Axborot xavfsizligini boshqarish tizimi “Telekom operatorlari axborot xavfsizligining asosiy darajasi. Asosiy harakatlarni amalga oshirish uchun etakchilik guruhini aniqlang. Jet Infosystems bilan ishlashning afzalliklari

Kompyuter xavfsizligi

Xayrli kun, azizim!
Anchadan beri Xabrda yozmayapman, vaqt yo'q edi, ish ko'p edi. Ammo endi men bo'shatdim va yangi xabar uchun fikrlarni shakllantirdim.

Men tashkilotdagi axborot xavfsizligini ta'minlash bo'yicha mas'ul bo'lgan o'rtoqlarimdan biri bilan gaplashdim (o'rtoq tizim ma'muri) va u mendan qaerdan boshlashni va qaerga ko'chib o'tishni aytishni so'radi. U fikrlari va bilimlarini biroz tartibga solib, unga qo'pol reja tuzdi.
Afsuski, bu holat izolyatsiyadan uzoqdir va tez-tez yuz beradi. Ish beruvchilar, qoida tariqasida, quvurda shveytsariyalik ham, o'roqchi ham, geymer ham bo'lishni xohlashadi va bularning barchasi bitta narxlar ro'yxati uchun. Axborot xavfsizligini nega keyinchalik IT deb tasniflash kerak emas degan savolga qaytaman, ammo endi biz nima sodir bo'lishini o'ylab ko'ramiz, agar bu sodir bo'lsa va siz ham xuddi shunday sarguzashtga yozilgan bo'lsangiz, ya'ni boshqaruv tizimini yaratasiz axborot xavfsizligi (ISMS).

Xatarlarni tahlil qilish

Axborot xavfsizligidagi deyarli hamma narsa xavfni tahlil qilish bilan boshlanadi, bu barcha xavfsizlik jarayonlarining asosi va boshlanishi. Men sarflayman qisqa ta'lim dasturi bu sohada juda ko'p tushunchalar aniq emas va ko'pincha aralashtiriladi.
Shunday qilib, uchta asosiy tushuncha mavjud:
  • Amalga oshirish ehtimoli
  • Zaiflik

Xavf - bu zaiflikni amalga oshirish tufayli har qanday yo'qotishlarga (pul, obro'-e'tibor va boshqalar) olib borish qobiliyati.
Amalga oshirish ehtimoli, ushbu zaiflikdan xavfni amalga oshirish uchun foydalanish ehtimoli.
Xavfsizlik - bu sizning xavfsizlik tizimingizni to'g'ridan-to'g'ri buzishdir, bu ma'lum darajada ehtimollik bilan zarar etkazishi mumkin, ya'ni xavfni tushunadi.

Xavflarni boshqarish bo'yicha ko'plab texnikalar, turli xil yondashuvlar mavjud, men sizga asosiy narsalar haqida aytib beraman, qolganlari sizga AXBTni shakllantirishda dastlab kerak bo'lmaydi.
Shunday qilib, risklarni boshqarish bo'yicha barcha ishlar qisqartiriladi yoki amalga oshirish ehtimolini kamaytiradi yoki yo'qotishlarni minimallashtirishga imkon beradi. Shunga ko'ra, xatarlar tashkilot uchun maqbul va qabul qilinishi mumkin emas. Xavfning maqbulligi uni amalga oshirishdan kelib chiqadigan zararlar miqdorida eng yaxshi tarzda ifodalanadi (har qanday holatda, hatto nomutanosib ko'rinadigan obro'sizlik yo'qotishlari ham oxir oqibat yo'qolgan foydaga aylanadi). Menejment bilan ular uchun maqbullik chegarasi qancha bo'lishi to'g'risida qaror qabul qilish va gradatsiya qilish kerak (zararlar uchun 3-5 daraja yaxshiroq). So'ngra, ehtimolliklar bo'yicha, shuningdek yo'qotish bilan gradatsiya qiling va keyin ushbu ko'rsatkichlar yig'indisi bo'yicha xatarlarni baholang.
Tayyorgarlik ishlarini tugatgandan so'ng, tashkilotingizning haqiqiy zaif tomonlarini ta'kidlang va ularni amalga oshirish va yo'qotish xavfini baholang. Natijada siz ikkita xavf-xatarni qabul qilasiz - qabul qilinadigan va qabul qilinmaydigan. Qabul qilinadigan xatarlar bilan siz shunchaki qabul qilasiz va ularni minimallashtirish uchun faol choralar ko'rmaysiz (ya'ni, biz ushbu xatarlarni minimallashtirish ularga zarar etkazishdan ko'proq xarajat qilishini qabul qilamiz) va qabul qilinishi mumkin bo'lmagan holatlarda voqealarni rivojlantirish uchun 2 ta variant mavjud.

Minimallashtirish - yuzaga kelish ehtimolini kamaytirish, mumkin bo'lgan yo'qotishlarni kamaytirish yoki hatto xavfni bartaraf etish choralarini ko'rish (zaiflikni yopish).
Transfer - shunchaki tavakkalchilikka oid xavotirni boshqa shaxsga yuklash, masalan, tashkilotni tavakkalchiliklardan sug'urtalash yoki xavf ostida bo'lgan aktivni o'tkazish (masalan, serverlarni ma'lumotlar markaziga o'tkazish, shu sababli uzluksiz elektr ta'minoti va serverlarning jismoniy xavfsizligi ma'lumotlar markazi uchun javobgar bo'ladi).

Miqyosi

Avvalo, albatta, tabiiy ofat ko'lamini baholash kerak. Shaxsiy ma'lumotlarni himoya qilish joylariga to'xtamayman, bu borada allaqachon ko'plab maqolalar mavjud, amaliy tavsiyalar va harakatlar algoritmlari bir necha bor tasvirlangan.
Shuni ham eslatib o'tamanki, axborot xavfsizligi birinchi navbatda odamlar bilan bog'liq, shuning uchun me'yoriy hujjatlar zarur. Uni yozish uchun avval u erda nima yozish kerakligini tushunishingiz kerak.
Bu borada axborot xavfsizligini ta'minlash uchun uchta asosiy hujjat mavjud:
Axborot xavfsizligi siyosati
Sizning asosiy hujjatingiz, ma'lumotnomangiz, Injil va boshqa katta nomlar. Axborot xavfsizligi bo'yicha barcha tartib-qoidalar, tashkilotingizda kuzatiladigan xavfsizlik darajasi tavsiflangan. Ya'ni, xavfsizlikni mukammal darajada qisqartirish, barcha qoidalar bilan tasdiqlangan va qabul qilingan.
Siyosat o'lik vaznga ega bo'lmasligi kerak, hujjat yashashi kerak, yangi tahdidlar, axborot xavfsizligi tendentsiyalari yoki istaklar ta'sirida o'zgarishi kerak. Shu munosabat bilan, siyosat (printsipial jihatdan har qanday jarayon hujjati kabi) dolzarbligi uchun muntazam ravishda qayta ko'rib chiqilishi kerak. Buni yiliga kamida bir marta qilgan ma'qul.
Axborot xavfsizligi kontseptsiyasi
Tashkilotingiz xavfsizligi asoslarini tavsiflovchi siyosatdan kichik bir ko'chirma, aniq jarayonlar mavjud emas, lekin ISMSni yaratish tamoyillari va xavfsizlikni ta'minlash tamoyillari mavjud.
Ushbu hujjat ko'proq tovar belgisidir, unda hech qanday "sezgir" ma'lumotlar bo'lmasligi kerak va hamma ochiq va ochiq bo'lishi kerak. O'zingizning veb-saytingizga joylashtiring, axborot stendidagi laganda ichiga qo'ying, shunda mijozlaringiz va tashrif buyuruvchilaringiz uni o'qishlari yoki xavfsizlik haqida qayg'urayotganingizni va uni namoyish qilishga tayyor ekanligingizni ko'rishlari mumkin.
Tijorat sirlarini tartibga solish ( maxfiy ma'lumotlar)
Qavsda bunday hujjatning muqobil nomi ko'rsatilgan. Umuman olganda, com. maxfiy - bu maxfiy holatga tegishli, ammo juda kam farqlar mavjud.
Ushbu hujjatda quyidagilar ko'rsatilishi kerak: comni tashkil etuvchi hujjatlar qanday va qaerda. ushbu hujjatlarni saqlash uchun kim javobgar ekanligi, bunday ma'lumotlarni o'z ichiga olgan hujjat shablonining qanday bo'lishi, maxfiy ma'lumotlarni oshkor qilish uchun nima bo'lishi kerakligi (qonun bo'yicha va rahbariyat bilan tuzilgan ichki shartnomalarga muvofiq). Va, albatta, sizning tashkilotingiz uchun tijorat siri bo'lgan yoki maxfiy bo'lgan ma'lumotlar ro'yxati.
Qonunga ko'ra, maxfiylikni himoya qilish bo'yicha ko'rilgan choralarsiz sizda bunday narsa yo'q :-) Ya'ni ma'lumotning o'zi u erda ko'rinadi, lekin u maxfiy bo'lishi mumkin emas. Va shunisi qiziqki, tashkilotlarning 90% yangi ishchilar bilan maxfiy ma'lumotlarni oshkor qilmaslik to'g'risidagi shartnomalarni imzolaydilar, ammo ozchiliklari qonunda belgilangan choralarni ko'rdilar. Ma'lumotlarning maksimal ro'yxati.

Audit

Ushbu hujjatlarni yozish uchun, aniqrog'i, ularda nima bo'lishi kerakligini tushunish uchun siz axborot xavfsizligining hozirgi holatini tekshirishingiz kerak. Tashkilot faoliyatiga, hududiy taqsimotga va boshqalarga qarab har bir aniq tashkilot uchun juda ko'p nuanslar va omillar mavjudligi aniq, ammo barchaga xos bo'lgan bir nechta asosiy fikrlar mavjud.
Kirish siyosati
2 ta filial mavjud - binolarga jismoniy kirish va axborot tizimlariga kirish.
Jismoniy kirish
Kirishni boshqarish tizimini tavsiflab bering. Kirish kartalari qanday va qachon beriladi, kimning qaysi xonaga kirishini kim belgilaydi (xona ACS bilan jihozlangan bo'lishi sharti bilan). Shuningdek, videokuzatuv tizimi, uni qurish tamoyillari (kuzatilgan xonalarda ko'r-ko'rona joylar bo'lmasligi, binoga kirish / chiqish yo'llarini majburiy nazorat qilish, server xonasiga kirishni nazorat qilish va hk) haqida ham aytib o'tish joiz. Shuningdek, tashrif buyuruvchilar haqida unutmang, agar sizda umumiy qabul (sizda ham) mavjud bo'lmasa, tashrif buyuruvchilarning boshqariladigan hududga qanday kirishini (vaqtinchalik o'tish joylari, hamrohlik) ko'rsatib o'tishingiz kerak.
Server xonasi uchun, shuningdek, tashriflar jurnali bilan kirishning alohida ro'yxati bo'lishi kerak (agar ACS server xonasida o'rnatilsa va hamma narsa avtomatik ravishda bajarilsa osonroq bo'ladi).
Axborot tizimlariga kirish
Kirish huquqini berish tartibini tavsiflang, agar ko'p faktorli autentifikatsiya ishlatilsa, qo'shimcha identifikatorlarni chiqaring. Parol siyosati (parolning amal qilish muddati, murakkabligi, kirishga urinishlar soni, urinishlar sonidan oshib ketganidan keyin UZni blokirovka qilish vaqti), agar sizda hamma joyda bitta tizimga kirish imkoni bo'lmasa.
Tarmoq yaratish
Tashqi tomondan (DMZ) ega bo'lgan serverlar qayerda joylashgan, ularga ichki va tashqi tomondan qanday kirish mumkin. Tarmoqning segmentatsiyasi, u qanday ta'minlanadi. Xavfsizlik devorlariular qanday segmentlarni himoya qiladilar (agar segment ichida tarmoq ichida bittasi bo'lsa).
Masofaviy kirish
U qanday tashkil etilgan va kimga kirish huquqi mavjud. Ideal holda, shunday bo'lishi kerak: faqat VPN, kirish faqat yuqori menejmentning roziligi va ehtiyojni asoslash bilan amalga oshiriladi. Agar siz uchinchi shaxslarga (sotuvchilar, xizmat ko'rsatuvchi xodimlar va boshqalar) kirishingiz kerak bo'lsa, unda kirish muddati cheklangan, ya'ni hisob ma'lum bir muddatga beriladi, undan keyin u avtomatik ravishda bloklanadi. Tabiiyki, uchun masofaviy kirish, har kim, huquqlar minimal darajada cheklangan bo'lishi kerak.
Voqealar
Ular qanday qayta ishlanadi, kim javob beradi va hodisalarni boshqarish jarayoni va boshqarish muammolari qanday tuzilgan (agar mavjud bo'lsa, albatta). Voqealar bilan ishlash bo'yicha menda allaqachon xabar bor edi: habrahabr.ru/post/154405, ko'proq o'qishingiz mumkin.
Shuningdek, tashkilotingizdagi tendentsiyalarni aniqlash kerak. Ya'ni, qaysi hodisalar tez-tez sodir bo'ladi, qaysi biri zararli (oddiy, mol-mulk yoki pulni to'g'ridan-to'g'ri yo'qotish, obro'siga zarar etkazish). Bu xavfni boshqarish va xavfni tahlil qilishda yordam beradi.
Aktivlar
Bunday holda, aktivlar himoyani talab qiladigan barcha narsalar sifatida tushuniladi. Ya'ni, serverlar, qog'ozdagi ma'lumotlar yoki olinadigan ommaviy axborot vositalari, qattiq disklar kompyuterlar va boshqalar. Если какие-либо активы содержат «чувствительную» информацию, то они должны быть промаркированы соответствующим образом и должен быть перечень действия, разрешенных и запрещенных с данным активом, таких как передача третьим лицам, передача по электронной почте внутри организации, выкладывание в публичный доступ внутри организации va hokazo.

O'qitish

Ko'p odamlar unutadigan bir lahza. Xodimlarga xavfsizlik choralari to'g'risida ma'lumot berish kerak. Imzoga qarshi ko'rsatmalar va qoidalar bilan tanishish etarli emas, 90% ularni o'qimaydi, ammo ulardan xalos bo'lish uchun shunchaki imzo chekadi. Men trening haqida ham nashr qildim: habrahabr.ru/post/154031 Unda mashg'ulotlarda muhim bo'lgan va siz unutmasligingiz kerak bo'lgan asosiy fikrlar mavjud. Treningning o'zi bilan bir qatorda, bunday tadbirlar xodimlar va xavfsizlik xodimi o'rtasidagi aloqa nuqtai nazaridan foydalidir ( chiroyli ism, Menga juda yoqadi :-). Siz oddiy ish ritmida deyarli bilmagan ba'zi bir kichik voqealar, istaklar va hatto muammolar haqida bilib olishingiz mumkin.

Xulosa

Axborot xavfsizligi sohasida yangi boshlanuvchilarga aytmoqchi bo'lganim hammasi shu. Men shuni tushunamanki, bunday lavozim bilan men ba'zi hamkasblarimning ishlaridan mahrum bo'lishim mumkin, chunki potentsial ish beruvchi bu vazifalarni shunchaki administratorga yuklaydi, lekin men ko'plab tashkilotlarni tekshiruvlar uchun pul chiqarishni yaxshi ko'radigan integrator-firibgarlardan himoya qilaman. ko'p sahifali risolalar yozing, nima haqida, ularni normativ sifatida etkazing (http://habrahabr.ru/post/153581/).
Keyingi safar men shu kabi axborot xavfsizligi xizmatini tashkil qilish haqida gapirishga harakat qilaman.

P.S. agar siz minus qo'ygan bo'lsangiz, iltimos izoh bering, shunda kelajakda men bunday xatolarga yo'l qo'ymasligim kerak.

Teglar: Teglar qo'shish

Jet Infosystems samarali axborot xavfsizligini boshqarish tizimini (ISHM) qurish va joriy etish bo'yicha kompleks loyihalarni amalga oshiradi. Loyihalar axborot xavfsizligini boshqarish jarayonlarini tahlil qilish, ishlab chiqish va amalga oshirishni o'z ichiga oladi. Amalga oshirilgan tizimlar biznes talablariga ham, xalqaro standartlar va ilg'or tajriba talablariga ham javob beradi. Natijada, ular nafaqat marketing samarasini beradi, balki IS-ning byudjetini optimallashtirishga, biznes uchun ISning shaffofligini, shuningdek xavfsizlik va mijozlarning etukligini oshirishga imkon beradi.

Muammoli

Kompaniyalar muhim ma'lumotlarni himoya qilish uchun turli xil axborot xavfsizligi choralarini qo'llaydilar, ammo hatto eng zamonaviy va eng qimmat vositalardan foydalanish ularning samaradorligi kafolati emas va axborot xavfsizligi uchun asossiz xarajatlarga olib kelishi mumkin. Axborot xavfsizligini ta'minlashning ko'plab choralari va vositalarining mavjudligi boshqaruv jarayonini murakkablashtiradi. Ko'pincha, axborot xavfsizligi tizimining ishini monitoring qilish va tahlil qilish va uning ishiga doimiy ravishda tuzatish kiritish imkoniyatini beradigan mexanizmlar etarlicha disk raskadrovka qilinmaydi.

Axborot xavfsizligini boshqarish va ta'minlash bo'yicha rasmiylashtirilgan jarayonlarning etishmasligi operatsion xarajatlarning oshishiga olib keladi. Tashkiliy yondashuv yo'qligi sababli, yuzaga keladigan barcha masalalar alohida tartibda hal qilinadi, bu har bir holatga qarab o'zgarib turadi.

Qaror

ISHM tarkibiga kiradi umumiy tizim axborot xavfsizligini ta'minlash. Uning asosiy tarkibiy qismlaridan biri bu axborot xavfsizligi xavfini boshqarish jarayoni. Uning ishi natijalari qabul qilinmaydigan xatarlarni qayta ishlash va axborot xavfsizligini ta'minlash bo'yicha iqtisodiy asoslangan chora-tadbirlarni amalga oshirish bo'yicha echimlarni ishlab chiqishga imkon beradi. Tanlangan chora-tadbirlarni amalga oshirishni rejalashtirish sizga qisqa vaqt ichida va uzoq muddat davomida axborot xavfsizligini ta'minlash xarajatlarini taqsimlashga imkon beradi.

AXBT doirasida axborot xavfsizligini boshqarish va ta'minlash uchun bir qator jarayonlar yaratiladi va / yoki tavsiflanadi, bu esa ushbu jarayonlarni tuzish va ularning takrorlanuvchanligini ta'minlashga imkon beradi. Uni qurishda ularning tizimdan kutishlarini aniqlash uchun yuqori menejment va mijozning tarkibiy bo'linmalari vakillari bilan o'zaro aloqada bo'lish zarur.

IS-ni boshqarish va xizmat ko'rsatish tizimining ijrochilar uchun qulayligi uning ish samaradorligi bilan belgilanishini hisobga olgan holda, Jet Infosystems mutaxassislari ISMS jarayonlarini qurish va keyinchalik disk raskadrovka qilishga alohida e'tibor berishadi. Ish jarayonida kompaniyadagi mavjud jarayonlar, ularning xususiyatlari va etuklik darajasi, shuningdek, korporativ madaniyat an'analari doimo hisobga olinadi. Tizimni tatbiq etish bilan shug'ullanadigan xodimlarni o'qitish, vazifalarni taqsimlash, shuningdek, axborot xavfsizligini boshqarish va saqlash bo'yicha ichki kompetentsiya markazini tashkil etishga alohida e'tibor qaratilmoqda. Natijada, amalga oshirilgan jarayonlar kompaniyaning ajralmas qismiga aylanib, belgilangan maqsadlarga muvofiq ishlaydi va "shkafda yotgan qog'ozlar papkasi" bo'lib qolmaydi.

Jet Infosystems axborot xavfsizligini boshqarish va texnik xizmat ko'rsatish sohasida keng ko'lamli xizmatlarni taqdim etadi:

ISO / IEC 27001 standarti asosida ISMSni ishlab chiqish va amalga oshirish

ISni boshqarishning asosiy jarayonlarini ishlab chiqish va amalga oshirish tashkiliy tuzilma va mijozning o'ziga xos xususiyatlarini hisobga olgan holda amalga oshiriladi. Bundan tashqari, asosiy xodimlar XMST bilan ishlashga o'rgatiladi va konsalting yordami ko'rsatiladi.

Menejment va axborot xavfsizligi uchun alohida jarayonlarni ishlab chiqish va amalga oshirish

Axborot xavfsizligini boshqarish va ta'minlash bo'yicha individual jarayonlarni ishlab chiqish va amalga oshirish (masalan, risklarni boshqarish, hodisalarni boshqarish, ichki audit va boshqalar) xalqaro va Rossiya axborot xavfsizligi standartlari talablariga muvofiq amalga oshiriladi (ISO / IEC 27001: 2005, ISO / IEC 27002: 2005, ISO / IEC 27005: 2008, PCI DSS, STO BR IBBS - 1.0 va boshqalar), shuningdek ushbu sohadagi ilg'or tajribalar.

Maslahatchilar yagona ISMSga yanada integratsiyalashish maqsadida axborot xavfsizligini boshqarish jarayonlarini ketma-ket amalga oshirish jadvalini tuzishlari mumkin.

ISO / IEC 27001 xalqaro standarti talablariga muvofiqligini sertifikatlashtirishga tayyorgarlik

Sertifikatlash uchun tayyorgarlik ISO / IEC 27001 talablariga muvofiqligini dastlabki tahlil qilishni, aniqlangan nomuvofiqliklarni bartaraf etishni, ISMSni muvofiqlashtirishni o'z ichiga oladi ushbu standart... Audit akkreditatsiyadan o'tgan sertifikatlashtirish organi tomonidan amalga oshiriladi.

Jet Infosystems mijozlarga auditorlik tekshiruvlarini o'tkazishda yordam beradi va aniqlangan kelishmovchiliklarni bartaraf etishga yordam beradi.

Ishlab chiqilgan ISMS yoki individual jarayonlarni qo'llab-quvvatlash

Jet Infosystems quyidagilarni amalga oshiradi:

  • mijozning ISMS-ni tekshirish auditi uchun tayyorlash: ekspress-so'rov, sertifikatlashtirish organining tekshiruv auditidan o'tish uchun bajarilishi zarur bo'lgan ishlarni aniqlash;
  • aniq AXBT jarayonlarini yakunlash yoki amalga oshirish. Masalan, har yili axborot xavfsizligi xavfini tahlil qilish yoki ichki xavfsizlik xavfsizligini tekshirish.

Jet Infosystems bilan ishlashning afzalliklari:

  • axborot xavfsizligini ta'minlash va boshqarish jarayonlarini tez va samarali ishlab chiqish va amalga oshirishga imkon beradigan tizimli yondashuv va o'ziga xos noyob metodologiya;
  • eng murakkab muammolarni hal qilishga qodir bo'lgan sertifikatlangan mutaxassislardan iborat yaxlit loyiha jamoasi;
  • kompaniya maslahatchilari - BSI MS boshqaruv tizimlari bo'yicha trenerlar va audit o'tkazishda qatnashadilar;
  • asosiy printsip ish - "har bir kompaniya noyobdir." Axborot xavfsizligi sohasidagi har bir mijoz uchun ehtiyojlar aniqlanadi va echimlar taklif etiladi, ular nafaqat talablarning (qonunchilik, sheriklar, kontragentlar, sanoat va boshqalar) rasmiy ravishda bajarilishini emas, balki ma'lumotlarning haqiqiy xavfsizligini ta'minlashga yordam beradi.

Foyda

IS-ni boshqarish va texnik xizmat ko'rsatish protseduralarini amalga oshirish quyidagilarga imkon beradi:

  • axborot xavfsizligi xarajatlarini optimallashtirish va asoslash;
  • axborot xavfsizligini ta'minlash bo'yicha barcha chora-tadbirlarning murakkabligi, o'zaro bog'liqligi, samaradorligi va shaffofligiga erishish orqali axborot xavfsizligi samaradorligini oshirish;
  • iS darajasining qonunchilik, sanoat, ichki korporativ talablarga va biznes maqsadlariga muvofiqligini ta'minlash;
  • boshqaruv va axborot xavfsizligi jarayonlarini rasmiylashtirish va standartlashtirish orqali operatsion xarajatlarni kamaytirish;
  • axborot xavfsizligi yuqori darajada etukligini namoyish etish orqali kompaniya sheriklari va mijozlarining ishonchini oshirish.

Bundan tashqari, AXBTni amalga oshirish va sertifikatlash quyidagilarga imkon beradi:

  • kompaniya aktsiyalarining kapitallashuvi va qiymatini oshirish;
  • xorijiy investitsiyalarni jalb qilish va xalqaro bozorlarga chiqish uchun zarur bo'lgan kompaniyaning xalqaro reytinglarini ko'tarish;
  • sarmoyalarni himoya qilish.

Tajriba

Jet Infosystems mutaxassislari Axborot xavfsizligi xavfini boshqarish, axborot xavfsizligi bilan bog'liq hodisalarni boshqarish va zaifliklarni boshqarish kabi ISHM va shaxsiy axborot xavfsizligini boshqarish jarayonlarini qurish bo'yicha MDHda eng katta tajribaga ega.

ISO / IEC 27001: 2005 standarti talablariga muvofiqligini sertifikatlash uchun ISMS yaratish va keyinchalik tayyorlash bo'yicha beshta yirik loyiha quyidagi kompaniyalarda muvaffaqiyatli yakunlandi:

  • "Hududlararo tranzit telekom" OAJ
  • "ROSNO" OAJ
  • Axborot xavfsizligi markazi MChJ
  • Askari Bank (Pokiston)
  • MChJ "ELDORADO"

Shuningdek, IShni individual boshqarish jarayonlarini qurish, AXBTni qo'llab-quvvatlash va ularni sertifikatlashtirish organi tomonidan nazorat tekshiruvlariga tayyorlash bo'yicha 30 dan ortiq loyihalar yakunlandi.

Axborot xavfsizligi ISni amalga oshirishning muhim jihatlaridan biridir. Bir tomondan menejmentni axborotlashtirish uning bebaho qo'llab-quvvatlashini yaratadi, ammo boshqa tomondan boshqarish ISning axborot xavfsizligi darajasiga bevosita bog'liq bo'ladi.

Axborot xavfsizligi deganda, axborot egalari yoki foydalanuvchilarga zarar etkazadigan va qo'llab-quvvatlovchi infratuzilmaning tasodifiy yoki qasddan ta'sirlardan (hujumlardan) himoya qilinadigan axborot xavfsizligi tushuniladi.

Buzish ob'ektlari o'zlari bo'lishi mumkin texnik vositalarmoddiy ob'ektlar bo'lgan va dasturiy ta'minot va ma'lumotlar bazalari.

Axborot xavfsizligini boshqarish - bu korporativ xavfsizlik siyosatida belgilanishi kerak bo'lgan bir qator texnik, tashkiliy va huquqiy tadbirlarni o'z ichiga olgan murakkab jarayon.

Texnik tadbirlarga quyidagilar kiradi:

Tizimga ruxsatsiz kirishdan himoya qilish,

Ayniqsa muhim qo'llab-quvvatlovchi quyi tizimlarning ortiqcha bo'lishi,

Tashkilot kompyuter tarmoqlari alohida havolalar ishlamay qolganda resurslarni tarqatish qobiliyatiga ega,

Yong'inlarni aniqlash va o'chirish uchun uskunalar o'rnatish,

O'g'irlik, sabotaj, sabotaj, portlashlarga qarshi tizimli himoya choralarini qo'llash,

Zaxira elektr ta'minoti tizimlarini o'rnatish,

Binolarni qulflar bilan jihozlash,

Xodimlarning binolarga kirishining jismoniy farqlanishi,

· Signalizatsiya tizimlarini o'rnatish va boshqalar.

Tashkiliy tadbirlar quyidagilarni o'z ichiga oladi:

Axborot tizimlarini himoya qilish,

· Kadrlarni sinchkovlik bilan tanlash,

Faqat bir kishi tomonidan juda muhim ishlarni istisno qilish,

Tizim ishlamay qolgandan keyin uni qayta tiklash rejasining mavjudligi,

O'z ishini buzganlik faktlarini yashirishga qiziqmaydigan ruxsatsiz shaxslar tomonidan informatika korxonasini tashkil etish va saqlash;

Barcha foydalanuvchilar uchun himoya ko'p qirraliligi (shu jumladan yuqori menejment),

Ma'lumotlarga kirish sohasidagi vakolatlarni ajratish,

· Informatika korxonasi ishining xavfsizligini ta'minlashi kerak bo'lgan shaxslarga javobgarlik yuklanishi.

Huquqiy choralar kompyuter jinoyati uchun javobgarlikni belgilaydigan normalarni ishlab chiqish, mualliflik huquqini himoya qilish, axborot texnologiyalari sohasidagi qonunchilikni takomillashtirishni o'z ichiga olishi kerak.

Qurishda mashhurlikni oshirish korporativ tizimlar axborot xavfsizligini boshqarish (ISMS) xalqaro ISO / IEC 27001: 2005 “Axborot texnologiyalari. Xavfsizlik usullari. Axborot xavfsizligini boshqarish tizimlari. Talablar "ga binoan kompaniyalar quyidagi yo'nalishlarda axborot xavfsizligini boshqarish jarayonlarini rasmiylashtirishi va tuzishi mumkin:



Axborot xavfsizligini ta'minlash va tashkil etish siyosati,

Kompaniyaning asosiy biznes jarayonlarining asosini tashkil etadigan ichki aktivlari va resurslarini boshqarishni tashkil etish,

Xodimlarni himoya qilish va kompaniya uchun ichki tahdidlarni kamaytirish,

Kompaniyadagi jismoniy xavfsizlik va atrof-muhit xavfsizligi,

Aloqa va uskunalardan foydalanishni boshqarish,

Uskuna va dasturiy ta'minot tizimlarini ishlab chiqish va ularga xizmat ko'rsatish,

Kompaniyada biznesning uzluksizligini boshqarish,

· Qonuniy xavfsizlik qoidalariga rioya qilish.

Axborot xavfsizligini samarali boshqarishda sizga yordam beradigan bir qator umumiy qabul qilingan texnikalar mavjud. Tahdidlarni modellashtirish bo'yicha taniqli va keng qo'llaniladigan metodologiya (Microsoft Threat Modeling Methodology), xavfni baholash usuli DREAD, tahdidlarni STRIDE toifalariga ajratish modeli (http://msdn.microsoft.com/ru-ru/magazine/ cc700352.aspx).

IBM xavfsizlik muammolarini aniqlash, mustahkam arxitekturani yaratish va ishonchli xavfsizlik siyosatini ishlab chiqishda yordam beradigan (Secure Solutions Architecture Method (MASS) metodologiyasiga ega) (www.redbooks.ibm.com).

Taniqli va ommalashgan usullardan 5 bosqichni o'z ichiga olgan ADDME deb nomlangan ISS axborot xavfsizligini yondashishini esga olish lozim.

1 bosqich - baholang. Ushbu bosqichda tashkilotning barcha resurslarini aniqlash va inventarizatsiya qilish amalga oshiriladi. Ushbu bosqichda xatarlarni baholash, shuningdek zaifliklarni baholash, penetratsiyani baholash va tahdidlarni baholash amalga oshiriladi.

2 bosqich - dizayn. Ushbu bosqichda tashkilotning xavfsizlik siyosati ishlab chiqiladi va unda taklif qilingan choralar (qonunchilik, tashkiliy, dasturiy va texnik) samaradorligini baholash tamoyillari ishlab chiqiladi. Bunda birinchi bosqichda mavjud foydalanuvchilar haqida to'plangan ma'lumotlar hisobga olinadi tarmoq qurilmalari, muhim joy axborot resurslari va h.k.

3 bosqich - tarqatish. Ushbu bosqich doirasida himoya vositalarini o'rnatish, ularni qabul qilingan axborotni qayta ishlash texnologiyasida birlashtirish va sinovdan o'tkazish, foydalanuvchilarni xavfsizlik siyosati talablariga va o'rnatilgan himoya vositalarini ishlatish qoidalariga o'rgatish bo'yicha ishlar olib borilmoqda.

4 bosqich - operatsiya (boshqarish va qo'llab-quvvatlash). Ushbu bosqichda ko'rilgan choralarning samaradorligi va ularning ishlab chiqilgan xavfsizlik siyosati qoidalariga muvofiqligi baholanadi. Uning buzilishi bilan bog'liq hodisalar yuz berganda, ikkinchi bosqichda ishlab chiqilgan hodisalarni bartaraf etish rejasi amalga oshiriladi va natijada xavfsizlik siyosatining ayrim qoidalari qayta ko'rib chiqiladi. Axborotni qayta ishlash texnologiyasining o'zgarishi, yangi himoya texnologiyalarining paydo bo'lishi va boshqalar. shuningdek, ishlab chiqilgan hujjatlarni qayta ko'rib chiqishga turtki bo'ladi.

5-bosqich - ta'lim. O'qitish - bu yaxlit axborot xavfsizligi tizimini barpo etishning barcha bosqichlarida amalga oshiriladigan doimiy jarayon. Unda tashkilotning barcha xodimlari ishtirok etadilar: operatorlar, ma'murlar, menejerlar va boshqalar.

Ideal kompaniyada axborot xavfsizligini boshqarish jarayoni faol (profilaktika va doimiy) bo'ladi.

Axborot xavfsizligi samarali bo'lishi uchun u biznes xavfsizligi va biznes ehtiyojlari bilan chambarchas bog'liq bo'lishi kerak.
IT tashkilotidagi har qanday jarayon xavfsizlik bilan bog'liq muammolarni o'z ichiga olishi kerak. Xavfsizlik avtonom faoliyat emas; bu xizmat ko'rsatuvchi provayderning barcha jarayonlarida ishlaydigan mavzu.
Axborotni tartibga solish uchun tashkilot rahbariyati to'liq javobgardir. Axborotni himoyalashga ta'sir qiladigan barcha savollarga javob berish uchun menejment javobgardir. Direktorlar kengashi axborot xavfsizligini korporativ boshqaruvning ajralmas qismiga aylantirishi kerak.
Ruxsatlar

Axborot xavfsizligini boshqarish jarayoni va doirasi odatda quyidagilarni o'z ichiga oladi:
- Axborot xavfsizligi siyosati, strategiya, nazorat va tartibga solish aspektlariga bag'ishlangan siyosat to'plami tomonidan qo'llab-quvvatlanadi
- Axborot xavfsizligini boshqarish tizimi
- biznesning maqsadlari, strategiyalari va bilan chambarchas bog'liq bo'lgan umumiy xavfsizlik strategiyasi
rejalar

Xavfsizlik modeli samarali tashkiliy tuzilmani ham o'z ichiga olishi kerak.
Xavfsizlik bir kishining zimmasida emas, uni tashkilotning barcha darajalarida rollar rejimida ko'rib chiqish kerak.
Xavfsizlik menejmenti siyosatni saqlash va xavfsizlik xavfini boshqarish uchun zarur.
Nihoyat, xavfsizlik doirasi quyidagilarni ko'rib chiqishi va o'z ichiga olishi kerak:
- Muvofiqlikni ta'minlash va ishlash bo'yicha fikr-mulohazalarni ta'minlash uchun jarayonni nazorat qilish
- xavfsizlik bilan bog'liq kommunikatsiyalar strategiyasi va rejasi
- barcha xodimlarning o'z vazifalari to'g'risida bilimdon bo'lishlarini ta'minlash bo'yicha treninglar va strategiyalar va rejalar.

Axborot xavfsizligi siyosati

Axborot xavfsizligini boshqarish faoliyati Axborot xavfsizligi siyosatiga yo'naltirilgan bo'lishi va boshqarilishi kerak.
Axborot xavfsizligi siyosati IT-ni boshqarishda top-menejerlarning har tomonlama qo'llab-quvvatlashi va ideal holda biznesning yuqori darajadagi rahbarining ko'magi va sadoqati bo'lishi kerak.
Ushbu siyosat xavfsizlikning barcha sohalarini qamrab olishi, etarli bo'lishi va biznes ehtiyojlarini qondirishi kerak.
Axborot xavfsizligi siyosati barcha mijozlar va foydalanuvchilar uchun keng qo'llanilishi kerak.
Ushbu siyosat yuqori biznes va IT rahbariyati tomonidan tasdiqlanishi kerak.

Barcha xavfsizlik qoidalari kamida har yili ko'rib chiqilishi kerak va agar kerak bo'lsa.

Axborot xavfsizligini boshqarish tizimi

Axborot xavfsizligini boshqarish tizimi bu tashkilotning Axborot xavfsizligini boshqarish bo'yicha o'z maqsadlariga erishishini ta'minlaydigan siyosatlar, jarayonlar, standartlar, ko'rsatmalar va vositalar doirasidir.

Axborot xavfsizligini boshqarish tizimi biznes maqsadlarini qo'llab-quvvatlovchi iqtisodiy samarador axborot xavfsizligi dasturlarini ishlab chiqish uchun asos yaratadi.
Tizim nafaqat texnologiyani hisobga olishi kerak.

Buni ta'minlash uchun 4R (Odamlar, jarayonlar, mahsulotlar va sheriklar) texnikasidan foydalanish mumkin yuqori daraja barcha sohalarda xavfsizlik.

ISO 27001 - bu Axborot xavfsizligini boshqarish tizimining mustaqil sertifikatini taqdim etadigan rasmiy standart. Tashkilotlar xavfsizlik talablariga javob berishlarini tasdiqlash uchun sertifikat olishlari mumkin.

Axborot xavfsizligini boshqarish tizimi butun tashkilot bo'ylab muntazam ravishda va doimiy ravishda axborot xavfsizligi va boshqaruv jarayonlarini ishlab chiqish, amalga oshirish, boshqarish, saqlash va amalga oshirish uchun tashkiliy tuzilmani o'z ichiga oladi.

Quyidagi diagrammada axborot xavfsizligini boshqarish yondashuvi ko'rsatilgan
Tizimlar. Ushbu yondashuv keng qo'llaniladi va manbalarda, shu jumladan ISO 27001 da tavsiflangan tavsiyalar va tavsiyalarga asoslangan.

Nazorat

Axborot xavfsizligini boshqarish - bu Axborot xavfsizligini boshqarishning birinchi kichik jarayoni bo'lib, jarayonni boshqarish va tashkil qilishni nazarda tutadi. Ushbu faoliyat quyidagi kichik jarayonlarni tavsiflovchi tizimli Axborot xavfsizligini boshqarish yondashuvini o'z ichiga oladi: Xavfsizlik rejalarini shakllantirish, ularni amalga oshirish, amalga oshirishni baholash va baholashni yillik Xavfsizlik rejalariga (harakatlar rejalariga) kiritish. Shuningdek, u mijozga xizmat ko'rsatish darajasini boshqarish jarayoni orqali taqdim etilgan hisobotlarni tavsiflaydi.
Ushbu faoliyat sub-jarayonlarni, xavfsizlik funktsiyalarini, roli va javobgarligini belgilaydi. Shuningdek, u tashkiliy tuzilma, hisobot tizimi va boshqaruv oqimlarini tavsiflaydi (kim kimga ko'rsatma beradi, kim nima qiladi, taraqqiyot haqida qanday ma'lumot beriladi). To'plamdan quyidagi tadbirlar amaliy tavsiyalar Axborot xavfsizligini boshqarish ushbu faoliyat doirasida amalga oshiriladi.

Ichki ish qoidalari (siyosat):
- ichki ish qoidalarini (siyosatini) ishlab chiqish va amalga oshirish, boshqa qoidalar bilan bog'lanish;
- maqsadlar, umumiy tamoyillar va ahamiyat;
- pastki jarayonlarning tavsifi;
- funktsiyalar va majburiyatlarni pastki jarayonlar bo'yicha taqsimlash;
- boshqa ITIL jarayonlari va ularni boshqarish bilan bog'lanish;
- xodimlarning umumiy javobgarligi;
- xavfsizlik bilan bog'liq hodisalarni ko'rib chiqish.

Axborot xavfsizligini tashkil etish:
- tuzilish sxemasi boshqaruv;
- boshqaruv tuzilmasi (tashkiliy tuzilma);
- majburiyatlarni batafsilroq taqsimlash;
- Axborot xavfsizligini boshqarish qo'mitasini tashkil etish;
- axborot xavfsizligini muvofiqlashtirish;
- vositalar bo'yicha kelishuv (masalan, xatarlarni tahlil qilish va xabardorlikni oshirish uchun);
- mijoz bilan maslahatlashgan holda AT-ob'ektlar uchun avtorizatsiya jarayonining tavsifi;
- mutaxassislarning maslahati;
- tashkilotlar o'rtasidagi hamkorlik, ichki va tashqi o'zaro ta'sir;
- axborot tizimlarining mustaqil auditi;
- uchinchi shaxslar tomonidan ma'lumot olishda xavfsizlik tamoyillari;
- uchinchi shaxslar bilan tuzilgan shartnomalarda axborot xavfsizligi.

Rejalashtirish

Rejalashtirishning quyi jarayoni Xizmat darajasini boshqarish jarayoni ishtirokida xavfsizlik to'g'risidagi SLA bo'limining mazmunini aniqlashga va tashqi shartnomalar doirasida amalga oshiriladigan xavfsizlik bilan bog'liq faoliyatni tavsiflashga to'g'ri keladi. SLAda keng belgilangan vazifalar batafsil va Operatsion xizmat darajasi to'g'risidagi bitim (OLA) shaklida ko'rsatilgan. OLA xizmat ko'rsatuvchi provayderning tashkiliy tuzilmasi uchun xavfsizlik rejasi va ma'lum bir Xavfsizlik rejasi, masalan, har bir IT-platforma, dastur va tarmoq uchun qaralishi mumkin.

Rejalashtirishning quyi jarayoniga kiritiladigan ma'lumotlar nafaqat SLA qoidalari, balki xizmat ko'rsatuvchi provayderning xavfsizlik siyosatining tamoyillari (nazoratning quyi jarayonidan). Ushbu tamoyillarga misollar: "Har bir foydalanuvchi o'ziga xos tarzda aniqlanishi kerak"; "Asosiy xavfsizlik har doim barcha mijozlar uchun mavjud."

Axborot xavfsizligi bo'yicha operatsion xizmat darajasi to'g'risidagi shartnomalar (maxsus xavfsizlik rejalari) ishlab chiqilgan va amalga oshirilgan. Bu shuni anglatadiki, agar ushbu tadbirlar boshqa jarayonlarda zarur bo'lib qolsa, unda bu jarayonlar bilan muvofiqlashtirish zarur. Axborot xavfsizligi infratuzilmasidagi barcha kerakli o'zgarishlar O'zgarishlarni boshqarish jarayoni tomonidan Axborot xavfsizligini boshqarish jarayoni tomonidan taqdim etilgan ma'lumotlar yordamida amalga oshiriladi. O'zgarishlarni boshqarish jarayoni uchun mas'ul - jarayon menejeri.
Rejalashtirishning quyi jarayoni SLA xavfsizlik bo'limining tarkibini aniqlash, uni yangilash va unga muvofiqligini ta'minlash uchun xizmat ko'rsatish darajasini boshqarish jarayoni bilan muvofiqlashtirilgan. Ushbu muvofiqlashtirish uchun xizmatlar darajasini boshqarish jarayoni rahbari javobgardir.

Xavfsizlik talablari, agar iloji bo'lsa, o'lchov darajasida SLAda belgilanishi kerak. SLA ning xavfsizlik bo'limi mijozning barcha xavfsizlik talablari va standartlarini nazorat qilishni ta'minlashi kerak.

Amalga oshirish

Amalga oshirish (amalga oshirish) pastki jarayonining vazifasi - rejalarda belgilangan barcha tadbirlarni amalga oshirish. Ushbu quyi jarayonni quyidagi harakatlar ro'yxati bilan qo'llab-quvvatlash mumkin.

IT-resurslarni tasnifi va boshqarish:
- CMDB-da Konfiguratsiya birliklarini (CI) qo'llab-quvvatlash uchun kirish ma'lumotlarini taqdim etish;
- kelishilgan printsiplarga muvofiq IT-resurslarni tasnifi.

Xodimlar xavfsizligi:
- ish tavsifidagi vazifalar va javobgarlik;
- kadrlarni tanlash;
- xodimlar uchun maxfiylik to'g'risidagi shartnomalar;
- o'qitish;
- xavfsizlik hodisalarini hal qilish va aniqlangan xavfsizlik nuqsonlarini bartaraf etish bo'yicha xodimlarga ko'rsatma;
- intizomiy jazo;
- xavfsizlik masalalari to'g'risida xabardorlikni oshirish.

Xavfsizlikni boshqarish:
- javobgarlik turlarini joriy etish va majburiyatlarni taqsimlash;
- yozma ish yo'riqnomasi;
- ichki qoidalar;
- xavfsizlik choralari tizimlarning butun tsiklini qamrab olishi kerak; tizimni ishlab chiqish, sinovdan o'tkazish, qabul qilish uchun xavfsizlik qo'llanmalari bo'lishi kerak operatsion foydalanish, texnik xizmat ko'rsatish va ish muhitidan olib tashlash;
- ishlab chiqish va sinov muhitini operatsion (ishlab chiqarish) muhitidan ajratish;
- hodisalarni boshqarish protseduralari (hodisalarni boshqarish jarayoni tomonidan amalga oshiriladi);
- tiklash vositalaridan foydalanish;
- O'zgarishlarni boshqarish jarayoni uchun kirish ma'lumotlarini taqdim etish;
- viruslardan himoya qilish choralarini amalga oshirish;
- kompyuterlar, dasturlar, tarmoqlar va tarmoq xizmatlarini boshqarish usullarini amalga oshirish;
- ma'lumotlar tashuvchilarni to'g'ri ishlash va himoya qilish.

Kirish nazorati:
- kirish siyosatini amalga oshirish va erkin foydalanishni boshqarish;
- tarmoqlarga, tarmoq xizmatlariga, kompyuterlarga va dasturlarga foydalanuvchi va dasturga kirish huquqini qo'llab-quvvatlash;
- tarmoqni himoya qilish to'siqlarini qo'llab-quvvatlash (xavfsizlik devori, kirish xizmatlari telefon liniyasi, ko'priklar va marshrutizatorlar);
- identifikatsiyalash va avtorizatsiya qilish usullarini amalga oshirish kompyuter tizimlari, tarmoqdagi ish stantsiyalari va kompyuterlar

Baholash

Rejalashtirilgan tadbirlarning amalga oshirilishini mustaqil baholash zarur. Ushbu baho samaradorlikni aniqlash uchun zarur, shuningdek mijozlar va uchinchi shaxslar tomonidan talab qilinadi. Baholashning quyi jarayoni natijalari mijoz bilan kelishilgan tadbirlarni to'g'rilash, shuningdek ularni amalga oshirish uchun ishlatilishi mumkin. Baholash natijalariga ko'ra o'zgarishlarni taklif qilish mumkin, bu holda O'zgarishlar to'g'risida so'rov (RFC) shakllantiriladi va O'zgarishlarni boshqarish jarayoniga yuboriladi.
Baholashning uch turi mavjud:
- o'z-o'zini baholash: birinchi navbatda tashkilotning yo'nalish bo'limlari tomonidan amalga oshiriladi;
- ichki audit: ichki AT-auditorlar tomonidan amalga oshiriladi;
- tashqi audit: tashqi IT-auditorlar tomonidan amalga oshiriladi.
O'z-o'zini baholashdan farqli o'laroq, auditorlik tekshiruvlarini boshqa sub-jarayonlarda qatnashadigan xodimlar amalga oshirmaydi. Bu tashvishlarni ajratilishini ta'minlash uchun zarur. Auditni ichki audit bo'limi amalga oshirishi mumkin.
Baholash, shuningdek, hodisalarga javoban amalga oshiriladi.
Asosiy faoliyat turlari:
- xavfsizlik siyosatiga muvofiqligini tekshirish va xavfsizlik rejalarining bajarilishi;
- AT tizimlari xavfsizligi auditini o'tkazish;
- axborot resurslaridan noo'rin foydalanish bo'yicha choralarni aniqlash va ko'rish;
- boshqa AT-audit turlarida xavfsizlik jihatlarini tekshirish.

Qo'llab-quvvatlash

IT infratuzilmasidagi, kompaniyadagi va biznes jarayonlaridagi o'zgarishlarning o'zgaruvchan xatarlari tufayli xavfsizlik choralarini tegishli qo'llab-quvvatlashni ta'minlash zarur. Xavfsizlikni qo'llab-quvvatlash SLA-larning tegishli xavfsizlik bo'limlarini qo'llab-quvvatlashni va Xavfsizlikning batafsil rejalarini qo'llab-quvvatlashni o'z ichiga oladi (Operatsion xizmati darajasi bo'yicha kelishuv darajasida).
Xavfsizlik tizimining samarali ishlashini ta'minlash Xatarlarning o'zgarishini baholash va tahlil qilish subprocess natijalari asosida amalga oshiriladi. Takliflar rejalashtirishning quyi jarayonining bir qismi sifatida yoki butun SLAni qo'llab-quvvatlashning bir qismi sifatida amalga oshirilishi mumkin. Qanday bo'lmasin, qilingan takliflar yillik xavfsizlik rejasiga qo'shimcha tashabbuslarni kiritilishiga olib kelishi mumkin. Har qanday o'zgarishlar odatdagi O'zgarishlarni boshqarish jarayonining bir qismi sifatida qayta ishlanadi.

Qo'llab-quvvatlashning maqsadi xavfsizlik tartibini takomillashtirishdir
xizmat darajasi to'g'risidagi bitimlarda va operatsion darajadagi shartnomalarda ko'rsatilgan va
xavfsizlik va nazorat choralarini amalga oshirishni takomillashtirish.

Ta'minotga Reja-Do-Check-Act tsikli bilan erishish kerak, ya'ni
xavfsizlikni boshqarish bo'yicha axborot tizimini yaratish uchun ISO 27001 tomonidan taklif qilingan rasmiy yondashuv. Bu CSIda batafsil bayon etilgan.

To'g'ri amalga oshirilganda, axborot xavfsizligini boshqarish oltita asosiy natijaga ega bo'lishi kerak. Quyida to'liq ro'yxat natijalar va tegishli ma'lumotlar.

Strategik tekislash:
o Xavfsizlik talablari korporativ talablar bilan belgilanishi kerak
o Xavfsizlik echimlari korporativ jarayonlarga mos kelishi kerak
axborot xavfsizligi sarmoyalari korxona strategiyasi va kelishilgan xatarlarga muvofiq bo'lishi kerak

Yetkazib berish qiymati:
o Xavfsizlik usullarining standart to'plami, ya'ni Boshlang'ich xavfsizlikka muvofiq talablar
o Biznesga eng katta ta'sir ko'rsatadigan va foyda keltiradigan sohalar bo'yicha to'g'ri ajratilgan ustuvorliklar va sa'y-harakatlar
o Institutsional va ommaviy echimlar
o Tashkilot va jarayonni qamrab oladigan kompleks echimlar hamda doimiy takomillashtirish madaniyati texnologiyalari

Xatarlarni boshqarish:
o Kelishilgan xavf profili
o Xavfli ta'sirni tushunish
o Xatarlarni boshqarish ustuvor yo'nalishlari to'g'risida xabardor bo'lish
o xavfni kamaytirish
o Qabul qilish / hurmat qilish xavfi

Ish samaradorligini boshqarish:
o Metrikalar to'plami aniqlangan va kelishilgan
o Bo'shliqlarni aniqlash va ta'minlashga yordam beradigan o'lchov jarayoni aniqlandi mulohaza muammolarni hal qilishdagi taraqqiyot to'g'risida
o Mustaqil ta'minot

Resurslarni boshqarish:
o yig'ilgan va mavjud bo'lgan bilimlar
o hujjatlashtirilgan xavfsizlik jarayonlari va amaliyoti
o Infrastruktura resurslaridan samarali foydalanish uchun mo'ljallangan xavfsizlik arxitekturasi
- biznes jarayonlarini qo'llab-quvvatlash.

Ixtiyoriy sertifikatlashtirish tizimi

"ALOQA - SAMARALIK"

ROSS RU.M821.04FBG0

Axborot xavfsizligini boshqarish tizimi " Ning asosiy darajasi aloqa operatorlarining axborot xavfsizligi "

Sertifikatlash testlarining talablari, dasturi va usuli

1 Kirish 1

2 doirasi

4.2 Operator siyosatiga qo'yiladigan talablar 5

4.3 Funktsional talablar 6

4.4. Birgalikda ishlash talablari 7

5 Sertifikatlashtirish test dasturi 7

5.1. 7-sinov topshirig'i

5.2. Sinov maqsadi 7

6 Sertifikatlash testlarini o'tkazish metodikasi 8

6.1. Sinov shartlari 8

6.2. Sinov usuli 9

1.Kirish

Axborot xavfsizligini boshqarish tizimiga qo'yiladigan talablar "Telekommunikatsiya operatorlarining axborot xavfsizligining asosiy darajasi" (keyingi o'rinlarda - Talablar) axborot xavfsizligining asosiy darajasini belgilaydi, ulardan foydalangan holda har bir operator tarmoq va axborot xavfsizligi holatini hisobga olgan holda qaysi xavfsizlik standartlari dolzarbligi, ushbu standartlardan qaysi biri, qachon ishlatilishi va qanday qo'llanilishi kerakligi, shuningdek, tashuvchining axborot xavfsizligini birgalikda hal qilish uchun boshqa tashuvchilar, foydalanuvchilar va huquqni muhofaza qilish idoralari bilan o'zaro aloqada bo'lish istagi va qobiliyatini tavsiflaydi. tahdidlar.

Talablar minimal tavsiyalar to'plamini ifodalaydi, ularni amalga oshirish aloqa xizmatlarining axborot xavfsizligini etarli darajada kafolatlaydi, shu bilan birga operatorlar, foydalanuvchilar va regulyator manfaatlari muvozanatini ta'minlaydi.

Dastur va metodikada aloqa operatorlarining axborot xavfsizligining asosiy darajasini sertifikatlashtirish testlarining barcha turlari, shartlari, ko'lami va usullari aniqlangan.

Ushbu hujjat aloqa operatori quyidagi hollarda ishlatilishi mumkin:

    belgilangan talablarga javob beradigan aloqa xizmatlarini ko'rsatish qobiliyatini namoyish etishi kerak;

    o'zaro aloqada bo'lgan aloqa operatorlariga ular bilan birgalikda axborot xavfsizligiga tahdidlarga qarshi turish qobiliyati va tayyorligini namoyish etishga qaratilgan.

2 qamrov doirasi

      Ushbu talablar, dastur va metodika Xalqaro elektraloqa ittifoqining (ITU-T) standartlashtirish sektori tavsiyasi asosida X seriya, 2-ilova, "Aloqa - samaradorlik" ixtiyoriy sertifikatlash tizimi to'g'risidagi nizomga muvofiq ishlab chiqilgan. X.800-X849 ITU-T - aloqa operatorlarining axborot xavfsizligining asosiy darajasida qo'llanilishi ".

      Ushbu Talablar, dastur va metodika ixtiyoriy sertifikatlashtirish tizimi uchun ishlab chiqilgan va aloqa operatorlari, sertifikatlashtirish markazlari va laboratoriyalar uchun "Aloqa operatorlari axborot xavfsizligining asosiy darajasi" Axborot xavfsizligini boshqarish tizimining ixtiyoriy sertifikatini o'tkazishda mo'ljallangan. - samaradorlik "ixtiyoriy sertifikatlash tizimi.

3 Normativ ma'lumotnomalar, ta'riflar va qisqartmalar

3.1. Ushbu talablarda dastur va metodika, quyidagi me'yoriy hujjatlarga havolalar qo'llaniladi:

    Federal qonun 2006 yil 27 iyuldagi № 149-FZ "Axborot to'g'risida, axborot texnologiyalari va axborotni muhofaza qilish "mavzusida.

    Rossiya Federatsiyasining 2000 yil 9 sentyabrdagi Pr-1895-sonli Axborot xavfsizligi doktrinasi.

    Telekommunikatsiya tarmoqlarini ulash qoidalari va ularning o'zaro ta'siri (Rossiya Federatsiyasi Hukumatining 2005 yil 28 martdagi 161-sonli qarori bilan tasdiqlangan).

    GOST R 50739-95 Kompyuter uskunalari. Axborotni buzishdan himoya qilish. Umumiy texnik talablar.

    GOST R 52448-2005 Axborot xavfsizligi. Telekommunikatsiya tarmoqlari xavfsizligini ta'minlash. Umumiy holat.

    GOST R ISO / IEC 15408-2002 Axborot texnologiyalari. Xavfsizlik usullari va vositalari. Axborot texnologiyalari xavfsizligini baholash mezonlari.

    GOST R ISO / IEC 27001-2006 Axborot xavfsizligi usullari. Axborot xavfsizligini boshqarish tizimlari. Talablar.

    OST 45.127-99. O'zaro bog'langan aloqa tarmog'ining axborot xavfsizligi tizimi Rossiya Federatsiyasi... Atamalar va ta'riflar.

    Xalqaro elektraloqa ittifoqi (ITU-T) standartlashtirish sektori bo'yicha tavsiyasi, X seriyasi, 2-ilova, "ITU-T X.800-X849 seriyasi - aloqa operatorlarining axborot xavfsizligining asosiy darajasiga qo'shimcha".

3.2. Ushbu talablarda dastur va metodika, "Aloqa to'g'risida" Federal qonunining ta'riflariga mos keladigan atamalar qo'llaniladi va quyidagi atamalar va qisqartmalar qo'shimcha ravishda belgilanadi:

Hisob qaydnomasi- foydalanuvchi nomi (login), uning yashirin individual belgilari (parol) va kirish huquqini olish uchun zarur bo'lgan boshqa ma'lumotlarni o'z ichiga olgan axborot tizimi foydalanuvchisining shaxsiy kabineti, uskunalar dasturiy ta'minoti.

Antivirus dasturi - ma'lumotlar yaxlitligi, mavjudligi va maxfiyligini buzish uchun maxsus ishlab chiqilgan zararli dasturiy ta'minot kodini aniqlash va o'chirish (blokirovka qilish) uchun mo'ljallangan maxsus dasturiy ta'minot.

Xizmat hujumini rad etish - qonuniy foydalanuvchilar tizim yoki uskunalar tomonidan taqdim etilgan manbalardan foydalana olmaydigan sharoitlarni yaratish uchun axborot tizimiga yoki uskunalariga qasddan ta'sir o'tkazish yoki bunday kirish qiyin bo'ladi.

Aloqa operatorining axborot xavfsizligi - aloqa operatorining axborot resurslarini va ularni qo'llab-quvvatlovchi infratuzilmani tabiiy yoki sun'iy tabiatning tasodifiy yoki qasddan ta'siridan himoya qilish holati, aloqa operatoriga, aloqa xizmatlaridan foydalanuvchilarga zarar etkazilishi bilan ta'minlangan va ta'minlash qobiliyati bilan ajralib turadi. uni saqlash, qayta ishlash va uzatish paytida maxfiyligi, yaxlitligi va mavjudligi.

Litsenziya shartnomasi - dasturiy ta'minot egasi va uning nusxasidan foydalanuvchi o'rtasida kelishuv

Telekommunikatsiya operatori -tegishli litsenziya asosida aloqa xizmatlarini ko'rsatuvchi yuridik yoki yakka tartibdagi tadbirkor.

Xizmat ko'rsatuvchi provayderning xavfsizlik siyosati - aloqa operatori tomonidan bajarilishi kerak bo'lgan hujjatlashtirilgan xavfsizlik siyosati, protseduralari, amaliyoti yoki ko'rsatmalari to'plami.

Xizmat ko'rsatuvchi provayder - abonentga ma'lum turdagi aloqa xizmatlarini ko'rsatish (etkazib berish) bilan shug'ullanadigan va ushbu xizmatlar bilan bog'liq bo'lgan tarmoq imkoniyatlaridan muvofiqlashtirilgan foydalanishni ta'minlaydigan yuridik shaxs.

Spam - yuborilgan kiruvchi yozishmalar elektron formatda (qoida tariqasida, elektron pochta orqali).

Xatarlarni boshqarish - aloqa operatorining axborot tizimlari va ularni qo'llab-quvvatlovchi infratuzilmani ta'sir qilishi mumkin bo'lgan axborot xavfsizligi xavflarini aniqlash, nazorat qilish, kamaytirish yoki butunlay yo'q qilish jarayoni (qabul qilinadigan narx bo'yicha).

Maqola sizga yoqdimi? Do'stlar bilan bo'lishish uchun:
Siz ham qiziqishingiz mumkin