Система менеджмента информационной безопасности
Понятие системы менеджмента информационной безопасности. Особенности цикла управления Plan-Do-Check-Act. Анализ международного стандарта по информационной безопасности ISO/IEC 27001. Основные этапы процесса внедрения системы менеджмента в организацию.
Рубрика | Менеджмент и трудовые отношения |
Вид | реферат |
Язык | русский |
Дата добавления | 15.07.2012 |
Размер файла | 319,6 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
"Система менеджмента информационной безопасности"
менеджмент международный стандарт
Введение
Система менеджмента информационной безопасности -- это совокупность процессов, которые работают в компании для обеспеченияконфиденциальности,целостностиидоступностиинформационных активов. В первой части реферата рассматривается процесс внедрения системы менеджмента в организацию, а также приведены основные аспекты выгоды от реализации системы менеджмента информационной безопасности.
Рис.1. Цикл управления
Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование (Рис.1). Этот стандарт будет рассмотрен подробнее во второй части.
Система менеджмента информационной безопасности
Системой менеджмента информационной безопасности (СМИБ) называют ту часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. Процессы СМИБ созданы в соответствии с требованиям стандарта ISO/IEC 27001:2005, в основе которого лежит цикл
Работа системы основана на подходах современной теории рисков менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.
Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.
Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:
· Управление внутренней организацией информационной безопасности.
· Обеспечение информационной безопасности при взаимодействии с третьими сторонами.
· Управление реестром информационных активов и правила их классификации.
· Управление безопасностью оборудования.
· Обеспечение физической безопасности.
· Обеспечение информационной безопасности персонала.
· Планирование и принятие информационных систем.
· Резервное копирование.
· Обеспечение безопасности сети.
Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность -- это результат устойчивого функционирования процессов, связанных с информационными технологиями.
При построении СМИБ в компаниях специалисты проводят следующие работы:
· организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;
· определяют область деятельности (ОД) СМИБ;
· обследуют организацию в ОД СМИБ:
o в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;
o в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;
o в части ИТ инфраструктуры;
o в части ИБ инфраструктуры.
· разрабатывают и согласовывают аналитический отчет, содержащий перечень основных бизнес-процессов и оценку последствий реализации угроз ИБ в их отношении, перечень процессов менеджмента, ИТ-систем, подсистем информационной безопасности (ПИБ), оценку степени выполнения организацией всех требований ISO 27001 и оценку зрелости процессов организации;
· выбирают исходный и целевой уровень зрелости СМИБ, разрабатывают и утверждают Программу повышения зрелости СМИБ; разрабатывают высокоуровневую документацию в области ИБ:
o Концепцию обеспечения ИБ,
o Политики ИБ и СМИБ;
· выбирают и адаптируют методику оценки рисков, применимую в организации;
· выбирают, поставляют и развертывают ПО, используемое для автоматизации процессов СМИБ, организуют обучение специалистов компании;
· проводят оценку и обработку рисков, в ходе которой для их снижения выбираются меры Приложения «А» стандарта 27001 и формулируются требования к их реализации в организации, предварительно выбирают технические средства обеспечения ИБ;
· разрабатывают эскизные проекты ПИБ, производят оценку стоимости обработки рисков;
· организуют утверждение оценки рисков высшим руководством организации и разрабатывают Положения о применимости; разрабатывают организационные меры обеспечения ИБ;
· разрабатывают и реализуют технические проекты по внедрению технических подсистем информационной безопасности, поддерживающих выполнение выбранных мер, включая поставку оборудования, пуско-наладочные работы, разработку эксплуатационной документации и обучение пользователей;
· предоставляют консультации в ходе эксплуатации построенной СМИБ;
· организуют обучение внутренних аудиторов и проведение внутренних аудитов СМИБ.
Результатом данных работ является функционирующая СМИБ. Выгода от реализации СМИБ в компании достигаются за счет:
· эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;
· предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;
· повышения культуры ИБ в организации;
· повышения зрелости в области управления обеспечением ИБ;
· оптимизации расходования средств на обеспечение ИБ.
ISO/IEC 27001-- международный стандарт по информационной безопасности
Этот стандарт разработан совместно Международной Организацией по Стандартизации (ISO) и Международной электротехнической комиссией (IEC). Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания СМИБ. ISO 27001 устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные ресурсы. В международном стандарте используется понятие «защиты информации» и трактуется как обеспечение конфиденциальности, целостности и доступности информации. Основой стандарта является система управления рисками, связанными с информацией. Этот стандарт также можно использовать для оценки соответствия заинтересованными внутренними и внешними сторонами.
Для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшении системы менеджмента защиты информации (СМЗИ) стандарт принимает процессный подход. Он заключается в применении системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением.
Международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA), который еще называют циклом Шухарта-Деминга. Этот цикл применяется для структуризации всех процессов СМЗИ. На Рисунке 2 показано, как СМЗИ берет в качестве входных данных требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям.
Планирование - это фаза создания СМЗИ, создания перечня активов, оценки рисков и выбора мер.
Рисунок 2. Модель PDCA, примененная к процессам СМЗИ
Осуществление - это этап реализации и внедрения соответствующих мер.
Проверка - фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.
Действие - выполнение превентивных и корректирующих действий.
Выводы
ISO 27001 описывает общую модель внедрения и функционирования СМИБ, а также действий по мониторингу и улучшению СМИБ. ISO намеревается гармонизировать различные стандарты по системам менеджмента, такие как ISO/IEC 9001:2000, который посвящен менеджменту качества, и ISO/IEC 14001:2004, предназначенный для систем экологического менеджмента. Цель ISO состоит в том, чтобы обеспечить согласованность и интеграцию СМИБ с другими системами менеджмента в компании. Сходство стандартов позволяет использовать схожий инструментарий и функционал для внедрения, управления, пересмотра, проверки и сертификации. Подразумевается, что если компания внедрила другие стандарты менеджмента, она может использовать единую систему аудита и управления, которая применима к менеджменту качества, экологическому менеджменту, менеджменту безопасности и т.д. Внедрив СМИБ, высшее руководство получает средства мониторинга и управления безопасностью, что снижает остаточные бизнес-риски. После внедрения СМИБ, компания может официально обеспечивать безопасность информации и продолжать выполнять требования клиентов, законодательства, регуляторов и акционеров.
Стоит отметить, что в законодательстве РФ существует документ ГОСТ Р ИСО/МЭК 27001-2006, который представляет собой переведенную версию международного стандарта ISO27001.
Список литературы
1.Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил.
2.Международный стандартISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (дата обращения: 23.05.12)
3.Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27003 - "Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента Информационной Безопасности"(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (дата обращения: 23.05.12)
4.Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. -- 320 с.: ил.
5.Статья свободной энциклопедии»Википедия», «Система менеджмента
информационной безопасности» (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (дата обращения: 23.05.12)
6.Sigurjon Thor Arnasonи Keith D. Willett "How to Achieve 27001 Certification" («Какподготовитьсяксертификациипостандарту ISO 27001»)
Размещено на Allbest.ru
Подобные документы
Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.
курсовая работа [235,0 K], добавлен 03.02.2011Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа [1,4 M], добавлен 03.02.2011Основные этапы создания системы менеджмента на предприятии пищевой промышленности. HACCP как основа любой системы менеджмента безопасности пищевого продукта. Система менеджмента безопасности пищевых продуктов. Опасные факторы и предупреждающие действия.
реферат [75,7 K], добавлен 14.10.2014Современные системы менеджмента и их интегрирование. Интегрированные системы менеджмента качества. Характеристика ОАО "275 АРЗ" и его системы менеджмента. Разработка системы управления охраной труда. Методы оценки интегрированной системы безопасности.
дипломная работа [612,1 K], добавлен 31.07.2011Внедрение системы менеджмента качества. Сертификация систем менеджмента качества (ISO 9000), экологического менеджмента (ISO 14 000), системы управления охраной труда и техникой безопасности организаций (OHSAS 18 001:2007) на примере ОАО "Лента".
реферат [27,0 K], добавлен 06.10.2008Разработка стандарта организации интегрированной системы менеджмента, устанавливающего единый порядок осуществления процесса управления документацией. Этапы создания системы менеджмента качества ОАО "ЗСМК". Размещение электронных версий документов.
дипломная работа [985,6 K], добавлен 01.06.2014Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.
курсовая работа [1,0 M], добавлен 30.12.2011Понятия в области охраны здоровья и безопасности труда. Международные стандарты ISO о системах менеджмента качества, системах экологического менеджмента, системах менеджмента профессиональной безопасности и здоровья. Адаптация стандарта OHSAS 18001-2007.
курсовая работа [220,0 K], добавлен 21.12.2014Понятие системы управленческой информации и ее место в общей системе менеджмента. Виды информационных систем и их содержание. Понятие менеджмента как информационной системы. Функции системы управления финансами. Системы совершения сделок и операций.
реферат [329,7 K], добавлен 06.01.2015Характеристика информационного менеджмента; субъектов информационно-правовых отношений; правового режима получения, передачи, хранения и использования информации. Особенности и юридические аспекты информационного обмена и информационной безопасности.
учебное пособие [1,5 M], добавлен 06.12.2010