Verfahren des Informationssicherheitsmanagementsystems. Was ist ein modernes Informationssicherheitsmanagementsystem?

In der Welt der Informationstechnologie wird die Gewährleistung der Integrität, Zuverlässigkeit und Vertraulichkeit von Informationen immer wichtiger. Daher ist es eine strategische Entscheidung, die Notwendigkeit eines Informationssicherheits-Managementsystems (ISMS) für eine Organisation zu erkennen.

Er wurde für die Erstellung, Implementierung, Wartung und kontinuierliche Verbesserung eines ISMS in einem Unternehmen entwickelt. Darüber hinaus wird durch die Verwendung dieses Standards die Fähigkeit der Organisation, ihre eigenen Anforderungen an die Informationssicherheit zu erfüllen, für externe Partner sichtbar. In diesem Artikel werden die Hauptanforderungen des Standards und seine Struktur erläutert.

(ADV31)

Hauptziele des ISO 27001-Standards

Bevor wir mit der Beschreibung der Struktur des Standards fortfahren, werden wir seine Hauptziele skizzieren und die Entstehungsgeschichte des Standards in Russland betrachten.

Ziele des Standards:

Festlegung einheitlicher Anforderungen für alle Organisationen zur Erstellung, Implementierung und Verbesserung eines ISMS;
Gewährleistung der Interaktion zwischen der Geschäftsleitung und den Mitarbeitern;
Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Darüber hinaus sind die in der Norm festgelegten Anforderungen allgemeiner Natur und sollen von allen Organisationen angewendet werden, unabhängig von ihrer Art, Größe oder Natur.

Geschichte des Standards:

Im Jahr 1995 übernahm die British Standards Institution (BSI) den Information Security Management Code als britischen nationalen Standard und registrierte ihn als BS 7799 – Teil 1.
Im Jahr 1998 veröffentlichte das BSI den Standard BS7799-2, der aus zwei Teilen besteht, von denen einer einen Verhaltenskodex und der andere Anforderungen an Informationssicherheits-Managementsysteme enthielt.
Bei späteren Überarbeitungen wurde der erste Teil als BS 7799:1999, Teil 1 veröffentlicht. 1999 wurde diese Version des Standards an die International Certification Organization übertragen.
Dieses Dokument wurde im Jahr 2000 als Internationaler Standard ISO/IEC 17799:2000 (BS 7799-1:2000) genehmigt. Die neueste Version dieser Norm, die 2005 verabschiedet wurde, ist ISO/IEC 17799:2005.
Im September 2002 trat der zweite Teil von BS 7799, Information Security Management System Specification, in Kraft. Der zweite Teil von BS 7799 wurde 2002 überarbeitet und Ende 2005 von der ISO als Internationaler Standard ISO/IEC 27001:2005 übernommen. Informationstechnologie– Sicherheitsmethoden – Informat– Anforderungen.“
Im Jahr 2005 wurde die Norm ISO/IEC 17799 in die 27. Normenreihe aufgenommen und erhielt eine neue Nummer – ISO/IEC 27002:2005.
Am 25. September 2013 wurde die aktualisierte Norm ISO/IEC 27001:2013 „Information Security Management Systems. Anforderungen". Derzeit erfolgt die Zertifizierung von Organisationen nach dieser Version des Standards.

Struktur des Standards

Einer der Vorteile dieser Norm ist die Ähnlichkeit ihrer Struktur mit ISO 9001, da sie identische Unterabschnittsüberschriften, identischen Text, gemeinsame Begriffe und grundlegende Definitionen enthält. Durch diesen Umstand können Sie Zeit und Geld sparen, da ein Teil der Dokumentation bereits im Rahmen der ISO 9001-Zertifizierung erstellt wurde.

Wenn wir über die Struktur des Standards sprechen, handelt es sich um eine Liste von Anforderungen an ein ISMS, die für die Zertifizierung obligatorisch sind und aus folgenden Abschnitten besteht:

Hauptabschnitte	Anhang A
0. Einführung	A.5 Informationssicherheitsrichtlinien
1 Einsatzbereich	A.6 Informationssicherheitsorganisation
2. Normative Verweise	A.7 Sicherheit Personalwesen(Personal)
3. Begriffe und Definitionen	A.8 Vermögensverwaltung
4. Organisatorischer Kontext	A.9 Zugangskontrolle
5. Führung	A.10 Kryptographie
6. Planung	A.11 Physische und Umweltsicherheit
7. Unterstützung	A.12 Betriebssicherheit
8. Operationen (Operation)	A.13 Kommunikationssicherheit
9. Bewertung (Messung) der Leistung	A.14 Erwerb, Entwicklung und Wartung von Informationssystemen
10. Verbesserung (Verbesserung)	A.15 Beziehungen zu Lieferanten
	A.16 Vorfallmanagement
	A.17 Geschäftskontinuität
	A.18 Einhaltung der Gesetzgebung

Die Anforderungen des „Anhangs A“ sind verbindlich, der Standard ermöglicht jedoch den Ausschluss von Bereichen, die im Unternehmen nicht anwendbar sind.

Bei der Implementierung des Standards in einem Unternehmen zur weiteren Zertifizierung ist zu beachten, dass Ausnahmen von den in den Abschnitten 4 bis 10 festgelegten Anforderungen nicht zulässig sind. Auf diese Abschnitte wird weiter eingegangen.

Beginnen wir mit Abschnitt 4 – Organisatorischer Kontext

Organisationskontext

In diesem Abschnitt verlangt der Standard von der Organisation, externe und interne Probleme zu identifizieren, die für ihre Ziele von Bedeutung sind und die Fähigkeit ihres ISMS beeinträchtigen, die beabsichtigten Ergebnisse zu erreichen. Dabei sollten gesetzliche und behördliche Anforderungen sowie vertragliche Verpflichtungen zur Informationssicherheit berücksichtigt werden. Die Organisation muss außerdem die Grenzen und Anwendbarkeit des ISMS definieren und dokumentieren, um seinen Geltungsbereich festzulegen.

Führung

Das Top-Management sollte Führungsstärke und Engagement für das Informationssicherheits-Managementsystem zeigen, indem es beispielsweise dafür sorgt Informationspolitik Sicherheits- und Informationssicherheitsziele sind festgelegt und stehen im Einklang mit der Strategie der Organisation. Auch Top-Management muss die Bereitstellung aller notwendigen Ressourcen für das ISMS sicherstellen. Mit anderen Worten: Den Mitarbeitern sollte klar sein, dass das Management in Fragen der Informationssicherheit involviert ist.

Die Imuss dokumentiert und den Mitarbeitern kommuniziert werden. Dieses Dokument ähnelt der Qualitätsrichtlinie ISO 9001. Es muss außerdem mit dem Zweck der Organisation im Einklang stehen und Informationssicherheitsziele enthalten. Es wäre gut, wenn es sich dabei um echte Ziele handelte, etwa um die Wahrung der Vertraulichkeit und Integrität von Informationen.

Von der Geschäftsleitung wird außerdem erwartet, dass sie Funktionen und Verantwortlichkeiten im Zusammenhang mit der Informationssicherheit auf die Mitarbeiter verteilt.

Planung

In diesem Abschnitt kommen wir zur ersten Stufe Führungsprinzip PDCA (Plan – Do – Check – Act) – planen, ausführen, prüfen, handeln.

Bei der Planung eines Informatsollte die Organisation die in Abschnitt 4 genannten Aspekte berücksichtigen und die Risiken und potenziellen Chancen identifizieren, die berücksichtigt werden müssen, um sicherzustellen, dass das ISMS seine beabsichtigten Ergebnisse erzielen und unerwünschte Auswirkungen verhindern kann kontinuierliche Verbesserung erreichen.

Bei der Planung, wie die Informationssicherheitsziele erreicht werden sollen, muss die Organisation Folgendes festlegen:

was wird getan werden;
welche Ressourcen werden benötigt;
wer wird verantwortlich sein;
wann die Ziele erreicht werden;
wie die Ergebnisse bewertet werden.

Darüber hinaus muss die Organisation Informationssicherheitsziele als dokumentierte Informationen pflegen.

Sicherheit

Die Organisation muss die notwendigen Ressourcen identifizieren und bereitstellen, um das ISMS zu entwickeln, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern. Dazu gehören sowohl Personal als auch Dokumentation. Von der Organisation wird personell erwartet, dass sie qualifizierte und kompetente Mitarbeiter im Bereich Informationssicherheit auswählt. Die Qualifikation der Mitarbeiter muss durch Zeugnisse, Diplome etc. bestätigt werden. Es besteht die Möglichkeit, externe Fachkräfte im Rahmen eines Vertrags zu engagieren oder eigene Mitarbeiter auszubilden. Die Dokumentation sollte Folgendes umfassen:

dokumentierte Informationen, die vom Standard gefordert werden;
dokumentierte Informationen, die von der Organisation als notwendig erachtet werden, um die Wirksamkeit des Informatsicherzustellen.

Die vom ISMS und dem Standard geforderten dokumentierten Informationen müssen kontrolliert werden, um sicherzustellen, dass sie:

zugänglich und geeignet für den Einsatz dort, wo und wann es benötigt wird, und
ausreichend geschützt ist (z. B. vor Verlust der Vertraulichkeit, Missbrauch oder Verlust der Integrität).

Betrieb

In diesem Abschnitt geht es um die zweite Stufe des PDCA-Managementprinzips – die Notwendigkeit für die Organisation, Prozesse zu verwalten, um die Einhaltung sicherzustellen, und die im Abschnitt „Planung“ genannten Maßnahmen durchzuführen. Darin heißt es außerdem, dass die Organisation in geplanten Zeitabständen oder wenn dies vorgeschlagen wird oder eingetreten ist, Risikobewertungen für die Informationssicherheit durchführen sollte bedeutsame Änderungen. Die Organisation muss die Ergebnisse der Informals dokumentierte Informationen aufbewahren.

Leistungsbeurteilung

Die dritte Stufe ist die Verifizierung. Die Organisation muss den Betrieb und die Wirksamkeit des ISMS bewerten. Beispielsweise sollte ein internes Audit durchgeführt werden, um Informationen darüber zu erhalten

Ist das Informakonform?
- die eigenen Anforderungen der Organisation an ihr Informationssicherheits-Managementsystem;
- Anforderungen des Standards;
dass das Informaeffektiv implementiert ist und funktioniert.

Natürlich sollten Umfang und Zeitpunkt der Audits im Voraus geplant werden. Alle Ergebnisse müssen dokumentiert und aufbewahrt werden.

Verbesserung

Der Kern dieses Abschnitts besteht darin, die Vorgehensweise festzulegen, wenn eine Nichtkonformität festgestellt wird. Die Organisation muss die Diskrepanz und die Folgen korrigieren und eine Analyse der Situation durchführen, damit dies in Zukunft nicht mehr geschieht. Alle Abweichungen und Korrekturmaßnahmen müssen dokumentiert werden.

Damit sind die Hauptabschnitte des Standards abgeschlossen. Anhang A enthält spezifischere Anforderungen, die eine Organisation erfüllen muss. Verwenden Sie beispielsweise im Hinblick auf die Zugangskontrolle mobile Geräte und Speichermedien.

Vorteile der ISO 27001-Implementierung und -Zertifizierung

Erhöhung des Status der Organisation und damit des Vertrauens der Partner;
Erhöhung der Stabilität der Funktionsweise der Organisation;
Erhöhung des Schutzniveaus vor Bedrohungen der Informationssicherheit;
Gewährleistung des erforderlichen Maßes an Vertraulichkeit der Informationen interessierter Parteien;
Ausweitung der Beteiligung der Organisation an Großaufträgen.

Wirtschaftliche Vorteile sind:

unabhängige Bestätigung der Präsenz in der Organisation durch die Zertifizierungsstelle hohes Level Informationssicherheit, überwacht durch kompetentes Personal;
Nachweis der Konformität aktuelle Gesetze und Vorschriften (Umsetzung des Systems verbindlicher Anforderungen);
Nachweis eines bestimmten hohen Niveaus an Managementsystemen, um den Kunden und Partnern der Organisation ein angemessenes Serviceniveau zu gewährleisten;
Demonstration der Durchführung regelmäßiger Audits von Managementsystemen, Leistungsbewertungen und kontinuierlicher Verbesserungen.

Zertifizierung

Eine Organisation kann von akkreditierten Agenturen nach diesem Standard zertifiziert werden. Der Zertifizierungsprozess besteht aus drei Phasen:

Stufe 1 – Prüfung der wichtigsten ISMS-Dokumente durch den Auditor auf Übereinstimmung mit den Anforderungen des Standards – kann sowohl auf dem Territorium der Organisation als auch durch Übermittlung dieser Dokumente an einen externen Auditor durchgeführt werden;
Stufe 2 – detailliertes Audit, einschließlich der Prüfung der umgesetzten Maßnahmen und der Bewertung ihrer Wirksamkeit. Beinhaltet eine vollständige Untersuchung der von der Norm geforderten Dokumente;
Stufe 3 – Durchführung eines Überwachungsaudits, um zu bestätigen, dass die zertifizierte Organisation die angegebenen Anforderungen erfüllt. Wird regelmäßig durchgeführt.

Endeffekt

Wie Sie sehen, ermöglicht die Verwendung dieses Standards in einem Unternehmen, das Niveau der Informationssicherheit unter bestimmten Bedingungen qualitativ zu erhöhen moderne Realitäten viel Wert. Der Standard enthält viele Anforderungen, aber die wichtigste Anforderung ist, das zu tun, was geschrieben steht! Ohne wirkliche Anwendung der Anforderungen der Norm wird daraus ein leeres Blatt Papier.

Gültig Leitartikel von 27.12.2006

Name des Dokuments	„INFORMATIONSTECHNOLOGIE. METHODEN UND MITTEL DER SICHERHEIT. INFORMATIONSSICHERHEITS-MANAGEMENTSYSTEME. ANFORDERUNGEN. GOST R ISO/IEC 27001-2006“ (genehmigt durch die Verordnung von Rostekhregulirovaniya vom 27. Dezember 2006 N 375-st)
Art des Dokuments	Bestellung, Standard, Gost, ISO
Empfangsvollmacht	Rostekhregulirovanie
Dokumentnummer	ISO/IEC 27001-2006
Annahmedatum	01.01.1970
Änderungsdatum	27.12.2006
Datum der Registrierung beim Justizministerium	01.01.1970
Status	gültig
Veröffentlichung	Zum Zeitpunkt der Aufnahme in die Datenbank war das Dokument noch nicht veröffentlicht
Navigator	Anmerkungen

„INFORMATIONSTECHNOLOGIE. METHODEN UND MITTEL DER SICHERHEIT. INFORMATIONSSICHERHEITS-MANAGEMENTSYSTEME. ANFORDERUNGEN. GOST R ISO/IEC 27001-2006“ (genehmigt durch die Verordnung von Rostekhregulirovaniya vom 27. Dezember 2006 N 375-st)

8. Verbesserung des Informationssicherheitsmanagementsystems

8.1. Ständige Verbesserung

Die Organisation muss die Wirksamkeit des ISMS kontinuierlich verbessern, indem sie die IS-Richtlinie, die IS-Ziele, die Verwendung von Auditergebnissen, die Überprüfung kontrollierbarer Ereignisse, Korrektur- und Vorbeugungsmaßnahmen sowie die Verwendung der ISMS-Überprüfungsergebnisse durch das Management klarstellt (siehe Abschnitt 7).

8.2. Korrekturmaßnahmen

Die Organisation muss Maßnahmen ergreifen, um die Ursachen der Nichteinhaltung der ISMS-Anforderungen zu beseitigen und so ein erneutes Auftreten zu verhindern. Das dokumentierte Korrekturmaßnahmenverfahren muss Anforderungen festlegen für:

a) Identifizierung von Nichtkonformitäten;

b) Ermittlung der Ursachen von Nichtkonformitäten;

C) Beurteilung des Handlungsbedarfs zur Vermeidung des erneuten Auftretens von Nichtkonformitäten;

d) Ermittlung und Umsetzung notwendiger Korrekturmaßnahmen;

e) Führung von Aufzeichnungen über die Ergebnisse der ergriffenen Maßnahmen (siehe 4.3.3);

f) Überprüfung der ergriffenen Korrekturmaßnahmen.

8.3. Präventivmaßnahmen

Die Organisation muss die Maßnahmen festlegen, die zur Beseitigung der Ursachen potenzieller Nichtkonformitäten mit den ISMS-Anforderungen erforderlich sind, um deren erneutes Auftreten zu verhindern. Die ergriffenen vorbeugenden Maßnahmen müssen mit den Folgen potenzieller Probleme im Einklang stehen. Das dokumentierte Verfahren zur Ergreifung vorbeugender Maßnahmen muss Anforderungen festlegen für:

a) Identifizierung potenzieller Nichtkonformitäten und ihrer Ursachen;

b) Beurteilung des Handlungsbedarfs, um das Auftreten von Nichtkonformitäten zu verhindern;

c) Ermittlung und Umsetzung der notwendigen Präventivmaßnahmen;

d) Aufzeichnung der Ergebnisse der ergriffenen Maßnahmen (siehe 4.3.3);

e) Analyse der Ergebnisse der ergriffenen Maßnahmen.

Die Organisation muss Änderungen in der Risikobewertung identifizieren und Anforderungen für vorbeugende Maßnahmen festlegen, wobei sie insbesondere auf erheblich geänderte Risikobewertungen achten muss.

Auf der Grundlage der Ergebnisse der Risikobewertung sollten Prioritäten für die Umsetzung vorbeugender Maßnahmen festgelegt werden.

HINWEIS Normalerweise sind die Kosten für Maßnahmen zur Verhinderung von Nichtkonformitäten wirtschaftlicher als für Korrekturmaßnahmen.

Wirklich, es ist peinlich. Wir berichteten über die bevorstehende Veröffentlichung der ISO 45001-Norm, die die aktuelle Arbeitssicherheits- und Gesundheitsmanagementnorm OHSAS 18001 ersetzen soll, und sagten, dass wir damit Ende 2016 rechnen sollten ... Es ist fast Mitternacht und noch immer keine Spur davon Ihr Mann. Es ist Zeit zuzugeben, dass ISO 45001 verzögert ist. Stimmt, laut gute Gründe. U Expertengemeinschaft Es gab zu viele Fragen für ihn. […]

Ein Doppelartikel ist in Vorbereitung. Die Internationale Organisation für Normung hat ihre Position zur Verwendung der Kennzeichnungen ihrer Normen auf Produkten klar zum Ausdruck gebracht – ISO sagt „Nein“. Unternehmer möchten dies jedoch weiterhin tun. Wie sollen sie sein? Warum nicht genau? Der Hintergrund der Frage ist wie folgt. Wie Sie wissen, beziehen sich ISO-Standards nicht direkt auf Produkte, die von nach ihnen zertifizierten Unternehmen hergestellt werden. […]

Beenden wir das Thema. Im letzten Artikel haben wir ein Gespräch über die acht Prinzipien eines QMS begonnen. Die Prinzipien, auf denen jedes Qualitätsmanagementsystem basiert. Unser Ziel ist es, diese Prinzipien aus der Sprache der Business-Coaches in die menschliche Sprache zu übersetzen. Damit ein echter Nutzen daraus gezogen werden kann. Wir haben über Kundenorientierung gesprochen. Sie sprachen darüber, wie man nicht „etwas [...]

Viele reden über Qualitätsmanagement. Aber aus irgendeinem Grund sagen sie es so, dass letztlich nichts klar ist. Qualitätsmanagement bleibt also ein Wort. Zu kluge Worte. Lassen Sie uns sie in normale Sprache übersetzen und verstehen, wie die Prinzipien des Qualitätsmanagements wirklich dazu beitragen, die Aktivitäten des Unternehmens zu verbessern. Verzichten wir auf lange Vorspiele. Insgesamt sind derzeit relevante Qualitätsmanagementsysteme, von denen das beliebteste [...]

Projektmanagement... Ich bin mir sicher, dass es viele Menschen gibt, die zu lange mit Unternehmensberatern aller Art kommuniziert haben – und jetzt wird ihnen schon beim Hören eines solchen Satzes leicht übel. Was zu tun ist? Lassen Sie uns einfach die Unternehmensberater aus unseren Köpfen verbannen und die Sache in menschliche Sprache bringen. Projektmanagement ist nicht unbedingt eine Person im weißen Hemd, die mit einem Marker komplexe Diagramme und Flussdiagramme zeichnet […]

Die Norm BS ISO/IEC 27001:2005 beschreibt ein Modell eines Informationssicherheits-Managementsystems (ISMS) und bietet eine Reihe von Anforderungen für die Organisation der Informationssicherheit in einem Unternehmen ohne Bezug auf die von den Verantwortlichen der Organisation gewählten Implementierungsmethoden.

Der Standard schlägt die Anwendung des PDCA-Modells (Plan-Do-Check-Act) auf den ISMS-Lebenszyklus vor, der Entwicklung, Implementierung, Betrieb, Kontrolle, Analyse, Support und Verbesserung umfasst (Abbildung 1).

Plan – die Phase der Erstellung eines ISMS, der Erstellung einer Vermögensliste, der Bewertung von Risiken und der Auswahl von Maßnahmen;

Do (Action) – die Phase der Umsetzung und Umsetzung geeigneter Maßnahmen;

Check – Phase der Bewertung der Wirksamkeit und Leistung des ISMS. Wird in der Regel von internen Prüfern durchgeführt.

Handeln – Vorbeugende und korrigierende Maßnahmen ergreifen.

Die Entscheidung, ein ISMS zu erstellen (und anschließend zu zertifizieren), wird von der obersten Leitung der Organisation getroffen. Dies zeigt die Unterstützung des Managements und die Bestätigung des Werts des ISMS für das Unternehmen. Die Leitung der Organisation initiiert die Bildung einer ISMS-Planungsgruppe.

Die für die Planung des ISMS verantwortliche Gruppe sollte Folgendes umfassen:

· Vertreter des Top-Managements der Organisation;

· Vertreter der vom ISMS abgedeckten Geschäftsbereiche;

· Spezialisten der Informationssicherheitsabteilungen;

· externe Berater (falls erforderlich).

Der IS-Ausschuss unterstützt den Betrieb des ISMS und dessen kontinuierliche Verbesserung.

Arbeitsgruppe sollte sich an den regulatorischen und methodischen Rahmenbedingungen orientieren, sowohl in Bezug auf die Erstellung eines ISMS als auch in Bezug auf den Tätigkeitsbereich der Organisation, und natürlich auch an der allgemeinen Systematik der Landesgesetze.

Regulatorische Rahmenbedingungen zur Erstellung eines ISMS:

· ISO/IEC 27000:2009 Vokabular und Definitionen.

ISO/IEC 27001:2005 Allgemeine Anforderungen zu ISMS.

ISO/IEC 27002:2005 Praktischer Leitfaden zum Thema Informationssicherheitsmanagement.

· ISO/IEC 27003:2010 Praktische Anleitung für die Implementierung eines ISMS.

· ISO/IEC 27004:2009 Metriken (Messungen) der Informationssicherheit.

· ISO/IEC 27005:2011 Leitfaden zum Informationssicherheitsrisikomanagement.

· ISO/IEC-Leitfaden 73:2002, Risikomanagement – Vokabular – Richtlinien zur Verwendung in Standards.

· ISO/IEC 13335-1:2004, Informationstechnologie – Sicherheitstechniken – Management der Sicherheit der Informations- und Kommunikationstechnologie – Teil 1: Konzepte und Modelle für das Sicherheitsmanagement der Informations- und Kommunikationstechnologie.

· ISO/IEC TR 18044 Informationstechnologie – Sicherheitstechniken – Management von Informationssicherheitsvorfällen.

· ISO/IEC 19011:2002 Richtlinien für die Prüfung von Qualitäts- und/oder Umweltmanagementsystemen.

· Methodenreihe des British Standards Institute zur Erstellung eines ISMS (vorher: Dokumente der PD 3000-Reihe).

Der Prozess zur Erstellung eines ISMS besteht aus 4 Phasen:

Bühne 1. ISMS-Planung.

Festlegung von Richtlinien, Zielen, Prozessen und Verfahren im Zusammenhang mit Risikomanagement und Informationssicherheit gemäß allgemeine Politik und Ziele der Organisation.

a) Definition des Umfangs und der Grenzen des ISMS:

· Beschreibung der Art der Tätigkeit und der Geschäftsziele der Organisation;

· Angabe der Grenzen der vom ISMS abgedeckten Systeme;

· Beschreibung der Vermögenswerte der Organisation (Arten von Informationsressourcen, Software). technische Mittel, Personal und organisatorische Struktur);

· Beschreibung von Geschäftsprozessen, die geschützte Informationen verwenden.

Die Beschreibung der Systemgrenzen umfasst:

Beschreibung der bestehenden Struktur der Organisation (mit möglichen Änderungen, die sich im Zusammenhang mit der Entwicklung des Informationssystems ergeben können).

Zu schützende Informationssystemressourcen ( Technische Informatik, Informations-, System- und Anwendungssoftware). Um sie zu bewerten, muss ein Kriteriensystem und eine Methodik zur Erlangung von Bewertungen nach diesen Kriterien (Kategorisierung) ausgewählt werden.

Infound zu lösende Probleme. Für die zu lösenden Aufgaben müssen Informationsverarbeitungsmodelle ressourcenorientiert aufgebaut werden.

Diagramm des Informationssystems und der unterstützenden Infrastruktur der Organisation.

In der Regel wird in dieser Phase ein Dokument erstellt, das die Grenzen des Informationssystems festlegt, Listen Informationsressourcen Schutzpflichtige Unternehmen stellen ein System von Kriterien und Methoden zur Beurteilung des Werts der Informationswerte des Unternehmens bereit.

b) Definition der ISMS-Richtlinie der Organisation (erweiterte Version des Sicherheitsdatenblatts).

· Ziele, Richtungen und Handlungsgrundsätze zur Informationssicherheit;

· Beschreibung der Risikomanagementstrategie(n) in der Organisation, Strukturierung von Gegenmaßnahmen zum Schutz von Informationen nach Art (rechtlich, organisatorisch, Hard- und Software, Technik);

· Beschreibung der Risikosignifikanzkriterien;

· Position des Managements, Festlegung der Häufigkeit von Treffen zu Informationssicherheitsthemen auf Managementebene, einschließlich regelmäßiger Überprüfung der Bestimmungen der Isowie des Verfahrens zur Schulung aller Kategorien von Benutzern des Informationssystems zum Thema Informationssicherheit Probleme.

c) Bestimmen Sie den Ansatz zur Risikobewertung in der Organisation.

Die Risikobewertungsmethodik wird in Abhängigkeit vom ISMS, etablierten Geschäftsanforderungen an die Informationssicherheit sowie rechtlichen und regulatorischen Anforderungen ausgewählt.

Die Wahl der Risikobewertungsmethode hängt vom Niveau der Anforderungen an das Informationssicherheitsregime in der Organisation, der Art der berücksichtigten Bedrohungen (dem Spektrum der Auswirkungen der Bedrohungen) und der Wirksamkeit potenzieller Gegenmaßnahmen zum Schutz von Informationen ab. Insbesondere gibt es sowohl grundlegende als auch erhöhte oder vollständige Anforderungen an das Informationssicherheitsregime.

Die Mindestanforderungen für den Informationssicherheitsmodus entsprechen dem Grundniveau der Informationssicherheit. Solche Anforderungen gelten in der Regel für Standarddesignlösungen. Es gibt eine Reihe von Standards und Spezifikationen, die einen minimalen (typischen) Satz der wahrscheinlichsten Bedrohungen berücksichtigen, wie zum Beispiel: Viren, Hardwarefehler, unbefugter Zugriff usw. Um diese Bedrohungen zu neutralisieren, müssen Gegenmaßnahmen ergriffen werden, unabhängig von der Wahrscheinlichkeit ihre Implementierungs- und Schwachstellenressourcen. Daher ist es nicht notwendig, die Merkmale von Bedrohungen grundsätzlich zu berücksichtigen. Ausländische Standards in diesem Bereich sind ISO 27002, BSI, NIST usw.

In Fällen, in denen Verstöße gegen das Informationssicherheitsregime schwerwiegende Folgen haben, werden zusätzliche erhöhte Anforderungen gestellt.

Um zusätzliche erhöhte Anforderungen zu formulieren, ist es notwendig:

Bestimmen Sie den Wert von Ressourcen;

Fügen Sie dem Standardsatz eine Liste von Bedrohungen hinzu, die für das untersuchte Informationssystem relevant sind.

Bewerten Sie die Wahrscheinlichkeit von Bedrohungen.

Identifizieren Sie Ressourcenschwachstellen.

Bewerten Sie den möglichen Schaden durch den Einfluss von Eindringlingen.

Es ist notwendig, eine Risikobewertungsmethode auszuwählen, die mit minimalen Änderungen fortlaufend verwendet werden kann. Es gibt zwei Möglichkeiten: Nutzen Sie vorhandene Methoden und Tools auf dem Markt zur Risikobewertung oder erstellen Sie eine eigene Methodik, angepasst an die Besonderheiten des Unternehmens und den vom ISMS abgedeckten Tätigkeitsbereich.

Die letzte Option ist am meisten zu bevorzugen, da die meisten auf dem Markt vorhandenen Produkte, die die eine oder andere Risikoanalysetechnik implementieren, bisher nicht den Anforderungen der Norm entsprechen. Typische Nachteile solcher Methoden sind:

· Standardsatz Bedrohungen und Schwachstellen, die oft nicht geändert werden können;

· Akzeptieren Sie nur Software, Hardware und Informationsressourcen als Vermögenswerte – ohne Berücksichtigung von Humanressourcen, Dienstleistungen und anderen wichtigen Ressourcen.

· die Gesamtkomplexität der Technik im Hinblick auf ihre nachhaltige und wiederholte Verwendung.

· Kriterien für die Akzeptanz von Risiken und akzeptable Risikoniveaus (müssen auf der Erreichung der strategischen, organisatorischen und Managementziele der Organisation basieren).

d) Risikoidentifizierung.

· Identifizierung von Vermögenswerten und deren Eigentümern

Informationseingaben;

Informationsausgabe;

Informationsaufzeichnungen;

Ressourcen: Menschen, Infrastruktur, Ausrüstung, Software, Werkzeuge, Dienstleistungen.

· Bedrohungserkennung (Risikobewertungsstandards schlagen häufig Bedrohungsklassen vor, die ergänzt und erweitert werden können).

· Identifizierung von Schwachstellen (es gibt auch Listen der häufigsten Schwachstellen, auf die Sie sich bei der Analyse Ihrer Organisation verlassen können).

· Ermittlung des Wertes von Vermögenswerten (mögliche Folgen eines Verlusts der Vertraulichkeit, Integrität und Verfügbarkeit von Vermögenswerten). Informationen über den Wert eines Vermögenswerts können von seinem Eigentümer oder von einer Person eingeholt werden, der der Eigentümer sämtliche Befugnisse über den Vermögenswert, einschließlich der Gewährleistung seiner Sicherheit, übertragen hat.

e) Risikobewertung.

· Beurteilung des Schadens, der einem Unternehmen durch den Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Vermögenswerten entstehen kann.

· Bewertung der Wahrscheinlichkeit, dass Bedrohungen durch bestehende Schwachstellen realisiert werden, unter Berücksichtigung bestehender Iund Bewertung des möglichen verursachten Schadens;

· Bestimmung des Risikoniveaus.

Anwendung von Risikoakzeptanzkriterien (akzeptable/behandlungsbedürftig).

f) Risikobehandlung (gemäß der gewählten Risikomanagementstrategie).

Mögliche Aktionen:

Passive Aktionen:

Risikoakzeptanz (Entscheidung über die Akzeptanz des resultierenden Risikoniveaus);

Risikovermeidung (Entscheidung, Aktivitäten zu ändern, die ein bestimmtes Risikoniveau verursachen – Verlagerung des Webservers außerhalb der Grenzen lokales Netzwerk);

Aktive Aktionen:

Risikominderung (durch organisatorische und technische Gegenmaßnahmen);

Risikoübergang (Versicherung (Feuer, Diebstahl, Softwarefehler)).

Die Auswahl möglicher Maßnahmen hängt von den akzeptierten Risikokriterien ab (ein akzeptables Risikoniveau wird angegeben, Risikoniveaus, die durch Ireduziert werden können, Risikoniveaus, bei denen empfohlen wird, die Art der Aktivität, die es verursacht, aufzugeben oder umzuwandeln, und Risiken, die auf andere Parteien übertragen werden sollen).

g) Auswahl von Zielen und Kontrollen für die Risikobehandlung.

Ziele und Kontrollen müssen die Risikomanagementstrategie umsetzen, die Kriterien zur Risikoakzeptanz sowie gesetzliche, regulatorische und sonstige Anforderungen berücksichtigen.

Die Norm ISO 27001-2005 bietet eine Liste von Zielen und Kontrollen als Grundlage für die Erstellung eines Risikobehandlungsplans (ISMS-Anforderungen).

Der Risikobehandlungsplan enthält eine Liste vorrangiger Maßnahmen zur Reduzierung des Risikoniveaus mit folgenden Angaben:

· Personen, die für die Umsetzung dieser Aktivitäten und Mittel verantwortlich sind;

· Zeitpunkt der Umsetzung von Aktivitäten und Prioritäten für deren Umsetzung;

· Ressourcen für die Umsetzung solcher Aktivitäten;

· Höhe der Restrisiken nach Umsetzung der Maßnahmen und Kontrollen.

Die Annahme des Risikobehandlungsplans und die Kontrolle über seine Umsetzung erfolgt durch die oberste Leitung der Organisation. Der Abschluss der Schlüsselaktivitäten des Plans ist ein Kriterium für die Entscheidung über die Inbetriebnahme des ISMS.

In dieser Phase wird die Auswahl verschiedener Gegenmaßnahmen zur Informationssicherheit begründet, strukturiert nach den regulatorischen, organisatorischen, verwaltungstechnischen, technologischen und Hardware-Software-Ebenen der Informationssicherheit. (Darüber hinaus wird eine Reihe von Gegenmaßnahmen gemäß der ausgewählten Strategie für das Informationsrisikomanagement umgesetzt.) In der Vollversion der Risikoanalyse wird zusätzlich für jedes Risiko die Wirksamkeit der Gegenmaßnahmen bewertet.

h) Genehmigung des vorgeschlagenen Restrisikos durch das Management.

i) Einholung der Genehmigung des Managements für die Implementierung und Inbetriebnahme des ISMS.

j) Erklärung zur Anwendbarkeit (gemäß ISO 27001-2005).

Das Datum der Inbetriebnahme des ISMS ist das Datum der Genehmigung der Verordnung über die Anwendbarkeit von Kontrollen durch die oberste Leitung des Unternehmens, die die von der Organisation gewählten Ziele und Mittel zum Risikomanagement beschreibt:

· Management- und Kontrollinstrumente, die in der Risikobehandlungsphase ausgewählt werden;

· in der Organisation bereits vorhandene Management- und Kontrollinstrumente;

· Mittel zur Sicherstellung der Einhaltung gesetzlicher Anforderungen und Anforderungen von Regulierungsorganisationen;

· Mittel zur Sicherstellung der Erfüllung der Kundenanforderungen;

· Mittel zur Sicherstellung der Einhaltung allgemeiner Unternehmensanforderungen;

· alle anderen geeigneten Kontrollen und Kontrollen.

Stufe 2. Implementierung und Betrieb von ISMS.

Um Informationssicherheitsrichtlinien, Kontrollen, Prozesse und Verfahren im Bereich der Informationssicherheit umzusetzen und zu betreiben, werden die folgenden Aktionen durchgeführt:

a) Entwicklung eines Risikobehandlungsplans (Beschreibung der geplanten Kontrollen, Ressourcen (Software, Hardware, Personal), die für ihre Umsetzung erforderlich sind, Unterstützung, Kontrolle und Managementverantwortung für das Informa(Entwicklung von Dokumenten in der Planungsphase, Unterstützung von Informationssicherheitsziele, Definition von Rollen und Verantwortlichkeiten, Bereitstellung der notwendigen Ressourcen zur Erstellung eines ISMS, Audit und Analyse).

b) Zuweisung von Finanzmitteln, Rollen und Verantwortlichkeiten für die Umsetzung des Risikobehandlungsplans.

c) Umsetzung geplanter Kontrollen.

d) Bestimmung von Kontrollleistungsindikatoren (Metriken) und Methoden zu deren Messung, die vergleichbare und reproduzierbare Ergebnisse liefern.

e) Verbesserung der Qualifikation und des Bewusstseins des Personals im Bereich Informationssicherheit entsprechend seiner beruflichen Verantwortung.

f) Management des ISMS-Betriebs, Management von Ressourcen zur Aufrechterhaltung, Kontrolle und Verbesserung des ISMS.

g) Implementierung von Verfahren und anderen Kontrollen zur schnellen Erkennung und Reaktion auf Informationssicherheitsvorfälle.

Stufe 3. Ständige Überwachung und Analyse der Funktionsweise des ISMS.

Die Phase umfasst die Bewertung oder Messung wichtiger Prozessleistungsindikatoren, die Analyse der Ergebnisse und die Bereitstellung von Berichten an das Management zur Analyse und umfasst:

a) Durchführung einer kontinuierlichen Überwachung und Analyse (ermöglicht es Ihnen, Fehler in der Funktionsweise des ISMS schnell zu erkennen, Sicherheitsvorfälle schnell zu erkennen und darauf zu reagieren, die Rollen des Personals zu differenzieren usw.) automatisierte Systeme im ISMS Sicherheitsvorfälle durch Analyse ungewöhnlichen Verhaltens verhindern, Wirksamkeit der Bearbeitung von Sicherheitsvorfällen ermitteln).

b) Durchführung regelmäßiger Überprüfungen der Wirksamkeit des ISMS (Einhaltung der ISMS-Richtlinien und -Ziele, Audits, Schlüsselindikatoren Wirksamkeit, Vorschläge und Stakeholder-Reaktionen).

c) Messung der Wirksamkeit von Kontrollen, um zu überprüfen, ob die Schutzanforderungen erfüllt sind

d) Regelmäßige Neubewertung der Risiken, Analyse der Restrisiken und Bestimmung akzeptabler Risikoniveaus für alle Änderungen in der Organisation (Geschäftsziele und -prozesse, identifizierte Bedrohungen, neu identifizierte Schwachstellen usw.)

e) Regelmäßiges Verhalten interne Audits ISMB.

ISMS-Audit – Überprüfung der Übereinstimmung der ausgewählten Gegenmaßnahmen mit den in der Arbeitssicherheitspolitik der Organisation festgelegten Zielen und Vorgaben des Unternehmens; auf der Grundlage der Ergebnisse werden Restrisiken bewertet und bei Bedarf deren Optimierung durchgeführt.

f) Regelmäßige Überprüfung des Umfangs und der Trends des ISMS durch das Management.

g) Aktualisierung der Risikomanagementpläne, um die Ergebnisse von Kontrollen und Analysen widerzuspiegeln.

h) Führen von Protokollen über Ereignisse, die sich negativ auf die Wirksamkeit oder Qualität des ISMS ausgewirkt haben.

Stufe 4. Unterstützung und Verbesserung des ISMS.

Basierend auf den Ergebnissen des internen ISMS-Audits und der Managementanalyse werden Korrektur- und Präventionsmaßnahmen entwickelt und umgesetzt, die auf eine kontinuierliche Verbesserung des ISMS abzielen:

a) Verbesserung der Informationssicherheitspolitik, Informationsschutzziele, Durchführung von Audits, Analyse beobachteter Ereignisse.

b) Entwicklung und Umsetzung von Korrektur- und Präventivmaßnahmen zur Beseitigung der Nichteinhaltung der ISMS-Anforderungen.

c) Überwachung der ISMS-Verbesserungen.

Das Senden Ihrer guten Arbeit an die Wissensdatenbank ist ganz einfach. Nutzen Sie das untenstehende Formular

Studierende, Doktoranden und junge Wissenschaftler, die die Wissensbasis in ihrem Studium und ihrer Arbeit nutzen, werden Ihnen sehr dankbar sein.

Veröffentlicht am http://www.allbest.ru/

„Informationssicherheits-Managementsystem“

Management internationaler Standard

INdirigieren

Ein Informaist eine Reihe von Prozessen, die innerhalb eines Unternehmens ablaufen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen sicherzustellen. Im ersten Teil der Zusammenfassung wird der Prozess der Implementierung eines Managementsystems in einer Organisation erörtert und außerdem die Hauptaspekte der Vorteile vorgestellt, die sich aus der Implementierung eines Informationssicherheits-Managementsystems ergeben.

Abb.1. Kontrollzyklus

Eine Liste von Prozessen und Empfehlungen zur optimalen Organisation ihrer Funktionsweise finden Sie in der internationalen Norm ISO 27001:2005, die auf dem Managementzyklus Plan-Do-Check-Act basiert. Laut ihm Lebenszyklus ISMS besteht aus vier Arten von Aktivitäten: Erstellung – Implementierung und Betrieb – Überwachung und Analyse – Wartung und Verbesserung (Abb. 1). Dieser Standard wird im zweiten Teil ausführlicher besprochen.

MITSystemManagementinformativSicherheit

Ein Informationssicherheits-Managementsystem (ISMS) ist der Teil des gesamten Managementsystems, der auf einem Geschäftsrisikoansatz zur Erstellung, Implementierung, zum Betrieb, zur Überwachung, Analyse, Unterstützung und Verbesserung der Informationssicherheit basiert. ISMS-Prozesse werden gemäß den Anforderungen der auf dem Zyklus basierenden Norm ISO/IEC 27001:2005 erstellt

Die Funktionsweise des Systems basiert auf den Ansätzen moderne Theorie Managementrisiken, die ihre Integration in das gesamte Risikomanagementsystem der Organisation gewährleisten.

Die Implementierung eines Informatbeinhaltet die Entwicklung und Implementierung eines Verfahrens zur systematischen Identifizierung, Analyse und Minderung von Informationssicherheitsrisiken, d. h. Risiken, durch die Informationswerte (Informationen in jeglicher Form und jeglicher Art) entstehen Vertraulichkeit, Integrität und Verfügbarkeit verlieren.

Um eine systematische Minderung von Informationssicherheitsrisiken auf der Grundlage der Ergebnisse der Risikobewertung sicherzustellen, werden in der Organisation die folgenden Prozesse implementiert:

· Management Interne Organisation Informationssicherheit.

· Gewährleistung der Informationssicherheit bei der Interaktion mit Dritten.

· Verwaltung des Registers der Informationsbestände und Regeln für deren Klassifizierung.

· Gerätesicherheitsmanagement.

· Gewährleistung der physischen Sicherheit.

· Gewährleistung der Informationssicherheit des Personals.

· Planung und Einführung von Informationssystemen.

· Sicherung.

· Gewährleistung der Netzwerksicherheit.

Prozesse des Informatwirken sich auf alle Aspekte der Verwaltung der IT-Infrastruktur einer Organisation aus, da Informationssicherheit das Ergebnis des nachhaltigen Funktionierens von Prozessen im Zusammenhang mit der Informationstechnologie ist.

Beim Aufbau eines ISMS in Unternehmen führen Spezialisten folgende Arbeiten durch:

· Projektmanagement organisieren, ein Projektteam auf Seiten des Auftraggebers und des Auftragnehmers bilden;

· den Tätigkeitsbereich (OA) des ISMS bestimmen;

· Untersuchen Sie die Organisation im OD ISMS:

o im Hinblick auf die Geschäftsprozesse der Organisation, einschließlich der Analyse der negativen Folgen von Informationssicherheitsvorfällen;

o im Hinblick auf die Managementprozesse der Organisation, einschließlich bestehender Qualitätsmanagement- und Informationssicherheitsmanagementprozesse;

o bezüglich der IT-Infrastruktur;

o in Bezug auf die Informationssicherheitsinfrastruktur.

· einen Analysebericht entwickeln und genehmigen, der eine Liste der wichtigsten Geschäftsprozesse und eine Bewertung der Folgen der Umsetzung von Inin Bezug auf diese, eine Liste von Managementprozessen, IT-Systemen, In(IS) und eine Bewertung enthält des Grades, in dem die Organisation alle ISO 27001-Anforderungen erfüllt, und eine Bewertung der Reife der Prozesse der Organisation;

· Wählen Sie den Anfangs- und Zielgrad der ISMS-Reife aus, entwickeln und genehmigen Sie das Programm zur Verbesserung der ISMS-Reife; Entwickeln Sie eine hochrangige Dokumentation im Bereich der Informationssicherheit:

o Das Konzept der Informationssicherheitsunterstützung,

o IS- und ISMS-Richtlinien;

· die in der Organisation anwendbare Risikobewertungsmethodik auswählen und anpassen;

· Software zur Automatisierung von ISMS-Prozessen auswählen, bereitstellen und einsetzen, Schulungen für Unternehmensspezialisten organisieren;

· Führen Sie eine Bewertung und Bearbeitung von Risiken durch, bei der zu deren Reduzierung Maßnahmen des Anhangs „A“ der Norm 27001 ausgewählt und Anforderungen für deren Umsetzung in der Organisation formuliert werden, technische Mittel zur Gewährleistung der Informationssicherheit werden vorläufig ausgewählt;

· vorläufige PIB-Entwürfe entwickeln, die Kosten der Risikobehandlung bewerten;

· die Genehmigung der Risikobewertung durch die oberste Leitung der Organisation organisieren und Regelungen zur Anwendbarkeit entwickeln; organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit entwickeln;

· entwickeln und umsetzen technische Projekteüber die Implementierung technischer Informationssicherheits-Subsysteme, die die Umsetzung ausgewählter Maßnahmen unterstützen, einschließlich der Lieferung von Ausrüstung, Inbetriebnahme, Entwicklung der Betriebsdokumentation und Benutzerschulung;

· Bereitstellung von Beratungen während des Betriebs des erstellten ISMS;

Schulungen organisieren Interne Auditoren und Durchführung interner ISMS-Audits.

Das Ergebnis dieser Arbeit ist ein funktionierendes ISMS. Die Vorteile der Implementierung von ISMS im Unternehmen werden erzielt durch:

· effektives Management Einhaltung gesetzlicher Anforderungen und geschäftlicher Anforderungen im Bereich Informationssicherheit;

· Verhinderung des Auftretens von Informationssicherheitsvorfällen und Reduzierung des Schadens, falls sie auftreten;

· Verbesserung der Informationssicherheitskultur in der Organisation;

· zunehmende Reife im Bereich des Informationssicherheitsmanagements;

· Optimierung der Ausgaben für Informationssicherheit.

ISO/IEC27001-- InternationalStandardVoninformativSicherheit

Dieser Standard wurde gemeinsam entwickelt Internationale Organisation für Normung (ISO) und die Internationale Elektrotechnische Kommission (IEC). Der Standard enthält Anforderungen im Bereich der Informationssicherheit für die Erstellung, Entwicklung und Wartung eines ISMS. ISO 27001 legt Anforderungen an ein ISMS fest, um die Fähigkeit einer Organisation zum Schutz ihrer Informationsbestände nachzuweisen. Der internationale Standard verwendet den Begriff „Informationssicherheit“ und interpretiert ihn als Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Grundlage des Standards ist ein System zum Management von Risiken im Zusammenhang mit Informationen. Dieser Standard kann auch zur Bewertung der Einhaltung durch interne und externe Stakeholder verwendet werden.

Um das Informationssicherheits-Managementsystem (ISMS) zu erstellen, zu implementieren, zu betreiben, kontinuierlich zu überwachen, zu analysieren, aufrechtzuerhalten und zu verbessern, verfolgt die Norm einen Prozessansatz. Es umfasst die Anwendung eines Systems von Prozessen innerhalb einer Organisation sowie die Identifizierung und Interaktion dieser Prozesse sowie deren Management.

Der internationale Standard übernimmt das Plan-Do-Check-Act (PDCA)-Modell, auch Shewhart-Deming-Zyklus genannt. Dieser Zyklus dient der Strukturierung aller ISMS-Prozesse. Abbildung 2 zeigt, wie das ISMS Infound Stakeholder-Erwartungen als Input berücksichtigt und durch die erforderlichen Maßnahmen und Prozesse Ierzeugt, die diese Anforderungen und Erwartungen erfüllen.

Planung ist die Phase der Erstellung eines ISMS, der Erstellung eines Vermögensverzeichnisses, der Risikobewertung und der Maßnahmenauswahl.

Abbildung 2. Auf ISMS-Prozesse angewendetes PDCA-Modell

Unter Umsetzung versteht man die Phase der Umsetzung und Umsetzung geeigneter Maßnahmen.

Die Verifizierung ist die Phase der Bewertung der Wirksamkeit und Leistung des ISMS. Wird in der Regel von internen Prüfern durchgeführt.

Maßnahmen – Ergreifung vorbeugender und korrigierender Maßnahmen.

INSchlussfolgerungen

ISO 27001 beschreibt ein allgemeines Modell für die Implementierung und den Betrieb eines ISMS sowie Aktivitäten zur Überwachung und Verbesserung des ISMS. ISO beabsichtigt, verschiedene Managementsystemstandards zu harmonisieren, beispielsweise ISO/IEC 9001:2000, die sich mit Qualitätsmanagement befasst, und ISO/IEC 14001:2004, die sich mit Umweltmanagementsystemen befasst. Der Zweck von ISO besteht darin, die Konsistenz und Integration des ISMS mit anderen Managementsystemen im Unternehmen sicherzustellen. Die Ähnlichkeit von Standards ermöglicht die Verwendung ähnlicher Tools und Funktionen für Implementierung, Management, Überarbeitung, Verifizierung und Zertifizierung. Die Implikation ist, dass ein Unternehmen, das andere Managementstandards implementiert hat, diese nutzen kann einheitliches System Audit und Management, das auf Qualitätsmanagement, Umweltmanagement, Sicherheitsmanagement usw. anwendbar ist. Durch die Implementierung eines ISMS verfügt die Geschäftsleitung über die Möglichkeit, die Sicherheit zu überwachen und zu verwalten, wodurch verbleibende Geschäftsrisiken reduziert werden. Sobald ein ISMS implementiert ist, kann das Unternehmen die Informationssicherheit formal gewährleisten und weiterhin die Anforderungen von Kunden, Gesetzgebern, Regulierungsbehörden und Aktionären erfüllen.

Es ist erwähnenswert, dass es in der Gesetzgebung der Russischen Föderation ein Dokument GOST R ISO/IEC 27001-2006 gibt, das eine übersetzte Version der internationalen Norm ISO27001 ist.

MITquietschenLiteratur

1. Korneev I.R., Belyaev A.V. Unternehmensinformationssicherheit. - St. Petersburg: BHV-Petersburg, 2003. - 752 S.: Abb.

2. Internationaler Standard ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (Zugriffsdatum: 23.05.12)

3.Nationaler Standard Russische Föderation GOST R ISO/IEC 27003 – „Informationstechnologien. Sicherheitsmethoden. Richtlinien für die Implementierung eines Informationssicherheits-Managementsystems“ (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (Zugriffsdatum: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Leitfaden zum Schutz vor Insider-Bedrohungen der Informationssicherheit. St. Petersburg: Peter, 2008. – 320 Seiten: Abb.

5. Artikel der freien Enzyklopädie „Wikipedia“, „Managementsystem“.

Informationssicherheit“ (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (Zugriffsdatum: 23.05.12)

6. Sigurjon Thor Arnason und Keith D. Willett „Wie man die 27001-Zertifizierung erreicht“

Gepostet auf Allbest.ru