Порівняти вимоги стандарту з існуючим станом справ
Відповідно до вимог стандарту ISO 27001 по впровадженню СМІБ необхідно провести цілу низку процедур стосовно політики безпеки фірми, документообігу, навчання персоналу. Перечислимо основні вимоги стандарту і вкажемо, які з них дотримуються в БК «Озеленення».
|
Вимоги стандарту ISO 27001 |
Дотримання вимог стандарту у фірмі |
|
Враховуючи особливості діяльності організації, самої організації, її місцерозташування, активів і технології, визначити масштаб і кордони СМІБ |
+ |
|
Розробити концепцію оцінки ризиків в організації |
+ |
|
Виявити ризики |
- |
|
Проаналізувати і оцінити ризики |
- |
|
Виявити і оцінити інструменти для зменшення ризиків |
- |
|
Вибрати задачі і засоби управління для зменшення ризиків |
- |
|
Досягти затвердження управління передбачуваними залишковими ризиками |
- |
|
Досягти авторизації управління для функціонування СМІБ |
- |
|
Скласти Декларацію Застосовності |
- |
Шостий етап. Планування і впровадження сміб
Визначити перелік заходів для досягнення вимог стандарту
Перед нами стоїть завдання впровадити СМІБ, пройшовши п’ять етапів цього процесу вдалося досягти лише двох вимог, згідно із стандартом ISO 27001. Вимоги вже було вказано на попередньому етапі, переходимо до визначення основних заходів по досягненню вимог стандарта в БК «Озеленення». Згідно із стандартом ISO 27001, пунктом 4.2.2 «Впровадження і використання СМІБ» керівництво компанії повинно зробити наступне:
Сформулювати план скорочення ризику, який визначає відповідні керуючі дії, ресурси, зобов'язання та пріоритети для управління ризиками інформаційної безпеки.
Здійснити план скорочення ризиків для того, щоб досягти встановлених цілей, які включають аналіз фінансування та розподілу ролей та обов'язків.
Впровадити засоби управління для досягнення поставлених цілей.
Визначити, як виміряти ефективність обраних засобів управління або груп засобів управління, і встановити як ця система заходів повинна використовуватися, щоб оцінити ефективність управління і отримати сумірні і відтворювані результати.
ПРИМІТКА: Оцінка ефективності засобів управління дозволяє менеджерам і штату службовців визначити, наскільки добре засоби управління досягають поставлених цілей.
Впровадити навчальні та інформуючі програми. Управляти функціонуванням СМІБ.
Забезпечити СМІБ трудовими ресурсами. Впровадити методику та інші засоби управління, здатні вчасно виявити події безпеки і відповідну реакцію на інциденти безпеки.
Розробитипосібник зінформаційноїбезпеки
Відповідно до нововведень у фірмі керівництво розробило посібник з інформаційної безпеки. Цей посібник вміщає в собі такі пункти:
1.Загальні положення інформаційної безпеки (ІБ)
1.1 Поняття ІБ
1.2 Загрози ІБ
1.3 Методи і засоби забезпечення ІБ
1.4 Основні терміни в сфері ІБ
2. Стандарти у сфері управління ІБ
2.1 Основи стандарту ISO 27001
2.2 Впровадження стардартуISO27001 на підприємствах
2.3 Система менеджменту інформаційної безпеки (СМІБ)та її оцінка
3.Основи безпеки інформаційних технологій
3.1 Інформаційні системи та технології як об'єкти інформаційної безпеки
3.2 Забезпечення безпеки інформаційних ресурсів
3.3 Основні напрями забезпечення безпеки інформації та інформаційних ресурсів
Сьомий етап. Впровадження системи управління ризиками
Розробити процедуру по ідентифікації ризиків
Процедура по ідентифікації ризиків, згідно зі стандартом ISO 27001, пунктом 4.2.1.g, включає такі основні дії:
Ідентифікацію активів
Ідентифікацію загроз цим активам
Ідентифікацію вразливостей, які можуть бути використані цими загрозами
Визначити дії, які можуть привести до втрати конфіденційності, цілісності і доступності активів
Ідентифікувати і ранжувати активи
На даному етапі слід визначити всі наявні активи в компанії, все те, що містить цінність для організації. Класифікувати їх за такими ознаками, як:
Назва
Кількість
Відділ, в якому використовується
Користувач
Категорія
Групова відповідність
В БК «Озеленення» використовуються такі активи:персональні комп’ютери, принтери, ксерокси, маршрутизатори, сервера, телефони, персонал, база даних клієнтів, база даних працівників, база даних співпрацюючих компаній, камери відео спостереження, архівні документи, архівні електронні носії інформації, документація, каталоги оформлень замовлень в ел. вигляді, сейфи, пакет ПЗ, фінансові звіти, бухгалтерські звіти, сертифікат відповідності, сертифікат якості та інші. Детальніше буде розглянуто в таблиці ранжування активів.
Відділи БК «Озеленення»:
Кабінет керівництва - 1;
Бухгалтерія і відділ кадрів - 2;
Відділ інформаційних технологій - 3;
Відділ прийняття та оформлення замовлень – 4
Пункт охорони
Рис.1 Схема приміщення БК «Озеленення»
Власниками активів являються працівники фірми. Персонал:
Директор фірми
Заступник директора
Начальник відділу ІТ
Працівник з інформаційної безпеки
Системний адміністратор - 2
Менеджери з будівництва - 4
Менеджери по оформленню замовлень - 4
Менеджери по роботі з іноземними компаніями - 3
Оператори по оформленню авіа-білетів - 2
Менеджер по роботі з персоналом
Піар-менеджер
Бухгалтер
Юрист
Керівник відділу кадрів
Кадровик
Охорона
Категорії активів:
Прості
Складні
Групи активів:
Програмне забезпечення - ПЗ
Комп’ютерна і мережева техніка - КМТ
Документація - Д
Електронна документація - ЕД
Бази даних - БД
Архівна інформація - АІ
Обладнання - О
Персонал – П
Необхідно показати схему мережі для даного підприємства.
Рис.2 Схема мережі БК «Озеленення»
|
Назва |
Кількість |
Відділ, в якому використовується |
Користувач |
Категорія |
Групова відповідність |
|
ПК |
26 |
1,2,3,4, пункт охорони |
Всі працівники компанії |
Складні |
КМТ |
|
Телефони |
26 |
1,2,3,4, пункт охорони |
Всі працівники компанії |
Прості |
О |
|
Камери відео нагляду |
4 |
3,4, пункт охорони |
Охорона |
Прості |
О |
|
Принтери |
7 |
2,3,4 |
Працівники 2,3,4 відділів |
Прості |
КМТ |
|
Маршрутизатори |
2 |
3 |
Системний адміністратор |
Складні |
КМТ |
|
Сервери |
3 |
3 |
Працівники 3 відділу |
Складні |
КМТ |
|
Ксерокси |
4 |
2,3,4 |
Працівники 2,3,4 відділів |
Прості |
КМТ |
|
База даних клієнтів |
8 |
2,4 |
Бухгалтер, юрист, менеджери по оформленню замовлень, оператори по оформленню авіа-білетів |
Складні |
БД |
|
База даних працівників |
6 |
1,2,4 |
Бухгалтер, кадровик, начальник відділу кадрів, заступник директора, директор, менеджер по роботі з персоналом |
Складні |
БД |
|
База даних співпрацюючих фірм |
17 |
1,2,4 |
Директор і його заступник, бухгалтер, юрист, 4 відділ, крім менеджера по роботі з персоналом і піар-менедж. |
Складні |
БД |
|
Архівні документи |
8 - різновидів |
1,2,3,4 |
4 відділ, крім операторів і охорони |
Складні |
АІ |
|
Архівні ел.носії інф. |
Невизначена кількість |
1,2,3,4 |
Всі працівники, крім операторів і охорони |
Складні |
АІ |
|
Документація |
Невизначена кількість |
1,2,3,4 |
Всі працівники, крім охорони |
Прості |
Д і ЕД |
|
Фінансові звіти |
Невизначена кількість |
1,2 |
Директор і його заступник, бухгалтер, начальник відділу кадрів |
Складні |
Д і ЕД |
|
Бухгалтерські звіти |
Невизначена кількість |
2 |
Бухгалтер |
Складні |
Д і ЕД |
|
Договори з клієнтами |
Невизначена кількість |
1,2,4 |
Заступник директора, бухгалтер, юрист, менеджери по оформленню замовлень |
Складні |
Д |
|
Сертифікат відповідності |
1 |
1 |
Директор, завідуючий директора |
Прості |
Д |
|
Сертифікат якості |
1 |
1 |
Директор, завідуючий директора |
Прості |
Д |
|
Сейфи |
3 |
1,2 |
Директор, завідуючий директора, бухгалтер |
Складні |
О |
|
Пакети ПЗ |
26 |
1,2,3,4, пункт охорони |
Всі працівники |
Прості |
ПЗ |