© Vadim Grebennikov, 2018
ISBN 978-5-4493-0690-6
Créé dans le système de publication intellectuelle Ridero
1. Normes de gestion de la sécurité de la famille d'informations
1.1. Historique du développement des normes de gestion de la sécurité de l'information
Aujourd'hui, la sécurité de l'espace numérique montre une nouvelle voie de la sécurité nationale de chaque pays. Conformément au rôle d'information comme un produit précieux dans les entreprises, sa défense est définitivement nécessaire. Pour atteindre cet objectif, chaque organisation, en fonction du niveau d'information (du point de vue de la valeur économique), nécessite l'élaboration d'un système de gestion de la sécurité de l'information (ci-après dénommé sous-formes), s'il est possible de protéger ses informations. les atouts.
Dans les organisations, dont l'existence dépend de manière significative des technologies de l'information (ci-après - IT), tous les outils de protection des données peuvent être utilisés. Cependant, la sécurité des informations est nécessaire pour les consommateurs, les partenaires de coopération, d'autres organisations et les gouvernements. À cet égard, protéger des informations précieuses, il est nécessaire que chaque organisation ait cherché à une stratégie une ou une autre et à la mise en œuvre d'un système de sécurité basée sur elle.
La swib fait partie d'un système de gestion global basé sur des tests d'évaluation et de risque, de développer, de mettre en œuvre, de l'analyse administrative, de la surveillance, de l'analyse, de la maintenance et de l'amélioration de la sécurité des informations (ci-après-ib) et de sa mise en œuvre obtenue à partir des fins d'organisation et d'exigences, exigences de sécurité Procédures et tailles utilisées et structure de son organisation.
L'origine des principes et des règles de la direction de l'IB a débuté au Royaume-Uni dans les années 1980. Au cours de ces années, le ministère du Commerce et de l'Industrie du Royaume-Uni (Eng. Département du commerce et de l'industrie, DTI) a organisé un groupe de travail pour développer le cœur des meilleures pratiques pour fournir à l'IB.
En 1989, DTI a publié la première norme dans ce domaine, appelée PD 0003 "Règles pratiques de la gestion IB". Il était une liste d'outils de gestion de la sécurité qui, à l'époque, étaient considérés comme adéquats, normaux et bons, applicables à la fois aux technologies et aux environnements de l'époque. DTI Document a été publié comme document directeur du système de normalisation britannique (Standard britannique, BS).
En 1995, l'Institut britannique des Normes (ENGL. Institution de normalisation britannique, BSI) a adopté la norme nationale BS 7799-1 "Règles pratiques de la gestion de la gestion de la gestion de la gestion de l'IB". Elle a décrit 10 domaines et 127 mécanismes de surveillance nécessaires à la construction de la swib (système de gestion de la sécurité de l'information, ISMS) définie sur la base des meilleurs exemples de la pratique mondiale.
Cette norme est devenue le progéniteur de toutes les sous-normes internationales. Comme toute norme nationale BS 7799, dans la période 1995-2000, utilisée, par exemple, une popularité raisonnable que dans les pays du Commonwealth britannique.
En 1998, la deuxième partie de cette norme est apparue - BS 7799-2 "Swib. Spécification et guide d'application ", qui a déterminé le modèle général de construction d'une swib et d'un ensemble d'exigences obligatoires, qui doivent être certifiés pour la conformité. Avec l'avènement de la deuxième partie du BS 7799, qui déterminait que la SWIB devrait se représenter, a commencé le développement actif du système de certification dans le domaine de la gestion de la sécurité.
À la fin de 1999, des experts de l'Organisation internationale de normalisation (anglais. Organisation internationale de normalisation, ISO) et la Commission électrotechnique internationale (ENG. Commission électrotechnique internationale, CEI) ont conclu que, conformément aux normes existantes, il n'existe aucune norme de gestion IB spécialisée. . En conséquence, il a été décidé de ne pas participer à l'élaboration d'une nouvelle norme et d'accord avec "BSI", en prenant la base de la BS 7799-1 pour adopter la norme internationale de l'ISO / CEI pertinente.
À la fin de 1999, les deux parties du BS 7799 ont été révisées et harmonisées avec des normes internationales des systèmes de gestion de la qualité ISO / CEI 9001 et une écologie ISO / CEI 14001, et un an plus tard sans changement BS 7799-1 a été adoptée comme une internationale. Standard ISO / CEI 17799: 2000 " Informatique (ci-après - it). Règles pratiques de gestion IB. "
En 2002, la première partie de la norme BS 7799-1 (ISO / CEI 17799) a été mise à jour (ISO / CEI 17799) et la deuxième partie du BS 7799-2.
En ce qui concerne la certification officielle de l'ISO / CEI 17799, elle a été fournie à l'origine (une analogie complète avec BS 7799). Seule la certification pour la BS 7799-2 a été fournie, qui a été un certain nombre d'exigences obligatoires (non incluses dans le BS 7799-1) et dans une liste de candidature obligatoire sous condition (à la discrétion du certificateur) des exigences les plus importantes de BS 7799-1 (ISO / IEC 17799).
Dans la CEI du premier pays, qui en novembre 2004 a adopté l'ISO / CEI 17799: 2000 comme national, Biélorussie. La Russie a introduit cette norme uniquement en 2007. La banque centrale de la Fédération de Russie à sa base a créé la norme de gestion de l'IB pour le secteur bancaire de la Fédération de Russie.
L'ISO / CEI pour l'élaboration d'une famille de normes internationales pour la gestion de l'IB est un sous-comité responsable n ° 27, par conséquent, le système de numérotation de cette famille de normes a été adopté à l'aide d'une série de numéros de série, à partir de 27 000 (27k). .
En 2005, le sous-comité SC 27 "Méthodes de protection informatique" du Comité technique IT 1 "IT" ISO / IEC a développé une norme de certification ISO / IEC 27001 ". Méthodes de protection. SOUS. Conditions requises, "remplacée par BS 7799-2 et la certification est désormais effectuée par ISO 27001.
En 2005, ISO / CEI 27002: 2005 «Il a été développé sur la base de l'ISO / CEI 17799: 2000. Méthodes de protection. Code des règles de gestion NORM et IB.
Au début de 2006, un nouveau Sous-Britannique National National National BS 7799-3 "a été adopté. Guide de gestion des risques IB, qui en 2008 a reçu le statut de la norme internationale ISO / IEC 27005 ". Méthodes de protection. IB Gestion des risques.
En 2004, l'Institut britannique des normes a été publié par ISO / IEC TR 18044 ". Méthodes de protection. Gestion des incidents IB. En 2011, une norme ISO / CEI 27035 "" Elle a été développée à sa base. Méthodes de protection. Gestion des incidents IB.
En 2009, la norme ISO / CEI 27000 a été adoptée. SOUS. Vue d'ensemble et terminologie. " Il fournit une vue d'ensemble des systèmes de contrôle IB et définit les termes correspondants. Le dictionnaire des définitions formelles soigneusement formulées couvre la majorité des termes spécialisés associés à IB et utilisés dans les normes ISO / CEI 27.
Le 25 septembre 2013, de nouvelles versions des normes ISO / CEI 27001 et 27002 ont été publiées. À partir de ce point, les normes ISO / CEI 27K (Gestion IB) sont entièrement intégrées aux normes ISO / IEC 20K Series (Gestion des services informatiques). Toute la terminologie de l'ISO / IEC 27001 a été transférée à ISO / CEI 27000, qui détermine l'appareil terminologique général de l'ensemble de la famille ISO / CEI 27K.
1.2. ISO / IEC 27000-2014 Standard
La dernière mise à jour de la norme standard ISO / CEI 27000. SOUS. L'examen global et la terminologie "ont eu lieu le 14 janvier 2014.
La norme comprend les sections suivantes:
- Introduction;
- champ d'application;
- Termes et définitions;
- systèmes de contrôle IB;
- la famille de normes de sous-gamme.
introduction
Aperçu
Les normes du système de gestion international représentent un modèle pour l'établissement et le fonctionnement du système de contrôle. Ce modèle inclut des fonctions pour lesquelles des experts ont atteint un accord sur la base de expérience internationaleaccumulé dans cette zone.
Lors de l'utilisation de la famille SWIB Orb Standard Standards, la famille peut mettre en œuvre et améliorer la swib et se préparer à son évaluation indépendante utilisée pour protéger les informations, telles que des informations financières, une propriété intellectuelle, des informations sur le personnel, ainsi que des informations de confiance des clients ou des tiers. Ces normes peuvent être utilisées par l'organisation pour préparer une évaluation indépendante de sa swib utilisée pour protéger les informations.
Swib Standards Famille
Swib Standards Famille ayant un nom commun "Technologie de l'information. Techniques de sécurité "(Technologies de l'information. Les méthodes de protection) sont destinées à aider les organisations de tout type et de tailles dans la mise en œuvre et le fonctionnement de la swib et se composent des normes internationales suivantes:
- ISO / IEC 27000 SUBB. Aperçu général et terminologie;
- SWIB ISO / IH 27001. Conditions;
- Règles de gestion de la propriété intellectuelle ISO / IEC 27002;
- Manuel de mise en œuvre de l'ISO / IEC 27003;
- WIB ISO / IEC 27004. Des mesures;
- La gestion des risques est / IEC 27005;
- exigences relatives à l'ISO / IH 27006 pour les organes fournissant un audit et une sous-certification;
- Guide d'audit SUIBER ISO / IES 27007;
- Guide d'audit ISO / IES TR 27008 des mécanismes de contrôle IB;
- WIB ISO / IES 27010 pour les communications intersectorielles et inter-organisationnelles;
- ISO / IH 27011 manuel PO WIB pour les organisations de télécommunication basées sur l'ISO / CEI 27002;
- ISO / IES 27013 Manuel PO Mise en œuvre intégrée des normes ISO / CEI 27001 et ISO / CEI 20000;
- est le guide élevé 27014;
- ISO / IES TR 27015 Manuel PO WIB pour les services financiers;
- ISO / IES TR 27016 WIB. Économie organisationnelle;
- Gestion incidente ISO / IE 2035 IB (non spécifiée dans la norme).
Norme internationale qui n'a pas ce nom commun:
- Informatique ISO 27799 dans les soins de santé. WIB Selon ISO / IEC 27002.
But de la norme
La norme fournit une sous-évaluation et définit les conditions pertinentes.
La famille de normes SWIB contient des normes qui:
- définir les exigences en matière de swib et de certification de tels systèmes;
- inclure des directives de l'industrie pour la swib;
- Directives pour évaluer la conformité de la swib.
1. Portée de l'application
La norme fournit un examen de la SWIB, ainsi que des conditions et des définitions qui sont largement utilisées dans la famille des normes SUBB. La norme est applicable à tous les types et tailles d'organisations (par exemple, entreprises commerciales, agences gouvernementales, organisations à but non lucratif).
2. Termes et définitions
La section contient la définition de 89 termes, par exemple:
– système d'Information- applications, services, actifs informatiques et autres composants du traitement de l'information;
– sécurité de l'information (IB)- préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information;
– disponibilité- la propriété accessible et prêt à être utilisée sur demande d'une personne autorisée;
– confidentialité- la propriété d'informations à être inaccessibles ou fermées pour des personnes non autorisées;
– intégrité- propriété de précision et de complétude;
– mauvaise qualité- la capacité de certifier la survenue d'un événement ou d'une action et de la création de subit;
– Événement IB - l'état identifié du système (service ou réseau) indiquant une violation éventuelle des politiques ou des mesures de la BI, ou avant la situation inconnue pouvant être liée à la sécurité;
– incident ib - un ou plusieurs événements de l'IB, qui ont un degré de probabilité significatif au compromis des opérations commerciales et de créer des menaces pour l'IB;
– gestion des incidentsIb - les processus de détection, d'alertes, d'évaluations, de réponse, de considération et d'étude des incidents de l'IB;
– système de contrôle - un ensemble d'éléments interdépendants de l'organisation pour établir des politiques, des objectifs et des processus pour atteindre ces objectifs;
– surveillance- détermination de l'état du système, du processus ou de l'action;
– politique - l'intention globale et la direction, officiellement exprimée par le leadership;
– risque - l'effet de l'incertitude aux fins;
– une menace – raison possible un incident indésirable pouvant causer des dommages;
– vulnérabilité - Manque d'actifs ou de mesures de protection pouvant être utilisées par une ou plusieurs menaces.
3. Systèmes de gestion IB
La section Swib se compose des éléments principaux suivants:
- Description de la swib;
- mise en œuvre, contrôle, soutien et amélioration du sous-gamme;
- Avantages de la mise en œuvre des normes de la famille SWIB.
3.1. introduction
Organisations de tous types et tailles:
- collecter, traiter, stocké et transmettre des informations;
- se rendre compte que les informations et les processus associés, les systèmes, les réseaux et les personnes sont des actifs importants pour atteindre les objectifs de l'organisation;
- face à un certain nombre de risques pouvant affecter le fonctionnement des actifs;
- Éliminer le risque envisagé par l'introduction de mesures et de fonds IB.
Toutes les informations, stockées et traitées par l'organisation, sont un objet de menaces pour attaquer, erreurs, nature (par exemple, un incendie ou une inondation), etc. et l'objet des vulnérabilités inhérentes à son utilisation.
Habituellement, le concept de IB est basé sur des informations raisonnables comme ayant une valeur d'actif de valeur et nécessite une protection pertinente (par exemple, de la perte de disponibilité, de la confidentialité et de l'intégrité). La capacité d'obtenir un accès rapide aux personnes autorisées à des informations précises et complètes est un catalyseur d'efficacité commerciale.
La protection efficace des actifs d'information en définissant, créant, entretenir et améliorer l'IB est une condition préalable à l'organisation de ses objectifs, ainsi que de maintenir et d'améliorer la conformité et la réputation juridiques. Ces actions coordonnées visant à introduire des mesures de protection appropriées et la gestion des risques inacceptables de l'IB sont bien connus sous le nom de contrôles IB.
Comme IB risque de changer et de l'efficacité des mesures de protection, en fonction de l'évolution des circonstances, l'organisation devrait:
- surveiller et évaluer l'efficacité des mesures et des procédures de protection mises en œuvre;
- identifier les risques liés à la transformation;
- Choisissez, mettez en œuvre et améliorer les mesures de protection appropriées correctement.
Pour l'interconnexion et la coordination de l'action, l'IB de chaque organisation devrait former des politiques et des objectifs de l'IB et réaliser efficacement ces objectifs à l'aide du système de gestion.
3.2. Description Sub.
Description Swib fournit les composants suivants:
- Dispositions et principes;
- informations;
- Sécurité de l'information;
- la gestion;
- Système de contrôle;
- approche de processus;
- l'importance de Subb.
Dispositions et principes
La swib se compose de politiques, de procédures, de manuels et de ressources et d'actions pertinentes, gérées collectivement par l'organisation, afin d'obtenir la protection de ses actifs d'information. La swib définit une approche systématique de la création, de la mise en œuvre, du traitement, du contrôle, de la révision, de l'accompagnement et de l'amélioration de l'organisation de l'IB pour atteindre les objectifs commerciaux.
Il repose sur l'évaluation des risques et les niveaux de risque acceptables d'organisations élaborés pour une gestion efficace et une gestion des risques. Analyse des exigences de la protection des actifs d'information et de l'application de mesures de protection appropriées pour assurer la protection nécessaire de ces actifs, contribue à la mise en œuvre réussie du SUBB.
Les principes de base suivants contribuent à la réussite de la swib:
- compréhension de la nécessité du système IB;
- Nomination de la responsabilité de l'IB;
- combinant les obligations du leadership et des intérêts des personnes intéressées;
- augmenter les valeurs sociales;
- évaluations des risques qui déterminent les mesures de protection appropriées pour atteindre des niveaux de risque admissibles;
- la sécurité en tant qu'élément intégré de la propriété intellectuelle et des réseaux;
- Avertissement actif et identification des incidents IB;
- assurer une approche intégrée de WIB;
- réévaluation continue et amélioration correspondante de l'IB.
Informations
L'information est un atout qui, avec d'autres actifs commerciaux importants, est important pour les activités de l'organisation et, par conséquent, doit être protégée en conséquence. Les informations peuvent être stockées sous différentes formes, notamment une forme numérique (par exemple, des fichiers de données stockés sur électronique ou média optique), forme matérielle (par exemple, sur papier), ainsi que sous forme intangible sous forme de connaissance des employés.
Les informations peuvent être transférées différentes façons, Y compris la communication de messagerie, électronique ou vocale. Indépendamment de la forme, des informations sont présentées et quelle méthode est transmise, elle doit être correctement protégée.
Dans de nombreuses organisations, les informations dépendent des technologies de l'information et de la communication. Cette technologie est un élément essentiel de toute organisation et facilite la création, le traitement, le stockage, la transmission, la protection et la destruction des informations.
Sécurité de l'information
IB comprend trois mesures de base (propriétés): confidentialité, disponibilité et intégrité. L'IB prévoit la demande et la gestion des mesures de sécurité pertinentes, notamment l'examen d'un large éventail de menaces, afin de garantir le succès et la continuité des entreprises à long terme et de minimiser les influences des incidents IB.
L'IB est réalisée en appliquant l'ensemble des mesures de protection appropriées définies à l'aide du processus de gestion des risques et gérée à l'aide de la SWIB, y compris des politiques, des processus, des procédures, des structures organisationnelles, des logiciels et du matériel pour protéger les actifs d'information identifiés.
Ces mesures de protection doivent être définies, mises en œuvre, sont contrôlées, vérifiées et, si nécessaire, améliorées pour s'assurer que le niveau de l'IB répond aux objectifs commerciaux de l'organisation. Les mesures et fonds pertinents de l'IB devraient être organiquement intégrés aux processus métier de l'organisation.
Contrôler
La direction comprend des actions en leadership, le contrôle et l'amélioration continue de l'organisation dans le cadre des structures concernées. Les activités de gestion comprennent des actions, des méthodes ou des pratiques de formation, de transformation, de directions, d'observation et de contrôle des ressources. L'ampleur de la structure de gestion peut varier d'une personne dans les petites organisations à la hiérarchie de la gestion dans de grandes organisations composées de nombreuses personnes.
En ce qui concerne la gestion de la sous-g, la gestion comprend l'observation et le développement de solutions nécessaires pour atteindre les objectifs commerciaux grâce à la protection des actifs d'information. Le Bureau de l'IB est exprimé par la formulation et l'utilisation des politiques, procédures et recommandations de l'IB, qui sont ensuite appliquées partout dans l'organisation par toutes les personnes qui y sont liées.
Système de contrôle
Le système de gestion utilise une totalité de ressources pour atteindre les objectifs de l'organisation. Le système de gestion de l'organisation comprend une structure, des politiques, une planification, des engagements, des méthodes, des procédures, des processus et des ressources.
En partie du système de contrôle IB permet aux organisations:
- répondre aux exigences de sécurité des clients et aux autres parties intéressées;
- améliorer les plans et les activités de l'organisation;
- répondre aux objectifs de l'organisation de l'IB;
- remplir les normes, la législation et les ordonnances sectorielles;
- Il est organisé pour gérer les actifs d'information afin de faciliter l'amélioration continue et la correction des objectifs actuels de l'organisation.
3.3. Approche de processus
Les organisations doivent effectuer différentes activités et les gérer afin de fonctionner efficacement et efficacement. Tout type d'activité utilisant des ressources doit être géré afin de garantir la possibilité de convertir les intrants en sorties au moyen d'un ensemble d'actions interconnectées, elle s'appelle également le processus.
La sortie d'un processus peut directement former l'entrée du processus suivant et généralement une telle transformation se produit dans les conditions planifiées et gérées. L'utilisation du système de processus au sein de l'organisation ainsi que l'identification et l'interaction de ces processus, ainsi que leur gestion peuvent être définies comme une "approche de processus".
Informations Complémentaires (absent dans la norme)
L'enquêteur de l'approche de processus de la gestion de la qualité est supposé être un scientifique américain Walter Shukhart. Son livre commence par la répartition de 3 étapes dans gestion de la qualité des activités de l'organisation:
1) le développement de la spécification (spécifications techniques, conditions techniques, critères de réalisation des objectifs) de ce qui est requis;
2) la production de produits satisfaisant des spécifications;
3) Vérifiez (contrôle) Produits fabriqués pour évaluer sa spécification de conformité.
Shukhart l'un des premiers suggéra une perception linéaire de ces étapes à proximité du cycle, qu'il a identifié avec le "processus dynamique d'acquérir des connaissances".
Après le premier cycle, les résultats des tests doivent être la base d'amélioration de la spécification du produit. Ensuite, le processus de production est ajusté sur la base de la spécification mise à jour et le nouveau résultat du processus de production est à nouveau inspecté, etc.
Le scientifique américain Edwards Deming a transformé le cycle de Shujhart dans la forme la plus courante aujourd'hui. Il doit passer du contrôle de la qualité à la gestion de la qualité, a donné des noms plus généraux à chacune des étapes et, de plus, a ajouté une autre, la 4ème étape, avec l'aide qu'il souhaitait attirer l'attention des gestionnaires américains au fait que Ils analysent insuffisamment le reçu dans la troisième étape, les informations et n'améliorent pas le processus. C'est pourquoi cette étape s'appelle «Impact» (ACT), et, par conséquent, le cycle de Shukhart-Deming s'appelle le modèle PDCA ou PDSA:
– Plan. – Planification - identification et analyse des problèmes; Évaluation des opportunités, établir des objectifs et le développement des plans;
– Fais. – Ventes - trouver des problèmes de résolution et des plans d'exécution;
– Chèque (étude) – Évaluation de la performance - évaluation des résultats de la mise en œuvre et des conclusions conformément à la tâche;
– Acte.– Amélioration - prise de décision basée sur les conclusions obtenues, la correction et l'amélioration des travaux.
Modèle "PDCA" pour subb
Planification - Mise en œuvre - Contrôle - Amélioration
1. Planification (conception et conception): Établir des objectifs, des politiques, des contrôles, des processus et des procédures SUIBER pour obtenir des résultats correspondant aux politiques générales et aux objectifs de l'organisation.
2. Mise en œuvre (mise en œuvre et assurant le fonctionnement): Mise en œuvre et application des politiques, des contrôles, des processus et des procédures de SUIBE de la BII d'évaluation et de traitement des risques et des incidents IB.
3. Contrôle (surveillance et analyse du fonctionnement): Évaluation de la performance de la réalisation des politiques, des objectifs de l'IB et de l'efficacité du fonctionnement de la swib et du leadership d'alerte sur les résultats.
4. Amélioration (maintenance et amélioration): Effectuer des actions correctives et préventives basées sur les résultats de l'audit et de l'analyse par le leadership pour améliorer le sous-gamme
La méthode et le cycle de Shuchhart-Deming, qui est plus souvent appelé le cycle de déming, illustrent généralement le circuit de contrôle dans tout processus d'activité. Il a été largement utilisé avec les clarifications nécessaires à ce jour dans les normes de gestion internationales:
- Qualité des produits ISO 9000;
- Protection de l'environnement ISO 14000;
- protection de la sécurité et de la protection du travail OHSAS 18000;
– services d'information ISO / CEI 20 000;
- sécurité alimentaire ISO 22000;
- Sécurité de l'information ISO / CEI 27000;
- sécurité ISO 28000;
- continuité des affaires ISO 22300;
- risques ISO 31000;
- Energie ISO 50 000.
3.4. L'importance de SUB.
Les organisations devraient déterminer les risques liés aux actifs d'information. La réalisation de l'IB nécessite une gestion des risques et englobe les risques physiques, humains et technologiques liés aux menaces relatives à toutes les formes d'informations au sein de l'organisation ou utilisées par l'organisation.
L'adoption de la swib est une solution stratégique pour l'organisation et il est nécessaire que cette décision soit constamment intégrée, a été estimée et mise à jour conformément aux besoins de l'organisation.
Le développement et la mise en œuvre de l'organisation SWIB sont influencés par les besoins et objectifs de l'organisation, les exigences de sécurité utilisées par les processus métier, ainsi que la taille et la structure de l'organisation. Le développement et le fonctionnement de la swib devraient refléter les intérêts et les exigences de l'IB de toutes les parties intéressées à l'organisation, y compris les clients, les fournisseurs, les partenaires commerciaux, les actionnaires et d'autres tiers.
Dans le monde interconnecté, les informations et les processus associés, les systèmes et les réseaux constituent des actifs critiques. Les organisations et leur propriété intellectuelle et de leurs réseaux sont confrontés à des menaces de sécurité à partir d'un large éventail de sources, notamment une fraude informatique, un espionnage, un sabotage, un vandalisme et un incendie et des inondations. Les dommages causés à la propriété intellectuelle et aux systèmes causés par des logiciels malveillants, les actions des hackers et des attaques DOS sont devenues plus courantes, plus grandes et plus sophistiquées.
La swib est importante pour les entreprises comme un État, donc le secteur privé. Dans toute industrie, SWIB est un outil nécessaire pour maintenir les affaires électroniques et est important pour la gestion des risques. La relation entre les réseaux publics et les réseaux privés et les actifs d'information compliquent le contrôle d'accès à l'information et au traitement.
De plus, la distribution des dispositifs de stockage de données mobiles contenant des actifs d'information peut affaiblir l'efficacité des mesures de protection traditionnelles. Lorsque les organisations reçoivent une famille de sous-normes, la capacité d'appliquer des principes consécutifs et dictés d'IB peut être démontrée aux partenaires commerciaux et aux autres parties intéressées.
IB n'est pas toujours pris en compte lors de la création et du développement de la propriété intellectuelle. En outre, on pense souvent que l'IB est problème technique. Cependant, l'IB, qui peut être obtenue avec l'aide de moyens techniques, est limitée et peut être inefficace, ne pas être appuyée par la gestion et les procédures appropriées dans le contexte de la swib. L'intégration d'un système de sécurité en IP complété fonctionnelle peut être complexe et coûteux.
La swib inclut l'identification des mesures de protection existantes et nécessite une planification et une attention particulière aux détails. Par exemple, les mesures d'accès à la démarcation pouvant être techniques (logiques), physiques, administratives (gestionnaires) ou les combinaison, garantissent que l'accès aux actifs d'information est autorisé et limité sur la base des exigences commerciales et de l'IB.
L'utilisation réussie de la swib est importante pour protéger les actifs d'information, car elle permet:
- augmenter les garanties que les actifs d'information sont correctement protégés sur une base continue sur les menaces de l'IB;
- maintenir un système structuré et complet pour évaluer les menaces de la BI, le choix et l'application de mesures appropriées de protection, de mesure et d'amélioration de leur efficacité;
- améliorer constamment l'environnement de gestion de l'organisation;
- se conformer efficacement aux exigences légales et réglementaires.
3.5 Mise en œuvre, contrôle, accompagnement et amélioration de sunib
La mise en œuvre, le contrôle, l'assistance et l'amélioration de la swib sont les étapes opérationnelles du développement de Subb.
Les étapes opérationnelles des sous-titres déterminent les composants suivants:
- exigences de l'IB;
- Facteurs de réussite décisifs Subb.
Les étapes opérationnelles de la swib fournissent les activités suivantes:
- évaluation des risques de l'IB;
- Traitement des risques IB;
- sélection et mise en œuvre de mesures de protection;
- contrôle et maintenance de la swib;
- Amélioration continue.
Dispositions générales
L'organisation doit prendre les mesures suivantes pour introduire, contrôler, accompagner et améliorer sa swib:
- définition des actifs de l'information et exigences de la BB connexes;
- évaluation et traitement des risques IB;
- le choix et la mise en œuvre de mesures de protection appropriées pour gérer les risques inacceptables;
- Contrôle, soutien et amélioration de l'efficacité des mesures de protection liées aux actifs d'information de l'organisation.
Pour garantir que la sous-garantie protège efficacement les actifs d'information de manière continue, il est nécessaire de répéter constamment toutes les étapes pour identifier les variations des risques ou de la stratégie ou des objectifs commerciaux de l'organisation.
Exigences IB
Dans la stratégie globale et les objectifs commerciaux de l'organisation, de sa taille et de sa diffusion géographique, l'exigence de l'IB peut être déterminée à la suite de la compréhension:
- des actifs d'information et leurs valeurs;
- Besoins commerciaux pour travailler avec des informations;
- Exigences légales, réglementaires et contractuelles.
Réaliser une évaluation méthodologique des risques liés aux actifs d'information de l'organisation comprend une analyse:
- menaces à l'actif;
- vulnérabilités d'actifs;
- probabilités de matérialisation de la menace;
- Influence possible de l'incident IB sur les actifs.
Les coûts des mesures de protection pertinentes devraient être proportionnels à l'influence de l'entreprise envisagée sur la matérialisation des risques.
Évaluation des risques de l'IB
La gestion des risques IB nécessite une méthode d'évaluation et de traitement des risques appropriée, qui peut inclure l'évaluation des coûts et des avantages, des exigences légales, des problèmes des parties prenantes et d'autres variables d'entrée et de données.
Les évaluations des risques doivent être identifiées, mesurer et établir des priorités pour les risques, en tenant compte des risques et de l'organisation. Les résultats aideront à développer et à adopter des décisions de gestion pertinentes en matière d'action et d'établir des priorités pour la gestion des risques de la BI et la mise en œuvre des mesures de protection choisies pour protéger ces risques.
L'évaluation des risques devrait inclure une approche systématique de l'évaluation des risques (analyse des risques) et le processus de comparaison des risques estimés avec critère de risque pour déterminer la gravité des risques (évaluation des risques).
Les évaluations des risques devraient être effectuées périodiquement pour apporter des modifications aux exigences des IB et des situations de risque, par exemple dans les actifs, les menaces, les vulnérabilités, les influences, l'évaluation des risques et dans le cas de changements importants. Ces évaluations de risque devraient être effectuées méthodiquement pour assurer des résultats comparables et reproductibles.
L'évaluation des risques de l'IB devrait clairement définir le champ d'application de la demande d'efficacité et contenir des interactions avec les évaluations des risques dans d'autres domaines, si possible.
La norme ISO / CEI 27005 présente un guide de gestion des risques de l'IB, notamment des recommandations d'évaluation, de traitement, d'adoption, de notation, de suivi et d'analyse des risques.
Traitement des risques IB
Avant l'examen du traitement des risques, il est nécessaire d'établir un critère de détermination, vous pouvez prendre des risques ou non. Les risques peuvent être adoptés si le risque est faible ou le prix de traitement n'est pas rentable pour l'organisation. De telles solutions doivent être enregistrées.
Pour chaque risque défini par l'évaluation des risques, il est nécessaire de décider de son traitement. Options possibles Le traitement des risques comprend:
- appliquer des mesures de protection appropriées pour réduire les risques;
- risques conscients et objectifs dans la stricte conformité avec les politiques et critères de risque de l'organisation;
- prévention des risques en éliminant les actions menant à l'émergence de risques;
- Échange de risques connexes avec d'autres parties, tels que des assureurs ou des fournisseurs.
Mesures pertinentes pour protéger contre ces risques pour lesquels la décision a été prise sur leur demande afin de traiter les risques, ils peuvent être sélectionnés et mis en œuvre.
Sélection et mise en œuvre de mesures de protection
Promouvoir la sensibilisation des employés
Un facteur important dans la mise en œuvre effective de ces principes est un cycle contraignant d'activités garantissant que la gestion de la sécurité de l'information est constamment destinée aux risques actuels. Il est important que la gestion la plus élevée de l'organisation reconnaisse la présence de risques de violation des processus opérationnels liés à la sécurité des systèmes d'information. La base de l'élaboration et de la mise en œuvre des politiques et de choisir les moyens de contrôle nécessaires est d'évaluer les risques d'applications professionnelles individuelles. Les mesures prises augmenteront la prise de conscience des utilisateurs des risques et des politiques pertinentes. L'efficacité des contrôles est soumise à une évaluation grâce à diverses études et contrôles d'audit. Les résultats obtenus fournissent une approche de l'évaluation des risques ultérieurs et de déterminer les modifications nécessaires des politiques et des contrôles. Toutes ces actions sont coordonnées de manière centralisée par le service de sécurité ou le personnel composé de consultants, de représentants d'unités d'affaires et de gestion de l'organisation. Le cycle de gestion des risques est illustré sur la photo.
Méthodes de mise en œuvre du programme de sécurité de l'information
Les seize méthodes suivantes utilisées pour mettre en œuvre les cinq principes de gestion des risques sont détectées dans l'illustration suivante. Ces méthodes sont essentielles à la mise en œuvre effective du programme de sécurité de l'information de l'organisation.
Risque et déterminer les besoins
L'évaluation des risques est la première étape de la mise en œuvre de programmes de sécurité de l'information. La sécurité n'est pas considérée en soi, mais comme un ensemble de politiques et de contrôles connexes destinés à fournir des processus opérationnels et à réduire les risques pertinents. Ainsi, la définition des risques d'entreprise associée à la sécurité des informations est le point de départ du cycle de gestion des risques (sécurité de l'information).
Reconnaître les ressources d'information comme un actif important (intégral) de l'organisation
Reconnaissance des risques de sécurité de l'information par la gestion de l'organisation, ainsi qu'un ensemble de mesures visant à identifier et à gérer ces risques constitue un facteur important dans le développement du programme de sécurité de l'information. Cette approche de gestion garantira que la sécurité de l'information est sérieusement envisagée à des niveaux d'organisation inférieurs de l'organisation et des spécialistes de la sécurité de l'information sont fournis par les ressources nécessaires à la mise en œuvre effective du programme.
Élaborer des procédures d'évaluation des risques pratiques reliant la sécurité et les exigences commerciales
Il existe diverses méthodologies d'évaluation des risques, allant de la discussion sur les risques informels et se terminant par des méthodes suffisamment complexes prévoyant l'utilisation de logiciels spécialisés. Toutefois, l'expérience globale des procédures de gestion des risques réussies décrit un processus relativement simple, impliquant la participation de diverses divisions d'organisations financières à la participation de spécialistes de la connaissance des processus opérationnels, des spécialistes techniques et des spécialistes dans le domaine de la protection de l'information.
Il convient de souligner que la compréhension des risques ne prévoit pas de détermination quantitative précise, y compris la probabilité de l'incident ou du coût des dommages. Ces données ne sont pas disponibles, car les pertes ne peuvent être détectées et la gestion n'est pas informée. De plus, des données sur le coût total pour éliminer les dommages causés par des mécanismes de contrôle de la sécurité isième, ainsi que la valeur de fonctionnement de ces mécanismes (mécanismes de contrôle) sont limités. En raison des changements en pointillés de la technologie, ainsi que des logiciels et des outils disponibles pour les intrus, l'utilisation de données statistiques collectées au cours des années précédentes est douteuse. En conséquence, il est difficile de comparer généralement avec précision le coût de contrôle du risque de perte afin de déterminer quels moyens de contrôle sont les plus rentables. Dans tous les cas, les gestionnaires d'unités d'entreprise et les spécialistes de la sécurité de l'information doivent compléter les informations les plus complètes à leur disposition lorsqu'ils prennent une décision sur le choix des moyens (méthodes) de contrôle nécessaires.
Établir la responsabilité des gestionnaires des unités d'affaires et des gestionnaires impliqués dans le programme de sécurité
Les gestionnaires d'une unité commerciale devraient assumer la responsabilité principale de déterminer le niveau de sécurité (confidentialité) des ressources d'information fournissant des processus opérationnels. Ce sont les gestionnaires des unités d'affaires dans la plus grande mesure peuvent déterminer lequel de ressources d'information Il est le plus critique, ainsi qu'un impact possible sur l'entreprise, en cas de violation de son intégrité, de sa confidentialité ou de son accessibilité. En outre, les gestionnaires d'unités commerciales peuvent indiquer des contrôles (mécanismes) des contrôles nocifs pour les processus métier. Ainsi, les attirer à la sélection des contrôles peut être garanti que les contrôles sont satisfaits des exigences et seront mis en œuvre avec succès.
Gérer en permanence les risques
La sécurité de l'information devrait accorder une attention constante pour assurer l'adéquation et l'efficacité des contrôles. Comme indiqué précédemment, des informations modernes et des technologies connexes, ainsi que des facteurs relatifs à la sécurité de l'information, changent constamment. Ces facteurs comprennent des menaces, des configurations technologiques et des systèmes, des vulnérabilités connues dans des logiciels, le niveau de fiabilité des systèmes automatisés et des données électroniques, la criticité des données et des opérations.
Installer la gestion centralisée
Le groupe de pilotage est principalement dans le rôle d'un conseiller ou d'un consultant des unités commerciales et ne peut imposer de méthodes (fonds) de la sécurité de l'information.
Définir un groupe de guidage pour effectuer des actions clés
En général, le groupe directeur devrait être (1) un catalyseur (accélérateur) d'un processus garantissant que les risques de sécurité de l'information sont considérés comme en continu; (2) la ressource de consultation centrale pour les parts d'organisations; (3) Les moyens de porter à l'organisation d'informations sur l'état de la sécurité de l'information et des mesures prises. En outre, le groupe de pilotage permet de gérer centralement de gérer les tâches, sinon ces tâches peuvent être dupliquées par diverses divisions de l'organisation.
Fournir un accès simple et indépendant sterelectant à la plus haute gestion de l'organisation
Notez la nécessité de discuter des problèmes de sécurité de l'information par les gestionnaires groupe de pilotage Avec la plus haute gestion de l'organisation. Un tel dialogue permettra d'agir efficacement et d'éviter les désaccords. Sinon, les situations de conflit sont possibles avec des gestionnaires d'unités d'affaires et des développeurs de systèmes qui souhaitaient l'introduction rapide de nouveaux produits logicielsEt, par conséquent, contestant l'utilisation de contrôles pouvant entraver l'efficacité et le confort de travailler avec des logiciels. Ainsi, la possibilité de discuter des problèmes de sécurité de l'information au plus haut niveau sera en mesure de garantir une compréhension complète des risques et de leur admissibilité avant de prendre des décisions finales.
Déterminez et sortez le budget et le personnel
Le budget permettra de planifier et d'établir les objectifs du programme de sécurité de l'information. Au minimum, le budget comprend le salaire des employés et les coûts de formation. Le numéro de personnel du groupe de pilotage (divisions de sécurité) peut varier et envier à la fois les objectifs fixés et des projets à l'étude. Comme indiqué précédemment, les spécialistes techniques et les unités d'affaires peuvent être attirés pour travailler dans le groupe.
Soulever le professionnalisme et la connaissance technique des employés
Les employés de l'organisation devraient participer à divers aspects du programme de sécurité de l'information et avoir des compétences et des connaissances appropriées. Le niveau requis de professionnalisme des employés peut être atteint avec l'aide de formations, qui peuvent être effectuées à la fois par les spécialistes de l'organisation et des consultants externes.
Mettre en œuvre les politiques nécessaires et les contrôles appropriés
Les politiques de sécurité de l'information constituent la base de l'adoption de certaines procédures et du choix des moyens (mécanismes de contrôle). Politique - Le principal mécanisme par lequel la direction apporte son opinion et ses exigences aux employés, aux clients et aux partenaires commerciaux. Pour la sécurité de l'information, en ce qui concerne les autres domaines de contrôle interne, les politiques dépendent directement des résultats de l'évaluation des risques.
Établir la relation entre les politiques et les risques d'entreprise
Un ensemble complet de politiques adéquates disponibles et des utilisateurs compréhensibles est l'une des premières étapes de la création d'un programme de sécurité de l'information. Il convient de souligner l'importance des politiques d'appui continu (ajustement) pour une réponse rapide aux risques révélés et des désaccords possibles.
Établir des différences entre les politiques et les directives
L'approche générale de la création de politiques de sécurité de l'information devrait inclure (1) des politiques brèves (concises) haut niveau et (2) plus des informations détailléesprésenté dans des directives et des normes pratiques. Les politiciens fournissent des exigences de base et obligatoires adoptées par la gestion la plus élevée. Bien que les guides pratiques ne soient pas obligatoires pour toutes les unités d'affaires. Cette approche permet la gestion la plus élevée de se concentrer sur les éléments de sécurité de l'information les plus importants, ainsi que de donner la possibilité de manœuvrer des gestionnaires d'unités commerciales, de faire des politiques faciles à comprendre les employés.
Assurer des politiques d'accompagnement par le groupe de pilotage
Le groupe de pilotage devrait être chargé de développer les politiques de sécurité des informations de l'organisation en coopération avec des unités commerciales, des auditeurs internes et des avocats. En outre, le groupe directeur devrait fournir les explications nécessaires et fournir des réponses aux questions des utilisateurs. Cela contribuera à régler et à prévenir les malentendus, ainsi que de prendre les mesures nécessaires non prévues par les politiciens (directives).
Les politiciens devraient être mis à disposition, afin que les utilisateurs puissent accéder à leurs versions actuelles si nécessaire. Les utilisateurs doivent signer qu'ils connaissent bien les politiciens avant de leur fournir un accès aux ressources d'information de l'organisation. Si l'utilisateur est impliqué dans l'incident de sécurité, cet accord va expulser le fait qu'il a été informé de la politique de l'organisation, ainsi que de sanctions possibles, en cas de violation.
Promotion de la sensibilisation
La compétence des utilisateurs est une condition préalable à la sécurité de l'information réussie et vous permet également de vous assurer que les contrôles fonctionnent correctement. Les utilisateurs ne peuvent pas suivre les politiques qu'ils ne connaissent pas ou ne comprennent pas. Ne sachant pas les risques liés aux ressources d'information de l'organisation, ils ne peuvent pas voir la nécessité de prendre des politiques élaborées pour réduire les risques.
Formation continue des utilisateurs et d'autres employés sur l'exemple des risques et des politiques pertinentes
Le premier groupe devrait fournir une stratégie de formation continue des employés, d'une manière ou d'une autre pour influencer la sécurité de l'information de l'organisation. Le groupe devrait se concentrer sur la compréhension universelle des risques liés aux informations traitées dans l'organisation, ainsi que des politiques et des méthodes (moyens) du contrôle visant à réduire ces risques.
Utiliser une approche conviviale
Le groupe de premier plan devrait utiliser une variété de méthodes d'apprentissage et de promotion (stimulation) pour rendre la politique de l'organisation disponible et former les utilisateurs. Il convient d'éviter des réunions une fois par an avec tous les employés de l'organisation, en face de la formation, vaut mieux dépenser en petits groupes d'employés.
Contrôler et évaluer l'efficacité des politiques et des mécanismes de contrôle
Comme tout type d'activité, la sécurité des informations est soumise à un contrôle et à une réévaluation périodique pour assurer l'adéquation (conformité) des politiques et des moyens (méthodes) des objectifs de contrôle.
Facteurs de contrôle affectant les risques et indiquant l'efficacité de la sécurité des informations
Le contrôle devrait être centralisé principalement sur (1) la présence de moyens et méthodes de contrôle et leur utilisation visant à réduire les risques et (2) évaluer l'efficacité des politiques de programme et de sécurité de l'information qui améliorent la compréhension des utilisateurs et réduisent le nombre de incidents. Ces inspections prévoient des outils de contrôle (méthodes) de contrôle, évaluant leur conformité avec les politiciens de l'organisation, l'analyse des incidents de sécurité, ainsi que d'autres indicateurs de l'efficacité du programme de sécurité de l'information. L'efficacité du groupe de pilotage peut être appréciée, fondée sur, par exemple, dans les indicateurs suivants (mais sans limiter):
- nombre de formations et de réunions;
- nombre d'évaluations de risque (risques);
- nombre de spécialistes certifiés;
- le manque d'incidents qui rendent le travail des employés de l'organisation;
- réduire le nombre de nouveaux projets mis en œuvre avec des retards dus aux problèmes de sécurité de l'information;
- conformité totale ou écarts coordonnés et enregistrés des exigences minimales de sécurité de l'information;
- réduire le nombre d'incidents entraînant un accès, une perte ou une distorsion non autorisés d'informations.
Utilisez les résultats obtenus pour coordonner les efforts futurs et accroître la responsabilité de la gestion
Le contrôle vous permet certainement de vous organiser conformément aux stratégies de sécurité des informations adoptées, mais les avantages du contrôle total ne seront pas atteints si les résultats ne sont pas utilisés pour améliorer le programme de sécurité de l'information. L'analyse des résultats du contrôle fournit des spécialistes dans le domaine de la sécurité et des gestionnaires de l'information des unités commerciales (1) de la réévaluation des risques précédemment identifiés, (2) identifiant de nouveaux problèmes, (3) réévaluer l'adéquation et la pertinence des moyens et des méthodes de contrôle existants ( gestion) et action pour assurer la sécurité des informations, (4) les définitions des besoins dans les nouveaux moyens et les nouveaux mécanismes de contrôle, (5) les efforts de contrôle de la transmission (contrôler les actions). En outre, les résultats peuvent être utilisés pour évaluer les activités des responsables d'entreprise responsables de la compréhension et de la réduction des risques dans les unités commerciales.
Suivre de nouvelles méthodes et commandes
Il est important de veiller à ce que (1) des professionnels de la sécurité de l'information ne soit pas à la traîne des méthodes et des outils développés (applications) et de disposer des dernières informations sur la vulnérabilité des systèmes et des applications d'information, (2) la gestion la plus élevée garantit qu'il a pour cela ressources nécessaires.
Amis! Nous vous invitons à discuter. Si vous avez votre propre opinion, envoyez-nous un courriel dans les commentaires.
La sécurité de l'information est l'un des aspects les plus importants de la mise en œuvre de la propriété intellectuelle. D'une part, l'information d'information crée son soutien inestimable, mais d'autre part, la direction s'inscrit en dépendance directe sur le niveau de sécurité de l'information de la propriété intellectuelle.
La sécurité d'information fait référence à la sécurité des informations et à l'infrastructure de soutien provenant d'impacts aléatoires ou délibérés (attaques) semés d'endommagement des propriétaires ou des utilisateurs d'informations et d'infrastructures de soutien.
Les objets d'empiétements peuvent être les moyens techniques qui sont des objets de matériaux, ainsi que des logiciels et des bases de données.
La gestion de la sécurité de l'information est un processus global et comprenant un certain nombre de mesures techniques, organisationnelles et juridiques à enregistrer dans les politiques de sécurité des sociétés.
Les mesures techniques peuvent être attribuées à:
· Protection contre l'accès non autorisé au système,
· Réservation de sous-systèmes particulièrement importants,
· Organisation réseaux informatiques avec la possibilité de répartition des ressources en cas de violation de la performance des unités individuelles,
· Installation d'équipement pour détecter et extinction d'incendies,
· Utilisez des mesures structurelles pour protéger contre le vol, le sabotage, le sabotage, les explosions,
· Installation des systèmes d'alimentation,
· Équipement de locaux avec serrures,
· Distinction physique de l'accès au personnel d'accès,
· Installation de systèmes de signalisation, etc.
Les mesures d'organisation comprennent:
· Protection des systèmes d'information,
· Recrutement soigné,
· Exception des cas de conduite des travaux particulièrement importants avec une seule personne,
· La présence d'un plan de restauration de la performance du système après son échec,
· L'organisation et la maintenance des entreprises informatiques de personnes non autorisées qui ne sont pas intéressées à dissimuler les faits de violation de ses travaux,
· Universality of Protection Outils pour tous les utilisateurs (y compris la gestion supérieure),
· Séparation de l'autorité dans l'accès aux données
· La responsabilité imposée aux personnes qui devraient assurer la sécurité de l'informatique de la société.
Les mesures juridiques devraient inclure l'élaboration de normes établissant la responsabilité des crimes informatiques, la protection du droit d'auteur, l'amélioration de la législation dans le domaine des technologies de l'information.
La renommée de plus en plus lorsque vous construisez systèmes d'entreprise Gestion de la sécurité de l'information (SWIB) conquiert la norme internationale ISO / CEI 27001: 2005 "Technologie de l'information. Méthodes de sécurité. Systèmes de gestion de la sécurité de l'information. Les exigences », conformément à quelles entreprises peuvent formaliser et structurer les processus de gestion de l'IB dans les domaines suivants:
· Développement de la politique et organisation IB,
· Organisation de la gestion des actifs internes et des ressources des composantes de la société de ses principaux processus métier,
· Protection du personnel et réduit les menaces internes pour la société,
· Sécurité physique dans la société et la sécurité environnementale,
· Gestion des opérations de communication et d'équipement,
· Développement et maintenance des systèmes matériels et logiciels,
· Gestion de la continuité des processus métier dans l'entreprise,
· Conformité aux normes de sécurité juridique.
Il existe un certain nombre de techniques généralement acceptées qui aident à gérer efficacement la sécurité de l'information. La méthodologie de modélisation de la menace est connue et largement utilisée, la méthodologie de la méthodologie d'évaluation des risques Draine, modèle de menace de menace dans la catégorie Stride (http://msdn.microsoft.com/ru-ru/magazine/cc700352.aspx).
IBM est la méthode d'architecture de solutions sécurisées (masse), qui aide à identifier les problèmes de protection, à créer une architecture solide et à élaborer une politique de protection fiable (www.redbooks.ibm.com).
Des techniques bien connues et populaires, il est nécessaire de se souvenir de l'approche de la société ISS à la sécurité de l'information, appelée AddMe et qui comprend 5 étapes.
Étape 1 - Évaluation (évaluer). À ce stade, l'identification et l'inventaire de toutes les ressources de l'organisation sont effectués. À ce stade, l'analyse des risques est effectuée (évaluation des risques), ainsi que la recherche d'évaluation des vulnérabilités, d'essais de pénétration (évaluation de pénétration) et d'évaluation de la menace (évaluation de la menace).
Étape 2 - Conception (design). À ce stade, la politique de sécurité de l'organisation est en cours d'élaboration et les principes d'évaluation de l'efficacité offerte en informatique (législatif, organisationnel et technique) sont développés. Dans le même temps, les données collectées à la première étape des utilisateurs disponibles des périphériques réseau, l'emplacement des ressources d'informations critiques, etc. sont pris en compte.
3 Étape - Déploiement (déployer). Dans le cadre de cette étape, des travaux sont effectués sur l'installation d'équipements de protection, de leur intégration et de leur test dans la technologie de traitement des informations adoptées, de la formation des utilisateurs, des exigences de la politique de sécurité et des règles de fonctionnement des fonds de protection établis.
4 étapes - opération (gérer et soutenir). À ce stade, l'efficacité des mesures prises et leur conformité aux dispositions des politiques de sécurité développées sont estimées. En cas d'incidents liés à sa déficience, le plan de réponse aux incidents développés à la deuxième étape est mis en œuvre et, par conséquent, certaines dispositions des politiques de sécurité sont révisées. Modifications de la technologie de traitement de l'information, l'émergence de nouvelles technologies de protection, etc. Sont également l'impulsion à la révision des documents développés.
5 étapes - formation (éducation). La formation est un processus permanent réalisé à toutes les étapes de la construction d'un système complet de sécurité des informations. Il s'agit de tous les employés de l'organisation: opérateurs, administrateurs, gestionnaires, etc.
Dans la société idéale, le processus de gestion de la sécurité de l'information est proactif (préventif et constant).
Pour que la sécurité de l'information soit efficace, elle devrait être étroitement liée à la sécurité des entreprises et aux besoins professionnels.
Chaque processus au sein de l'organisation informatique devrait inclure des problèmes de sécurité. La sécurité n'est pas autonome; Ceci est un fil traversant tous les processus du fournisseur de services.
Le Bureau de l'organisation est entièrement responsable d'organiser des informations. La direction est responsable de répondre à toutes les questions qui affectent la protection des informations. Le conseil d'administration doit rendre la sécurité des informations faisant partie intégrante de la gouvernance d'entreprise.
Autorisation
Le processus et le cadre de la gestion de la sécurité de l'information, en règle générale, incluent:
- Politique de sécurité de l'information, avec le soutien d'un sous-ensemble de politiques relatives à des aspects de la stratégie, du contrôle et de la réglementation
- Système de gestion de la sécurité de l'information
- une stratégie de sécurité globale, étroitement liée aux objectifs commerciaux, aux stratégies et
des plans
Le modèle de sécurité devrait également inclure une structure organisationnelle efficace.
La sécurité n'est pas la responsabilité d'une personne, il est nécessaire d'examiner dans les profils de rôle à tous les niveaux de l'organisation.
La gestion de la sécurité est nécessaire pour soutenir les politiques et gérer les risques de sécurité.
Enfin, la structure de sécurité doit prendre en compte et inclure:
- surveiller le processus pour assurer la conformité et fournir des commentaires sur l'efficacité
- Stratégie et plan de sécurité associés aux communications
- Préparation et stratégie et plans pour assurer tous les employés de connaissances sur leurs responsabilités.
Politique de sécurité de l'information
Les activités de gestion de la sécurité de l'information devraient viser et gérer les politiques de sécurité de l'information.
La politique de sécurité de l'information devrait avoir plein de soutien aux principales responsables de la gestion informatique et de soutien et d'engagement idéalement en faveur de la gestion des entreprises de haute direction.
Cette politique devrait couvrir tous les domaines de sécurité, être adéquat et répondre aux besoins de l'entreprise.
La politique de sécurité de l'information devrait être largement disponible pour tous les clients et tous les utilisateurs.
Cette politique devrait être autorisée par la plus grande gestion des affaires et celle-ci.
Toutes les stratégies de sécurité doivent être révisées au moins une fois par an et si nécessaire.
Système de gestion de la sécurité de l'information
Le système de gestion de la sécurité de l'information est un cadre de politique, de processus, de normes, de lignes directrices et d'outils garantit des organisations à atteindre leurs objectifs dans la gestion de la sécurité des informations.
Le système de gestion de la sécurité de l'information constitue une base pour l'élaboration de programmes de sécurité rentables d'informations qui soutiennent les objectifs commerciaux.
Le système doit prendre en compte non seulement la technologie.
Les méthodes 4P (personnes, processus, produits et partenaires) peuvent être utilisées pour s'assurer à haute sécurité dans tous les domaines.
ISO 27001 est une norme formelle pouvant fournir une certification indépendante du système de gestion de la sécurité de l'information. Les organisations peuvent demander la certification pour prouver leur conformité aux exigences de sécurité.
Le système de gestion de la sécurité de l'information comprend une structure organisationnelle de développement, de mise en œuvre, de gestion, de maintien et de conformité aux processus d'information et de gestion systématiquement et cohérents dans l'ensemble de l'organisation.
Le diagramme suivant montre une approche de la gestion de la sécurité de l'information.
Systèmes. Cette approche est largement utilisée et repose sur les conseils et recommandations décrites dans les sources, y compris ISO 27001.
Contrôler
Le contrôle de la sécurité de l'information est la première gestion des sous-traductions de la sécurité de l'information et fait référence à l'organisation et à la gestion du processus. Ce type d'activité comprend une approche de gestion de la sécurité de l'information structurée, décrivant les sous-processus suivants: formulation des plans de sécurité, les mettre en œuvre, évaluer la mise en œuvre et l'inclusion d'une évaluation des plans de sécurité annuels (plans d'action). Les rapports fournis au client sont également décrits via le processus de gestion du niveau de service.
Ce type d'activité détermine les sous-processus, les fonctions de sécurité, les rôles et les responsabilités. Il décrit également la structure organisationnelle, le système de rapport et les flux de contrôle (qui indique à qui qui fait ce qui est fait, comment effectuer un rapport de performance). Les mesures suivantes de la collection recommandations pratiques La gestion de la sécurité de l'information est mise en œuvre sous ce type d'activité.
Règles de travail internes (Politique):
- développement et mise en œuvre de règles de travail internes (politiques), liens avec d'autres règles;
- objectifs, principes généraux et importance;
- description des sous-processus;
- répartition des fonctions et des responsabilités des sous-processus;
- liens avec d'autres processus ITIL et leur gestion;
- la responsabilité globale du personnel;
- traitement des incidents de sécurité.
Organisation de la sécurité de l'information:
- schéma de gestion structurel;
- structure de gestion (structure organisationnelle);
- répartition plus détaillée des responsabilités;
- institution du comité directeur sur la sécurité de l'information;
- coordination de la sécurité de l'information;
- coordination des outils (par exemple, pour analyser les risques et améliorer la sensibilisation);
- Description du processus d'autorisation informatique en consultation avec le client;
- consultations de spécialistes;
- coopération entre les organisations, interaction interne et externe;
- audit indépendant des systèmes d'information;
- principes de sécurité lors de l'accès à des informations tierces;
- Sécurité de l'information dans les contrats avec des tiers.
Planification
Les sous-processus de planification sont réduits pour déterminer le contenu de la section de l'Accord de sécurité de la SLA avec la participation du processus de gestion de niveau de service et la description des activités liées aux problèmes de sécurité détenus dans le cadre de traités externes. Les tâches que dans l'Accord de la SLA sont déterminées par des mots généraux sont détaillées et spécifiées sous la forme d'un accord d'exploitation sur le niveau des services (OLA). L'accord OLA peut être considéré comme un plan de sécurité pour la structure organisationnelle du fournisseur de services et en tant que plan de sécurité spécifique, par exemple pour chaque plate-forme informatique, applications et réseaux.
Les informations de saisie du sous-processus de planification ne sont pas seules les dispositions de l'Accord de la SLA, mais également des principes de la politique de sécurité du fournisseur de services (de la sous-édition de contrôle). Exemples de ces principes: "Chaque utilisateur doit être identifié un moyen unique"; "Le niveau de sécurité de base est toujours fourni à tous les clients."
Les accords de niveau de service opérationnel (OLA) pour la sécurité de l'information (plans de sécurité spécifiques) sont élaborés et mis en œuvre à l'aide de procédures classiques. Cela signifie que si ces types d'activité sont nécessaires dans d'autres processus, la coordination avec ces processus est nécessaire. Toutes les modifications apportées aux infrastructures informatiques sont effectuées par le processus de gestion du changement à l'aide des informations de saisie fournies par le processus de gestion de la sécurité de l'information. Le responsable de ce processus est responsable du processus de gestion du changement.
Le sous-processus de planification est coordonné avec le processus de gestion du niveau de service afin de déterminer le contenu de la section SAFE de sécurité de la SLA de l'Accord SLA, de sa mise à jour et de garantir le respect de ses dispositions. Le responsable du processus de gestion du niveau de service est responsable de cette coordination.
Les exigences de sécurité doivent être définies dans l'Accord SLA, si possible dans des indicateurs mesurables. La section SAFE de la SLA devrait veiller à ce que la réalisation de toutes les exigences et normes de sécurité des clients puissent être contrôlées.
Ventes
La tâche du sous-processus de mise en œuvre (mise en œuvre) est l'accomplissement de toutes les activités définies dans les plans. Ce sous-processus peut être pris en charge par la liste de contrôle suivante des actions.
Classification et gestion des ressources informatiques:
- fournir des données d'entrée pour prendre en charge les unités de configuration (CI) dans la base de données CMDB;
- Classification des ressources informatiques conformément aux principes convenus.
Sécurité du personnel:
- tâches et responsabilité dans la description du travail;
- Sélection du personnel;
- accords de confidentialité pour le personnel;
- formation;
- manuels pour le personnel pour résoudre les incidents de sécurité et éliminer les défauts de défauts détectés;
- mesures disciplinaires;
- Améliorer la sensibilisation à la sécurité.
Gestion de la sécurité:
- l'introduction de types de responsabilité et de répartition des tâches;
- instructions de travail écrits;
- règles internes;
- les mesures de sécurité devraient couvrir l'ensemble du cycle de vie des systèmes; Il doit y avoir des guides de sécurité pour le développement des systèmes, des tests, de l'acceptation, de l'utilisation opérationnelle, de la maintenance et de la suppression de l'environnement d'exploitation;
- séparation de l'environnement de développement et des tests du support opérationnel (travail);
- procédures de traitement des incidents (réalisés par le processus de gestion des incidents);
- utilisation d'outils de récupération;
- fourniture d'informations de saisie pour le processus de gestion du changement;
- introduction de mesures de protection antivirus;
- mise en œuvre de méthodes de gestion pour les ordinateurs, les applications, les réseaux et les services de réseau;
- traitement correct des transporteurs de données et leur protection.
Contrôle d'accès:
- mise en œuvre de politiques d'accès et de contrôle d'accès;
- Prise en charge des privilèges d'accès aux utilisateurs et applications aux réseaux, aux services de réseau, aux ordinateurs et aux applications;
- Barrières de soutien protection du réseau (pare-feu, services d'accès ligne téléphonique, ponts et routeurs);
- Mise en œuvre des méthodes d'identification et d'autorisation systèmes informatiques, postes de travail et pcs en ligne
Évaluation
Une évaluation indépendante de la mise en œuvre d'activités prévues est essentielle. Une telle évaluation est nécessaire pour déterminer l'efficacité, sa mise en œuvre nécessite également des clients et des tiers. Les résultats de la sous-processus d'évaluation peuvent être utilisés pour ajuster les mesures convenues avec le client, ainsi que pour les mettre en œuvre. Selon les résultats de l'évaluation, des modifications peuvent être proposées, auquel cas une demande de changement est formulée (RFC), envoyée au processus de gestion du changement.
Il y a trois types de notations:
- évaluation indépendante: elle est principalement effectuée par des divisions linéaires de l'organisation;
- Audit interne: mené par des auditeurs informatiques internes;
- Audit externe: effectué par les auditeurs informatiques externes.
Contrairement à l'évaluation indépendante, l'audit n'est pas effectué par le même personnel qui participe à d'autres sous-processus. Ceci est nécessaire pour assurer la division des responsabilités. L'audit peut être mené par le service d'audit interne.
L'évaluation est également effectuée comme effet de réponse en cas d'incidents.
Les principales activités sont:
- vérifier la conformité de la politique de sécurité et la mise en œuvre des plans de sécurité;
- effectuer une vérification des systèmes informatiques;
- définition et adoption de mesures d'utilisation inappropriée des ressources informatiques;
- Vérification des aspects de sécurité dans d'autres types d'audit informatique.
Support
En raison du changement de risques lorsque des modifications de l'infrastructure informatique, de la Société et des processus métiers, il est nécessaire de garantir un appui approprié aux mesures de sécurité. Les mesures de sécurité comprennent le soutien aux sections et au soutien des sections de sécurité de la sécurité SBA concernées plans détaillés Sécurité (au niveau des accords de gestion des services opérationnels).
Le maintien du fonctionnement efficace du système de sécurité est effectué en fonction des résultats de l'évaluation de sous-processus et de l'analyse des changements de risque. Les propositions peuvent être mises en œuvre ou dans le sous-processus de planification, ou lors de la fourniture de l'ensemble de l'accord SLA. En tout état de cause, les propositions formulées peuvent conduire à l'inclusion d'initiatives supplémentaires dans le plan de sécurité annuel. Toute modification doit être traitée dans le processus de gestion du changement habituel.
Les objectifs de soutien sont l'amélioration des accords de sécurité comme
il est indiqué dans les accords de niveau de service et les accords de niveau opérationnel, et
améliorer la mise en œuvre des mesures de sécurité et de contrôle.
La maintenance doit être réalisée à l'aide d'un cycle de planification de l'acte de planification.
l'approche formelle proposée par l'ISO 27001 pour établir le système d'information sur la gestion de la sécurité. Ceci est décrit en détail dans CSI.
Lorsque le processus est correctement mis en œuvre, la gestion de la sécurité des informations doit avoir six résultats principaux. Ci-dessous sont donnés liste complète Résultats et données connexes.
Alignement stratégique:
les exigences de sécurité doivent être déterminées par les exigences de l'entreprise.
À propos des solutions de sécurité doit être conforme aux processus de l'entreprise
sur les investissements de sécurité de l'information devraient être convenus avec la stratégie de la société et les risques concertés
Valeur de livraison:
À propos de l'ensemble standard de méthodes de sécurité, c'est-à-dire les exigences de la sécurité de la sécurité de base avec les règles
À propos des priorités et des efforts correctement distribués pour les domaines avec le plus grand retour et les avantages commerciaux
sur des solutions institutionnalisées et massives
sur des solutions complètes couvrant l'organisation et le processus, ainsi que la technologie sur la culture de l'amélioration continue
Gestion des risques:
À propos du profil de risque convenu
sur la compréhension de l'exposition au risque
sur la prise de conscience des priorités de gestion des risques
sur la réduction des risques
sur le risque d'adoption / respect
Gestion de la performance:
o déterminé, un ensemble de métriques
o est défini par le processus de mesure qui aidera à identifier les inconvénients et à fournir des commentaires sur le déroulement des problèmes de résolution
sur la sécurité indépendante
La gestion des ressources:
sur la connaissance collectée et disponible
o Processus et pratiques de sécurité documentées
oh a développé une architecture de sécurité pour utiliser efficacement les ressources d'infrastructure
- Assurer les processus métier.
L'entreprise de Jet Infosystem effectue des projets complets visant à créer et à mettre en œuvre des systèmes efficaces de gestion de la sécurité de l'information (SWIB). Les projets comprennent l'analyse, le développement et la mise en œuvre des processus de gestion de la BC. Les systèmes mis en œuvre sont conformes aux exigences commerciales et aux exigences des normes internationales et des meilleures pratiques. En conséquence, ils apportent non seulement l'effet marketing, mais vous permettent également d'optimiser le budget de l'IB, augmentez la transparence de l'IB pour les entreprises, ainsi que du niveau de sécurité et de maturité du client.
Problèmes
Pour la protection une information important Les entreprises utilisent une variété de mesures pour fournir à IB Modako. L'utilisation de moyens les plus modernes et les plus coûteux n'est pas une garantie de leur efficacité et peut conduire à des dépenses déraisonnables pour fournir à l'IB. La présence d'un grand nombre de mesures et d'équipements de l'IB complique le processus de gestion. Souvent, des mécanismes permettant de surveiller et d'analyser les travaux du système IB et de faire des ajustements à son fonctionnement ne sont pas suffisamment débogés.
L'absence de processus de gestion et de sécurité formalisés entraîne une augmentation des coûts d'exploitation. En raison de l'absence d'approche organisationnelle, toutes les émissions émergentes sont résolues de manière distincte, ce qui passe de l'affaire.
Décision
La swib est partie système commun fournir une sécurité de l'information. L'un de ses principaux composants est le processus de gestion des risques de l'IB. Les résultats de ses travaux vous permettent de développer des solutions pour le traitement des risques inacceptables et l'introduction de mesures économiquement raisonnables pour fournir à l'IB. La planification de la mise en œuvre de mesures sélectionnées vous permet de distribuer le coût de la fourniture de la BI aux perspectives à court et à long terme.
Dans le cadre du SUBB, un certain nombre de gestion et de fourniture de IB sont créés et / ou décrits, ce qui vous permet de structurer ces processus et d'assurer leur reproductibilité. Lorsqu'il est construit, interagir avec le leadership le plus élevé et les représentants des unités commerciales du client pour identifier leurs attentes du système.
Compte tenu du fait que la commodité de la gestion et de la fourniture de l'IB pour les artistes interprètes est déterminée par l'efficacité de ses travaux, les spécialistes des systèmes d'information à Jet accordent une attention particulière à la construction et au débogage ultérieur des processus de sous-catégorie. Au cours des travaux, des processus existants, leurs caractéristiques et leurs niveaux de maturité, ainsi que les traditions de la culture d'entreprise, sont toujours prises en compte. Une attention particulière est accordée à la formation des employés impliqués dans la mise en œuvre du système, la répartition des responsabilités, ainsi que l'organisation du Centre interne pour la compétitivité de la direction et de l'ENS. En conséquence, les processus intégrés font partie intégrante de la société, travaillant conformément aux objectifs définis et ne restent pas un "dossier de papiers situés dans le placard".
Les systèmes Jet Info fournissent une large gamme de services dans le domaine de la gestion et de la sécurité IB:
Développement et mise en œuvre de la swib basée sur l'ISO / IEC 27001
L'élaboration et la mise en œuvre de processus de gestion de base de l'IB sont effectuées en tenant compte de la structure organisationnelle et des spécificités du client. De plus, les employés clés sont formés à travailler avec SWIB, un soutien de conseil est fourni.
Développement et mise en œuvre de processus de gestion et de sécurité individuels IB
Développement et mise en œuvre de processus de gestion et de sécurité IB individuels (par exemple, la gestion des risques, la gestion des incidents, les audits internes, etc.) sont effectués conformément aux exigences des normes internationales et russes sur l'IB (ISO / CEI 27001: 2005, ISO / IEC 27002: 2005, ISO / CEI 27005: 2008, PCI DSS, STR BR IBBS - 1.0, etc.), ainsi que les meilleures pratiques dans ce domaine.
Les consultants peuvent compiler un calendrier pour la mise en œuvre séquentielle des processus de gestion IB afin de s'unir davantage à un seul sous-g.
Préparation à la certification pour se conformer aux exigences de la norme internationale ISO / IEC 27001
La préparation de la certification inclut une analyse préliminaire de la mise en œuvre des exigences de la norme ISO / CEI 27001, éliminant ainsi les incohérences détectées, apportant la swib conformément aux exigences cette norme. L'audit est effectué par un organe de certification ayant une accréditation appropriée.
La société "Jet Infosystem" prend en charge les clients lors de la réalisation d'audits et contribue à éliminer les incohérences identifiées.
Soutien développé par la swib ou les processus individuels
La société "Jet Infosystem" effectue:
- préparation du SUBB du client pour vérifier les audits: Examen Express, la définition du travail à effectuer pour réussir l'audit de vérification de l'organisme de certification;
- raffinement ou mise en œuvre de processus spécifiques de la swib. Par exemple, effectuer l'analyse annuelle des risques IB ou la conduite des audits internes de l'IB.
Avantages de travailler avec les systèmes d'Info Jet:
- approche systémique et techniques uniques qui vous permettent de développer et de mettre en œuvre rapidement et implémenter des processus de sécurité et de gestion IB;
- une équipe de projet cohérente de spécialistes certifiés qui peuvent résoudre les tâches les plus difficiles;
- les consultants sont soumis à des enseignants sur les systèmes de gestion dans les pays de la BSI et sont impliqués à des audits;
- principe en chef Travaux - "Chaque entreprise est unique." Les exigences dans le domaine de l'IB sont définies pour chaque client et sont proposées des solutions qui contribueront à assurer la sécurité réelle des informations, et non seulement l'accomplissement formel des exigences (législation, partenaires, contreparties, industrie, etc.) et contrat.
Prof.
La mise en œuvre des procédures de gestion et de soutien permet:
- optimiser et justifier la sécurité des informations;
- augmenter l'efficacité de la fourniture de l'IB en réalisant la complexité, l'interconnexion, l'efficacité et la transparence de toutes les mesures de sécurité de l'information;
- assurer le respect du niveau d'IB en tant que législatif, industrie, exigences de sociétés internes et objectifs commerciaux;
- réduire les coûts d'exploitation en raison de la formalisation et de la normalisation des processus de gestion et de sécurité;
- pour accroître la confiance des partenaires et des clients de la société en démontrant un niveau élevé de maturité de l'IB.
En outre, la mise en œuvre et la certification de la swib permettent:
- augmenter la capitalisation et la valeur des actions de la société;
- améliorer les évaluations internationales de la société nécessaires pour attirer des investissements étrangers et l'accès aux marchés internationaux;
- protéger les investissements.
Vivre
Les spécialistes de la compagnie de jet Infosystem ont la plus grande expérience de la CEI pour la construction de processus de gestion de la SWIB et de l'IB individuels, y compris la gestion des risques de l'IB, les incidents de la BIB et la gestion de la vulnérabilité.
Cinq grands projets visés à créer et à préparation ultérieurs de la swib à la certification pour se conformer aux exigences de l'ISO / CEI 27001: 2005 dans les entreprises:
- OJSC "Transit interrégional Telecom"
- OJSC "ROSNO"
- Centre d'information sur la sécurité LLC
- Banque Askari (Pakistan)
- Eldorado LLC
Également achevé plus de 30 projets pour la construction de processus de gestion de l'IB individuels, le soutien à la swib et leur préparation aux audits de surveillance par l'autorité de certification.
