30530

Система международных и российских правовых стандартов. Стандарт ISO 27001:2005

Доклад

Математика и математический анализ

Стандарт ISO 27001:2005. Доска Международный стандарт ISO IEC 27001:2005 Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования разработан Международной организацией по стандартизации ISO и Международной электротехнической комиссией IEC на основе британского стандарта BS 77992:2002. Стандарт ISO 27001 определяет информационную безопасность как: сохранение конфиденциальности целостности и доступности информации; кроме того могут быть включены и другие свойства такие как подлинность...

Русский

2013-08-24

107.5 KB

15 чел.

Система международных и российских правовых стандартов. Стандарт ISO 27001:2005.

Доска

Международный стандарт ISO/IEC 27001:2005 «Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799-2:2002.

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Для разработки СМИБ организация должна выполнить следующие шаги:

  1.  Определить область применения СМИБ.
  2.  Разработать Политику информационной безопасности.
  3.  Определить (разработать) подход к оценке рисков.
  4.  Идентифицировать риски.
  5.  Проанализировать и оценить риски.
  6.  Принять решения по обработке рисков:
    •  применить к риску соответствующие средства управления;
    •  принять риск в соответствии с разработанными критериями принятия рисков;
    •  уйти от риска (избежать риска);
    •  передать риск другой стороне (например, страховой компании, поставщику).
  7.  Выбрать средства управления, которые можно применить для уменьшения рисков. При выборе средств управления должны учитываться критерии принятия рисков, законодательные требования, договорные требования.
  8.  Получить согласие руководства по остаточным рискам.
  9.  Подготовить Положение о применимости – один из обязательных документов СМИБ.

Стандарт совместим с такими стандартами, как ISO 9001:2000 и ISO 14001:2004

Основные преимущества, достигаемые при внедрении стандарта ISO/IEC 27001:2005

Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в организации налажено эффективное управление информационной безопасностью.

Выступление

Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности (далее – СМИБ) в контексте существующих бизнес-рисков организации.

Требования данного стандарта имеют общий характер и могут быть применимы ко всем организациям независимо от их типа, размера, формы собственности.

Стандарт ISO/IEC 27001:2005 устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные ресурсы.

Проводится официальная сертификация СМИБ на соответствие стандарту ISO/IEC 27001:2005.

Сертифицированная СМИБ – гарантия того, что система управления информационной безопасностью правильно и эффективно внедрена в область (области) деятельности организации. А эффективная СМИБ, в свою очередь, обеспечивает необходимый уровень защиты активов организации, т.е. существенно снижает риск нанесения организации ущерба вследствие нарушения информационной безопасности и гарантирует, что меры и средства защиты информации являются адекватными и пропорциональными возможному ущербу организации.

В приложении А стандарта приведен перечень минимальных требований из стандарта ISO/IEC 17799:2005 «Информационные технологии – Методы защиты – Практическое руководство для управления системой защиты информации» к обеспечению безопасности, которые должны быть выполнены в организации.

Основные положения стандарта

Понятие информационной безопасности

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).

Целостность – обеспечение точности и полноты информации, а также методов ее обработки.

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Для разработки СМИБ организация должна выполнить следующие шаги:

  1.  Определить область применения СМИБ.
  2.  Разработать Политику информационной безопасности.
  3.  Определить (разработать) подход к оценке рисков.
  4.  Идентифицировать риски.
  5.  Проанализировать и оценить риски.
  6.  Принять решения по обработке рисков:
    •  применить к риску соответствующие средства управления;
    •  принять риск в соответствии с разработанными критериями принятия рисков;
    •  уйти от риска (избежать риска);
    •  передать риск другой стороне (например, страховой компании, поставщику).
  7.  Выбрать средства управления, которые можно применить для уменьшения рисков. При выборе средств управления должны учитываться критерии принятия рисков, законодательные требования, договорные требования.
  8.  Получить согласие руководства по остаточным рискам.
  9.  Подготовить Положение о применимости – один из обязательных документов СМИБ.

Документация СМИБ

Документация СМИБ должна включать:

  •  Политику и цели в области информационной безопасности;
  •  Область применения СМИБ;
  •  Процедуры и средства управления в поддержку СМИБ;
  •  Описание методологии оценки рисков;
  •  Отчет по оценке рисков;
  •  План уменьшения рисков;
  •  Процедуры, необходимые организации для обеспечения эффективного планирования, выполнения и управления ее процессами в области информационной безопасности и описывающие, как измеряется результативность средств управления;
  •  Записи, требуемые стандартом;
  •  Положение о применимости;
  •  Перечень законодательных требований, которые применимы к информационным ресурсам организации.

Совместимость с другими стандартами на системы менеджмента

Стандарт совместим с такими стандартами, как ISO 9001:2000 и ISO 14001:2004. Если в организации уже внедрены системы менеджмента в соответствии с данными стандартами, то предпочтительно обеспечивать выполнение требований стандарта ISO 27001 в рамках существующих систем менеджмента.

Какие конкурентные преимущества дает внедрение СУИБ и сертификация на соответствие стандарту ISO/IEC 27001:2005?

Для бизнеса, в целом, можно выделить следующие преимущества:

  повышение управляемости и надежности;

  повышение защищенности ключевых бизнес-процессов;

  повышение доверия к организации со стороны контрагентов;

  подтверждение прозрачности;

  упрощение процедуры выхода на внешние рынки (при наличии сертификата, выданного BSI Management Systems [BSI — British Standards Institution. С момента своего создания в 1901 году организация BSI превратилась в глобальную сеть, состоящую из дочерних компаний, предоставляющих многочисленные услуги по стандартизации и сертификации продукции и систем менеджмента BSI Inc. (фирменное наименование BSI Management Systems). BSI Management Systems Russia — представительство BSI на территории СНГ с 2004 года]);

  повышение авторитета организации как на внутреннем, так и на внешних рынках;

  повышение доходности и капитализации.

Для структурных подразделений организации, таких, как подразделения информационных технологий и службы безопасности, это:

  систематизация процессов обеспечения ИБ;

  расстановка приоритетов в сфере ИБ;

  управление ИБ в рамках единой корпоративной политики;

  своевременное выявление и управление рисками;

  снижение рисков от внешних и внутренних угроз;

  оптимизация управленческих процессов;

  повышение эффективности функционирования СУИБ и защищенности информационных систем.

Основные мероприятия, выполняемые при организации СУИБ и регламентируемые ISO/IEC 27001:2005

Выполнение требований ISO/IEC 27001:2005 позволяет организациям формализовать и структурировать процессы управления информационной безопасностью по следующим направлениям:

  разработка политики безопасности;

  организация информационной безопасности;

  организация управления внутренними активами и ресурсами, составляющими основу ключевых бизнес-процессов;

  защита персонала и снижение внутренних угроз;

  физическая безопасность и безопасность окружающей среды;

  управление средствами связи и эксплуатацией оборудования;

  управление и контроль доступа;

  разработка и обслуживание аппаратно-программных систем;

  управление непрерывностью бизнес-процессов;

  соответствие требованиям стандарта и соблюдение правовых норм по безопасности.

Цели и комплексы мероприятий стандарта ISO/IEC 27001:2005 по каждому из направлений работ заимствованы из стандарта ISO/IEC 17799:2005 (разделы 5–15) и перечислены в его Приложении А — Control objectives and controls.

Дополнительный материал

Методология внедрения международного стандарта ISO/IEC 27001:2005 при построении корпоративной системы управления информационной безопасностью

Начиная с октября 2005 года на российском рынке информационной безопасности все большую известность при построении корпоративной системы управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC [IEC — the International Electrotechnical Commission] 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Это происходит по нескольким причинам: c одной стороны, российские организации становятся более зрелыми и компетентными участниками как внутреннего, так и внешних рынков. К определяющим факторам таких изменений можно отнести процедуру постепенного вхождения России во Всемирную торговую организацию и желание крупных компаний выйти на фондовые рынки, разместив свои акции на международных биржах.

С другой стороны, вырос уровень сервиса большинства консалтинговых компаний, которые предлагают свои услуги в области построения корпоративной системы управления информационной безопасностью на базе ISO/IEC 27001:2005 с последующей сертификацией.

И, несомненно, сыграли свою роль позитивные изменения, которые произошли в законодательстве Российской Федерации за последние несколько лет [1, 2, 3]. Так, в 2002 году Правительством РФ была утверждена «Программа комплексной стандартизации в области защиты информации на 2002 — 2010 годы», предусматривающая разработку 38 ГОСТ Р. Кроме того, Федеральная служба по техническому и экспортному контролю, лицензирующая деятельность по защите информации и занимающаяся сертификацией средств защиты информации, вводит в действие комплексный стандарт ГОСТ ИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», который был разработан на базе международного стандарта ISO/IEC 15408 «The common criteria for information technology security evaluation». Наконец, 28 июня 2006 года Государственной Думой был принят законопроект «Об информации, информационных технологиях и о защите информации».

За 2006 год консалтинговыми компаниями разработаны СУИБ в соответствии с требованиями международного стандарта ISO/IEC 27001:2005 для множества организаций — как крупных, так и небольших, где число сотрудников не превышает пятидесяти человек.

Выполнение подобных проектов способствовало расширению представления о том, как должна строиться полноценная СУИБ, помогло усовершенствовать методики реализации процедур аудита, разработки и внедрения СУИБ, а также анализа рисков.
В данной статье мы рассмотрим и постараемся дать ответы на наиболее актуальные вопросы, возникающие как у менеджеров организаций, так и у технических специалистов в процессе ознакомления со стандартом ISO/IEC 27001:2005 и при построении СУИБ на его основе.

Стандарт ISO/IEC 27001:2005 в общей системе государственных стандартов и технических регламентов РФ

За последние два-три года все более заметными становятся изменения в области формирования и совершенствования законодательства и, что немаловажно, положительная тенденция в отношении принятия основных положений международных стандартов в качестве основы для разработки стандартов государственных:

  в сфере информационных технологий были приняты или планируются к принятию ГОСТы на базе следующих международных стандартов: ISO/IEC 7501-1:1997, ISO/IEC 7501-2:1997, ISO/IEC 7501-3:1997, ISO/IEC TR 19760:2003;

  в сфере технологий информации и связи в образовании были приняты или планируются к принятию ГОСТы на базе международных стандартов: ISO/IEC 18056:2005, ISO/IEC 8825-4:2002/Amd.1:2004, ISO/IEC 8825-5:2004;

  в сфере информационной безопасности были приняты или планируются к принятию ГОСТы на базе следующих международных стандартов: ISO/IEC 17799:2005, ISO/IEC 27001:2005 и т. д.;

  Федеральным агентством по техническому регулированию и метрологии были разработаны следующие государственные стандарты РФ, в которых есть ссылки на международный стандарт ISO/IEC 27001:2005: ГОСТ Р ИСО/МЭК 27001 «Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (стандарт утвержден 31.12.2006 года) и стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Необходимо отметить, что стандарт ЦБ России комплексный и в его основу были положены: группа стандартов ISO/IEC (например, такие, как ISO/IEC 17799-1:2005, ISO/IEC 18028-1:2006, ISO/IEC 18043, ISO/IEC TR 18044-2004 и т. д.); стандарт COBIT; методологии анализа и управления рисками OCTAVE и CRAMM; ГОСТы и т. д.

История формирования стандарта ISO/IEC 27001:2005

Стандарт ISO/IEC 27001:2005 берет свое начало из Британского государственного стандарта BS 7799, который был разработан в 1995 году Британским институтом стандартов в сотрудничестве с другими организациями.

В 1999 году первая часть стандарта BS 7799 была передана в Международную организацию по стандартизации ISO и в 2000 году впервые утверждена в качестве международного стандарта как ISO/IEC 17799:2000 (BS 7799-1:2000) [4]. Следующей его версией стал стандарт ISO/IEC 17799:2005. В России экспертами в области управления информационной безопасностью стандарт ISO/IEC 17799 начал активно применяться на практике начиная с 2001–2002 годов [5].

В том же 1999 году выходит в свет вторая часть стандарта BS 7799 — BS 7799-2:1999 Information Security Management — Specification for ISMS (ISMS — Information Security Management System).

В 2002 году стандарт совершенствуется и выпускается его новая редакция — BS 7799-2:2002. На ее основе 14 октября 2005 года принимается стандарт ISO/IEC 27001:2005 (см. рис. 1).

В 2007 году ожидается развитие серии стандартов 27000 и выход стандарта ISO/IEC 27002, который сменит ISO/IEC 17799:2005.

Необходимо отметить, что с практической точки зрения стандарт ISO/IEC 27001:2005 не просто выдвигает требования к разработке, внедрению и совершенствованию СУИБ, но и является сертификационным стандартом, что, несомненно, делает его более привлекательным как для специалистов по информационной безопасности, так и для организации в целом.

Но нельзя также забывать и о том, что при разработке и внедрении корпоративной СУИБ целесообразно использовать другие государственные или отраслевые стандарты, например, такой, как ГОСТ Р ИСО/МЭК 17799 «Информационные технологии. Методы и средства обеспечения защиты. Свод практических рекомендаций для менеджмента защиты информации», принятый в конце сентября 2006 года, или его международный аналог ISO/IEC 17799:2005.

Какие конкурентные преимущества дает внедрение СУИБ и сертификация на соответствие стандарту ISO/IEC 27001:2005?

Для бизнеса, в целом, можно выделить следующие преимущества:

  повышение управляемости и надежности;

  повышение защищенности ключевых бизнес-процессов;

  повышение доверия к организации со стороны контрагентов;

  подтверждение прозрачности;

  упрощение процедуры выхода на внешние рынки (при наличии сертификата, выданного BSI Management Systems [BSI — British Standards Institution. С момента своего создания в 1901 году организация BSI превратилась в глобальную сеть, состоящую из дочерних компаний, предоставляющих многочисленные услуги по стандартизации и сертификации продукции и систем менеджмента BSI Inc. (фирменное наименование BSI Management Systems). BSI Management Systems Russia — представительство BSI на территории СНГ с 2004 года]);

  повышение авторитета организации как на внутреннем, так и на внешних рынках;

  повышение доходности и капитализации.

Для структурных подразделений организации, таких, как подразделения информационных технологий и службы безопасности, это:

  систематизация процессов обеспечения ИБ;

  расстановка приоритетов в сфере ИБ;

  управление ИБ в рамках единой корпоративной политики;

  своевременное выявление и управление рисками;

  снижение рисков от внешних и внутренних угроз;

  оптимизация управленческих процессов;

  повышение эффективности функционирования СУИБ и защищенности информационных систем.

Основные мероприятия, выполняемые при организации СУИБ и регламентируемые ISO/IEC 27001:2005

Выполнение требований ISO/IEC 27001:2005 позволяет организациям формализовать и структурировать процессы управления информационной безопасностью по следующим направлениям:

  разработка политики безопасности;

  организация информационной безопасности;

  организация управления внутренними активами и ресурсами, составляющими основу ключевых бизнес-процессов;

  защита персонала и снижение внутренних угроз;

  физическая безопасность и безопасность окружающей среды;

  управление средствами связи и эксплуатацией оборудования;

  управление и контроль доступа;

  разработка и обслуживание аппаратно-программных систем;

  управление непрерывностью бизнес-процессов;

  соответствие требованиям стандарта и соблюдение правовых норм по безопасности.

Цели и комплексы мероприятий стандарта ISO/IEC 27001:2005 по каждому из направлений работ заимствованы из стандарта ISO/IEC 17799:2005 (разделы 5–15) и перечислены в его Приложении А — Control objectives and controls.

Основные этапы работ по созданию СУИБ

Построение корпоративной СУИБ — это сложный, многоэтапный, циклический организационно-технологический процесс. Исходя из опыта реализации проектов разработки СУИБ, внедрение данного стандарта целесообразно осуществлять в несколько последовательных этапов (см. рис. 2).

Далее мы подробно рассмотрим каждый из этапов.

Требования к консалтинговым компаниям

Наиболее ответственный этап — выбор консалтинговой компании, который определяет успех не только в получении сертификата BSI, но и успех собственного дальнейшего развития. Компания, которая будет выполнять аудит у заказчика, должна отвечать следующим базовым требованиям:

  наличие опыта аудита и реализации проектов;

  наличие высокого партнерского статуса, который определяется опытом и качеством выполненных проектов, возможными отзывами клиентов и деловых партнеров;

  наличие собственных комплексных методик аудита, построения СУИБ, анализа и управления рисками и т. д., которые бы включали в себя не только директивы ISO в области ИБ, но и были бы расширены за счет использования других стандартов и методик;

  наличие специалистов, прошедших подготовку на специализированных курсах по проведению аудита организаций на соответствие СУИБ требованиям стандарта ISO/IEC 27001:2005;

  наличие команды сертифицированных специалистов по различным направлениям информационных технологий, входящих в группу аудиторов или аналитиков.

Хорошим тоном считается, когда консалтинговая компания пользуется поддержкой сертифицирующей компании, например, BSI Management Systems.

На наш взгляд, у консалтинговой компании не должно быть центра поддержки, работающего в круглосуточном режиме. Это обусловлено тем, что СУИБ является закрытой внутренней системой, регулируемой и поддерживаемой, прежде всего, группой специалистов организации, эксплуатирующей СУИБ. В связи с этим удаленный мониторинг состояния средств защиты информации со стороны консалтинговой компании является недопустимым.

Цель, задачи и регламент аудиторской проверки

Началом разработки СУИБ является аудит организации на соответствие положениям ISO/IEC 27001:2005.
Многие руководители организаций считают этот этап необязательным, говоря: «Зачем нам аудит, когда и так очевидно, что у нас все плохо?!» Однако в организации, как правило, несмотря на столь пессимистичный вывод, существуют разного рода положения, инструкции и иные организационно-распорядительные документы, которые регламентируют работу структурных подразделений. Аудит позволяет выявить и систематизировать такие документы в соответствии с требованиями ISO/IEC 27001:2005. После этого можно определить направления работ по созданию системы управления информационной безопасностью организации.

Основная цель аудита — объективно оценить состояние существующей системы управления информационной безопасностью и ее адекватность целям и задачам бизнеса, после чего разработать рекомендации по совершенствованию имеющейся СУИБ либо построению и внедрению новой.

Во время выполнения аудиторских работ консалтинговая компания решает следующие основные задачи:

  анализ структуры организации;

  анализ защищаемой области деятельности и организационно-распорядительных документов;

  анализ структуры и функциональных особенностей, используемых информационных технологий автоматизированной системы сбора, обработки, передачи и хранения информации;

  проверка выполнения требований ISO/IEC 27001:2005 к СУИБ;

  разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению для создания, построения или совершенствования СУИБ.

В большинстве случаев решение данных задач выполняется в четыре основных этапа:

  Планирование мероприятий по аудиту. На данном этапе специалистами аудиторской компании осуществляется сбор организационно-распорядительных документов, отраслевых стандартов, недокументированных проектных решений и других рабочих материалов, касающихся вопросов создания системы управления информационной безопасностью и информационных систем организации, способствующих использованию механизмов и средств обеспечения информационной безопасности. Разработка, согласование и утверждение планов мероприятий по аудиту.

  Проверка на соответствие ISO/IEC 27001:2005. Этот этап включает: определение области деятельности и ключевые бизнес-процессы организации, которые необходимо защитить в первую очередь; проведение анкетирования и интервьюирования сотрудников организации, анализ организационно-распорядительных и нормативных документов и анализ информационной безопасности на соответствие ISO/IEC 27001:2005.

  Оценка рисков информационной безопасности. Аналитический и инструментальный анализ локальной вычислительной сети и информационных ресурсов организации. Проведение консультаций со специалистами, оценка соответствия фактического уровня безопасности информации и анализ рисков.

  Систематизация результатов обследования и формирование отчетности. Предоставление итогового отчета руководству организации.

Создание и (или) внедрение СУИБ в организации

После выполнения аудиторских работ организация-заказчик приступает совместно с консалтинговой компанией к разработке, внедрению или совершенствованию системы управления информационной безопасностью.

При этом предполагается решение следующих основных задач:

  анализ структуры организации, функциональных особенностей построения бизнес-процессов и используемых в них информационных технологий. Определение защищаемой области деятельности организации;

  идентификация, систематизация и определение ценности активов организации;

  анализ рисков ИБ, определение возможных путей их реализации (несанкционированных воздействий на подсистемы и бизнес-процессы организации), категорирование рисков по степени критичности. Оценка возможного ущерба от реализации угроз. Расчет эффективности внедрения комплексных мероприятий по снижению рисков;

  разработка Политики информационной безопасности организации;

  разработка Процедуры по снижению рисков;

  разработка Положения о применимости контролей — комплексов мероприятий информационной безопасности в соответствии с Приложением А стандарта ISO/IEC 27001:2005;

  разработка и внедрение СУИБ;

  разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению режима информационной безопасности организации;

  анализ и оценка результатов внедрения СУИБ.

Рассмотрим основные этапы работ по построению и внедрению СУИБ организации [В зависимости от специфики работы, защищаемой области деятельности компании и числа сотрудников количество этапов и их детализация могут изменяться]:

  Планирование и подготовка планов мероприятий. На данном этапе осуществляется сбор организационно-распорядительных документов и других рабочих материалов, касающихся вопросов построения и функционирования информационных систем организации, планируемых к использованию механизмов и средств обеспечения информационной безопасности, а также осуществляется разработка, согласование и утверждение планов мероприятий по этапам работ и утверждение их у руководства организации.

  Проверка на соответствие ISO/IEC 27001:2005. Проведение интервьюирования и анкетирования менеджеров и сотрудников различных подразделений организации. Анализ СУИБ организации на соответствие требованиям стандарта ISO/IEC 27001:2005.

  Анализ нормативных и организационно-распорядительных документов (ОРД). Анализ ОРД осуществляется исходя из организационной структуры. После этого уточняется или выполняется определение защищаемой области деятельности (ОД) и разрабатывается эскиз политики информационной безопасности организации.

  Анализ и оценка рисков ИБ. Разработка методики по анализу и управлению рисками организации. Аналитический и инструментальный анализ локальной вычислительной сети и информационных ресурсов организации, с целью выявления угроз и уязвимостей защищаемых активов ОД. Инвентаризация активов. Проведение консультаций со специалистами организации и оценка соответствия фактического уровня безопасности. Расчет рисков, определение текущего и допустимого уровня риска для каждого конкретного актива. Ранжирование рисков, выбор комплексов мероприятий (контролей) по их снижению и расчет теоретической эффективности внедрения.

  Разработка и реализация планов мероприятий. Разработка Положения о применимости контролей в соответствии с ISO/IEC 27001:2005. Разработка Плана обработки и устранения рисков. Подготовка отчетов для руководителя организации.

  Разработка нормативных и организационно-распорядительных документов. Разработка и утверждение окончательной Политики информационной безопасности и соответствующих ей положений. Разработка стандартов, процедур и инструкций, обеспечивающих нормальное и стабильное функционирование и эксплуатацию СУИБ.

  Реализация и оценка эффективности проведения комплексных мероприятий по снижению рисков ИБ, в соответствии с утвержденным руководителем Планом обработки и устранения рисков.

  Обучение персонала. Разработка планов мероприятий и внедрение программ по обучению и повышению компетенции сотрудников организации с целью эффективного донесения принципов информационной безопасности для всех руководителей и сотрудников, и в первую очередь для тех из них, структурные подразделения которых участвуют в обеспечении ключевых бизнес-процессов.

  Систематизация результатов обследования и подготовка отчетности. Представление результатов работ для руководителей организации. Подготовка документов на лицензирование на соответствие ISO/IEC 27001:2005 и передача их в сертифицирующую организацию.

  Анализ и оценка результатов внедрения СУИБ (осуществляется на основании методики оценки надежности функционирования СУИБ). Разработка рекомендаций по совершенствованию СУИБ.

Стоит подчеркнуть, что этап повторного аудита после создания корпоративной СУИБ не является обязательным, но вполне целесообразным перед сертификацией с целью уточнения выполнения требований стандарта и рекомендаций консалтинговой компании.

Процедура сертификации СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2005

Последний этап формирования СУИБ — сертификация на соответствие требованиям международного стандарта ISO/IEC 27001:2005.

Существует несколько уполномоченных организаций, которые имеют право выдачи сертификатов соответствия, такие, как BSI Management Systems, Japan Quality Assurance Organization (JQA), DNV Certification US (подразделение Det Norske Veritas) и т. д.

В частности, процедура сертификации в BSI по ISO/IEC 27001:2005 достаточно проста.

После трех-шести месяцев эксплуатации СУИБ организация-заказчик подает заявку на сертификацию в BSI Management Systems.

После утверждения заявки BSI присылает аудиторов для изучения документации с целью выявления слабых мест в системе управления, и если таковых не обнаружено, проводит сертификационный аудит в организации, представляя график проведения аудита и сметы.

При успешном завершении аудита BSI Management Systems выдает сертификат сроком на 3 года.

Литература:

[1] Есауленко А. Часовые информационных ресурсов//Журнал «Сети». 2003. № 18. http://old.osp.ru/nets/2003/18/008_1.htm 
[2] Панасенко Е. Законодательство и регулирование отрасли ИБ.
 http://www.cnews.ru/reviews/free/security2006/articles/legislation 
[3] Петросян Е. Р., Якимов О. С. Состояние и перспективы развития нормативного обеспечения информационной безопасности.
http://www.infoforum.ru/?pag=18&pagedetail=164 
[4] Горобец Н. И. BSI и BS 7799 — взгляд разработчиков//Журнал «Защита информации. Inside». 2005. № 2. С. 28–31
http://www.bsi-russia.com/About/News/kBSI_I.pdf 
[5] Медведовский И. ISO 17799: Эволюция стандарта в период 2002–2005.
 http://www.dsec.ru/about/articles/iso17799_evolution


 

А также другие работы, которые могут Вас заинтересовать

36295. Состав и содержание работ на стадиях внедрения, эксплуатации и сопровождения проекта 39.5 KB
  Недостатком первого подхода является увеличение длительности внедрения что ведет за собой рост стоимости проекта. При использовании второго подхода сокращается время внедрения но возникает возможность пропуска ошибок в проектной документации поэтому чаще всего используют смешанный метод внедрения проекта ЭИС. Внедрение проекта осуществляется в течение трех этапов: подготовка объекта к внедрению; опытное внедрение; сдача проекта в промышленную эксплуатацию.
36296. САSЕ – средства, классификация 26 KB
  Аббревиатура САSЕ Соmputеrаidеd Softwre Епgineering автоматизированная разработка ПО обозначает специальный тип программного обеспечения предназначенного для поддержки отдельных этапов создания ПО таких как разработка требований проектирование кодирование и тестирование программ. Поэтому к САSЕсредствам относятся редакторы проектов словари данных компиляторы отладчики средства построения систем и т. САSЕтехнологии предлагают поддержку процесса создания ПО путем автоматизации которых этапов разработки а также создания и...
36297. Типы пользовательского интерфейса 27.5 KB
  Процедурно-ориентированный интерфейс использует традиционную модель взаимодействия с пользователем основанную на понятиях процедура и операция. Объектно-ориентированные интерфейсы используют модель взаимодействия с пользователем ориентированную на манипулирование объектами предметной области. Процедурноориентированные интерфейсы: 1Обеспечивает пользователю функции необходимые для выполнения задач; 2Акцент делается на задачи; 3Пиктограммы представляют приложения окна или операции; 4Содержание папок и справочников отражается с...
36298. Понятие рекурсии. Прямая и косвенная рекурсия 23.5 KB
  Рекурсия – это такой способ организации программы когда процедура или функция в ходе выполнения составляющих ее операторов обращается сама к себе. Примером программы с использованием рекурсии может быть программа вычисления факториала числа. Программы которые используют рекурсивные процедуры отличаются простотой наглядностью и компактностью текста. Максимальное число рекурсивных вызовов процедуры без возвратов которое происходит во время выполнения программы называется глубиной рекурсии.
36299. Работа с динамическими переменными 394 KB
  Использование идентификатора указателя в программе означает обращение к адресу ячейки памяти на которую он указывает. Выделение и освобождение памяти под динамические переменные выполняется стандартными процедурами New Dispose во время работы программы. Р В неопределенном состоянии указатель бывает в начале работы программы до первого присваивания ему или конкретного адреса или пустого адреса nil а также после освобождения области памяти на которую он указывает. b:=nil; Процедура New: выделяет область памяти соответственно тому...
36300. Теория автоматического управления 3.73 MB
  Управление по возмущению управление без обратной связи по регулируемой величине – разомкнутые системы управления. Управление по отклонению управление с обратной связью по регулируемой величине – замкнутые системы управления. Управление в разомкнутых системах может осуществляться: а в виде программного управления: при этом регулятор УУ действует по заранее заданной жесткой программе.
36301. Правила и особенности выполнения функциональных схем автоматизации упрощенным способом. Пример 22.12 KB
  В нижней части схемы рекомендуется приводить таблицу контуров в соответствии с приложением В. В таблице контуров указывают номера контуров и номер листа основного комплекта на котором приведен состав каждого контура. Для контуров систем автоматического регулирования кроме того на схеме изображают исполнительные механизмы регулирующие органы и линию связи соединяющую контуры с исполнительными механизмами. Предельные рабочие значения измеряемых регулируемых величин указывают рядом с графическими обозначениями контуров или в дополнительной...
36302. Релейные регуляторы. Двух и трехпозиционные, их статические характеристики и параметры настройки 49.85 KB
  Характеристика Рп2 согласно этим выражениям имеет зону неоднозначности 2. Если значение регулируемой величины меньше заданного с учетом зоны неоднозначности то У=В что обеспечивает полное поступление энергии в объект; Х будет увеличиваться. После того как Х превысит Х0 с учетом зоны неоднозначности то У=В доступ энергии в объекте прекратится; Х уменьшается.Снижение зоны неоднозначности приводит к уменьшению периода колебаний и следовательно к увеличению числа переключений.
36303. Адаптивные регуляторы 57.67 KB
  А СНС по отклонению Б СНС по возмущению АР применяются для упря ТП и агрегатами с нестационарными т. Принцип работы самонастраивающейся системы СНС: Для системы задается некоторый функционал качва Qз –который зависит от параметров системы и внешних воздействий. Q = Qмин СНС с использованием эталонной модели на основе принципа упря по отклонению рис. Б – СНС по возмущению.