ინფორმაციის უსაფრთხოების მართვის სისტემის პროცედურები. რა არის ინფორმაციული უსაფრთხოების მართვის თანამედროვე სისტემა

ინფორმაციული ტექნოლოგიების სამყაროში პრიორიტეტული ხდება ინფორმაციის მთლიანობის, სანდოობისა და კონფიდენციალურობის უზრუნველყოფის საკითხი. მაშასადამე, ორგანიზაციაში მართვის სისტემის საჭიროების გაცნობიერება ინფორმაციის უსაფრთხოება(ISMS) არის სტრატეგიული გადაწყვეტილება.

იგი შემუშავებულია საწარმოში ISMS-ის შექმნის, განხორციელების, შენარჩუნებისა და მუდმივი გაუმჯობესებისთვის, ასევე, ამ სტანდარტის გამოყენებით, ორგანიზაციის უნარი, დააკმაყოფილოს საკუთარი ინფორმაციული უსაფრთხოების მოთხოვნები, აშკარა ხდება გარე პარტნიორებისთვის. ეს სტატია განიხილავს სტანდარტის ძირითად მოთხოვნებს და განიხილავს მის სტრუქტურას.

(ADV31)

ISO 27001 სტანდარტის ძირითადი ამოცანები

სანამ სტანდარტის სტრუქტურის აღწერაზე გადავიდოდეთ, ჩვენ გამოვყოფთ მის ძირითად მიზნებს და განვიხილავთ რუსეთში სტანდარტის გამოჩენის ისტორიას.

სტანდარტის მიზნები:

• დაწესებულება ერთიანი მოთხოვნებიყველა ორგანიზაციამ შექმნას, დანერგოს და გააუმჯობესოს ISMS;
• უფროს მენეჯმენტსა და თანამშრომლებს შორის ურთიერთქმედების უზრუნველყოფა;
• ინფორმაციის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის შენარჩუნება.

უფრო მეტიც, სტანდარტით დადგენილი მოთხოვნები ზოგადია და მიზნად ისახავს გამოიყენოს ნებისმიერი ორგანიზაცია, განურჩევლად მათი ტიპისა, ზომისა თუ ბუნებისა.

სტანდარტის ისტორია:

• 1995 წელს ბრიტანეთის სტანდარტების ინსტიტუტმა (BSI) მიიღო ინფორმაციული უსაფრთხოების მართვის კოდექსი, როგორც გაერთიანებული სამეფოს ეროვნული სტანდარტი და დაარეგისტრირა როგორც BS 7799 - ნაწილი 1.
• 1998 წელს BSI-მ გამოაქვეყნა BS7799-2 სტანდარტი, რომელიც შედგებოდა ორი ნაწილისგან, რომელთაგან ერთი მოიცავდა პრაქტიკის კოდექსს, ხოლო მეორე - მოთხოვნებს ინფორმაციული უსაფრთხოების მართვის სისტემებისთვის.
• შემდგომი გადასინჯვის დროს, პირველი ნაწილი გამოქვეყნდა როგორც BS 7799:1999, ნაწილი 1. 1999 წელს სტანდარტის ეს ვერსია გადაეცა საერთაშორისო სერტიფიცირების ორგანიზაციას.
• ეს დოკუმენტი დამტკიცდა 2000 წელს, როგორც საერთაშორისო სტანდარტი ISO/IEC 17799:2000 (BS 7799-1:2000). უახლესი ვერსიაეს სტანდარტი, მიღებული 2005 წელს, არის ISO/IEC 17799:2005.
• 2002 წლის სექტემბერში ძალაში შევიდა BS 7799-ის მეორე ნაწილი, საინფორმაციო უსაფრთხოების მართვის სისტემის სპეციფიკაცია. BS 7799-ის მეორე ნაწილი გადაიხედა 2002 წელს და 2005 წლის ბოლოს იგი ISO-ს მიერ იქნა მიღებული, როგორც საერთაშორისო სტანდარტი ISO/IEC 27001:2005. საინფორმაციო ტექნოლოგიები— უსაფრთხოების მეთოდები — ინფორმაციული უსაფრთხოების მართვის სისტემები — მოთხოვნები.
• 2005 წელს ISO/IEC 17799 სტანდარტი შევიდა სტანდარტების 27-ე სერიაში და მიიღო ახალი ნომერი - ISO/IEC 27002:2005.
• 2013 წლის 25 სექტემბერს განახლებული სტანდარტი ISO/IEC 27001:2013 „ინფორმაციული უსაფრთხოების მართვის სისტემები. მოთხოვნები“. ამჟამად, ორგანიზაციების სერტიფიცირება ხორციელდება სტანდარტის ამ ვერსიის მიხედვით.

სტანდარტის სტრუქტურა

ამ სტანდარტის ერთ-ერთი უპირატესობაა მისი სტრუქტურის მსგავსება ISO 9001-თან, რადგან ის შეიცავს იდენტურ ქვეგანყოფილების სათაურებს, იდენტურ ტექსტს, საერთო ტერმინებს და ძირითად განმარტებებს. ეს გარემოება საშუალებას გაძლევთ დაზოგოთ დრო და ფული, რადგან ზოგიერთი დოკუმენტაცია უკვე შემუშავებულია ISO 9001 სერტიფიცირების დროს.

თუ ვსაუბრობთ სტანდარტის სტრუქტურაზე, ეს არის ISMS-ის მოთხოვნების ჩამონათვალი, რომლებიც სავალდებულოა სერტიფიცირებისთვის და შედგება შემდეგი სექციებისგან:

ძირითადი სექციები	დანართი A
0. შესავალი	A.5 ინფორმაციის უსაფრთხოების პოლიტიკა
1. გამოყენების სფერო	A.6 ინფორმაციული უსაფრთხოების ორგანიზაცია
2. ნორმატიული მითითებები	A.7 უსაფრთხოება ადამიანური რესურსები(პერსონალი)
3. ტერმინები და განმარტებები	A.8 აქტივების მართვა
4. ორგანიზაციული კონტექსტი	A.9 წვდომის კონტროლი
5. ლიდერობა	A.10 კრიპტოგრაფია
6. დაგეგმვა	A.11 ფიზიკური და გარემოსდაცვითი უსაფრთხოება
7. მხარდაჭერა	A.12 ოპერაციების უსაფრთხოება
8. ოპერაციები (ოპერაცია)	A.13 საკომუნიკაციო უსაფრთხოება
9. შესრულების შეფასება (გაზომვა).	A.14 საინფორმაციო სისტემების შეძენა, განვითარება და შენარჩუნება
10. გაუმჯობესება (გაუმჯობესება)	A.15 ურთიერთობა მომწოდებლებთან
	A.16 ინციდენტების მართვა
	A.17 ბიზნესის უწყვეტობა
	A.18 შესაბამისობა კანონმდებლობასთან

"დანართის A" მოთხოვნები სავალდებულოა, მაგრამ სტანდარტი საშუალებას გაძლევთ გამორიცხოთ ის სფეროები, რომლებიც არ შეიძლება გამოყენებულ იქნას საწარმოში.

საწარმოში სტანდარტის შემდგომი სერტიფიცირებისთვის დანერგვისას, უნდა გვახსოვდეს, რომ 4-10 განყოფილებებში დადგენილი მოთხოვნების გამონაკლისი არ არის დაშვებული.

დავიწყოთ მე-4 ნაწილით - ორგანიზაციული კონტექსტი

ორგანიზაციის კონტექსტი

ამ განყოფილებაში სტანდარტი მოითხოვს ორგანიზაციას განსაზღვროს გარე და შიდა საკითხები, რომლებიც მნიშვნელოვანია მისი მიზნებისთვის და რომლებიც გავლენას ახდენენ მისი ISMS-ის უნარზე მიაღწიოს დანიშნულ შედეგებს. ეს უნდა ითვალისწინებდეს საკანონმდებლო და მარეგულირებელ მოთხოვნებს და სახელშეკრულებო ვალდებულებებს ინფორმაციის უსაფრთხოებასთან დაკავშირებით. ორგანიზაციამ ასევე უნდა განსაზღვროს და დააკონკრეტოს ISMS-ის საზღვრები და გამოყენებადობა, რათა დადგინდეს მისი ფარგლები.

ლიდერობა

უმაღლესმა მენეჯმენტმა უნდა აჩვენოს ლიდერობა და ერთგულება ინფორმაციული უსაფრთხოების მართვის სისტემის მიმართ, მაგალითად, ამის უზრუნველსაყოფად საინფორმაციო პოლიტიკაუსაფრთხოებისა და ინფორმაციის უსაფრთხოების მიზნები დადგენილია და შეესაბამება ორგანიზაციის სტრატეგიას. ასევე უფროსი მენეჯმენტიუნდა უზრუნველყოს ISMS-ისთვის ყველა საჭირო რესურსის უზრუნველყოფა. სხვა სიტყვებით რომ ვთქვათ, თანამშრომლებისთვის აშკარა უნდა იყოს, რომ მენეჯმენტი ჩართულია ინფორმაციული უსაფრთხოების საკითხებში.

ინფორმაციის უსაფრთხოების პოლიტიკა უნდა იყოს დოკუმენტირებული და ეცნობოს თანამშრომლებს. ეს დოკუმენტი ჰგავს ISO 9001 ხარისხის პოლიტიკას, ის ასევე უნდა შეესაბამებოდეს ორგანიზაციის მიზანს და მოიცავდეს ინფორმაციის უსაფრთხოების მიზნებს. კარგი იქნება, თუ ეს იქნება რეალური მიზნები, როგორიცაა ინფორმაციის კონფიდენციალობისა და მთლიანობის დაცვა.

მენეჯმენტს ასევე მოელიან თანამშრომლებს შორის ინფორმაციის უსაფრთხოებასთან დაკავშირებული ფუნქციებისა და პასუხისმგებლობების განაწილება.

დაგეგმვა

ამ განყოფილებაში მივდივართ პირველ ეტაპზე მენეჯერული პრინციპი PDCA (Plan - Do - Check - Act) - დაგეგმვა, შესრულება, შემოწმება, მოქმედება.

ინფორმაციული უსაფრთხოების მართვის სისტემის დაგეგმვისას ორგანიზაციამ უნდა გაითვალისწინოს მე-4 პუნქტში აღნიშნული საკითხები და განსაზღვროს რისკები და პოტენციური შესაძლებლობები, რომლებიც მხედველობაში უნდა იქნას მიღებული იმისათვის, რომ ISMS-მა შეძლოს მიაღწიოს დანიშნულ შედეგებს, თავიდან აიცილოს არასასურველი ეფექტები და მიაღწიეთ მუდმივ გაუმჯობესებას.

ინფორმაციული უსაფრთხოების მიზნების მისაღწევად, ორგანიზაციამ უნდა განსაზღვროს:

• რა გაკეთდება;
• რა რესურსები იქნება საჭირო;
• ვინ იქნება პასუხისმგებელი;
• როდის მიიღწევა მიზნები;
• როგორ შეფასდება შედეგები.

გარდა ამისა, ორგანიზაციამ უნდა შეინარჩუნოს ინფორმაციის უსაფრთხოების მიზნები, როგორც დოკუმენტირებული ინფორმაცია.

უსაფრთხოება

ორგანიზაციამ უნდა განსაზღვროს და უზრუნველყოს ISMS-ის შემუშავების, განხორციელების, შენარჩუნებისა და მუდმივი გაუმჯობესების რესურსები, რაც მოიცავს როგორც პერსონალს, ასევე დოკუმენტაციას. საკადრო კუთხით, ორგანიზაციას მოელიან ინფორმაციული უსაფრთხოების სფეროში კვალიფიციური და კომპეტენტური თანამშრომლების შერჩევას. თანამშრომელთა კვალიფიკაცია უნდა დადასტურდეს სერტიფიკატებით, დიპლომებით და ა.შ. შესაძლებელია ხელშეკრულებით მესამე მხარის სპეციალისტების ჩართვა, ან საკუთარი თანამშრომლების მომზადება. რაც შეეხება დოკუმენტაციას, ის უნდა შეიცავდეს:

• სტანდარტით მოთხოვნილი დოკუმენტირებული ინფორმაცია;
• ორგანიზაციის მიერ განსაზღვრული დოკუმენტირებული ინფორმაცია, რომელიც აუცილებელია ინფორმაციის უსაფრთხოების მართვის სისტემის ეფექტურობის უზრუნველსაყოფად.

ISMS-ით და სტანდარტით მოთხოვნილი დოკუმენტირებული ინფორმაცია უნდა იყოს კონტროლირებადი იმისთვის, რომ ის:

• ხელმისაწვდომი და შესაფერისი გამოსაყენებლად, სადაც და როცა საჭიროა, და
• ადეკვატურად არის დაცული (მაგალითად, კონფიდენციალურობის დაკარგვისგან, ბოროტად გამოყენების ან მთლიანობის დაკარგვისგან).

ოპერაცია

ეს განყოფილება ეხება PDCA მენეჯმენტის პრინციპის მეორე ეტაპს - აუცილებლობას, რომ ორგანიზაცია მართოს პროცესები შესაბამისობის უზრუნველსაყოფად და განახორციელოს დაგეგმვის განყოფილებაში განსაზღვრული ქმედებები. მასში ასევე ნათქვამია, რომ ორგანიზაციამ უნდა შეასრულოს ინფორმაციული უსაფრთხოების რისკის შეფასება დაგეგმილი ინტერვალებით ან როდესაც შემოთავაზებულია ან მოხდა მნიშვნელოვანი ცვლილებები. ორგანიზაციამ უნდა შეინახოს ინფორმაციული უსაფრთხოების რისკის შეფასების შედეგები, როგორც დოკუმენტირებული ინფორმაცია.

შესრულების შეფასება

მესამე ეტაპი არის შემოწმება. ორგანიზაციამ უნდა შეაფასოს ISMS-ის მოქმედება და ეფექტურობა. მაგალითად, მან უნდა ჩაატაროს შიდა აუდიტი ინფორმაციის მისაღებად

1. შეესაბამება თუ არა ინფორმაციული უსაფრთხოების მართვის სისტემა?
   • ორგანიზაციის საკუთარი მოთხოვნები ინფორმაციული უსაფრთხოების მართვის სისტემის მიმართ;
   • სტანდარტის მოთხოვნები;
2. რომ ინფორმაციული უსაფრთხოების მართვის სისტემა ეფექტურად დანერგილია და ფუნქციონირებს.

რა თქმა უნდა, აუდიტის მოცულობა და დრო წინასწარ უნდა დაიგეგმოს. ყველა შედეგი უნდა იყოს დოკუმენტირებული და შენახული.

გაუმჯობესება

ამ განყოფილების არსი არის მოქმედების კურსის განსაზღვრა, როდესაც გამოვლენილია შეუსაბამობა. ორგანიზაციამ უნდა გამოასწოროს შეუსაბამობა, შედეგები და ჩაატაროს სიტუაციის ანალიზი, რათა ეს არ მოხდეს მომავალში. ყველა შეუსაბამობა და მაკორექტირებელი ქმედება უნდა იყოს დოკუმენტირებული.

ამით მთავრდება სტანდარტის ძირითადი სექციები. დანართი A შეიცავს უფრო კონკრეტულ მოთხოვნებს, რომლებსაც ორგანიზაცია უნდა აკმაყოფილებდეს. მაგალითად, წვდომის კონტროლის თვალსაზრისით, გამოიყენეთ მობილური მოწყობილობებიდა შენახვის მედია.

ISO 27001 დანერგვისა და სერტიფიცირების უპირატესობები

• ორგანიზაციის სტატუსის და შესაბამისად პარტნიორების ნდობის გაზრდა;
• ორგანიზაციის ფუნქციონირების სტაბილურობის გაზრდა;
• ინფორმაციული უსაფრთხოების საფრთხეებისგან დაცვის დონის გაზრდა;
• დაინტერესებული მხარეების ინფორმაციის კონფიდენციალურობის აუცილებელი დონის უზრუნველყოფა;
• დიდ კონტრაქტებში ორგანიზაციის მონაწილეობის გაფართოება.

ეკონომიკური უპირატესობებია:

• სერტიფიკაციის ორგანოს მიერ ორგანიზაციაში ყოფნის დამოუკიდებელი დადასტურება მაღალი დონისინფორმაციული უსაფრთხოება კომპეტენტური პერსონალის ზედამხედველობით;
• შესაბამისობის მტკიცებულება მოქმედი კანონებიდა რეგულაციები (სავალდებულო მოთხოვნების სისტემის დაცვა);
• გარკვეული მაღალი დონის მართვის სისტემების დემონსტრირება ორგანიზაციის კლიენტებისა და პარტნიორების მომსახურების სათანადო დონის უზრუნველსაყოფად;
• მენეჯმენტის სისტემების რეგულარული აუდიტის ჩატარების, შესრულების შეფასების და მუდმივი გაუმჯობესების დემონსტრირება.

სერტიფიცირება

ორგანიზაცია შეიძლება იყოს სერტიფიცირებული ამ სტანდარტით აკრედიტებული სააგენტოების მიერ. სერტიფიცირების პროცესი შედგება სამი ეტაპისგან:

• ეტაპი 1 - აუდიტორის მიერ ძირითადი ISMS დოკუმენტების შემოწმება სტანდარტის მოთხოვნებთან შესაბამისობაში - შეიძლება განხორციელდეს როგორც ორგანიზაციის ტერიტორიაზე, ასევე ამ დოკუმენტების გარე აუდიტორზე გადაცემით;
• ეტაპი 2 - დეტალური აუდიტი, მათ შორის განხორციელებული ღონისძიებების ტესტირება და მათი ეფექტურობის შეფასება. მოიცავს სტანდარტით მოთხოვნილი დოკუმენტების სრულ შესწავლას;
• ეტაპი 3 - სათვალთვალო აუდიტის ჩატარება იმის დასადასტურებლად, რომ სერტიფიცირებული ორგანიზაცია აკმაყოფილებს მითითებულ მოთხოვნებს. შესრულებულია პერიოდულად.

ქვედა ხაზი

როგორც ხედავთ, ამ სტანდარტის გამოყენება საწარმოში საშუალებას მისცემს ხარისხობრივად გაზარდოს ინფორმაციის უსაფრთხოების დონე, რაც პირობებში თანამედროვე რეალობაბევრი ღირს. სტანდარტი შეიცავს ბევრ მოთხოვნას, მაგრამ ყველაზე მნიშვნელოვანი მოთხოვნაა, გააკეთო ის, რაც დაწერილია! სტანდარტის მოთხოვნების რეალური გამოყენების გარეშე ის იქცევა ფურცლების ცარიელ ნაკრებად.

მოქმედებს სარედაქციო საწყისი 27.12.2006

დოკუმენტის დასახელება	"საინფორმაციო ტექნოლოგიები. უსაფრთხოების მეთოდები და საშუალებები. საინფორმაციო უსაფრთხოების მართვის სისტემები. მოთხოვნები. GOST R ISO/IEC 27001-2006" (დამტკიცებულია როსტეხრეგულიროვანის ბრძანებით, 27 დეკემბერი, 2020, 27, 06
დოკუმენტის ტიპი	შეკვეთა, სტანდარტი, გოსტი, iso
მიმღები უფლებამოსილება	როსტეხრეგულიროვანიე
დოკუმენტის ნომერი	ISO/IEC 27001-2006
მიღების თარიღი	01.01.1970
გადახედვის თარიღი	27.12.2006
იუსტიციის სამინისტროში რეგისტრაციის თარიღი	01.01.1970
სტატუსი	მოქმედებს
გამოცემა	მონაცემთა ბაზაში შეტანის დროს დოკუმენტი არ გამოქვეყნებულა
ნავიგატორი	შენიშვნები

"საინფორმაციო ტექნოლოგიები. უსაფრთხოების მეთოდები და საშუალებები. საინფორმაციო უსაფრთხოების მართვის სისტემები. მოთხოვნები. GOST R ISO/IEC 27001-2006" (დამტკიცებულია როსტეხრეგულიროვანის ბრძანებით, 27 დეკემბერი, 2020, 27, 06

8. ინფორმაციული უსაფრთხოების მართვის სისტემის დახვეწა

8.1. უწყვეტი გაუმჯობესება

ორგანიზაციამ მუდმივად უნდა გააუმჯობესოს ISMS-ის ეფექტურობა IS პოლიტიკის, IS მიზნების, აუდიტის შედეგების გამოყენების, კონტროლირებადი მოვლენების განხილვის, მაკორექტირებელი და პრევენციული ქმედებებისა და მენეჯმენტის მიერ ISMS მიმოხილვის შედეგების დაზუსტებით (იხ. პუნქტი 7).

8.2. მაკორექტირებელი მოქმედებები

ორგანიზაციამ უნდა მიიღოს ზომები ISMS მოთხოვნების შეუსრულებლობის მიზეზების აღმოსაფხვრელად, რათა თავიდან აიცილოს მათი განმეორება. დოკუმენტირებული მაკორექტირებელი მოქმედების პროცედურა ადგენს მოთხოვნებს:

ა) შეუსაბამობების იდენტიფიცირება;

ბ) შეუსაბამობების მიზეზების დადგენა;

გ) შეუსაბამობების განმეორების თავიდან ასაცილებლად მოქმედების საჭიროების შეფასება;

დ) საჭირო მაკორექტირებელი ქმედებების გამოვლენა და განხორციელება;

ე) განხორციელებული ქმედებების შედეგების ჩანაწერების წარმოება (იხ. 4.3.3);

ვ) განხორციელებული მაკორექტირებელი მოქმედების განხილვა.

8.3. პრევენციული ქმედებები

ორგანიზაციამ უნდა განსაზღვროს აუცილებელი ქმედებები ISMS-ის მოთხოვნებთან პოტენციური შეუსაბამობის მიზეზების აღმოსაფხვრელად, რათა თავიდან აიცილოს მათი განმეორება. განხორციელებული პრევენციული ქმედებები უნდა შეესაბამებოდეს პოტენციური პრობლემების შედეგებს. პრევენციული ქმედებების განხორციელების დოკუმენტირებული პროცედურა ადგენს მოთხოვნებს:

ა) პოტენციური შეუსაბამობების და მათი მიზეზების იდენტიფიცირება;

ბ) შეუსაბამობების თავიდან ასაცილებლად მოქმედების საჭიროების შეფასება;

გ) აუცილებელი პრევენციული ღონისძიებების გამოვლენა და განხორციელება;

დ) განხორციელებული ქმედების შედეგების აღრიცხვა (იხ. 4.3.3);

ე) განხორციელებული ქმედების შედეგების ანალიზი.

ორგანიზაციამ უნდა განსაზღვროს ცვლილებები რისკის შეფასებაში და დაადგინოს მოთხოვნები პრევენციული ქმედებებისთვის, განსაკუთრებული ყურადღება დაუთმოს მნიშვნელოვნად შეცვლილ რისკის ქულებს.

პრევენციული ქმედებების განხორციელების პრიორიტეტები უნდა განისაზღვროს რისკის შეფასების შედეგების საფუძველზე.

შენიშვნა, როგორც წესი, შეუსაბამობების თავიდან ასაცილებლად ზომების მიღების ღირებულება უფრო ეკონომიურია, ვიდრე მაკორექტირებელი ქმედებების განხორციელება.

მართლაც, უხერხულია. ჩვენ შევატყობინეთ ISO 45001 სტანდარტის გარდაუვალი გამოშვების შესახებ, რომელმაც უნდა შეცვალოს შრომის უსაფრთხოების მართვის მოქმედი სტანდარტი OHSAS 18001, და ვთქვით, რომ მას უნდა ველოდოთ 2016 წლის ბოლოს... უკვე შუაღამეა და ჯერ კიდევ არ არის ჰერმანის კვალი. დროა ვაღიაროთ, რომ ISO 45001 დაგვიანებულია. მართალია, მიხედვით კარგი მიზეზები. უ ექსპერტთა საზოგადოებაძალიან ბევრი კითხვა იყო მისთვის. […]

ორმაგი სტატია მზად არის. სტანდარტიზაციის საერთაშორისო ორგანიზაციამ ნათლად დააფიქსირა თავისი პოზიცია პროდუქტებზე მისი სტანდარტების მარკირების გამოყენების შესახებ - ISO ამბობს "არა". თუმცა, მეწარმეებს მაინც სურთ ამის გაკეთება. როგორ უნდა იყვნენ ისინი? რატომაც არა, ზუსტად? კითხვის ფონი შემდეგია. როგორც გესმით, ISO სტანდარტები პირდაპირ არ არის დაკავშირებული მათზე სერტიფიცირებული საწარმოების მიერ წარმოებულ პროდუქტებთან. […]

დავამთავროთ თემა. ბოლო სტატიაში დავიწყეთ საუბარი QMS-ის რვა პრინციპზე. პრინციპები, რომლებზედაც აგებულია ნებისმიერი ხარისხის მართვის სისტემა. ჩვენი მიზანია ამ პრინციპების თარგმნა ბიზნეს მწვრთნელების ენიდან ადამიანურ ენაზე. რათა მათგან რეალური სარგებელი იყოს მიღებული. ჩვენ ვისაუბრეთ მომხმარებელზე ორიენტაციაზე. მათ ისაუბრეს იმაზე, თუ როგორ უნდა აწარმოონ არა „რაღაც [...]

ბევრი საუბრობს ხარისხის მენეჯმენტზე. მაგრამ რატომღაც ისინი ამას ისე ამბობენ, რომ საბოლოოდ არაფერია ნათელი. ეს ნიშნავს, რომ ხარისხის მენეჯმენტი სიტყვებად რჩება. ზედმეტად ჭკვიანური სიტყვები. მოდით გადავთარგმნოთ ისინი ნორმალურ ენაზე და გავიგოთ, რამდენად უწყობს ხელს ხარისხის მართვის პრინციპები კომპანიის საქმიანობის გაუმჯობესებას. მოდით გავაკეთოთ გრძელი პრელუდიების გარეშე. საერთო ჯამში, ამჟამად შესაბამისი ხარისხის მართვის სისტემები, რომელთაგან ყველაზე პოპულარული [...]

პროექტის მენეჯმენტი... დარწმუნებული ვარ, არის ბევრი ადამიანი, ვინც ზედმეტად დიდხანს უთმობს ყველანაირ ბიზნეს კონსულტანტთან ურთიერთობას – ახლა კი მხოლოდ ასეთი ფრაზის გაგონება მათ ოდნავ აწუხებს. რა უნდა გააკეთოს? მოდით, თავი დავანებოთ ბიზნეს კონსულტანტებს და საქმე ადამიანურ ენაზე გადავდოთ. პროექტის მენეჯმენტი სულაც არ არის თეთრ პერანგში გამოწყობილი ადამიანი, რომელიც ასახავს კომპლექსურ დიაგრამებს და დიაგრამებს მარკერით […]

BS ISO/IEC 27001:2005 სტანდარტი აღწერს ინფორმაციის უსაფრთხოების მართვის სისტემის (ISMS) მოდელს და გვთავაზობს მოთხოვნების ერთობლიობას საწარმოში ინფორმაციული უსაფრთხოების ორგანიზებისთვის ორგანიზაციის შემსრულებლების მიერ არჩეული განხორციელების მეთოდების მითითების გარეშე.

სტანდარტი გვთავაზობს PDCA (Plan-Do-Check-Act) მოდელის გამოყენებას ISMS სასიცოცხლო ციკლში, რომელიც მოიცავს განვითარებას, განხორციელებას, ექსპლუატაციას, კონტროლს, ანალიზს, მხარდაჭერას და გაუმჯობესებას (სურათი 1).

გეგმა - ISMS-ის შექმნის ფაზა, აქტივების სიის შექმნა, რისკების შეფასება და ზომების შერჩევა;

Do (Action) - შესაბამისი ღონისძიებების განხორციელებისა და განხორციელების ეტაპი;

შემოწმება - ISMS-ის ეფექტურობისა და შესრულების შეფასების ეტაპი. როგორც წესი, ხორციელდება შიდა აუდიტორების მიერ.

აქტი - პრევენციული და მაკორექტირებელი ქმედებების მიღება.

ISMS-ის შექმნის (და შემდგომი სერტიფიცირების) გადაწყვეტილებას იღებს ორგანიზაციის უმაღლესი მენეჯმენტი. ეს აჩვენებს მენეჯმენტის მხარდაჭერას და ბიზნესისთვის ISMS-ის ღირებულების დადასტურებას. ორგანიზაციის მენეჯმენტი იწყებს ISMS დაგეგმვის ჯგუფის შექმნას.

ISMS-ის დაგეგმვაზე პასუხისმგებელი ჯგუფი უნდა შეიცავდეს:

· ორგანიზაციის უმაღლესი მენეჯმენტის წარმომადგენლები;

· ISMS-ით დაფარული ბიზნეს ერთეულების წარმომადგენლები;

· ინფორმაციული უსაფრთხოების დეპარტამენტების სპეციალისტები;

· მესამე მხარის კონსულტანტები (საჭიროების შემთხვევაში).

IS კომიტეტი მხარს უჭერს ISMS-ის მუშაობას და მის მუდმივ გაუმჯობესებას.

სამუშაო ჯგუფიუნდა იხელმძღვანელოს მარეგულირებელი და მეთოდოლოგიური ჩარჩოებით, როგორც ISMS-ის შექმნასთან, ასევე ორგანიზაციის საქმიანობის სფეროსთან და, რა თქმა უნდა, სახელმწიფო კანონების ზოგადი სისტემით.

ISMS-ის შექმნის მარეგულირებელი ჩარჩო:

· ISO/IEC 27000:2009 ლექსიკა და განმარტებები.

ISO/IEC 27001:2005 ზოგადი მოთხოვნები ISMS-ზე.

ISO/IEC 27002:2005 პრაქტიკული სახელმძღვანელოინფორმაციის უსაფრთხოების მენეჯმენტზე.

· ISO/IEC 27003:2010 პრაქტიკული სახელმძღვანელო ISMS-ის განხორციელებისთვის.

· ISO/IEC 27004:2009 ინფორმაციული უსაფრთხოების მეტრიკა (გაზომვები).

· ISO/IEC 27005:2011 სახელმძღვანელო ინფორმაციული უსაფრთხოების რისკების მართვისათვის.

· ISO/IEC გზამკვლევი 73:2002, რისკის მენეჯმენტი - ლექსიკა - სტანდარტებში გამოყენების სახელმძღვანელო.

· ISO/IEC 13335-1:2004, ინფორმაციული ტექნოლოგია - უსაფრთხოების ტექნიკა - საინფორმაციო და საკომუნიკაციო ტექნოლოგიების უსაფრთხოების მენეჯმენტი - ნაწილი 1: ცნებები და მოდელები საინფორმაციო და საკომუნიკაციო ტექნოლოგიების უსაფრთხოების მართვისთვის.

· ISO/IEC TR 18044 ინფორმაციული ტექნოლოგია - უსაფრთხოების ტექნიკა - ინფორმაციული უსაფრთხოების ინციდენტების მართვა.

· ISO/IEC 19011:2002 სახელმძღვანელო ხარისხის ან/და გარემოსდაცვითი მართვის სისტემების აუდიტისთვის.

· ბრიტანეთის სტანდარტების ინსტიტუტის ISMS-ის შექმნის მეთოდების სერია (ადრე: PD 3000 სერიის დოკუმენტები).

ISMS-ის შექმნის პროცესი შედგება 4 ეტაპისგან:

ეტაპი 1. ISMS დაგეგმვა.

რისკების მართვასთან და ინფორმაციის უსაფრთხოებასთან დაკავშირებული პოლიტიკის, მიზნების, პროცესებისა და პროცედურების ჩამოყალიბება შესაბამისად ზოგადი პოლიტიკადა ორგანიზაციის მიზნები.

ა) ISMS-ის ფარგლების და საზღვრების განსაზღვრა:

· ორგანიზაციის საქმიანობის ტიპისა და ბიზნეს მიზნების აღწერა;

· ISMS-ით დაფარული სისტემების საზღვრების მითითება;

· ორგანიზაციის აქტივების აღწერა (ინფორმაციული რესურსების სახეები, პროგრამული უზრუნველყოფა ტექნიკური საშუალებები, პერსონალი და ორგანიზაციული სტრუქტურა);

· ბიზნეს პროცესების აღწერა, რომლებიც იყენებენ დაცულ ინფორმაციას.

სისტემის საზღვრების აღწერა მოიცავს:

ორგანიზაციის არსებული სტრუქტურის აღწერა (თან შესაძლო ცვლილებებირაც შეიძლება წარმოიშვას განვითარებასთან დაკავშირებით საინფორმაციო სისტემა).

დაცული საინფორმაციო სისტემის რესურსები ( კომპიუტერული ტექნოლოგია, ინფორმაცია, სისტემა და აპლიკაციის პროგრამული უზრუნველყოფა). მათ შესაფასებლად უნდა შეირჩეს კრიტერიუმების სისტემა და ამ კრიტერიუმების მიხედვით შეფასებების მიღების მეთოდოლოგია (კატეგორიზაცია).

ინფორმაციის დამუშავების ტექნოლოგია და გადასაჭრელი პრობლემები. ამოცანების გადასაჭრელად, ინფორმაციის დამუშავების მოდელები უნდა აშენდეს რესურსების თვალსაზრისით.

ორგანიზაციის საინფორმაციო სისტემის და დამხმარე ინფრასტრუქტურის დიაგრამა.

როგორც წესი, ამ ეტაპზე დგება დოკუმენტი, რომელიც აფიქსირებს საინფორმაციო სისტემის საზღვრებს, სიებს საინფორმაციო რესურსებიდაცვას დაქვემდებარებული კომპანიები უზრუნველყოფენ კომპანიის საინფორმაციო აქტივების ღირებულების შეფასების კრიტერიუმებისა და მეთოდების სისტემას.

ბ) ორგანიზაციის ISMS პოლიტიკის განსაზღვრა (SDS-ის გაფართოებული ვერსია).

· ინფორმაციულ უსაფრთხოებასთან დაკავშირებით საქმიანობის მიზნები, მიმართულებები და პრინციპები;

· ორგანიზაციაში რისკის მართვის სტრატეგიის (მიდგომების) აღწერა, ინფორმაციის დასაცავად კონტრზომების სტრუქტურირება სახის მიხედვით (სამართლებრივი, ორგანიზაციული, აპარატურული და პროგრამული, საინჟინრო);

· რისკის მნიშვნელოვნების კრიტერიუმების აღწერა;

· მენეჯმენტის პოზიცია, ინფორმაციული უსაფრთხოების თემებზე შეხვედრების სიხშირის განსაზღვრა მენეჯმენტის დონეზე, ინფორმაციული უსაფრთხოების პოლიტიკის დებულებების პერიოდული განხილვის ჩათვლით, აგრეთვე ინფორმაციული უსაფრთხოების შესახებ საინფორმაციო სისტემის ყველა კატეგორიის მომხმარებლის მომზადების პროცედურა. საკითხები.

გ) ორგანიზაციაში რისკის შეფასების მიდგომის განსაზღვრა.

რისკის შეფასების მეთოდოლოგია შეირჩევა ISMS-ის, ინფორმაციული უსაფრთხოებისთვის დადგენილი ბიზნეს მოთხოვნების, სამართლებრივი და მარეგულირებელი მოთხოვნების მიხედვით.

რისკის შეფასების მეთოდოლოგიის არჩევანი დამოკიდებულია ორგანიზაციაში ინფორმაციული უსაფრთხოების რეჟიმის მოთხოვნების დონეზე, გათვალისწინებული საფრთხეების ბუნებაზე (საფრთხის გავლენის სპექტრი) და ინფორმაციის დასაცავად პოტენციური კონტრზომების ეფექტურობაზე. კერძოდ, არსებობს ინფორმაციული უსაფრთხოების რეჟიმის ძირითადი, ასევე გაზრდილი ან სრული მოთხოვნები.

ინფორმაციული უსაფრთხოების რეჟიმის მინიმალური მოთხოვნები შეესაბამება ინფორმაციული უსაფრთხოების საბაზისო დონეს. ასეთი მოთხოვნები ვრცელდება, როგორც წესი, სტანდარტული დიზაინის გადაწყვეტილებებზე. არსებობს მთელი რიგი სტანდარტები და სპეციფიკაციები, რომლებიც ითვალისწინებს ყველაზე სავარაუდო საფრთხეების მინიმალურ (ტიპიურ) კომპლექტს, როგორიცაა: ვირუსები, ტექნიკის გაუმართაობა, არასანქცირებული წვდომა და ა.შ. მათი განხორციელება და დაუცველობის რესურსები. ამრიგად, არ არის აუცილებელი საბაზისო დონეზე საფრთხის მახასიათებლების გათვალისწინება. ამ სფეროში უცხოური სტანდარტებია ISO 27002, BSI, NIST და ა.შ.

იმ შემთხვევებში, როდესაც ინფორმაციული უსაფრთხოების რეჟიმის დარღვევა იწვევს სერიოზულ შედეგებს, დაწესებულია დამატებითი გაზრდილი მოთხოვნები.

დამატებითი გაზრდილი მოთხოვნების ჩამოსაყალიბებლად აუცილებელია:

რესურსების ღირებულების განსაზღვრა;

სტანდარტის კომპლექტს დაუმატეთ შესასწავლი საინფორმაციო სისტემის შესაბამისი საფრთხეების სია;

შეაფასეთ საფრთხეების ალბათობა;

რესურსების მოწყვლადობის იდენტიფიცირება;

შეაფასეთ პოტენციური ზიანი თავდამსხმელთა გავლენისგან.

აუცილებელია რისკის შეფასების მეთოდოლოგიის შერჩევა, რომელიც შეიძლება გამოყენებულ იქნას მინიმალური ცვლილებებით მუდმივად. არსებობს ორი გზა: გამოიყენეთ ბაზარზე არსებული მეთოდები და ინსტრუმენტები რისკის შეფასებისთვის ან შექმენით თქვენი საკუთარი მეთოდოლოგია, რომელიც ადაპტირებულია კომპანიის სპეციფიკაზე და ISMS-ით დაფარული საქმიანობის სფეროზე.

ბოლო ვარიანტი ყველაზე სასურველია, რადგან ჯერჯერობით ბაზარზე არსებული პროდუქციის უმრავლესობა, რომელიც ახორციელებს რისკის ანალიზის ამა თუ იმ ტექნიკას, არ აკმაყოფილებს სტანდარტის მოთხოვნებს. ასეთი მეთოდების ტიპიური უარყოფითი მხარეა:

· სტანდარტული ნაკრებისაფრთხეები და დაუცველობა, რომელთა შეცვლა ხშირად შეუძლებელია;

· მხოლოდ პროგრამული უზრუნველყოფის, აპარატურის და საინფორმაციო რესურსების აქტივებად მიღება - ადამიანური რესურსების, სერვისების და სხვა მნიშვნელოვანი რესურსების გათვალისწინების გარეშე;

· ტექნიკის საერთო სირთულე მისი მდგრადი და განმეორებითი გამოყენების თვალსაზრისით.

· რისკების მიღების კრიტერიუმები და რისკის მისაღები დონეები (უნდა ეფუძნებოდეს ორგანიზაციის სტრატეგიული, ორგანიზაციული და მართვის მიზნების მიღწევას).

დ) რისკის იდენტიფიკაცია.

· აქტივების და მათი მფლობელების იდენტიფიცირება

ინფორმაციის შეყვანა;

ინფორმაციის გამომავალი;

საინფორმაციო ჩანაწერები;

რესურსები: ხალხი, ინფრასტრუქტურა, აღჭურვილობა, პროგრამული უზრუნველყოფა, ხელსაწყოები, სერვისები.

· საფრთხის იდენტიფიკაცია (რისკის შეფასების სტანდარტები ხშირად გვთავაზობენ საფრთხეების კლასებს, რომელთა დამატება და გაფართოება შესაძლებელია).

· დაუცველობის იდენტიფიკაცია (ასევე არის ყველაზე გავრცელებული მოწყვლადობის სიები, რომლებსაც შეგიძლიათ დაეყრდნოთ თქვენი ორგანიზაციის ანალიზისას).

· აქტივების ღირებულების განსაზღვრა (კონფიდენციალურობის, მთლიანობისა და აქტივების ხელმისაწვდომობის დაკარგვის შესაძლო შედეგები). აქტივის ღირებულების შესახებ ინფორმაციის მიღება შესაძლებელია მისი მფლობელისგან ან იმ პირისგან, რომელსაც მფლობელმა გადასცა აქტივზე ყველა უფლებამოსილება, მათ შორის მისი უსაფრთხოების უზრუნველყოფა.

ე) რისკის შეფასება.

· ზიანის შეფასება, რომელიც შეიძლება მიაყენოს ბიზნესს კონფიდენციალურობის, მთლიანობისა და აქტივების ხელმისაწვდომობის დაკარგვით.

· არსებული მოწყვლადობით საფრთხის განხორციელების ალბათობის შეფასება, ინფორმაციული უსაფრთხოების არსებული კონტროლის გათვალისწინებით და შესაძლო ზიანის შეფასება;

· რისკის დონის განსაზღვრა.

რისკის მიღების კრიტერიუმების გამოყენება (მისაღები/საჭიროა მკურნალობა).

ვ) რისკის მკურნალობა (რისკების მართვის შერჩეული სტრატეგიის შესაბამისად).

შესაძლო მოქმედებები:

პასიური მოქმედებები:

რისკის მიღება (გადაწყვეტილება რისკის შედეგად მიღებული დონის დასაშვებობის შესახებ);

რისკის თავიდან აცილება (გადაწყვეტილება შეცვალოს აქტივობები, რომლებიც იწვევს რისკის მოცემულ დონეს - ვებ სერვერის გადატანა საზღვრებს გარეთ ლოკალური ქსელი);

აქტიური მოქმედებები:

რისკის შემცირება (ორგანიზაციული და ტექნიკური კონტრზომების გამოყენებით);

რისკის გადაცემა (დაზღვევა (ცეცხლი, ქურდობა, პროგრამული შეცდომები)).

შესაძლო ქმედებების არჩევანი დამოკიდებულია მიღებულ რისკის კრიტერიუმებზე (მიუთითებულია რისკის მისაღები დონე, რისკის დონეები, რომელიც შეიძლება შემცირდეს ინფორმაციული უსაფრთხოების კონტროლით, რისკის დონეები, რომლებზეც რეკომენდებულია აქტივობის მიტოვება ან გარდაქმნა, რომელიც იწვევს მას, და რისკები, რომელთა გადაცემაც სასურველია სხვა მხარეებზე).

ზ) რისკის მკურნალობის მიზნებისა და კონტროლის მექანიზმების შერჩევა.

მიზნებმა და კონტროლებმა უნდა განახორციელონ რისკის მართვის სტრატეგია, გაითვალისწინონ რისკების მიღების კრიტერიუმები და საკანონმდებლო, მარეგულირებელი და სხვა მოთხოვნები.

ISO 27001-2005 სტანდარტი ითვალისწინებს მიზნებისა და კონტროლის ჩამონათვალს, როგორც რისკის მკურნალობის გეგმის (ISMS მოთხოვნები) შექმნის საფუძველს.

რისკის მკურნალობის გეგმა შეიცავს პრიორიტეტული ღონისძიებების ჩამონათვალს რისკის დონის შესამცირებლად, რომელშიც მითითებულია:

· ამ საქმიანობის განხორციელებაზე პასუხისმგებელი პირები და საშუალებები;

· აქტივობების განხორციელების დრო და მათი განხორციელების პრიორიტეტები;

· რესურსები ასეთი აქტივობების განსახორციელებლად;

ნარჩენი რისკების დონეები ღონისძიებებისა და კონტროლის განხორციელების შემდეგ.

რისკის მკურნალობის გეგმის მიღებას და მის განხორციელებაზე კონტროლს ახორციელებს ორგანიზაციის უმაღლესი მენეჯმენტი. გეგმის ძირითადი აქტივობების დასრულება არის ISMS-ის ამოქმედების შესახებ გადაწყვეტილების მიღების კრიტერიუმი.

ამ ეტაპზე გამართლებულია ინფორმაციული უსაფრთხოების სხვადასხვა საწინააღმდეგო ზომების შერჩევა, სტრუქტურირებული ინფორმაციული უსაფრთხოების მარეგულირებელი, ორგანიზაციული, მენეჯერული, ტექნოლოგიური და აპარატურულ-პროგრამული დონის მიხედვით. (შემდეგ, შერჩეული მართვის სტრატეგიის შესაბამისად განხორციელდება კონტრზომების ნაკრები საინფორმაციო რისკები). რისკის ანალიზის სრულ ვერსიაში კონტრზომების ეფექტურობა დამატებით ფასდება თითოეული რისკისთვის.

თ) შემოთავაზებული ნარჩენი რისკის მენეჯმენტის დამტკიცება.

ი) ISMS-ის დანერგვისა და ექსპლუატაციაში შესვლის თაობაზე მენეჯმენტის თანხმობის მიღება.

კ) განცხადება გამოყენებადობის შესახებ (ისო 27001-2005-ის შესაბამისად).

ISMS-ის ამოქმედების თარიღი არის კომპანიის უმაღლესი მენეჯმენტის მიერ კონტროლის გამოყენების რეგლამენტის დამტკიცების თარიღი, რომელიც აღწერს ორგანიზაციის მიერ არჩეულ მიზნებსა და საშუალებებს რისკების მართვისთვის:

· რისკის მკურნალობის ეტაპზე შერჩეული მართვისა და კონტროლის ინსტრუმენტები;

· ორგანიზაციაში უკვე არსებული მართვისა და კონტროლის ინსტრუმენტები;

· საშუალებები მარეგულირებელი ორგანიზაციების საკანონმდებლო მოთხოვნებთან და მოთხოვნებთან შესაბამისობის უზრუნველსაყოფად;

· მომხმარებელთა მოთხოვნების შესრულების უზრუნველყოფის საშუალებები;

· საშუალებები ზოგად კორპორატიულ მოთხოვნებთან შესაბამისობის უზრუნველსაყოფად;

· ნებისმიერი სხვა შესაბამისი კონტროლი და კონტროლი.

ეტაპი 2. ISMS-ის დანერგვა და ექსპლუატაცია.

ინფორმაციული უსაფრთხოების პოლიტიკის, კონტროლის, პროცესებისა და პროცედურების განსახორციელებლად და ფუნქციონირებისთვის ინფორმაციული უსაფრთხოების სფეროში ხორციელდება შემდეგი ქმედებები:

ა) რისკის მკურნალობის გეგმის შემუშავება (დაგეგმილი კონტროლის აღწერა, რესურსები (პროგრამული უზრუნველყოფა, აპარატურა, პერსონალი), რომლებიც საჭიროა მათი განსახორციელებლად, მხარდაჭერა, კონტროლი და მართვის პასუხისმგებლობა ინფორმაციული უსაფრთხოების რისკის მართვისთვის (დოკუმენტების შემუშავება დაგეგმვის ეტაპზე, მხარდაჭერა. ინფორმაციული უსაფრთხოების მიზნები, როლების განსაზღვრა და პასუხისმგებლობა, ISMS-ის შესაქმნელად საჭირო რესურსების უზრუნველყოფა, აუდიტი და ანალიზი).

ბ) რისკის მკურნალობის გეგმის განსახორციელებლად დაფინანსების, როლებისა და პასუხისმგებლობების გამოყოფა.

გ) დაგეგმილი კონტროლის განხორციელება.

დ) საკონტროლო ინსტრუმენტების შესრულების საორიენტაციო ნიშნების (მეტრიკის) განსაზღვრა და მათი გაზომვის მეთოდები, რომლებიც უზრუნველყოფენ შესადარებელ და განმეორებად შედეგებს.

ე) ინფორმაციული უსაფრთხოების სფეროში პერსონალის კვალიფიკაციისა და ცნობიერების ამაღლება სამუშაო პასუხისმგებლობის შესაბამისად.

ვ) ISMS-ის ფუნქციონირების მართვა, ISMS-ის შენარჩუნების, კონტროლისა და გაუმჯობესების რესურსების მართვა.

ზ) პროცედურების და სხვა კონტროლის განხორციელება ინფორმაციული უსაფრთხოების ინციდენტების სწრაფად გამოვლენისა და რეაგირების მიზნით.

ეტაპი 3. ISMS-ის ფუნქციონირების მუდმივი მონიტორინგი და ანალიზი.

ეტაპი მოიცავს პროცესის შესრულების ძირითადი ინდიკატორების შეფასებას ან გაზომვას, შედეგების ანალიზს და მენეჯმენტისთვის ანგარიშების მიწოდებას ანალიზისთვის და მოიცავს:

ა) უწყვეტი მონიტორინგისა და ანალიზის ჩატარება (საშუალებას გაძლევთ სწრაფად გამოავლინოთ შეცდომები ISMS-ის ფუნქციონირებაში, სწრაფად გამოავლინოთ და უპასუხოთ უსაფრთხოების ინციდენტებს, განასხვავოთ პერსონალის როლები და ავტომატური სისტემები ISMS-ში აღკვეთეთ უსაფრთხოების ინციდენტები უჩვეულო ქცევის ანალიზით, განსაზღვრეთ უსაფრთხოების ინციდენტების დამუშავების ეფექტურობა).

ბ) ISMS-ის ეფექტურობის რეგულარული მიმოხილვის ჩატარება (ISMS პოლიტიკასთან და მიზნებთან შესაბამისობა, აუდიტი, ძირითადი ინდიკატორებიეფექტურობა, წინადადებები და დაინტერესებული მხარეების რეაქციები).

გ) კონტროლის ეფექტურობის გაზომვა დაცვის მოთხოვნების დაკმაყოფილების დასადასტურებლად

დ) რისკების პერიოდული ხელახალი შეფასება, ნარჩენი რისკების ანალიზი და მისაღები რისკის დონის განსაზღვრა ორგანიზაციაში ნებისმიერი ცვლილებისთვის (ბიზნესის მიზნები და პროცესები, იდენტიფიცირებული საფრთხეები, ახლად გამოვლენილი მოწყვლადობა და ა.შ.)

ე) პერიოდული შიდა აუდიტი ISMB.

ISMS აუდიტი – შერჩეული კონტრზომების შესაბამისობის შემოწმება ორგანიზაციის სამრეწველო უსაფრთხოების პოლიტიკაში დეკლარირებული ბიზნესის მიზნებთან და მის შედეგებზე დაყრდნობით, ფასდება ნარჩენი რისკები და, საჭიროების შემთხვევაში, ხორციელდება მათი ოპტიმიზაცია.

ვ) ISMS-ის სფეროსა და ტენდენციების რეგულარული მიმოხილვა მენეჯმენტის მიერ.

ზ) რისკის მართვის გეგმების განახლება კონტროლისა და ანალიზის შედეგების ასახვის მიზნით.

თ) მოვლენების ჟურნალის შენარჩუნება, რომლებმაც უარყოფითი გავლენა მოახდინეს ISMS-ის ეფექტურობასა და ხარისხზე.

ეტაპი 4. ISMS-ის მხარდაჭერა და გაუმჯობესება.

ISMS შიდა აუდიტისა და მენეჯმენტის ანალიზის შედეგების საფუძველზე შემუშავებულია და ხორციელდება მაკორექტირებელი და პრევენციული ქმედებები, რომლებიც მიმართულია უწყვეტი გაუმჯობესება ISMS:

ა) ინფორმაციული უსაფრთხოების პოლიტიკის გაუმჯობესება, ინფორმაციის დაცვის მიზნები, აუდიტის ჩატარება, დაკვირვებული მოვლენების ანალიზი.

ბ) მაკორექტირებელი და პრევენციული ღონისძიებების შემუშავება და განხორციელება მოთხოვნებთან ISMS-ის შეუსაბამობის აღმოსაფხვრელად.

გ) ISMS-ის გაუმჯობესების მონიტორინგი.

თქვენი კარგი ნამუშევრის ცოდნის ბაზაზე წარდგენა მარტივია. გამოიყენეთ ქვემოთ მოცემული ფორმა

სტუდენტები, კურსდამთავრებულები, ახალგაზრდა მეცნიერები, რომლებიც იყენებენ ცოდნის ბაზას სწავლასა და მუშაობაში, ძალიან მადლობლები იქნებიან თქვენი.

გამოქვეყნებულია http://www.allbest.ru/

"ინფორმაციული უსაფრთხოების მართვის სისტემა"

მართვის საერთაშორისო სტანდარტი

INდირიჟორობა

ინფორმაციული უსაფრთხოების მართვის სისტემა არის პროცესების ერთობლიობა, რომელიც მოქმედებს კომპანიის შიგნით, რათა უზრუნველყოს ინფორმაციული აქტივების კონფიდენციალურობა, მთლიანობა და ხელმისაწვდომობა. რეფერატის პირველ ნაწილში განხილულია ორგანიზაციაში მენეჯმენტის სისტემის დანერგვის პროცესი და ასევე წარმოდგენილია ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვით მიღებული სარგებლის ძირითადი ასპექტები.

ნახ.1. საკონტროლო ციკლი

პროცესებისა და რეკომენდაციების ჩამონათვალი, თუ როგორ უნდა მოხდეს მათი ფუნქციონირების საუკეთესო ორგანიზება, მოცემულია საერთაშორისო სტანდარტში ISO 27001:2005, რომელიც ეფუძნება Plan-Do-Check-Act მართვის ციკლს. მისი თქმით სიცოცხლის ციკლი ISMS შედგება ოთხი ტიპის აქტივობებისგან: შექმნა - განხორციელება და ექსპლუატაცია - მონიტორინგი და ანალიზი - შენარჩუნება და გაუმჯობესება (ნახ. 1). ეს სტანდარტი უფრო დეტალურად იქნება განხილული მეორე ნაწილში.

თანსისტემამენეჯმენტისაინფორმაციოუსაფრთხოება

ინფორმაციული უსაფრთხოების მართვის სისტემა (ISMS) არის საერთო მართვის სისტემის ის ნაწილი, რომელიც დაფუძნებულია ბიზნეს რისკის მიდგომაზე ინფორმაციის უსაფრთხოების შექმნის, დანერგვის, ექსპლუატაციის, მონიტორინგის, ანალიზის, მხარდაჭერისა და გაუმჯობესების მიზნით. ISMS პროცესები იქმნება ISO/IEC 27001:2005 სტანდარტის მოთხოვნების შესაბამისად, რომელიც ეფუძნება ციკლს

სისტემის მუშაობა ეფუძნება მიდგომებს თანამედროვე თეორიამართვის რისკები, რაც უზრუნველყოფს მის ინტეგრაციას ორგანიზაციის რისკების მართვის საერთო სისტემაში.

ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა გულისხმობს პროცედურის შემუშავებას და განხორციელებას, რომელიც მიზნად ისახავს ინფორმაციული უსაფრთხოების რისკების სისტემატურ იდენტიფიცირებას, ანალიზს და შერბილებას, ანუ რისკებს, რის შედეგადაც ინფორმაციული აქტივები (ინფორმაცია ნებისმიერი ფორმითა და ბუნებით). დაკარგავს კონფიდენციალურობას, მთლიანობას და ხელმისაწვდომობას.

ინფორმაციული უსაფრთხოების რისკების სისტემატური შერბილების უზრუნველსაყოფად, რისკის შეფასების შედეგების საფუძველზე, ორგანიზაციაში ხორციელდება შემდეგი პროცესები:

· მენეჯმენტი შიდა ორგანიზაციაინფორმაციის უსაფრთხოება.

· ინფორმაციული უსაფრთხოების უზრუნველყოფა მესამე მხარეებთან ურთიერთობისას.

· საინფორმაციო აქტივების რეესტრის მართვა და მათი კლასიფიკაციის წესები.

· აღჭურვილობის უსაფრთხოების მართვა.

· ფიზიკური უსაფრთხოების უზრუნველყოფა.

· პერსონალის ინფორმაციული უსაფრთხოების უზრუნველყოფა.

· საინფორმაციო სისტემების დაგეგმვა და დანერგვა.

· სარეზერვო.

· ქსელის უსაფრთხოების უზრუნველყოფა.

ინფორმაციული უსაფრთხოების მართვის სისტემის პროცესები გავლენას ახდენს ორგანიზაციის IT ინფრასტრუქტურის მართვის ყველა ასპექტზე, ვინაიდან ინფორმაციული უსაფრთხოება საინფორმაციო ტექნოლოგიებთან დაკავშირებული პროცესების მდგრადი ფუნქციონირების შედეგია.

კომპანიებში ISMS-ის შექმნისას სპეციალისტები ასრულებენ შემდეგ სამუშაოებს:

· პროექტის მენეჯმენტის ორგანიზება, პროექტის გუნდის შექმნა დამკვეთისა და კონტრაქტორის მხრიდან;

· განსაზღვროს ISMS-ის საქმიანობის სფერო (OA);

· შეისწავლეთ ორგანიზაცია OD ISMS-ში:

o ორგანიზაციის ბიზნეს პროცესების თვალსაზრისით, ინფორმაციული უსაფრთხოების ინციდენტების უარყოფითი შედეგების ანალიზის ჩათვლით;

o ორგანიზაციის მართვის პროცესების, მათ შორის არსებული ხარისხის მართვისა და ინფორმაციული უსაფრთხოების მართვის პროცესების კუთხით;

o IT ინფრასტრუქტურასთან დაკავშირებით;

o საინფორმაციო უსაფრთხოების ინფრასტრუქტურასთან დაკავშირებით.

· შეიმუშავოს და დაამტკიცოს ანალიტიკური ანგარიში, რომელიც შეიცავს ძირითადი ბიზნეს პროცესების ჩამონათვალს და მათთან დაკავშირებით ინფორმაციული უსაფრთხოების საფრთხეების განხორციელების შედეგების შეფასებას, მართვის პროცესების, IT სისტემების, ინფორმაციის უსაფრთხოების ქვესისტემების (ISS), შეფასებას. რამდენად აკმაყოფილებს ორგანიზაცია ISO 27001-ის ყველა მოთხოვნას და ორგანიზაციის პროცესის სიმწიფის შეფასებას;

· შეარჩიოს ISMS სიმწიფის საწყისი და სამიზნე დონე, შეიმუშაოს და დაამტკიცოს ISMS სიმწიფის გაუმჯობესების პროგრამა; შეიმუშავეთ მაღალი დონის დოკუმენტაცია ინფორმაციული უსაფრთხოების სფეროში:

o ინფორმაციული უსაფრთხოების მხარდაჭერის კონცეფცია,

o IS და ISMS პოლიტიკა;

· ორგანიზაციაში მოქმედი რისკის შეფასების მეთოდოლოგიის შერჩევა და ადაპტირება;

· შეარჩიოს, მიაწოდოს და განათავსოს პროგრამული უზრუნველყოფა, რომელიც გამოიყენება ISMS პროცესების ავტომატიზაციისთვის, კომპანიის სპეციალისტების ტრენინგის ორგანიზება;

· ჩაატაროს რისკების შეფასება და დამუშავება, რომლის დროსაც მათ შესამცირებლად შეირჩევა 27001 სტანდარტის დანართი „A“ ზომები და ჩამოყალიბებულია ორგანიზაციაში მათი დანერგვის მოთხოვნები, წინასწარ შეირჩევა ინფორმაციული უსაფრთხოების უზრუნველყოფის ტექნიკური საშუალებები;

· PIB-ის წინასწარი პროექტების შემუშავება, რისკის მკურნალობის ღირებულების შეფასება;

· ორგანიზაციის უმაღლესი მენეჯმენტის მიერ რისკის შეფასების დამტკიცების ორგანიზება და გამოყენების რეგულაციების შემუშავება; ინფორმაციული უსაფრთხოების უზრუნველსაყოფად ორგანიზაციული ღონისძიებების შემუშავება;

· განავითაროს და განახორციელოს ტექნიკური პროექტებიტექნიკური ინფორმაციის უსაფრთხოების ქვესისტემების დანერგვის შესახებ, რომლებიც ხელს უწყობენ შერჩეული ღონისძიებების განხორციელებას, მათ შორის აღჭურვილობის მიწოდებას, ექსპლუატაციაში გაშვებას, ოპერატიული დოკუმენტაციის შემუშავებას და მომხმარებლის ტრენინგს;

· კონსულტაციების გაწევა აგებული ISMS-ის ექსპლუატაციის დროს;

· ტრენინგის ორგანიზება შიდა აუდიტორებიდა შიდა ISMS აუდიტის ჩატარება.

ამ სამუშაოს შედეგი არის მოქმედი ISMS. კომპანიაში ISMS-ის დანერგვით მიღებული სარგებელი მიიღწევა:

· ეფექტური მენეჯმენტიინფორმაციული უსაფრთხოების სფეროში საკანონმდებლო მოთხოვნებთან და ბიზნეს მოთხოვნებთან შესაბამისობა;

· ინფორმაციული უსაფრთხოების ინციდენტების წარმოშობის პრევენცია და მათი წარმოშობის შემთხვევაში ზიანის შემცირება;

· ორგანიზაციაში ინფორმაციული უსაფრთხოების კულტურის გაუმჯობესება;

· ინფორმაციული უსაფრთხოების მართვის სფეროში სიმწიფის გაზრდა;

· საინფორმაციო უსაფრთხოებაზე სახსრების ხარჯვის ოპტიმიზაცია.

ISO/IEC27001-- საერთაშორისოსტანდარტულიავტორისაინფორმაციოუსაფრთხოება

ეს სტანდარტი ერთობლივად შემუშავდა საერთაშორისო ორგანიზაციასტანდარტიზაციისთვის (ISO) და საერთაშორისო ელექტროტექნიკური კომისიის (IEC). სტანდარტი შეიცავს მოთხოვნებს ინფორმაციული უსაფრთხოების სფეროში ISMS-ის შექმნის, განვითარებისა და შენარჩუნების მიზნით. ISO 27001 განსაზღვრავს მოთხოვნებს ISMS-ისთვის, რათა აჩვენოს ორგანიზაციის უნარი დაიცვას თავისი ინფორმაციული აქტივები. საერთაშორისო სტანდარტი იყენებს „ინფორმაციული უსაფრთხოების“ კონცეფციას და განმარტავს მას, როგორც ინფორმაციის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის უზრუნველყოფას. სტანდარტის საფუძველია ინფორმაციასთან დაკავშირებული რისკების მართვის სისტემა. ეს სტანდარტი ასევე შეიძლება გამოყენებულ იქნას შიდა და გარე დაინტერესებული მხარეების შესაბამისობის შესაფასებლად.

ინფორმაციული უსაფრთხოების მართვის სისტემის (ISMS) შექმნის, დანერგვის, ფუნქციონირების, მუდმივი მონიტორინგის, ანალიზის, შენარჩუნებისა და გაუმჯობესების მიზნით, სტანდარტი იყენებს პროცესურ მიდგომას. იგი მოიცავს ორგანიზაციის შიგნით პროცესების სისტემის გამოყენებას, ამ პროცესების იდენტიფიკაციასა და ურთიერთქმედებას, ასევე მათ მართვას.

საერთაშორისო სტანდარტი იღებს Plan-Do-Check-Act (PDCA) მოდელს, რომელსაც ასევე უწოდებენ Shewhart-Deming ციკლს. ეს ციკლი გამოიყენება ყველა ISMS პროცესის სტრუქტურირებისთვის. სურათი 2 გვიჩვენებს, თუ როგორ იღებს ISMS ინფორმაციის უსაფრთხოების მოთხოვნებს და დაინტერესებული მხარეების მოლოდინებს, როგორც შესატანს და, საჭირო ქმედებებისა და პროცესების მეშვეობით, აწარმოებს ინფორმაციის უსაფრთხოების შედეგებს, რომლებიც აკმაყოფილებს ამ მოთხოვნებსა და მოლოდინებს.

დაგეგმვა არის ISMS-ის შექმნის, აქტივების ინვენტარის შექმნის, რისკების შეფასების და ზომების შერჩევის ეტაპი.

სურათი 2. PDCA მოდელი, რომელიც გამოიყენება ISMS პროცესებზე

განხორციელება არის შესაბამისი ღონისძიებების განხორციელებისა და განხორციელების ეტაპი.

ვერიფიკაცია არის ISMS-ის ეფექტურობისა და შესრულების შეფასების ეტაპი. როგორც წესი, ხორციელდება შიდა აუდიტორების მიერ.

მოქმედება - პრევენციული და მაკორექტირებელი ქმედებების განხორციელება.

INდასკვნები

ISO 27001 აღწერს ISMS-ის განხორციელებისა და ექსპლუატაციის ზოგად მოდელს, ასევე ISMS-ის მონიტორინგისა და გაუმჯობესების აქტივობებს. ISO აპირებს სხვადასხვა მართვის სისტემის სტანდარტების ჰარმონიზაციას, როგორიცაა ISO/IEC 9001:2000, რომელიც ეხება ხარისხის მენეჯმენტს და ISO/IEC 14001:2004, რომელიც ეხება გარემოსდაცვითი მართვის სისტემებს. ISO-ს მიზანია უზრუნველყოს ISMS-ის თანმიმდევრულობა და ინტეგრაცია კომპანიის სხვა მართვის სისტემებთან. სტანდარტების მსგავსება საშუალებას იძლევა გამოიყენოს მსგავსი ინსტრუმენტები და ფუნქციონირება განხორციელების, მართვის, გადასინჯვის, გადამოწმებისა და სერტიფიცირების მიზნით. მნიშვნელობა არის ის, რომ თუ კომპანიამ დანერგა სხვა მართვის სტანდარტები, მას შეუძლია გამოიყენოს ერთიანი სისტემააუდიტი და მენეჯმენტი, რომელიც გამოიყენება ხარისხის მენეჯმენტის, გარემოსდაცვითი მენეჯმენტის, უსაფრთხოების მართვის და ა.შ. ISMS-ის დანერგვით, უფროს მენეჯმენტს აქვს უსაფრთხოების მონიტორინგი და მართვა, რაც ამცირებს ბიზნესის ნარჩენ რისკებს. ISMS-ის დანერგვის შემდეგ, კომპანიას შეუძლია ოფიციალურად უზრუნველყოს ინფორმაციის უსაფრთხოება და გააგრძელოს კლიენტების, კანონმდებლობის, მარეგულირებლებისა და აქციონერების მოთხოვნების დაკმაყოფილება.

აღსანიშნავია, რომ რუსეთის ფედერაციის კანონმდებლობაში არსებობს დოკუმენტი GOST R ISO/IEC 27001-2006, რომელიც წარმოადგენს ISO27001 საერთაშორისო სტანდარტის თარგმნილ ვერსიას.

თანჩხუბილიტერატურა

1. კორნეევი ი.რ., ბელიაევი ა.ვ. საწარმოს ინფორმაციის უსაფრთხოება. - პეტერბურგი: BHV-Petersburg, 2003. - 752 გვ.: ილ.

2. საერთაშორისო სტანდარტი ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (წვდომის თარიღი: 23.05.12)

3.ეროვნული სტანდარტი რუსეთის ფედერაცია GOST R ISO/IEC 27003 - "ინფორმაციული ტექნოლოგიები. უსაფრთხოების მეთოდები. სახელმძღვანელო ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვისათვის" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (შესვლის თარიღი: 05/23/12)

4. Skiba V.Yu., Kurbatov V.A. სახელმძღვანელო ინფორმაციის უსაფრთხოებისთვის ინსაიდერული საფრთხეებისგან დაცვის შესახებ. პეტერბურგი: პეტრე, 2008. -- 320 გვ.: ill.

5. თავისუფალი ენციკლოპედიის „ვიკიპედიის“ სტატია „მართვის სისტემა

ინფორმაციის უსაფრთხოება" (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (წვდომის თარიღი: 05/23/12)

6. სიგურჯონ ტორ არნასონი და კეიტ დ. უილეტი "როგორ მივაღწიოთ 27001 სერთიფიკატს"

გამოქვეყნებულია Allbest.ru-ზე

მსგავსი დოკუმენტები

საწარმოში ინფორმაციული უსაფრთხოების საფრთხეები. ინფორმაციული უსაფრთხოების სისტემაში არსებული ხარვეზების იდენტიფიცირება. ინფორმაციული უსაფრთხოების სისტემის ფორმირების მიზნები და ამოცანები. შემოთავაზებული ღონისძიებები ორგანიზაციის ინფორმაციული უსაფრთხოების სისტემის გასაუმჯობესებლად.

კურსის სამუშაო, დამატებულია 02/03/2011


საწარმოში ინფორმაციული უსაფრთხოების სისტემის ანალიზი. ინფორმაციის დაცვის სამსახური. საწარმოსთვის სპეციფიკური ინფორმაციული უსაფრთხოების საფრთხეები. ინფორმაციული უსაფრთხოების მეთოდები და საშუალებები. საინფორმაციო სისტემის მოდელი უსაფრთხოების თვალსაზრისით.

კურსის სამუშაო, დამატებულია 02/03/2011


კვების მრეწველობის საწარმოში მართვის სისტემის შექმნის ძირითადი ეტაპები. HACCP, როგორც სურსათის უვნებლობის მართვის ნებისმიერი სისტემის საფუძველი. უსაფრთხოების მართვის სისტემა კვების პროდუქტები. საფრთხეები და პრევენციული ქმედებები.

რეზიუმე, დამატებულია 14/10/2014


თანამედროვე მართვის სისტემები და მათი ინტეგრაცია. ინტეგრირებული ხარისხის მართვის სისტემები. სს „275 ARZ“ და მისი მართვის სისტემის მახასიათებლები. შრომის დაცვის მართვის სისტემის შემუშავება. უსაფრთხოების ინტეგრირებული სისტემის შეფასების მეთოდები.

ნაშრომი, დამატებულია 07/31/2011


ხარისხის მართვის სისტემის დანერგვა. ხარისხის მართვის სისტემების (ISO 9000), გარემოს მენეჯმენტის (ISO 14 000), ორგანიზაციების შრომის ჯანმრთელობისა და უსაფრთხოების მართვის სისტემების სერტიფიცირება (OHSAS 18 001: 2007) Lenta OJSC-ის მაგალითის გამოყენებით.

რეზიუმე, დამატებულია 10/06/2008


ინტეგრირებული მართვის სისტემის ორგანიზების სტანდარტის შემუშავება, ჩამოყალიბება ერთიანი შეკვეთადოკუმენტების მართვის პროცესის განხორციელება. სს ზსმკ-ში ხარისხის მართვის სისტემის შექმნის ეტაპები. განთავსება ელექტრონული ვერსიებიდოკუმენტები.

ნაშრომი, დამატებულია 06/01/2014


თანამშრომელთა იერარქიული დიაგრამა. ინფორმაციის უსაფრთხოების ინსტრუმენტები. კითხვები უსაფრთხოების მდგომარეობის შესახებ. საწარმოს საინფორმაციო ნაკადების სქემა. საინფორმაციო სისტემის მთლიანობის მონიტორინგის მეთოდები. სერვისის ინფორმაციაზე წვდომის კონტროლის მოდელირება.

კურსის სამუშაო, დამატებულია 12/30/2011


მენეჯმენტის საინფორმაციო სისტემის კონცეფცია და მისი ადგილი საერთო სისტემამენეჯმენტი. საინფორმაციო სისტემების სახეები და მათი შინაარსი. მენეჯმენტის, როგორც საინფორმაციო სისტემის კონცეფცია. ფინანსური მართვის სისტემის ფუნქციები. ტრანზაქციებისა და ოპერაციების განხორციელების სისტემები.

რეზიუმე, დამატებულია 01/06/2015


ცნებები ჯანმრთელობისა და უსაფრთხოების სფეროში. საერთაშორისო სტანდარტები ISO ხარისხის მართვის სისტემების, გარემოსდაცვითი მართვის სისტემების, შრომის უსაფრთხოებისა და ჯანმრთელობის მართვის სისტემების შესახებ. OHSAS 18001-2007 სტანდარტის ადაპტაცია.

კურსის სამუშაო, დამატებულია 21/12/2014


ინფორმაციის მართვის მახასიათებლები; ინფორმაციის სუბიექტები და სამართლებრივი ურთიერთობები; ინფორმაციის მიღების, გადაცემის, შენახვისა და გამოყენების სამართლებრივი რეჟიმი. მახასიათებლები და სამართლებრივი ასპექტებიინფორმაციის გაცვლა და ინფორმაციის უსაფრთხოება.