Mенеджмент безопасности информационных систем

Mенеджмент безопасности информационных систем

Для чего необходим менеджмент безопасности информационных систем?

Информация является в наши дни одним из наиболее важных «активов» фирмы. Что означает для Вашей фирмы потеря данных, разглашение коммерческой тайны или просто нефункциональность информационной системы?

Если данные аспекты несут существенную опасность ведению и развитию Вашего бизнеса, сертификация системы менеджмента безопасности информации может стать решением этой проблемы. Вы докажете своим партнерам, что заслуживаете доверия, т.е. получение Вами доступа к их информационным системам или данным не представляет для них никакой опасности.

ISO/IEC 27001:2005

Под системой управления информационной безопасностью (Information Security Management System, ISMS) понимается часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности.

В стандарте определены требования для разработки, реализации, эксплуатации, мониторинга, ревизии, поддержания и совершенствования документированной системы управления информационной безопасностью в контексте общего делового риска предприятия.

В соответствии с этим документом, система управления информационной безопасностью изначально должна проектироваться таким образом, чтобы предоставить выбор адекватных мер по обеспечению безопасности, которые защищают информационные ресурсы и гарантируют конфиденциальность заинтересованным сторонам.

Приложением к данному стандарту является созданный на основе ISO/IEC 17799 перечень требований и соответствующих мер, которые могут быть приняты в компании.

Причины и история формирования стандарта

Известные корпорации Англии на рубеже двух столетий анализировали опасности, связанные с расширением и соединением электронных информационных систем, и установили, что причиной махинаций, утечки информации или отказа информационных технологий является, в первую очередь, отсутствие элементарного контроля. На основе их инициативы возник стандарт BS 7799, касающийся решения не только вопроса об обеспечении безопасности инфомрационной системы, но также ее контроля, менеджмента и улучшения.

В 1995 году стандарт BS 7799 в качестве свода установленных норм и правил по отношению к обеспечению ИБ получил в Великобритании статус государственного. В 1999 году эта часть была переработана и передана в Международную организацию по стандартизации (ISO), а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems. А в октябре 2005 года Международная организация по стандартизации приняла стандарт BSI BS 7799-2:2002 в качестве международного — ISO/IEC 27001:2005

Первая часть стандарта «Управление информационной безопасностью. Практические правила»

содержит систематический, весьма полный, универсальный перечень регуляторов безопасности, полезный для организации практически любого размера, структуры и сферы деятельности.

Она предназначена для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание внутренней системы информационной безопасности.

цель информационной безопасности — обеспечить бесперебойную работу организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности.

Управление информационной безопасностью позволяет коллективно использовать данные, одновременно обеспечивая их защиту и защиту вычислительных ресурсов.

ISO 17799 описывает более 120 механизмов контроля, которые были разработаны на основе лучших примеров мирового опыта в данной области и подходят любой организации независимо от ее размера и направления деятельности.

Сертификация по ISO 17799 не проводится — документ представляет собой лишь сборник лучших практик и является неким руководством по созданию системы обеспечения информационной безопасности организации.

Вторая часть стандарта «Системы управления информационной безопасностью — спецификация с руководством по использованию»

Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.

В основу процесса управления положена четырехфазная модель, включающая:
•планирование;
•реализацию;
•оценку;
•корректировку.

Контакт:
+7(499) 918 32 23

Новости
1.9.2018 ISO 9001, ISO 14001

цертификация по ИСО 9001:2008 и 14001:2004 истекает 15 сентября 2018. Сертификаты и сертификационне логотипы нельзя исползовать с этой мнбвдаты. Сейчас можно исползовать только новые ИСО 9001:2015 и ИСО 14001:2015.

1.3.2013 ERCA регистрация

Мы начали проект персональной сертификации с регистрацией сертификатов по схеме ERCA.

предыдущие новости