Построение системы управления информационной безопасностью (ISO 27001)

Содержание

Введение……………………………………………………………...............…3

1.Построение системы управления информационной безопасностью (ISO 27001)....................................................................................................................4

2.История развития ISO 27001..........................................................................8

3. Структура ISO 27001.....................................................................................10

4.Создание системы менеджмента информационной безопасности (СМИБ)...............................................................................................................13

Заключение……………………………………….......................................…..25

Список литературы………………………………………................................26

 

 

Введение

Работу предприятий в 21 веке трудно представить без информационных и коммуникационных технологий. Информация — неотъемлемый компонент всех сфер деятельности предприятия, средство, без которого невозможно решать множество усложняющихся задач, стоящих перед предприятием.

Информация обладает несколькими характеристками, и одна из важнейших — безопасность. Информационная безопасность напрямую влияет на функционирование бизнеса, конкурентоспособность, имидж на рынке и, в конечном итоге, на финансовые показатели. Достаточно часто под ней понимают ограничение доступа сторонних лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью.

Лучшей мировой практикой в области управления информационной безопасностью признан международный стандарт ISO/IEC 27001:2005 (ISO 27001). Он устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы. Данный стандарт определяет информационную безопасность как «сохранение конфиденциальности, целостности и доступности информации».

Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба. Чтобы понять суть информационной безопасности необходимо наглядно представить всю цепочку, в которую входят информация, информационные потоки, свойства этих потоков, информационные проблемы. Только после этого можно осознать роль информационной безопасности.

Построение системы управления информационной безопасностью (ISO 27001)

Система менеджмента информационной безопасности – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.[ГОСТ Р ИСО/МЭК 27001-2006]

Стандарт ISO 27001 определяет требования к системе управления (менеджмента) информационной безопасности (СУИБ). Требования стандарта в определенной степени абстрактны и не привязаны к специфике какой-либо области деятельности компании. Они могут применяться любой организацией вне зависимости от ее типа, размеров и характера бизнеса.

Стандарт носит не технический, а управленческий характер и направлен на внедрение процессов, позволяющих обеспечить должный уровень информационной безопасности компании. СУИБ базируется на процедуре оценки и анализа рисков, интегральных показателей защищенности ключевых информационных активов и выборе мер по минимизации рисков до приемлемого остаточного уровня.

Решаемые задачи:

Проведение комплекса мероприятий по построению системы управления информационной безопасностью в соответствии с требованиями стандарта ISO 27001, позволит решить следующие задачи:

· Повышение уровня безопасности. Стандарт разработан с учётом лучших мировых практик обеспечения информационной безопасности.

· Управление. Стандарт предусматривает построение циклического и управляемого процесса обеспечения ИБ.

· Оптимизация расходов. Система управления информационной безопасностью позволяет оптимизировать и обосновать затраты на информационную безопасность.

· Риски. Снижение уровня финансовых рисков, связанных с информационной безопасностью, путем их идентификации, оценки и принятия адекватных защитных мер.

· Привлекательность. Повышение степени привлекательности компании на внутреннем и внешнем рынках (конкурентные преимущества).

· Доверие. Повышение доверия со стороны акционеров, клиентов, партнеров и контрагентов.

· Репутация. Повышение уровня деловой репутации путем сертификации системы менеджмента информационной безопасности, демонстрирующей высокий уровень зрелости компании.

Специалисты компании «Микротест» реализуют:

· Комплекс работ по построению системы управления информационной безопасностью включает следующие работы:

· определение области действия СУИБ;

· предварительный аудит на соответствие требованиям ISO 27001:

· сбор исходных данных о бизнес-процессах, структурных подразделениях, информационно-телекоммуникационной инфраструктуре, методах и средствах обеспечения информационной безопасности;

· анализ действующей организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;

· оценка текущего уровня соответствия требованиям стандарта ISO 27001;

· проведение оценки рисков:

· разработка методики оценки рисков;

· инвентаризация и классификация активов;

· формирование карты угроз;

· анализ и оценка рисков;

· разработка плана обработки рисков;

· разработка процедур и документации СУИБ:

· разработка процессов управления информационной безопасности;

· разработка процессов обеспечения информационной безопасности;

· разработка комплекта организационно-распорядительной документации, регламентирующей вопросы обеспечения информационной безопасности;

· разработка программ повышения осведомленности по вопросам управления и обеспечения информационной безопасности;

· внедрение процедур и документации СУИБ:

· внедрение процессов управления информационной безопасности;

· внедрение процессов обеспечения информационной безопасности;

· обучение и повышение осведомленности сотрудников в области обеспечения информационной безопасности;

· опытная эксплуатация СУИБ;

· сертификационный аудит и выдача международного сертификата:

· взаимодействие с органом сертификации;

· консультационная поддержка при прохождении сертификационного аудита.

· Построение системы управления информационной безопасностью (ISO 27001).

 

Результаты работ:

 

Результатом работ компании «Микротест» является система управления информационной безопасностью организации, соответствующая требованиям стандарта ISO 27001.