Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Международный стандарт информационной безопасности iso 27001

Сертификация по стандарту ИСО 27001 в Москве

Окажем помощь в получении сертификата ISO 27001 в Москве

Что такое стандарт ISO 27001?

ISO 27001 – это международный стандарт, который спроецирован на усовершенствование информационной системы безопасности Вашей организации. Иными словами, стандарт ISO 27001 способствует повышению уровня информационной безопасности организации и обеспечивает ее целостность. Он служит надежным гарантом качества и сохраняет конфиденциальность информации.

В настоящее время, ISO 27001 является одним из наиболее популярных и актуальных стандартов, внедряемых организациями как в России, так и по всему миру. Для организаций с большими ценными объемами информации – принятие ISO 27001 является перспективным стратегическим решением, так как требования данного стандарта помогают улучшить как административную, так и техническую область информационной безопасности.

Стандарт ISO/IEC 27001:2013 «Системы менеджмента информационной безопасности» требования демонстрирует высокий уровень контроля доступа и отвечает и обслуживание технической безопасности.

Наличие системы контроля и управления качеством поднимает уровень всех процессов организации на более высокий в любой сфере деятельности.

Наши аккредитации

Область применения стандарта ISO 27001

На сегодняшний день защита информации организации занимает одну из ведущих и значимых ступень на пути к успеху в бизнесе. К сожалению, угроза безопасности информации является более чем реальной, и последствия могут быть катастрофическими. Именно для этого, была разработана процедура сертификации системы менеджмента качества на соответствие ГОСТ Р ИСО 27001-2013.

Данный стандарт применим для любой организации, независимо от типа, размера, географического положения или поставляемой продукции. Он легко совмещается с другими стандартами ISO, что дает возможность внедрить несколько систем менеджмента качества одновременно. Область применения ISO 27001 так же распространяется на широкий спектр вопросов, касающихся безопасности по техническим, случайным или же физическим причинам.

Гарантия получения сертификата

Преимущества сертификации по стандарту ISO 27001

Главные преимущества стандарта ISO 27001:

  • возможность зарекомендовать себя на международном рынке;
  • минимализации рисков в сфере информационной безопасности;
  • гарантия соблюдения действующего национального законодательства;
  • гарантия защиты информации;
  • возможность участия в тендерах;
  • улучшение системы управления предприятия;
  • повышение имиджа в глазах потенциальных клиентов;
  • подтверждение уровня системы качества менеджмента в соответствии с международным стандартом;
  • проведение систематических внутренних и внешних аудитов.

Как получить сертификат ISO 27001 (ГОСТ Р ИСО/МЭК 27001-2006) в Москве?

Получить сертификат ISO 27001 можно у нас, для этого Вам необходимо:

  • подать заявку на проведение процедуры сертификации (это можно сделать у нас на сайте или позвонить по номеру 8 (800) 505-16-04 – звонок бесплатный);
  • ознакомиться с рядом дополнительной информации, которую мы предоставляем;
  • ознакомиться и проанализировать предоставленные документы системы экономического менеджмента;
  • подписать договор на сертификацию;
  • оплатить услуги;
  • пройти подготовку на соответствие требованиям международного стандарта;
  • пройти сертификационный аудит;
  • получить сертификат (получение сертификата возможно как через курьера, так и по почте).

Зачем Вам ISO 27001 система менеджмента информационной безопасности?

Международный стандарт ISO 27001 – это прежде всего стандарт, которые задает направление для организации по усовершенствованию системы информационной безопасности. Другими словами, ISO 27001 – это система, которая направлена на взаимодействие различных международных стандартов, сведенных воедино.

Информационная безопасность стандарта ISO 27001 позволяет Вам:

  • находить риски информационной безопасности и ликвидировать возможность их осуществления;
  • свести количество угроз информационной безопасности к минимуму;
  • расширять круг клиентов на международных рынках, благодаря надежной и качественной системе информационной безопасности;
  • усовершенствовать политику информационной безопасности внутри организации;
  • повысить имидж в глазах потенциальных клиентов;
  • повысить уровень доверия партнеров.

Взаимосвязь стандарта ISO 27001 с другими международными стандартами

ISO 27001 является универсальным, потому как позволяет внедрить несколько систем менеджмента одновременно. Внедрение нескольких стандартов менеджмента качества, является стратегически важным решением. Особенно это касается тех организаций, которые хотят качественно и грамотно управлять единой системой менеджмента качества.

Наиболее подходящими стандарту ISO 27001 для взаимодействия являются такие системы, как ISO 9001 и ISO 14000. Прежде всего, это объясняется тем, что ISO 27001 является частью общей системы качества менеджмента и улучшает качество производительных процессов, чем оказывает воздействие на общую результативность предприятия.

Так же интеграция ISO 27001 возможна с такими стандартами, как например, системой менеджмента непрерывности бизнеса и системой менеджмента IT-услуг.

Однородная структура принципов стандартов дает значительное преимущество для грамотного управления менеджмента качества.

ISO/IEC 27001 (Системы менеджмента защиты информации)

Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.

Международный стандарт ISO/IEC 27001:2013 «Информационные технологии — Методы обеспечения безопасности — Системы менеджмента информационной безопасности — Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). ISO/IEC 27001 был подготовлен совместным Техническим комитетом ISO/IEC JTC 1 «Информационные технологии», подкомитетом SC 27 «Методы обеспечения безопасности информационных технологий». Настоящее второе издание отменяет и заменяет первое издание (ISO/IEC 27001:2005), которое было технически переработано.

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность – обеспечение точности и полноты информации, а также методов ее обработки;

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Стандарт ISO 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Читать еще:  Безопасность и надежность

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001 и ISO 14001 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001), то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.

Внедрение и сертификация по ISO 27001 на базе внедренной системы менеджмента качества по ISO 9001 предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации.

По стандарту ISO/IEC 27001 проводится официальная сертификация системы управления информационной безопасностью. Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.

По данным ИСО («The ISO Survey of Certifications – 2018») на конец 2018 г. в мире осуществляли деятельность 59 934 компании, сертифицировавшие свою систему управления информационной безопасностью на соответствие требованиям ISO/IEC 27001. В России по ISO/IEC 27001 сертифицированы 146 компаний.

ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001)

Системы менеджмента информационной безопасности

Вопросы обеспечения информационной безопасности (ИБ) для современной организации являются жизненно важными.

Наличие системы менеджмента информационной безопасности в соответствии с требованиями стандарта ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) поможет организации сберечь её активы и обеспечить целостность, надежность и конфиденциальность информации.

С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001 прошло более 25 тыс. компаний по всему миру (по данным IRCA).

Сертификация является полезным инструментом для повышения доверия, демонстрируя тем самым, что представляемые продукты и услуги отвечают потребностям заказчиков в области ИБ.

Стандарт ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) – источник лучших практик при проектировании систем управления, применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий. ISO/IEC 27001 является одним из наиболее известных стандартов данной серии, отвечающим требованиям систем управления информационной безопасностью. Существует более десятка стандартов серии 27000.

Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации. Является системным подходом по управлению конфиденциальной информацией. В данную систему входит персонал, производимые процессы и ИТ-системы, объединенные путем внедрения процессов риск-менеджмента.

С целью формирования комплексных требований к безопасности информации стандарт определяет три основных показателя:

  • оценка рисков, с которыми сталкивается организация (определение угрозы для ресурсов, их уязвимость и вероятность возникновения угроз, а также возможный ущерб);
  • соблюдение законодательных, нормативных и договорных требований, которые должны выполняться самой организацией, ее партнерами по бизнесу, подрядчиками и поставщиками услуг;
  • формирование комплекса принципов, целей и требований к обработке информации, разработанных организацией для поддержки своей деятельности.

Основные элементы системы ИБ:

  • защита от несанкционированного доступа (НСД) к системам,
  • в том числе и внутренняя защита от НСД сотрудников организации;
  • авторизация и аутентификация;
  • защита каналов передачи данных, обеспечение целостности;
  • обеспечение актуальности данных при обмене информацией с клиентами;
  • управление электронным документооборотом;
  • управление инцидентами ИБ;
  • управление непрерывностью ведения бизнеса;
  • внутренний и внешний аудит системы ИБ.

Основные задачи Стандарта:

  • установление единых требований по обеспечению информационной безопасности организаций;
  • обеспечение взаимодействие руководства и сотрудников;
  • повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций.

Стандарт ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) обеспечивает:

  • определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
  • определение подходов к оценке и управлению рисками в организации;
  • управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
  • использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
  • определение процессов системы менеджмента информационной безопасности;
  • определение статуса мероприятий по обеспечению информационной безопасности;
  • использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
  • предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.

Интеграция с другими стандартами

Преимуществом внедрения стандарта ISO/IEC 27001 является прямая выгода для организаций, желающих внедрить более одной системы менеджмента одновременно. СМИБ, например, может быть интегрирована с:

  • системой менеджмента непрерывности бизнеса (ISO/IEC 22301),
  • системой менеджмента IT‐услуг (ISO/IEC 20000–1)
  • или системой менеджмента качества (ISO 9001).

Схожая структура стандартов позволяет сэкономить время и деньги, так как стала возможной реализация интегрированных политики и процедуры.

Выгоды от внедрения и сертификации

  • повышение доверия клиентов, партнеров и других заинтересованных сторон;
  • повышение стабильности функционирования организаций;
  • получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
  • достижение адекватности мер по защите от реальных угроз информационной безопасности;
  • предотвращение и(или) снижение ущерба от инцидентов информационной безопасности;
  • демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
  • увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
  • снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
  • расширение возможностей участия компании в крупных государственных контрактах;
  • может существенно облегчить прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000–1.

Что дает внедрение ISO/IEC 27001

Главным преимуществом создания и внедрения СМИБ в соответствии с требованиями ISO/IEC 27001 является независимое доказательство стабильности и надежности бизнес‐процессов организации, в том числе:

  • повышение доверия к организации;
  • повышение стабильности функционирования организации в целом;
  • достижение адекватности мер по защите от реальных угроз информационной безопасности;
  • предотвращение и(или) снижение ущерба от инцидентов информационной безопасности.

Экономическими преимуществами являются:

  • независимое подтверждение факта, что в организации должным образом реализован менеджмент рисков, соответствующие процедуры систем менеджмента разработаны и внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом;
  • доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
  • доказательство стремления и ответственности высшего руководства к обеспечению системы менеджмента в требуемом объеме для всей организации в соответствии с установленными требованиями;
  • демонстрация определенного уровня «зрелости» систем менеджмента для обеспечения высокого уровня обслуживания клиентов и партнеров организации;
  • демонстрация проведения регулярных аудитов систем менеджмента, оценки результативности и постоянных улучшений.
Читать еще:  Базы данных для службы безопасности

Полезным преимуществом является эффективное управление аутсорсингом за счет четких критериев оценки поставщиков услуг и ответственности обеих сторон.

Конкурентным преимуществом является доказательство того, что процессы обеспечения ИБ организации способны удовлетворять потребности внешних пользователей в долгосрочной перспективе, риски оценены и управляются.

Сертификация СМИБ на соответствие требованиям ISO/IEC 27001:2013 соответственно – единственное общепринятое в мировой практике подтверждение соответствия международным требованиям.

Статистика гласит, что организации, обладающие международными сертификатами соответствия стандартам СМИБ, получают скидки, сопоставимые с затратами на проведение сертификации.

Преимущества внедрения стандарта ISO/IEC 27001

  • Гармонизация стандарта ISO/IEC 27001 к новой структуре поможет организациям, желающим внедрить более одной системы менеджмента одновременно.
  • Схожая структура стандартов позволит сэкономить время и деньги организаций, так как они могут реализовывать интегрированные политики и процедуры.
  • Обеспечение гибкого, оптимизированного подхода, с целью более эффективного управления рисками ИБ в современных условиях.
  • Средства управления безопасностью (Приложение А) позволяют обеспечить актуальность стандарта, адекватную защиту и применимость его к современным рискам, а именно, хищению личных данных, угрозам, связанным с использованием мобильных устройств и другим сетевым уязвимостям.

Кроме того, стандарт ISO/IEC 27001 модифицирован с целью адаптации к новой общей структуре, применяемой во всех стандартах на системы менеджмента, что упрощает его интеграцию с другими системами менеджмента.

Trust In, and Value From, Informatеуьзion Systems

Sign in to My ISACA

Help Remember my preferences

  • Главная >
  • Стандарты ISO >
  • ISO/IEC 27001:2013 Информационная Безопасность

ISO/IEC 27001:2013 Информационная Безопасность

ISO/IEC 27001:2013 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1. Стандарт содержит требования в области ИБ для создания, развития и поддержания Системы Управления Информационной Безопасности (СУИБ).

Первым документом по информационной безопасности, является принятый на государственном уровне в 1995 году и разработанный Британским институтом стандартов (BSI) BS 7799 — Part 1. В 1999 году эта версия была переработана и передана в Международную Организацию по Сертификации, а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией, принятой в 2005 году, является ISO/IEC 17799:2005. В сентябре 2002 года в силу вступила его вторая часть BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью).

Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования»

В 2013 году Международной организацией по сертификации была разработана и принята новая версия стандарта ISO/IEC 27001:2013.

Изменения коснулись как структуры документа, так и требований.

Назначение стандарта

В ISO/IEC 27001:2013 собраны описания лучших мировых практик в области управления ИБ. Стандарт устанавливает требования к СУИБ для демонстрации способности организации защищать свои информационные ресурсы и подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения СУИБ.

Цель стандарта

Цель СУИБ — выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия

Информационная безопасность — сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

  • Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
  • Целостность — обеспечение точности и полноты информации, а также методов её обработки.
  • Доступность — обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Само понятие «защиты информации» трактуется как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ISO/IEC 27001:2013 — система управления рисками, связанными с информационными активами.

Международные стандарты ISO 27002 и ISO 27001

Пожалуй, на сегодня это самые востребованные стандарты в области ИБ.
ISO 27002 (прежде ISO 17799) содержит свод рекомендаций по эффективной организации систем управления ИБ на предприятии, затрагивая все ключевые области, в частности:

· формирование политики ИБ;

· безопасность, связанная с персоналом;

· обеспечение соответствия требованиям законодательства.

Стандарт ISO 27001 является сборником критериев при проведении сертификации системы менеджмента, по результатам которой аккредитованным органом по сертификации выдается международный сертификат соответствия, включаемый в реестр.
Согласно реестру, в России в настоящее время зарегистрировано около полутора десятка компаний, имеющих такой сертификат, при общем числе сертификаций в мире более 5000. Подготовка к сертификации может осуществляться либо силами самой организации, либо консалтинговыми компаниями, причем практика показывает, что намного проще получить сертификат ISO 27001 компаниям, уже имеющим сертифицированную систему управления (например, качеством).
Стандарты ISO 27001/27002 являются представителями новой серии стандартов, окончательное формирование которой еще не закончено: в разработке находятся стандарты 27000 (основные принципы и терминология), 27003 (руководство по внедрению системы управления ИБ), 27004 (измерение эффективности системы управления ИБ) и другие — всего в серии 27000 предполагается более 30 стандартов. Подробнее о составе серии и текущем состоянии ее разработки можно узнать на официальном сайте ISO (www.iso.org)

Международные стандарты ISO13335 и ISO15408

Стандарт ISO 13335 является семейством стандартов безопасности информационных технологий, охватывающих вопросы управления ИТ-безопасностью, предлагая конкретные защитные меры и способы. В настоящее время происходит постепенное замещение серии 13335 более новой серией 27000. Стандарт ISO 15408 содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне (подобно знаменитой Оранжевой книге, которая также известна как критерии оценки TCSEC, или европейские критерии ITSEC), которые позволяют сравнивать результаты, полученные в разных странах.
В целом данные стандарты, хотя и содержат лишь технологическую часть, могут использоваться как независимо, так и при построении систем управления ИБ в рамках, например, подготовки к сертификации на соответствие ISO 27001.

Международный стандарт ISO 20000 (касательно эволюции)

Стандарт ISO 20000 заменил собой британский стандарт BS 15000. Он описывает сервисную модель ИТ, реализуя положения специализированной библиотеки ITIL (IT Infrastructure Library – библиотека инфраструктуры ИТ) и концепцию ITSM (IT Service Management – управление ИТ-услугами). Стандарт предъявляет требования к процессам управления ИТ-сервисами и устанавливает критерии оценки, пригодные для проведения сертификация соответствия. Так же, как и в случае сертификации по ISO 27001, наличие у организациисертификата на какую-либо систему менеджмента упрощает процедуру подготовки к сертификации на соответствие ISO 20000. На сегодняшний день в России всего 6 организаций имеют сертификат ISO 20000.

Читать еще:  Adm960 sap netweaver безопасность сервера приложений

9.Концепция и политикиинформационной безопасности хозяйствующего субъекта

До начала создания систем информационной безопасности ряд отечественных нормативных документов (ГОСТ Р ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 27000 ГОСТ Р ИСО/МЭК 17799) и международных стандартов (ISO 27001/17799) прямо требуют разработки основополагающих документов – Концепции и Политики информационной безопасности.

Однако, несмотря на это, многие системы информационной безопасности (как, впрочем, и информационные системы в целом) возникали в результате ряда нескоординированных между собой действий. Закупался антивирус, затем межсетевой экран, затем система резервного копирования. Никто не определял целей и задач защиты, принципов и способов достижения требуемого уровня безопасности информации, и самого этого уровня. Так получалась «лоскутная» система, не пригодная к планомерному развитию и сопровождению, к эффективной интеграции в ИТ-инфраструктуру предприятия, и, главное, не решающая задач обеспечения безопасности информации.

В результате, рано или поздно, владелец информационной системы сталкивается с необходимостью ответить на некоторые внешние вопросы, срочно разобраться в текущей ситуации и выработать основные положения о порядке защиты информации, выбрать базовые компоненты системы информационной безопасности, определить способы защиты. Иначе говоря, разработать Концепцию информационной безопасности.
В дальнейшем Концепция информационной безопасности используется для:

· принятия обоснованных управленческих решений по разработке мер защиты информации;

· выработки комплекса организационно-технических и технологических мероприятий по выявлению угроз информационной безопасности и предотвращению последствий их реализации;

· координации деятельности подразделений по созданию, развитию и эксплуатации информационной системы с соблюдением требований обеспечения безопасности информации;

· и, наконец, для формирования и реализации единой политики в области обеспечения информационной безопасности.

Если Концепция ИБ в общих чертах определяет, ЧТО необходимо сделать для защиты информации, то Политика детализирует положения Концепции, и говорит КАК, какими средствами и способами они должны быть реализованы.
Политика определяет также набор правил по работе с информационными ресурсами, и порядок контроля их выполнения. Она содержит перечень законодательных актов, ведомственных стандартов и организационно-распорядительных документов, на основании которых должна быть построена система обеспечения безопасности информации.

· Разработка концепции и политики информационной безопасности

· Расчет финансово-экономических показателей СОБИ, подготовка ТЭО СОБИ

· Разработка ТЗ (ЧТЗ) на создание СОБИ и ее компонентов

И ещё выдержки, взятые с одного форума:
1) Концепция «столбит» основные направления деятельности по защите и объясняет, как эти направления деятельности между собой взаимосвязаны. Каждая политика предметно описывает реализацию одного или нескольких из этих направлений деятельности.
2) Стандарты на разработку политик/концепций — Самый близкий по духу — ISO 13335-1. Он описывает пирамидальную структуру политик, самая верхнеуровневая из которых похожа на то, что у нас называется концепцией.

10.Назначение и структура кадрового обеспечения СОИБ. Существующая система подготовка кадров в области информационной безопасности

Важнейшая составная часть стратегически ориентированной политики организации – ее кадровая политика, представляющая собой в широком смысле систему осознанных и определенным образом сформулированных и закрепленных правил и норм, приводящих человеческий ресурс в соответствие с долговременной стратегией организации.
Цель кадровой политики – обеспечение оптимального баланса процессов обновления и сохранения численного и качественного состава кадров в соответствии с потребностями самой организации, требованиями действующего законодательства и состоянием рынка труда.

Частью кадровой политики является политика кадрового обеспечения задач, решаемых в организации. В ней формулируются нормы и правила формирования и поддержания на определенном уровне кадрового состава соответствующих подразделений организации. Причем в организации может существовать несколько политик кадрового обеспечения в зависимости от специфики и разнообразия решаемых задач.

// Касательно подготовки кадров – тут я хз. На парах он говорил, что это просто обучение в колледжах/универах, прохождение спец.курсов, получение аттестатов от тех же CISCO и всё в таком духе.

11.Подбор кадров и перечень требований к персоналу

//Тут, в принципе, вопрос на логику. Я к тому, что смотрят на наличие знаний/умений/etc., предпочтение отдаётся людям, у которых есть реальный опыт работы, выпускникам академии ФСБ (нашего направления офк), отслуживших в схожих войсках и всё такое прочее.

Требования – смотрят на приводы в полицию/судимости/проблемы с законом в целом, аттестаты, сертификаты с курсов (к примеру, опять же, CISCO) и т.п.

12. Особенности работы с персоналом СОИБ ХС

Работа с персоналом подразумевает целенаправленную деятельность руководства фирмы и трудового коллектива, направленную на наиболее полное использование трудовых и творческих способностей каждого члена коллектива, воспитание в нем фирменной гордости, препятствующей возникновению желания нанести вред организации, стать соучастником в недобросовестной конкуренции или криминальных действиях.
Человеческий фактор должен постоянно учитываться в долговременной стратегии фирмы и ее текущей деятельности, являться основным элементом построения действенной и эффективной системы защиты информационных ресурсов.
Организационные мероприятия по работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:
— проведение усложненных аналитических процедур при приеме и увольнении сотрудников;
— документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;
— инструктирование и обучение сотрудников практическим действиям по защите информации.
А контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений. Сложности в работе с персоналом определяются:
— большой ценой решения о допуске лица к тайне предприятия;
— наличием в фирме, как правило, небольшого контингента сотрудников, служебные обязанности которых связаны с использованием конфиденциальных сведений (руководители, ответственные исполнители, сотрудники службы конфиденциальной документации);
— разбиением тайны на отдельные элементы, каждый из которых известен определенным сотрудникам в соответствии с направлением их деятельности.
Персонал является основным и самым трудно-контролируемым источником ценной и конфиденциальной информации.
Источник, который мы именуем «Персонал и окружающие фирму люди», включает в себя:
— всех сотрудников данной фирмы, ее персонал;
— сотрудников других фирм;
— сотрудников государственных учреждений муниципальных органов, правоохранительных органов и т.д;
— журналистов средств массовой информации, сотрудничающих с фирмой,
— посетителей фирмы, работников коммунальных служб, почтовых служащих, работников служб экстремальной помощи и т.д.;
— посторонних лиц, работающих или проживающих рядом со зданием или помещениями фирмы, уличных прохожих;
— родственников, знакомых и друзей всех указанных выше лиц.
Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Каждый из источников, особенно ставший им случайно, может стать опасным для фирмы в результате несанкционированного разглашения (оглашения) защищаемых сведений.

Ссылка на основную публикацию
Adblock
detector
×
×