Zahtjevi, program i metodologija razvijeni su u skladu s Pravilnikom o sustavu dobrovoljnog certificiranja „Komunikacija – Učinkovitost“ temeljenom na Preporuci sektora za standardizaciju Međunarodne telekomunikacijske unije (ITU-T), Serija X, Dodatak 2, „Serija X. 800-X849 ITU-T - Primjena na osnovnoj razini informacijske sigurnosti telekom operatera”.

      Ovi Zahtjevi, program i metodologija razvijeni su za sustav dobrovoljnog certificiranja i namijenjeni su telekomunikacijskim operaterima, certifikacijskim centrima i laboratorijima pri provođenju dobrovoljne certifikacije Sustava upravljanja informacijskom sigurnošću „Osnovna razina informacijske sigurnosti telekom operatera” u okviru „Komunikacija – Sustav dobrovoljnog certificiranja učinkovitosti.

3 Normativne reference, definicije i kratice

3.1. U ovim Zahtjevima, programu i metodologiji koriste se reference na sljedeće regulatorne dokumente:

    Savezni zakon od 27. srpnja 2006. br. br. 149-FZ "O informacijama, informacijskoj tehnologiji i zaštiti informacija".

    Doktrina informacijske sigurnosti Ruske Federacije od 09. rujna 2000. br. Pr-1895.

    Pravila za povezivanje telekomunikacijskih mreža i njihovu interakciju (odobrena Uredbom Vlade Ruske Federacije od 28. ožujka 2005., N 161).

    GOST R 50739-95 Računalni objekti. Zaštita od neovlaštenog pristupa informacijama. Opći tehnički zahtjevi.

    GOST R 52448-2005 Sigurnost informacija. Osiguravanje sigurnosti telekomunikacijskih mreža. Opće odredbe.

    GOST R ISO / IEC 15408-2002 Informacijska tehnologija. Metode i sredstva osiguranja sigurnosti. Kriteriji za ocjenu sigurnosti informacijske tehnologije.

    GOST R ISO / IEC 27001-2006 Metode informacijske sigurnosti. Sustavi upravljanja sigurnošću informacija. Zahtjevi.

    OST 45.127-99. Sustav informacijske sigurnosti međupovezane komunikacijske mreže Ruske Federacije. Uvjeti i definicije.

    Preporuka sektora za standardizaciju Međunarodne telekomunikacijske unije (ITU-T), Serija X, Dodatak 2, "Serija ITU-T X.800-X849 - Dodatak o osnovnoj razini informacijske sigurnosti telekomunikacijskih operatera".

3.2. U ovim Zahtjevima, programu i metodologiji korišteni su pojmovi koji odgovaraju definicijama Federalnog zakona "O komunikacijama", te su dodatno definirani sljedeći pojmovi i kratice:

Račun- osobni račun korisnika informacijskog sustava, softver opreme, uključujući korisničko ime (login), njegove skrivene pojedinačne znakove (lozinku) i druge podatke potrebne za pristup.

Antivirusni softver- poseban softver dizajniran za otkrivanje i deaktiviranje (blokiranje) zlonamjernog softverskog koda posebno dizajniranog za kršenje integriteta, dostupnosti i povjerljivosti podataka.

Napad uskraćivanja usluge- namjerni utjecaj na informacijski sustav ili opremu kako bi se stvorili uvjeti u kojima legitimni korisnici ne mogu dobiti pristup resursima koje pruža sustav ili oprema, ili će takav pristup biti otežan.

Informacijska sigurnost telekom operatera- stanje zaštite informacijskih resursa telekom operatera i infrastrukture koja ih podupire od slučajnih ili namjernih utjecaja prirodne ili umjetne prirode, bremenitih štetom za telekomunikacijskog operatera, korisnike komunikacijskih usluga, a karakterizirana sposobnošću osiguranja povjerljivost, cjelovitost i dostupnost informacija tijekom njihove pohrane, obrade i prijenosa.

Licencni ugovor- ugovor između vlasnika softvera i korisnika njegove kopije

Telekomunikacijski operater - pravna osoba ili samostalni poduzetnik koji pruža komunikacijske usluge na temelju odgovarajuće licence.

Sigurnosna politika davatelja usluga- skup dokumentiranih sigurnosnih politika, postupaka, praksi ili smjernica koje mora slijediti komunikacijski operater.

Pružatelj usluga- pravna osoba koja se bavi pružanjem (isporukom) komunikacijskih usluga određene vrste pretplatniku i osigurava usklađeno korištenje mrežnih mogućnosti povezanih s tim uslugama.

Spam- neželjenu korespondenciju koja se prenosi u elektroničkom obliku (u pravilu putem e-maila).

Upravljanje rizicima- proces identificiranja, kontrole, smanjenja ili potpunog eliminiranja (po prihvatljivoj cijeni) rizika informacijske sigurnosti koji mogu utjecati na informacijske sustave telekom operatera i infrastrukturu koja ih podržava.

Vrhunski povezani članci

Različiti pokreti miša okomito i vodoravno
Različiti pokreti miša okomito i vodoravno
Kako komprimirati teksture u Fallout 4
Kako komprimirati teksture u Fallout 4
Ostaje samo razumjeti potrebnu razinu
Ostaje samo razumjeti potrebnu razinu
Kategorije:
© 2021 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.