SlideShare uma empresa Scribd logo

Iso 27001

Transferir como DOC, PDF
D
dilcom
Educação
1 de 7
ISO 27001:2005 "Системи за управление на информационната сигурност. Изисквания" (Information technology - Security techniques - Information security management systems - Requirements) ISMS Какво е ISO 27001:2005?: • ISO 27001:2005 е стандарт, който поставя изисквания към Системите за управление на информационната сигурност(ISMS). • ISO 27001:2005 е проложим за всички видове организации: търговски, нетърговски, правителствени и неправителствени. • Системата за управление на информационната сигурност (ISMS) е подход за управление на чувствителната за компанията информация по начин, който гарантира запазването на нейната сигурност. Тази информация може да бъде фирмена - ноу-хау, лични данни, както и собственост на клиента. • ISO 27001:2005 е подходящ за няколко типа приложение: o за определяне на изискванията и целите на информационната сигурност; o за гарантиране, че информационният риск се управлява ефективно, от гледна точка на средства; o за гарантиране, че организациите изпълняват законодателството и други регулативни изисквания; o за определяне на нови процеси за управление на информационната сигурност; o за определяне на съществуващите процеси за управление на информационната сигурност; o за установяване на съответствие от вътрешни и външни одитори в организациите с политиките, нормативната уредба и приложимите стандарти; o за предоставяне на клиентите на съответната информация за информационната сигурност. • За да съхрани информацията си, организацията трябва да: o дефинира политика по информационната сигурност; o да идентифицира и оцени рисковете за сигурността; o да определи и внедри подходящи контроли за сигурността на информацията. • ISO 27001:2005 изисква стриктно спазване на съответните законови, подзаконови и договорни задължения по отношение на информационната сигурност, оптимизирано използване на наличните ресурси, както и периодични вътрешни проверки на системата с цел непрекъснато усъвършенстване. • Сертификацията на Система за управление на информационната сигурност, съгласно ISO 27001:2005 доказва, че Вашата организация гарантира в максимална степен сигурността както на собствената си информация, така и на тази на своите клиенти. • Внедрената и функционираща Система за информационна сигурност (ISMS) ще гарантира също така осигуряването на непрекъсваемостта на Вашия бизнес, в случаи на извънредни ситуации и кризи. ISO/IEC 27001
Информацията е един от основните бизнес ресурси, който обезпечава добавената стойност на организацията и вследствие на това се нуждае от защита. Слабите места в защитата на информацията могат да доведат до финансови загуби и да нанесе вреда на търговските операции. Затова въпросът за разработването на система за управление на информационната безопасност и внедряването й в организацията се явява концептуален. Международният стандарт ISO/IEC 27001:2005 "Информационни технологии - Методи на обезпечаване на безопасността - Системи за управление на информационната безопасност - Изисквания" е разработен от Международната организация по стандартизация (ISO) и Международната електротехническа комисия (IEC) въз основа на британския стандарт BS 7799. Този нов стандарт представлява допълнение към стандарта ISO/IES17799:2005 "Информационни технологии - Методи на обезпечаване на безопасността - Практически правила на управлението на информационната безопасност". Стандартът ISO 27001 определя информационната безопасност като: "запазване на конфиденциалността, целостта и достъпността на информацията; освен това могат да бъдат включени и други свойства, като автентичност, невьзможност за отказ от авторство, достоверност". Конфиденциалност - обезпечаване на достъп до информацията само за тези, които имат съответните правомощия за това (оторизирани ползватели); Цялост - обезпечаване на точността и пълнотата на информацията и методите за нейната обработка; Достъпност - обезпечаване на достъпа до информацията за оторизирани ползватели когато това е необходимо (по заявка). ISO/IEC 27001:2005 представлява списък с изискванията към системата за управление на информационната безопасност, задължителни за сертификация, а стандартът ISO/IEC 17799:2005 се явява ръководство по внедряването, което може да се използва при проектирането на механизмите за контрол, избрани от организацията за намаляване рисковете на информационната безопасност. Стандартът ISO 27001 определя процесите, които дават възможност на бизнеса да определя, използва, променя, контролира и поддържа ефективна система на управление на информационната безопасност; определят се изискванията към разработването, внедряването, функционирането, мониторинга, анализа, поддържането и усъвършенстването на документираната система за управление на информационната безопасност в контекста на съществуващите за бизнеса рискове. Системата за управление на информационната безопасност според стандарта ISO 27001 позволява: • Повечето информационни активи да станат разбираеми за ръководството на компанията; • Да се определят основните заплахи за безопасността на съществуващите бизнес процеси; • Да се оцени риска и да се вземат решения въз основа на бизнес целите на компанията; • Да се обезпечи ефективно управление на системата в критични ситуации; • Да се изпълнява политика по безопасност (откриване и отстраняване на слабите места в информационната безопасност); • Да се определи ясно личната отговорност; • Да се снижат и оптимизират разходите по поддръжката на системата за безопасност;
• Да се облекчи интегрирането на подсистемата за безопасност в бизнес процесите и със системата за управление на качеството според ISO 9001:2000; • Да се демонстрира на клиентите, партньорите, собствениците отговорността към информационната безопасност; • Да се получи международно признание и да се повиши авторитета на компанията, както на вътрешния, така и външните пазари; Наред с елементите на управлението на компютрите и компютърните мрежи, стандартът отделя голямо внимание на въпросите от политиката на безопасност, работата с персонала (назначаване, обучение, освобождаване), обезпечаването на непрекъснатостта на производствения процес, на юридическите изисквания. Изискванията на стандарта имат общ характер и могат да бъдат използвани от широк кръг организации - малки, средни и големи - от търговския и индустриалния сектор на пазара, финансови и застрахователни фирми, фирми от сферата на комуникациите, комуналните услуги, други услуги, транспорт, органи на властта и много други. Стандартът ISO 27001 е хармонизиран със стандартите на системите за управление на качеството ISO 9001:2000 и на околната среда ISO 14001:2004 и се основава на техните основни принципи. Нещо повече, задължителните процедури на стандарта ISO 9001 се изискват и от стандарта ISO 27001. Структурата на документацията по изискванията на ISO 27001 е аналогична по структура на изискванията на ISO 9001. Голямата част от документацията по ISO 27001, вече е разработена и се използва в рамките на ISO 9001. По този начин ако организацията има система за управление в съответствие с ISO 9001 или ISO 14001), то е препоръчително изпълнението на изискванията на стандарта ISO 27001 да се обезпечава в рамките на вече съществуващите системи. По стандарта ISO/IEC 27001:2005 може да се проведе официална сертификация на системата за управление на информационната безопасност. Сертификация по този стандарт позволява нагледно да се покаже на деловите партнъори, че в компанията защитата на информацията е поставена на високо ниво и е внедрено ефективно управление на информационната безопасност. По данни на ISMS International User Group (август 2007), в света са издадени 3 879 сертификати, от които 72% в Далечния Изток (в Япония - 3790), а 18 % в Европа. От най-известните компании, които вече имат официална сертификация по стандарта ISO/IEC 27001:2005 (BS 7799), може да се изброят: CANON, Fuji Xerox, Fujitsu, Hitachi, Mitsubishi Electric, NEC, Sony, Toshiba, Federal Reserve Bank of New York, Telecom Italia, Japan Telecom, подразделения Siemens, British Telecom, T-Mobile, Ericsson, Samsung, Hyundai, Vodafone, СMA СТАНДАРТ ISO/IEC 27001 Система за управление сигурността на информацията СУСИ Information security management system ISMS [Home] [Съдържание] [Бизнес консултации] [Инфопедия ] [Асеневци] СТАНДАРТИЗАЦИЯ НА ИНФОРМАЦИОННАТА СИГУРНОСТ Предназначение на стандарта ОРАНЖЕВА КНИГА Този международен стандарт е разработен, за да се осигури модел ПРЕПОРЪКИ X 800 за създаване, СТАНДАРТ ISO/IEC 15408 изпълнение,функциониране, наблюдение, преглед, поддържане и
подобряване на система за управление СЕРИЯ СТАНДАРТИ ISO 2700х на сигурността на информацията (СУСИ). СТАНДАРТ ISO/IEC 27001 Внедряването на СУСИ е СТАНДАРТ IS0/IЕС 1779 стратегическо решение за една организа. Създаването и внедряването на СУСИ на организацията зависят от: • Нейните потребности и цели; • От изискванията по отношение на сигурността; • От включените процеси; • От големината и структурата на организацията. Характерни особености СУСИ • СУСИ отговаря на всичкиизисквания за система ; • СУСИ е динамична и постоянно променяща се система, адаптираща се към изискванията на вътрешната и външна среда ; • СУСИ може да се използва всяка оргаиянизац, без значение от нейните мащаби, разположение, тип на дейност и т.н. • СУСИ се базира на процедура заоценка и анализ на риска, насочена към пресмятане на интегралните показатели за сигурност на ключовите информационни активи и избор на мерки за минимизация на рисковете до приемливо остатъчно ниво. • СУСИ се проектира по такъв начин, че да осигури адекватни мерки, в съответствие с предложените в стандарта ISO/IEC17799/270 02практики и защитни механизми. • Организационният модел,
по който се проектира и работи СУСИ се базира напроцесния подходи по специално на цикъла на Деминг. Процесен подход ISO/IEC 27001възприема използването на процесния подход при изграждането,внедряването, функционирането, наблюдението, прегледа, поддържането и подобряването на СУСИ на организацията. За да функционира ефикасно, една организация трябва да идентифицира и управлява много дейности. Всяка дейност, която използва ресурси и се управлява с цел превръщането на входните елементи визходни, може да се счита за процес. Често пъти изходните данни от един процес се явяват входни данни за следващия. Прилагането на система от процеси в организацията, заедно с идентифицирането и взаимодействието на тези процеси и тяхното управление се нарича „процесен подход". Процесният подход за управление на сигурността на информацията, представен в стандарта, съдейства на тези, които го прилагат, да осъзнаят важността от: • Разбиране на изискванията за сигурност на организацията и необходимостта от създаване наполитика и цели по сигурност на информацията; • Внедряване и прилагане на различни механизми за контрол в контекста на управлението на общия риск на организацията, свързан с нейната дейност • Наблюдение и преглед на функционирането и
ефикасността на СУСИ; • Непрекъснато подобряване, основано на обективни измервания. Стандартът приема модела „планиране – изпълнение – проверка - действие, ПИПД" (Рlап –Dо -Спеск - Асt, РОСА), който се използва за всички процеси в рамките на СУСИ. На фигурата е показано как СУСИ използва като входни данни изискванията за сигурност на информацията и очакванията назаинтересованите страни и чрез прилагането на необходимите действия и процеси получава като резултат управлявана сигурност на информацията, която отговаря на тези изисквания и очаквания. Планиране(създаване на СУСИ) Създаване на политика, цели, процеси и процедури на СУСИ във връзка с управлението на риска и
подобряването на сигурността на информацията за постигане на резултати в съответствие с общата политика и цели наорганизацията. Изпълнение (внедряване ифункциониране на СУСИ) Внедряване и функциониране на политиката, механизмите за контрол, процесите и процедурите на СУСИ. Проверка (наблюдение и преглед на СУСИ) Оценяване и, където е приложимо, измерване на изпълнението напроцесите спрямо политиката по сигурността, целите и практическия опит, и докладване на резултатите на ръководството за преглед. Действие (поддържане иподобряване на СУСИ) Предприемане на кор ...

Recomendados

Въведение в международния стандарт ISO 27001
Въведение в международния стандарт ISO 27001Въведение в международния стандарт ISO 27001
Въведение в международния стандарт ISO 27001Zdravko Stoychev, CISM, CRISC
 
ТЕЛЕПОЛ
ТЕЛЕПОЛТЕЛЕПОЛ
ТЕЛЕПОЛBNI Bulgaria
 
แป้ง
แป้งแป้ง
แป้งpangza
 
Report on Vietnam World Bank Public Information Conner in 2011
Report on Vietnam World Bank Public Information Conner in 2011Report on Vietnam World Bank Public Information Conner in 2011
Report on Vietnam World Bank Public Information Conner in 2011Hieu Thieu
 
F:\แป้ง
F:\แป้งF:\แป้ง
F:\แป้งpangza
 
Research.
Research.Research.
Research.sophie upton
 
แป้ง
แป้งแป้ง
แป้งpangza
 
Presentasjon first lego league fremtidens læring
Presentasjon first lego league fremtidens læringPresentasjon first lego league fremtidens læring
Presentasjon first lego league fremtidens læringErlend Thune
 

Recomendados

Въведение в международния стандарт ISO 27001
Въведение в международния стандарт ISO 27001Въведение в международния стандарт ISO 27001
Въведение в международния стандарт ISO 27001Zdravko Stoychev, CISM, CRISC
 
ТЕЛЕПОЛ
ТЕЛЕПОЛТЕЛЕПОЛ
ТЕЛЕПОЛBNI Bulgaria
 
แป้ง
แป้งแป้ง
แป้งpangza
 
Report on Vietnam World Bank Public Information Conner in 2011
Report on Vietnam World Bank Public Information Conner in 2011Report on Vietnam World Bank Public Information Conner in 2011
Report on Vietnam World Bank Public Information Conner in 2011Hieu Thieu
 
F:\แป้ง
F:\แป้งF:\แป้ง
F:\แป้งpangza
 
Research.
Research.Research.
Research.sophie upton
 
แป้ง
แป้งแป้ง
แป้งpangza
 
Presentasjon first lego league fremtidens læring
Presentasjon first lego league fremtidens læringPresentasjon first lego league fremtidens læring
Presentasjon first lego league fremtidens læringErlend Thune
 
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...Светла Иванова
 
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешно
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешноЗащо ни трябва софтуер, за да управляваме бизнеса си по-успешно
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешноBGService Ltd.
 
BG PROSPER - Module 1 - Unit 5.pptx
BG PROSPER - Module 1 - Unit 5.pptxBG PROSPER - Module 1 - Unit 5.pptx
BG PROSPER - Module 1 - Unit 5.pptxcaniceconsulting
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnielazzi
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnielazzi
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnielazzi
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnielazzi
 
nZoom в помощ на СУК
nZoom в помощ на СУКnZoom в помощ на СУК
nZoom в помощ на СУКBGService Ltd.
 
Presentation VIP CONSULT LTD 12.4
Presentation VIP CONSULT LTD 12.4Presentation VIP CONSULT LTD 12.4
Presentation VIP CONSULT LTD 12.4ВИП КОНСУЛТ ЕООД / VIP CONSULT LTD
 
VIP CONSULT LTD 2011.14
VIP CONSULT LTD 2011.14VIP CONSULT LTD 2011.14
VIP CONSULT LTD 2011.14ВИП КОНСУЛТ ЕООД / VIP CONSULT LTD
 
VIP CONSULT LTD 2010.20.104
VIP CONSULT LTD 2010.20.104VIP CONSULT LTD 2010.20.104
VIP CONSULT LTD 2010.20.104ВИП КОНСУЛТ ЕООД / VIP CONSULT LTD
 
средства за защита на данни
средства за защита на даннисредства за защита на данни
средства за защита на данниХристиян Георгиев
 
GoodSpring Портфолио
GoodSpring ПортфолиоGoodSpring Портфолио
GoodSpring ПортфолиоTodor Todorov
 
Презентация на eCompany.Pro
Презентация на eCompany.ProПрезентация на eCompany.Pro
Презентация на eCompany.ProMoby2 Ltd.
 
Llp projects info
Llp projects infoLlp projects info
Llp projects infoilko gruev
 
Presentation vip consult ltd 15 standart
Presentation vip consult ltd 15 standartPresentation vip consult ltd 15 standart
Presentation vip consult ltd 15 standartВИП КОНСУЛТ ЕООД / VIP CONSULT LTD
 
Поддръжка и безопасност и здраве при работа
Поддръжка и безопасност и здраве при работаПоддръжка и безопасност и здраве при работа
Поддръжка и безопасност и здраве при работаZbut.Eu
 
Company presentation rid retail in detail
Company presentation rid retail in detailCompany presentation rid retail in detail
Company presentation rid retail in detailRetail In Detail - R.I.D.
 
GDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данниGDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данниPavlin Koldamov
 
ISACA Day - New CSX Certifications
ISACA Day - New CSX CertificationsISACA Day - New CSX Certifications
ISACA Day - New CSX CertificationsZdravko Stoychev, CISM, CRISC
 

Mais conteúdo relacionado

Semelhante a Iso 27001

ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...Светла Иванова
 
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешно
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешноЗащо ни трябва софтуер, за да управляваме бизнеса си по-успешно
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешноBGService Ltd.
 
BG PROSPER - Module 1 - Unit 5.pptx
BG PROSPER - Module 1 - Unit 5.pptxBG PROSPER - Module 1 - Unit 5.pptx
BG PROSPER - Module 1 - Unit 5.pptxcaniceconsulting
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnielazzi
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnielazzi
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnielazzi
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnielazzi
 
nZoom в помощ на СУК
nZoom в помощ на СУКnZoom в помощ на СУК
nZoom в помощ на СУКBGService Ltd.
 
GoodSpring Портфолио
GoodSpring ПортфолиоGoodSpring Портфолио
GoodSpring ПортфолиоTodor Todorov
 
Презентация на eCompany.Pro
Презентация на eCompany.ProПрезентация на eCompany.Pro
Презентация на eCompany.ProMoby2 Ltd.
 
Llp projects info
Llp projects infoLlp projects info
Llp projects infoilko gruev
 
Поддръжка и безопасност и здраве при работа
Поддръжка и безопасност и здраве при работаПоддръжка и безопасност и здраве при работа
Поддръжка и безопасност и здраве при работаZbut.Eu
 
GDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данниGDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данниPavlin Koldamov
 

Semelhante a Iso 27001 (20)

ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
 
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешно
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешноЗащо ни трябва софтуер, за да управляваме бизнеса си по-успешно
Защо ни трябва софтуер, за да управляваме бизнеса си по-успешно
 
BG PROSPER - Module 1 - Unit 5.pptx
BG PROSPER - Module 1 - Unit 5.pptxBG PROSPER - Module 1 - Unit 5.pptx
BG PROSPER - Module 1 - Unit 5.pptx
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnie
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnie
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnie
 
Internet systoqnie
Internet systoqnieInternet systoqnie
Internet systoqnie
 
nZoom в помощ на СУК
nZoom в помощ на СУКnZoom в помощ на СУК
nZoom в помощ на СУК
 
Presentation VIP CONSULT LTD 12.4
Presentation VIP CONSULT LTD 12.4Presentation VIP CONSULT LTD 12.4
Presentation VIP CONSULT LTD 12.4
 
VIP CONSULT LTD 2011.14
VIP CONSULT LTD 2011.14VIP CONSULT LTD 2011.14
VIP CONSULT LTD 2011.14
 
VIP CONSULT LTD 2010.20.104
VIP CONSULT LTD 2010.20.104VIP CONSULT LTD 2010.20.104
VIP CONSULT LTD 2010.20.104
 
средства за защита на данни
средства за защита на даннисредства за защита на данни
средства за защита на данни
 
GoodSpring Портфолио
GoodSpring ПортфолиоGoodSpring Портфолио
GoodSpring Портфолио
 
Презентация на eCompany.Pro
Презентация на eCompany.ProПрезентация на eCompany.Pro
Презентация на eCompany.Pro
 
Llp projects info
Llp projects infoLlp projects info
Llp projects info
 
Presentation vip consult ltd 15 standart
Presentation vip consult ltd 15 standartPresentation vip consult ltd 15 standart
Presentation vip consult ltd 15 standart
 
Поддръжка и безопасност и здраве при работа
Поддръжка и безопасност и здраве при работаПоддръжка и безопасност и здраве при работа
Поддръжка и безопасност и здраве при работа
 
Company presentation rid retail in detail
Company presentation rid retail in detailCompany presentation rid retail in detail
Company presentation rid retail in detail
 
GDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данниGDPR - общ регламент за защита на личните данни
GDPR - общ регламент за защита на личните данни
 
ISACA Day - New CSX Certifications
ISACA Day - New CSX CertificationsISACA Day - New CSX Certifications
ISACA Day - New CSX Certifications
 

Iso 27001

  • 1. ISO 27001:2005 "Системи за управление на информационната сигурност. Изисквания" (Information technology - Security techniques - Information security management systems - Requirements) ISMS Какво е ISO 27001:2005?: • ISO 27001:2005 е стандарт, който поставя изисквания към Системите за управление на информационната сигурност(ISMS). • ISO 27001:2005 е проложим за всички видове организации: търговски, нетърговски, правителствени и неправителствени. • Системата за управление на информационната сигурност (ISMS) е подход за управление на чувствителната за компанията информация по начин, който гарантира запазването на нейната сигурност. Тази информация може да бъде фирмена - ноу-хау, лични данни, както и собственост на клиента. • ISO 27001:2005 е подходящ за няколко типа приложение: o за определяне на изискванията и целите на информационната сигурност; o за гарантиране, че информационният риск се управлява ефективно, от гледна точка на средства; o за гарантиране, че организациите изпълняват законодателството и други регулативни изисквания; o за определяне на нови процеси за управление на информационната сигурност; o за определяне на съществуващите процеси за управление на информационната сигурност; o за установяване на съответствие от вътрешни и външни одитори в организациите с политиките, нормативната уредба и приложимите стандарти; o за предоставяне на клиентите на съответната информация за информационната сигурност. • За да съхрани информацията си, организацията трябва да: o дефинира политика по информационната сигурност; o да идентифицира и оцени рисковете за сигурността; o да определи и внедри подходящи контроли за сигурността на информацията. • ISO 27001:2005 изисква стриктно спазване на съответните законови, подзаконови и договорни задължения по отношение на информационната сигурност, оптимизирано използване на наличните ресурси, както и периодични вътрешни проверки на системата с цел непрекъснато усъвършенстване. • Сертификацията на Система за управление на информационната сигурност, съгласно ISO 27001:2005 доказва, че Вашата организация гарантира в максимална степен сигурността както на собствената си информация, така и на тази на своите клиенти. • Внедрената и функционираща Система за информационна сигурност (ISMS) ще гарантира също така осигуряването на непрекъсваемостта на Вашия бизнес, в случаи на извънредни ситуации и кризи. ISO/IEC 27001
  • 2. Информацията е един от основните бизнес ресурси, който обезпечава добавената стойност на организацията и вследствие на това се нуждае от защита. Слабите места в защитата на информацията могат да доведат до финансови загуби и да нанесе вреда на търговските операции. Затова въпросът за разработването на система за управление на информационната безопасност и внедряването й в организацията се явява концептуален. Международният стандарт ISO/IEC 27001:2005 "Информационни технологии - Методи на обезпечаване на безопасността - Системи за управление на информационната безопасност - Изисквания" е разработен от Международната организация по стандартизация (ISO) и Международната електротехническа комисия (IEC) въз основа на британския стандарт BS 7799. Този нов стандарт представлява допълнение към стандарта ISO/IES17799:2005 "Информационни технологии - Методи на обезпечаване на безопасността - Практически правила на управлението на информационната безопасност". Стандартът ISO 27001 определя информационната безопасност като: "запазване на конфиденциалността, целостта и достъпността на информацията; освен това могат да бъдат включени и други свойства, като автентичност, невьзможност за отказ от авторство, достоверност". Конфиденциалност - обезпечаване на достъп до информацията само за тези, които имат съответните правомощия за това (оторизирани ползватели); Цялост - обезпечаване на точността и пълнотата на информацията и методите за нейната обработка; Достъпност - обезпечаване на достъпа до информацията за оторизирани ползватели когато това е необходимо (по заявка). ISO/IEC 27001:2005 представлява списък с изискванията към системата за управление на информационната безопасност, задължителни за сертификация, а стандартът ISO/IEC 17799:2005 се явява ръководство по внедряването, което може да се използва при проектирането на механизмите за контрол, избрани от организацията за намаляване рисковете на информационната безопасност. Стандартът ISO 27001 определя процесите, които дават възможност на бизнеса да определя, използва, променя, контролира и поддържа ефективна система на управление на информационната безопасност; определят се изискванията към разработването, внедряването, функционирането, мониторинга, анализа, поддържането и усъвършенстването на документираната система за управление на информационната безопасност в контекста на съществуващите за бизнеса рискове. Системата за управление на информационната безопасност според стандарта ISO 27001 позволява: • Повечето информационни активи да станат разбираеми за ръководството на компанията; • Да се определят основните заплахи за безопасността на съществуващите бизнес процеси; • Да се оцени риска и да се вземат решения въз основа на бизнес целите на компанията; • Да се обезпечи ефективно управление на системата в критични ситуации; • Да се изпълнява политика по безопасност (откриване и отстраняване на слабите места в информационната безопасност); • Да се определи ясно личната отговорност; • Да се снижат и оптимизират разходите по поддръжката на системата за безопасност;
  • 3. Да се облекчи интегрирането на подсистемата за безопасност в бизнес процесите и със системата за управление на качеството според ISO 9001:2000; • Да се демонстрира на клиентите, партньорите, собствениците отговорността към информационната безопасност; • Да се получи международно признание и да се повиши авторитета на компанията, както на вътрешния, така и външните пазари; Наред с елементите на управлението на компютрите и компютърните мрежи, стандартът отделя голямо внимание на въпросите от политиката на безопасност, работата с персонала (назначаване, обучение, освобождаване), обезпечаването на непрекъснатостта на производствения процес, на юридическите изисквания. Изискванията на стандарта имат общ характер и могат да бъдат използвани от широк кръг организации - малки, средни и големи - от търговския и индустриалния сектор на пазара, финансови и застрахователни фирми, фирми от сферата на комуникациите, комуналните услуги, други услуги, транспорт, органи на властта и много други. Стандартът ISO 27001 е хармонизиран със стандартите на системите за управление на качеството ISO 9001:2000 и на околната среда ISO 14001:2004 и се основава на техните основни принципи. Нещо повече, задължителните процедури на стандарта ISO 9001 се изискват и от стандарта ISO 27001. Структурата на документацията по изискванията на ISO 27001 е аналогична по структура на изискванията на ISO 9001. Голямата част от документацията по ISO 27001, вече е разработена и се използва в рамките на ISO 9001. По този начин ако организацията има система за управление в съответствие с ISO 9001 или ISO 14001), то е препоръчително изпълнението на изискванията на стандарта ISO 27001 да се обезпечава в рамките на вече съществуващите системи. По стандарта ISO/IEC 27001:2005 може да се проведе официална сертификация на системата за управление на информационната безопасност. Сертификация по този стандарт позволява нагледно да се покаже на деловите партнъори, че в компанията защитата на информацията е поставена на високо ниво и е внедрено ефективно управление на информационната безопасност. По данни на ISMS International User Group (август 2007), в света са издадени 3 879 сертификати, от които 72% в Далечния Изток (в Япония - 3790), а 18 % в Европа. От най-известните компании, които вече имат официална сертификация по стандарта ISO/IEC 27001:2005 (BS 7799), може да се изброят: CANON, Fuji Xerox, Fujitsu, Hitachi, Mitsubishi Electric, NEC, Sony, Toshiba, Federal Reserve Bank of New York, Telecom Italia, Japan Telecom, подразделения Siemens, British Telecom, T-Mobile, Ericsson, Samsung, Hyundai, Vodafone, СMA СТАНДАРТ ISO/IEC 27001 Система за управление сигурността на информацията СУСИ Information security management system ISMS [Home] [Съдържание] [Бизнес консултации] [Инфопедия ] [Асеневци] СТАНДАРТИЗАЦИЯ НА ИНФОРМАЦИОННАТА СИГУРНОСТ Предназначение на стандарта ОРАНЖЕВА КНИГА Този международен стандарт е разработен, за да се осигури модел ПРЕПОРЪКИ X 800 за създаване, СТАНДАРТ ISO/IEC 15408 изпълнение,функциониране, наблюдение, преглед, поддържане и
  • 4. подобряване на система за управление СЕРИЯ СТАНДАРТИ ISO 2700х на сигурността на информацията (СУСИ). СТАНДАРТ ISO/IEC 27001 Внедряването на СУСИ е СТАНДАРТ IS0/IЕС 1779 стратегическо решение за една организа. Създаването и внедряването на СУСИ на организацията зависят от: • Нейните потребности и цели; • От изискванията по отношение на сигурността; • От включените процеси; • От големината и структурата на организацията. Характерни особености СУСИ • СУСИ отговаря на всичкиизисквания за система ; • СУСИ е динамична и постоянно променяща се система, адаптираща се към изискванията на вътрешната и външна среда ; • СУСИ може да се използва всяка оргаиянизац, без значение от нейните мащаби, разположение, тип на дейност и т.н. • СУСИ се базира на процедура заоценка и анализ на риска, насочена към пресмятане на интегралните показатели за сигурност на ключовите информационни активи и избор на мерки за минимизация на рисковете до приемливо остатъчно ниво. • СУСИ се проектира по такъв начин, че да осигури адекватни мерки, в съответствие с предложените в стандарта ISO/IEC17799/270 02практики и защитни механизми. • Организационният модел,
  • 5. по който се проектира и работи СУСИ се базира напроцесния подходи по специално на цикъла на Деминг. Процесен подход ISO/IEC 27001възприема използването на процесния подход при изграждането,внедряването, функционирането, наблюдението, прегледа, поддържането и подобряването на СУСИ на организацията. За да функционира ефикасно, една организация трябва да идентифицира и управлява много дейности. Всяка дейност, която използва ресурси и се управлява с цел превръщането на входните елементи визходни, може да се счита за процес. Често пъти изходните данни от един процес се явяват входни данни за следващия. Прилагането на система от процеси в организацията, заедно с идентифицирането и взаимодействието на тези процеси и тяхното управление се нарича „процесен подход". Процесният подход за управление на сигурността на информацията, представен в стандарта, съдейства на тези, които го прилагат, да осъзнаят важността от: • Разбиране на изискванията за сигурност на организацията и необходимостта от създаване наполитика и цели по сигурност на информацията; • Внедряване и прилагане на различни механизми за контрол в контекста на управлението на общия риск на организацията, свързан с нейната дейност • Наблюдение и преглед на функционирането и
  • 6. ефикасността на СУСИ; • Непрекъснато подобряване, основано на обективни измервания. Стандартът приема модела „планиране – изпълнение – проверка - действие, ПИПД" (Рlап –Dо -Спеск - Асt, РОСА), който се използва за всички процеси в рамките на СУСИ. На фигурата е показано как СУСИ използва като входни данни изискванията за сигурност на информацията и очакванията назаинтересованите страни и чрез прилагането на необходимите действия и процеси получава като резултат управлявана сигурност на информацията, която отговаря на тези изисквания и очаквания. Планиране(създаване на СУСИ) Създаване на политика, цели, процеси и процедури на СУСИ във връзка с управлението на риска и
  • 7. подобряването на сигурността на информацията за постигане на резултати в съответствие с общата политика и цели наорганизацията. Изпълнение (внедряване ифункциониране на СУСИ) Внедряване и функциониране на политиката, механизмите за контрол, процесите и процедурите на СУСИ. Проверка (наблюдение и преглед на СУСИ) Оценяване и, където е приложимо, измерване на изпълнението напроцесите спрямо политиката по сигурността, целите и практическия опит, и докладване на резултатите на ръководството за преглед. Действие (поддържане иподобряване на СУСИ) Предприемане на кор ...