Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Iso 27001

2,023 views

Published on

Published in: Education
  • Be the first to comment

Iso 27001

  1. 1. ISO 27001:2005 "Системи за управление на информационната сигурност. Изисквания" (Information technology - Security techniques - Information security management systems - Requirements) ISMS Какво е ISO 27001:2005?: • ISO 27001:2005 е стандарт, който поставя изисквания към Системите за управление на информационната сигурност(ISMS). • ISO 27001:2005 е проложим за всички видове организации: търговски, нетърговски, правителствени и неправителствени. • Системата за управление на информационната сигурност (ISMS) е подход за управление на чувствителната за компанията информация по начин, който гарантира запазването на нейната сигурност. Тази информация може да бъде фирмена - ноу-хау, лични данни, както и собственост на клиента. • ISO 27001:2005 е подходящ за няколко типа приложение: o за определяне на изискванията и целите на информационната сигурност; o за гарантиране, че информационният риск се управлява ефективно, от гледна точка на средства; o за гарантиране, че организациите изпълняват законодателството и други регулативни изисквания; o за определяне на нови процеси за управление на информационната сигурност; o за определяне на съществуващите процеси за управление на информационната сигурност; o за установяване на съответствие от вътрешни и външни одитори в организациите с политиките, нормативната уредба и приложимите стандарти; o за предоставяне на клиентите на съответната информация за информационната сигурност. • За да съхрани информацията си, организацията трябва да: o дефинира политика по информационната сигурност; o да идентифицира и оцени рисковете за сигурността; o да определи и внедри подходящи контроли за сигурността на информацията. • ISO 27001:2005 изисква стриктно спазване на съответните законови, подзаконови и договорни задължения по отношение на информационната сигурност, оптимизирано използване на наличните ресурси, както и периодични вътрешни проверки на системата с цел непрекъснато усъвършенстване. • Сертификацията на Система за управление на информационната сигурност, съгласно ISO 27001:2005 доказва, че Вашата организация гарантира в максимална степен сигурността както на собствената си информация, така и на тази на своите клиенти. • Внедрената и функционираща Система за информационна сигурност (ISMS) ще гарантира също така осигуряването на непрекъсваемостта на Вашия бизнес, в случаи на извънредни ситуации и кризи. ISO/IEC 27001
  2. 2. Информацията е един от основните бизнес ресурси, който обезпечава добавената стойност на организацията и вследствие на това се нуждае от защита. Слабите места в защитата на информацията могат да доведат до финансови загуби и да нанесе вреда на търговските операции. Затова въпросът за разработването на система за управление на информационната безопасност и внедряването й в организацията се явява концептуален. Международният стандарт ISO/IEC 27001:2005 "Информационни технологии - Методи на обезпечаване на безопасността - Системи за управление на информационната безопасност - Изисквания" е разработен от Международната организация по стандартизация (ISO) и Международната електротехническа комисия (IEC) въз основа на британския стандарт BS 7799. Този нов стандарт представлява допълнение към стандарта ISO/IES17799:2005 "Информационни технологии - Методи на обезпечаване на безопасността - Практически правила на управлението на информационната безопасност". Стандартът ISO 27001 определя информационната безопасност като: "запазване на конфиденциалността, целостта и достъпността на информацията; освен това могат да бъдат включени и други свойства, като автентичност, невьзможност за отказ от авторство, достоверност". Конфиденциалност - обезпечаване на достъп до информацията само за тези, които имат съответните правомощия за това (оторизирани ползватели); Цялост - обезпечаване на точността и пълнотата на информацията и методите за нейната обработка; Достъпност - обезпечаване на достъпа до информацията за оторизирани ползватели когато това е необходимо (по заявка). ISO/IEC 27001:2005 представлява списък с изискванията към системата за управление на информационната безопасност, задължителни за сертификация, а стандартът ISO/IEC 17799:2005 се явява ръководство по внедряването, което може да се използва при проектирането на механизмите за контрол, избрани от организацията за намаляване рисковете на информационната безопасност. Стандартът ISO 27001 определя процесите, които дават възможност на бизнеса да определя, използва, променя, контролира и поддържа ефективна система на управление на информационната безопасност; определят се изискванията към разработването, внедряването, функционирането, мониторинга, анализа, поддържането и усъвършенстването на документираната система за управление на информационната безопасност в контекста на съществуващите за бизнеса рискове. Системата за управление на информационната безопасност според стандарта ISO 27001 позволява: • Повечето информационни активи да станат разбираеми за ръководството на компанията; • Да се определят основните заплахи за безопасността на съществуващите бизнес процеси; • Да се оцени риска и да се вземат решения въз основа на бизнес целите на компанията; • Да се обезпечи ефективно управление на системата в критични ситуации; • Да се изпълнява политика по безопасност (откриване и отстраняване на слабите места в информационната безопасност); • Да се определи ясно личната отговорност; • Да се снижат и оптимизират разходите по поддръжката на системата за безопасност;
  3. 3. • Да се облекчи интегрирането на подсистемата за безопасност в бизнес процесите и със системата за управление на качеството според ISO 9001:2000; • Да се демонстрира на клиентите, партньорите, собствениците отговорността към информационната безопасност; • Да се получи международно признание и да се повиши авторитета на компанията, както на вътрешния, така и външните пазари; Наред с елементите на управлението на компютрите и компютърните мрежи, стандартът отделя голямо внимание на въпросите от политиката на безопасност, работата с персонала (назначаване, обучение, освобождаване), обезпечаването на непрекъснатостта на производствения процес, на юридическите изисквания. Изискванията на стандарта имат общ характер и могат да бъдат използвани от широк кръг организации - малки, средни и големи - от търговския и индустриалния сектор на пазара, финансови и застрахователни фирми, фирми от сферата на комуникациите, комуналните услуги, други услуги, транспорт, органи на властта и много други. Стандартът ISO 27001 е хармонизиран със стандартите на системите за управление на качеството ISO 9001:2000 и на околната среда ISO 14001:2004 и се основава на техните основни принципи. Нещо повече, задължителните процедури на стандарта ISO 9001 се изискват и от стандарта ISO 27001. Структурата на документацията по изискванията на ISO 27001 е аналогична по структура на изискванията на ISO 9001. Голямата част от документацията по ISO 27001, вече е разработена и се използва в рамките на ISO 9001. По този начин ако организацията има система за управление в съответствие с ISO 9001 или ISO 14001), то е препоръчително изпълнението на изискванията на стандарта ISO 27001 да се обезпечава в рамките на вече съществуващите системи. По стандарта ISO/IEC 27001:2005 може да се проведе официална сертификация на системата за управление на информационната безопасност. Сертификация по този стандарт позволява нагледно да се покаже на деловите партнъори, че в компанията защитата на информацията е поставена на високо ниво и е внедрено ефективно управление на информационната безопасност. По данни на ISMS International User Group (август 2007), в света са издадени 3 879 сертификати, от които 72% в Далечния Изток (в Япония - 3790), а 18 % в Европа. От най-известните компании, които вече имат официална сертификация по стандарта ISO/IEC 27001:2005 (BS 7799), може да се изброят: CANON, Fuji Xerox, Fujitsu, Hitachi, Mitsubishi Electric, NEC, Sony, Toshiba, Federal Reserve Bank of New York, Telecom Italia, Japan Telecom, подразделения Siemens, British Telecom, T-Mobile, Ericsson, Samsung, Hyundai, Vodafone, СMA СТАНДАРТ ISO/IEC 27001 Система за управление сигурността на информацията СУСИ Information security management system ISMS [Home] [Съдържание] [Бизнес консултации] [Инфопедия ] [Асеневци] СТАНДАРТИЗАЦИЯ НА ИНФОРМАЦИОННАТА СИГУРНОСТ Предназначение на стандарта ОРАНЖЕВА КНИГА Този международен стандарт е разработен, за да се осигури модел ПРЕПОРЪКИ X 800 за създаване, СТАНДАРТ ISO/IEC 15408 изпълнение,функциониране, наблюдение, преглед, поддържане и
  4. 4. подобряване на система за управление СЕРИЯ СТАНДАРТИ ISO 2700х на сигурността на информацията (СУСИ). СТАНДАРТ ISO/IEC 27001 Внедряването на СУСИ е СТАНДАРТ IS0/IЕС 1779 стратегическо решение за една организа. Създаването и внедряването на СУСИ на организацията зависят от: • Нейните потребности и цели; • От изискванията по отношение на сигурността; • От включените процеси; • От големината и структурата на организацията. Характерни особености СУСИ • СУСИ отговаря на всичкиизисквания за система ; • СУСИ е динамична и постоянно променяща се система, адаптираща се към изискванията на вътрешната и външна среда ; • СУСИ може да се използва всяка оргаиянизац, без значение от нейните мащаби, разположение, тип на дейност и т.н. • СУСИ се базира на процедура заоценка и анализ на риска, насочена към пресмятане на интегралните показатели за сигурност на ключовите информационни активи и избор на мерки за минимизация на рисковете до приемливо остатъчно ниво. • СУСИ се проектира по такъв начин, че да осигури адекватни мерки, в съответствие с предложените в стандарта ISO/IEC17799/270 02практики и защитни механизми. • Организационният модел,
  5. 5. по който се проектира и работи СУСИ се базира напроцесния подходи по специално на цикъла на Деминг. Процесен подход ISO/IEC 27001възприема използването на процесния подход при изграждането,внедряването, функционирането, наблюдението, прегледа, поддържането и подобряването на СУСИ на организацията. За да функционира ефикасно, една организация трябва да идентифицира и управлява много дейности. Всяка дейност, която използва ресурси и се управлява с цел превръщането на входните елементи визходни, може да се счита за процес. Често пъти изходните данни от един процес се явяват входни данни за следващия. Прилагането на система от процеси в организацията, заедно с идентифицирането и взаимодействието на тези процеси и тяхното управление се нарича „процесен подход". Процесният подход за управление на сигурността на информацията, представен в стандарта, съдейства на тези, които го прилагат, да осъзнаят важността от: • Разбиране на изискванията за сигурност на организацията и необходимостта от създаване наполитика и цели по сигурност на информацията; • Внедряване и прилагане на различни механизми за контрол в контекста на управлението на общия риск на организацията, свързан с нейната дейност • Наблюдение и преглед на функционирането и
  6. 6. ефикасността на СУСИ; • Непрекъснато подобряване, основано на обективни измервания. Стандартът приема модела „планиране – изпълнение – проверка - действие, ПИПД" (Рlап –Dо -Спеск - Асt, РОСА), който се използва за всички процеси в рамките на СУСИ. На фигурата е показано как СУСИ използва като входни данни изискванията за сигурност на информацията и очакванията назаинтересованите страни и чрез прилагането на необходимите действия и процеси получава като резултат управлявана сигурност на информацията, която отговаря на тези изисквания и очаквания. Планиране(създаване на СУСИ) Създаване на политика, цели, процеси и процедури на СУСИ във връзка с управлението на риска и
  7. 7. подобряването на сигурността на информацията за постигане на резултати в съответствие с общата политика и цели наорганизацията. Изпълнение (внедряване ифункциониране на СУСИ) Внедряване и функциониране на политиката, механизмите за контрол, процесите и процедурите на СУСИ. Проверка (наблюдение и преглед на СУСИ) Оценяване и, където е приложимо, измерване на изпълнението напроцесите спрямо политиката по сигурността, целите и практическия опит, и докладване на резултатите на ръководството за преглед. Действие (поддържане иподобряване на СУСИ) Предприемане на кор ...

×