Старченко Олег Олегович
Державний ВУЗ
"Національний гірничий університет", Україна
УПРАВЛІННЯ
ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ ПІДПРИЄМСТВА НА ОСНОВІ СТАНДАРТУ ISO27001
В работе
рассмотрен стандарт ISO 27001, основные его требования к информационной
безопасности на предприятии. Расмотрены основные подходы к построению системы
безопасности с помощью стандарта.
ВСТУП
Міжнародний стандарт ISO/IEC
27001:2005 «Інформаційні технології - Методи забезпечення безпеки - Системи
управління інформаційною безпекою - Вимоги» розроблений Міжнародною
організацією з стандартизації (ISO) та Міжнародною електротехнічною комісією
(IEC) на основі британського стандарту BS 7799.
ОСОБЛИВОСТІ ДОКУМЕНТА
Стандарт ISO 27001 визначає
інформаційну безпеку як: «збереження конфіденційності, цілісності та
доступності інформації; крім того, можуть бути включені і інші властивості,
такі як автентичність, неможливість відмови від авторства, достовірність».
ISO/IEC 27001:2005 являє собою перелік вимог до системи менеджменту
інформаційної безпеки, обов'язкових для сертифікації. Стандарт ISO 27001
визначає процеси, що представляють можливість бізнесу встановлювати,
застосовувати, переглядати, контролювати і підтримувати ефективну систему
менеджменту інформаційної безпеки; встановлює вимоги до розробки, впровадження,
функціонування, моніторингу, аналізу, підтримки і вдосконалення документованої
системи менеджменту інформаційної безпеки в контексті існуючих бізнес ризиків
організації.
Система управління інформаційною
безпекою на основі стандарту ISO 27001 дозволяє:
- зробити більшість інформаційних
активів найбільш зрозумілими для менеджменту компанії;
- виявляти основні загрози
безпеки для існуючих бізнес-процесів;
- розраховувати ризики і приймати
рішення на основі бізнес-цілей компанії;
- забезпечити ефективне
управління системою в критичних ситуаціях;
- проводити процес виконання
політики безпеки (знаходити і виправляти слабкі місця в системі інформаційної
безпеки);
- чітко визначити особисту
відповідальність;
- досягти зниження і оптимізації
вартості підтримки системи безпеки;
- полегшити інтеграцію підсистеми
безпеки в бізнес-процеси і інтеграцію з ISO 9001:2000;
-продемонструвати клієнтам,
партнерам, власникам бізнесу свою прихильність до інформаційної безпеки;
- отримати міжнародне визнання і
підвищення авторитету компанії, як на внутрішньому ринку, так і на зовнішніх
ринках;
- підкреслити прозорість і
чистоту бізнесу перед законом завдяки відповідності стандарту.
Поряд з елементами управління для
комп'ютерів та комп'ютерних мереж, стандарт приділяє велику увагу питанням
розробки політики безпеки, роботи з персоналом, забезпечення безперервності
виробничого процесу, юридичним вимогам.
Коректне побудова системи менеджменту
інформаційної безпеки (СМІБ) в організації — основа для подальшої діяльності
організації. Побудова СМІБ організації передбачає проходження наступних
основних етапів:
- попередній аудит;
- визначення області дії і меж
СМІБ;
- призначення працівників,
відповідальних за СМІБ (створення структури, яка буде впроваджувати і
забезпечувати працездатність СМІБ організації, наприклад, відділ внутрішньої
безпеки);
- інвентаризація активів і
визначення їх важливості;
- оцінка захищеності активів
організації (аналіз існуючих загроз і вразливостей, а також ймовірностей їх
реалізації);
- визначення підходу організації
до оцінки;
- підрахунок ризиків в
організації, як у якісних, так і кількісних показниках;
- аналіз ризиків і прийняття
рішень по обробці ризиків (прийняти ризик, зменшити ризик до допустимого рівня,
передати третій стороні, уникнути ризику);
• вибір цілей управління і засобів оброблення ризиків;
- аналіз існуючих контрзаходів
(організаційні заходи та програмно-технічні засоби, спрямовані на захист певного
активу організації);
- аналіз процесної документації
організації (створюється список організаційних документів, які потребують
впровадження).
Надання Заяви про застосування
(обов'язковий документ, який містить всі рекомендації Додатка А стандарту
ISO/IEC 27001:2005 з описом, чи виконується ця вимога в організації).
Але, якщо в організації існує
своя система інформаційної безпеки необхідно проведення внутрішнього аудиту. На
основі результатів такого аналізу можна скоригувати діючу систему, розробити
відсутні процесні документи, поліпшити підхід до оцінки ризиків в організації і
т. д.
ВИСНОВОК
В результаті проаналізувавши
стандарт можна зробити висновок: для існуючої системи безпеки необхідно
проводити аудит за допомогою якого визначаємо недоліки системи і надалі
виправляємо помилки. Якщо на підприємстві не існує системи безпеки, то завдяки
стандарту були докладно розглянуті пункти побудови необхідної системи.
Перелік літератури:
ISO 27001:2005 «Інформаційні
технології - Методи забезпечення безпеки - Системи управління інформаційною
безпекою - Вимоги»