Зачем внедрять ISO 27001?
Информация и информационные системы (ИС) жизненно важны для работы большинства коммерческих компаний (в особенности для банковских учреждений).
В любой области со-временного бизнеса необходима актуальная, точная и достоверная информация! В со-временных условиях защита этой информации необходима для предотвращения разрушительных последствий инцидентов в области информационной безопасности (ИБ). Если не обеспечить аде-кватную защиту ИС от таких угроз как, внешние хакеры, вредоносный действия внутренних со-трудников и/или недоступность систем, последствия могут быть крайне разрушительными, как показано на примерах ниже.
Согласно Information Security Status Survey 2010 больше чем две третьи компаний, которые приняли участие в исследовании (67%) предоставили данные по инцидентам. На всех этих предприятиях произошел хотя бы один инцидент безопасности, и у большинства из них (55%) случился хотя бы один серьезный инцидент. Анализ основных инцидентов приведен ниже:
- почти три четверти опрошенных предприятий и банковских учреждений (73%) стал-кивались со всеми вышеназванными видами инцидентов;
- больше 28 000 инцидентов за год. Это эквивалентно 472 инцидентам за год на каждом исследованном предприятии – на 10% больше чем в прошлом году;
- внешние атаки все еще являются наиболее распространенным типом инцидента ИБ, хотя перебои в обслуживании и сбои в ПО снова вошли в большинство серьезных ин-цидентов.
Одним из основных факторов обеспечения бесперебойного функционирования бизнеса любой компании является надежность работы ИТ-инфраструктуры и внешних информационных ресурсов, которые обеспечивают отдельные операционные функции (маркетинг, РR, каналы продаж, системы дистанционного обслуживания клиентов т.д.). У большинства компаний сетевая инфраструктура и среда функционирования ПО для бизнеса является сложной и комплексной. Вместе с этим ИС компаний сегодня обрабатывают все больше информации, и нагрузки на их постоянно растут, а также растут и требования к конфиденциальности, целостности и доступности этой информации.
Цель внедрения
- обеспечить менеджмент компании надежной системой управления ин-формационной безопасностью (СУИБ), что позволит:
- предотвратить утечки, кражи, потери, искажения, подделки информации;
- предотвратить несанкционированные действия по уничтожению, модификации, иска-жению, копированию, блокированию информации;
- снизить вероятность других форм незаконного вмешательства в информационные ре-сурсы и системы, обеспечить правовой режим документированной информации как объекта собственности;
- выполнить требования Национального банка Украины относительно соответствия требованиям отраслевых стандартов по ИБ СОУ Н НБУ 65.1 СУИБ 1.0:2010 и СОУ Н НБУ 65.1 СУИБ 2.0:2010;
- подготовится к сертификации на соответствие требованиям международного стандарта ISO 27001:2005.
Основными требованиями к СУИБ являются:
- обеспечение необходимого уровня конфиденциальности информации при ее обработке и обмене;
- обеспечение беспрерывности критичных бизнес-процессов;
- соответствие требованиям отраслевых стандартов по информационной безопасности;
- получение сертификата соответствия требованиям стандарта ISO/IEC 27001:2005 и PCI DSS (в будущем).
Система ИБ должна быть интегрирована в организационно-штатную структуру компании и в критичные бизнес-процессы.
ЭТАПЫ ВНЕДРЕНИЯ ТРЕБОВАНИЙ СТАНДАРТА
С целью повышения надежности бизнес-процессов компании (и для выхода на рынок ценных бумаг, или дополнительной их капитализации) также проводится сертификационный аудит на соответствие требованиям международного стандарта ISO/IEC 27001:2005. Сертификация на соответствие требованиям этого стандарта в Украине является добровольной, но для компании, ценные бумаги которых находятся в обороте на бирже или начинают выходить на биржу IPO, де-факто является обязательной. СУИБ может быть сертифицирована на соответствие требований стандарта ISO/IEC 27001 аккредитованными регистраторами, которые действуют во всем мире.
Сертификация на соответствие требований этого стандарта ISO/IEC 27001 обычно проис-ходит в 4 этапа:
1 Этап: Предварительный аудит СУИБ: проводится неформальный осмотр СУИБ, а именно проверка наличия и полноты основных внутренних документов. На этом этапе аудиторы должны понять организационно-штатную структуру и бизнес-процессы, а также идентифицировать ключевые ИС.
2 Этап: Внедрение: требует перестройки сформулированной СУИБ соответственно требованиям ISO/IEC 27001.
3 Этап: Сертификационный аудит СУИБ: проводится формальный независимый аудит СУИБ; проводится тестирование СУИБ на соответствие требованиям стандарта ISO/IEC 27001; аудиторы собирают документальные подтверждения правильности и полноты существующей СУИБ. Сертификационный аудит обычно проводится ведущими аудито-рами по ISO/IEC 27001, после успешного проведения такого аудита СУИБ предприятия считается сертифицированной на соответствие требованиям ISO/IEC 27001.
4 Этап: Последующие проверки и аудит: Проверки после основного аудита (или по-следующие проверки) проводятся с целью увериться в том, что СУИБ предприятия ос-тается соответствующей требованиям стандарта. Сертификационные положения требуют проведения периодических аудиторских проверок.
В стандарте ISO 27001 принята модель «Plan-Do-Check-Act» (PDCA), которую применяют для структуризации всех процессов СУИБ:
PDCA ОПИСАНИЕ
- Планируй:
Разработка СУИБ Разработать политику СУИБ, цели, процессы и процедуры, сущест-венные для управления риском и в усовершенствования информационной безопасности, чтоб получить результаты, которые отвечают общим политикам и целям организации.
- Делай:
Внедряй и обеспечивай функционирование СУИБ Внедрять и обеспечивать функционирование политики информационной безопасности, контролей, процессов и процедур СУИБ.
- Проверяй:
Проводи мониторинг и пере-смотр СУИБ Оценивать и, по возможности, измерять продуктивность процессов в соответствии с политикой, целями и практическим опытом СУИБ и предоставлять отчет, о результатах проверок руководству для пере-смотра.
- Действуй:
Поддерживай и усовершенст-вуй СУИБ Применять корректирующие и превентивные меры на основании результатов внутреннего аудита СУИБ или другой существенной информации для постоянного усовершенствования СУИБ.
Если Вам необходима более детальная информация по вопросам СУИБ, квалифицированные консультанты Центра Бизнес-Знаний компании готовы SI BIS готовы в любое удобное время от-ветить на ваши вопросы.
Коментарі
Невірно заповнені поля відзначені червоним.
Будь ласка, перевірте форму ще раз.
Ваш коментар відправлений і буде доступний на сайті після перевірки адміністратором.
Інші статті в категорії Новини