2015-05-12
1719
Содержание
Введение……………………………………………………………...............…3
1.Построение системы управления информационной безопасностью (ISO 27001)....................................................................................................................4
2.История развития ISO 27001..........................................................................8
3. Структура ISO 27001.....................................................................................10
4.Создание системы менеджмента информационной безопасности (СМИБ)...............................................................................................................13
Заключение……………………………………….......................................…..25
Список литературы………………………………………................................26
Введение
Работу предприятий в 21 веке трудно представить без информационных и коммуникационных технологий. Информация — неотъемлемый компонент всех сфер деятельности предприятия, средство, без которого невозможно решать множество усложняющихся задач, стоящих перед предприятием.
Информация обладает несколькими характеристками, и одна из важнейших — безопасность. Информационная безопасность напрямую влияет на функционирование бизнеса, конкурентоспособность, имидж на рынке и, в конечном итоге, на финансовые показатели. Достаточно часто под ней понимают ограничение доступа сторонних лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью.
|
|
|
Лучшей мировой практикой в области управления информационной безопасностью признан международный стандарт ISO/IEC 27001:2005 (ISO 27001). Он устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы. Данный стандарт определяет информационную безопасность как «сохранение конфиденциальности, целостности и доступности информации».
Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба. Чтобы понять суть информационной безопасности необходимо наглядно представить всю цепочку, в которую входят информация, информационные потоки, свойства этих потоков, информационные проблемы. Только после этого можно осознать роль информационной безопасности.
Построение системы управления информационной безопасностью (ISO 27001)
Система менеджмента информационной безопасности – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.
|
|
|
Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.[ГОСТ Р ИСО/МЭК 27001-2006]
Стандарт ISO 27001 определяет требования к системе управления (менеджмента) информационной безопасности (СУИБ). Требования стандарта в определенной степени абстрактны и не привязаны к специфике какой-либо области деятельности компании. Они могут применяться любой организацией вне зависимости от ее типа, размеров и характера бизнеса.
Стандарт носит не технический, а управленческий характер и направлен на внедрение процессов, позволяющих обеспечить должный уровень информационной безопасности компании. СУИБ базируется на процедуре оценки и анализа рисков, интегральных показателей защищенности ключевых информационных активов и выборе мер по минимизации рисков до приемлемого остаточного уровня.
Решаемые задачи:
Проведение комплекса мероприятий по построению системы управления информационной безопасностью в соответствии с требованиями стандарта ISO 27001, позволит решить следующие задачи:
· Повышение уровня безопасности. Стандарт разработан с учётом лучших мировых практик обеспечения информационной безопасности.
· Управление. Стандарт предусматривает построение циклического и управляемого процесса обеспечения ИБ.
· Оптимизация расходов. Система управления информационной безопасностью позволяет оптимизировать и обосновать затраты на информационную безопасность.
· Риски. Снижение уровня финансовых рисков, связанных с информационной безопасностью, путем их идентификации, оценки и принятия адекватных защитных мер.
· Привлекательность. Повышение степени привлекательности компании на внутреннем и внешнем рынках (конкурентные преимущества).
· Доверие. Повышение доверия со стороны акционеров, клиентов, партнеров и контрагентов.
· Репутация. Повышение уровня деловой репутации путем сертификации системы менеджмента информационной безопасности, демонстрирующей высокий уровень зрелости компании.
Специалисты компании «Микротест» реализуют:
· Комплекс работ по построению системы управления информационной безопасностью включает следующие работы:
· определение области действия СУИБ;
· предварительный аудит на соответствие требованиям ISO 27001:
· сбор исходных данных о бизнес-процессах, структурных подразделениях, информационно-телекоммуникационной инфраструктуре, методах и средствах обеспечения информационной безопасности;
· анализ действующей организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;
· оценка текущего уровня соответствия требованиям стандарта ISO 27001;
· проведение оценки рисков:
· разработка методики оценки рисков;
· инвентаризация и классификация активов;
· формирование карты угроз;
· анализ и оценка рисков;
· разработка плана обработки рисков;
· разработка процедур и документации СУИБ:
· разработка процессов управления информационной безопасности;
· разработка процессов обеспечения информационной безопасности;
· разработка комплекта организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;
· разработка программ повышения осведомленности по вопросам управления и обеспечения информационной безопасности;
· внедрение процедур и документации СУИБ:
· внедрение процессов управления информационной безопасности;
· внедрение процессов обеспечения информационной безопасности;
· обучение и повышение осведомленности сотрудников в области обеспечения информационной безопасности;
|
|
|
· опытная эксплуатация СУИБ;
· сертификационный аудит и выдача международного сертификата:
· взаимодействие с органом сертификации;
· консультационная поддержка при прохождении сертификационного аудита.
· Построение системы управления информационной безопасностью (ISO 27001).
Результаты работ:
Результатом работ компании «Микротест» является система управления информационной безопасностью организации, соответствующая требованиям стандарта ISO 27001.
