Ditën e mirë, e dashur!
Kam kohë që nuk kam shkruar në Habr, nuk ka pasur kohë, ka pasur shumë punë. Por tani u shkarkova dhe u krijuan mendime për një postim të ri.
Unë bisedova me një nga shokët e mi, i cili ishte i ngarkuar me punën e sigurisë së informacionit në organizatë (shoku administrator i sistemit) dhe më kërkoi t'ju tregoja nga të filloni dhe ku të lëvizni. I rregullova pak mendimet dhe njohuritë e mia dhe i dhashë një plan të përafërt.
Fatkeqësisht, kjo situatë është larg të qenit e izoluar dhe ndodh shpesh. Punëdhënësit, si rregull, duan të kenë një zviceran dhe një korrës dhe një lojtar në tub, dhe e gjithë kjo për një listë çmimesh. Unë do t'i kthehem pyetjes pse siguria e informacionit nuk duhet të klasifikohet si IT më vonë, por tani ne do të shqyrtojmë akoma se ku të fillojmë, nëse kjo ndodhi dhe ju regjistroheni për një aventurë të tillë, domethënë krijimin e një menaxhimi të sigurisë së informacionit sistemi (ISMS).
Analiza e riskut
Pothuajse gjithçka në sigurinë e informacionit fillon me një analizë rreziku, kjo është baza dhe fillimi i të gjitha proceseve të sigurisë. Do të zhvilloj një program të shkurtër arsimor në këtë fushë, pasi shumë koncepte nuk janë të dukshme dhe më shpesh ngatërrohen.Pra, ekzistojnë 3 koncepte themelore:
- Probabiliteti i realizimit
- Cenueshmëria
Rreziku është aftësia për të shkaktuar ndonjë humbje (monetare, reputacion, etj.) për shkak të zbatimit të një cenueshmërie.
Mundësia e realizimit është se sa e mundshme është që një cenueshmëri e caktuar të shfrytëzohet për të materializuar rrezikun.
Dobësia është drejtpërdrejt një shkelje në sistemin tuaj të sigurisë, e cila me një shkallë të caktuar probabiliteti mund të bëjë dëm, domethënë të realizojë një rrezik.
Ka shumë metoda, qasje të ndryshme për menaxhimin e rrezikut, unë do t'ju tregoj për bazat, pjesa tjetër nuk do t'ju duhet në fillim në formimin e një ISMS.
Pra, e gjithë puna për menaxhimin e rrezikut reduktohet ose në zvogëlimin e gjasave të zbatimit, ose në minimizimin e humbjeve nga zbatimi. Prandaj, rreziqet mund të jenë të pranueshme dhe të papranueshme për organizatën. Pranueshmëria e rrezikut shprehet më së miri në shuma specifike të humbjeve nga zbatimi i tij (në çdo rast, edhe humbjet në dukje të paprekshme të reputacionit përfundimisht përkthehen në fitime të humbura). Është e nevojshme të vendoset me menaxhmentin se cila shumë do të jetë pragu i pranueshmërisë për ta dhe të bëhet një gradim (mundësisht 3-5 nivele për humbjet). Më pas, bëni një gradim në probabilitet, si dhe me humbje, dhe më pas vlerësoni rreziqet me shumën e këtyre treguesve.
Pas përfundimit të punës përgatitore, nënvizoni dobësitë reale të organizatës suaj dhe vlerësoni rreziqet e zbatimit dhe humbjet e tyre. Si rezultat, do të merrni 2 grupe rreziqesh - të pranueshme dhe të papranueshme. Me rreziqe të pranueshme, ju thjesht pranoni dhe nuk do të ndërmerrni hapa aktivë për t'i minimizuar ato (d.m.th., ne pranojmë që minimizimi i këtyre rreziqeve do të na kushtojë më shumë se humbjet prej tyre), dhe me të papranueshmet ekzistojnë 2 opsione për zhvillimin e ngjarjeve.
Minimizo - zvogëloni gjasat e shfaqjes, zvogëloni humbjet e mundshme, apo edhe merrni masa për të eliminuar rrezikun (mbyllja e cenueshmërisë).
Transferimi - thjesht zhvendosni shqetësimet rreth rrezikut te një person tjetër, për shembull, siguroni organizatën kundër shfaqjes së rrezikut ose transferoni një aktiv në rrezik (për shembull, transferoni serverët në qendrën e të dhënave, kështu që qendra e të dhënave do të jetë përgjegjëse për pandërprerje furnizimi me energji elektrike dhe siguria fizike e serverëve) ...
Shkalla
Para së gjithash, natyrisht, është e nevojshme të vlerësohet shkalla e fatkeqësisë. Unë nuk do të prek pikat e mbrojtjes së të dhënave personale, tashmë ka shumë artikuj mbi këtë temë, ka rekomandime praktike dhe algoritme veprimi të përshkruara më shumë se një herë.Më lejoni t'ju kujtoj gjithashtu se siguria e informacionit ka të bëjë kryesisht me njerëzit, kështu që nevojitet dokumentacioni rregullator. Për ta shkruar atë, së pari duhet të kuptoni se çfarë të shkruani atje.
Ekzistojnë 3 dokumente kryesore për sigurinë e informacionit në këtë drejtim:
Politika e sigurisë së informacionit
Dokumenti juaj kryesor, doracaku, Bibla dhe tituj të tjerë të profilit të lartë. Është në të që përshkruhen të gjitha procedurat për sigurinë e informacionit, përshkruhet niveli i sigurisë që ndiqni në organizatën tuaj. Kjo do të thotë - prerja perfekte e sigurisë, e dokumentuar dhe e pranuar nga të gjitha rregullat.Politika nuk duhet të jetë një peshë e vdekur, dokumenti duhet të jetojë, duhet të ndryshojë nën ndikimin e kërcënimeve të reja, tendencave në sigurinë e informacionit apo dëshirave. Në këtë drejtim, politika (si, në parim, çdo dokument procesi) duhet të rishikohet rregullisht për rëndësinë. Është më mirë ta bëni këtë të paktën një herë në vit.
Koncepti i sigurisë së informacionit
Një ekstrakt i vogël nga politika, e cila përshkruan bazat e sigurisë së organizatës suaj, nuk ka procese specifike, por ka parime për ndërtimin e një ISMS dhe parime për ndërtimin e sigurisë.Ky dokument është më shumë një dokument markimi, nuk duhet të përmbajë asnjë informacion “sensitive” dhe duhet të jetë i hapur dhe i aksesueshëm për të gjithë. Vendoseni në faqen tuaj të internetit, vendoseni në tabaka në stendën e informacionit, në mënyrë që klientët dhe vizitorët tuaj të mund ta lexojnë ose thjesht të shohin se ju intereson siguria dhe jeni gati për ta demonstruar atë.
Rregulloret mbi sekretet tregtare (informacion konfidencial)
Në kllapa tregohet një emër alternativ për një dokument të tillë. Në përgjithësi, com. sekreti është një rast i veçantë i konfidencialitetit, por ka shumë pak dallime.Ky dokument duhet të tregojë sa vijon: si dhe ku janë dokumentet që përbëjnë kom. sekreti se kush është përgjegjës për ruajtjen e këtyre dokumenteve, si duhet të duket shablloni i një dokumenti që përmban një informacion të tillë, çfarë do të jetë për zbulimin e informacionit konfidencial (sipas ligjit dhe sipas marrëveshjeve të brendshme me menaxhmentin). Dhe sigurisht, një listë informacioni që është, për organizatën tuaj, sekret tregtar ose konfidencial.
Sipas ligjit pa masat e marra per mbrojtjen e konfidencialit nuk e ke :-) Dmth vete informacioni duket se eshte, por nuk mund te jete konfidencial. Dhe këtu ka një pikë interesante që 90% e organizatave nënshkruajnë marrëveshje konfidenciale moszbulimi me punonjësit e rinj, por pak kanë marrë masat e kërkuara me ligj. Lista maksimale e informacionit.
Auditimi
Për të shkruar këto dokumente, më saktë, për të kuptuar se çfarë duhet të jetë në to, duhet të auditoni gjendjen aktuale të sigurisë së informacionit. Është e qartë se, në varësi të aktiviteteve të organizatës, shpërndarjes territoriale, etj., Ka shumë nuanca dhe faktorë për secilën organizatë specifike, por ka disa pika kryesore që janë të përbashkëta për të gjithë.Politika e aksesit
Ka 2 degë - akses fizik në ambiente dhe akses në sistemet e informacionit.Qasje fizike
Përshkruani sistemin tuaj të kontrollit të aksesit. Si dhe kur lëshohen kartat e hyrjes, kush përcakton se kush ka akses në cilën dhomë (me kusht që dhoma të jetë e pajisur me ACS). Vlen gjithashtu të përmendet sistemi i vëzhgimit me video, parimet e ndërtimit të tij (pa pika qorre në dhomat e monitoruara, kontrolli i detyrueshëm i hyrjeve dhe daljeve në / nga godina, kontrolli i hyrjes në dhomën e serverit, etj.). Gjithashtu, mos harroni për vizitorët, nëse nuk keni një pritje të përgjithshme (dhe nëse keni), duhet të tregoni se si vizitorët hyjnë në zonën e kontrolluar (kalime të përkohshme, përcjellje).Për dhomën e serverit, duhet të ketë gjithashtu një listë të veçantë aksesi me një regjistër vizitash (është më e lehtë nëse ACS është instaluar në dhomën e serverit dhe gjithçka bëhet automatikisht).
Akses në sistemet e informacionit
Përshkruani procedurën për lëshimin e aksesit, nëse përdoret vërtetimi me shumë faktorë, pastaj lëshimi i identifikuesve shtesë. Politika e fjalëkalimit (data e skadimit të fjalëkalimit, kompleksiteti, numri i përpjekjeve për hyrje, koha e bllokimit të UZ pas tejkalimit të numrit të përpjekjeve) për të gjitha sistemet në të cilat u jepet qasja, nëse nuk keni Single Log On kudo.Ndërtimi i një rrjeti
Ku ndodhen serverët me akses nga jashtë (DMZ), si aksesohen nga brenda dhe jashtë. Segmentimi i rrjetit, si ofrohet. Firewall-et, çfarë segmentesh mbrojnë (nëse ka brenda rrjetit midis segmenteve).Qasje në distancë
Si organizohet dhe kush ka akses. Idealisht, duhet të jetë kështu: vetëm VPN, akses vetëm me miratimin e menaxhmentit të lartë dhe me një justifikim për nevojën. Nëse keni nevojë për qasje te palët e treta (shitësit, personeli i shërbimit, etj.), Atëherë qasja është e kufizuar në kohë, domethënë lëshohet një llogari për një periudhë të caktuar, pas së cilës bllokohet automatikisht. Natyrisht, me akses në distancë, kushdo, të drejtat duhet të kufizohen në minimum.Incidentet
Si përpunohen, kush është përgjegjës dhe si është i strukturuar procesi i menaxhimit të incidenteve dhe problemeve të menaxhimit (nëse ka, sigurisht). Unë tashmë kisha një postim për të punuar me incidente: mund të lexoni më shumë.Është gjithashtu e nevojshme të përcaktohen tendencat në organizatën tuaj. Pra, cilat incidente ndodhin më shpesh, cilat janë më të dëmshme (të thjeshta, humbja e drejtpërdrejtë e pronës ose e parave, dëmtimi i reputacionit). Kjo do të ndihmojë në kontrollin e rrezikut dhe analizën e rrezikut.
Asetet
Në këtë rast, asetet kuptohen si gjithçka që kërkon mbrojtje. Dmth serverët, informacionet në letër ose media të lëvizshme, disqet e kompjuterit, etj. Nëse ndonjë aset përmban informacion "sensitive", atëherë ato duhet të shënohen në përputhje me rrethanat dhe duhet të ketë një listë veprimesh të lejuara dhe të ndaluara me këtë aktiv, si transferimi te palët e treta, dërgimi me e-mail brenda organizatës, vendosja e tij në domeni publik brenda organizatës etj.Arsimi
Një moment që shumë njerëz e harrojnë. Punonjësit duhet të edukohen për masat e sigurisë. Nuk mjafton të njiheni me udhëzimet dhe politikat kundër nënshkrimit, 90% nuk do t'i lexojnë, por thjesht do të nënshkruajnë për t'i hequr qafe. Kam bërë edhe një botim për trajnimin: Ai përmban pikat kryesore që janë të rëndësishme në trajnim dhe të cilat nuk duhet t'i harroni. Përveç vetë trajnimit, ngjarje të tilla janë të dobishme për sa i përket komunikimit midis punonjësve dhe oficerit të sigurisë (një emër i bukur, më pëlqen shumë :-). Ju mund të mësoni për disa incidente të vogla, dëshira, madje edhe probleme që vështirë se do t'i dinit në një ritëm normal pune.konkluzioni
Kjo, me siguri, është gjithçka që doja t'u tregoja fillestarëve në fushën e sigurisë së informacionit. E kuptoj që me një postim të tillë, mund t'i privoj disa nga kolegët e mi nga puna, pasi një punëdhënës i mundshëm thjesht do t'i caktojë këto detyra administratorit, por gjithashtu do të mbroj shumë organizata nga integruesit-mashtruesit që duan të nxjerrin para për auditime. dhe shkruani pamflete me shumë faqe.çfarë, duke i kaluar ato si normativë (http: // site / post / 153581 /).Herën tjetër do të përpiqem t'ju tregoj për organizimin e shërbimit të sigurisë së informacionit si i tillë.
P.S. nese vendosni minus komentoni qe ne te ardhmen te mos bej gabime te tilla.
Etiketa:
- Siguria e Informacionit
- dokumentacionin
- arsimimi
Nxitja e ndërgjegjësimit të punonjësve
Një faktor thelbësor në zbatimin efektiv të këtyre parimeve është cikli lidhës i operacioneve, i cili siguron që menaxhimi i sigurisë së informacionit të fokusohet vazhdimisht në rreziqet aktuale. Është e rëndësishme që menaxhmenti i lartë i organizatës të njohë rreziqet e ndërprerjes së proceseve të biznesit që lidhen me sigurinë e sistemeve të informacionit. Baza për zhvillimin dhe zbatimin e politikave dhe përzgjedhjen e kontrolleve të nevojshme është vlerësimi i rrezikut të aplikacioneve individuale të biznesit. Hapat e ndërmarrë do të rrisin ndërgjegjësimin e përdoruesve për rreziqet dhe politikat përkatëse. Efektiviteti i kontrolleve vlerësohet nëpërmjet studimeve dhe auditimeve të ndryshme. Gjetjet ofrojnë një qasje për vlerësimin e mëvonshëm të rrezikut dhe identifikojnë ndryshimet e nevojshme në politika dhe kontrolle. Të gjitha këto aktivitete koordinohen në mënyrë qendrore nga shërbimi i sigurisë ose një staf specialistësh, i përbërë nga konsulentë, përfaqësues të njësive të biznesit dhe drejtuesit e organizatës. Cikli i menaxhimit të rrezikut është ilustruar në figurë.
Metodat për zbatimin e një programi të sigurisë së informacionit
Gjashtëmbëdhjetë metodat e mëposhtme të përdorura për zbatimin e pesë parimeve të menaxhimit të rrezikut janë theksuar në ilustrimin e mëposhtëm. Këto teknika janë kyçe për zbatimin efektiv të programit të sigurisë së informacionit të një organizate.
Vlerësoni rrezikun dhe identifikoni nevojat
Vlerësimi i rrezikut është hapi i parë në zbatimin e një programi të sigurisë së informacionit. Siguria nuk shihet vetvetiu, por si një grup politikash dhe kontrollesh shoqëruese të krijuara për të mbështetur proceset e biznesit dhe për të zbutur rreziqet e lidhura me to. Kështu, identifikimi i rreziqeve të biznesit që lidhen me sigurinë e informacionit është pika fillestare e ciklit të rrezikut (siguria e informacionit).
Njohin burimet e informacionit si asete thelbësore (integrale) të organizatës
Njohja e rreziqeve të sigurisë së informacionit nga drejtuesit e organizatës, si dhe një sërë masash që synojnë identifikimin dhe menaxhimin e këtyre rreziqeve, është një faktor i rëndësishëm në zhvillimin e një programi të sigurisë së informacionit. Kjo qasje menaxheriale do të sigurojë që siguria e informacionit të merret seriozisht në nivelet më të ulëta organizative të organizatës dhe që profesionistëve të sigurisë së informacionit të pajisen me burimet e nevojshme për zbatimin efektiv të programit.
Zhvilloni procedura praktike të vlerësimit të rrezikut që lidhin kërkesat e sigurisë dhe biznesit
Ekzistojnë metodologji të ndryshme për vlerësimin e rrezikut, duke filluar nga diskutimi joformal i rrezikut dhe duke përfunduar me metoda mjaft komplekse që përfshijnë përdorimin e mjeteve të specializuara softuerike. Megjithatë, përvoja globale e procedurave të suksesshme të menaxhimit të rrezikut përshkruan një proces relativisht të thjeshtë që përfshin pjesëmarrjen e departamenteve të ndryshme të institucioneve financiare me përfshirjen e specialistëve me njohuri mbi proceset e biznesit, specialistë teknikë dhe specialistë në fushën e sigurisë së informacionit.
Vlen të theksohet se të kuptuarit e rreziqeve nuk parashikon përcaktimin e saktë të sasisë së tyre, duke përfshirë mundësinë e një incidenti ose koston e dëmit. Të dhëna të tilla nuk janë të disponueshme pasi humbjet mund të mos zbulohen dhe menaxhmenti nuk është i informuar. Për më tepër, të dhënat për koston totale të riparimit të dëmeve të shkaktuara nga kontrollet e dobëta të sigurisë, si dhe koston e funksionimit të këtyre kontrolleve (kontrollet) janë të kufizuara. Për shkak të ndryshimeve të vazhdueshme në teknologji, softuer dhe mjete të disponueshme për sulmuesit, përdorimi i statistikave të mbledhura në vitet e mëparshme është i dyshimtë. Si rezultat, është e vështirë, nëse jo e pamundur, të krahasohet me saktësi kostoja e kontrolleve me rrezikun e humbjes, në mënyrë që të përcaktohet se cili kontroll është më kosto-efektiv. Në çdo rast, menaxherët e njësive të biznesit dhe specialistët e sigurisë së informacionit duhet të mbështeten në informacionin më të plotë që disponojnë kur vendosin për zgjedhjen e mjeteve (metodave) të nevojshme të kontrollit.
Vendosni përgjegjësi për menaxherët e biznesit dhe menaxherët e përfshirë në programin e sigurisë
Menaxherët e njësive të biznesit duhet të kenë përgjegjësinë kryesore për përcaktimin e nivelit të sigurisë (konfidencialitetit) të burimeve të informacionit që mbështesin proceset e biznesit. Janë menaxherët e njësive të biznesit ata që janë më në gjendje të përcaktojnë se cili nga burimet e informacionit është më kritiki, si dhe ndikimi i mundshëm në biznes në rast të shkeljes së integritetit, konfidencialitetit ose disponueshmërisë së tij. Përveç kësaj, menaxherët e njësive të biznesit mund të vënë në dukje kontrollet (mekanizmat) që mund të dëmtojnë proceset e biznesit. Kështu, duke i përfshirë në përzgjedhjen e kontrolleve, mund të sigurohet që kontrollet plotësojnë kërkesat e deklaruara dhe do të zbatohen me sukses.
Menaxhoni vazhdimisht rrezikun
Sigurisë së informacionit duhet t'i kushtohet vëmendje e vazhdueshme për të siguruar përshtatshmërinë dhe efektivitetin e kontrolleve. Siç u përmend më herët, informacioni modern dhe teknologjitë e lidhura me to, si dhe faktorët që lidhen me sigurinë e informacionit, po ndryshojnë vazhdimisht. Këta faktorë përfshijnë kërcënimet, teknologjinë dhe konfigurimin e sistemit, dobësitë e njohura të softuerit, nivelin e besueshmërisë së sistemeve të automatizuara dhe të dhënave elektronike, dhe kritikën e të dhënave dhe operacioneve.
Vendosni menaxhimin e centralizuar
Grupi drejtues vepron kryesisht në rolin e një këshilltari ose konsulenti për njësitë e biznesit dhe nuk mund të imponojë metoda (mjete) sigurie informacioni.
Identifikoni një ekip udhëheqës për të ndërmarrë veprime kyçe
Në përgjithësi, grupi drejtues duhet të jetë (1) një katalizator (përshpejtues) i procesit, duke siguruar që rreziqet e sigurisë së informacionit të adresohen vazhdimisht; (2) një burim qendror këshillues për njësitë e biznesit; (3) një mjet për komunikimin e informacionit për gjendjen e sigurisë së informacionit dhe masat e marra për menaxhimin e organizatës. Për më tepër, ekipi drejtues ju lejon të menaxhoni në mënyrë qendrore detyrat e caktuara, përndryshe këto detyra mund të dublikohen nga departamente të ndryshme të organizatës.
Sigurojini ekipit drejtues akses të lehtë dhe të pavarur në menaxhmentin e lartë të organizatës
Le të vërejmë nevojën për diskutimin e problemeve të sigurisë së informacionit nga menaxherët e grupit të menaxhimit me menaxhmentin e lartë të organizatës. Një dialog i tillë do të lejojë që dikush të veprojë në mënyrë efektive dhe të shmangë mosmarrëveshjet. Përndryshe, situatat e konfliktit janë të mundshme me menaxherët e njësive të biznesit dhe zhvilluesit e sistemit të cilët dëshirojnë të implementojnë produkte të reja softuerike sa më shpejt të jetë e mundur dhe, për rrjedhojë, sfidojnë përdorimin e kontrolleve që mund të pengojnë efikasitetin dhe komoditetin e punës me softuerin. Kështu, aftësia për të diskutuar çështjet e sigurisë së informacionit në nivelin më të lartë mund të garantojë një kuptim të plotë të rreziqeve dhe pranueshmërinë e tyre përpara marrjes së vendimeve përfundimtare.
Përcaktoni dhe shpërndani buxhetin dhe stafin
Buxheti do t'ju lejojë të planifikoni dhe vendosni synime për programin tuaj të sigurisë së informacionit. Në minimum, buxheti përfshin pagat e stafit dhe kostot e trajnimit. Stafi i ekipit drejtues (njësia e sigurisë) mund të ndryshojë dhe të varet si nga qëllimet e vendosura ashtu edhe nga projektet në shqyrtim. Siç u përmend më herët, si specialistët teknikë ashtu edhe punonjësit e njësive të biznesit mund të përfshihen në punën e grupit.
Rritja e profesionalizmit dhe njohurive teknike të punonjësve
Njerëzit në organizatë duhet të përfshihen në aspekte të ndryshme të programit të sigurisë së informacionit dhe të kenë aftësitë dhe njohuritë e duhura. Niveli i kërkuar i profesionalizmit të punonjësve mund të arrihet me ndihmën e trajnimeve, të cilat mund të kryhen si nga specialistët e organizatës ashtu edhe nga konsulentët e jashtëm.
Zbatoni politikat e nevojshme dhe kontrollet e duhura
Politikat e sigurisë së informacionit janë bazë për miratimin e procedurave të caktuara dhe zgjedhjen e mjeteve (mekanizmave) të kontrollit (menaxhimit). Politika është mekanizmi primar me të cilin menaxhmenti komunikon mendimet dhe kërkesat e tij te punonjësit, klientët dhe partnerët e biznesit. Për sigurinë e informacionit, si për fushat e tjera të kontrollit të brendshëm, kërkesat e politikave varen drejtpërdrejt nga rezultatet e vlerësimit të rrezikut.
Vendosni marrëdhëniet midis politikave dhe rreziqeve të biznesit
Një grup gjithëpërfshirës politikash adekuate që janë të aksesueshme dhe të kuptueshme për përdoruesit është një nga hapat e parë në krijimin e një programi të sigurisë së informacionit. Vlen të theksohet rëndësia e mirëmbajtjes (rregullimit) të vazhdueshme të politikave për reagimin në kohë ndaj rreziqeve të identifikuara dhe mosmarrëveshjeve të mundshme.
Dalloni midis politikave dhe udhëzimeve
Një qasje e përgjithshme për krijimin e politikave të sigurisë së informacionit duhet të përfshijë (1) politika koncize (koncize) të nivelit të lartë dhe (2) informacion më të detajuar të ofruar në udhëzimet dhe standardet praktike. Politikat përcaktojnë kërkesat themelore dhe të detyrueshme të miratuara nga menaxhmenti i lartë. Ndërsa udhëzuesit si duhet janë opsionale për të gjitha njësitë e biznesit. Kjo qasje i lejon menaxhmentit të lartë të fokusohet në elementët më të rëndësishëm të sigurisë së informacionit, si dhe të ofrojë një mundësi për manovrim për menaxherët e njësive të biznesit, duke i bërë politikat të lehta për t'u kuptuar nga punonjësit.
Sigurohuni që politikat të ndiqen nga një ekip menaxhues
Ekipi drejtues duhet të jetë përgjegjës për zhvillimin e politikave të sigurisë së informacionit të organizatës, në bashkëpunim me menaxherët e njësive të biznesit, auditorët e brendshëm dhe avokatët. Përveç kësaj, grupi drejtues duhet të japë sqarimet e nevojshme dhe të japë përgjigje për pyetjet e përdoruesve. Kjo do të ndihmojë në zgjidhjen dhe parandalimin e keqkuptimeve dhe marrjen e masave të nevojshme që nuk parashikohen nga politikat (udhëzimet).
Vlen të vihen në dispozicion politikat në mënyrë që përdoruesit të kenë akses në versionet më të fundit të tyre kur të jetë e nevojshme. Përdoruesit duhet të nënshkruajnë se janë të njohur me politikat përpara se t'u japin akses në burimet e informacionit të organizatës. Nëse përdoruesi është i përfshirë në një incident sigurie, kjo marrëveshje do të shërbejë si dëshmi se ai ose ajo është informuar për politikën e organizatës, si dhe sanksionet e mundshme nëse shkelet.
Nxitja e ndërgjegjësimit
Kompetenca e përdoruesit është një parakusht për sigurinë e suksesshme të informacionit dhe ndihmon për të siguruar që kontrollet të funksionojnë siç pritej. Përdoruesit nuk mund të ndjekin politika që nuk i dinë ose nuk i kuptojnë. Të pavetëdijshëm për rreziqet që lidhen me burimet e informacionit të një organizate, ata nuk mund të shohin nevojën për të zbatuar politika të dizajnuara për të zbutur rreziqet.
Edukimi i vazhdueshëm i përdoruesve dhe punonjësve të tjerë mbi shembullin e rreziqeve dhe politikave përkatëse
Ekipi drejtues duhet të ofrojë një strategji për edukimin e vazhdueshëm për punonjësit që kanë ndikim në sigurinë e informacionit të organizatës në një mënyrë ose në një tjetër. Ekipi duhet të fokusohet në një kuptim global të rreziqeve që lidhen me informacionin e trajtuar në organizatë dhe politikat dhe kontrollet për të zbutur ato rreziqe.
Merrni një qasje miqësore
Grupi drejtues duhet të përdorë një sërë metodash trajnimi dhe nxitjeje për të vënë në dispozicion politikat e organizatës dhe për të edukuar përdoruesit. Vlen të shmangen takimet që zhvillohen një herë në vit me të gjithë punonjësit e organizatës, përkundrazi, është më mirë të zhvillohen trajnime në grupe të vogla punonjësish.
Monitoroni dhe vlerësoni efektivitetin e politikave dhe kontrolleve
Si çdo aktivitet, siguria e informacionit i nënshtrohet kontrollit dhe rivlerësimit periodik për të siguruar përshtatshmërinë (përputhshmërinë) e politikave dhe mjeteve (metodave) të kontrollit për objektivat e përcaktuara.
Kontrolloni faktorët që ndikojnë në rreziqe dhe tregojnë efektivitetin e sigurisë së informacionit
Kontrollet duhet të fokusohen kryesisht në (1) disponueshmërinë dhe përdorimin e kontrolleve dhe përdorimin e tyre për të zbutur rreziqet, dhe (2) vlerësimin e efektivitetit të programit të sigurisë së informacionit dhe politikave që përmirësojnë të kuptuarit e përdoruesit dhe reduktojnë incidentet. Auditime të tilla përfshijnë testimin e kontrolleve (metodave), vlerësimin e përputhshmërisë së tyre me politikat e organizatës, analizimin e incidenteve të sigurisë dhe tregues të tjerë të efektivitetit të programit të sigurisë së informacionit. Performanca e grupit drejtues mund të matet bazuar, për shembull, por pa u kufizuar në metrikat e mëposhtme:
- numri i trajnimeve dhe takimeve të zhvilluara;
- numri i vlerësimeve të rrezikut (risqeve) të kryera;
- numri i profesionistëve të certifikuar;
- mungesa e incidenteve që pengojnë punën e punonjësve të organizatës;
- një rënie në numrin e projekteve të reja të zbatuara me vonesë për shkak të problemeve të sigurisë së informacionit;
- pajtueshmërinë e plotë ose devijimet e dakorduara dhe të regjistruara nga kërkesat minimale të sigurisë së informacionit;
- reduktimin e numrit të incidenteve që sjellin akses të paautorizuar, humbje ose shtrembërim të informacionit.
Përdorni rezultatet e marra për të koordinuar përpjekjet e ardhshme dhe për të rritur përgjegjësinë e menaxhimit
Kontrolli sigurisht që mund ta sjellë një organizatë në përputhje me politikat e vendosura të sigurisë së informacionit, por përfitimet e plota të kontrollit nuk do të arrihen nëse rezultatet nuk përdoren për të përmirësuar programin e sigurisë së informacionit. Analiza e rezultateve të kontrollit u ofron profesionistëve të sigurisë së informacionit dhe menaxherëve të biznesit mjetet për (1) rivlerësimin e rreziqeve të identifikuara më parë, (2) identifikimin e fushave të reja problematike, (3) rivlerësimin e përshtatshmërisë dhe përshtatshmërisë së kontrolleve ekzistuese (menaxhimit) dhe veprimeve për të siguruar siguria e informacionit, (4) përcaktimi i nevojës për mjete të reja dhe mekanizma kontrolli, (5) ridrejtimi i përpjekjeve të kontrollit (veprimet kontrolluese). Për më tepër, rezultatet mund të përdoren për të vlerësuar performancën e menaxherëve të biznesit të cilët janë përgjegjës për të kuptuar dhe zbutur rreziqet nëpër njësitë e biznesit.
Gjurmo metoda dhe kontrolle të reja
Është e rëndësishme të sigurohet që (1) profesionistët e sigurisë së informacionit të vazhdojnë me metodat dhe mjetet e zhvilluara (aplikacionet) dhe të kenë informacionin më të fundit mbi cenueshmërinë e sistemeve dhe aplikacioneve të informacionit, (2) menaxhmenti i lartë siguron që ka burimet e nevojshme për të bëni këtë.
miq! Ju ftojmë të diskutojmë. Nëse keni mendimin tuaj, na shkruani në komente.
© Vadim Grebennikov, 2018
ISBN 978-5-4493-0690-6
Mundësuar nga Ridero Intelligent Publishing System
1. Familja e standardeve të menaxhimit të sigurisë së informacionit
1.1. Historia e zhvillimit të standardeve të menaxhimit të sigurisë së informacionit
Sot, siguria e hapësirës dixhitale tregon një rrugë të re për sigurinë kombëtare të çdo vendi. Në përputhje me rolin e informacionit si një mall i vlefshëm në biznes, mbrojtja e tij është sigurisht e nevojshme. Për të arritur këtë qëllim, çdo organizatë, në varësi të nivelit të informacionit (përsa i përket vlerës ekonomike), kërkon zhvillimin e një sistemi të menaxhimit të sigurisë së informacionit (në tekstin e mëtejmë - ISMS), ndërkohë që ekziston mundësia, për të mbrojtur asetet e saj informative.
Në organizatat, ekzistenca e të cilave varet ndjeshëm nga teknologjia e informacionit (në tekstin e mëtejmë - IT), mund të përdoren të gjitha mjetet për mbrojtjen e të dhënave. Megjithatë, siguria e informacionit është thelbësore për konsumatorët, partnerët e bashkëpunimit, organizatat e tjera dhe qeveritë. Në këtë drejtim, për të mbrojtur informacionin e vlefshëm, është e nevojshme që çdo organizatë të përpiqet për një strategji të caktuar dhe zbatimin e një sistemi sigurie të bazuar në të.
Një ISMS është një pjesë e një sistemi të integruar të menaxhimit të bazuar në vlerësimin dhe analizën e rrezikut për zhvillimin, zbatimin, administrimin, monitorimin, analizën, mirëmbajtjen dhe përmirësimin e sigurisë së informacionit (në tekstin e mëtejmë - IS) dhe zbatimin e tij, që rrjedh nga qëllimet dhe kërkesat e organizatës. , kërkesat e sigurisë procedurat e përdorura dhe madhësia dhe struktura e organizimit të saj.
Shfaqja e parimeve dhe rregullave të menaxhimit të sigurisë së informacionit filloi në MB në vitet 1980. Në ato vite, Departamenti i Tregtisë dhe Industrisë në Mbretërinë e Bashkuar (DTI) organizoi një grup pune për të zhvilluar një sërë praktikash më të mira për sigurinë e informacionit.
Në vitin 1989, “DTI” publikoi standardin e parë në këtë fushë, i cili u quajt PD 0003 “Rregullat praktike për menaxhimin e sigurisë së informacionit”. Ishte një listë e kontrolleve të sigurisë që konsideroheshin të përshtatshme, normale dhe të mira në atë kohë, të zbatueshme si për teknologjinë ashtu edhe për mjediset e asaj kohe. DTI u publikua si dokument udhëzues i Standardit Britanik (BS).
Në vitin 1995, Instituti Britanik i Standardeve (BSI) miratoi standardin kombëtar BS 7799-1 "Rregullat praktike për menaxhimin e sigurisë së informacionit". Ajo përshkroi 10 fusha dhe 127 mekanizma kontrolli të nevojshëm për të ndërtuar një Sistemi të Menaxhimit të Sigurisë së Informacionit (ISMS), të identifikuar bazuar në shembujt më të mirë nga praktika botërore.
Ky standard u bë paraardhësi i të gjitha standardeve ndërkombëtare ISMS. Si çdo standard kombëtar BS 7799 në periudhën 1995-2000 gëzonte, le të themi, popullaritet të moderuar vetëm brenda vendeve të Komonuelthit Britanik.
Në 1998, u shfaq pjesa e dytë e këtij standardi - BS 7799-2 "ISMS. Specifikimi dhe Udhëzuesi i Aplikimit”, i cili përcaktoi një model të përgjithshëm për ndërtimin e një ISMS dhe një sërë kërkesash të detyrueshme për pajtueshmërinë me të cilat duhet të kryhet certifikimi. Me ardhjen e pjesës së dytë të BS 7799, e cila përcaktoi se çfarë duhet të jetë një ISMS, filloi zhvillimi aktiv i një sistemi certifikimi në fushën e menaxhimit të sigurisë.
Në fund të vitit 1999, ekspertët nga Organizata Ndërkombëtare për Standardizim (ISO) dhe Komisioni Ndërkombëtar Elektroteknik (IEC) arritën në përfundimin se nuk ekziston një standard i specializuar i menaxhimit të sigurisë së informacionit brenda standardeve ekzistuese. Prandaj, u vendos që të mos zhvillohej një standard i ri, por në marrëveshje me BSI, duke marrë si bazë BS 7799-1, të miratohej standardi përkatës ndërkombëtar ISO / IEC.
Në fund të vitit 1999, të dyja pjesët e BS 7799 u rishikuan dhe u harmonizuan me standardet ndërkombëtare për sistemet e menaxhimit të cilësisë ISO / IEC 9001 dhe menaxhimin mjedisor ISO / IEC 14001, dhe një vit më vonë pa ndryshime BS 7799-1 u miratua si standard ndërkombëtar ISO / IEC 17799: 2000 "Teknologjia e informacionit (në tekstin e mëtejmë - IT). Rregullat praktike të menaxhimit të sigurisë së informacionit".
Në 2002, si pjesa e parë e BS 7799-1 (ISO / IEC 17799) dhe pjesa e dytë e BS 7799-2 u përditësuan.
Për sa i përket certifikimit zyrtar sipas ISO/IEC 17799, ai fillimisht nuk ishte parashikuar (analogji e plotë me BS 7799). U sigurua vetëm certifikimi sipas BS 7799-2, i cili ishte një seri kërkesash të detyrueshme (që nuk përfshihen në BS 7799-1) dhe në shtojcë një listë e kërkesave të detyrueshme me kusht (sipas diskrecionit të certifikuesit) kërkesat më të rëndësishme. i BS 7799-1 (ISO / IEC 17799).
Në CIS, Bjellorusia ishte vendi i parë që miratoi ISO / IEC 17799: 2000 si standard kombëtar në nëntor 2004. Rusia e prezantoi këtë standard vetëm në 2007. Mbi bazën e saj, Banka Qendrore e Federatës Ruse ka krijuar një standard të menaxhimit të sigurisë së informacionit për sektorin bankar të Federatës Ruse.
Si pjesë e ISO/IEC, Nënkomiteti Nr. 27 është përgjegjës për zhvillimin e një familjeje standardesh ndërkombëtare për menaxhimin e sigurisë së informacionit, prandaj një skemë numërimi për këtë familje standardesh u miratua duke përdorur një seri numrash sekuencialë, duke filluar me 27000 (27k ).
Në vitin 2005, Nënkomiteti SC 27 "Teknikat e Sigurisë së IT" të JTC 1 "IT" ISO / IEC zhvilloi standardin e certifikimit ISO / IEC 27001 "IT. Metodat e mbrojtjes. ISMS. Kërkesat ”, i cili zëvendësoi BS 7799-2, dhe tani certifikimi kryhet sipas ISO 27001.
Në vitin 2005, bazuar në ISO / IEC 17799: 2000, ISO / IEC 27002: 2005 “IT. Metodat e mbrojtjes. Kodi i normave dhe rregullave për menaxhimin e sigurisë së informacionit”.
Në fillim të vitit 2006, standardi i ri kombëtar britanik BS 7799-3 “ISMS. IS Risk Management Guide ", i cili në vitin 2008 mori statusin e standardit ndërkombëtar ISO / IEC 27005" IT. Metodat e mbrojtjes. Menaxhimi i rrezikut të sigurisë së informacionit”.
Në vitin 2004, Instituti Britanik i Standardeve publikoi ISO / IEC TR 18044 “IT. Metodat e mbrojtjes. Menaxhimi i incidenteve të sigurisë së informacionit". Në vitin 2011, mbi bazën e tij, standardi ISO/IEC 27035 “IT. Metodat e mbrojtjes. Menaxhimi i incidenteve të sigurisë së informacionit".
Në vitin 2009, standardi ISO / IEC 27000 “IT. ISMS. Vështrim i përgjithshëm dhe terminologjia ". Ai ofron një pasqyrë të sistemeve të menaxhimit të sigurisë së informacionit dhe përcakton termat përkatës. Një fjalor i përkufizimeve formale të formuluara me kujdes mbulon shumicën e termave të specializuar të sigurisë së informacionit të përdorura në standardet e grupit ISO/IEC 27.
Më 25 shtator 2013, u publikuan versionet e reja të ISO / IEC 27001 dhe 27002. Që tani e tutje, seria ISO / IEC 27k (menaxhimi i sigurisë së informacionit) është plotësisht e integruar me standardet e serisë ISO / IEC 20k (menaxhimi i shërbimit IT). E gjithë terminologjia nga ISO / IEC 27001 është zhvendosur në ISO / IEC 27000, e cila përcakton një kornizë të përbashkët terminologjike për të gjithë familjen e standardeve ISO / IEC 27k.
1.2. Standardi ISO / IEC 27000-2014
Përditësimi më i fundit i ISO / IEC 27000 “IT. ISMS. Pasqyra e përgjithshme dhe terminologjia ”u zhvillua më 14 janar 2014.
Standardi përbëhet nga seksionet e mëposhtme:
- Prezantimi;
- fushëveprimi i aplikimit;
- Termat dhe përkufizimet;
- Sistemet e menaxhimit të IS;
- familja e standardeve ISMS.
Prezantimi
Vështrim i përgjithshëm
Standardet Ndërkombëtare të Sistemit të Menaxhimit ofrojnë një model për krijimin dhe funksionimin e një sistemi menaxhimi. Ky model përfshin funksione për të cilat ekspertët kanë rënë dakord mbi bazën e përvojës ndërkombëtare në këtë fushë.
Duke përdorur familjen e standardeve ISMS, organizatat mund të zbatojnë dhe përmirësojnë ISMS dhe të përgatiten për vlerësime të pavarura që përdoren për të mbrojtur informacione të tilla si informacioni financiar, pronësia intelektuale, informacioni i personelit dhe informacioni i besuar klientëve ose një pale të tretë. Këto standarde mund të përdoren nga një organizatë për të përgatitur një vlerësim të pavarur të sistemit të saj të menaxhimit të sigurisë së informacionit (ISMS).
Familja e standardeve ISMS
Një familje standardesh ISMS, e njohur kolektivisht si "Teknologjia e informacionit. Teknikat e Sigurisë” ka për qëllim të ndihmojë organizatat e të gjitha llojeve dhe madhësive në zbatimin dhe funksionimin e një ISMS dhe përbëhet nga standardet ndërkombëtare të mëposhtme:
- ISO / IEC 27000 ISMS. Vështrim i përgjithshëm dhe terminologji;
- ISO / IEC 27001 ISMS. Kërkesat;
- Kodi i praktikës ISO/IEC 27002 për menaxhimin e sigurisë së informacionit;
- ISO / IEC 27003 ISMS Udhëzues Implementimi;
- ISO / IEC 27004 UIB. Matjet;
- ISO / IEC 27005 Menaxhimi i rrezikut të sigurisë së informacionit;
- Kërkesat ISO/IEC 27006 për organet që ofrojnë auditim dhe certifikim të një ISMS;
- Udhëzimet ISO/IEC 27007 për kryerjen e një auditimi ISMS;
- ISO / IEC TR 27008 Udhëzues për auditimin e kontrolleve të sigurisë së informacionit;
- ISO / IEC 27010 ISB për komunikimet ndërsektoriale dhe ndër-organizative;
- ISO / IEC 27011 Udhëzues për ISB për organizatat e telekomunikacionit bazuar në ISO / IEC 27002;
- Udhëzimet ISO / IEC 27013 për zbatimin e integruar të ISO / IEC 27001 dhe ISO / IEC 20000-1;
- ISO / IEC 27014 Menaxhimi i IS nga menaxhmenti i lartë;
- ISO / IEC TR 27015 Udhëzimet ISB për Shërbimet Financiare;
- ISO / IEC TR 27016 UIB. Ekonomia organizative;
- ISO / IEC 27035 Menaxhimi i incidenteve të sigurisë së informacionit (nuk specifikohet në standard).
Standardet ndërkombëtare që nuk kanë këtë emër të përbashkët:
- ISO 27799 Informatikë Shëndetësore. EIB sipas ISO / IEC 27002.
Qëllimi i standardit
Standardi ofron një pasqyrë të ISMS dhe përcakton kushtet përkatëse.
Familja e standardeve ISMS përmban standarde që:
- të përcaktojë kërkesat për ISMS dhe certifikimin e sistemeve të tilla;
- përfshijnë udhëzimet e industrisë për një ISMS;
- mbikëqyrë kryerjen e vlerësimit të konformitetit të ISMS.
1. Fusha e zbatimit
Standardi ofron një pasqyrë të ISMS-së dhe termave dhe përkufizimeve që përdoren gjerësisht në familjen e standardeve ISMS. Standardi është i zbatueshëm për të gjitha llojet dhe madhësitë e organizatave (për shembull, ndërmarrjet tregtare, agjencitë qeveritare, organizatat jofitimprurëse).
2. Termat dhe përkufizimet
Ky seksion përmban përkufizime të 89 termave, për shembull:
– Sistemi i informacionit- aplikacionet, shërbimet, asetet e TI-së dhe komponentët e tjerë të përpunimit të informacionit;
– siguria e informacionit (IS)- ruajtja e konfidencialitetit, integritetit dhe disponueshmërisë së informacionit;
– disponueshmëria- prona të jetë e disponueshme dhe e gatshme për përdorim me kërkesë të një personi të autorizuar;
– konfidencialiteti- prona e informacionit të jetë e paarritshme ose e mbyllur për personat e paautorizuar;
– integriteti- vetia e saktësisë dhe plotësisë;
– mospranimi- aftësia për të vërtetuar ndodhjen e një ngjarjeje ose veprimi dhe krijuesit e saj;
– Ngjarja IB- gjendjen e identifikuar të sistemit (shërbimit ose rrjetit), që tregon një shkelje të mundshme të politikës ose masave të IS, ose një situatë të panjohur më parë që mund të lidhet me sigurinë;
– incidenti i sigurisë së informacionit- një ose më shumë ngjarje të sigurisë së informacionit që, me një shkallë të konsiderueshme probabiliteti, çojnë në kompromis të operacioneve të biznesit dhe krijojnë kërcënime për sigurinë e informacionit;
– menaxhimi i incidentitIB- proceset e zbulimit, njoftimit, vlerësimit, reagimit, shqyrtimit dhe studimit të incidenteve të sigurisë së informacionit;
– sistemi I kontrollit- një grup elementesh të ndërlidhura të një organizate për të vendosur politika, qëllime dhe procese për arritjen e këtyre qëllimeve;
– monitorimi- përcaktimi i statusit të një sistemi, procesi ose veprimi;
– politikë- synimi dhe drejtimi i përgjithshëm, i shprehur zyrtarisht nga menaxhmenti;
– rreziku- efekti i pasigurisë në qëllime;
– një kërcënim- shkaku i mundshëm i një incidenti të padëshiruar që mund të shkaktojë dëme;
– cenueshmëria- mungesa e një aseti ose mase sigurie që mund të shfrytëzohet nga një ose më shumë kërcënime.
3. Sistemet e menaxhimit të sigurisë së informacionit
Seksioni "ISMS" përbëhet nga pikat kryesore të mëposhtme:
- përshkrimi i ISMS;
- zbatimin, kontrollin, mirëmbajtjen dhe përmirësimin e ISMS;
- avantazhet e futjes së standardeve të familjes ISMS.
3.1. Prezantimi
Organizata të të gjitha llojeve dhe madhësive:
- mbledhin, përpunojnë, ruajnë dhe transmetojnë informacion;
- të kuptojnë se informacioni dhe proceset, sistemet, rrjetet dhe njerëzit e lidhur me to janë asete thelbësore për arritjen e objektivave të organizatës;
- përballen me një sërë rreziqesh që mund të ndikojnë në funksionimin e aktiveve;
- eliminimi i rrezikut të perceptuar nëpërmjet zbatimit të masave dhe mjeteve të sigurisë së informacionit.
I gjithë informacioni i ruajtur dhe i përpunuar nga një organizatë është subjekt i kërcënimeve të sulmit, gabimit, natyrës (për shembull, zjarri ose përmbytje), etj., dhe është subjekt i dobësive të qenësishme në përdorimin e tij.
Në mënyrë tipike, koncepti i sigurisë së informacionit bazohet në informacionin që konsiderohet si një aktiv i vlefshëm dhe kërkon mbrojtjen e duhur (për shembull, nga humbja e disponueshmërisë, konfidencialitetit dhe integritetit). Aftësia për të marrë informacion të saktë dhe të plotë nga individë të autorizuar në kohën e duhur është një katalizator për efikasitetin e biznesit.
Mbrojtja efektive e aseteve të informacionit duke përcaktuar, krijuar, ruajtur dhe përmirësuar sigurinë e informacionit është një parakusht që organizata të arrijë qëllimet e saj, si dhe të ruajë dhe përmirësojë përputhshmërinë ligjore dhe reputacionin. Këto veprime të koordinuara për të zbatuar masat mbrojtëse të përshtatshme dhe për të trajtuar rreziqet e papranueshme të sigurisë së informacionit njihen zakonisht si kontrolle të sigurisë së informacionit.
Ndërsa rreziqet e sigurisë së informacionit evoluojnë dhe efektiviteti i masave mbrojtëse, në varësi të rrethanave në ndryshim, organizata duhet:
- monitoron dhe vlerëson efektivitetin e masave dhe procedurave mbrojtëse të zbatuara;
- identifikojnë rreziqet e shfaqura për përpunim;
- të zgjedhë, zbatojë dhe përmirësojë masat e duhura të mbrojtjes sipas nevojës.
Për ndërlidhjen dhe koordinimin e veprimeve të sigurisë së informacionit, çdo organizatë duhet të formulojë një politikë dhe qëllime të sigurisë së informacionit dhe t'i arrijë këto qëllime në mënyrë efektive duke përdorur një sistem menaxhimi.
3.2. Përshkrimi i ISMS
Përshkrimi i ISMS përfshin komponentët e mëposhtëm:
- dispozitat dhe parimet;
- informacion;
- Siguria e Informacionit;
- menaxhimi;
- sistemi I kontrollit;
- qasja e procesit;
- rëndësia e ISMS.
Rregulloret dhe parimet
Një ISMS përbëhet nga politika, procedura, udhëzime dhe burime dhe veprime përkatëse të menaxhuara kolektivisht nga një organizatë për të arritur mbrojtjen e aseteve të saj të informacionit. ISMS përcakton një qasje sistematike për krijimin, zbatimin, përpunimin, kontrollin, rishikimin, mirëmbajtjen dhe përmirësimin e sigurisë së informacionit të një organizate me qëllim arritjen e qëllimeve të biznesit.
Ai bazohet në një vlerësim të rrezikut të organizatës dhe niveleve të pranueshme të rrezikut, i projektuar për të trajtuar dhe menaxhuar në mënyrë efektive rrezikun. Analizimi i kërkesave të sigurisë për asetet e informacionit dhe aplikimi i masave të duhura mbrojtëse për të siguruar që këto asete mbrohen sipas nevojës, do të kontribuojë në zbatimin e suksesshëm të një ISMS.
Parimet themelore të mëposhtme kontribuojnë në zbatimin e suksesshëm të një ISMS:
- të kuptuarit e nevojës për një sistem sigurie informacioni;
- caktimi i përgjegjësisë për sigurinë e informacionit;
- konsolidimi i detyrimeve të menaxhmentit dhe interesave të palëve të interesuara;
- rritja e vlerave sociale;
- vlerësimet e rrezikut që përcaktojnë masat e duhura mbrojtëse për të arritur nivele të pranueshme të rrezikut;
- siguria si element integral i IS dhe rrjeteve;
- parandalimi dhe zbulimi aktiv i incidenteve të sigurisë së informacionit;
- sigurimi i një qasjeje të integruar ndaj BEI-së;
- Rivlerësimi i vazhdueshëm dhe përmirësimi përkatës i sigurisë së informacionit.
Informacion
Informacioni është një aset që, së bashku me asetet e tjera të rëndësishme të biznesit, është i rëndësishëm për biznesin e organizatës dhe për këtë arsye duhet të mbrohet në mënyrë adekuate. Informacioni mund të ruhet në forma të ndryshme, duke përfshirë të tilla si forma dixhitale (për shembull, skedarët e të dhënave të ruajtura në media elektronike ose optike), formë e prekshme (për shembull, në letër), si dhe formë e paprekshme në formën e njohurive të punonjësve.
Informacioni mund të transmetohet në mënyra të ndryshme, duke përfshirë komunikimin korrier, elektronik ose zanor. Pavarësisht nga forma në të cilën paraqitet informacioni dhe si transmetohet, ai duhet të mbrohet siç duhet.
Në shumë organizata, informacioni varet nga teknologjia e informacionit dhe komunikimit. Kjo teknologji është një element thelbësor në çdo organizatë dhe lehtëson krijimin, përpunimin, ruajtjen, transmetimin, mbrojtjen dhe shkatërrimin e informacionit.
Siguria e Informacionit
Siguria e informacionit përfshin tre dimensione kryesore (veti): konfidencialitetin, disponueshmërinë dhe integritetin. Siguria e informacionit parashikon aplikimin dhe menaxhimin e masave të duhura të sigurisë, të cilat përfshijnë shqyrtimin e një game të gjerë kërcënimesh, në mënyrë që të sigurohet suksesi afatgjatë dhe vazhdimësia e biznesit dhe të minimizohet ndikimi i incidenteve të sigurisë së informacionit.
Siguria e informacionit arrihet duke aplikuar një grup të duhur masash sigurie, të përcaktuara përmes një procesi të menaxhimit të rrezikut dhe të menaxhuara duke përdorur një ISMS, duke përfshirë politikat, proceset, procedurat, strukturat organizative, softuerin dhe harduerin, për të mbrojtur asetet e identifikuara të informacionit.
Këto masa mbrojtëse duhet të identifikohen, zbatohen, monitorohen, testohen dhe, nëse është e nevojshme, të përmirësohen për të siguruar që niveli i sigurisë së informacionit të jetë në përputhje me objektivat e biznesit të organizatës. Masat dhe mjetet përkatëse të sigurisë së informacionit duhet të integrohen organikisht në proceset e biznesit të organizatës.
Kontrolli
Qeverisja përfshin veprime për të drejtuar, kontrolluar dhe përmirësuar vazhdimisht një organizatë brenda strukturave të përshtatshme. Aktivitetet e menaxhimit përfshijnë veprime, metoda ose praktika të formësimit, përpunimit, drejtimit, vëzhgimit dhe kontrollit të burimeve. Madhësia e strukturës së menaxhimit mund të ndryshojë nga një person në organizata të vogla në hierarkinë e menaxhimit në organizatat e mëdha me shumë njerëz.
Në lidhje me një ISMS, menaxhimi përfshin mbikëqyrjen dhe marrjen e vendimeve të nevojshme për të arritur objektivat e biznesit duke mbrojtur asetet e informacionit. Menaxhimi i sigurisë së informacionit shprehet përmes formulimit dhe përdorimit të politikave, procedurave dhe rekomandimeve të sigurisë së informacionit, të cilat më pas zbatohen në të gjithë organizatën nga të gjithë personat e lidhur me të.
Sistemi I kontrollit
Sistemi i menaxhimit përdor një grup burimesh për të arritur qëllimet e organizatës. Sistemi i menaxhimit të një organizate përfshin strukturën, politikat, planifikimin, angazhimet, metodat, procedurat, proceset dhe burimet.
Për sa i përket sigurisë së informacionit, sistemi i menaxhimit lejon një organizatë të:
- plotësojnë kërkesat e sigurisë së klientëve dhe palëve të tjera të interesuara;
- të përmirësojë planet dhe aktivitetet e organizatës;
- përputhet me objektivat e sigurisë së informacionit të organizatës;
- në përputhje me rregulloret, legjislacionin dhe urdhrat e industrisë;
- të menaxhojë asetet e informacionit në mënyrë të organizuar për të lehtësuar përmirësimin dhe rregullimin e vazhdueshëm të qëllimeve aktuale të organizatës.
3.3. Qasja e procesit
Një organizatë duhet të kryejë dhe menaxhojë aktivitete të ndryshme në mënyrë që të funksionojë në mënyrë efektive dhe efikase. Çdo aktivitet që përdor burime duhet të menaxhohet në mënyrë që të jetë në gjendje të transformojë inputet në outpute përmes një grupi aktivitetesh të ndërlidhura - ky quhet gjithashtu një proces.
Prodhimi i një procesi mund të formojë drejtpërdrejt hyrjen e procesit tjetër, dhe zakonisht ky transformim ndodh në një mjedis të planifikuar dhe të kontrolluar. Aplikimi i një sistemi procesesh brenda një organizate, së bashku me identifikimin dhe ndërveprimin e këtyre proceseve dhe menaxhimin e tyre, mund të quhet "qasja e procesit".
informacion shtese (nuk përfshihet në standard)
Shkencëtari amerikan Walter Shewhart konsiderohet të jetë themeluesi i qasjes së procesit ndaj menaxhimit të cilësisë. Libri i tij fillon duke nënvizuar 3 faza në menaxhimi i cilësisë së performancës së organizatës:
1) zhvillimi i specifikimeve (kushtet e referencës, kushtet teknike, kriteret për arritjen e qëllimeve) të asaj që kërkohet;
2) prodhimi i produkteve që plotësojnë specifikimet;
3) verifikimi (kontrolli) i produkteve të prodhuara për të vlerësuar përputhshmërinë e tyre me specifikimet.
Shewhart ishte një nga të parët që sugjeroi që perceptimi linear i këtyre fazave të mbyllej në një cikël, të cilin ai e identifikoi me "procesin dinamik të përvetësimit të njohurive".
Pas ciklit të parë, rezultatet e kontrollit duhet të përbëjnë bazën për përmirësimin e specifikimit të produktit. Më tej, procesi i prodhimit rregullohet në bazë të specifikimit të rishikuar, dhe rezultati i ri i procesit të prodhimit kontrollohet përsëri, etj.
Shkencëtari amerikan Edwards Deming e transformoi ciklin Shewhart në formën që shihet më së shpeshti sot. Për të kaluar nga kontrolli i cilësisë në menaxhimin e cilësisë, ai i dha emra më të përgjithshëm secilës prej fazave dhe, përveç kësaj, shtoi edhe një fazë tjetër, të katërt, me ndihmën e së cilës ai donte të tërhiqte vëmendjen e menaxherëve amerikanë në Fakti që ata nuk e kanë analizuar mjaftueshëm atë të marrë, hapi i tretë është informacion dhe nuk e përmirëson procesin. Kjo është arsyeja pse kjo fazë quhet "Act", dhe në përputhje me rrethanat cikli Shewhart-Deming quhet modeli "PDCA" ose "PDSA":
– Planifikoni – Planifikimi- identifikimi dhe analiza e problemeve; vlerësimi i mundësive, përcaktimi i qëllimeve dhe zhvillimi i planeve;
– Bëni – Zbatimi- kërkimi i zgjidhjeve të problemeve dhe zbatimi i planeve;
– Kontrollo (Studim) – Vlerësimi i performancës- vlerësimi i rezultateve dhe konkluzioneve të zbatimit në përputhje me detyrën në fjalë;
– Veproni– Përmirësimi- marrjen e vendimeve në bazë të gjetjeve, korrigjimin dhe përmirësimin e punës.
Modeli "PDCA" për ISMS
Planifikimi - Zbatimi - Kontrolli - Përmirësimi
1.Planifikimi (zhvillimi dhe projektimi): Vendosja e objektivave, politikave, kontrolleve, proceseve dhe procedurave për ISMS për të arritur rezultate në përputhje me politikën dhe objektivat e përgjithshme të organizatës.
2... Zbatimi (zbatimi dhe mirëmbajtja): zbatimin dhe aplikimin e politikave, kontrolleve, proceseve dhe procedurave ISMS për vlerësimin dhe trajtimin e rreziqeve dhe incidenteve të IS.
3. Kontrolli (monitorimi dhe analiza e performancës): vlerësimin e efektivitetit të përmbushjes së kërkesave të politikave, objektivave të sigurisë së informacionit dhe efektivitetit të ISMS dhe njoftimin e menaxhimit të lartë për rezultatet.
4. Përmirësimi (mirëmbajtja dhe përmirësimi): ndërmarrja e veprimeve korrigjuese dhe parandaluese bazuar në rezultatet e auditimeve dhe rishikimeve të menaxhmentit për të arritur një përmirësim në ISMS
Metoda dhe cikli Shewhart-Deming, i cili më shpesh quhet cikli Deming, zakonisht ilustrojnë skemën e menaxhimit për çdo proces aktiviteti. Ai, me sqarimet e nevojshme, tashmë është përdorur gjerësisht në standardet ndërkombëtare të menaxhimit:
- cilësia e produktit ISO 9000;
- mbrojtjen e mjedisit ISO 14000;
- siguria dhe shëndeti në punë OHSAS 18000;
- shërbimet e informacionit ISO / IEC 20000;
- siguria ushqimore ISO 22000;
- siguria e informacionit ISO / IEC 27000;
- siguria ISO 28000;
- ISO 22300 vazhdimësia e biznesit;
- rreziqet e ISO 31000;
- energji ISO 50,000.
3.4. Rëndësia e një ISMS
Organizata duhet të identifikojë rreziqet që lidhen me asetet e informacionit. Arritja e sigurisë së informacionit kërkon menaxhimin e rrezikut dhe mbulon rreziqet fizike, njerëzore dhe teknologjike që lidhen me kërcënimet që lidhen me të gjitha format e informacionit brenda organizatës ose të përdorura nga organizata.
Miratimi i një ISMS është një vendim strategjik për një organizatë dhe është thelbësore që zgjidhja të integrohet, vlerësohet dhe përditësohet vazhdimisht sipas nevojave të organizatës.
Dizajni dhe zbatimi i ISMS-së së një organizate ndikohet nga nevojat dhe objektivat e organizatës, kërkesat e sigurisë, proceset e biznesit të përdorura dhe madhësia dhe struktura e organizatës. Dizajni dhe funksionimi i një ISMS duhet të pasqyrojë interesat dhe kërkesat e sigurisë së informacionit të të gjitha palëve të interesuara në organizatë, duke përfshirë klientët, furnitorët, partnerët e biznesit, aksionarët dhe palët e tjera të treta.
Në një botë të ndërlidhur, informacioni dhe proceset, sistemet dhe rrjetet e ndërlidhura përbëjnë asete kritike. Organizatat dhe IP-të dhe rrjetet e tyre përballen me kërcënime sigurie nga një gamë e gjerë burimesh, duke përfshirë mashtrimin kompjuterik, spiunazhin, sabotimin, vandalizmin dhe zjarrin dhe përmbytjet. Dëmtimi i IC-ve dhe sistemeve të shkaktuara nga malware, hakerat dhe sulmet DoS është bërë më i përhapur, i përhapur dhe më i sofistikuar.
Një ISMS është i rëndësishëm si për ndërmarrjet e sektorit publik ashtu edhe për atë privat. Në çdo industri, një ISMS është një mjet i nevojshëm për të mbështetur e-biznesin dhe është thelbësor për aktivitetet e menaxhimit të rrezikut. Ndërlidhja e rrjeteve publike dhe private dhe shkëmbimi i aseteve të informacionit komplikojnë kontrollin dhe përpunimin e aksesit në informacion.
Për më tepër, përhapja e pajisjeve të lëvizshme të ruajtjes që përmbajnë asete informacioni mund të dobësojë efektivitetin e masave tradicionale të sigurisë. Kur organizatat miratojnë një familje standardesh ISMS, aftësia për të aplikuar parime të qëndrueshme dhe të njohura reciprokisht të sigurisë së informacionit mund t'u demonstrohet partnerëve të biznesit dhe palëve të tjera të interesuara.
Siguria e informacionit nuk merret gjithmonë parasysh kur krijohet dhe zhvillohet IS. Përveç kësaj, shpesh besohet se siguria e informacionit është një problem teknik. Megjithatë, siguria e informacionit që mund të arrihet me mjete teknike është e kufizuar dhe mund të jetë joefektive nëse nuk mbështetet nga menaxhmenti dhe procedurat e duhura në kontekstin e ISMS. Futja e një sistemi sigurie në një IC të plotë funksionalisht mund të jetë kompleks dhe i kushtueshëm.
Një ISMS përfshin identifikimin e kontrolleve të disponueshme dhe kërkon planifikim të kujdesshëm dhe vëmendje ndaj detajeve. Për shembull, masat e kontrollit të aksesit, të cilat mund të jenë teknike (logjike), fizike, administrative (menaxheriale) ose një kombinim i tyre, sigurojnë që qasja në asetet e informacionit është e autorizuar dhe e kufizuar bazuar në kërkesat e biznesit dhe të sigurisë së informacionit.
Aplikimi i suksesshëm i një ISMS është i rëndësishëm për mbrojtjen e aseteve të informacionit pasi lejon:
- Rritja e garancive që asetet e informacionit mbrohen në mënyrë adekuate në baza të vazhdueshme nga kërcënimet e IS;
- të mbajë një sistem të strukturuar dhe gjithëpërfshirës për vlerësimin e kërcënimeve të sigurisë së informacionit, përzgjedhjen dhe zbatimin e masave të duhura të mbrojtjes, matjen dhe përmirësimin e efektivitetit të tyre;
- të përmirësojë vazhdimisht mjedisin e menaxhimit të organizatës;
- në mënyrë efektive në përputhje me kërkesat ligjore dhe rregullatore.
3.5. Zbatimi, kontrolli, mirëmbajtja dhe përmirësimi i ISMS
Zbatimi, kontrolli, mirëmbajtja dhe përmirësimi i ISMS janë fazat operacionale të zhvillimit të ISMS.
Fazat operative të ISMS përcaktohen nga komponentët e mëposhtëm:
- dispozitat e përgjithshme;
- Kërkesat e IS;
- faktorët vendimtarë për suksesin e ISMS.
Fazat operative të ISMS ofrojnë aktivitetet e mëposhtme:
- Vlerësimi i rrezikut të IS;
- përpunimi i rreziqeve të sigurisë së informacionit;
- përzgjedhja dhe zbatimi i masave mbrojtëse;
- kontrollin dhe mirëmbajtjen e ISMS;
- përmirësim të vazhdueshëm.
Dispozitat e përgjithshme
Një organizatë duhet të ndërmarrë hapat e mëposhtëm për të zbatuar, kontrolluar, mirëmbajtur dhe përmirësuar ISMS-në e saj:
- përcaktimi i aseteve të informacionit dhe kërkesave të lidhura me SI;
- vlerësimin dhe përpunimin e rreziqeve të sigurisë së informacionit;
- përzgjedhjen dhe zbatimin e masave të përshtatshme mbrojtëse për të menaxhuar rreziqet e papranueshme;
- kontrollin, mirëmbajtjen dhe përmirësimin e efektivitetit të masave mbrojtëse që lidhen me asetet e informacionit të organizatës.
Për të siguruar që ISMS mbron në mënyrë efektive asetet e informacionit të organizatës në mënyrë të vazhdueshme, të gjithë hapat duhet të përsëriten vazhdimisht për të identifikuar ndryshimet në rreziqet ose strategjinë ose objektivat e biznesit të organizatës.
Kërkesat e IS
Brenda strategjisë së përgjithshme dhe objektivave të biznesit të organizatës, madhësisë dhe shpërndarjes gjeografike të saj, kërkesat e sigurisë së informacionit mund të përcaktohen si rezultat i të kuptuarit:
- asetet e informacionit dhe vlerat e tyre;
- nevojat e biznesit për të punuar me informacion;
- kërkesat ligjore, rregullatore dhe kontraktuale.
Kryerja e një vlerësimi metodologjik të rreziqeve që lidhen me asetet e informacionit të organizatës përfshin një analizë të:
- kërcënimet ndaj aseteve;
- dobësitë e aseteve;
- gjasat e materializimit të kërcënimit;
- ndikimi i mundshëm i një incidenti të sigurisë së informacionit në asete.
Kostoja e masave mbrojtëse të përshtatshme duhet të jetë në proporcion me ndikimin e pritshëm të biznesit nga materializimi i rrezikut.
Vlerësimi i rrezikut IS
Menaxhimi i rrezikut të sigurisë së informacionit kërkon një metodë të përshtatshme për vlerësimin dhe trajtimin e rrezikut, e cila mund të përfshijë një vlerësim të kostove dhe përfitimeve, kërkesave ligjore, shqetësimeve të palëve të interesuara dhe të dhëna dhe rezultate të tjera.
Vlerësimet e rrezikut duhet të identifikojnë, masin dhe prioritizojnë rreziqet, duke marrë parasysh kriteret për pranimin e rrezikut dhe objektivat e organizatës. Rezultatet do të ndihmojnë në zhvillimin dhe marrjen e vendimeve të duhura menaxheriale për veprimin dhe prioritizimin e menaxhimit të rrezikut të sigurisë së informacionit dhe zbatimin e masave mbrojtëse të zgjedhura për të mbrojtur kundër këtyre rreziqeve.
Vlerësimi i rrezikut duhet të përfshijë një qasje sistematike për vlerësimin e madhësisë së rreziqeve (analiza e rrezikut) dhe një proces për krahasimin e rreziqeve të vlerësuara me një kriter rreziku për të përcaktuar ashpërsinë e rreziqeve (vlerësimi i rrezikut).
Vlerësimet e rrezikut duhet të kryhen periodikisht për të bërë ndryshime në kërkesat e sigurisë së informacionit dhe situatat e rrezikut, për shembull, në asetet, kërcënimet, dobësitë, ndikimet, vlerësimin e rrezikut dhe në rast të ndryshimeve të rëndësishme. Këto vlerësime të rrezikut duhet të kryhen në mënyrë metodike për të siguruar rezultate të krahasueshme dhe të riprodhueshme.
Vlerësimi i rrezikut të SI duhet të përcaktojë qartë qëllimin për të qenë efektiv dhe të përfshijë ndërveprimet me vlerësimet e rrezikut në fusha të tjera ku është e mundur.
Standardi ISO/IEC 27005 ofron udhëzime për menaxhimin e rrezikut të sigurisë së informacionit, duke përfshirë rekomandime për vlerësimin, përpunimin, pranimin, raportimin, monitorimin dhe analizimin e rrezikut.
Trajtimi i rrezikut të sigurisë së informacionit
Përpara se të shqyrtojë trajtimin e rrezikut, një organizatë duhet të vendosë një kriter për të përcaktuar nëse rreziqet mund të pranohen apo jo. Rreziqet mund të pranohen nëse rreziku është i ulët ose kostoja e përpunimit nuk është me kosto efektive për organizatën. Vendimet e tilla duhet të regjistrohen.
Për çdo rrezik të identifikuar nga vlerësimi i rrezikut, duhet të merret një vendim për trajtimin e tij. Opsionet e mundshme të trajtimit të rrezikut përfshijnë:
- aplikimi i masave mbrojtëse të përshtatshme për të zbutur rreziqet;
- pranimi i vetëdijshëm dhe objektiv i rreziqeve në përputhje të plotë me politikën e organizatës dhe kriterin e pranimit të rrezikut;
- parandalimi i rreziqeve duke eliminuar veprimet që çojnë në shfaqjen e rreziqeve;
- ndarjen e rreziqeve të lidhura me palët e tjera, për shembull, siguruesit ose furnitorët.
Duhet të zgjidhen dhe zbatohen masat mbrojtëse të përshtatshme kundër atyre rreziqeve për të cilat është marrë një vendim për t'i zbatuar ato për trajtimin e rrezikut.
Përzgjedhja dhe zbatimi i masave mbrojtëse
Alexander Astakhov, CISA, 2006
Prezantimi
Ka ardhur koha që shumë kompani ruse të mendojnë për menaxhimin e sigurisë - infrastruktura e TI-së e shumë prej tyre ka arritur një nivel që kërkon koordinim të lyer mirë. Gjatë ndërtimit të një sistemi të menaxhimit të sigurisë (ISMS), ekspertët rekomandojnë të mbështeteni në standardet ndërkombëtare ISO / IEC 27001/17799.
Menaxheri është i detyruar të kontrollojë situatën në organizatën e tij, departamentin, projektin dhe në marrëdhëniet me klientët. Kjo do të thotë të jesh i vetëdijshëm për atë që po ndodh, të dish për të gjitha situatat emergjente në kohën e duhur dhe të imagjinosh se çfarë veprimesh do të duhet të ndërmerren në një rast ose në një tjetër. Ekzistojnë disa nivele të menaxhimit në një organizatë, nga menaxherët e lartë deri tek performuesit specifikë, dhe në çdo nivel situata duhet të mbetet nën kontroll. Me fjalë të tjera, duhet të ndërtohet vertikale e menaxhimit dhe proceset e menaxhimit.
Sistemi i menaxhimit të sigurisë së informacionit - çfarë është ai?
Menaxhimi i sigurisë së informacionit është një proces ciklik, duke përfshirë ndërgjegjësimin për shkallën e nevojës për të mbrojtur informacionin dhe përcaktimin e qëllimeve; mbledhjen dhe analizën e të dhënave për gjendjen e sigurisë së informacionit në organizatë; vlerësimi i rreziqeve të informacionit; planifikimi i masave për trajtimin e rrezikut; zbatimi dhe zbatimi i mekanizmave të duhur të kontrollit, shpërndarja e roleve dhe përgjegjësive, trajnimi dhe motivimi i personelit, puna operative për zbatimin e masave mbrojtëse; monitorimin e funksionimit të mekanizmave të kontrollit, vlerësimin e efektivitetit të tyre dhe veprimet e duhura korrigjuese.
Sipas ISO 27001, një sistem i menaxhimit të sigurisë së informacionit (ISMS) është "ajo pjesë e sistemit të përgjithshëm të menaxhimit të rrezikut të biznesit të një organizate që krijon, zbaton, operon, monitoron, rishikon, ruan dhe përmirëson sigurinë e informacionit". Sistemi i menaxhimit përfshin strukturën organizative, politikat, planifikimin, përgjegjësitë e punës, praktikat, procedurat, proceset dhe burimet.
Ndërtimi dhe funksionimi i një ISMS kërkon të njëjtën qasje si çdo sistem tjetër menaxhimi. Modeli i procesit i përdorur në ISO 27001 për të përshkruar ISMS parashikon një cikël të vazhdueshëm aktivitetesh: planifikim, zbatim, verifikim, veprim (PDAP).
Aplikimi i modelit PDAP në proceset ISMS
Përmirësimi i vazhdueshëm zakonisht kërkon një investim fillestar: dokumentimin e aktiviteteve, formalizimin e një qasjeje të menaxhimit të rrezikut, përcaktimin e metodave të analizës dhe angazhimin e burimeve. Këto masa përdoren për të vënë në lëvizje ciklin. Ato nuk duhet të plotësohen përpara se të aktivizohen fazat e rishikimit.
Në fazën e planifikimit, sigurohet vendosja e saktë e kontekstit dhe shkallës së ISMS, vlerësohen rreziqet e sigurisë së informacionit dhe propozohet një plan i përshtatshëm për trajtimin e këtyre rreziqeve. Nga ana tjetër, në fazën e zbatimit, zbatohen vendimet e miratuara, të cilat janë përcaktuar në fazën e planifikimit. Gjatë fazave të verifikimit dhe veprimit, ato përforcojnë, korrigjojnë dhe përmirësojnë zgjidhjet e sigurisë që tashmë janë identifikuar dhe zbatuar.
Kontrollet mund të kryhen në çdo kohë dhe me çdo frekuencë, në varësi të situatës specifike. Në disa sisteme, ato duhet të ndërtohen në procese të automatizuara në mënyrë që të sigurohet ekzekutimi dhe reagimi i menjëhershëm. Për proceset e tjera, një përgjigje kërkohet vetëm në rast incidentesh sigurie, kur janë bërë ndryshime ose shtesa në burimet e mbrojtura të informacionit, si dhe kur kërcënimet dhe dobësitë kanë ndryshuar. Kontrollet ose auditimet vjetore ose të tjera periodike janë të nevojshme për të siguruar që sistemi i menaxhimit në tërësi i arrin objektivat e tij.
Një nga opsionet për strukturën organizative të ISMS
Menaxhmenti i organizatës nxjerr një politikë sigurie që prezanton konceptin e një ISMS dhe shpall objektivat e tij kryesore: menaxhimin e vazhdimësisë së biznesit dhe menaxhimin e sigurisë. Në krye të ISMS është Drejtori i IS, i cili drejton Komitetin Drejtues të IS - një organ kolegjial i krijuar për të zgjidhur çështjet strategjike që lidhen me IS. Drejtori i IS është përgjegjës për të gjitha proceset e menaxhimit të sigurisë së informacionit, duke përfshirë: menaxhimin e incidenteve dhe monitorimin e sigurisë, menaxhimin e ndryshimeve dhe kontrollin e sigurisë, infrastrukturën e sigurisë (politikat, standardet, udhëzimet, procedurat, planet dhe programet), menaxhimin e rrezikut, kontrollin e pajtueshmërisë, trajnimin ( program për rritjen e ndërgjegjësimit).
Krijimi i një strukture të tillë qeverisëse është qëllimi i zbatimit të ISO 27001/17799 në një organizatë. Një nga parimet kryesore këtu është "angazhimi i lidershipit". Kjo do të thotë se një strukturë e tillë mund të krijohet vetëm nga menaxhmenti i kompanisë, i cili shpërndan pozicionet, përgjegjësitë dhe monitoron kryerjen e detyrave. Me fjalë të tjera, menaxhmenti i organizatës ndërton një vertikale të përshtatshme të fuqisë, ose më mirë modifikon atë ekzistuese për të përmbushur nevojat e sigurisë së organizatës. ISMS mund të krijohet vetëm nga lart poshtë.
Një tjetër parim themelor është përfshirja në procesin e sigurimit të sigurisë së informacionit të të gjithë punonjësve të organizatës që merren me burimet e informacionit - "nga drejtori te pastruesi". Mungesa e ndërgjegjësimit të njerëzve të veçantë që punojnë me informacionin, mungesa e një programi trajnimi për sigurinë e informacionit është një nga arsyet kryesore për mosfunksionimin e sistemeve specifike të kontrollit.
Është po aq e rëndësishme që çdo planifikim i masave të sigurisë së informacionit duhet të bazohet në vlerësimin e rrezikut. Mungesa e proceseve të menaxhimit të rrezikut në organizatë çon në pamjaftueshmëri të vendimeve dhe kosto të pajustifikuara. Me fjalë të tjera, vlerësimi i rrezikut është baza mbi të cilën mbështetet një pemë e dobët ISMS.
Po aq thelbësore është “bëje vetë implementimi dhe mirëmbajtja e një ISMS”. Përfshirja e konsulentëve të jashtëm në të gjitha fazat e zbatimit, funksionimit dhe përmirësimit të ISMS është në shumë raste mjaft e justifikuar. Për më tepër, është një nga mekanizmat e kontrollit të përshkruar në ISO 17799. Megjithatë, krijimi i një ISMS nga duart e konsulentëve të jashtëm është i pamundur me përkufizim, pasi ISMS është një grup strukturash organizative të formuara nga drejtimi i një organizate dhe proceseve të zbatuara nga punonjësit e saj, të cilët janë të vetëdijshëm për përgjegjësitë e tyre dhe të trajnuar në aftësitë e trajtimit të informacionit dhe mbrojtjen e tij. Një ISMS kushton shumë para, por asnjë sasi parash nuk mund të blejë përvojë dhe njohuri.
Të vërtetohet apo jo?
Për të konfirmuar përputhshmërinë e ISMS që ekziston në organizatë me kërkesat e standardit, si dhe përshtatshmërinë e tij me rreziqet ekzistuese të biznesit, përdoret një procedurë certifikimi vullnetar. Ndërsa ju mund të bëni pa të, në shumicën e rasteve certifikimi justifikon plotësisht investimin dhe kohën.
Së pari, regjistrimi zyrtar i ISMS-së së organizatës me një regjistër organesh me reputacion si Shërbimi i Akreditimit në Mbretërinë e Bashkuar (UKAS), i cili forcon imazhin e kompanisë, rrit interesin nga klientët, investitorët, huadhënësit dhe sponsorët e mundshëm.
Së dyti, si rezultat i certifikimit të suksesshëm, fushëveprimi i kompanisë po zgjerohet për shkak të mundësisë për të marrë pjesë në tenderë dhe zhvillimin e biznesit në nivel ndërkombëtar. Në fushat më të ndjeshme ndaj nivelit të sigurisë së informacionit, të tilla si financat, për shembull, disponueshmëria e certifikatës së konformitetit ISO 27001 fillon të veprojë si një kërkesë e detyrueshme për zbatimin e aktiviteteve. Disa kompani ruse tashmë po përballen me këto kufizime.
Është gjithashtu shumë e rëndësishme që procedura e certifikimit të ketë një efekt serioz motivues dhe mobilizues për personelin e kompanisë: rritet niveli i ndërgjegjësimit të punonjësve, evidentohen dhe eliminohen në mënyrë më efikase mangësitë dhe mospërputhjet në sistemin e menaxhimit të sigurisë së informacionit, gjë që do të thotë në terma afatgjatë. për organizatën një ulje të dëmit mesatar statistikor nga incidentet e sigurisë, si dhe uljen e kostove të përgjithshme për funksionimin e sistemeve të informacionit. Është mjaft e mundur që prania e një certifikate do t'i lejojë organizatës të sigurojë rreziqet e informacionit me kushte më të favorshme.
Siç tregon praktika aktuale, kostot e certifikimit BS7799 janë në shumicën e rasteve pakrahasueshëm të vogla në krahasim me kostot e një organizate për sigurinë e informacionit, dhe përfitimet janë shumëfish.
Duhet theksuar se organizata i merr të gjitha avantazhet e listuara vetëm nëse është një sistem certifikimi me njohje ndërkombëtare, brenda të cilit sigurohet cilësia e duhur e punës dhe besueshmëria e rezultateve.
Përgatitja për certifikim
Përgatitja e një organizate për certifikim sipas ISO 27001 është një proces mjaft i gjatë dhe i mundimshëm. Në përgjithësi, ai përfshin gjashtë hapa vijues që kryhen nga organizata, zakonisht me ndihmën e konsulentëve të jashtëm.
Në fazën e parë, kryhet një auditim paraprak i ISMS, gjatë të cilit vlerësohet gjendja aktuale, bëhet një inventar dhe dokumentacion i të gjithë përbërësve kryesorë të ISMS, përcaktohet qëllimi dhe qëllimi i certifikimit dhe një numër kryhen veprimet e nevojshme përgatitore. Bazuar në rezultatet e auditimit, është zhvilluar një plan veprimi i detajuar për t'u përgatitur për certifikim.
Në fazën e dytë, kryhet një vlerësim i rrezikut të informacionit, qëllimi kryesor i të cilit është të përcaktojë zbatueshmërinë e mekanizmave të kontrollit të përshkruar në standard në këtë organizatë të veçantë, të përgatisë një deklaratë zbatueshmërie dhe një plan të trajtimit të rrezikut.
Në fazën e tretë, bëhet një analizë e mospërputhjeve me kërkesat e standardit, si rezultat i së cilës vlerësohet gjendja aktuale e kontrolleve në organizatë dhe identifikohen mospërputhjet me deklaratën e zbatueshmërisë.
Në fazat vijuese, kryhet planifikimi dhe zbatimi i mekanizmave të kontrollit që mungojnë, për secilën prej të cilave zhvillohet një strategji dhe plan zbatimi. Puna për zbatimin e mekanizmave të kontrollit përfshin tre komponentë kryesorë: trajnimin e punonjësve të organizatës: edukim, trajnim, ndërgjegjësim; përgatitja e dokumentacionit ISMS: politikat, standardet, procedurat, rregulloret, udhëzimet, planet; përgatitja e dëshmive të funksionimit të ISMS: raporte, protokolle, urdhra, regjistra, regjistra të ngjarjeve, etj.
Në fazën përfundimtare, kryhet përgatitja për auditimin e certifikimit: analizohet gjendja e ISMS, vlerësohet shkalla e gatishmërisë së tij për certifikim, specifikohet qëllimi dhe kufijtë e certifikimit dhe zhvillohen negociata të përshtatshme me auditorët e organizmi certifikues. Udhëzime të hollësishme për ngritjen e një ISMS dhe përgatitjen për certifikim përmbahen në serinë BSI BIP 0071-0073 të dokumenteve udhëzuese.
Pikat e ngjitjes
Ka shumë pengesa në zbatimin e një ISMS. Disa prej tyre lidhen me shkeljen e parimeve themelore të menaxhimit të sigurisë të përshkruara më sipër. Vështirësitë serioze për organizatat ruse qëndrojnë në fushën legjislative. Paplotësia dhe mospërputhja e legjislacionit aktual rus, natyra e tij ndaluese në përdorimin e kriptografisë dhe në shumë fusha të tjera, si dhe sistemi i parregulluar i certifikimit të mjeteve të sigurisë së informacionit e ndërlikon seriozisht përmbushjen e një prej kërkesave kryesore të standardit - pajtueshmërinë me legjislacionin aktual.
Konfuzioni shpesh buron nga përkufizimi i gabuar i fushëveprimit dhe kufijve të ISMS. Një interpretim shumë i gjerë i fushës së ISMS, për shembull, përfshirja e të gjitha proceseve të biznesit të organizatës në këtë fushë, zvogëlon ndjeshëm mundësinë e përfundimit të suksesshëm të projektit për zbatimin dhe certifikimin e ISMS.
Është po aq e rëndësishme që të kemi një kuptim të mirë se ku shtrihen kufijtë ISMS dhe se si ai lidhet me sistemet dhe proceset e tjera të menaxhimit në organizatë. Për shembull, sistemi i menaxhimit të sigurisë së informacionit dhe sistemi i menaxhimit të vazhdimësisë së biznesit (BCM) i një organizate mbivendosen ngushtë. Kjo e fundit është një nga 11 fushat e kontrollit të sigurisë së informacionit të përcaktuara nga standardi. Sidoqoftë, ISMS përfshin vetëm atë pjesë të BCM që lidhet me sigurinë e informacionit - është mbrojtja e proceseve kritike të biznesit të organizatës nga dështimet dhe aksidentet e mëdha të sistemeve të informacionit. Aspekte të tjera të BCM shkojnë përtej ISMS.
Standard - një garanci sigurie
Sot, organizimi i punës së një kompanie serioze dhe efektive që pretendon zhvillim të suksesshëm bazohet domosdoshmërisht në teknologjitë moderne të informacionit. Prandaj, kompanitë e çdo madhësie duhet t'i kushtojnë vëmendje standardeve të menaxhimit të sigurisë së informacionit. Si rregull, sa më e madhe të jetë kompania, aq më e gjerë është shkalla e aktiviteteve dhe pretendimeve të saj për zhvillim, dhe, si pasojë, sa më e lartë të jetë varësia e saj nga teknologjitë e informacionit, aq më aktuale janë çështjet e menaxhimit të sigurisë së informacionit.
Përdorimi i standardeve ndërkombëtare për menaxhimin e sigurisë së informacionit ISO 27001/17799 bën të mundur thjeshtimin e ndjeshëm të krijimit, funksionimit dhe zhvillimit të një ISMS. Kërkesat rregullatore dhe kushtet e tregut i detyrojnë organizatat të zbatojnë standardet ndërkombëtare gjatë zhvillimit të planeve dhe politikave të sigurisë së informacionit dhe të demonstrojnë angazhimin e tyre përmes kryerjes së auditimeve dhe certifikimeve të sigurisë së informacionit. Pajtueshmëria me kërkesat e standardit siguron garanci të caktuara që një organizatë ka një nivel bazë të sigurisë së informacionit, gjë që ka një ndikim pozitiv në imazhin e kompanisë.
SISTEMI I ÇERTIFIKIMIT VULLNETAR
"KOMUNIKIMI - EFIÇENCA"
ROSS RU.M821.04FBG0
Sistemi i menaxhimit të sigurisë së informacionit "Niveli bazë i sigurisë së informacionit të operatorëve të telekomit"
Kërkesat, programi dhe metoda e testeve të certifikimit
1 Hyrje 1
2 Fusha 2
4.2 Kërkesat për politikat e operatorit 5
4.3 Kërkesat për funksionalitet 6
4.4. Kërkesat për ndërveprim 7
5 Programi i testimit të certifikimit 7
5.1. Pika e provës 7
5.2. Objektivi i testit 7
6 Metodologjia për kryerjen e testeve të certifikimit 8
6.1. Kushtet e provës 8
6.2. Metoda e testimit 9
1. Hyrje
Kërkesat për Sistemin e Menaxhimit të Sigurisë së Informacionit "Niveli bazë i sigurisë së informacionit të operatorëve të telekomit" (në tekstin e mëtejmë "Kërkesat") përcaktojnë nivelin bazë të sigurisë së informacionit, duke përdorur të cilin secili operator mund të vlerësojë gjendjen e rrjetit dhe sigurisë së informacionit, duke marrë parasysh cilat standarde sigurie janë të rëndësishme, cilat nga këto standarde duhet të përdoren, kur duhet të përdoren dhe si duhet të zbatohen. Ai gjithashtu përshkruan gatishmërinë dhe aftësinë e operatorit për të ndërvepruar me transportues të tjerë, përdoruesit dhe agjencitë e zbatimit të ligjit për të luftuar së bashku sigurinë e informacionit kërcënimet.
Kërkesat përfaqësojnë një grup minimal rekomandimesh, zbatimi i të cilave do të garantojë një nivel të mjaftueshëm të sigurisë së informacionit të shërbimeve të komunikimit, duke siguruar njëkohësisht një balancë të interesave të operatorëve, përdoruesve dhe rregullatorit.
Programi dhe metodologjia përcaktojnë të gjitha llojet, kushtet, shtrirjen dhe metodat e testeve të certifikimit të nivelit bazë të sigurisë së informacionit të operatorëve të telekomit.
Ky dokument mund të përdoret në rastet kur operatori i telekomit:
duhet të demonstrojë aftësinë e tij për të ofruar shërbime komunikimi që plotësojnë kërkesat e përcaktuara;
synon t'u tregojë operatorëve të telekomit që ndërveprojnë aftësinë dhe gatishmërinë, së bashku me ta, për t'i rezistuar kërcënimeve ndaj sigurisë së informacionit.
2 Fushëveprimi
Këto Kërkesa, programi dhe metodologjia janë zhvilluar në përputhje me Rregulloret për Sistemin e Çertifikimit Vullnetar "Komunikimi - Efikasiteti" bazuar në Rekomandimin e Sektorit të Standardizimit të Unionit Ndërkombëtar të Telekomunikacionit (ITU-T), Seria X, Shtojca 2, "Seria X". 800-X849 ITU-T - Aplikim në nivelin bazë të sigurisë së informacionit të operatorëve të telekomit”.
Këto Kërkesa, programi dhe metodologjia janë zhvilluar për sistemin e certifikimit vullnetar dhe janë të destinuara për operatorët e telekomit, qendrat e certifikimit dhe laboratorët kur kryejnë certifikimin vullnetar të Sistemit të Menaxhimit të Sigurisë së Informacionit "Niveli bazë i sigurisë së informacionit të operatorëve të telekomit" në "Komunikimi - Sistemi i certifikimit vullnetar të Efikasitetit.
3 Referencat normative, përkufizimet dhe shkurtesat
3.1. Në këto Kërkesa, programi dhe metodologjia, përdoren referenca në dokumentet rregullatore të mëposhtme:
Ligji Federal i 27 korrikut 2006 Nr. Nr. 149-FZ "Për informacionin, teknologjinë e informacionit dhe mbrojtjen e informacionit".
Doktrina e Sigurisë së Informacionit të Federatës Ruse e datës 9 shtator 2000 Nr. Pr-1895.
Rregullat për lidhjen e rrjeteve të telekomunikacionit dhe ndërveprimin e tyre (miratuar me Dekret të Qeverisë së Federatës Ruse të 28 Marsit 2005, N 161).
GOST R 50739-95 Pajisjet kompjuterike. Mbrojtje nga ngatërrimi i informacionit. Kërkesat e përgjithshme teknike.
GOST R 52448-2005 Siguria e informacionit. Sigurimi i sigurisë së rrjeteve të telekomunikacionit. Dispozitat e përgjithshme.
GOST R ISO / IEC 15408-2002 Teknologjia e informacionit. Metodat dhe mjetet për të garantuar sigurinë. Kriteret për vlerësimin e sigurisë së teknologjisë së informacionit.
GOST R ISO / IEC 27001-2006 Metodat e sigurisë së informacionit. Sistemet e menaxhimit të sigurisë së informacionit. Kërkesat.
OST 45.127-99. Sistemi i sigurisë së informacionit të rrjetit të ndërlidhur të komunikimit të Federatës Ruse. Termat dhe Përkufizimet.
Rekomandimi i Sektorit të Standardizimit të Unionit Ndërkombëtar të Telekomunikacionit (ITU-T), Seria X, Shtojca 2, "Seria ITU-T X.800-X849 - Shtojca për nivelin bazë të sigurisë së informacionit të operatorëve të telekomit".
3.2. Në këto Kërkesa përdoren programi dhe metodologjia, termat që korrespondojnë me përcaktimet e Ligjit Federal "Për Komunikimet", si dhe termat dhe shkurtesat e mëposhtme përcaktohen shtesë:
Llogaria- llogari personale e përdoruesit të sistemit të informacionit, softuerit të pajisjeve, duke përfshirë emrin e përdoruesit (login), shenjat e tij individuale të fshehura (fjalëkalimin) dhe informacione të tjera të nevojshme për të fituar akses.
Softuer antivirus- softuer special i krijuar për të zbuluar dhe çaktivizuar (bllokuar) kodin e softuerit me qëllim të keq i krijuar posaçërisht për të cenuar integritetin, disponueshmërinë dhe konfidencialitetin e të dhënave.
Sulmi i mohimit të shërbimit- ndikimi i qëllimshëm në sistemin ose pajisjet e informacionit në mënyrë që të krijohen kushte në të cilat përdoruesit legjitimë nuk mund të aksesojnë burimet e ofruara nga sistemi ose pajisjet, ose një akses i tillë do të jetë i vështirë.
Siguria e informacionit të një operatori telekomi- gjendja e mbrojtjes së burimeve të informacionit të operatorit të telekomunikacionit dhe infrastrukturës që i mbështet ato nga ndikimet aksidentale ose të qëllimshme të një natyre natyrore ose artificiale, të mbushura me dëmtim të operatorit të telekomunikacionit, përdoruesve të shërbimeve të komunikimit dhe të karakterizuara nga aftësia për të siguruar konfidencialitetin, integritetin dhe disponueshmërinë e informacionit gjatë ruajtjes, përpunimit dhe transmetimit të tij.
Marrëveshja e licencës- një marrëveshje ndërmjet pronarit të softuerit dhe përdoruesit të kopjes së tij
Operatori i telekomunikacionit - një person juridik ose sipërmarrës individual që ofron shërbime komunikimi në bazë të një licence të përshtatshme.
Politika e Sigurisë së Ofruesit të Shërbimeve- grupin e politikave, procedurave, praktikave ose udhëzimeve të dokumentuara të sigurisë që duhen ndjekur nga operatori i telekomit.
Ofrues shërbimi- një person juridik i angazhuar në ofrimin (dërgimin) e shërbimeve të komunikimit të një lloji të caktuar për një pajtimtar dhe duke siguruar përdorimin e koordinuar të aftësive të rrjetit që lidhen me këto shërbime.
Të bllokuara- korrespondencë e pakërkuar e transmetuar në formë elektronike (si rregull, me anë të postës elektronike).
Menaxhimi i rreziqeve- procesi i identifikimit, kontrollit, reduktimit ose eliminimit të plotë (me një kosto të pranueshme) të rreziqeve të sigurisë së informacionit që mund të ndikojnë në sistemet e informacionit të një operatori telekomunikacioni dhe infrastrukturën që i mbështet ato.
