ISMS

© Христо Тужаров,  

април 2009

 

СТАНДАРТ ISO/IEC 27001

Система за управление сигурността на информацията СУСИ

Information security management system  ISMS

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

СТАНДАРТИЗАЦИЯ НА ИНФОРМАЦИОННАТА СИГУРНОСТ

ОРАНЖЕВА КНИГА

ПРЕПОРЪКИ X 800

СТАНДАРТ ISO/IEC 15408

 

СЕРИЯ СТАНДАРТИ ISO 2700х

 

СТАНДАРТ ISO/IEC 27001

СТАНДАРТ IS0/IЕС 1779

 

Предназначение на стандарта  ISO/IEC 27001

 

Този международен стандарт е разработен, за да се осигури модел за създаване, изпълнение, функциониране, наблюдение, преглед, поддържане и подобряване на система за управление на сигурността на информацията СУСИ (ISMS).

 

Внедряването на СУСИ (ISMS) е стратегическо решение за една организация.

 

Създаването и внедряването на СУСИ (ISMS) на организацията зависят от:

  • Нейните потребности и цели;

  • От изискванията по отношение на сигурността;

  • От включените процеси;

  • От големината и структурата на организацията.

Стандарт  ISO/IEC 27001 - Характерни особености на СУСИ (ISMS)

  • СУСИ отговаря на всички изисквания за система;

  • СУСИ е динамична и постоянно променяща се система, адаптираща се към изискванията на вътрешната и външна среда;

  • СУСИ може да се използва всяка оргаиянизац, без значение от нейните мащаби, разположение, тип на дейност и т.н.

  • СУСИ се базира на процедура за оценка и анализ на риска, насочена към пресмятане на интегралните показатели за сигурност на ключовите информационни активи и избор на мерки за минимизация на рисковете до приемливо остатъчно ниво.

  • СУСИ се проектира по такъв начин, че да осигури адекватни  мерки, в съответствие с предложените в стандарта ISO/IEC 17799/27002 практики и защитни механизми.

  • Организационният модел, по който се проектира и работи СУСИ се базира на процесния подход и по специално на цикъла на Деминг.

Процесен подход в стандарта  ISO/IEC 27001

 

ISO/IEC 27001 възприема използването на процесния подход  при изграждане,внедряването, функционирането, наблюдението, прегледа, поддържането и подобряването на СУСИ  (ISMS) на организацията.

 

За да функционира ефикасно, една организация трябва да идентифицира и управлява много дейности. Всяка дейност, която използва ресурси и се управлява с цел превръщането на входните елементи в изходни, може да се счита за процес. Често пъти изходните данни от един процес се явяват входни данни за следващия.

 

Прилагането на система от процеси в организацията, заедно с идентифицирането и взаимодействието на тези процеси и тяхното управление се нарича „процесен подход".

 

Процесният подход за управление на сигурността на информацията, представен в стандарта, съдейства на тези, които го прилагат, да осъзнаят важността от:

  • Разбиране на изискванията за сигурност на организацията и необходимостта от създаване на политика и цели по сигурност на информацията;

  • Внедряване и прилагане на различни механизми за контрол в контекста на управлението на общия риск на организацията, свързан с нейната дейност

  • Наблюдение и преглед на функционирането и ефикасността на СУСИ (ISMS) ;

  • Постоянни подобрения, основани на обективни измервания.

Стандартът ISO/IEC 27001 приема цикъла на Деминг - модела „планиране – изпълнение – проверка - действие" (Рlап – Dо  -Спеск - Асt, РОСА), който се използва за всички процеси в рамките на СУСИ.

 

 

СУСИ  (ISMS) -  цикъл на Деминг

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

На фигурата е показано как СУСИ използва като входни данни изискванията за сигурност на информацията и очакванията на заинтересованите страни и чрез прилагането на необходимите действия и процеси получава като резултат управлявана сигурност на информацията, която отговаря на тези изисквания и очаквания.

 

        Планиране (създаване на СУСИ)

Създаване на политика, цели, процеси и процедури на СУСИ във връзка с управлението на риска и подобряването на сигурността на информацията за постигане на резултати в съответствие с общата политика и цели на организацията.

 

           Изпълнение (внедряване и функциониране на СУСИ)

Внедряване и функциониране на политиката, механизмите за контрол, процесите и процедурите на СУСИ.

 

         Проверка (наблюдение и преглед на СУСИ)

Оценяване и, където е приложимо, измерване на изпълнението на процесите спрямо политиката по сигурността, целите и практическия опит, и докладване на резултатите на ръководството за преглед.

 

         Действие (поддържане и подобряване на СУСИ)

Предприемане на коригиращи и превантивни действия, основани на вътрешен одит на СУСИ и прегледа от ръководството или друга свързана с въпроса информация, за да се постигне непрекъснато подобряване на СУСИ.

 

Пет задължителни изисквания на стандарта  ISO/IEC 27001

 

Раздел 4 – Общи изисквания и изисквания към документацията

  • Общи изисквания

  • Установяване и поддръжка

  • Изисквания към документация

Раздел 5 –Отговорност на ръководството

  • Съпричастност на ръководството

  • Управление на ресурсите

Раздел 6 – Вътрешен ISMS oдит

 

Раздел 7 – Преглед от ръководството на ISMS

  • Преглед на входните данни

  • Преглед на изходните данни

 

Раздел 8 – Подобряване на ISMS

  • Непрекъснато подобряване

  • Коригиращи действия

  • Превантивни действия

Етапи на разработка на СУСИ (ISMS), съгласно ISO/IEC 27001

1.     Определение области на дейност на проекта.

2.     Провеждане на изследване в в определените рамки на даейност с цел изясняване на несъответствията на организационните процедури и програвто-технически средства с изискванията на стндарта ISO 27001 (провеждане на GAP-анализ);

3.     Разработка на методика за инвентаризация на информационните активи (информационни ресурси, ПО, апаратно и телекомуникационно осигуряване, информационни  носители и т.н.);

4.     Провеждане на изследване с цел идентификация на информационните активи;

5.     Провеждане на оценка и анализ на рисковете за информационна сигурност;

6.     Разработка на политика за информационна сигурност на организацията;

7.     Подготовка на план за обработка на риска, съдържащ списък на мерките за защита , насочени към минимизация на риска;

8.     Разработка на нормативно-методически документи, формализиращи процесите в СУСИ;

9.     Разработка на препоръки за прилагане на механизмите за контрол (statement of applicability);

10.   Внедряване на СУСИ;

11.   Подготовка за сертификация на СУСИ по стандарта ISO 27001.

 

Фактори за избор на областта на защита, съгласно ISO/IEC 27001

 

Фактори за избор на областта на защита, съгласно ISO/IEC 27001

 

1.    Дейности и услуги, предоставяни от организацията на клиентите и партньорите и;

2.    Целева информация, сигурността на която трябва да бъде осигурена;

3.    Бизнес-процеси, осигуряващи обработкана на целевата информация;

4.    Подразделения и сътрудници, участващи н тези бизнес процеси;

5.    Програмно-технически средства, осигуряващи функционирането на бизнес процесите;

6.    Помещения, в които се извършва събирането, обработката и предаването на целевата информация;

 

Ключови  процеси в СУСИ (ISMS), съгласно ISO/IEC 27001

Разрабатваните политики и процедури трябва да обхващат следните клучови процеси на СУСИ:

 

1.        Управление на документацията;

2.        Управление на записите;

3.        Анализ на риска;

4.        Управление на инцидентите, свързани с информационната сигурност;

5.        Анализ от страна на ръководството;

6.        Вътрешни аудите в областта на информационната сигурност;

7.        Управление коригиращи действия;

8.        Мониторинг на ефективността от използаните механизми за защита в СУСИ;

9.        Организация на обучение и информираност в областта на информационната сигурност.

 

Сертификация на СУСИ (ISMS), съгласно ISO/IEC 27001

Използвайки ISO/IEC 27001 в качеството на основа за създаване на СУСИ, всяка организация може да премине процедура по сертификация от специализирани органи, имащи акредитация UKAS (United Kingdom Accreditation Service).

 

Получаването на международен сертификат води до увеличаване капитализацията на комранията и повишава доверието на клиенти и партньори 

 

Сертификацията на СУСИ е възможна след нейната опитна експлоатация в срок от три до шест месеца.