9. Система управления иб (в соответствие с гост р 27001-2005)

Преимущества, даваемые предприятию при получении сертификата соответствия данному стандарту:

1. конкурентное преимущество

2. повышение положения в международных рейтингах (для привлечения зарубежных инвестиций и выхода на международные рынки)

3. повышение стоимости акций компании

4. демонстрация партнерам и клиентам высокого уровня своей надежности за счет адекватной ЗИ, включая инф. клиентов и партнеров

5. снижение рисков, связанных с возможными ущербами для активов компании

6. повышение прозрачности процесса управления ИБ в организации:

1. четкое разделение полномочий и ответственности за обеспечение ИБ

2. критерии оценки эффективности выполняемых мероприятий по обеспечению ИБ

3. обоснование затрат на ИБ

Стандарт представляет собой модель системы управления в области ИБ. Стандарт – прежде всего набор организационных мероприятий и процедур управления. Не является по сути техн.стандартом. В основе стандарта лежит процессный подход к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ компании.

П роцессный подход заключается в создании и применении системы процессов управления, которые взаимосвязаны в непрерывный цикл планирования, внедрения, проверки и улучшения СУИБ.

Дополнительно в стандарте приведен Перечень механизмов ЗИ и программ технического уровня, который может использоваться для обеспечения надежной защиты. Т.о. СУИБ, построенная в соответствии с требованиями стандарта, представляет собой комплексную систему, включающую в себя как механизмы управления, так и механизмы непосредственной ЗИ.

Основным движущим механизмом СУИБ является периодический анализ рисков ИБ.

.

Система управления предприятия

Управление качеством ISO 9001	Управление окр.средой ISO 14001	Управление ИБ ISO 27001	Управление в соотв. с другими механизмами
Оперативное управление ITIL, BS 15000

Этапы создания суиб

В рамках работ по созданию СУИБ в стандарте выделяются след. основные этапы:

1. Принятие решения о создании суиб

2. Подготовка к созданию суиб

2.1. Организация рабочей группы – В ее состав должны войти:

1) представители высшего руководства предприятия

2) представители бизнес-подразделений, охватываемых СУИБ

3) специалисты подразделений, обеспечивающих ИБ на предпр., имеющие соотв. образование или подготовку.

В состав рабочей могут входить также привлеченные консультанты.

2.2. Нормативно-методическое обеспечение:

ISO/IEC 27000 – Словарь и определения

ISO/IEC 27002 – бывший ISO/IEC 17799-2005

ISO/IEC 27003 – Руководство по внедрению СУИБ

ISO/IEC 27004 – Метрики ИБ

ISO/IEC 27005 – Руководство по менеджменту рисков ИБ

ISO/IEC 27006 – Руководство по восстановлению сервисов в области инф. и коммуникационных технологий

2.3. Выбор области деятельности предпр., к-ая будет охвачена СУИБ – должны учитываться след.факторы:

1. Деятельность и услуги, предоставляемые партнерам и клиентам

2. Целевая инф., безопасность к-ой должна быть обеспечена

3. Бизнес-процессы, обеспечивающие обработку целевой инф.

4. Подразделение и сотрудники предпр., задействованные в данных бизнес-процессах

5. Программно-технические средства, обеспечивающие функционирование данных бизнес-процессов

6. Территориальные площадки предпр., в рамках к-ых происходят сбор, обработка и передача целевой инф.

Результатом является согласованная с высшим руководством область деятельности, в рамках к-ой планируется создание СУИБ.

2.4. Выявление несоответствий – для уточнения объема работ и необходимых затрат. Результатом этих работ должен стать перечень несоответствий требованиям стандарта и план работ по созданию СУИБ организации.