Managementul securității informațiilor. Politici, principii și concepte de bază

Compania Jet Infosystems realizează proiecte complexe pentru a construi și implementa sisteme eficiente de management al securității informațiilor (ISMS). Proiectele includ analiza, dezvoltarea și implementarea proceselor de management al securității informațiilor. Sistemele implementate îndeplinesc atât cerințele de afaceri, cât și cerințele standardelor internaționale și cele mai bune practici. Drept urmare, acestea aduc nu numai un efect de marketing, ci vă permit și optimizarea bugetului de securitate a informațiilor, creșterea transparenței securității informațiilor pentru afaceri, precum și nivelul de securitate și maturitate al clientului.

Probleme

Pentru a proteja informațiile importante, companiile folosesc o varietate de măsuri de securitate a informațiilor. Cu toate acestea, utilizarea celor mai moderne și costisitoare mijloace nu este o garanție a eficacității acestora și poate duce la cheltuieli nerezonabile pentru securitatea informațiilor. Prezența unui număr mare de măsuri și mijloace de securitate a informațiilor complică procesul de management. Adesea, mecanismele care vă permit să monitorizați și să analizați în mod constant funcționarea sistemului de securitate a informațiilor și să faceți ajustări la funcționarea acestuia nu sunt bine stabilite.

Lipsa proceselor formalizate pentru gestionarea și asigurarea securității informațiilor duce la creșterea costurilor de operare. Din cauza lipsei unei abordări organizaționale, toate problemele emergente sunt rezolvate în mod separat, care variază de la caz la caz.

Soluţie

ISMS face parte din sistemul general de securitate a informațiilor. Una dintre componentele sale principale este procesul de management al riscului de securitate a informațiilor. Rezultatele muncii sale fac posibilă dezvoltarea de soluții pentru gestionarea riscurilor inacceptabile și introducerea unor măsuri de securitate a informațiilor solide din punct de vedere economic. Planificarea implementării măsurilor selectate vă permite să distribuiți costurile asigurării securității informațiilor atât pe termen scurt, cât și pe termen lung.

În cadrul ISMS, sunt create și/sau descrise o serie de procese de management și suport SI, ceea ce face posibilă structurarea acestor procese și asigurarea reproductibilității lor. La construirea acestuia, este necesar să interacționați cu conducerea superioară și reprezentanții unităților de afaceri ale clientului pentru a identifica așteptările acestora de la sistem.

Ținând cont de faptul că comoditatea unui sistem de management și suport al securității informațiilor pentru performeri este determinată de eficiența funcționării acestuia, specialiștii Jet Infosystems acordă o atenție deosebită construcției și depanării ulterioare a proceselor ISMS. În timpul lucrului, procesele existente în companie, caracteristicile și nivelurile de maturitate ale acestora, precum și tradițiile culturii corporative sunt întotdeauna luate în considerare. O atenție deosebită se acordă pregătirii angajaților implicați în implementarea sistemului, repartizarea responsabilităților, precum și organizarea unui centru intern de competență pentru managementul și suportul securității informațiilor. Ca urmare, procesele implementate devin o parte integrantă a companiei, lucrând în conformitate cu obiectivele stabilite și nu rămân „un dosar de hârtii întins într-un dulap”.

Compania Jet Infosystems oferă o gamă largă de servicii în domeniul managementului și suportului securității informațiilor:

Dezvoltarea și implementarea unui ISMS bazat pe standardul ISO/IEC 27001

Dezvoltarea și implementarea proceselor de bază de management al securității informațiilor se realizează ținând cont de structura organizatorică și specificul clientului. În plus, angajații cheie sunt instruiți să lucreze cu ISMS și este oferit suport de consultanță.

Dezvoltarea și implementarea proceselor individuale de management și suport pentru securitatea informațiilor

Dezvoltarea și implementarea proceselor individuale de management și asistență a securității informațiilor (de exemplu, managementul riscurilor, managementul incidentelor, audituri interne etc.) se realizează în conformitate cu cerințele standardelor internaționale și rusești de securitate a informațiilor (ISO/IEC 27001:2005). , ISO/IEC 27002: 2005, ISO/IEC 27005:2008, PCI DSS, STO BR IBBS – 1.0 etc.), precum și cele mai bune practici în acest domeniu.

Consultanții pot întocmi un program pentru implementarea consecventă a proceselor de management al securității informațiilor cu scopul de a unifica în continuare într-un singur ISMS.

Pregătirea pentru certificare pentru conformitatea cu cerințele standardului internațional ISO/IEC 27001

Pregătirea pentru certificare include efectuarea unei analize preliminare a conformității cu cerințele standardului ISO/IEC 27001, eliminarea inconsecvențelor identificate și aducerea ISMS în conformitate cu cerințele acestui standard. Auditul este efectuat de un organism de certificare care are acreditarea corespunzătoare.

Jet Infosystems oferă asistență clienților în timpul auditurilor și ajută la eliminarea inconsecvențelor identificate.

Suport al ISMS dezvoltat sau al proceselor individuale

Compania Jet Infosystems realizează:

pregătirea ISMS al clientului pentru audituri de verificare: inspecție expresă, stabilirea lucrărilor care trebuie făcute pentru a trece auditul de verificare al organismului de certificare;
rafinarea sau implementarea unor procese specifice ISMS. De exemplu, efectuarea unei analize anuale a riscului de securitate a informațiilor sau efectuarea de audituri interne de securitate a informațiilor.

Avantajele lucrului cu Jet Infosystems:

o abordare sistematică și o metodologie proprie unică, care ne permit să dezvoltăm și să implementăm rapid și eficient procese pentru asigurarea și gestionarea securității informațiilor;
o echipa de proiect unita de specialisti atestati capabili sa rezolve cele mai complexe probleme;
Consultanții companiei sunt profesori de sisteme de management la BSI MS și sunt angajați pentru a efectua audituri;
Principiul principal de funcționare este „fiecare companie este unică”. Sunt determinate nevoile de securitate a informațiilor pentru fiecare client și sunt propuse soluții care să contribuie la asigurarea unei securități reale a informațiilor, și nu doar conformarea formală a cerințelor (legislație, parteneri, contractori, industrie etc.) și contracte.

Beneficii

Introducerea procedurilor de management și suport al securității informațiilor vă permite să:

optimizarea și justificarea costurilor pentru securitatea informațiilor;
creșterea eficienței securității informațiilor prin realizarea complexității, interconectării, eficienței și transparenței tuturor măsurilor de asigurare a securității informațiilor;
să asigure conformitatea nivelului de securitate a informațiilor atât cu cerințele legislative, industriale, interne ale corporative, cât și cu obiectivele de afaceri;
reducerea costurilor de operare prin formalizarea și standardizarea proceselor de management și suport al securității informațiilor;
cresterea increderii partenerilor si clientilor companiei prin demonstrarea unui nivel ridicat de maturitate in securitatea informatiei.

În plus, implementarea și certificarea unui ISMS permite:

majorarea capitalizării și a valorii acțiunilor societății;
creșterea ratingurilor internaționale ale companiei, care sunt necesare pentru a atrage investiții străine și pentru a intra pe piețele internaționale;
proteja investitiile.

Experienţă

Specialiștii Jet Infosystems au cea mai mare experiență în CSI în construirea unui ISMS și a proceselor individuale de management al securității informațiilor, inclusiv managementul riscului de securitate a informațiilor, managementul incidentelor de securitate a informațiilor și managementul vulnerabilităților.

Cinci proiecte mari pentru crearea și pregătirea ulterioară a unui ISMS pentru certificare pentru conformitatea cu cerințele standardului ISO/IEC 27001:2005 au fost finalizate cu succes în următoarele companii:

OJSC „Interregional Transit Telecom”
OJSC „ROSNO”
Information Security Center LLC
Askari Bank (Pakistan)
SRL „ELDORADO”

De asemenea, au fost finalizate peste 30 de proiecte pentru a construi procese individuale de management al securității informațiilor, pentru a sprijini ISMS și a le pregăti pentru audituri de supraveghere de către organismul de certificare.

Pentru ca securitatea informațiilor să fie eficientă, aceasta trebuie să fie strâns legată de securitatea și nevoile afacerii.
Fiecare proces din cadrul unei organizații IT trebuie să includă considerente de securitate. Securitatea nu este o activitate autonomă; este firul care trece prin toate procesele furnizorului de servicii.
Conducerea organizației este singura responsabilă pentru organizarea informațiilor. Conducerea este responsabilă să răspundă la toate întrebările care afectează securitatea informațiilor. Consiliul de administrație trebuie să facă din securitatea informațiilor o parte integrantă a guvernanței corporative.
Permisiuni

Procesul și cadrul de management al securității informațiilor includ de obicei:
- Politica de securitate a informațiilor, susținută de un subset de politici care acoperă aspecte de strategie, control și reglementare
- Sistem de management al securității informațiilor
- o strategie de securitate cuprinzătoare strâns legată de obiectivele, strategiile și
planuri

Modelul de securitate trebuie să includă și o structură organizatorică eficientă.
Securitatea nu este responsabilitatea unei singure persoane, ci trebuie luată în considerare în profilurile de rol la toate nivelurile organizației.
Managementul securității este necesar pentru a sprijini politica și a gestiona riscurile de securitate.
În cele din urmă, cadrul de securitate trebuie să ia în considerare și să includă:
- Monitorizarea procesului pentru a asigura conformitatea și pentru a oferi feedback cu privire la eficacitate
- Strategie și plan pentru securitatea comunicațiilor
- Instruire și strategii și planuri pentru a se asigura că toți angajații cunosc responsabilitățile lor.

Politica de securitate a informațiilor

Activitățile de management al securității informațiilor ar trebui să vizeze gestionarea Politicii de securitate a informațiilor.
O politică de securitate a informațiilor ar trebui să aibă sprijinul deplin al managementului superior IT și, în mod ideal, sprijinul și angajamentul managementului superior al afacerii.
Aceste politici trebuie să acopere toate domeniile de securitate, să fie adecvate și să răspundă nevoilor afacerii.
Politica de securitate a informațiilor ar trebui să fie disponibilă pe scară largă pentru toți clienții și utilizatorii.
Această politică trebuie să fie autorizată de conducerea de afaceri și IT.

Toate politicile de securitate ar trebui revizuite cel puțin o dată pe an și după cum este necesar.

Sistem de management al securității informațiilor

Un sistem de management al securității informațiilor este un cadru de politici, procese, standarde, linii directoare și instrumente care asigură că o organizație își atinge obiectivele de management al securității informațiilor.

Un sistem de management al securității informațiilor oferă un cadru pentru dezvoltarea de programe de securitate a informațiilor rentabile care sprijină obiectivele de afaceri.
Sistemul trebuie să ia în considerare mai mult decât doar tehnologie.

Practicile 4P (oameni, proces, produs și partener) pot fi utilizate pentru a asigura un nivel ridicat de securitate în toate domeniile.

ISO 27001 este un standard formal care poate oferi certificarea independentă a unui sistem de management al securității informațiilor. Organizațiile pot solicita certificare pentru a dovedi că îndeplinesc cerințele de securitate.

Un sistem de management al securității informațiilor include o structură organizațională pentru dezvoltarea, implementarea, gestionarea, menținerea și aplicarea proceselor de securitate și guvernanță a informațiilor în mod sistematic și consecvent în cadrul unei organizații.

Diagrama de mai jos prezintă abordarea managementului securității informațiilor
Sisteme. Această abordare este utilizată pe scară largă și se bazează pe sfaturi și recomandări descrise în surse, inclusiv ISO 27001.

Control

Controlul securității informațiilor este primul sub-proces al managementului securității informațiilor și se referă la organizarea și managementul procesului. Această activitate include o abordare structurată de Management al Securității Informaționale care descrie următoarele subprocese: formularea Planurilor de Securitate, implementarea acestora, evaluarea implementării și includerea evaluării în Planurile de Securitate anuale (planuri de acțiune). De asemenea, descrie rapoartele furnizate clientului prin Procesul de management al nivelului de servicii.
Această activitate definește sub-procesele, funcțiile de securitate, rolurile și responsabilitățile. De asemenea, descrie structura organizațională, sistemul de raportare și fluxurile de control (cine instruiește pe cine, cine face ce, cum este raportată performanța). În cadrul acestui tip de activitate sunt implementate următoarele măsuri din colecția de recomandări practice pentru Managementul Securității Informaționale.

Reguli interne de funcționare (politică):
- elaborarea și implementarea regulilor interne de lucru (politici), conexiuni cu alte reguli;
- scopuri, principii generale și semnificație;
- descrierea subproceselor;
- repartizarea funcţiilor şi responsabilităţilor între subprocese;
- conexiuni cu alte procese ITIL și managementul acestora;
- responsabilitatea generala a personalului;
- gestionarea incidentelor de securitate.

Organizarea securității informațiilor:
- schema bloc a managementului;
- structura de conducere (structura organizatorica);
- repartizarea mai detaliată a responsabilităţilor;
- înființarea Comitetului Director pentru Securitatea Informației;
- coordonarea securitatii informatiilor;
- armonizarea instrumentelor (de exemplu, pentru analiza riscurilor și creșterea gradului de conștientizare);
- descrierea procesului de autorizare a instrumentelor IT în consultare cu clientul;
- consultatii cu specialisti;
- cooperarea între organizații, interacțiunea internă și externă;
- audit independent al sistemelor informatice;
- principii de securitate la accesarea informațiilor terților;
- securitatea informatiilor in contractele cu tertii.

Planificare

Sub-procesul de planificare se rezumă la definirea conținutului secțiunii de securitate a SLA-urilor cu participarea Procesului de management al nivelului de servicii și descrierea activităților legate de securitate desfășurate în cadrul Acordurilor externe. Sarcinile care sunt definite în termeni generali în SLA sunt detaliate și specificate sub forma unui Operational Service Level Agreement (OLA). OLA poate fi considerat atât un Plan de securitate pentru structura organizatorică a furnizorului de servicii, cât și un Plan de securitate specific pentru, de exemplu, fiecare platformă IT, aplicație și rețea.

Intrarea în subprocesul de planificare nu este doar prevederile acordului SLA, ci și principiile politicii de securitate a furnizorului de servicii (din subprocesul de control). Exemple ale acestor principii sunt: „Fiecare utilizator trebuie să fie identificat în mod unic”; „Un nivel de bază de securitate este oferit în orice moment pentru toți clienții.”

Acordurile operaționale de nivel de serviciu (OLA) pentru securitatea informațiilor (planuri de securitate specifice) sunt dezvoltate și implementate prin proceduri normale. Aceasta înseamnă că dacă aceste activități devin necesare în alte procese, atunci este necesară coordonarea cu aceste procese. Toate modificările necesare ale infrastructurii IT sunt efectuate de Procesul de management al schimbărilor folosind informațiile de intrare furnizate de Procesul de management al securității informațiilor. Responsabilul pentru Procesul de Management al Schimbării este Managerul acestui Proces.
Subprocesul de planificare se coordonează cu Procesul de management al nivelului de servicii pentru a determina secțiunea de securitate a SLA, a o actualiza și a asigura conformitatea cu prevederile acestuia. Managerul procesului de management al nivelului de servicii este responsabil pentru această coordonare.

Cerințele de securitate ar trebui definite în SLA, dacă este posibil în termeni măsurabili. Secțiunea de securitate a SLA trebuie să asigure că îndeplinirea tuturor cerințelor și standardelor de securitate a clienților poate fi verificată.

Implementarea

Sarcina subprocesului de implementare (implementare) este de a realiza toate activitățile definite în planuri. Acest subproces poate fi susținut de următoarea listă de verificare a acțiunilor.

Clasificarea și managementul resurselor IT:
- furnizarea de date de intrare pentru a susține elementele de configurare (CI) în CMDB;
- clasificarea resurselor IT în conformitate cu principiile convenite.

Siguranța personalului:
- sarcini și responsabilități în fișa postului;
- selectia personalului;
- acorduri de confidentialitate pentru personal;
- Instruire;
- îndrumări pentru personal privind rezolvarea incidentelor de securitate și eliminarea defectelor de securitate detectate;
- masuri disciplinare;
- îmbunătățirea gradului de conștientizare a securității.

Management de securitate:
- introducerea tipurilor de responsabilitate si repartizarea responsabilitatilor;
- instructiuni de lucru scrise;
- regulile interne;
- măsurile de securitate trebuie să acopere întregul ciclu de viață al sistemelor; Ar trebui să existe linii directoare de siguranță pentru dezvoltarea, testarea, acceptarea, utilizarea operațională, întreținerea și îndepărtarea sistemelor din mediul operațional;
- separarea mediului de dezvoltare și testare de mediul operațional (de lucru);
- proceduri de tratare a incidentelor (realizate prin Procesul de management al incidentelor);
- utilizarea instrumentelor de recuperare;
— furnizarea de contribuții la procesul de management al schimbării;
- implementarea masurilor de protectie impotriva virusilor;
- implementarea metodelor de management pentru calculatoare, aplicatii, retele si servicii de retea;
- manipularea și protecția corectă a suporturilor de date.

Controlul accesului:
- implementarea politicii de acces și controlul accesului;
- suport pentru privilegii de acces utilizator și aplicație la rețele, servicii de rețea, computere și aplicații;
- suport pentru bariere de protectie a retelei (firewall, servicii dial-up, poduri si routere);
- implementarea metodelor de identificare si autorizare a sistemelor informatice, statiilor de lucru si calculatoarelor in retea

Nota

O evaluare independentă a implementării activităților planificate este esențială. Această evaluare este necesară pentru a determina eficacitatea și este cerută și de clienți și terți. Rezultatele subprocesului de evaluare pot fi utilizate pentru ajustarea măsurilor convenite cu clientul, precum și pentru implementarea acestora. Pe baza rezultatelor evaluării, pot fi propuse modificări, caz în care o Cerere de Schimbare (RFC) este formulată și trimisă Procesului de Management al Schimbărilor.
Există trei tipuri de evaluare:
- autoevaluare: realizată în primul rând de divizii liniare ale organizației;
- audit intern: efectuat de auditori interni IT;
- audit extern: efectuat de auditori IT externi.
Spre deosebire de autoevaluare, un audit nu este efectuat de același personal care este implicat în alte subprocese. Acest lucru este necesar pentru a asigura separarea responsabilităților. Auditul poate fi efectuat de către departamentul de audit intern.
Evaluarea este, de asemenea, efectuată ca răspuns la incidente.
Activitățile principale sunt:
- verificarea respectarii politicii de securitate si implementarea Planurilor de Securitate;
- realizarea unui audit de securitate al sistemelor informatice;
- identificarea și luarea de măsuri privind utilizarea necorespunzătoare a resurselor IT;
- verificarea aspectelor de securitate in alte tipuri de audit IT.

A sustine

Din cauza riscurilor în schimbare ca urmare a schimbărilor în infrastructura IT, în companie și în procesele de afaceri, este necesar să se asigure un suport adecvat pentru măsurile de securitate. Suportul pentru controalele de securitate include suport pentru secțiunile relevante de securitate ale SLA și suport pentru planuri de securitate detaliate (la nivelul Acordului de nivel de servicii de operare).
Menținerea funcționării eficiente a sistemului de securitate se realizează pe baza rezultatelor subprocesului de Evaluare și analiză a schimbărilor de risc. Sugestiile pot fi implementate fie ca parte a sub-procesului de planificare, fie ca parte a menținerii întregului SLA. În orice caz, sugestiile făcute pot duce la includerea unor inițiative suplimentare în Planul anual de securitate. Orice modificări sunt supuse procesului normal de gestionare a modificărilor.

Obiectivele suportului sunt îmbunătățirea aranjamentului de securitate, cum ar fi
specificate în acordurile de nivel de serviciu și acordurile de nivel operațional și
îmbunătățirea implementării măsurilor de securitate și control.

Întreținerea trebuie realizată folosind un ciclu Plan-Efectuare-Verificare-Acționare, adică
abordare formală propusă de ISO 27001 pentru stabilirea unui Sistem Informațional de Management al Securității. Acest lucru este descris în detaliu în CSI.

Când procesul este implementat corect, managementul securității informațiilor ar trebui să aibă șase rezultate cheie. Mai jos este o listă completă a rezultatelor și a datelor asociate.

Aliniere strategică:
o Cerințele de securitate ar trebui să fie determinate de cerințele corporative
o Soluțiile de securitate trebuie să fie în concordanță cu procesele întreprinderii
o Investițiile în securitatea informațiilor trebuie să fie aliniate cu strategia întreprinderii și cu riscurile convenite

Valoarea de livrare:
o Un set standard de metode de securitate, adică cerințe de securitate de bază pentru conformitatea cu regulile
o Priorități și eforturi alocate corect zonelor cu cel mai mare impact și beneficii de afaceri
o Soluții instituționalizate și de masă
o Soluții cuprinzătoare care acoperă organizație, proces și tehnologie o O cultură a îmbunătățirii continue

Managementul riscurilor:
o Profil de risc consistent
o Înțelegerea expunerii la risc
o Conștientizarea priorităților de management al riscului
o Reducerea riscului
o Risc de acceptare/respectare

Managementul performantei:
o A fost definit și convenit un set de metrici
o A fost definit un proces de măsurare pentru a ajuta la identificarea deficiențelor și pentru a oferi feedback cu privire la progresul în rezolvarea problemelor.
o Furnizare independentă

Managementul resurselor:
o Cunoștințe colectate și accesibile
o procese și practici de securitate documentate
o Arhitectura de securitate dezvoltată pentru utilizarea eficientă a resurselor infrastructurii
- asigurarea proceselor de afaceri.

Managementul general al securității informațiilor în Bancă este realizat de Președintele Consiliului de Administrație al Băncii pe baza sarcinilor prezentate în Concept, a principiilor de organizare și funcționare a sistemului de securitate a informațiilor și a principalelor amenințări.

Sunt determinate următoarele domenii de activitate ale Băncii în managementul securității informațiilor:

- organizarea managementului securității informațiilor în sisteme și rețele automatizate;
- organizarea protecţiei informaţiei vorbirii;
- asigurarea protectiei fizice a facilitatilor Bancii in care sunt procesate si stocate informatii care constituie secret comercial;
- participarea la organizarea fluxului general de documente de afaceri;
- organizarea si protejarea circulatiei documentelor confidentiale.

Gestionarea măsurilor de securitate, stabilirea drepturilor utilizatorului și controlul trebuie efectuate la nivel central, ținând cont de particularitățile procesării și transmiterii informațiilor în anumite sisteme și secțiuni ale rețelei. Lucrările de asigurare a securității informațiilor în sisteme și rețele sunt efectuate direct de:

- Departamentul Securitate Informațională;
- administratori de sistem și de rețea;
- persoanele responsabile cu securitatea informatiilor din diviziile Bancii;
- Direcţia Regim a Administraţiei Securităţii Economice.

Departamentul Securitate Informațională stă la baza managementului și controlului centralizat al securității informațiilor în sistemele și rețelele Băncii. Sarcina principală a Direcției Securitate Informațională este organizarea activității continue, planificate și direcționate pentru asigurarea securității informațiilor și monitorizarea implementării documentelor de reglementare ale băncii privind securitatea informațiilor.

Angajații Direcției de Tehnologia Informației a Băncii sunt numiți administratori de sistem și rețele, care sunt responsabili cu asigurarea operabilității sistemelor și rețelelor, implementând Planul de operare și recuperare fără defecțiuni pentru sisteme și rețele. Principalele sarcini ale administratorilor:

1. Managementul direct al sistemelor și rețelelor, monitorizarea integrității sistemelor și rețelelor;
2. Asigurarea funcționării fără probleme și restabilirea funcționalității sistemelor în cazul defecțiunilor și defecțiunilor.

Angajații diviziilor structurale ale Băncii sunt responsabili de securitatea informațiilor în departamente. Sarcina lor principală este de a monitoriza implementarea de către angajații departamentului de reguli de lucru în sistemele și rețelele automate ale băncii.

Sarcina principală a direcțiilor de regim al filialei în ceea ce privește asigurarea securității informațiilor este organizarea și realizarea întregii game de măsuri de protecție a informațiilor din filială.

Organizarea, planificarea și implementarea măsurilor de protecție a informațiilor de vorbire se realizează de către Departamentul de Securitate Economică. Principalele obiective ale protecției informațiilor vorbite sunt:

1. Monitorizarea respectării de către angajații Băncii a procedurii și regulilor de tratare a informațiilor confidențiale și prevenirea dezvăluirii acestora;
2. Identificarea și suprimarea posibilelor canale de scurgere a informațiilor de vorbire;
3. Îndrumări metodologice privind protecția informațiilor de vorbire în diviziile Băncii.

Controlul general asupra protecției informațiilor de vorbire este efectuat de către Departamentul de Securitate Economică.

Organizarea și asigurarea protecției fizice a facilităților Băncii (inclusiv birouri și sucursale suplimentare), unde informațiile confidențiale sunt prelucrate și stocate, se realizează de către Departamentul de Securitate Economică al Băncii. Principalele obiective ale protecției fizice sunt:

1. Organizarea protecției clădirilor, spațiilor de birouri și teritoriilor adiacente împotriva posibilelor pătrunderi și invadări de către persoane neautorizate și excluderea eventualelor furturi, denaturare și distrugere a informațiilor confidențiale de către acestea;
2. Asigurarea că angajații și vizitatorii Băncii respectă ordinea și regulile de trecere și comportament pe teritoriul Băncii;
3. Siguranța fizică a suporturilor de stocare a materialelor în timpul depozitării și transportului acestora.

Organizarea protecției documentelor confidențiale în diviziile Băncii este încredințată:

- Vicepreședinte al Consiliului de Administrație al Băncii - în departamentele și diviziile supravegheate;
- Șefi de departamente (șefi de departamente) - în departamente (departamente);
- Sefi de departamente - in departamente;
- Manageri de sucursale (directori de birouri suplimentare) - în sucursale (birouri suplimentare).

Organizarea contabilității mediilor materiale care conțin informații care constituie secret comercial (munca de birou confidențială) se încredințează Direcției Administrative și Personale a Băncii și Direcției Securitate Economică, în sucursale (sucursale) - angajaților special alocați în aceste scopuri, numiți. prin comanda pentru ramura (filiala).

Pentru a înregistra și stoca parola-cheie și materiale criptografice ale instrumentelor de criptare utilizate în Bancă, în cadrul Departamentului de Securitate Informațională este organizată o secțiune independentă de muncă de birou confidențială. Principalele obiective ale organizării unui sistem de management al înregistrărilor confidențiale sunt:

- selecția și plasarea personalului în zona de lucru confidențială a biroului;
- organizarea fluxului de documente confidentiale in Banca;
- implementarea corespondenței închise;
- organizarea contabilitatii si controlul documentelor confidentiale;
- organizarea și implementarea unui sistem de autorizare pentru a permite interpreților să lucreze cu documente confidențiale.

Controlul curent asupra respectării cerințelor de protecție a informațiilor pe medii materiale este atribuit Departamentului de Securitate Economică al Băncii.

Responsabilitate

Responsabilitatea pentru dezvăluirea informațiilor care constituie un secret comercial al Băncii și pierderea documentelor, produselor și suporturilor magnetice care conțin astfel de informații este stabilită în conformitate cu legislația actuală a Federației Ruse.

Responsabilitatea pentru dezvăluirea și pierderea informațiilor care conțin un secret comercial revine personal fiecărui angajat al Băncii care are acces la acesta.

ISBN 978-5-4493-0690-6

Creat în sistemul de publicare intelectuală Ridero

1. Familia de standarde de management al securității informațiilor

1.1. Istoricul dezvoltării standardelor de management al securității informațiilor

Astăzi, securitatea spațiului digital arată o nouă cale pentru securitatea națională a fiecărei țări. Datorită rolului informației ca marfă valoroasă în afaceri, protecția acesteia este cu siguranță necesară. Pentru atingerea acestui scop, fiecare organizație, în funcție de nivelul de informare (din punct de vedere al valorii economice), necesită dezvoltarea unui sistem de management al securității informațiilor (denumit în continuare ISMS), în timp ce este posibil să își protejeze activele informaționale.

În organizațiile a căror existență depinde în mod semnificativ de tehnologia informației (denumită în continuare IT), toate instrumentele pot fi folosite pentru a proteja datele. Cu toate acestea, securitatea informațiilor este esențială pentru consumatori, parteneri de afaceri, alte organizații și guvern. În acest sens, pentru a proteja informațiile valoroase, este necesar ca fiecare organizație să depună eforturi pentru una sau alta strategie și implementarea unui sistem de securitate bazat pe aceasta.

Un ISMS face parte dintr-un sistem integrat de management bazat pe evaluarea și analiza riscurilor pentru dezvoltarea, implementarea, administrarea, monitorizarea, analiza, întreținerea și îmbunătățirea securității informațiilor (denumite în continuare IS) și implementarea acestuia, derivate din obiectivele și obiectivele organizației. cerințele, cerințele de securitate utilizate procedurile și dimensiunea și structura organizației sale.

Originile principiilor și regulilor de management al securității informațiilor au început în Marea Britanie în anii 1980. În acei ani, Departamentul pentru Comerț și Industrie din Regatul Unit (DTI) a organizat un grup de lucru pentru a dezvolta un set de bune practici pentru securitatea informațiilor.

În 1989, DTI a publicat primul standard în acest domeniu, numit PD 0003 Practică de management al securității informațiilor. Era o listă de controale de securitate considerate adecvate, normale și bune la momentul respectiv, aplicabile atât tehnologiilor, cât și mediilor vremii. Documentul DTI a fost publicat ca document de guvernare pentru Standardul Britanic (BS).

În 1995, Instituția Britanică de Standardizare (BSI) a adoptat standardul național BS 7799-1 „Practica de management al securității informațiilor”. Acesta a descris 10 domenii și 127 de mecanisme de control necesare pentru a construi un Sistem de management al securității informațiilor (ISMS), identificat pe baza celor mai bune exemple din practica mondială.

Acest standard a devenit precursorul tuturor standardelor internaționale ISMS. Ca orice standard național, BS 7799 în perioada 1995-2000 sa bucurat, să spunem, de o popularitate moderată doar în țările Commonwealth-ului Britanic.

În 1998, a apărut a doua parte a acestui standard - BS 7799-2 „ISMS. Ghid de specificații și aplicații”, care a definit modelul general pentru construirea unui ISMS și un set de cerințe obligatorii pentru conformitate cu care trebuie efectuată certificarea. Odată cu apariția celei de-a doua părți a BS 7799, care a definit ce ar trebui să fie un ISMS, a început dezvoltarea activă a unui sistem de certificare în domeniul managementului siguranței.

La sfârșitul anului 1999, experții de la Organizația Internațională de Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC) au ajuns la concluzia că nu exista un standard specializat de management SI în cadrul standardelor existente. În consecință, s-a decis să nu se elaboreze un nou standard, ci, în acord cu BSI, folosind ca bază BS 7799-1, să se adopte standardul internațional ISO/IEC corespunzător.

La sfârșitul anului 1999, ambele părți ale BS 7799 au fost revizuite și armonizate cu standardele internaționale ISO/IEC 9001 și ISO/IEC 14001 sisteme de management de mediu, iar un an mai târziu, fără modificări, BS 7799-1 a fost adoptat ca standard internațional. ISO/IEC 17799:2000 „Tehnologii informaționale (denumite în continuare IT). Reguli practice pentru managementul securității informațiilor.”

În 2002, atât prima parte a BS 7799-1 (ISO/IEC 17799), cât și a doua parte a BS 7799-2 au fost actualizate.

În ceea ce privește certificarea oficială conform ISO/IEC 17799, aceasta nu a fost prevăzută inițial (analogie completă cu BS 7799). A fost furnizată doar certificarea la BS 7799-2, care a fost o serie de cerințe obligatorii (nu sunt incluse în BS 7799-1), iar în anexă o listă a celor mai importante cerințe obligatorii condiționate (la discreția certificatului) 7799-1 (ISO/IEC 17799).

În CSI, prima țară care a adoptat standardul ISO/IEC 17799:2000 ca standard național în noiembrie 2004 a fost Belarus. Rusia a introdus acest standard abia în 2007. Pe baza acesteia, Banca Centrală a Federației Ruse a creat un standard de management al securității informațiilor pentru sectorul bancar al Federației Ruse.

În cadrul ISO/IEC, subcomitetul Nr. 27 este responsabil de dezvoltarea unei familii de standarde internaționale pentru managementul securității informațiilor, așa că a fost adoptată o schemă de numerotare pentru această familie de standarde folosind o serie de numere secvențiale, începând cu 27000 (27k).

În 2005, Comitetul Tehnic Comun ISO/IEC JTC 1 Practici de securitate IT, Subcomitetul SC 27 Tehnici de securitate IT, a dezvoltat Standardul de certificare a securității IT ISO/IEC 27001. Metode de protecție. SUIS. Cerințe”, care a înlocuit BS 7799-2, iar acum certificarea este realizată conform ISO 27001.

În 2005, pe baza ISO/IEC 17799:2000, ISO/IEC 27002:2005 „IT. Metode de protecție. Set de norme și reguli pentru managementul securității informațiilor.”

La începutul anului 2006, a fost adoptat un nou standard național britanic, BS 7799-3 ISMS. Ghid de management al riscului de securitate a informațiilor”, care a primit în 2008 statutul standardului internațional ISO/IEC 27005 „IT. Metode de protecție. Managementul riscului de securitate a informațiilor.”

În 2004, Institutul Britanic de Standarde a publicat ISO/IEC TR 18044 „IT. Metode de protecție. Managementul incidentelor de securitate a informațiilor.” În 2011, pe baza acestuia a fost dezvoltat standardul ISO/IEC 27035 „IT”. Metode de protecție. Managementul incidentelor de securitate a informațiilor.”

În 2009, a fost adoptat standardul IT ISO/IEC 27000. SUIB. Prezentare generală și terminologie.” Oferă o privire de ansamblu asupra sistemelor de management al securității informațiilor și definește termenii aferenti. Dicționarul de definiții formale formulate cu atenție acoperă majoritatea termenilor specializați de securitate a informațiilor utilizați în grupul de standarde ISO/IEC 27.

La 25 septembrie 2013, au fost publicate noi versiuni ale standardelor ISO/IEC 27001 și 27002. Din acest moment, standardele din seria ISO/IEC 27k (managementul securității informațiilor) sunt complet integrate cu standardele din seria ISO/IEC 20k (IT). managementul serviciilor). Toată terminologia din ISO/IEC 27001 a fost transferată la ISO/IEC 27000, care definește o terminologie comună pentru întreaga familie de standarde ISO/IEC 27k.

1.2. Standardul ISO/IEC 27000-2014

Ultima actualizare la ISO/IEC 27000 IT. SUIB. Prezentare generală și terminologie” a avut loc pe 14 ianuarie 2014.

Standardul constă din următoarele secțiuni:

– introducere;

- scopul aplicatiei;

- Termeni și definiții;

– sisteme de management al securității informațiilor;

– familia de standarde ISMS.

Introducere

Revizuire

Standardele internaționale ale sistemelor de management oferă un model pentru stabilirea și funcționarea unui sistem de management. Acest model include funcții asupra cărora experții au ajuns la un acord pe baza experienței internaționale acumulate în acest domeniu.

Prin utilizarea familiei de standarde ISMS, organizațiile pot implementa și îmbunătăți ISMS și se pot pregăti pentru evaluarea independentă a ISMS utilizat pentru a proteja informații precum informații financiare, proprietate intelectuală, informații despre personal și informații încredințate de clienți sau terți. Aceste standarde pot fi utilizate de o organizație pentru a pregăti o evaluare independentă a securității informațiilor ISMS.

Familia de standarde ISMS

O familie de standarde ISMS, care poartă denumirea generală „Tehnologia informației. Tehnici de securitate” (Tehnologia informației. Metode de protecție), are scopul de a ajuta organizațiile de orice tip și dimensiune în implementarea și funcționarea unui ISMS și constă din următoarele standarde internaționale:

– ISO/IEC 27000 ISMS. Prezentare generală și terminologie;

– ISO/IEC 27001 ISMS. Cerințe;

– ISO/IEC 27002 Cod de practică pentru managementul securității informațiilor;

– Ghid ISO/IEC 27003 pentru implementarea unui ISMS;

– ISO/IEC 27004 PEB. Măsurători;

– ISO/IEC 27005 Managementul riscului de securitate a informațiilor;

– Cerințe ISO/IEC 27006 pentru organismele care furnizează audit și certificare ISMS;

– Ghid ISO/IEC 27007 pentru efectuarea unui audit ISMS;

– Ghid ISO/IEC TR 27008 pentru auditarea controalelor de securitate a informațiilor;

– ISO/IEC 27010 PEB pentru comunicații intersectoriale și interorganizaționale;

– Ghidul ISO/IEC 27011 pentru PIS pentru organizațiile de telecomunicații bazat pe ISO/IEC 27002;

– Ghid ISO/IEC 27013 pentru implementarea integrată a standardelor ISO/IEC 27001 și ISO/IEC 20000-1;

– ISO/IEC 27014 Managementul securității informațiilor de către conducerea superioară;

– Ghidul ISO/IEC TR 27015 PEB pentru Servicii Financiare;

– ISO/IEC TR 27016 PEB. Economie organizațională;

– ISO/IEC 27035 Managementul incidentelor de securitate a informațiilor (nu este specificat în standard).

Standarde internaționale care nu au acest nume comun:

– ISO 27799 Informatica sanatatii. PEB conform standardului ISO/IEC 27002.

Scopul standardului

Standardul oferă o imagine de ansamblu asupra ISMS și definește condițiile relevante.

Familia de standarde ISMS conține standarde care:

– să stabilească cerințele pentru ISMS și certificarea unor astfel de sisteme;

– include orientări ale industriei pentru ISMS;

– gestionează evaluarea conformității ISMS.

1. Domeniul de aplicare

Standardul oferă o privire de ansamblu asupra ISMS și a termenilor și definițiilor utilizate în mod obișnuit în familia standardelor ISMS. Standardul este aplicabil tuturor tipurilor și dimensiunilor de organizații (de exemplu, întreprinderi comerciale, agenții guvernamentale, organizații non-profit).

2. Termeni și definiții

Secțiunea conține definiții pentru 89 de termeni, de exemplu:

– Sistem informatic– aplicații, servicii, active IT și alte componente de procesare a informațiilor;

– securitatea informațiilor (IS)– menținerea confidențialității, integrității și disponibilității informațiilor;

– disponibilitate– proprietatea de a fi accesibil și gata de utilizare la cererea unei persoane autorizate;

– confidențialitatea– proprietatea informațiilor să fie inaccesibilă sau închisă persoanelor neautorizate;

– integritate– proprietatea de acuratețe și completitudine;

– nerepudierea– capacitatea de a certifica apariția unui eveniment sau acțiune și subiecții creatori ai acestuia;

– eveniment de securitate a informațiilor– o stare identificată a unui sistem (serviciu sau rețea) care indică o posibilă încălcare a politicii sau măsurilor de securitate a informațiilor sau o situație necunoscută anterior care poate avea legătură cu securitatea;

– incident de securitate a informațiilor– unul sau mai multe evenimente de securitate a informațiilor care cu un grad semnificativ de probabilitate duc la compromiterea operațiunilor de afaceri și creează amenințări la adresa securității informațiilor;

– gestionarea incidentelorESTE– procese de detectare, notificare, evaluare, răspuns, revizuire și studiu a incidentelor de securitate a informațiilor;

– sistem de control– un set de elemente interconectate ale unei organizații pentru a stabili politici, scopuri și procese pentru a atinge acele obiective;

– monitorizarea– determinarea stării unui sistem, proces sau activitate;

– politică– intenția și direcția generală exprimate oficial de conducere;

– risc– efectul incertitudinii în scopuri;

– amenințare– o posibilă cauză a unui incident nedorit care ar putea cauza pagube;

– vulnerabilitate– o deficiență a unui activ sau a unei măsuri de securitate care poate fi exploatată de una sau mai multe amenințări.

3. Sisteme de management al securității informațiilor

Secțiunea „ISMS” constă din următoarele puncte principale:

– descrierea ISMS;

– implementarea, controlul, întreținerea și îmbunătățirea ISMS;

– avantajele implementării standardelor familiei ISMS.

3.1. Introducere

Organizații de toate tipurile și dimensiunile:

– colectarea, procesarea, stocarea și transmiterea informațiilor;

– recunoaște că informațiile și procesele asociate, sistemele, rețelele și oamenii sunt active importante pentru atingerea obiectivelor organizației;

– se confruntă cu o serie de riscuri care pot afecta funcționarea activelor;

– eliminarea riscului perceput prin implementarea de măsuri și instrumente de securitate a informațiilor.

Toate informațiile stocate și procesate de o organizație sunt supuse amenințărilor de atac, eroare, natură (de exemplu, incendiu sau inundație), etc. și sunt supuse unor vulnerabilități inerente utilizării lor.

De obicei, conceptul de securitate a informațiilor se bazează pe informații care sunt considerate un activ de valoare și necesită o protecție adecvată (de exemplu, împotriva pierderii disponibilității, confidențialității și integrității). Capacitatea persoanelor autorizate de a avea acces în timp util la informații exacte și complete este un catalizator pentru eficiența afacerii.

Protejarea eficientă a activelor informaționale prin definirea, crearea, menținerea și îmbunătățirea securității informațiilor este esențială pentru ca o organizație să își atingă obiectivele și să mențină și să îmbunătățească conformitatea legală și reputația. Aceste eforturi coordonate de a implementa controale de securitate adecvate și de a gestiona riscurile inacceptabile de securitate a informațiilor sunt cunoscute în mod obișnuit ca controale de securitate a informațiilor.

Pe măsură ce riscurile de securitate a informațiilor și eficacitatea controalelor de securitate se modifică în funcție de circumstanțe în schimbare, o organizație ar trebui:

– monitorizează și evaluează eficacitatea măsurilor și procedurilor de protecție implementate;

– identificarea riscurilor emergente pentru prelucrare;

– selectați, implementați și îmbunătățiți măsurile de protecție adecvate, după caz.

Pentru a interconecta și coordona activitățile de securitate a informațiilor, fiecare organizație ar trebui să formuleze politici și obiective de securitate a informațiilor și să atingă efectiv aceste obiective folosind un sistem de management.

3.2. Descrierea ISMS

Descrierea ISMS include următoarele componente:

– prevederi și principii;

- informație;

- Securitatea informațiilor;

– management;

- sistem de control;

– abordare prin proces;

– importanța ISMS.

Reglementări și principii

Un ISMS constă din politicile, procedurile, liniile directoare și resursele și activitățile asociate gestionate colectiv de o organizație pentru a obține protecția activelor sale informaționale. Un ISMS definește o abordare sistematică pentru crearea, implementarea, procesarea, controlul, revizuirea, menținerea și îmbunătățirea securității informațiilor unei organizații pentru a atinge obiectivele de afaceri.

Se bazează pe evaluarea riscurilor și pe nivelurile de risc acceptabile ale organizației, concepute pentru a gestiona și gestiona eficient riscul. Analizarea cerințelor de protecție a activelor informaționale și aplicarea măsurilor de securitate adecvate pentru a asigura protecția necesară a acestor active contribuie la implementarea cu succes a unui ISMS.

Următoarele principii de bază contribuie la implementarea cu succes a unui ISMS:

– înțelegerea necesității unui sistem de securitate a informațiilor;

– atribuirea responsabilității pentru securitatea informațiilor;

– combinarea angajamentelor managementului și a intereselor părților interesate;

– creșterea valorilor sociale;

– evaluări ale riscurilor care determină măsuri de protecție adecvate pentru atingerea unor niveluri acceptabile de risc;

– securitatea ca element integral al SI și al rețelelor;

– prevenirea și detectarea activă a incidentelor de securitate a informațiilor;

– asigurarea unei abordări integrate a PEB;

– reevaluarea continuă și îmbunătățirea corespunzătoare a securității informațiilor.

informație

Informația este un activ care, împreună cu alte active critice de afaceri, este importantă pentru afacerea unei organizații și, prin urmare, trebuie protejată în consecință. Informațiile pot fi stocate într-o varietate de forme, inclusiv sub formă digitală (de exemplu, fișiere de date stocate pe suporturi electronice sau optice), formă tangibilă (de exemplu, hârtie) și formă intangibilă sub forma cunoștințelor angajaților.

Informațiile pot fi transmise într-o varietate de moduri, inclusiv prin curier, comunicații electronice sau vocale. Indiferent de forma în care sunt prezentate informațiile sau de metoda folosită pentru a le transmite, acestea trebuie protejate corespunzător.

În multe organizații, informația depinde de tehnologia informației și comunicațiilor. Această tehnologie este un element esențial în orice organizație și facilitează crearea, prelucrarea, stocarea, transmiterea, protecția și distrugerea informațiilor.

Securitatea informațiilor

Securitatea informațiilor include trei dimensiuni (proprietăți) principale: confidențialitate, disponibilitate și integritate. Securitatea informațiilor implică aplicarea și gestionarea controalelor de securitate adecvate, care includ luarea în considerare a unei game largi de amenințări, pentru a asigura succesul pe termen lung și continuitatea afacerii și pentru a minimiza impactul incidentelor de securitate a informațiilor.

Securitatea informațiilor se realizează prin aplicarea unui set adecvat de controale de securitate, definite printr-un proces de management al riscului și gestionate folosind un ISMS, inclusiv politici, procese, proceduri, structuri organizaționale, software și hardware, pentru a proteja activele informaționale identificate.

Aceste controale de securitate trebuie definite, implementate, monitorizate, testate și, acolo unde este necesar, îmbunătățite pentru a se asigura că nivelul de securitate a informațiilor îndeplinește obiectivele de afaceri ale organizației. Măsurile și instrumentele relevante de securitate a informațiilor ar trebui să fie integrate perfect în procesele de afaceri ale organizației.

Control

Guvernanța include activitățile de conducere, control și îmbunătățire continuă a unei organizații în cadrul unor structuri adecvate. Activitățile de management includ activitățile, metodele sau practicile de generare, prelucrare, dirijare, monitorizare și control al resurselor. Dimensiunea structurii de management poate varia de la o persoană în organizațiile mici până la o ierarhie de management în organizațiile mari formată din mai mulți oameni.

În legătură cu un ISMS, managementul include monitorizarea și luarea deciziilor necesare atingerii obiectivelor de afaceri prin protejarea activelor informaționale. Guvernanța securității informațiilor este exprimată prin formularea și utilizarea politicilor, procedurilor și liniilor directoare de securitate a informațiilor, care sunt apoi aplicate în întreaga organizație de către toate persoanele asociate cu aceasta.

Sistem de control

Sistemul de management folosește un set de resurse pentru a atinge obiectivele organizației. Sistemul de management al unei organizații include structură, politici, planificare, angajamente, metode, proceduri, procese și resurse.

În ceea ce privește securitatea informațiilor, sistemul de management permite organizației să:

– satisface cerințele de siguranță ale clienților și ale altor părți interesate;

– îmbunătățirea planurilor și activităților organizației;

– îndeplinirea obiectivelor de securitate a informațiilor ale organizației;

– să respecte reglementările, legislația și ordinele industriei;

– gestionează activele informaționale într-o manieră organizată pentru a facilita îmbunătățirea continuă și ajustarea obiectivelor actuale ale organizației.

3.3. Abordarea procesului

O organizație trebuie să desfășoare și să gestioneze diverse activități pentru a funcționa eficient și eficient. Orice activitate care utilizează resurse trebuie gestionată pentru a permite transformarea intrărilor în ieșiri printr-un set de activități interconectate, numite și proces.

Ieșirea unui proces poate modela direct intrarea următorului proces și, de obicei, o astfel de transformare are loc în condiții planificate și controlate. Aplicarea unui sistem de procese în cadrul unei organizații, împreună cu identificarea și interacțiunea acestor procese, precum și managementul lor, poate fi definită ca o „abordare procesuală”.

Informații suplimentare (nu este inclus in standard)

Omul de știință american Walter Shewhart este considerat a fi fondatorul abordării prin proces a managementului calității. Cartea lui începe prin a identifica 3 etape în gestionarea calității rezultatelor performanței organizației:

1) elaborarea specificațiilor (specificații tehnice, condiții tehnice, criterii de realizare a obiectivelor) a ceea ce se cere;

2) producția de produse care îndeplinesc specificațiile;

3) inspecția (monitorizarea) produselor fabricate pentru a evalua conformitatea acestora cu caietul de sarcini.

Shewhart a fost unul dintre primii care a propus închiderea percepției liniare a acestor etape într-un ciclu, pe care l-a identificat cu „procesul dinamic de dobândire a cunoștințelor”.

După primul ciclu, rezultatele testelor ar trebui să formeze baza pentru îmbunătățirea specificațiilor produsului. În continuare, procesul de producție este ajustat pe baza specificației actualizate, iar noul rezultat al procesului de producție este din nou supus verificării etc.

Omul de știință american Edwards Deming a transformat ciclul Shewhart în forma cea mai întâlnită astăzi. Pentru a trece de la controlul calității la managementul calității, a dat denumiri mai generale fiecărei etape și, în plus, a adăugat încă o etapă a 4-a, cu ajutorul căreia a dorit să atragă atenția managerilor americani asupra faptului. că nu analizează suficient informațiile primite la a treia etapă și nu îmbunătățesc procesul. De aceea, această etapă se numește „act” (Act) și, în consecință, ciclul Shewhart-Deming se numește modelul „PDCA” sau „PDSA”:

– Plan – Planificare– identificarea și analiza problemelor; evaluarea oportunităților, stabilirea obiectivelor și elaborarea planurilor;

– Do – Implementarea– găsirea de soluții la probleme și implementarea planurilor;

– Verificare (studiu) – Evaluarea performanței– evaluarea rezultatelor implementării și a concluziilor în conformitate cu sarcina;

– act– Îmbunătăţire– luarea deciziilor pe baza constatărilor, corectării și îmbunătățirii muncii.

Model "PDCA" pentru ISMS

Planificare – Implementare – Control – Îmbunătățire

1.Planificare (dezvoltare și proiectare): Stabilirea obiectivelor, politicilor, controalelor, proceselor și procedurilor ISMS pentru a obține rezultate în concordanță cu politicile și obiectivele generale ale organizației.

2. Implementare (implementare și exploatare): implementarea și aplicarea politicilor de securitate a informațiilor, controalelor, proceselor și procedurilor ISMS pentru evaluarea și tratarea riscurilor și incidentelor de securitate a informațiilor.

3. Control (monitorizarea si analiza functionarii): evaluarea eficacității îndeplinirii cerințelor politicii, a obiectivelor SI și a eficacității ISMS și notificarea conducerii superioare cu privire la rezultate.

4. Îmbunătățire (întreținere și îmbunătățire): efectuarea de acțiuni corective și preventive pe baza rezultatelor auditului și revizuirii managementului pentru a obține îmbunătățirea ISMS

Metoda și ciclul Shewhart-Deming, care este denumit mai des ciclul Deming, ilustrează de obicei o schemă de control pentru orice proces de activitate. Cu clarificările necesare, acum a fost utilizat pe scară largă în standardele internaționale de management:

– calitatea produsului ISO 9000;

– protectia mediului ISO 14000;

– securitatea si sanatatea in munca OHSAS 18000;

– servicii de informare ISO/IEC 20000;

– siguranța alimentelor ISO 22000;

– securitatea informatiei ISO/IEC 27000;

– siguranta ISO 28000;

– continuitatea afacerii ISO 22300;

– riscuri ISO 31000;

– energie ISO 50000.

3.4. Importanța unui ISMS

Organizația ar trebui să determine riscurile asociate activelor informaționale. Realizarea securității informațiilor necesită managementul riscurilor și acoperă riscurile fizice, umane și tehnologice legate de amenințările care afectează toate formele de informații din cadrul organizației sau utilizate de organizație.

Adoptarea unui ISMS este o decizie strategică pentru o organizație și este necesar ca soluția să fie continuu integrată, evaluată și actualizată în funcție de nevoile organizației.

Dezvoltarea și implementarea ISMS al unei organizații este influențată de nevoile și obiectivele organizației, cerințele de securitate, procesele de afaceri utilizate și dimensiunea și structura organizației. Dezvoltarea și funcționarea unui ISMS ar trebui să reflecte interesele și cerințele de securitate a informațiilor tuturor părților interesate ale organizației, inclusiv clienți, furnizori, parteneri de afaceri, acționari și alte terțe părți.

Într-o lume interconectată, informația și procesele, sistemele și rețelele aferente acesteia constituie active critice. Organizațiile și IP-ul și rețelele lor se confruntă cu amenințări de securitate dintr-o gamă largă de surse, inclusiv fraudă informatică, spionaj, sabotaj, vandalism și incendii și inundații. Daunele aduse IP și sistemelor cauzate de malware, hackeri și atacuri DoS au devenit mai frecvente, mai mari și mai sofisticate.

Un ISMS este important pentru întreprinderile atât din sectorul public, cât și din cel privat. În orice industrie, un ISMS este un instrument esențial pentru a sprijini e-business și este important pentru activitățile de management al riscului. Interconectarea rețelelor publice și private și schimbul de active informaționale complică gestionarea accesului la informație și prelucrarea acesteia.

În plus, proliferarea dispozitivelor mobile de stocare care conțin active de informații poate slăbi eficacitatea măsurilor tradiționale de securitate. Atunci când organizațiile adoptă o familie de standarde ISMS, abilitatea de a aplica principii IS consecvente și recunoscute reciproc poate fi demonstrată partenerilor de afaceri și altor părți interesate.

Securitatea informației nu este întotdeauna luată în considerare la crearea și dezvoltarea sistemelor informaționale. În plus, se crede adesea că securitatea informațiilor este o problemă tehnică. Cu toate acestea, securitatea informațiilor care poate fi realizată prin mijloace tehnice este limitată și poate să nu fie eficientă decât dacă este susținută de management și proceduri adecvate în contextul unui ISMS. Integrarea unui sistem de securitate într-un IS complet funcțional poate fi complexă și costisitoare.

Un ISMS presupune identificarea măsurilor de protecție disponibile și necesită o planificare atentă și atenție la detalii. De exemplu, măsurile de control al accesului, care pot fi tehnice (logice), fizice, administrative (management) sau o combinație a acestora, asigură că accesul la activele informaționale este autorizat și limitat pe baza cerințelor de afaceri și de securitate a informațiilor.

Aplicarea cu succes a unui ISMS este importantă pentru protejarea activelor informaționale, deoarece vă permite să:

– sporirea asigurării că activele informaționale sunt protejate în mod adecvat în mod continuu împotriva amenințărilor la securitatea informațiilor;

– menține un sistem structurat și cuprinzător de evaluare a amenințărilor la securitatea informațiilor, selectarea și aplicarea măsurilor de protecție adecvate, măsurarea și îmbunătățirea eficacității acestora;

– îmbunătățirea constantă a mediului de management al organizației;

– Respectați în mod eficient cerințele legale și de reglementare.

3.5. Implementarea, controlul, întreținerea și îmbunătățirea ISMS

Implementarea, controlul, întreținerea și îmbunătățirea unui ISMS sunt etapele operaționale ale dezvoltării ISMS.

Etapele operaționale ale unui ISMS sunt determinate de următoarele componente:

- Dispoziții generale;

– cerințe de securitate a informațiilor;

– factori decisivi pentru succesul unui ISMS.

Etapele operaționale ale ISMS prevăd următoarele activități:

– evaluarea riscului de securitate a informațiilor;

– prelucrarea riscurilor de securitate a informațiilor;

– selectarea și implementarea măsurilor de protecție;

– controlul și întreținerea ISMS;

– îmbunătățire constantă.

Dispoziții generale

Organizația trebuie să ia următorii pași pentru a implementa, controla, menține și îmbunătăți ISMS:

– identificarea activelor informaționale și a cerințelor asociate de securitate a informațiilor;

– evaluarea și tratarea riscurilor de securitate a informațiilor;

– selectarea și implementarea măsurilor de protecție adecvate pentru gestionarea riscurilor inacceptabile;

– controlul, întreținerea și îmbunătățirea eficacității măsurilor de protecție legate de activele informaționale ale organizației.

Pentru a se asigura că ISMS protejează în mod eficient activele informaționale ale organizației în mod continuu, toți pașii trebuie repeți în mod continuu pentru a identifica schimbările în riscuri sau strategia organizației sau obiectivele de afaceri.

Cerințe de securitate a informațiilor

În cadrul strategiei generale și a obiectivelor de afaceri ale unei organizații, dimensiunea și distribuția sa geografică, cerințele de securitate a informațiilor pot fi determinate prin înțelegerea:

– activele informaționale și valorile acestora;

– nevoile afacerii pentru lucrul cu informații;

– cerințe legale, de reglementare și contractuale.

Efectuarea unei evaluări metodologice a riscurilor asociate cu activele informaționale ale unei organizații include analiza:

– amenințări la adresa bunurilor;

– vulnerabilitățile activelor;

– probabilitatea de materializare a amenințării;

– impactul posibil al unui incident de securitate a informațiilor asupra activelor.

Costurile garanțiilor adecvate ar trebui să fie proporționale cu impactul preconizat asupra afacerii al materializării riscului.

Evaluarea riscului de securitate a informațiilor

Managementul riscului de securitate a informațiilor necesită o metodă adecvată pentru evaluarea și tratarea riscului, care poate include o evaluare a costurilor și beneficiilor, cerințelor legale, preocupărilor părților interesate și alte inputuri și variabile.

Evaluările riscurilor trebuie să identifice, să măsoare și să prioritizeze riscurile pe baza criteriilor de acceptare a riscurilor și a obiectivelor organizaționale. Rezultatele vor ajuta la dezvoltarea și luarea deciziilor de management adecvate pentru a acționa și a prioritiza gestionarea riscurilor de securitate a informațiilor și implementarea măsurilor de securitate selectate pentru a proteja împotriva acestor riscuri.

Evaluarea riscurilor ar trebui să includă o abordare sistematică a evaluării amplorii riscurilor (analiza riscurilor) și un proces de comparare a riscurilor evaluate cu criteriile de risc pentru a determina severitatea riscurilor (evaluarea riscurilor).

Evaluările riscurilor ar trebui efectuate periodic pentru a se adapta la schimbările aduse cerințelor de securitate a informațiilor și situațiilor de risc, cum ar fi active, amenințări, vulnerabilități, impacturi, evaluări ale riscurilor și în cazul unor schimbări semnificative. Aceste evaluări ale riscurilor trebuie efectuate metodic pentru a asigura rezultate comparabile și reproductibile.

O evaluare a riscului de securitate a informațiilor trebuie să-și definească în mod clar domeniul de aplicare pentru a fi eficientă și să conțină interacțiuni cu evaluările riscurilor din alte domenii, acolo unde este posibil.

Standardul ISO/IEC 27005 oferă îndrumări privind managementul riscului de securitate a informațiilor, inclusiv recomandări pentru evaluarea, tratarea, acceptarea, comunicarea, monitorizarea și analiza riscului.

Tratarea riscului de securitate a informațiilor

Înainte de a lua în considerare tratamentul riscului, o organizație ar trebui să stabilească un criteriu pentru a determina dacă riscurile pot fi acceptate sau nu. Riscurile pot fi acceptate dacă riscul este scăzut sau costul tratamentului nu este rentabil pentru organizație. Astfel de decizii trebuie înregistrate.

Pentru fiecare risc identificat prin evaluarea riscului, trebuie luată o decizie cu privire la modul de tratare al acestuia. Opțiunile posibile de tratament a riscurilor includ:

– aplicarea măsurilor de protecție adecvate pentru reducerea riscurilor;

– acceptarea conștientă și obiectivă a riscurilor în strictă conformitate cu politicile organizației și cu criteriile de acceptare a riscurilor;

– prevenirea riscurilor prin eliminarea acțiunilor care conduc la riscuri;

– partajarea riscurilor asociate cu alte părți, cum ar fi asigurătorii sau furnizorii.

Trebuie selectate și implementate măsuri adecvate de protecție împotriva acelor riscuri pentru care se decide aplicarea acestora în scopul tratării riscurilor.

Selectarea și implementarea măsurilor de protecție

O zi buna, dragilor!
Nu am mai scris pe Habr de mult, nu am avut timp, am avut mult de lucru. Dar acum m-am descărcat și mi-am format gânduri pentru o nouă postare.

Am vorbit cu unul dintre camarazii mei care era însărcinat cu munca de securitate a informațiilor într-o organizație (tovarăș administrator de sistem) și mi-a cerut să-mi spună de unde să încep și unde să merg. Mi-am pus puțin în ordine gândurile și cunoștințele și i-am dat un plan brut.
Din păcate, această situație este departe de a fi izolată și apare frecvent. Angajatorii, de regulă, vor un elvețian și un secerător și un jucător pe țeavă și toate acestea la un preț. Voi reveni la întrebarea de ce securitatea informațiilor nu ar trebui clasificată ca IT mai târziu, dar acum să ne gândim de unde ar trebui să începeți dacă acest lucru s-a întâmplat și v-ați înscris la o astfel de aventură, adică crearea unui sistem de management al securității informațiilor ( ISMS).

Analiza de risc

Aproape totul în securitatea informațiilor începe cu analiza riscului, aceasta este baza și începutul tuturor proceselor de securitate. Voi desfășura un scurt program educațional în acest domeniu, deoarece multe concepte nu sunt evidente și sunt cel mai adesea confundate.
Deci, există 3 concepte principale:

Probabilitatea implementării
Vulnerabilitate

Riscul este posibilitatea de a suferi orice pierderi (monetare, reputaționale etc.) ca urmare a implementării unei vulnerabilități.
Probabilitatea de apariție este cât de probabil este ca o anumită vulnerabilitate să fie exploatată pentru a realiza riscul.
O vulnerabilitate este o lacună directă în sistemul dvs. de securitate, care, cu o oarecare probabilitate, poate provoca un rău, adică poate realiza un risc.

Există multe metode, abordări diferite ale managementului riscului, vă voi spune despre elementele de bază, restul nu veți avea nevoie la început în dezvoltarea unui ISMS.
Deci, toată munca privind managementul riscului se reduce fie la reducerea probabilității de implementare, fie la minimizarea pierderilor din implementare. În consecință, riscurile pot fi sau nu acceptabile pentru organizație. Acceptabilitatea unui risc este cel mai bine exprimată în cantități specifice de pierderi din implementarea acestuia (în orice caz, chiar și pierderile reputaționale aparent intangibile duc în cele din urmă la pierderi de profit). Este necesar să decideți împreună cu conducerea ce sumă va fi pragul de acceptare pentru ei și să faceți o gradare (de preferință 3-5 niveluri pentru pierderi). Apoi, faceți o gradare în funcție de probabilitate, la fel ca în cazul pierderilor, apoi evaluați riscurile pe baza sumei acestor indicatori.
După efectuarea lucrărilor pregătitoare, identificați vulnerabilitățile reale ale organizației dumneavoastră și evaluați riscurile implementării și pierderile acestora. Ca rezultat, veți obține 2 seturi de riscuri - acceptabile și inacceptabile. Cu riscuri acceptabile, pur și simplu le acceptați și nu veți lua măsuri active pentru a le minimiza (adică acceptăm că minimizarea acestor riscuri ne va costa mai mult decât pierderile de la acestea), iar cu cele inacceptabile, există 2 opțiuni de dezvoltare. a evenimentelor.

Minimizați - reduceți probabilitatea de apariție, reduceți posibilele pierderi sau, în general, luați măsuri pentru a elimina riscul (închiderea unei vulnerabilități).
Transfer - pur și simplu transferați preocupările legate de risc către o altă persoană, de exemplu, asigurați organizația împotriva apariției riscului sau transferați un activ aflat în pericol (de exemplu, mutați serverele într-un centru de date, astfel încât centrul de date să fie responsabil pentru alimentarea neîntreruptă cu energie electrică și siguranța fizică a serverelor) .

Scară

În primul rând, desigur, este necesar să se evalueze amploarea dezastrului. Nu voi aborda problemele de protecție a datelor cu caracter personal, există deja o mulțime de articole pe acest subiect, sunt descrise de mai multe ori recomandări practice și algoritmi de acțiune.
Permiteți-mi să vă reamintesc, de asemenea, că securitatea informațiilor se referă în primul rând la oameni, așa că este necesară documentația de reglementare. Pentru a o scrie, mai întâi trebuie să înțelegi ce să scrii acolo.
Există 3 documente principale pentru securitatea informațiilor în acest sens:

Politica de securitate a informațiilor

Documentul dvs. principal, cartea de referință, Biblia și alte titluri mari. Descrie toate procedurile de securitate a informațiilor și descrie nivelul de securitate pe care îl urmați în organizația dvs. Ca să zic așa - un profil de securitate ideal, documentat și acceptat conform tuturor regulilor.
Politica nu ar trebui să fie o greutate moartă, documentul ar trebui să trăiască, ar trebui să se schimbe sub influența noilor amenințări, tendințe în securitatea informațiilor sau dorințe. În acest sens, politica (ca, în principiu, orice document de procedură) ar trebui revizuită în mod regulat pentru relevanță. Este mai bine să faceți acest lucru cel puțin o dată pe an.

Conceptul de securitate a informațiilor

Un mic fragment din politică, care descrie securitatea de bază a organizației dumneavoastră, nu există procese specifice, dar există principii pentru construirea unui ISMS și principii pentru crearea securității.
Acest document este mai mult un document imagine, nu trebuie să conțină informații „sensibile” și ar trebui să fie deschis și accesibil tuturor. Așezați-l pe site-ul dvs., puneți-l într-o tavă pe un stand de informații, astfel încât clienții și vizitatorii dvs. să se familiarizeze cu acesta sau pur și simplu să vadă că vă pasă de siguranță și sunteți gata să o demonstrați.

Reglementări privind secretele comerciale (informații confidențiale)

Un nume alternativ pentru un astfel de document este indicat între paranteze. În general, com. un secret este un caz special de confidențialitate, dar există foarte puține diferențe.
Acest document trebuie să indice următoarele: cum și unde sunt stocate documentele care alcătuiesc com. secret, cine este responsabil pentru stocarea acestor documente, cum ar trebui să arate șablonul unui document care conține astfel de informații, care va fi sancțiunea pentru dezvăluirea informațiilor confidențiale (conform legii și conform acordurilor interne cu conducerea). Și, desigur, o listă de informații care constituie un secret comercial sau sunt confidențiale pentru organizația dvs.
Conform legii, fără măsurile luate pentru protejarea informațiilor confidențiale, parcă nu le ai :-) Adică informația în sine pare să existe, dar nu poate fi confidențială. Și există un punct interesant că un acord de confidențialitate este semnat în 90% dintre organizațiile cu noi angajați, dar puține au luat măsurile cerute de lege. Lista maximă de informații.

Audit

Pentru a scrie aceste documente, sau mai precis, pentru a înțelege ce ar trebui să fie în ele, trebuie să efectuați un audit al stării actuale a securității informațiilor. Este clar că în funcție de activitățile organizației, distribuția teritorială etc., există o mulțime de nuanțe și factori pentru fiecare organizație specifică, dar există câteva puncte principale care sunt comune tuturor.

Politica de acces

Aici sunt 2 filiale - acces fizic la sediu și acces la sistemele informaționale.

Acces fizic

Descrieți sistemul dvs. de control al accesului. Cum și când se eliberează cardurile de acces, cine determină cine are acces la ce sediu (cu condiția ca spațiile să fie echipate cu un sistem de control al accesului). De mentionat aici si sistemul de supraveghere video, principiile constructiei acestuia (fara unghiuri moarte in incaperile monitorizate, controlul obligatoriu al intrarilor si iesirilor in/din cladire, controlul intrarii in camera serverelor etc.). De asemenea, nu uitați de vizitatori, dacă nu aveți o zonă de recepție generală (și chiar dacă aveți una), merită să indicați modul în care vizitatorii intră în zona controlată (abonamente temporare, însoțitor).
Pentru camera serverului, ar trebui să existe și o listă de acces separată cu un jurnal de vizită (este mai ușor dacă camera serverului are instalat un sistem de control al accesului și totul este întreținut automat).

Accesul la sistemele informatice

Descrieți procedura de eliberare a accesului dacă se utilizează autentificarea cu mai mulți factori, apoi emiterea de identificatori suplimentari. Politica parolelor (data expirării parolei, complexitatea, numărul de încercări de autentificare, timpul de blocare a contului după depășirea numărului de încercări) pentru toate sistemele la care se acordă acces, dacă nu aveți Single Log On peste tot.

Construirea rețelei

Unde sunt localizate serverele care au acces extern (DMZ), cum sunt accesate din interior și din exterior. Segmentarea rețelei și modul în care se realizează. Firewall-uri, segmentele pe care le protejează (dacă există în rețea dintre segmente).

Acces de la distanță

Cum este organizat și cine are acces. În mod ideal, ar trebui să fie așa: numai VPN, acces numai în acord cu managementul superior și cu justificarea necesității. Dacă terții au nevoie de acces (furnizori, personal de service etc.), atunci accesul este limitat în timp, adică contul este emis pentru o anumită perioadă, după care este blocat automat. Desigur, cu acces la distanță, orice fel, drepturile trebuie limitate la minimum.

Incidente

Cum sunt procesate, cine este responsabil și cum sunt structurate procesul de gestionare a incidentelor și problemele de management (dacă există, desigur). Am avut deja o postare despre lucrul cu incidente: puteți citi mai multe.
De asemenea, este necesar să determinați tendințele din organizația dvs. Adică ce incidente apar mai des, care provoacă mai mult prejudiciu (timp de nefuncționare, pierdere directă de bunuri sau bani, daune reputației). Acest lucru va ajuta la controlul și analiza riscurilor.

Active

În acest caz, active înseamnă tot ceea ce necesită protecție. Adică servere, informații pe hârtie sau suporturi amovibile, hard disk-uri ale computerelor etc. Dacă vreun bun conține informații „sensibile”, atunci ele trebuie marcate în consecință și trebuie să existe o listă de acțiuni permise și interzise cu acest material, cum ar fi transferul către terți, transferul prin e-mail în cadrul organizației, postarea pentru acces public în cadrul organizare etc.

Educaţie

Un moment de care mulți oameni uită. Angajații trebuie să fie informați despre măsurile de siguranță. Nu este suficient să vă familiarizați cu instrucțiunile și politicile și să le semnați 90% nu le vor citi, ci pur și simplu le vor semna pentru a scăpa de ele. Am realizat și o publicație despre antrenament: Conține principalele puncte care sunt importante în timpul antrenamentului și care nu trebuie uitate. Pe langa training-ul in sine, astfel de evenimente sunt utile in ceea ce priveste comunicarea intre angajati si ofiterul de securitate (nume frumos, imi place foarte mult :-). Puteți afla despre unele incidente minore, dorințe și chiar despre probleme despre care cu greu ați ști în munca normală.

Concluzie

Probabil că asta este tot ce voiam să le spun începătorilor în domeniul securității informațiilor. Înțeleg că, cu o astfel de postare, s-ar putea să-i privez pe unii dintre colegii mei de locurile lor de muncă, deoarece un potențial angajator va atribui pur și simplu aceste responsabilități administratorului, dar voi proteja și multe organizații de integratori și escroci cărora le place să scoată bani pentru audituri. și scrierea de pamflete cu mai multe pagini sau despre ce, pretinzându-le drept standarde (http://site/post/153581/).
Data viitoare voi încerca să vorbesc despre organizarea serviciului de securitate a informațiilor ca atare.

P.S. Dacă votați negativ, vă rugăm să comentați pentru a nu mai face greșeli similare pe viitor.

Etichete:

Securitatea informațiilor
documentație
educaţie

Adaugă etichete