Axborot xavfsizligini boshqarish tizimi protseduralari. Zamonaviy axborot xavfsizligini boshqarish tizimi nima

Axborot texnologiyalari olamida axborotning yaxlitligi, ishonchliligi va maxfiyligini ta’minlash masalasi ustuvor vazifaga aylanib bormoqda. Shu sababli, tashkilotning axborot xavfsizligini boshqarish tizimi (AXBT) zarurligini tan olish strategik qaror hisoblanadi.

U korxonada AXBTni yaratish, joriy etish, qo'llab-quvvatlash va doimiy ravishda takomillashtirish uchun ishlab chiqilgan va ushbu standartni tashqi hamkorlarga qo'llash orqali tashkilot o'zining axborot xavfsizligi talablariga javob bera olishi ayon bo'ladi. Ushbu maqolada standartning asosiy talablari va uning tuzilishi muhokama qilinadi.

(ADV31)

ISO 27001 standartining asosiy maqsadlari

Standartning tuzilishini tavsiflashga o'tishdan oldin, keling, uning asosiy vazifalarini belgilab olaylik va standartning Rossiyada paydo bo'lish tarixini ko'rib chiqamiz.

Standartning maqsadlari:

AXBTni yaratish, joriy etish va takomillashtirish bo'yicha barcha tashkilotlar uchun yagona talablarni belgilash;
yuqori boshqaruv va xodimlarning o'zaro hamkorligini ta'minlash;
ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini ta'minlash.

Shu bilan birga, standartda belgilangan talablar umumiy bo'lib, ularning turi, hajmi va xususiyatidan qat'i nazar, har qanday tashkilot tomonidan qo'llanilishi mumkin.

Standart tarixi:

1995 yilda Britaniya Standartlari Instituti (BSI) Axborot xavfsizligini boshqarish kodeksini Buyuk Britaniyaning milliy standarti sifatida qabul qildi va uni BS 7799 - 1-qism ostida ro'yxatdan o'tkazdi.
1998 yilda BSI BS7799-2 ni ikki qismdan iborat bo'lib, biri amaliyot kodeksini, ikkinchisi esa axborot xavfsizligini boshqarish tizimlariga qo'yiladigan talablarni o'z ichiga oladi.
Keyingi tahrirlar davomida birinchi qism BS 7799: 1999, 1-qism sifatida nashr etildi. 1999 yilda standartning ushbu versiyasi Xalqaro sertifikatlashtirish tashkilotiga topshirildi.
Ushbu hujjat 2000 yilda ISO / IEC 17799: 2000 (BS 7799-1: 2000) xalqaro standarti sifatida tasdiqlangan. 2005 yilda qabul qilingan ushbu standartning so'nggi versiyasi ISO / IEC 17799: 2005 hisoblanadi.
2002 yil sentyabr oyida BS 7799 "Axborot xavfsizligini boshqarish tizimining spetsifikatsiyasi" ning ikkinchi qismi kuchga kirdi. BS 7799 ning ikkinchi qismi 2002 yilda qayta ko'rib chiqildi va 2005 yil oxirida ISO tomonidan ISO / IEC 27001: 2005 "Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot xavfsizligini boshqarish tizimlari - Talablar" xalqaro standarti sifatida qabul qilindi.
2005 yilda ISO / IEC 17799 standartlarning 27-seriyasiga kiritildi va yangi raqamni oldi - ISO / IEC 27002: 2005.
2013 yil 25 sentyabrda yangilangan ISO / IEC 27001: 2013 “Axborot xavfsizligini boshqarish tizimlari” nashr etildi. Talablar". Hozirgi vaqtda tashkilotlar standartning ushbu versiyasiga muvofiq sertifikatlangan.

Standartning tuzilishi

Ushbu standartning afzalliklaridan biri uning tuzilishining ISO 9001 bilan o'xshashligidir, chunki u bir xil kichik sarlavhalar, bir xil matn, umumiy atamalar va asosiy ta'riflarni o'z ichiga oladi. Ushbu holat vaqt va pulni tejaydi, chunki hujjatlarning bir qismi ISO 9001 sertifikati paytida allaqachon ishlab chiqilgan.

Agar standartning tuzilishi haqida gapiradigan bo'lsak, bu sertifikatlash uchun majburiy bo'lgan AXBT talablari ro'yxati va quyidagi bo'limlardan iborat:

Asosiy bo'limlar	Ilova A
0. Kirish	A.5 Axborot xavfsizligi siyosati
1 foydalanish sohasi	A.6 Axborot xavfsizligi tashkiloti
2. Normativ havolalar	A.7 Inson resurslari (xodimlar) xavfsizligi
3. Atamalar va ta’riflar	A.8 Aktivlarni boshqarish
4. Tashkilot konteksti	A.9 Kirish nazorati
5. Etakchilik	A.10 Kriptografiya
6. Rejalashtirish	A.11 Jismoniy va ekologik xavfsizlik
7. Qo'llab-quvvatlash	A.12 Operatsiyalar xavfsizligi
8. Operatsiyalar (operatsiya)	A.13 Aloqa xavfsizligi
9. Ish faoliyatini baholash (o'lchash).	A.14 Axborot tizimlarini sotib olish, ishlab chiqish va texnik xizmat ko'rsatish
10. Yaxshilash (yaxshilash)	A.15 Yetkazib beruvchi munosabatlari
	A.16 Hodisalarni boshqarish
	A.17 Biznesning uzluksizligi
	A.18 Qonuniy muvofiqlik

"A Ilova" talablari majburiydir, ammo standart korxonada qo'llanilishi mumkin bo'lmagan sohalarni istisno qilishga imkon beradi.

Korxonada standartni keyingi sertifikatlash uchun qo'llashda shuni yodda tutish kerakki, 4-10-bo'limlarda belgilangan talablardan istisnolarga yo'l qo'yilmaydi.Bu bo'limlar keyinroq muhokama qilinadi.

Keling, 4-bo'limdan boshlaylik - Tashkilot konteksti

Tashkilot konteksti

Ushbu bo'limda standart tashkilotdan o'z maqsadlariga mos keladigan va AXBTning kutilgan natijalarga erishish qobiliyatiga ta'sir qiluvchi tashqi va ichki muammolarni aniqlashni talab qiladi. Bunda siz axborot xavfsizligi bo'yicha huquqiy, me'yoriy va shartnomaviy majburiyatlarni hisobga olishingiz kerak. Tashkilot, shuningdek, uning ko'lamini aniqlash uchun AXBTning ko'lami va qo'llanilishini aniqlashi va hujjatlashtirishi kerak.

Etakchilik

Yuqori rahbariyat, masalan, axborot xavfsizligi siyosati va axborot xavfsizligi maqsadlari belgilanishi va tashkilot strategiyasiga mos kelishini ta'minlash orqali axborot xavfsizligini boshqarish tizimiga etakchilik va sadoqatni namoyish qilishi kerak. Shuningdek, yuqori boshqaruv AXBT uchun barcha zarur resurslar bilan ta'minlanishini ta'minlashi kerak. Boshqacha qilib aytganda, menejment axborot xavfsizligi masalalarida ishtirok etishi xodimlarga ayon bo'lishi kerak.

Axborot xavfsizligi siyosati hujjatlashtirilishi va xodimlarga yetkazilishi kerak. Ushbu hujjat ISO 9001 sifat siyosatiga o'xshaydi, shuningdek, tashkilot maqsadiga mos kelishi va axborot xavfsizligi maqsadlarini o'z ichiga olishi kerak. Bu ma'lumotlarning maxfiyligi va yaxlitligini saqlash kabi haqiqiy maqsadlar bo'lsa yaxshi.

Boshqaruv, shuningdek, xodimlar o'rtasida axborot xavfsizligi bilan bog'liq funktsiyalar va majburiyatlarni taqsimlashi kutilmoqda.

Rejalashtirish

Ushbu bo'limda biz PDCA (Plan - Do - Check - Act) boshqaruv printsipining birinchi bosqichiga keldik - rejalashtirish, bajarish, tekshirish, harakat qilish.

Axborot xavfsizligini boshqarish tizimini rejalashtirishda tashkilot 4-bandda ko'rsatilgan masalalarni hisobga olishi va AXBT kutilgan natijalarga erishishi, istalmagan ta'sirlarning oldini olishi uchun hisobga olinishi kerak bo'lgan xavf va potentsial imkoniyatlarni aniqlashi kerak. va doimiy takomillashtirishga erishish.

Axborot xavfsizligi maqsadlariga qanday erishishni rejalashtirishda tashkilot quyidagilarni aniqlashi kerak:

nima qilinadi;
qanday resurslar talab qilinadi;
kim javobgar bo'ladi;
maqsadlarga erishilganda;
natijalar qanday baholanadi.

Bundan tashqari, tashkilot axborot xavfsizligi maqsadlari to'g'risidagi ma'lumotlarni hujjatlashtirilgan ma'lumot sifatida saqlashi kerak.

Xavfsizlik

Tashkilot AXBTni ishlab chiqish, joriy etish, qo'llab-quvvatlash va doimiy ravishda takomillashtirish uchun zarur bo'lgan resurslarni aniqlashi va ta'minlashi kerak, bunga xodimlar ham, hujjatlar ham kiradi. Xodimlarga kelsak, tashkilot malakali va malakali axborot xavfsizligi xodimlarini yollashi kutilmoqda. Ishchilarning malakasi sertifikatlar, diplomlar va boshqalar bilan tasdiqlanishi kerak. Shartnoma bo'yicha uchinchi tomon mutaxassislarini jalb qilish yoki xodimlarni o'qitish mumkin. Hujjatlarga kelsak, u quyidagilarni o'z ichiga olishi kerak:

standart talab qiladigan hujjatlashtirilgan ma'lumotlar;
tashkilot tomonidan axborot xavfsizligini boshqarish tizimining samaradorligini ta'minlash uchun zarur bo'lgan hujjatlashtirilgan ma'lumotlar.

AXBT va standart tomonidan talab qilinadigan hujjatlashtirilgan ma'lumotlar quyidagilarga ishonch hosil qilish uchun nazorat qilinishi kerak:

mavjud va qaerda va qachon kerak bo'lganda foydalanish uchun mos va
tegishli tarzda himoyalangan (masalan, maxfiylikni yo'qotish, noto'g'ri foydalanish yoki yaxlitlikni yo'qotishdan).

Faoliyatli

Ushbu bo'limda PDCA boshqaruv printsipining ikkinchi bosqichi - tashkilotga muvofiqlikni ta'minlash va Rejalashtirish bo'limida belgilangan tadbirlarga rioya qilish jarayonlarini boshqarish zarurati muhokama qilinadi. Shuningdek, tashkilot rejalashtirilgan vaqt oralig'ida yoki muhim o'zgarishlar taklif qilingan yoki ro'y berganda axborot xavfsizligi xavfini baholashni amalga oshirishi kerak. Tashkilot axborot xavfsizligi xavfini baholash natijalarini hujjatlashtirilgan ma'lumot sifatida saqlashi kerak.

Faoliyatni baholash

Uchinchi bosqich - tekshirish. Tashkilot AXBTning ishlashi va samaradorligini baholashi kerak. Masalan, u yoki yo'qligi haqida ma'lumot olish uchun ichki audit o'tkazishi kerak

Axborot xavfsizligini boshqarish tizimiga mos keladimi?
- tashkilotning axborot xavfsizligini boshqarish tizimiga qo'yadigan talablari;
- standart talablari;
axborot xavfsizligini boshqarish tizimi samarali joriy etilganligi va ishlayotganligi.

O'z-o'zidan ma'lumki, tekshiruvlar hajmi va muddatlarini oldindan rejalashtirish kerak. Barcha natijalar hujjatlashtirilishi va saqlanishi kerak.

Yaxshilash

Ushbu bo'limning maqsadi nomuvofiqlik aniqlanganda harakat yo'nalishini aniqlashdir. Tashkilot kelajakda bunday bo'lmasligi uchun nomuvofiqliklarni, oqibatlarni tuzatishi va vaziyatni tahlil qilishi kerak. Barcha nomuvofiqliklar va tuzatuvchi harakatlar hujjatlashtirilishi kerak.

Bu standartning asosiy bo'limlarini yakunlaydi. A ilovasida tashkilot tomonidan bajarilishi kerak bo'lgan aniqroq talablar keltirilgan. Masalan, kirishni boshqarish, mobil qurilmalar va saqlash vositalaridan foydalanish nuqtai nazaridan.

ISO 27001 ni joriy qilish va sertifikatlashdan foyda

tashkilot maqomini va shunga mos ravishda hamkorlarning ishonchini oshirish;
tashkilot barqarorligini oshirish;
axborot xavfsizligi tahdidlaridan himoyalanish darajasini oshirish;
manfaatdor shaxslar ma'lumotlarining maxfiyligining zarur darajasini ta'minlash;
tashkilotning yirik shartnomalarda ishtirok etish imkoniyatlarini kengaytirish.

Iqtisodiy foyda quyidagilardan iborat:

sertifikatlashtirish organi tomonidan tashkilot vakolatli xodimlar tomonidan nazorat qilinadigan yuqori darajadagi axborot xavfsizligiga ega ekanligini mustaqil tasdiqlash;
amaldagi qonunlar va me'yoriy hujjatlarga muvofiqligini tasdiqlovchi hujjat (majburiy talablar tizimiga muvofiqligi);
mijozlar va tashkilot hamkorlariga xizmat ko'rsatishning tegishli darajasini ta'minlash uchun ma'lum bir yuqori darajadagi boshqaruv tizimlarini namoyish qilish;
Boshqaruv tizimlarining muntazam auditini ko'rsatish, ish faoliyatini baholash va doimiy takomillashtirish.

Sertifikatlash

Tashkilot ushbu standartga muvofiq akkreditatsiyalangan idoralar tomonidan sertifikatlanishi mumkin. Sertifikatlash jarayoni uch bosqichdan iborat:

1-bosqich – AXBTning asosiy hujjatlarini standart talablariga muvofiqligini auditorlik o‘rganishi – tashkilot hududida ham, ushbu hujjatlarni tashqi auditorga topshirish yo‘li bilan ham amalga oshirilishi mumkin;
2-bosqich - batafsil audit, shu jumladan amalga oshirilgan chora-tadbirlarni sinovdan o'tkazish va ularning samaradorligini baholash. Standart talab qiladigan hujjatlarni to'liq o'rganishni o'z ichiga oladi;
3-bosqich - sertifikatlangan tashkilotning belgilangan talablarga javob berishini tasdiqlash uchun inspeksiya auditini o'tkazish. Vaqti-vaqti bilan amalga oshiriladi.

Natija

Ko'rib turganingizdek, korxonada ushbu standartdan foydalanish zamonaviy voqelikda qimmat bo'lgan axborot xavfsizligi darajasini sifat jihatidan yaxshilash imkonini beradi. Standart juda ko'p talablarni o'z ichiga oladi, lekin eng muhim talab - yozilgan narsani qilishdir! Standart talablarini amalda qo'llamasdan, u bo'sh qog'oz parchalariga aylanadi.

Faol dan nashr 27.12.2006

Hujjat nomi	"AXBOROT TEXNOLOGIYASI. XAVFSIZLIKNI TA'MINLASH USULLARI VA VOSITALARI. AXBOROT XAVFSIZLIGINI BOSHQARUV TIZIMLARI. TALABLAR. GOST R ISO / IEC 27001-2006" (Rostekhregulirova № 270-son buyrug'i bilan tasdiqlangan)
Hujjat turi	tartib, standart, gost, iso
Xost tanasi	Rostexregulyatsiya
Hujjat raqami	ISO / IEC 27001-2006
Qabul qilingan sana	01.01.1970
Qayta ko'rib chiqish sanasi	27.12.2006
Adliya vazirligida ro'yxatdan o'tgan sana	01.01.1970
Holat	harakat qiladi
Nashr	Ma'lumotlar bazasiga kiritish vaqtida hujjat nashr etilmagan
Navigator	Eslatmalar (tahrirlash)

"AXBOROT TEXNOLOGIYASI. XAVFSIZLIKNI TA'MINLASH USULLARI VA VOSITALARI. AXBOROT XAVFSIZLIGINI BOSHQARUV TIZIMLARI. TALABLAR. GOST R ISO / IEC 27001-2006" (Rostekhregulirova № 270-son buyrug'i bilan tasdiqlangan)

8. Axborot xavfsizligini boshqarish tizimini takomillashtirish

8.1. Doimiy takomillashtirish

Tashkilot AXT siyosatini, AT maqsadlarini, audit natijalaridan foydalanishni, nazorat qilinadigan hodisalarni tahlil qilishni, tuzatuvchi va profilaktika choralarini va rahbariyat tomonidan AXBT tahlili natijalaridan foydalanishni aniqlashtirish orqali AXBT samaradorligini doimiy ravishda oshirishi kerak (7-bandga qarang). .

8.2. Tuzatuv

Tashkilot AXBT talablariga mos kelmaslik sabablarini ularning takrorlanishining oldini olish uchun bartaraf etish choralarini ko'rishi kerak. Hujjatli tuzatuvchi harakatlar tartibi quyidagi talablarni belgilashi kerak:

a) nomuvofiqliklarni aniqlash;

b) nomuvofiqlik sabablarini aniqlash;

C) nomuvofiqliklarning takrorlanishiga yo'l qo'ymaslik uchun harakat qilish zarurligini baholash;

d) zarur tuzatish tadbirlarini aniqlash va amalga oshirish;

e) amalga oshirilgan harakatlar natijalarini hisobga olish (4.3.3-bandga qarang);

f) ko'rilgan tuzatish choralarini ko'rib chiqish.

8.3. Profilaktik harakat

Tashkilot AXBT talablariga potentsial nomuvofiqlik sabablarini bartaraf etish, ularning takrorlanishining oldini olish uchun zarur bo'lgan harakatlarni aniqlaydi. Ko'rilgan profilaktika choralari yuzaga kelishi mumkin bo'lgan muammolarning oqibatlariga mutanosib bo'lishi kerak. Profilaktik choralarni ko'rishning hujjatlashtirilgan tartibi quyidagi talablarni belgilashi kerak:

a) mumkin bo'lgan nomuvofiqliklar va ularning sabablarini aniqlash;

b) nomuvofiqliklar paydo bo'lishining oldini olish bo'yicha harakatlar zarurligini baholash;

c) profilaktika choralarini belgilash va amalga oshirish;

d) amalga oshirilgan harakatlar natijalarini qayd etish (4.3.3-bandga qarang);

e) amalga oshirilgan harakat natijalarini ko'rib chiqish.

Tashkilot xavflarni baholashdagi o'zgarishlarni aniqlaydi va profilaktika choralariga talablarni belgilaydi, shu bilan birga xavflarning sezilarli darajada o'zgargan miqdoriy ko'rsatkichlariga alohida e'tibor beradi.

Profilaktik tadbirlarni amalga oshirishning ustuvor yo'nalishlari xavflarni baholash natijalariga ko'ra belgilanishi kerak.

Izoh Umuman olganda, nomuvofiqliklarning oldini olish bo'yicha choralar ko'rish xarajatlari tuzatuvchi harakatlarga qaraganda ancha tejamkor.

Haqiqatan ham uyatli. Biz amaldagi OHSAS 18001 mehnatni muhofaza qilish menejmenti standartini almashtirishi kerak bo'lgan ISO 45001 standartining yaqinda chiqarilishi haqida xabar berdik, biz buni 2016 yil oxirida kutishimiz kerakligini aytdik ... Yarim tun yaqinlashmoqda, ammo Herman hali ham yo'q. Qabul qilish vaqti - ISO 45001 kutish rejimida. To'g'ri, yaxshi sabablarga ko'ra. Ekspertlar hamjamiyatida unga juda ko'p savollar bor. […]

Ikkita maqola tasvirlangan. Xalqaro standartlashtirish tashkiloti mahsulotlarga o'z standartlarini yorliqlashdan foydalanish bo'yicha o'z pozitsiyasini aniq ifoda etdi - ISO "yo'q" deydi. Biroq, tadbirkorlar hali ham buni qilishni xohlashadi. Ular qanday bo'lishi kerak? Nega emas, aslida? Savolning foni quyidagicha. Siz tasavvur qilganingizdek, ISO standartlari sertifikatlangan korxonalar tomonidan ishlab chiqarilgan mahsulotlar bilan bevosita bog'liq emas. […]

Keling, mavzuni tugatamiz. Oxirgi maqolada biz SMSning sakkizta tamoyili haqida suhbatni boshladik. Har qanday sifat menejmenti tizimi qurilgan tamoyillar. Bizning maqsadimiz bu tamoyillarni biznes murabbiylar tilidan inson tiliga tarjima qilishdir. Shunday qilib, siz ulardan haqiqiy foyda olishingiz mumkin. Ular mijozlarga yo'naltirilganlik haqida gapirishdi. Ular “bir narsa [...] emas, balki qanday ishlab chiqarish haqida gaplashdilar.

Ko'p odamlar sifat menejmenti haqida gapirishadi. Lekin negadir ular oxir-oqibat hech narsa aniq emas, deyishadi. Bu shuni anglatadiki, sifat menejmenti shunchaki so'z bo'lib qoladi. Juda aqlli so'zlar. Keling, ularni oddiy tilga tarjima qilaylik va sifat menejmenti tamoyillari haqiqatan ham kompaniya faoliyatini yaxshilashga qanday yordam berishini tushunamiz. Keling, uzoq preludiyalarsiz qilaylik. Umuman olganda, hozirgi vaqtda tegishli sifat menejmenti tizimlari, ulardan eng mashhuri [...]

Loyiha boshqaruvi... Ishonchim komilki, har xil turdagi biznes-maslahatchilar bilan uzoq vaqtdan beri gaplashib kelayotgan odamlar ko'p - va endi ular shunday bir iboradan biroz ko'ngil aynishni boshlaydilar. Nima qilish kerak? Keling, biznes-maslahatchilarni boshimizdan chiqarib tashlaylik va ishni inson tili bilan aytganda. Loyiha boshqaruvi deganda oq ko‘ylak kiygan, marker bilan murakkab diagrammalar va sxemalarni chizadigan odam bo‘lishi shart emas [...]

BS ISO / IEC 27001: 2005 standarti axborot xavfsizligini boshqarish tizimining (AXBT) modelini tavsiflaydi va tashkilot ijrochilari tomonidan tanlagan amalga oshirish usullariga havolasiz korxonada axborot xavfsizligini tashkil etish uchun talablar to'plamini taklif qiladi.

Standart PDCA (Plan-Do-Check-Act) modelini ishlab chiqish, joriy etish, ishlatish, nazorat qilish, tahlil qilish, qo‘llab-quvvatlash va takomillashtirishni o‘z ichiga olgan AXBT hayotiy tsikliga qo‘llashni taklif qiladi (1-rasm).

Reja - AXBTni yaratish, aktivlar ro'yxatini yaratish, xavflarni baholash va chora-tadbirlarni tanlash bosqichi;

Do (harakat) - tegishli chora-tadbirlarni amalga oshirish va amalga oshirish bosqichi;

Tekshirish - AXBT samaradorligi va samaradorligini baholash bosqichi. Odatda ichki auditorlar tomonidan amalga oshiriladi.

Akt (yaxshilash) - profilaktika va tuzatish choralarini ko'ring.

AXBTni yaratish (va keyinchalik sertifikatlash) to'g'risidagi qaror tashkilotning yuqori rahbariyati tomonidan qabul qilinadi. Bu boshqaruv tomonidan qo'llab-quvvatlanayotganini va AXBT qiymatining biznes uchun yana bir bor tasdiqlanishini ko'rsatadi. Tashkilot rahbariyati AXBTni rejalashtirish guruhini yaratish tashabbusi bilan chiqadi.

AXBTni rejalashtirish uchun mas'ul guruh quyidagilarni o'z ichiga olishi kerak:

· Tashkilotning yuqori boshqaruvi vakillari;

· AXBT qamrab oluvchi biznes bo'linmalari vakillari;

· Axborot xavfsizligi bo'limlari mutaxassislari;

· Uchinchi tomon maslahatchilari (agar kerak bo'lsa).

AXT qoʻmitasi AXBT faoliyati va uni doimiy takomillashtirishni qoʻllab-quvvatlaydi.

Ishchi guruh AXBTni yaratishga nisbatan ham, tashkilotning faoliyat sohasi bilan bog'liq bo'lgan me'yoriy va uslubiy bazaga va, albatta, davlat qonunlarining umumiy tizimiga amal qilishi kerak.

AXBT yaratish uchun normativ-huquqiy baza:

· ISO / IEC 27000: 2009 Lug'at va ta'riflar.

· ISO / IEC 27001: 2005 AXBT uchun umumiy talablar.

· ISO / IEC 27002: 2005 Axborot xavfsizligini boshqarish bo'yicha amaliy qo'llanma.

· ISO / IEC 27003: 2010 AXBTni joriy etish bo'yicha amaliy qo'llanma.

· ISO / IEC 27004: 2009 Axborot xavfsizligi ko'rsatkichlari (o'lchovlari).

· ISO / IEC 27005: 2011 Axborot xavfsizligi risklarini boshqarish bo'yicha ko'rsatmalar.

ISO / IEC Guide 73: 2002, Risklarni boshqarish - Lug'at - Standartlarda foydalanish bo'yicha ko'rsatmalar.

ISO / IEC 13335-1: 2004, Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot va kommunikatsiya texnologiyalari xavfsizligini boshqarish - 1-qism: Axborot va kommunikatsiya texnologiyalari xavfsizligini boshqarish uchun tushunchalar va modellar.

ISO / IEC TR 18044 Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot xavfsizligi hodisalarini boshqarish.

ISO / IEC 19011: 2002 Sifat va/yoki atrof-muhitni boshqarish tizimlari auditi bo'yicha ko'rsatmalar.

· Britaniya Standartlar Instituti AXBT Metodologiyasi Series (sobiq PD 3000 Series Documents).

AXBT yaratish jarayoni 4 bosqichdan iborat:

1-bosqich. AXBTni rejalashtirish.

Tashkilotning umumiy siyosati va maqsadlariga muvofiq xavflarni boshqarish va axborotni himoya qilish bilan bog'liq siyosat, maqsadlar, jarayonlar va tartiblarni belgilash.

a) AXBT miqyosi va chegaralarini aniqlash:

· Tashkilotning faoliyat turi va biznes maqsadlarining tavsifi;

· AXBT qamrab oladigan tizimlar chegaralarini ko'rsatish;

· Tashkilot aktivlarining tavsifi (axborot resurslari turlari, dasturiy va texnik vositalari, kadrlar va tashkiliy tuzilma);

· Himoyalangan axborotdan foydalangan holda biznes jarayonlarini tavsiflash.

Tizim chegaralarining tavsifi quyidagilarni o'z ichiga oladi:

Tashkilotning mavjud tuzilmasi tavsifi (axborot tizimining rivojlanishi bilan bog'liq bo'lishi mumkin bo'lgan o'zgarishlar bilan).

Himoya qilinadigan axborot tizimining resurslari (kompyuterlar, axborot, tizim va amaliy dasturlar). Ularni baholash uchun mezonlar tizimi va ushbu mezonlar (toifalarga ajratish) bo'yicha baholashlarni olish metodologiyasi tanlanishi kerak.

Axborotni qayta ishlash texnologiyasi va hal qilinishi kerak bo'lgan vazifalar. Yechilishi kerak bo'lgan vazifalar uchun axborotni qayta ishlash modellarini resurslar nuqtai nazaridan qurish kerak.

Tashkilotning axborot tizimi va yordamchi infratuzilmasining diagrammasi.

Qoida tariqasida, ushbu bosqichda hujjat tuziladi, unda axborot tizimining chegaralari belgilanadi, kompaniyaning himoya qilinadigan axborot resurslari ro'yxati, kompaniya ma'lumotlarining qiymatini baholash mezonlari va usullari tizimi ko'rsatiladi. aktivlar taqdim etiladi.

b) Tashkilotning AXBT siyosatining ta'rifi (XKSning kengaytirilgan versiyasi).

· axborotni muhofaza qilish bilan bog'liq faoliyatning maqsadlari, yo'nalishlari va tamoyillari;

· Tashkilotda risklarni boshqarish strategiyasi (yondashuvlari) tavsifi, turlari bo'yicha axborotni himoya qilish bo'yicha qarshi choralarni (huquqiy, tashkiliy, apparat-dasturiy ta'minot, muhandislik-texnikaviy) tizimlashtirish;

· xavfning ahamiyatliligi mezonlarining tavsifi;

· Rahbarning pozitsiyasi, boshqaruv darajasida axborot xavfsizligi masalalari bo'yicha uchrashuvlar chastotasini, shu jumladan axborot xavfsizligi siyosati qoidalarini davriy qayta ko'rib chiqish, shuningdek, axborotdan foydalanuvchilarning barcha toifalarini o'qitish tartibini belgilash; axborot xavfsizligi tizimi.

c) Tashkilotda risklarni baholashga yondashuvni aniqlash.

Xatarlarni baholash metodologiyasi AXBT, biznesning axborot xavfsizligini ta'minlash uchun belgilangan talablar, qonuniy va me'yoriy talablarga qarab tanlanadi.

Xatarlarni baholash metodologiyasini tanlash tashkilotdagi axborot xavfsizligi rejimiga qo'yiladigan talablar darajasiga, hisobga olingan tahdidlarning tabiatiga (tahdid ta'siri spektri) va axborotni himoya qilish bo'yicha potentsial qarshi choralarning samaradorligiga bog'liq. Xususan, axborot xavfsizligi rejimiga qo'yiladigan asosiy va oshirilgan yoki to'liq talablar o'rtasida farqlanadi.

Axborot xavfsizligining asosiy darajasi IS rejimi uchun minimal talablarga mos keladi. Bunday talablar, qoida tariqasida, odatiy dizayn echimlariga nisbatan qo'llaniladi. Bir qator standartlar va spetsifikatsiyalar mavjud bo'lib, ular eng ehtimoliy tahdidlarning minimal (odatiy) to'plamini hisobga oladi, masalan: viruslar, uskunaning ishdan chiqishi, ruxsatsiz kirish va boshqalar. Ushbu tahdidlarni zararsizlantirish uchun, yuzaga kelishi ehtimolidan qat'i nazar, qarshi choralar ko'rish kerak. ularning amalga oshirilishi va zaiflik resurslari. Shunday qilib, asosiy darajada tahdid xususiyatlarini hisobga olish kerak emas. Ushbu sohadagi xorijiy standartlar ISO 27002, BSI, NIST va boshqalar.

IB rejimini buzish jiddiy oqibatlarga olib keladigan hollarda qo'shimcha talablar qo'yiladi.

Qo'shimcha oshirilgan talablarni shakllantirish uchun sizga quyidagilar kerak:

Resurslarning qiymatini aniqlash;

Standart to'plamga o'rganilayotgan axborot tizimiga tegishli bo'lgan tahdidlar ro'yxatini qo'shish;

tahdidlar ehtimolini baholash;

Resurs zaifliklarini aniqlash;

Bosqinchilarning ta'siridan mumkin bo'lgan zararni baholang.

Doimiy ravishda minimal o'zgarishlar bilan qo'llanilishi mumkin bo'lgan xavfni baholash metodologiyasini topish kerak. Ikkita usul mavjud: bozorda xavflarni baholashning mavjud usullari va vositalaridan foydalanish yoki kompaniyaning o'ziga xos xususiyatlariga va AXBT qamrab olgan faoliyat sohasiga moslashtirilgan o'z metodologiyangizni yaratish.

Oxirgi variant eng maqbul hisoblanadi, chunki hozirgacha bozorda u yoki bu xavfni tahlil qilish metodologiyasini amalga oshiradigan mahsulotlarning aksariyati Standart talablariga javob bermaydi. Bunday texnikaning odatiy kamchiliklari:

· Ko'pincha o'zgartirish mumkin bo'lmagan tahdidlar va zaifliklarning standart to'plami;

· kadrlar, xizmatlar va boshqa muhim resurslarni hisobga olmagan holda faqat dasturiy, texnik va axborot resurslarini aktiv sifatida qabul qilish;

· Metodologiyaning barqaror va takroriy foydalanish nuqtai nazaridan umumiy murakkabligi.

· Xatarlarni qabul qilish mezonlari va xavfning maqbul darajalari (tashkilotning strategik, tashkiliy va boshqaruv maqsadlariga erishishga asoslanishi kerak).

d) xavfni aniqlash.

Aktivlar va ularning egalarini aniqlash

Axborot kiritish ma'lumotlari;

Axborot chiqishi;

Axborot yozuvlari;

Resurslar: odamlar, infratuzilma, apparat, dasturiy ta'minot, asboblar, xizmatlar.

· Tahdidlarni aniqlash (xavfni baholash standartlari ko'pincha to'ldirilishi va kengaytirilishi mumkin bo'lgan tahdidlar sinflarini taklif qiladi).

· Zaifliklarni aniqlash (tashkilotingizni tahlil qilishda tayanishingiz mumkin bo'lgan eng keng tarqalgan zaifliklar ro'yxati ham mavjud).

· Aktivlarning qiymatini aniqlash (aktivlarning maxfiyligi, yaxlitligi va mavjudligini yo'qotishning mumkin bo'lgan oqibatlari). Aktivning qiymati to'g'risidagi ma'lumot uning egasidan yoki egasi ushbu aktivga nisbatan barcha vakolatlarni, shu jumladan uning xavfsizligini ta'minlashni topshirgan shaxsdan olinishi mumkin.

e) xavfni baholash.

· aktivlarning maxfiyligi, yaxlitligi va mavjudligini yo'qotishdan biznesga yetkazilishi mumkin bo'lgan zararni baholash.

· ATni boshqarishning mavjud vositalarini hisobga olgan holda mavjud zaifliklar orqali tahdidlarni amalga oshirish ehtimolini baholash va mumkin bo'lgan zararni baholash;

· Tavakkalchilik darajasini aniqlash.

Xavfni qabul qilish mezonlarini qo'llash (qabul qilinadigan / davolashni talab qiladigan).

f) xavfni davolash (tanlangan risklarni boshqarish strategiyasiga muvofiq).

Mumkin bo'lgan harakatlar:

Passiv harakatlar:

Riskni qabul qilish (natijadagi xavf darajasining maqbulligi to'g'risidagi qaror);

Riskdan qochish (ma'lum darajadagi xavfni keltirib chiqaradigan faoliyatni o'zgartirish to'g'risidagi qaror - veb-serverni mahalliy tarmoqdan tashqariga ko'chirish);

Faol harakatlar:

Xavfni kamaytirish (tashkiliy va texnik qarshi choralarni qo'llash);

Xatarlarni uzatish (sug'urta (yong'in, o'g'irlik, dasturiy ta'minotdagi xatolar)).

Mumkin bo'lgan harakatlarni tanlash qabul qilingan xavf mezonlariga bog'liq (xavfning maqbul darajasi belgilanadi, axborot xavfsizligini boshqarish orqali kamaytirish mumkin bo'lgan xavf darajalari, faoliyat turidan voz kechish yoki o'zgartirish tavsiya etiladigan xavf darajalari). bu uni keltirib chiqaradi va uni boshqa tomonlarga o'tkazish maqsadga muvofiqligi xavfi) ...

g) xavflarni davolash uchun maqsadlar va nazoratni tanlash.

Maqsadlar va nazoratlar risklarni boshqarish strategiyasini amalga oshirishi, risklarni qabul qilish mezonlarini, huquqiy, normativ va boshqa talablarni hisobga olishi kerak.

ISO 27001-2005 xavfni davolash rejasini (AXBT talablari) yaratish uchun asos sifatida maqsadlar va nazoratlar ro'yxatini taqdim etadi.

Xatarlarni davolash rejasi xavf darajasini pasaytirish bo'yicha ustuvor chora-tadbirlar ro'yxatini o'z ichiga oladi, unda:

· Ushbu chora-tadbirlarni amalga oshirish uchun mas'ul shaxslar va mablag'lar;

· tadbirlarni amalga oshirish muddatlari va ularni amalga oshirishning ustuvor yo'nalishlari;

· Bunday tadbirlarni amalga oshirish uchun resurslar;

· chora-tadbirlar va nazoratni amalga oshirgandan keyin qoldiq xavflar darajasi.

Tashkilotning yuqori rahbariyati xavfni davolash rejasini qabul qilish va nazorat qilish uchun javobgardir. Rejaning asosiy tadbirlarining bajarilishi AXBTni ishga tushirish to'g'risida qaror qabul qilish mezoni hisoblanadi.

Ushbu bosqichda axborot xavfsizligining tartibga soluvchi, tashkiliy, boshqaruv, texnologik va apparat-dasturiy darajalariga ko'ra tuzilgan AX uchun turli xil qarshi choralarni tanlash uchun asoslar ishlab chiqiladi. (Bundan keyin tanlangan axborot risklarini boshqarish strategiyasiga muvofiq qarshi choralar majmuasi amalga oshiriladi). Xatarlarni tahlil qilishning to'liq versiyasi bilan har bir xavf uchun qarshi choralarning samaradorligi qo'shimcha ravishda baholanadi.

h) Boshqaruv tomonidan tavsiya etilgan qoldiq riskni tasdiqlash.

i) AXBTni joriy etish va ishga tushirish uchun rahbariyatning roziligini olish.

j) Qo'llash mumkinligi to'g'risidagi bayonot (ISO 27001-2005 ga muvofiq).

AXBT foydalanishga topshirilgan sana kompaniyaning yuqori rahbariyati tomonidan xavflarni boshqarish uchun tashkilot tanlagan maqsad va vositalar tavsiflangan Nazorat vositalarining qo‘llanilishi to‘g‘risidagi bayonotni tasdiqlagan sana hisoblanadi:

· Xavfni davolash bosqichida tanlangan nazorat va nazorat vositalari;

· Tashkilotda mavjud boshqaruv va nazorat vositalari;

· Nazorat qiluvchi tashkilotlarning qonuniy talablari va talablariga rioya etilishini ta'minlash vositalari;

· Mijoz talablarining bajarilishini ta'minlash vositalari;

· Umumiy korporativ talablarning bajarilishini ta'minlash vositalari;

· Boshqaruv va nazoratning boshqa tegishli vositalari.

2-bosqich. AXBTni joriy etish va ishlatish.

Axborot xavfsizligi siyosati, boshqaruvi, jarayonlari va axborot xavfsizligi sohasidagi protseduralarni amalga oshirish va boshqarish uchun quyidagi harakatlar amalga oshiriladi:

a) xavflarni davolash rejasini ishlab chiqish (rejalashtirilgan boshqaruv vositalarining tavsifi, ularni amalga oshirish, qo'llab-quvvatlash, nazorat qilish va axborot xavfsizligi xavfini boshqarish uchun zarur bo'lgan resurslar (dasturiy ta'minot, apparat, xodimlar) va boshqaruv mas'uliyati (rejalashtirishda hujjatlarni ishlab chiqish) bosqich, axborot xavfsizligi maqsadlarini qo'llab-quvvatlash, rol va mas'uliyatni aniqlash, AXBT yaratish uchun zarur resurslarni ta'minlash, audit va ko'rib chiqish).

b) Xatarlarni davolash rejasini amalga oshirish uchun mablag'lar, rollar va mas'uliyatlarni taqsimlash.

c) Rejalashtirilgan nazoratni amalga oshirish.

d) solishtirish mumkin bo'lgan va takrorlanadigan natijalarni ta'minlaydigan boshqaruv vositalarining ishlash ko'rsatkichlarini (ko'rsatkichlarini), ularni o'lchash usullarini belgilash.

e) xodimlarning kasbiy vazifalariga muvofiq axborot xavfsizligi sohasidagi malakasini, xabardorligini oshirish.

f) AXBT faoliyatini boshqarish, AXBTni saqlash, monitoring qilish va takomillashtirish uchun resurslarni boshqarish.

g) axborot xavfsizligi intsidentlarini tezkor aniqlash va ularga javob berish uchun protseduralar va boshqa nazorat vositalarini amalga oshirish.

3-bosqich: AXBT faoliyatining doimiy monitoringi va tahlili.

Ushbu bosqich jarayonlarning asosiy ko'rsatkichlarini baholash yoki o'lchash, natijalarni tahlil qilish va tahlil qilish uchun rahbariyatga hisobotlarni taqdim etishni o'z ichiga oladi va quyidagilarni o'z ichiga oladi:

a) uzluksiz monitoring va tahlilni amalga oshirish (AXBT faoliyatidagi xatolarni tezda aniqlash, xavfsizlik intsidentlarini tezkor aniqlash va ularga javob berish, AXBTda xodimlar va avtomatlashtirilgan tizimlarning rollarini belgilash, noodatiy xatti-harakatlarni tahlil qilish orqali xavfsizlik intsidentlarining oldini olish va xavfsizlik hodisalarini qayta ishlash samaradorligini aniqlash).

b) AXBT samaradorligini muntazam tahlil qilish (AXBT siyosati va maqsadlariga muvofiqligini tekshirish, auditlar, faoliyatning asosiy ko'rsatkichlari, takliflar va manfaatdor tomonlarning javoblari).

c) Xavfsizlik talablari bajarilayotganligini tekshirish uchun boshqarish vositalarining samaradorligini o'lchash

d) xavflarni davriy qayta baholash, qoldiq risklarni tahlil qilish va tashkilotdagi har qanday o'zgarishlar (biznes maqsadlari va jarayonlari, aniqlangan tahdidlar, yangi aniqlangan zaifliklar va boshqalar) uchun maqbul xavf darajasini aniqlash.

e) AXBTning davriy ichki auditlari.

AXBT auditi - tanlangan qarshi choralarning tashkilot AT da e'lon qilingan biznesning maqsad va vazifalariga muvofiqligini tekshirish, uning natijalariga ko'ra, qoldiq risklar baholanadi va kerak bo'lganda optimallashtiriladi.

f) rahbariyat tomonidan AXBT ko'lami va tendentsiyasini muntazam ko'rib chiqish.

g) monitoring va tahlil natijalarini olish uchun risklarni boshqarish rejalarini yangilash.

h) AXBT samaradorligi yoki sifatiga salbiy ta'sir ko'rsatadigan hodisalar jurnalini yuritish.

4-bosqich. AXBTni saqlash va takomillashtirish.

AXBT ichki auditi va boshqaruv tahlili natijalari asosida AXBTni doimiy ravishda takomillashtirish maqsadida tuzatuvchi va profilaktika choralari ishlab chiqiladi va amalga oshiriladi:

a) axborot xavfsizligi siyosatini takomillashtirish, axborot xavfsizligi maqsadlari, audit, kuzatilgan hodisalarni tahlil qilish.

b) AXBT talablariga rioya qilmaslik holatlarini bartaraf etish uchun tuzatuvchi va profilaktika choralarini ishlab chiqish va amalga oshirish.

c) AXBTni takomillashtirish monitoringi.

Yaxshi ishingizni bilimlar bazasiga yuborish oddiy. Quyidagi shakldan foydalaning

Bilimlar bazasidan o‘z o‘qish va faoliyatida foydalanayotgan talabalar, aspirantlar, yosh olimlar sizdan juda minnatdor bo‘ladi.

E'lon qilingan http://www.allbest.ru/

"Axborot xavfsizligini boshqarish tizimi"

boshqaruv xalqaro standarti

Volib borish

Axborot xavfsizligini boshqarish tizimi - bu kompaniyada axborot aktivlarining maxfiyligi, yaxlitligi va mavjudligini ta'minlash uchun ishlaydigan jarayonlar to'plami. Inshoning birinchi qismida tashkilotda boshqaruv tizimini joriy etish jarayoni ko'rib chiqiladi, shuningdek, axborot xavfsizligini boshqarish tizimini joriy etishning afzalliklarining asosiy jihatlari ko'rsatilgan.

1-rasm. Boshqarish sikli

Jarayonlar ro'yxati va ularning ishlashini qanday qilib eng yaxshi tashkil qilish bo'yicha tavsiyalar Rejalash-Bajarish-Tekshirish-Harakat qilish boshqaruv tsikliga asoslangan ISO 27001:2005 xalqaro standartida keltirilgan. Unga ko'ra, AXBTning hayot aylanishi to'rt turdagi faoliyatdan iborat: Yaratish - Amalga oshirish va foydalanish - Monitoring va tahlil qilish - Xizmat va takomillashtirish (1-rasm). Ushbu standart ikkinchi qismda batafsilroq muhokama qilinadi.

BILANtizimiboshqaruvma `lumotxavfsizlik

Axborot xavfsizligini boshqarish tizimi (AXBT) axborot xavfsizligini yaratish, amalga oshirish, ishlatish, monitoring qilish, tahlil qilish, qo'llab-quvvatlash va takomillashtirishda biznes tavakkalchiligi yondashuviga asoslangan umumiy boshqaruv tizimining bir qismidir. AXBT jarayonlari tsiklga asoslangan ISO / IEC 27001: 2005 talablariga muvofiq ishlab chiqilgan.

Tizim ishi xatarlarni boshqarishning zamonaviy nazariyasi yondashuvlariga asoslanadi, bu uning tashkilotning umumiy risklarni boshqarish tizimiga integratsiyalashuvini ta'minlaydi.

Axborot xavfsizligini boshqarish tizimini joriy etish axborot xavfsizligi risklarini, ya'ni axborot aktivlari (har qanday shakldagi va har qanday xarakterdagi ma'lumotlar) natijasida yuzaga keladigan xavflarni tizimli ravishda aniqlash, tahlil qilish va kamaytirishga qaratilgan tartibni ishlab chiqish va amalga oshirishni nazarda tutadi. maxfiylik, yaxlitlik va mavjudlikni yo'qotadi.

Axborot xavfsizligi xavflarini tizimli ravishda kamaytirishni ta'minlash uchun xavflarni baholash natijalariga ko'ra tashkilotda quyidagi jarayonlar amalga oshirilmoqda:

· Axborot xavfsizligini ichki tashkil etishni boshqarish.

· Uchinchi shaxslar bilan o'zaro aloqada bo'lganda axborot xavfsizligini ta'minlash.

· Axborot aktivlari reestri va ularni tasniflash qoidalarini boshqarish.

· Uskunalar xavfsizligini boshqarish.

· Jismoniy xavfsizlikni ta'minlash.

· Xodimlarning axborot xavfsizligini ta'minlash.

· Axborot tizimlarini rejalashtirish va qabul qilish.

· Zaxira.

· Tarmoqni himoyalash.

Axborot xavfsizligini boshqarish tizimi jarayonlari tashkilotning AT infratuzilmasini boshqarishning barcha jihatlariga ta'sir qiladi, chunki axborot xavfsizligi axborot texnologiyalari bilan bog'liq jarayonlarning barqaror ishlashi natijasidir.

Kompaniyalarda AXBTni qurishda mutaxassislar quyidagi ishlarni amalga oshiradilar:

· Loyiha boshqaruvini tashkil etish, buyurtmachi va pudratchi tomonidan loyiha guruhini shakllantirish;

· AXBT faoliyat sohasini (OD) aniqlang;

OD AXBTda tashkilotni o'rganing:

o tashkilotning biznes-jarayonlari nuqtai nazaridan, shu jumladan axborot xavfsizligi hodisalarining salbiy oqibatlarini tahlil qilish;

o tashkilotni boshqarish jarayonlari, shu jumladan sifat menejmenti va axborot xavfsizligini boshqarish jarayonlari nuqtai nazaridan;

o IT infratuzilmasi bo'yicha;

o axborot xavfsizligi infratuzilmasi nuqtai nazaridan.

Asosiy biznes-jarayonlar ro'yxatini va ularga nisbatan axborot xavfsizligi tahdidlarini amalga oshirish oqibatlarini baholashni, boshqaruv jarayonlari ro'yxatini, AT tizimlarini, axborot xavfsizligi quyi tizimlarini (ISS) o'z ichiga olgan tahliliy hisobotni ishlab chiqish va kelishish. tashkilotning barcha ISO 27001 talablariga javob berish darajasini baholash va jarayonlarning etukligini baholash;

· AXBTning boshlang‘ich va maqsadli etuklik darajasini tanlash, AXBT yetukligini takomillashtirish dasturini ishlab chiqish va tasdiqlash; yuqori darajadagi axborot xavfsizligi hujjatlarini ishlab chiqish:

o Axborot xavfsizligi tushunchasi,

o IS va AXMS siyosatlari;

· Tashkilotda qo'llaniladigan xavflarni baholash metodologiyasini tanlash va moslashtirish;

· AXBT jarayonlarini avtomatlashtirish uchun foydalaniladigan dasturiy ta’minotni tanlash, yetkazib berish va joylashtirish, kompaniya mutaxassislari uchun treningni tashkil etish;

· risklarni baholash va qayta ishlash, bunda ularni kamaytirish uchun 27001 standartining A ilovasidagi chora-tadbirlar tanlanadi va ularni tashkilotda amalga oshirishga qo'yiladigan talablar shakllantiriladi, axborot xavfsizligini ta'minlashning texnik vositalari oldindan tanlanadi;

· PIBning dastlabki loyihalarini ishlab chiqish, xavflarni davolash xarajatlarini baholash;

· Tashkilotning yuqori rahbariyati tomonidan xavflarni baholashni tasdiqlashni tashkil etish va Qo'llash mumkinligi to'g'risidagi bayonotni ishlab chiqish; axborot xavfsizligini ta'minlash bo'yicha tashkiliy chora-tadbirlarni ishlab chiqish;

· Tanlangan chora-tadbirlarni amalga oshirishni qo'llab-quvvatlovchi texnik axborot xavfsizligi quyi tizimlarini joriy etish bo'yicha texnik loyihalarni ishlab chiqish va amalga oshirish, shu jumladan uskunalar yetkazib berish, ishga tushirish, ekspluatatsion hujjatlarni ishlab chiqish va foydalanuvchilarni o'qitish;

· Qurilgan AXBTdan foydalanish jarayonida maslahatlar berish;

· Ichki auditorlar uchun treninglar tashkil etish va ichki AXBT auditini o‘tkazish.

Ushbu ishlarning natijasi faoliyat ko'rsatayotgan AXBTdir. Kompaniyada AXBTni joriy etishdan quyidagi imtiyozlarga erishiladi:

· Axborot xavfsizligi sohasida qonun talablari va tadbirkorlik talablariga rioya etilishini samarali boshqarish;

· AT hodisalarining oldini olish va ular sodir bo'lgan taqdirda zararni kamaytirish;

· Tashkilotda axborot xavfsizligi madaniyatini oshirish;

· Axborot xavfsizligini boshqarish sohasida yetuklikni oshirish;

· Axborot xavfsizligiga sarflanadigan xarajatlarni optimallashtirish.

ISO / IEC27001-- xalqarostandartyoqilganma `lumotxavfsizlik

Ushbu standart Xalqaro standartlashtirish tashkiloti (ISO) va Xalqaro elektrotexnika komissiyasi (IEC) tomonidan birgalikda ishlab chiqilgan. Standart AXBTni yaratish, ishlab chiqish va saqlash uchun axborot xavfsizligi talablarini o'z ichiga oladi. ISO 27001 tashkilotning axborot aktivlarini himoya qilish qobiliyatini namoyish qilish uchun AXBTga qo'yiladigan talablarni belgilaydi. Xalqaro standartda “axborot xavfsizligi” tushunchasidan foydalaniladi va axborotning maxfiyligi, yaxlitligi va mavjudligini ta’minlash sifatida talqin etiladi. Standartning asosini axborot risklarini boshqarish tizimi tashkil etadi. Ushbu standart manfaatdor ichki va tashqi tomonlar tomonidan muvofiqlikni baholash uchun ham ishlatilishi mumkin.

Standart axborot xavfsizligini boshqarish tizimini (AXBT) yaratish, amalga oshirish, ishlatish, doimiy monitoring qilish, tahlil qilish, saqlash va takomillashtirish uchun texnologik yondashuvni qabul qiladi. U tashkilot ichidagi jarayonlar tizimini qo'llash, bu jarayonlarni aniqlash va o'zaro ta'sir qilish, shuningdek ularni boshqarishdan iborat.

Xalqaro standart Shewhart-Deming tsikli deb ham ataladigan Plan-Do-Check-Act (PDCA) modelini qabul qiladi. Ushbu tsikl barcha AXBT jarayonlarini tuzish uchun ishlatiladi. 2-rasmda AXBT axborot xavfsizligi talablari va manfaatdor tomonlarning taxminlarini kirish sifatida qabul qilish va zarur harakatlar va jarayonlar orqali ushbu talablar va kutishlarga javob beradigan axborot xavfsizligi natijalarini ishlab chiqarish ko'rsatilgan.

Rejalashtirish AXBTni yaratish, aktivlar inventarini yaratish, xavflarni baholash va chora-tadbirlarni tanlash bosqichidir.

Shakl 2. AXBT jarayonlariga qo'llaniladigan PDCA modeli

Amalga oshirish - tegishli chora-tadbirlarni amalga oshirish va amalga oshirish bosqichidir.

Ko'rib chiqish AXBT samaradorligi va samaradorligini baholash bosqichidir. Odatda ichki auditorlar tomonidan amalga oshiriladi.

Harakat - profilaktika va tuzatish choralarini ko'rish.

Vxulosalar

ISO 27001 AXBTni joriy etish va ishlatishning umumiy modelini hamda AXBT monitoringi va takomillashtirish bo'yicha harakatlarni tavsiflaydi. ISO sifat menejmenti bilan shug'ullanadigan ISO / IEC 9001: 2000 va atrof-muhitni boshqarish tizimlari bilan shug'ullanadigan ISO / IEC 14001: 2004 kabi turli xil menejment tizimlari standartlarini uyg'unlashtirish niyatida. ISO maqsadi AXBTning kompaniyadagi boshqa boshqaruv tizimlari bilan izchilligi va integratsiyasini ta'minlashdan iborat. Standartlarning o'xshashligi joriy etish, boshqarish, qayta ko'rib chiqish, tekshirish va sertifikatlash uchun o'xshash vositalar va funksionallikdan foydalanishga imkon beradi. Bundan kelib chiqadiki, agar kompaniya boshqa boshqaruv standartlarini joriy qilgan bo'lsa, u sifat menejmenti, atrof-muhitni boshqarish, xavfsizlikni boshqarish va boshqalar uchun qo'llaniladigan yagona audit va boshqaruv tizimidan foydalanishi mumkin. AXBTni joriy qilish orqali yuqori rahbariyat xavfsizlikni nazorat qilish va boshqarish vositalariga ega bo'ladi, bu esa biznesdagi qolgan xavflarni kamaytiradi. AXBT joriy etilgandan so'ng, kompaniya axborot xavfsizligini rasmiy ravishda ta'minlashi va mijozlar, qonunlar, tartibga soluvchilar va aktsiyadorlarning talablariga rioya qilishni davom ettirishi mumkin.

Shuni ta'kidlash kerakki, Rossiya Federatsiyasi qonunchiligida ISO27001 xalqaro standartining tarjima qilingan versiyasi bo'lgan GOST R ISO / IEC 27001-2006 hujjati mavjud.

BILANchiyillashadabiyot

1.Korneev I.R., Belyaev A.V. Korxonaning axborot xavfsizligi. - SPb .: BHV-Peterburg, 2003 .-- 752 b.: kasal.

2. ISO 27001 xalqaro standarti (http://www.specon.ru/files/ISO27001.pdf) (kirish sanasi: 23/05/12)

3. Rossiya Federatsiyasi GOST R ISO / IEC 27003 milliy standarti - "Axborot texnologiyalari. Xavfsizlik usullari. Axborot xavfsizligini boshqarish tizimini joriy qilish bo'yicha ko'rsatmalar" (http://niisokb.ru/news/documents/IDT%20ISO% 20IEC%2027003- 2011-09-14.pdf) (kirish sanasi: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Axborot xavfsizligiga ichki tahdidlardan himoya qilish bo'yicha ko'rsatmalar. SPb .: Piter, 2008 .-- 320 b .: kasal.

5. “Vikipediya” erkin ensiklopediyasining maqolasi, “Boshqaruv tizimi

axborot xavfsizligi "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (kirish sanasi: 23.05.12)

6. Sigurjon Tor Arnason va Keyt D. Uilett “27001 sertifikatiga qanday erishish mumkin”

Allbest.ru saytida e'lon qilingan

Shunga o'xshash hujjatlar

Korxonada axborot xavfsizligiga tahdidlar. Axborot xavfsizligi tizimidagi kamchiliklarni aniqlash. Axborot xavfsizligi tizimini shakllantirishning maqsad va vazifalari. Tashkilotning axborot xavfsizligi tizimini takomillashtirish bo'yicha taklif qilingan chora-tadbirlar.

muddatli ish 02/03/2011 qo'shilgan

Korxonada axborot xavfsizligi tizimini tahlil qilish. Axborot xavfsizligi xizmati. Korxonaga xos axborot xavfsizligi tahdidlari. Axborotni himoya qilish usullari va vositalari. Xavfsizlik nuqtai nazaridan axborot tizimining modeli.

muddatli ish 02/03/2011 qo'shilgan

Oziq-ovqat sanoati korxonasida boshqaruv tizimini yaratishning asosiy bosqichlari. HACCP har qanday oziq-ovqat xavfsizligini boshqarish tizimining asosi sifatida. Oziq-ovqat xavfsizligini boshqarish tizimi. Xavfli omillar va profilaktika choralari.

referat 14.10.2014 da qoʻshilgan

Zamonaviy boshqaruv tizimlari va ularning integratsiyasi. Integratsiyalashgan sifat menejmenti tizimlari. "275 ARZ" OAJ va uning boshqaruv tizimi tavsifi. Mehnatni muhofaza qilishni boshqarish tizimini ishlab chiqish. Integratsiyalashgan xavfsizlik tizimini baholash usullari.

dissertatsiya, 2011-07-31 qo'shilgan

Sifat menejmenti tizimini joriy etish. "Lenta" OAJ misolida sifat menejmenti tizimlarini (ISO 9000), atrof-muhitni boshqarish tizimini (ISO 14000), tashkilotlarning sog'lig'i va xavfsizligini boshqarish tizimlarini (OHSAS 18 001: 2007) sertifikatlash.

Annotatsiya 10.06.2008 yilda qo'shilgan

Hujjatlarni boshqarish jarayonini amalga oshirishning yagona tartibini belgilovchi integratsiyalashgan boshqaruv tizimini tashkil etish standartini ishlab chiqish. “ZSMK” OAJ sifat menejmenti tizimini yaratish bosqichlari. Hujjatlarning elektron versiyalarini joylashtirish.

dissertatsiya, 06/01/2014 qo'shilgan

Xodimlarning ierarxik diagrammasi. Axborot xavfsizligi vositalari. Xavfsizlik masalalari. Korxona axborot oqimlarining diagrammasi. Axborot tizimining yaxlitligini nazorat qilish usullari. Xizmat ma'lumotlariga kirishni boshqarishni modellashtirish.

muddatli ish, 30.12.2011 qo'shilgan

Boshqaruv axborot tizimi tushunchasi va uning umumiy boshqaruv tizimidagi o‘rni. Axborot tizimlarining turlari va ularning mazmuni. Boshqaruv tushunchasi axborot tizimi sifatida. Moliyaviy boshqaruv tizimining funktsiyalari. Bitimlar va operatsiyalarni amalga oshirish tizimlari.

referat 01/06/2015 qo'shilgan

Mehnatni muhofaza qilish va mehnatni muhofaza qilish sohasidagi tushunchalar. Sifat menejmenti tizimlari, atrof-muhitni boshqarish tizimlari, mehnat xavfsizligi va sog'lig'ini boshqarish tizimlari bo'yicha ISO xalqaro standartlari. OHSAS 18001-2007 standartini moslashtirish.

muddatli ish 12/21/2014 qo'shilgan

Axborotni boshqarish xususiyatlari; axborot-huquqiy munosabatlar subyektlari; axborotni qabul qilish, uzatish, saqlash va undan foydalanishning huquqiy rejimi. Axborot almashinuvi va axborot xavfsizligining xususiyatlari va huquqiy jihatlari.