Система Управления Информационной Безопасности в соответствии с стандартами ISO/IEC 27001:2005 Душанбе, 2010
ISO PDCA CYCLE
ЦИКЛ ВНЕДРЕНИЯ ISO (PDCA - ПВПД) Заинтересованные стороны Ожидания и требования по информационной безопасности П ЛАНИРОВАНИЕ : Заложение основ СУИБ В ЫПОЛНЕНИЕ : Внедрение и эксплуатация СУИБ П РОВЕРКА : Мониторинг и анализ СУИБ Д ЕЙСТВИЕ : Поддержка и улучшение СУИБ Заинтересованные стороны Управляемая информационная безопасность
ПРОЦЕСС СЕРТИФИЦИРОВАНИЯ ISO Шаг 1 – Организация принимает решение по внедрению сертификации ISO Шаг 2 – Организация устанавливает задачи, обязанности и выделяет средства Шаг 3 – Определение принципов информационной безопасности Шаг 4 – Определение области применения Системы Управления Информационной Безопасности Шаг 5 – Анализ рисков в области применения Системы Управления Информационной Безопасности Шаг 6 – Принятие решения о путях управления указанными рисками
ПРОЦЕСС СЕРТИФИЦИРОВАНИЯ ISO Шаг 7 – Выбор индикаторов контроля внедрения и инструментов управления Шаг 8 – Подготовка отчета о применимости СУИБ Шаг 9 – Внедрение инструментов контроля Шаг 10 – Выбор контрольных целей Шаг 11 – Применение индикаторов контроля Шаг 12- Аудит 1-ой фазы (изучение документации)
ПРОЦЕСС СЕРТИФИЦИРОВАНИЯ ISO Шаг 13 – Анализ результатов исследования Шаг 14 – Аудит 2-ой фазы, для определения: Внедрение и исполнение СУИБ Мониторинга и анализа СУИБ Поддержка и оптимизация СУИБ Шаг 15 – Сертификат о предоставлении
ОСНОВНЫЕ ПРОБЛЕМЫ ПРИ ВНЕДРЕНИИ ISO/IEC 27001:2005 Возможные проблемы по внедрению ISO/IEC 27001:2005 описаны в главах с 4 по 8 данного стандарта: Административные задачи Определение области применения Политика Информационной Безопасности Запас информационных активов Оценка рисков в определенных областях применения Установка средств управления Внутренний аудит Совет безопасности
8 ПРОЦЕСС УПРАВЛЕНИЯ Определение обьемов работ Регионы Организация Вся компания Инвентаризац ия информацион ных активов Оценка риска Ущерб Вероятность возникновения Создание совета по информационной безопасности Установка внутренней системы ИТ аудита в соответствии с ISO Устранение технических проблем Начальный внутренний аудит Улучшение ISMS Установление индикаторов контроля Готовность к предоставлению заявки Разработка заявления Заявка по ISO Услуги Оборудование Программы и приложения
ПРОЦЕСС УПРАВЛЕНИЯ Определение области применения –Региональная направленность –Организационная направленность –Вся организация Запас информационных активов: –Услуги –Оборудование –Программное обеспечение Оценка рисков: Ущерб Х Вероятность появления (оценочная сетка 4Х4) Установка средств управления: –Применение Приложения А к ISO –Развитие архитектуры ориентированной на услуги Установка системы внутреннего аудита в соответствии с ISO Установка форума информационной безопасности: –Обработка дыр безопасности –Совершенствование СУИБ
ОСНОВНЫЕ ДЕЙСТВИЯ РЕЗУЛЬТАТОБЯЗАННОСТИ Планирование и определение области применения СУИБ Создание рабочих групп, инструментов, методики и расспределение обязанностей; Определение областей применения СУИБ и развитие курса СУИБ для достижения поставленных задач; Создание и предоставление презентации для инвесторов проекта и директората, включая: Описание действий, ролей и обязанностей проектных групп, и их последующих шагов. Изложение области применения СУИБ. Проектная группа и обязанности группы. План проекта. Курс развития СУИБ. Административные обязанности. Бюджет. Средства. Отчет по выполненным работам. Создание совета ИТ безопасности Определение структуры совета безопасности и методы коммуникаций. Совет ИТ безопасности. Отчет по выполненным работам. Реализация. Определение активов Проведение семинаров с целью определения активов. Реестр информационных активов. Участие в семинарах. Отчет по выполненным работам. Оценка рисков и средств управления Определение и оценка риска всех активов. Оценка возможностей обработки рисков, включая управление, а также получение или отказ в сертификации. Методология оценки рисков. Доклад об оценке рисков. План обработки рисков. Участие в семинаре. Отчет по выполненным работам.. Понимание рисков. Разработка средств управления Определение процессов, политики и стандартов информационной безопасности. Документированные процессы, политика и стандарты. Проект эффективных средств управления. Отчет по выполненным работам. Внедрение средств контроля. Обучение и подготовка по информационной безопасности Определение соответствующей программы обучения и подготовки по информационной безопасности. Программа подготовки и обучения информационной безопасности. Отчет по выполненным работам. Внедрение и реализация. Структура наблюдения СУИБ Определение долгосрочной стратегии развития План и шаблон внутреннего аудита. Показатели эффективности СУИБ. Отчет по выполненным работам. Внедрение и реализация.
НАШИ УСЛУГИ Введение СУИБ в соответствии с ISO:IEC 27001:2005 Оценка недостатков по внедрению ISO Введение управления рисками основанного на ISO:EIC 27001:2005 Структуризация организаций по безопасности ИТ Подготовка документов по безопасности (т.е. руководство, процедуры, стратегия развития) Внутренний аудит по ISO 27001
1 ФАЗА – ПРЕДВАРИТЕЛЬНАЯ ОЦЕНКА РАССМОТРЕНИЕ ДОКУМЕНТАЦИИ СУИБ Целью данной фазы является удостоверение в том, что достигнут необходимый уровень целостности и понимания области применения СУИБ. Разработка необходимых документов, возникающих в результате внедрения и применения структуры СУИБ и других средств управлений необходимых в соответствии с ISO Данная фаза позволит определить имеющиеся недостатки, которые необходимо устранить до начала сертификационного процесса.
ДействияРезультат Рассмотрение существующей документации в целях определения соответствия с требованиями аудита. Проведение ограниченного рассмотрения документации СУИБ, включая: Оценка проблем связанных с управлением информационной безопасностью и последующая разработка СУИБ; Политика, планы, цели и задачи информационной безопасности; Мониторинг, измерение, доклад и рассмотрение эффективности в соответствии с целями и задачами; Анализ управления и бизнес процессов; Распределение ответственности управления по информационной безопасности; Связи между политикой, оценкой рисков, целями и задачами, процессами, ответственностью, программами, процессами/процедурами, данными эффективности, обзорами и программами продолжительного улучшения. Проведение интервью с менеджментом с целью подтверждения понимания СУИБ и документации процесса. Определение, обсуждение и согласование пробелов, нуждающихся во внимании и действиях до фазы оценки. Пресертификационный отчет об имеющихся проблемах, определяющий изьяны в СУИБ и средствах управления ИТ, на которые руководство должно обратить внимание до второй фазы реализации. Отчет обзора СУИБ, подтверждающий применимость критериев и средств контроля, которые будут взяты в качестве основания для «полевых работ» и отчетов. Разработка методов оптимизации СУИБ.
2 ФАЗА – «ПОЛЕВЫЕ РАБОТЫ», ОЦЕНКА И ОТЧЕТНОСТЬ Целью данной фазы является подтверждение эффективной реализации СУИБ и соответствия с ISO и имеющейся политикой информационной безопасности организации. Оценке руководства по информационной безопасности; оценка планов, процессов и средств управления ИТ.
ДействияРезультат Проведение «полевых работ» для определения продвижения в исправлении ошибок, описанных в пре-сертификационном отчете. Проведение детализированного обзора СУИБ, включая: Подтверждение интеграции с задачами и процессами/процедурами информационной безопасности организаций; Подтверждение соответствия СУИБ всем правилам ISO и политике управления информационной безопасности организации. Опрос руководства для подтверждения понимания средств управления и эффективности реализации. Использование запросов, индикаторов и других инструментов тестирования для подтверждения эффективно реализованной СУИБ. Подготовка отчетов о соответствии и, при необходимости, запуск процесса сертифицирования. Отчет аудита и сертификат ISO План наблюдения на 3 года.
3 ФАЗА – МОНИТОРИНГ Целью данной фазы является обеспечить проведение сертификации, посредством выполнения текущих оценок соответствия. Критерий для визитов текущей оценки основан на требованиях UKAS и будет проводиться как минимум ежегодно (обычно каждые полгода) до окончания третьего года, когда сертификация ISO будет подвергнута процессу обновления. Текущая оценка обычно производится в зависимости от доступности менеджмента и значимости изменений в стандартах ISMS и/или ISO Сертификация ISO действительна в течение трех лет, а мониторинг может быть координированно с другой деятельностью, такой как, например расширение СУИБ или включение других систем управления, например ISO или ISO * UKAS – United Kingdom Accreditation Service
ДействияРезультаты Проведение ряда опросов руководства о значимых изменениях в операциях и СУИБ. Рассмотрение документаций связанных с изменениями СУИБ, политики, процессов, рисков и рычагов управления, включая элементы поддержания системы, таких как внутренний аудит, анализ правления и мониторинг. Запрос, наблюдение и тестирование образцов процессов СУИБ основанного на трехлетнем плане наблюдения. Текущие оценки, определяющие проблематичные облас ти, по соответствию стандарту ISO Обновления учета записей оптимизаций.
Контактная Информация Арман Андреасян Skype: andreasyan_a Ваагн Арутюнян Skype: vahagnhar