Система менеджмента информационной безопасности по ИСО 27001

Министерство образования и науки Российской Федерации ФГАОУ ВПО

«Уральский федеральный университет имени первого Президента России Б.Н. Ельцина»

 

Кафедра «Метрология, стандартизация и сертификация»

(заочное отделение)

 

 

 

 

 

 

Методы и инструменты повышения качества и конкурентоспобности предприятий и продукции

 

Реферат

 

На тему:

 

Система менеджмента информационной безопасности

по ИСО 27001

 

 

 

 

 

 

 

Специальность: Стандартизация и сертификация

Студент V курса гр. МТЗ 501103                                      Сальский А.Д.

Преподаватель                                                                    Гудина У. А.

 

 

Оглавление

 

 

 

 

 

Введение

Работу предприятий в 21 веке трудно представить без информационных и коммуникационных технологий. Информация — неотъемлемый компонент всех сфер деятельности предприятия, средство, без которого невозможно решать множество усложняющихся задач, стоящих перед предприятием.

Информация обладает несколькими характеристиками, и одна из важнейших — безопасность. Информационная безопасность напрямую влияет на функционирование бизнеса, конкурентоспособность, имидж на рынке и, в конечном итоге, на финансовые показатели. Достаточно часто под ней понимают ограничение доступа сторонних лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью.

Лучшей мировой практикой в области управления информационной безопасностью признан международный стандарт ISO/IEC 27001:2005 (ISO 27001). Он устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы. Данный стандарт определяет информационную безопасность как «сохранение конфиденциальности, целостности и доступности информации».

Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия.

Целостность — обеспечение точности и полноты информации, а также методов ее обработки.

Доступность — обеспечение доступа к информации авторизованным пользователям в нужный момент времени.

Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба. Чтобы понять суть информационной безопасности необходимо наглядно представить всю цепочку, в которую входят информация, информационные потоки, свойства этих потоков, информационные проблемы. Только после этого можно осознать роль информационной безопасности.

 

Жизненный цикл и потоки информации

Начнем с ключевого элемента жизнеобеспечения предприятия — информации.

Информация на предприятии находится в постоянном движении: где-то возникает, где-то накапливается, куда-то передается, кем-то используется на протяжении определенного времени и в конце концов становится ненужной. Таким образом формируется цикл жизни определенной информации. Каждый из этапов данного цикла (или набор этих этапов) можно рассматривать как информационный поток. В такие потоки на предприятии входит информация, необходимая:

• для принятия управленческих решений (экономические показатели собственного предприятия и конкурентов, данные о функционировании бизнес-процессов, данные о поставщиках, о рынке сбыта);

• для выполнения оперативных бизнес-целей (результаты управленческих решений, оперативные задания и корректировки, информация о сырье и материалах, требования заказчиков);

• для обеспечения работы бизнес-процессов (описания процессов и их взаимосвязей, методическая документация, административная документация).

Можно выделить следующие свойства информационных потоков:

• краткосрочность — информация важна в определенный момент времени,

• открытость — информация предприятия представляет интерес для третьих лиц (клиентов, поставщиков, конкурентов),

• склонность к росту — объем информации на предприятии велик и постоянно растет,

• изменчивость — информационные потоки на предприятии находятся в постоянном движении.

Необходимо заметить, что под информацией следует понимать все данные, представляющие интерес для предприятия и находящиеся в любом виде — в бумажном, электронном, звуковом (телефонные переговоры), графическом (слайды). Выделять электронный вид информации и подходить к нему как-то особенно с точки зрения безопасности не стоит, т. к. информация образует информационные потоки, которые зачастую формируются на бумаге или в устной речи, затем превращаются в электронный документ, пересылаются посредством электронной почты (факса), а затем могут быть распечатаны на бумаге. Вместе с тем электронная информация обладает дополнительными свойствами как положительными:

• ее можно быстро доставить в любую точку;

• можно оперативно создавать новые электронные документы на базе существующих;

• можно накапливать большие объемы информации, предоставляя удобный и оперативный доступ к необходимой ее части;

так и отрицательными:

• ее достаточно просто повредить или уничтожить;

• она легко может попасть в руки конкурента.

На каждом из этапов жизненного цикла информации действуют различные факторы, стремящиеся нарушить естественное, то есть бесконфликтное, течение информационных потоков. Обобщающим для различных факторов такого рода (объективных и субъективных) является понятие угроз информационной безопасности. Угрозы не появляются просто так. Возникновение угроз связано с наличием уязвимостей в информационных системах предприятий.

Примеры информационных угроз и уязвимостей, приводящих к возникновению угроз:

• попадание коммерческой информации к конкурентам (слабая система контроля доступа к информационным ресурсам сторонних лиц);

• частичная или полная потеря информации по разработке нового продукта (пожар в архиве, уход с работы ключевого сотрудника);

• несвоевременность получения информации (отсутствие четких правил по предоставлению информации, сбой в работе компьютерного оборудования);

• некорректность полученной информации для выполнения оперативных бизнес-целей, (ошибка оператора из-за недостаточной квалификации или уровня контроля ввода данных).

Основной задачей СМИБ по требованиям ISO 27001 является предотвращение происшествий, причиняющих ущерб бизнесу, путем эффективного ограничения внутренних и внешних умышленных и неумышленных угроз и уязвимостей.

 

История развития ISO 27001

Развитие информационных систем в начале 90-х годов привело к необходимости создания стандарта по управлению безопасностью. По запросу британского правительства и промышленности британский департамент торговли и промышленности разработал Практики к СМИБ. В разработке этого документа принимали участие British Telecom, Marks and Spencer, National Westminster Bank, Nationwide, Shell International, Unilever и др. Дальнейший путь развития стандарта был таким:

1995 г. Появление британского стандарта BS 7799-1:1995. Часть 1 описывает принципы и структуру СМИБ.

1998 г. Новая редакция BS 7799-1:1998. Появление стандарта BS 7799-2:1998. Часть 2 — Требования к СМИБ. Позволяет проводить сертификацию СМИБ. С этого момента появилась возможность проводить сертификацию по британскому стандарту.

1999 г. Новая редакция BS 7799-1:1999. Новая редакция BS 7799-2:1999

2000 г. Появление международного стандарта ISO 17799:2000. С этого момента стандарт BS 7799-1:1999 получил международное признание.

2001 г. Новая редакция BS 7799-2:2001.

2002 г. Новая редакция BS 7799-2:2002.

2003 г. Национальный Банк Молдовы выдвинул требования к коммерческим банкам о внедрении СМИБ на основе ISO 17799:2000.

2004 г. Белоруссия приняла национальный ГОСТ 17799. Центробанк РФ на базе ISO 17799:2000 создал стандарт управления информационной безопасностью для банковской сферы.

2005 г. Появление стандарта ISO/IEC 27001:2005, который заменил BS 7799-2:2002. Новая редакция ISO 17799:2005 (вскоре будет переименован в ISO/IEC 27002).

2006 г. Россия работает над переводом стандартов ISO 17799:2005 и ISO 27001:2005. В России и Украине появились специалисты по разработке СМИБ. Предприятия стран СНГ ведут работы по разработке СМИБ. Международные сертифицирующие органы получили аккредитацию на право проведения сертификации.

2007 г. Появление российского государственного стандарта ГОСТ Р ИСО/МЭК 17799:2005 (аналог ISO 17799:2000). Ожидается появление ГОСТ Р ИСО 17799:2007 и ГОСТ Р ИСО 27001:2007. Ожидается начало работ в Украине по выпуску ДСТУ ИСО 17799 и ДСТУ ИСО 27001.

Начальный стандарт BS 7799 прошел долгий путь, с чередой испытаний и корректировок. Важнейшим этапом в его «карьере» стал 2005 г., когда стандарт, позволяющий оценивать СМИБ, был признан международным (то есть подтверждена состоятельность его требований к современной СМИБ). С этого момента передовые предприятия во всем мире начали активно внедрять стандарт ISO 27001 и проводить подготовку к сертификации.

 

Структура ISO 27001

Знакомство со СМИБ лучше всего начинать с изучения лучших мировых практик в области информационной безопасности, приведенных в стандарте ISO 27001, который отличается логичным и понятным изложением, а лучшие практики сформулированы в качестве четких требований. Стандарт состоит из четырех частей.

Первая часть «Общие положения» содержит информацию о назначении стандарта, его связи с другими стандартами по ИБ, а также термины и определения.

Вторая часть «Требования к СМИБ» является основной. Она выдвигает обязательные для выполнения требования к СМИБ и позволяет на их основе построить эффективную систему. Общие требования занимают всего девять страниц и содержат следующие разделы: «Система менеджмента информационной безопасности», «Обязательства руководства», «Внутренние аудиты СМИБ», «Анализ СМИБ руководством», «Совершенствование СМИБ».

Третья часть «Приложение А. Цели и меры контроля» описывает конкретные требования к каждому направлению информационной безопасности (всего 11 направлений, которые обозначены в соответствии с разделами 5-15 стандарта ISO/IEC 17799:2005).

А5. Политика в области безопасности. Цель: обеспечить четкое управление и поддержку политики в области ИБ со стороны руководства предприятия.

А6. Организация системы безопасности. Цель: создать организационную структуру, которая будет внедрять и обеспечивать работоспособность СМИБ.

А7. Классификация активов и управление. Цель: поддерживать адекватную ИБ путем классификации информационных активов по необходимости и приоритету защиты, распределить ответственность.

А8. Безопасность и персонал. Цель: уменьшить риск человеческих ошибок, хищений и неправильного использования оборудования.

А9. Физическая и внешняя безопасность. Цель: предотвращать несанкционированный доступ, повреждение и нарушение работы информационной системы организации.

А10. Менеджмент компьютеров и сетей. Цель: обеспечить безопасное функционирование компьютеров и сетей.

А11. Управление доступом к системе. Цель: управлять доступом к информации, предотвращать несанкционированный доступ.

А12. Приобретение, разработка и обслуживание информационной системы. Цель: обеспечить выполнение требований безопасности при создании или развитии информационной системы организации, поддерживать безопасность приложений и данных.

А13. Менеджмент инцидентов информационной безопасности. Цель: обеспечить, чтобы сообщение об инцидентах и недостатках ИБ позволяли своевременно предпринять корректирующие действия.

А14. Обеспечение непрерывности бизнеса. Цель: подготовить план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации.

А15. Соответствие законодательству. Цель: обеспечить выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.

Стандарт ISO/IEC 17799:2005 содержит рекомендации по реализации требований «Приложения А» стандарта ISO/IEC 27001:2005. Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить те направления, которые невозможно применить на предприятии.

Четвертая часть стандарта состоит из «Приложения B: связь между принципами OECD и ISO 27001», «Приложения C: связь между ISO 9001:2000, ISO 14001:2004 и ISO 27001» и библиографических ссылок. Эта часть является информативной.

 

Выгодность внедрения ISO 27001

Приведем выгоды внедрения и сертификации СМИБ на основе стандарта ISO 27001 вместе с требованиями стандарта, которые позволяют получить эти выгоды.