Этапы внедрения стандарта ИСО МЭК 27001
Этап Первый этап разработки СУИБ - аудит компании на соответствие положениям ISO/IEC 27001:2005. Главная цель аудита - объективно оценить состояние действующей системы управления ИБ компании, ее адекватность целям и задачам бизнеса, а также разработать рекомендации по построению, внедрению и совершенствованию СУИБ. Во время аудиторских работ решаются следующие основные задачи: - анализ структуры организации; - анализ защищаемой области деятельности компании и организационно-распорядительных документов; - анализ структуры и функциональных особенностей используемых ИТ, в частности автоматизированной системы сбора, обработки, передачи и хранения информации; - проверка выполнения требований ISO/IEC 27001:2005 к СУИБ; - разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению для создания, построения и совершенствования СУИБ. В большинстве случаев решение перечисленных задач выполняется в четыре этапа. Этап 1. Планирование мероприятий по аудиту. На данном этапе собирают организационно-распорядительные документы, отраслевые стандарты, недокументированные проектные решения и другие рабочие материалы, которые могут иметь непосредственное отношение к созданию системы управления ИБ и информационных систем компании, способствующих использованию механизмов и средств обеспечения ИБ. Этот же этап включает разработку, согласование и утверждение планов мероприятий по аудиту. Этап 2. Проверка на соответствие ISO/IEC 27001:2005: определение области деятельности и ключевых бизнес-процессов компании, которые необходимо защитить в первую очередь; анкетирование и интервьюирование сотрудников компании (разных уровней); анализ организационно-распорядительных и нормативных документов; анализ ИБ на соответствие ISO/IEC 27001:2005. Этап 3. Оценка рисков ИБ - аналитический и инструментальный анализ информационных ресурсов компании; оценка соответствия фактического и необходимого уровня безопасности информации; анализ рисков. Этап 4. Систематизация результатов обследования и формирование отчетности. Предоставление итогового отчета руководству компании. Этап-3 Этап После выполнения аудиторских работ приступают к разработке, внедрению (или совершенствованию) системы управления информационной безопасностью. Основные задачи этого этапа: - анализ структуры компании, функциональных особенностей построения бизнес-процессов и используемых в них ИТ. Определение защищаемой области деятельности компании; - систематизация и определение ценности активов компании, т. е составление перечня активов с указанием их собственника, места размещения, ответственного и т. д.; - анализ рисков ИБ, определение возможных путей их реализации, классификация рисков по степени критичности, оценка вероятного ущерба от реализации угроз, расчет эффективности внедрения комплексных мероприятий по снижению рисков; - разработка политики ИБ компании; - определение процедур по снижению рисков; - создание положения о применимости комплекса мероприятий по созданию СУИБ; - разработка и внедрение СУИБ; - разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению режима ИБ в организации; - анализ и оценка результатов внедрения СУИБ. Рассмотрим основные этапы работ по построению и внедрению СУИБ в компании. Этап 1. Подготовка планов мероприятий. На данном этапе специалисты осуществляют сбор организационно-распорядительных документов и других рабочих материалов, касающихся построения и функционирования информационных систем компании, планируемых к использованию механизмов и средств обеспечения ИБ. Кроме того, составляются, согласуются и утверждаются у руководства компании планы мероприятий по этапам работ. Этап 2. Проверка на соответствие ISO/IEC 27001:2005. Интервьюирование и анкетирование менеджеров и сотрудников подразделений. Анализ СУИБ компании на соответствие требованиям стандарта ISO/IEC 27001:2005. Этап 3. Анализ нормативных и организационно-распорядительных документов (ОРД), опирающихся на организационную структуру компании. По его результатам определяется защищаемая ОД и разрабатывается эскиз политики ИБ компании. Этап 4. Анализ и оценка рисков ИБ. Инвентаризация активов Прежде всего, необходимо определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов: · информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.); · программное обеспечение; · материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.); · сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.); · сотрудники компании, их квалификация и опыт; · нематериальные ресурсы (репутация и имидж компании). Инвентаризация заключается в составлении перечня ценных активов компании. Оценка критичности активов Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов. Оценку критичности активов можно выполнять в денежных единица и в уровнях. Принципы оценки критичности каждого указанного актива: · информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия; · программное обеспечение, материальные ресурсы и сервисы оцениваются с точки зрения их доступности или работоспособности. · сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. · репутация компании оценивается в связи с информационными ресурсами. Оценка информационных рисков Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей. Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым. Т.е. компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб. Уклонение от рисков - это полное устранение источника риска. Передача рисков - перенесение ответственности за риск на третьи лица (например, поставщику оборудования или страховой компании) без устранения источника риска. Снижение рисков - это выбор и внедрение мер по снижению вероятности нанесения ущерба. В процессе обработки рисков сначала требуется определить, какие риски требуют дальнейшей обработки, а какие можно принять. По результатам оценки и обработки рисков разрабатывается Положение о применимости.Наличие этого документа обязательно для прохождения сертификации. В Приложении А к стандарту ISO 27001 перечислены все требования к обеспечению безопасности, которые должны выполняться в компании. Положение о применимости является итоговым решением относительно снижения информационных рисков компании. Этап 5. Разработка и реализация планов мероприятий по ИБ. Разработка положения о применимости контроля в соответствии с ISO/IEC 27001:2005. Разработка плана учета и устранения рисков. Подготовка отчетов для руководителя компании. Этап 6. Разработка нормативных и организационно-распорядительных документов. Разработка и утверждение окончательной политики ИБ и соответствующих ей положений (подполитик). Разработка стандартов, процедур и инструкций, обеспечивающих нормальное функционирование и эксплуатацию СУИБ компании. Стандарт требует, чтобы все меры по снижению рисков были документально зафиксированы. Документированные процедуры являются обязательным элементом системы управления ИБ. Следовательно, в рамках системы управления необходимо разработать базу нормативных документов, описывающих все процедуры в области ИБ. Основными документами по управлению ИБ являются
Этап 7. Внедрение комплексных мероприятий по снижению рисков ИБ и оценка их эффективности в соответствии с утвержденным руководством планом обработки и устранения рисков. Этап 8. Обучение персонала. Разработка планов мероприятий и внедрение программ по обучению и повышению компетенции сотрудников компании с целью эффективного донесения принципов ИБ до всех сотрудников и в первую очередь тех, кто работает в структурных подразделениях, обеспечивающих ключевые бизнес-процессы. Обучение сотрудников можно выполнять в форме очных и заочных курсов с последующим тестированием, целесообразно организовать обучение сотрудников с помощью системы дистанционного обучения, в рамках которой могут быть представлены различные курсы (как для пользователей, так и для специалистов), игровые методики обучения, тестирование. Этап 9. Формирование отчетности. Систематизация результатов обследования и подготовка отчетности. Представление результатов работ для руководителей компании. Подготовка документов к лицензированию на соответствие ISO/IEC 27001:2005 и передача их в сертифицирующую организацию. Этап 10. Анализ и оценка результатов внедрения СУИБ на основании методики, оценивающей надежность функционирования СУИБ компании. Разработка рекомендаций по совершенствованию системы управления ИБ компании. Основная сложность может заключаться в проверке эффективности процедур системы управления ИБ. Т.е. для каждой процедуры необходимо разработать критерии, по которым будет проверяться ее эффективность, и, кроме этого, такие критерии требуется разработать для всей системы управления в целом. Критериями оценки эффективности системы управления ИБ могут быть, например, изменение количества инцидентов ИБ, квалификация пользователей в области ИБ и пр. Этап Повторный аудит после создания СУИБ не является обязательным, но провести его перед сертификацией целесообразно, чтобы уточнить, как выполняются требования стандарта. Этап После трех - шести месяцев эксплуатации СУИБ компания-заказчик может подать заявку на сертификацию СУИБ. Сертификация систем менеджмента защиты информации по ISO/IEC 27001 (ИСО/МЭК 27001) производится по следующим этапам: 1. Подача заявки для сертификации 2. Заключение договора на сертификацию 3. Проверка документов СМЗИ на предмет соответствие требованиям ISO/IEC 27001 (ИСО/МЭК 27001) 4. Планирование предварительного аудита 5. Предварительный аудит 6. Организация-заявитель исправляет ошибки, выявленные по результатам предварительного аудита 7. Планирование сертификационного аудита 8. Сертификационный аудит 9. Составление отчета группой аудита 10. Организация - заявитель исправляет ошибки, выявленные в ходе аудита 11. Выдача сертификата ISO/IEC 27001 (ИСО/МЭК 27001) Читайте также: Методы исследования в анатомии и физиологии: Гиппократ около 460- около 370гг. до н.э. ученый изучал...
Конфликтные ситуации в медицинской практике: Наиболее ярким примером конфликта врача и пациента является...
Управление информационного обеспечения оперативно-розыскной деятельности ДКР ФСБ России: Структура ФСБ включает восемь служб...
Производственно-технический отдел: его назначение и функции: Начальник ПТО осуществляет непосредственное...
Рекомендуемые страницы: Поиск по сайту©2015-2019 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование. Дата создания страницы: 2016-02-13 Нарушение авторских прав и Нарушение персональных данных |
Поиск по сайту: Читайте также: Деталирование сборочного чертежа Когда производственнику особенно важно наличие гибких производственных мощностей? Собственные движения и пространственные скорости звезд |