InfoSec

Info saugumo blogas

« PreviousNext »

Kas yra standartas 7799?

27 rugpjūtis 2006

Standartas iš esmės būna dviejų dalių: ISO/IEC 27001:2005 yra standartiniai nurodymai Informacijos Saugumo Valdymo Sistemoms (ISVS). ISVS yra priemonė, kurios pagalba aukštesnioji administracija tikrina ir valdo savo saugumą, minimizuodama likutinę verslo riziką ir užtikrindama, kad saugumas ir toliau vykdys korporacijos, kliento ir teisinius reikalavimus. Ji sudaro organizacijos vidinės kontrolės sistemos dalį.

ISO/IEC 17799:2005 yra standartiniai veiklos principai ir gali būti laikomi išsamiu gerų saugumo dalykų, kuriuos verta daryti, žinynu.

Prašome atkreipti dėmesį, kad ISO/IEC 27001:2005 yra vos ką tik išleistas (2005 Spalio 14). Jis pakeičia BS 7799-2:2002.

Valdymo Standartas

ISO/IEC 27001:2005 duoda nurodymus, kaip taikyti ISO/IEC 17799 ir kaip sukurti, valdyti, išlaikyti ir gerinti ISVS. 1999 m. leidimas instruktavo jus tik kaip pritaikyti ISO/IEC 17799 ir kurti ISMS.

Pagrindiniai ISVS komponentai yra apibendrinti 1 iliustracijoje. Darbai nuolat sukasi ratu PLANUOK-DARYK-TIKRINK-VEIK cikle.

HOW1 iliustracija – Pagrindiniai žingsniai link ISVS laikymosi. Spauskite čia, kad pamatytumėte detaliau.

PLANUOK

Apimtis

Pirmas žingsnis yra nustatyti ISVS apimtį. Ji gali apimti visą jūsų organizaciją. Ji gali apimti tam tikrą vietą. Ji gali apimti tik tam tikrą paslaugą – pavyzdžiui, Internetinę bankininkystę. Kaip pasirinksite.

ISVS Politika

Kodėl jums svarbus informacijos saugumas? Ar yra konkreti grėsmė ar kiti rūpesčiai, keliantys jums nerimą? Ko jūs norite pasiekti, pavyzdžiui, dėl konfidencialumo, integralumo ir naudingumo? Koks, jūsų nuomone, yra priimtinas rizikos lygis? Ar yra kokių apribojimų, tokių kaip įstatymai ir taisyklės, ar tam tikri būdai, kuriais jūs norite tvarkyti reikalus? Dokumentuokite savo atsakymus politikos dokumente. Atkreipkite dėmesį, kad jis apima visą ISVS, ne tik saugumo valdymo priemones. Todėl jis yra daug platesnis nei „informacijos saugumo politika“, kuri nurodoma Veiklos principuose. Tai turėtų būti santykinai trumpas dokumentas (1-3 puslapiai) ir pasirašytas vadovaujančio darbuotojo. Saugumas, kaip ir viso kitos vidinės kontrolės priemonės leidžiamos iš organizacijos viršaus.

Rizikos įvertinimas

Dabar, kai žinote, ką stengiatės apsaugoti ir koks yra priimtinas rizikos lygis, kokia yra jūsų faktinė rizika? Pasirinkite savo organizacijai tinkamą metodą ir jūsų ISVS apimtis. Kokia yra rizika? Nustatykite tai įvertindami poveikius, kurie galėtų kilti, jei kažkokia grėsme pasinaudotų jūsų gynybos silpnybėmis, ir pastatytų į pavojų jūsų turto saugumą, bei kiek tikėtina, kad tai gali įvykti.

Įvertinkite riziką

Jei jūs planuojate poveikio kilimo tikimybę palyginti su poveikio reikšmingumu, jums reikėtų turėti omenyje, kad yra tokios rizikos, dėl kurios nereikia labai jaudintis, nes:

– net jei ji turėtų didelį poveikį, ji yra ypatingai neįtikėtina,

– arba, jei ji kiltų nuolat, ji turėtų nereikšmingą poveikį.

Privilegijuotųjų apskaitininkų institutas Anglijoje ir Velse kalba apie likutinę riziką kaip apie pritaikomą riziką. Tai tokia rizika, kurią jums reikia kontroliuoti. Jūs arba turėsite valdymo svirtis, kurios mažina riziką iki priimtino lygio arba jums reikės jas įdiegti. Įsitikinkite, kad jūs turite valdymo priemones, kurios jums praneš, jei nepriimtina rizika pavirs priimtina rizika.

Rizikos valdymas/Elgesys su rizika

Užbaigus savo rizikos įvertinimą, BS7799-2:1999 prašo, kad jūs nuspręstumėte, kaip tą riziką valdyti. Nauja ISO versija, taip pat kaip ir 2002 leidimas, būdamos daug brandesniais standartais, kalba apie elgesį su rizika. Ar jūs tiesiog priimsite riziką ir pasikliausite savo sugebėjimu greitai nustatyti ir reaguoti į saugumo incidentus? (Beje, jums reikės tokios procedūros, kad laikytumėtės standarto.) Ar jūs vengsite rizikos, perkelsite ją trečiajai pusei (pvz., per draudimą), ar jūs taikysite atitinkamus valdymo svertus? Tai yra jūsų elgesio su rizika planas.

Išrinkite valdymo tikslus ir valdymo priemones

BS7799-2 ir ISO/IEC 27001:2005 pateikia kandidatų į valdymo tikslus ir valdymo priemones sąrašą, vienas prie vieno paimtą iš ISO/IEC 17799. Sąrašas nėra išsamus, ir jūs galite kaip norite laisvai nustatyti papildomus valdymo objektus ir valdymo svertus. Ne visi išvardinti BS7799-2 gali būti susiję su jūsų ISVS. Detalūs nurodymai yra duodami standarto B priede, o mūsų rašte yra duodamas vidinės kontrolės sistemos efektyvumo vertinimo pavyzdys (ISVS kaip vidinės kontrolės sistemos dalies).

Tinkamumo Patvirtinimas (TP)

Jums reikės nustatyti visas jūsų pasirinktas saugumo kontrolės priemones ir pagrįsti, kodėl jūs manote, kad jos yra tinkamos, ir parodykite kodėl tos BS7799 valdymo priemonės, kurios nebuvo pasirinktos, yra nesvarbios. Jums reikės susieti valdymo priemones atgal su rizikos įvertinimu. Praktiškai, jūs taip pat galite susieti valdymo priemonių pasirinkimą su savo ISVS politikos pareiškimais, toks precedentas buvo nustatytas Bendrais Kriterijais (ISO/IEC 15408).

DARYK

DARYK ciklo dalis reikalauja, kad jūs įdiegtumėte reikiamus priežiūros metodus. Jums reikės procedūros, kaip minėta aukščiau, kad užtikrintumėte greitą incidentų aptikimą ir reagavimą į juos. Jums taip pat reikės užtikrinti, kad visi darbuotojai suprastų saugumą ir būtų tinkamai apmokyti ir kompetentingi įgyvendinti savo atitinkamas saugumo užduotis. Kad užtikrintumėte, jog visa tai būtų atlikta, jums reikės rasti būtinus tam resursus.

TIKRINK

TIKRINK fazės paskirtis yra užtikrinti, kad kontrolės metodai būtų vietoje ir pasiektų savo tikslus. Yra daug įvairių galimų tikrinimo veiksmų, tačiau tik vidiniai ISVS ir vadovybės patikrinimai yra privalomieji reikalavimai. Kiti, išvardinti žemiau, yra laisvai pasirenkami:

Įsibrovimo nustatymas

Incidentų valdymas

Einamieji patikrinimai

Savikontrolės procedūros

Mokymasis iš kitų (pvz., CERT)

Vidinis ISVS auditas

Valdymo patikrinimas

VEIK

Veiksmai yra TIKRINK veiklos rezultatas. Yra trys jų rūšys:

Koregavimo veiksmai

Prevencinei veiksmai

Tobulinimas

Papildoma informacija

Yra tam tikri reikalavimai dėl dokumentacijos ir įrašų. Jie yra labai panašūs į tuos, kurių reikalavo ISO 9001.

Yra priedas, kuris pateikia naudojimosi standartu patarimus, ypač Planuok-Daryk-Tikrink-Veik koncepcijos išplėtimą. Svarbu yra suprasti, kad bus daug Planuok-Daryk-Tikrink-Veik ciklų viename ISVS, kurios visos veiks nesinchroniškai skirtingais greičiais.

Veiklos principai

ISO/IEC 17799:2005 nustato 132 saugumo valdymo svertus, sudarytus pagal 11 pagrindinių kategorijų (žr. 2 paveikslą), kad leistų skaitytojams nusistatyti konkrečius saugiklius, kurie būtų tinkami jų konkrečiam verslui ar konkrečiai atsakomybės sričiai. Į šiuos saugumo valdymo svertus įeina papildomi detalūs valdymo svertai, bendrai sudarantys kažkur apie 5000 su viršum geriausios praktikos valdymo priemonių ir elementų.

Standartas pabrėžia rizikos valdymo svarbą ir aiškiai pasako, kad jums nereikia įdiegti kiekvienos atskiros rekomendacijos – tik tas, kurios yra aktualios. Standartas apima visas informacijos formas, įskaitant garsą ir grafiką, bei tokią mediją kaip mobilūs telefonai ir fakso aparatai. Naujasis standartas pažįsta naujus verslo darymo būdus, tokius kaip e-verslas, Internetas, outsourcing‘as, nuotolinis darbas ir mobilioji kompiuterija (mobile computing).

Kas2 iliustracija – ISO/IEC 17799 apimtys

Sertifikavimo sistemos

Sertifikavimo sistemos yra sukurtos daugelyje pasaulio vietų. Todėl naudinga yra atkleisti, kas yra žaidėjai ir kas vyksta.

Europos bendradarbiavimas dėl Akreditacijos dokumento EA7/03 pateikia rekomendacijas Nacionalinėms akreditavimo institucijoms, norinčioms vertinti ISVS, pvz., dėl ISO/IEC 27001:2005. Įvairios Nacionalinės akreditavimo institucijos visame pasaulyje naudoja „bendro pripažinimo“ procesą, kuris leidžia vienoje šalyje suteiktą sertifikatą pripažinti kitos šalies Akreditacijos institucijoje.

Kad jums būtų suteiktas sertifikatas, jūsų ISVS turės būti atliktas auditas, kurį vykdys ISVS auditorius. Auditorius negali tuo pačiu būti ir konsultantas. Dėl to yra griežtos taisyklės. Auditorius turi dirbti Sertifikavimo įstaigai.

Sertifikavimo įstaiga suteiks jums sertifikatą. Sertifikatas dokumentais patvirtins jūsų ISVS apimtį ir kitas svarbias detales, tokias kaip tinkamumo patvirtinimas. Tik Sertifikavimo institucijos, kurias deramai akreditavo Nacionalinės akreditavimo institucijos, gali išdavinėti sertifikatus.

Auditorius periodiškai sugrįžinės, kad patikrintų, ar jūsų ISVS dirba taip kaip buvo numatyta.

Panašūs įrašai:

Kategorija Straipsniai | Į viršų

Nėra komentarų

Parašyk komentarą