ИСО Система менеджмента информационной безопасности

Он сказал, между прочим, что BSI тоже пользуется русскими переводами стандартов, сделанными GlobalTrust, во время учебных курсов. Потом слушателей еще несколько раз отсылали "к Астахову за стандартами", поскольку центральный офис не разрешает российскому отделению BSI самим осуществлять деятельность по их распространению.

Существует заблуждение, что нам выгодно продавать русские редакции стандартов BSI и делать на этом бизнес. Пришлось это заблуждение развеивать. Во-первых, наш бизнес состоит вовсе не в продаже стандартов это дело для нас бесприбыльное и занимаемся мы им не из коммерческих соображений. Во-вторых, если BSI разрешит, то мы с большим удовольствием опубликуем тексты всех стандартов в открытом доступе или хотя бы снизим цены, чтобы сделать их доступными для всех. Расширение рынка услуг в области внедрения и сертификации СУИБ нам куда более выгодно, нежели продавать стандарты за деньги.

Коллеги из BSI со мной согласились и обещали похлопотать, но здесь я в успех не очень верю. Вряд ли BSI будет изменять лицензионную политику только ради нас. BSI, между прочим, не государственная и не коммерческая компания, являющаяся однако официальным органом Великобритании по стандартизации. BSI осуществляет свою деятельность на основании королевской лицензии, требующей от них, в частности, чтобы они всю прибыль инвестировали в развитие бизнеса.

Все стандарты они делят на 3 секции: Наши риски, безопасность и непрерывность бизнеса попадают в последнюю. У них есть собственный знак kitemark, европейский CE marking и др. Много говорилось BSI о самом дорогом своем принципе - impartiality беспристрастность. У них существует специальный Комитет по независимости беспристрастности , зорко следящий за соблюдением данного основополагающего для любого аудитора принципа.

Чтобы не оступиться и не впасть в зависимость от клиентов или партнеров, приходится соблюдать множество ограничений, например, нельзя платить комиссионные, проводить у клиента аудит ранее чем через 2 года после получения от него каких-либо денег, заниматься консалтингом и т.

Все, что им нельзя делать, подробно перечислено в стандарте ISO Впрочем насчет запрета на оплату комиссионных вознаграждений, была сделана оговорка "we can not pay DIRECT commission". Главная тема - приглашение консультантов вступать в ряды ACP.

Чтобы не нарушить беспристрастности BSI мы, впрочем, не можем более именоваться их партнерами, а должны, если хотим, именоваться Ассоциированными консультантами.

Между прочим, лозунг BSI: Конкурентное преимущество прежнее провозглашенное еще Натальей Горобец: Консультантов BSI будет подвергать оценке на платной основе. Оценка assessment включает в себя: Сергей пообещал, что и с теми, кто не будет участвовать у них отношения не ухудшатся. Основные требования к ACP: Не успевают разгребать жалобы на консультантов, обещающих больше, чем могут сделать и ссылающихся на партнерство с BSI.

Услышал новое для меня определение: Если уж на то пошло, то можно и так: Он говорил о заблуждениях консультантов, основных принципах ISO и препятствиях к сертификации. В частности, ряд консультантов сами не понимают требований и подходов выраженных в стандарте, что выражается в следующем: Также были отмечены следующие препятствия к сертификации: Если бы у нас было также, то это лучшее, что BSI могли бы для нас и для себя сделать. Этот вопрос, как мне показалось, вызвал удивление в аудитории и был переадресован обратно мне.

Отвечая на свой собственный вопрос, я сказал, что вижу достаточно больше количество недостатков и привел в качестве примера отсутствие в стандарте четких и жестких указаний по выбору и определению области действия СУИБ, в результате чего многие ОД и соответствующие им СУИБ , либо являются ничтожными, либо просто неправильно определены.

Нельзя допускать произвольного и необоснованного сужения области действия, по той причине, что на практике сложно себе представить ситуацию, когда СУИБ работает для одного или нескольких бизнес процессов организации в одном или нескольких отделах и не работает в остальной части организации.

Очевидно, что такая СУИБ может существовать только на бумаге, а сертификаты, выданные на такие СУИБ, являются ничтожными и компрометируют всю систему сертификации. Также организация должна определить и документально зафиксировать границы и применимость СМИБ, чтобы установить ее область действия. Высшее руководство должно демонстрировать лидерство и обязательства в отношении системы менеджмента информационной безопасности посредством, например, гарантии того, что информационная политика безопасности и цели в сфере информационной безопасности установлены и согласуются со стратегией организации.

Также высшее руководство должно гарантировать обеспечение всеми необходимыми ресурсами для СМИБ. Другими словами, для работников должно быть очевидным вовлеченность руководства в вопросы информационной безопасности.

Должна быть документально зафиксирована и доведена до сведения работников политика в области информационной безопасности. Этот документ напоминает политику в области качества ISO Он также должен соответствовать назначению организации и включать цели в области информационной безопасности.

Хорошо, если это будут реальные цели, вроде сохранения конфиденциальности и целостности информации. Также от руководства ожидается распределение функций и обязанностей, связанных с информационной безопасностью среди работников. Планируя систему менеджмента информационной безопасности, организация должнапринять во внимание проблемы, упомянутые в разделе 4, а также определить риски и потенциальные возможности, которые необходимо принять во внимание, чтобы гарантировать, что СМИБ может достигать ожидаемых результатов, предотвратить нежелательные эффекты и достигать непрерывного совершенствования.

При планировании, каким образом достигнуть своих целей в области информационной безопасности, организация должна определить:. Кроме того, организация должна сохранять данные по целям в области информационной безопасности как документированную информацию.

Организация должна определить и обеспечить ресурсы, необходимые для разработки, внедрения, поддержания функционирования и непрерывного улучшения СМИБ, это включает в себя как персонал, так и документацию. В отношении персонала от организации ожидается подбор квалифицированных и компетентных работников в области информационной безопасности.

Квалификация работников должна подтверждаться удостоверениями, дипломами и т. Возможно привлечение по контракту сторонних специалистов, либо обучение своих работников. Что касается документации, она должна включать:. Документированной информацией, требуемой СМИБ и Стандартом, необходимо управлять, чтобы гарантировать, что она:. В данном разделе говорится о втором этапе управленческого принципа PDCA - необходимости организации управлять процессамидля обеспечения соответствия требованиям, и выполнять действия, определенные в разделе Планирование.

Также говорится, что организация должна выполнять оценку рисков информационной безопасности через запланированные интервалы времени или когда предложены или произошли существенные изменения. Организация должна сохранять результаты оценки рисков информационной безопасности как документированную информацию. Третий этап — проверка. Организация должна оценивать функционирование и результативность СМИБ. Например, в ней должен проводиться внутренний аудит, чтобы получать информацию о том,.

Разумеется, что объем и сроки проведения аудитов должны планироваться заранее. Все результаты необходимо документировать и сохранять. Суть этого раздела в том, чтобы определить порядок действий при выявлении несоответствия. Организации необходимо исправлять несоответствие, последствия и провести анализ ситуации, чтобы в будущем подобное не происходило. Все несоответствия и корректирующие действия должны документироваться. На этом заканчиваются основные разделы Стандарта.

В Приложении А приводятся более конкретные требования, которым должна соответствовать организация. Например, в плане контроля доступа, пользования мобильных устройств и носителей информации. Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех этапов:.

В стандарте ISO/IEC (ISO ) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Требования" (ISO/IEC "Information technology - Security techniques - Information security management systems - Requirements").  А Оповещение о нарушениях и недостатках информационной безопасности. Цель: Обеспечить оперативность оповещения о событиях информационной безопасности и нарушениях, связанных с информационными системами, а также своевременность корректирующих действий. A International. Standard. Iso/IEC. First edition Information technology — Security techniques — Information security management systems — Requirements.  © ISO/IEC Содержание. Предисловие.

Почему. - Пес его знает. Никогда не задумывался. Метланд усмехнулся, поставил опустевший бокал на украшенный изысканной резьбой столик.

Найдено :

Случайные запросы