Cara membuat sistem manajemen keamanan informasi di perusahaan di wilayah Donetsk. Sistem manajemen keamanan informasi Manajemen risiko informasi

pengantar

Sebuah perusahaan yang berkembang pesat, serta raksasa di segmennya, tertarik untuk menghasilkan keuntungan dan melindungi diri dari pengaruh penyusup. Jika sebelumnya bahaya utama adalah pencurian nilai material, maka hari ini peran utama pencurian terjadi dalam kaitannya dengan informasi berharga. Konversi bagian penting dari informasi ke dalam bentuk elektronik, penggunaan jaringan lokal dan global menciptakan ancaman baru secara kualitatif terhadap informasi rahasia.

Bank sangat sensitif terhadap kebocoran informasi. organisasi manajemen, perusahaan asuransi. Keamanan informasi dalam suatu perusahaan adalah serangkaian tindakan yang menjamin keamanan data pelanggan dan karyawan, penting dokumen elektronik dan segala macam informasi, rahasia. Setiap perusahaan dilengkapi teknologi komputer dan akses ke World Wide Web. Penyerang dengan terampil terhubung ke hampir setiap komponen sistem ini dan menggunakan gudang senjata besar (virus, malware, tebakan kata sandi, dll.) untuk mencuri informasi berharga. Sistem informasi keamanan harus diterapkan di setiap organisasi. Manajer perlu mengumpulkan, menganalisis, dan mengkategorikan semua jenis informasi yang perlu dilindungi dan menggunakan sistem keamanan yang sesuai. Namun hal ini tidak akan cukup, karena selain teknologi, ada faktor manusia yang juga berhasil membocorkan informasi kepada pesaing. Penting untuk mengatur perlindungan perusahaan Anda dengan benar di semua tingkatan. Untuk tujuan ini, sistem manajemen keamanan informasi digunakan, yang dengannya manajer akan menetapkan proses pemantauan bisnis yang berkelanjutan dan memastikan tingkat keamanan datanya yang tinggi.

1. Relevansi topik

Untuk semuanya perusahaan modern, perusahaan atau organisasi, salah satu tugas terpenting adalah memastikan keamanan informasi. Ketika suatu perusahaan mengamankan sistem informasinya secara konsisten, itu menciptakan lingkungan yang andal dan aman untuk aktivitasnya. Kerusakan, kebocoran, kehilangan dan pencurian informasi selalu menjadi kerugian bagi setiap perusahaan. Oleh karena itu, pembuatan sistem manajemen keamanan informasi di perusahaan merupakan masalah mendesak di zaman kita.

2. Maksud dan tujuan penelitian

Analisis cara membuat sistem manajemen keamanan informasi di perusahaan, dengan mempertimbangkan kekhasan wilayah Donetsk.

• menganalisa keadaan seni sistem manajemen keamanan informasi di perusahaan;
• mengidentifikasi alasan pembuatan dan penerapan sistem manajemen keamanan informasi di perusahaan;
• mengembangkan dan menerapkan sistem manajemen keamanan informasi menggunakan contoh perusahaan dari PrJAO Pabrik peralatan penyelamat ranjau di Donetsk;
• mengevaluasi efektivitas, efisiensi, dan kelayakan ekonomi dari penerapan sistem manajemen keamanan informasi di perusahaan.

3. Sistem manajemen keamanan informasi

Keamanan informasi dipahami sebagai keadaan perlindungan informasi dan infrastruktur pendukung dari dampak yang tidak disengaja atau disengaja yang bersifat alami atau buatan (ancaman informasi, ancaman keamanan informasi) yang dapat menyebabkan kerusakan yang tidak dapat diterima pada subjek hubungan informasi.

Ketersediaan informasi adalah milik sistem untuk menyediakan akses tepat waktu tanpa hambatan dari subjek yang berwenang (berwenang) ke informasi yang mereka minati atau untuk melakukan pertukaran informasi tepat waktu di antara mereka.

Integritas informasi adalah properti informasi yang mencirikan ketahanannya terhadap penghancuran yang tidak disengaja atau disengaja atau perubahan yang tidak sah. Integritas dapat dibagi menjadi statis (dipahami sebagai kekekalan objek informasi) dan dinamis (terkait dengan eksekusi yang benar dari tindakan kompleks (transaksi)).

Kerahasiaan informasi adalah milik informasi yang diketahui dan hanya tersedia untuk subjek yang berwenang dari sistem (pengguna, program, proses). Kerahasiaan adalah aspek keamanan informasi yang paling berkembang di negara kita.

Sistem manajemen keamanan informasi (selanjutnya disebut SMKI) adalah bagian dari sistem manajemen secara keseluruhan berdasarkan pendekatan risiko bisnis, yang dirancang untuk menetapkan, menerapkan, mengelola, memantau, memelihara, dan meningkatkan keamanan informasi.

Faktor utama yang mempengaruhi perlindungan informasi dan data di perusahaan adalah:

• Peningkatan kerjasama antara perusahaan dan mitra;
• Otomatisasi proses bisnis;
• Kecenderungan untuk meningkatkan volume informasi perusahaan, yang ditransmisikan melalui saluran komunikasi yang tersedia;
• Meningkatnya tren kejahatan komputer.

Tugas sistem keamanan informasi perusahaan beragam. Misalnya, penyediaan penyimpanan data yang andal di berbagai media; perlindungan informasi yang dikirimkan melalui saluran komunikasi; membatasi akses ke data tertentu; membuat cadangan dan banyak lagi.

Keamanan informasi lengkap perusahaan adalah nyata hanya dengan pendekatan yang tepat untuk perlindungan data. Dalam sistem keamanan informasi, perlu memperhitungkan semua ancaman dan kerentanan yang relevan saat ini.

Salah satu yang paling alat yang efektif manajemen dan keamanan informasi adalah sistem manajemen keamanan informasi yang dibangun berdasarkan model MS ISO/IEC 27001:2005. Standar didasarkan pada pendekatan proses untuk pengembangan, implementasi, operasi, pemantauan, analisis, pemeliharaan dan peningkatan SMKI perusahaan. Ini terdiri dari pembuatan dan penerapan sistem proses manajemen yang saling berhubungan dalam siklus perencanaan, implementasi, verifikasi, dan peningkatan SMKI yang berkelanjutan.

Standar Internasional ini disusun untuk memberikan model implementasi, implementasi, operasi, pemantauan, analisis, pemeliharaan dan peningkatan SMKI.

Faktor utama pelaksanaan SMKI:

• legislatif — persyaratan undang-undang nasional saat ini dalam hal keamanan informasi, persyaratan internasional;
• kompetitif - kepatuhan terhadap level, elitisme, perlindungan aset tidak berwujud seseorang, keunggulan;
• anti-kriminal - perlindungan dari perampok (pekerja kerah putih), pencegahan akses tidak sah dan pengawasan rahasia, pengumpulan bukti untuk persidangan.

Struktur dokumentasi di bidang keamanan informasi ditunjukkan pada Gambar 1.

Gambar 1 - Struktur dokumentasi di bidang keamanan informasi

4. Membangun SMKI

Pendukung pendekatan ISO menggunakan model PDCA untuk membuat SMKI. ISO menerapkan model ini dalam banyak standar manajemennya, dan ISO 27001 tidak terkecuali. Selain itu, mengikuti model PDCA saat mengatur proses manajemen memungkinkan Anda untuk menggunakan teknik yang sama di masa depan - untuk manajemen kualitas, manajemen lingkungan, manajemen keselamatan, serta di bidang manajemen lainnya, yang mengurangi biaya. Oleh karena itu, PDCA adalah pilihan yang sangat baik yang sepenuhnya memenuhi tugas menciptakan dan memelihara SMKI. Dengan kata lain, langkah-langkah PDCA menentukan bagaimana menetapkan kebijakan, tujuan, proses dan prosedur yang sesuai dengan risiko yang ditangani (Plan), menerapkan dan menggunakan (Do), mengevaluasi dan, jika mungkin, mengukur hasil proses dalam hal kebijakan (tahap pemeriksaan – Pemeriksaan), melakukan tindakan korektif dan pencegahan (tahap perbaikan – Tindakan). Konsep tambahan di luar standar ISO yang mungkin membantu dalam menciptakan SMKI adalah: status calon; keadaan apa adanya (apa adanya); rencana transisi.

Dasar dari standar ISO 27001 adalah sistem manajemen risiko informasi.

Tahapan membuat SMKI

Sebagai bagian dari pekerjaan pembuatan SMKI, tahapan utama berikut dapat dibedakan:

Gambar 2 - Model PDCA untuk manajemen keamanan informasi (animasi: 6 frame, 6 pengulangan, 246 kilobyte)

5. Manajemen risiko informasi

Manajemen risiko dipertimbangkan pada tingkat administratif keamanan informasi, karena hanya manajemen organisasi yang dapat mengalokasikan sumber daya yang diperlukan, memulai, dan mengendalikan implementasi program yang relevan.

Penggunaan sistem informasi dikaitkan dengan serangkaian risiko tertentu. Ketika potensi kerusakan sangat tinggi, tindakan perlindungan yang hemat biaya harus diambil. Penilaian (re) risiko secara berkala diperlukan untuk memantau efektivitas kegiatan keamanan dan untuk memperhitungkan perubahan lingkungan.

Inti dari aktivitas manajemen risiko adalah menilai ukurannya, mengembangkan langkah-langkah mitigasi risiko yang efektif dan hemat biaya, dan kemudian memastikan bahwa risiko berada dalam batas yang dapat diterima (dan tetap demikian).

Proses manajemen risiko dapat dibagi menjadi langkah-langkah berikut:

1. Pilihan objek yang dianalisis dan tingkat detail pertimbangannya.
2. Pilihan metodologi penilaian risiko.
3. Identifikasi aset.
4. Analisis ancaman dan konsekuensinya, identifikasi kerentanan dalam perlindungan.
5. Tugas beresiko.
6. Pilihan tindakan perlindungan.
7. Implementasi dan verifikasi langkah-langkah yang dipilih.
8. Penilaian risiko sisa.

Manajemen risiko, seperti aktivitas keamanan informasi lainnya, perlu diintegrasikan ke dalam lingkaran kehidupan ADALAH. Maka efeknya paling besar, dan biayanya minimal.

Sangat penting untuk memilih metodologi penilaian risiko yang baik. Tujuan penilaian adalah untuk menjawab dua pertanyaan: apakah risiko yang ada dapat diterima, dan jika tidak, tindakan perlindungan apa yang harus digunakan. Ini berarti bahwa penilaian harus kuantitatif, memungkinkan perbandingan dengan batas penerimaan dan biaya yang telah dipilih sebelumnya untuk penerapan regulator keselamatan baru. Manajemen risiko adalah masalah pengoptimalan yang khas, dan ada beberapa produk perangkat lunak yang dapat membantu Anda menyelesaikannya (terkadang produk semacam itu hanya disertakan dalam buku keamanan informasi). Kesulitan mendasar, bagaimanapun, terletak pada ketidakakuratan data awal. Anda dapat, tentu saja, mencoba untuk mendapatkan ekspresi moneter untuk semua nilai yang dianalisis, menghitung semuanya dengan akurasi satu sen, tetapi tidak ada gunanya dalam hal ini. Lebih praktis menggunakan satuan konvensional. Dalam kasus yang paling sederhana dan cukup dapat diterima, skala tiga poin dapat digunakan.

Tahapan utama manajemen risiko.

Langkah pertama dalam menganalisis ancaman adalah mengidentifikasinya. Jenis ancaman yang dipertimbangkan harus dipilih berdasarkan akal sehat (tidak termasuk, misalnya, gempa bumi, tetapi tidak melupakan kemungkinan organisasi ditangkap oleh teroris), tetapi dalam batasan jenis yang dipilih, analisis paling rinci harus dilakukan.

Dianjurkan untuk mengidentifikasi tidak hanya ancaman itu sendiri, tetapi juga sumber kemunculannya - ini akan membantu dalam memilih alat perlindungan tambahan.

Setelah mengidentifikasi ancaman, perlu untuk menilai kemungkinan penerapannya. Diperbolehkan menggunakan skala tiga poin (probabilitas rendah (1), sedang (2) dan tinggi (3)).

Jika ada risiko yang ternyata sangat tinggi, perlu untuk menetralisirnya dengan menerapkan langkah-langkah perlindungan tambahan. Sebagai aturan, untuk menghilangkan atau menetralisir kerentanan yang membuat ancaman menjadi nyata, ada beberapa mekanisme keamanan yang berbeda dalam efektivitas dan biaya.

Seperti kegiatan lainnya, penerapan dan pengujian peraturan keselamatan baru harus direncanakan terlebih dahulu. Rencana harus memperhitungkan kehadiran sumber keuangan dan waktu pelatihan staf. Jika kita berbicara tentang mekanisme perlindungan perangkat lunak dan perangkat keras, Anda perlu menyusun rencana pengujian (otonom dan terintegrasi).

Ketika tindakan yang dimaksudkan diambil, perlu untuk memeriksa keefektifannya, yaitu untuk memastikan bahwa risiko residual telah dapat diterima. Jika hal ini benar-benar terjadi, maka Anda dapat dengan aman mengatur tanggal untuk revaluasi berikutnya. Jika tidak, Anda harus menganalisis kesalahan yang dibuat dan segera melakukan sesi manajemen risiko kedua.

kesimpulan

Setiap kepala perusahaan peduli dengan bisnisnya dan oleh karena itu harus memahami bahwa keputusan untuk menerapkan sistem manajemen keamanan informasi (ISMS) - langkah penting, yang akan meminimalkan risiko kehilangan aset perusahaan / organisasi dan mengurangi kerugian finansial, dan dalam beberapa kasus menghindari kebangkrutan.

Keamanan informasi penting bagi bisnis, baik sektor swasta maupun publik. Ini harus dipertimbangkan sebagai alat untuk pelaksanaan penilaian, analisis dan minimalisasi risiko yang relevan.

Keselamatan yang dapat dicapai dengan cara teknis terbatas dan harus didukung oleh kontrol dan prosedur yang tepat.

Mendefinisikan kontrol membutuhkan perencanaan dan perhatian yang cermat.

Untuk melindungi informasi secara efektif, langkah-langkah keamanan yang paling tepat harus dikembangkan, yang dapat dicapai dengan mengidentifikasi risiko utama informasi dalam sistem dan menerapkan langkah-langkah yang tepat.

Biyachuev T.A. Keamanan jaringan perusahaan/ ed. L.G. Osovetsky. - St. Petersburg: penerbit St. Petersburg GU ITMO, 2006. - 161 hal.

Gladkikh A.A., Dementiev V.E. / Prinsip dasar keamanan informasi jaringan komputer: tutorial untuk siswa; - Ulyanovsk: penerbit UlGTU, 2009. - 168 hal.

Aktif Edisi dari 27.12.2006

Nama dokumen	"TEKNOLOGI INFORMASI. METODE DAN SARANA KEAMANAN. SISTEM MANAJEMEN KEAMANAN INFORMASI. PERSYARATAN. ​​GOST R ISO/IEC 27001-2006"
Jenis dokumen	pesanan, standar, bagus, iso
Tubuh tuan rumah	Rostekhregulirovanie
Nomor dokumen	ISO/IEC 27001-2006
Tanggal penerimaan	01.01.1970
Tanggal Revisi	27.12.2006
Tanggal pendaftaran di Kementerian Kehakiman	01.01.1970
Status	sah
Publikasi	Pada saat dimasukkan ke dalam database, dokumen tidak dipublikasikan
Navigator	Catatan

"TEKNOLOGI INFORMASI. METODE DAN SARANA KEAMANAN. SISTEM MANAJEMEN KEAMANAN INFORMASI. PERSYARATAN. ​​GOST R ISO/IEC 27001-2006"

8. Peningkatan sistem manajemen keamanan informasi

8.1. Perbaikan terus-menerus

Organisasi harus terus meningkatkan efektivitas SMKI dengan menyempurnakan kebijakan keamanan informasi, tujuan keamanan informasi, menggunakan hasil audit, menganalisis kejadian yang dikendalikan, tindakan korektif dan pencegahan, dan menggunakan hasil tinjauan SMKI oleh manajemen (lihat Klausul 7 ).

8.2. Tindakan korektif

Organisasi harus mengambil tindakan untuk menghilangkan penyebab ketidaksesuaian dengan persyaratan SMKI untuk mencegah terulangnya kembali. Prosedur tindakan korektif yang terdokumentasi harus menetapkan persyaratan untuk:

a) identifikasi ketidaksesuaian;

b) menentukan penyebab ketidaksesuaian;

C) mengevaluasi kebutuhan tindakan untuk menghindari terulangnya ketidaksesuaian;

d) menentukan dan menerapkan tindakan korektif yang diperlukan;

e) memelihara catatan hasil tindakan yang diambil (lihat 4.3.3);

f) meninjau tindakan korektif yang diambil.

8.3. Tindakan pencegahan

Organisasi harus menentukan tindakan yang diperlukan untuk menghilangkan penyebab potensi ketidaksesuaian dengan persyaratan SMKI untuk mencegah terulangnya ketidaksesuaian tersebut. Tindakan pencegahan yang diambil harus sepadan dengan konsekuensi dari potensi masalah. Prosedur terdokumentasi untuk tindakan pencegahan yang diambil harus menetapkan persyaratan untuk:

a) mengidentifikasi potensi ketidaksesuaian dan penyebabnya;

b) mengevaluasi kebutuhan tindakan untuk mencegah terjadinya ketidaksesuaian;

c) menentukan dan melaksanakan tindakan pencegahan yang diperlukan;

d) rekaman hasil tindakan yang diambil (lihat 4.3.3);

e) meninjau hasil tindakan yang dilakukan.

Organisasi harus mengidentifikasi perubahan dalam penilaian risiko dan menetapkan persyaratan untuk tindakan pencegahan, dengan perhatian khusus pada kuantifikasi risiko yang berubah secara signifikan.

Prioritas pelaksanaan tindakan pencegahan harus ditentukan berdasarkan hasil penilaian risiko.

CATATAN Secara umum, biaya untuk mengambil tindakan untuk mencegah ketidaksesuaian lebih ekonomis daripada tindakan korektif.

Kirim karya bagus Anda di basis pengetahuan sederhana. Gunakan formulir di bawah ini

Mahasiswa, mahasiswa pascasarjana, ilmuwan muda yang menggunakan basis pengetahuan dalam studi dan pekerjaan mereka akan sangat berterima kasih kepada Anda.

Diposting pada http://www.allbest.ru/

"Sistem Manajemen Keamanan Informasi"

manajemen standar internasional

PADAmelakukan

Sistem manajemen keamanan informasi adalah serangkaian proses yang beroperasi di dalam perusahaan untuk memastikan kerahasiaan, integritas, dan ketersediaan aset informasi. Pada bagian abstrak pertama, proses penerapan sistem manajemen dalam suatu organisasi dipertimbangkan, serta aspek utama manfaat penerapan sistem manajemen keamanan informasi.

Gambar.1. Siklus kontrol

Daftar proses dan rekomendasi tentang cara terbaik untuk mengatur fungsinya diberikan dalam standar internasional ISO 27001:2005, yang didasarkan pada siklus manajemen Plan-Do-Check-Act. Sesuai dengan itu, siklus hidup SMKI terdiri dari empat jenis kegiatan: Penciptaan - Implementasi dan pengoperasian - Pemantauan dan analisis - Pemeliharaan dan peningkatan (Gbr. 1). Standar ini akan dibahas lebih rinci di bagian kedua.

DARIsistempengelolaaninformasikeamanan

Sistem manajemen keamanan informasi (SMKI) adalah bagian dari sistem manajemen keseluruhan yang didasarkan pada pendekatan risiko bisnis dalam menciptakan, menerapkan, mengoperasikan, memantau, menganalisis, memelihara, dan meningkatkan keamanan informasi. Proses SMKI dirancang sesuai dengan persyaratan standar ISO/IEC 27001:2005, yang didasarkan pada siklus

Pengoperasian sistem didasarkan pada pendekatan teori manajemen risiko modern, yang memastikan integrasinya ke dalam sistem manajemen risiko organisasi secara keseluruhan.

Penerapan sistem manajemen keamanan informasi menyiratkan pengembangan dan penerapan prosedur yang ditujukan untuk identifikasi, analisis, dan mitigasi risiko keamanan informasi secara sistematis, yaitu risiko yang mengakibatkan aset informasi (informasi dalam bentuk dan sifat apa pun) kehilangan kerahasiaan. , integritas dan ketersediaan.

Untuk memastikan bahwa risiko keamanan informasi dimitigasi secara sistematis, berdasarkan hasil penilaian risiko, organisasi menerapkan proses berikut:

· Manajemen organisasi keamanan informasi internal.

· Memastikan keamanan informasi saat berinteraksi dengan pihak ketiga.

· Pengelolaan daftar aset informasi dan aturan untuk klasifikasi mereka.

· Manajemen keamanan peralatan.

· Memastikan keamanan fisik.

· Memastikan keamanan informasi personel.

· Perencanaan dan adopsi sistem informasi.

· Cadangan.

· Memastikan keamanan jaringan.

Proses sistem manajemen keamanan informasi mempengaruhi semua aspek pengelolaan infrastruktur TI suatu organisasi, karena keamanan informasi adalah hasil dari fungsi stabil dari proses yang terkait dengan teknologi informasi.

Saat membangun SMKI di perusahaan, spesialis melakukan karya berikut:

mengatur manajemen proyek, membentuk tim proyek dari pihak pelanggan dan kontraktor;

menentukan bidang kegiatan (OD) SMKI;

Periksa organisasi di SMKI OD:

o dalam hal proses bisnis organisasi, termasuk analisis konsekuensi negatif dari insiden keamanan informasi;

o dalam hal proses manajemen organisasi, termasuk manajemen mutu yang ada dan proses manajemen keamanan informasi;

o dalam hal infrastruktur TI;

o dalam hal keamanan informasi infrastruktur.

mengembangkan dan menyepakati laporan analitik yang berisi daftar proses bisnis utama dan penilaian konsekuensi penerapan ancaman SI terkait dengannya, daftar proses manajemen, sistem TI, subsistem keamanan informasi (ISS), penilaian sejauh mana organisasi mematuhi semua persyaratan ISO 27001 dan penilaian kematangan proses organisasi;

· memilih tingkat kematangan SMKI awal dan target, mengembangkan dan menyetujui Program Peningkatan Maturitas SMKI; mengembangkan dokumentasi tingkat tinggi di bidang keamanan informasi:

o Konsep penyediaan SI,

o kebijakan SI dan SMKI;

memilih dan mengadaptasi metodologi penilaian risiko yang berlaku di organisasi;

· memilih, menyediakan dan menyebarkan perangkat lunak yang digunakan untuk mengotomatisasi proses SMKI, mengatur pelatihan untuk spesialis perusahaan;

melakukan penilaian dan penanganan risiko, di mana langkah-langkah Lampiran "A" dari standar 27001 dipilih untuk menguranginya dan persyaratan untuk penerapannya dalam organisasi dirumuskan, sarana teknis untuk memastikan keamanan informasi dipilih terlebih dahulu;

· mengembangkan rancangan rancangan PIB, memperkirakan biaya penanganan risiko;

· mengatur persetujuan penilaian risiko oleh manajemen puncak organisasi dan mengembangkan Peraturan tentang penerapannya; mengembangkan pengaturan organisasi memberikan keamanan informasi;

Kembangkan dan implementasikan proyek teknis tentang penerapan subsistem keamanan informasi teknis yang mendukung penerapan langkah-langkah tertentu, termasuk penyediaan peralatan, komisioning, pengembangan dokumentasi operasional dan pelatihan pengguna;

memberikan nasihat selama pengoperasian SMKI yang dibangun;

· menyelenggarakan pelatihan auditor internal dan melakukan audit SMKI internal.

Hasil dari karya-karya tersebut adalah SMKI yang berfungsi. Manfaat penerapan SMKI di perusahaan dicapai melalui:

· manajemen yang efektif kepatuhan terhadap persyaratan hukum dan persyaratan bisnis di bidang keamanan informasi;

mencegah terjadinya insiden keamanan informasi dan mengurangi kerusakan jika terjadi;

Meningkatkan budaya keamanan informasi dalam organisasi;

· peningkatan kematangan di bidang manajemen keamanan informasi;

Optimalisasi pengeluaran untuk keamanan informasi.

ISO/IEC27001-- internasionalstandarpadainformasikeamanan

Standar ini dikembangkan bersama oleh International Organization for Standardization (ISO) dan International Electrotechnical Commission (IEC). Standar tersebut memuat persyaratan di bidang keamanan informasi untuk pembuatan, pengembangan dan pemeliharaan SMKI. ISO 27001 menetapkan persyaratan untuk SMKI untuk menunjukkan kemampuan organisasi untuk melindungi aset informasinya. Standar internasional menggunakan konsep "keamanan informasi" dan ditafsirkan sebagai jaminan kerahasiaan, integritas dan ketersediaan informasi. Dasar dari standar tersebut adalah sistem manajemen risiko informasi. Standar ini juga dapat digunakan untuk menilai kepatuhan oleh pihak internal dan eksternal yang berkepentingan.

Untuk pembentukan, implementasi, operasi, pemantauan berkelanjutan, analisis, pemeliharaan dan peningkatan sistem manajemen keamanan informasi (SMKI), standar mengadopsi pendekatan proses. Ini terdiri dari penerapan sistem proses dalam suatu organisasi, bersama dengan identifikasi dan interaksi proses-proses ini, serta kontrolnya.

Standar internasional mengadopsi model Plan-Do-Check-Act (PDCA), yang juga disebut siklus Shewhart-Deming. Siklus ini digunakan untuk menyusun semua proses SMKI. Gambar 2 menunjukkan bagaimana SMKI mengambil sebagai masukan persyaratan keamanan informasi dan harapan pemangku kepentingan, dan melalui kegiatan dan proses yang diperlukan menghasilkan hasil keamanan informasi yang memenuhi persyaratan dan harapan tersebut.

Perencanaan adalah fase membuat SMKI, membuat daftar aset, menilai risiko dan memilih tindakan.

Gambar 2. Model PDCA diterapkan pada proses SMKI

Implementasi adalah tahapan implementasi dan implementasi dari langkah-langkah yang relevan.

Verifikasi adalah fase menilai efektivitas dan kinerja SMKI. Biasanya dilakukan oleh auditor internal.

Tindakan - mengambil tindakan pencegahan dan perbaikan.

PADAkesimpulan

ISO 27001 menjelaskan model umum untuk penerapan dan pengoperasian SMKI, serta kegiatan untuk memantau dan meningkatkan SMKI. ISO bermaksud menyelaraskan berbagai standar sistem manajemen, seperti ISO/IEC 9001:2000, yang berkaitan dengan manajemen mutu, dan ISO/IEC 14001:2004, yang berkaitan dengan sistem manajemen lingkungan. Tujuan ISO adalah untuk memastikan bahwa SMKI konsisten dan terintegrasi dengan sistem manajemen lain di perusahaan. Kesamaan standar memungkinkan penggunaan alat dan fungsi serupa untuk implementasi, manajemen, revisi, verifikasi, dan sertifikasi. Dapat dipahami bahwa jika perusahaan telah menerapkan standar manajemen lain, dapat menggunakan sistem tunggal audit dan manajemen, yang berlaku untuk manajemen mutu, manajemen lingkungan, manajemen keselamatan, dll. Dengan menerapkan SMKI, manajemen senior memperoleh sarana untuk memantau dan mengelola keamanan, yang mengurangi risiko bisnis residual. Setelah menerapkan SMKI, perusahaan secara formal dapat memastikan keamanan informasi dan terus mematuhi persyaratan pelanggan, undang-undang, regulator, dan pemegang saham.

Perlu dicatat bahwa dalam undang-undang Federasi Rusia ada dokumen GOST R ISO / IEC 27001-2006, yang merupakan versi terjemahan dari standar internasional ISO27001.

DARImencicitliteratur

1. Korneev I.R., Belyaev A.V. Keamanan informasi perusahaan. - St. Petersburg: BHV-Petersburg, 2003. - 752 hal.: sakit.

2. Standar internasional ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (tanggal akses: 23.05.12)

3.Standar nasional Federasi Rusia GOST R ISO / IEC 27003 - "Teknologi informasi. Metode keamanan. Pedoman penerapan Sistem Manajemen Keamanan Informasi" pdf) (tanggal akses: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Pedoman perlindungan terhadap ancaman internal terhadap keamanan informasi. St. Petersburg: Peter, 2008. - 320 hal.: sakit.

5. Artikel ensiklopedia gratis "Wikipedia", "Sistem manajemen

keamanan informasi” (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (tanggal akses: 23.05.12)

6. Sigurjon Thor Arnason dan Keith D. Willett "Cara Mencapai Sertifikasi 27001"

Diselenggarakan di Allbest.ru

Dokumen serupa

Ancaman terhadap keamanan informasi di perusahaan. Identifikasi kekurangan dalam sistem keamanan informasi. Maksud dan tujuan dibentuknya suatu sistem keamanan informasi. Usulan langkah-langkah untuk meningkatkan sistem keamanan informasi organisasi.

makalah, ditambahkan 02/03/2011


Analisis sistem keamanan informasi di perusahaan. Layanan Keamanan Informasi. Ancaman keamanan informasi khusus untuk perusahaan. Metode dan sarana perlindungan informasi. Model sistem informasi dari posisi keamanan.

makalah, ditambahkan 02/03/2011


Tahapan utama pembuatan sistem manajemen di perusahaan Industri makanan. HACCP adalah dasar dari setiap sistem manajemen keamanan pangan. Sistem manajemen keamanan produk makanan. Bahaya dan tindakan pencegahan.

abstrak, ditambahkan 14/10/2014


Sistem modern manajemen dan integrasinya. Sistem manajemen mutu terintegrasi. Deskripsi JSC "275 ARZ" dan sistem manajemennya. Pengembangan sistem manajemen perlindungan tenaga kerja. Metode untuk menilai sistem keamanan terintegrasi.

tesis, ditambahkan 31/07/2011


Implementasi sistem manajemen mutu. Sertifikasi sistem manajemen mutu (ISO 9000, sistem manajemen lingkungan (ISO 14 000), sistem manajemen kesehatan dan keselamatan kerja organisasi (OHSAS 18 001:2007) pada contoh Lenta OJSC.

abstrak, ditambahkan 06.10.2008


Pengembangan standar untuk menyelenggarakan sistem manajemen terpadu yang menetapkan prosedur terpadu untuk pelaksanaan proses manajemen dokumentasi. Tahapan pembuatan sistem manajemen mutu OAO “ZSMK”. Akomodasi versi elektronik dokumen.

tesis, ditambahkan 06/01/2014


Skema hierarkis karyawan. Sarana perlindungan informasi. Pertanyaan tentang keadaan keamanan. Skema arus informasi perusahaan. Cara untuk mengontrol integritas sistem informasi. Pemodelan kontrol akses ke informasi layanan.

makalah, ditambahkan 30/12/2011


Konsep sebuah sistem informasi manajemen dan tempatnya di sistem umum pengelolaan. Jenis sistem informasi dan isinya. Konsep manajemen sebagai sistem informasi. Fungsi sistem manajemen keuangan. Sistem untuk melakukan transaksi dan operasi.

abstrak, ditambahkan 01/06/2015


Konsep di bidang kesehatan dan keselamatan. Standar ISO internasional tentang sistem manajemen mutu, sistem manajemen lingkungan, sistem manajemen keselamatan dan kesehatan kerja. Adaptasi standar OHSAS 18001-2007.

makalah, ditambahkan 21/12/2014


Karakteristik manajemen informasi; subyek informasi dan hubungan hukum; rezim hukum untuk menerima, mentransfer, menyimpan, dan menggunakan informasi. Fitur dan aspek hukum pertukaran informasi dan keamanan informasi.

Di dalam dunia teknologi Informasi masalah memastikan integritas, keandalan dan kerahasiaan informasi menjadi prioritas. Oleh karena itu, mengenali kebutuhan sistem manajemen keamanan informasi (SMKI) dalam suatu organisasi adalah keputusan strategis.

Dirancang untuk membuat, menerapkan, memelihara, dan perbaikan terus-menerus SMKI di perusahaan Juga, berkat penerapan Standar ini, menjadi jelas bagi mitra eksternal kemampuan organisasi untuk memenuhi persyaratannya sendiri untuk keamanan informasi. Dalam artikel ini akan di diskusikan tentang persyaratan utama Standar dan diskusi tentang strukturnya.

(ADV31)

Tujuan utama dari Standar ISO 27001

Sebelum melanjutkan ke deskripsi struktur Standar, mari kita tentukan tugas utamanya dan pertimbangkan sejarah kemunculan Standar di Rusia.

Tujuan Standar:

• menetapkan persyaratan yang seragam bagi semua organisasi untuk membuat, menerapkan, dan meningkatkan SMKI;
• memastikan interaksi manajemen senior dan karyawan;
• menjaga kerahasiaan, integritas dan ketersediaan informasi.

Pada saat yang sama, persyaratan yang ditetapkan oleh Standar bersifat umum dan dimaksudkan untuk diterapkan oleh organisasi mana pun, terlepas dari jenis, ukuran, atau sifatnya.

Sejarah Standar:

• Pada tahun 1995, British Standards Institute (BSI) mengadopsi Kode Manajemen Keamanan Informasi sebagai standar nasional Inggris dan mendaftarkannya dengan nomor BS 7799 - Bagian 1.
• Pada tahun 1998, BSI menerbitkan BS7799-2, yang terdiri dari dua bagian, salah satunya termasuk kode praktik, dan yang lainnya - persyaratan untuk sistem manajemen keamanan informasi.
• Dalam perjalanan revisi berikutnya, bagian pertama diterbitkan sebagai BS 7799:1999, Bagian 1. Pada tahun 1999, versi standar ini diserahkan ke Organisasi Sertifikasi Internasional.
• Dokumen ini disetujui pada tahun 2000 sebagai standar internasional ISO/IEC 17799:2000 (BS 7799-1:2000). Versi terbaru dari standar ini, yang diadopsi pada tahun 2005, adalah ISO/IEC 17799:2005.
• Pada bulan September 2002, bagian kedua dari "Spesifikasi Sistem Manajemen Keamanan Informasi" BS 7799 mulai berlaku. Bagian kedua dari BS 7799 direvisi pada tahun 2002, dan pada akhir tahun 2005 diadopsi oleh ISO sebagai standar internasional ISO / IEC 27001:2005 "Teknologi informasi - Praktik keamanan - Sistem manajemen keamanan informasi - Persyaratan".
• Pada tahun 2005, standar ISO/IEC 17799 termasuk dalam seri standar ke-27 dan diterima nomor baru- ISO/IEC 27002:2005.
• Pada tanggal 25 September 2013, standar yang diperbarui ISO/IEC 27001:2013 “Sistem Manajemen Keamanan Informasi. Persyaratan". Saat ini, organisasi sedang disertifikasi menurut versi Standar ini.

Struktur Standar

Salah satu keunggulan Standar ini adalah kesamaan strukturnya dengan ISO 9001, karena mengandung judul subbagian yang identik, teks yang identik, istilah umum dan definisi dasar. Keadaan ini menghemat waktu dan uang, karena sebagian dari dokumentasi telah dikembangkan selama sertifikasi menurut ISO 9001.

Jika kita berbicara tentang struktur Standar, itu adalah daftar persyaratan SMKI yang wajib untuk sertifikasi dan terdiri dari bagian-bagian berikut:

Bagian utama	Lampiran A
0. Pendahuluan	A.5 Kebijakan keamanan informasi
1 area penggunaan	A.6 Organisasi keamanan informasi
2. Referensi peraturan	A.7 Keselamatan sumber daya manusia (personil)
3. Istilah dan definisi	A.8 Manajemen aset
4. Konteks organisasi	A.9 Kontrol akses
5. Kepemimpinan	A.10 Kriptografi
6. Perencanaan	A.11 Keamanan fisik dan perlindungan terhadap lingkungan
7. Dukungan	A.12 Keamanan operasional
8. Operasi (Operasi)	A.13 Keamanan komunikasi
9. Evaluasi (Pengukuran) kinerja	A.14 Akuisisi, pengembangan dan pemeliharaan sistem informasi
10. Perbaikan (Improvement)	A.15 Hubungan pemasok
	A.16 Manajemen insiden
	A.17 Memastikan kelangsungan usaha
	A.18 Kepatuhan Hukum

Persyaratan "Lampiran A" adalah wajib, tetapi standar memungkinkan Anda untuk mengecualikan area yang tidak dapat diterapkan di perusahaan.

Saat menerapkan Standar di perusahaan untuk sertifikasi lebih lanjut, perlu diingat bahwa pengecualian terhadap persyaratan yang ditetapkan dalam bagian 4 - 10 tidak diperbolehkan. Bagian ini akan dibahas lebih lanjut.

Mari Mulai dengan Bagian 4 - Konteks Organisasi

konteks organisasi

Pada bagian ini, Standar mengharuskan organisasi untuk mengidentifikasi masalah eksternal dan internal yang relevan dengan tujuannya dan yang mempengaruhi kemampuan SMKI untuk mencapai hasil yang diharapkan. Ini harus mempertimbangkan persyaratan hukum dan peraturan serta kewajiban kontrak terkait keamanan informasi. Organisasi juga harus mendefinisikan dan mendokumentasikan ruang lingkup dan penerapan SMKI untuk menetapkan ruang lingkupnya.

Kepemimpinan

Manajemen puncak harus menunjukkan kepemimpinan dan komitmen terhadap sistem manajemen keamanan informasi dengan, misalnya, memastikan bahwa kebijakan keamanan informasi dan tujuan keamanan informasi ditetapkan dan konsisten dengan strategi organisasi. Juga, manajemen puncak harus memastikan bahwa semua sumber daya yang diperlukan untuk SMKI disediakan. Dengan kata lain, harus jelas bagi karyawan bahwa manajemen terlibat dalam masalah keamanan informasi.

Kebijakan keamanan informasi harus didokumentasikan dan dikomunikasikan kepada karyawan. Dokumen ini menyerupai kebijakan mutu ISO 9001. Dokumen ini juga harus konsisten dengan tujuan organisasi dan mencakup tujuan keamanan informasi. Nah, jika ini adalah tujuan nyata, seperti menjaga kerahasiaan dan integritas informasi.

Manajemen juga diharapkan dapat mendistribusikan fungsi dan tanggung jawab terkait keamanan informasi di antara karyawan.

Perencanaan

Pada bagian ini, kita sampai pada tahap pertama dari prinsip manajemen PDCA (Plan - Do - Check - Act) - plan, do, check, act.

Ketika merencanakan sistem manajemen keamanan informasi, organisasi harus mempertimbangkan masalah yang disebutkan dalam Klausul 4 dan mengidentifikasi risiko dan peluang yang perlu diperhitungkan untuk memastikan bahwa SMKI dapat mencapai hasil yang diharapkan, mencegah efek yang tidak diinginkan dan mencapai peningkatan berkelanjutan. .

Ketika merencanakan bagaimana mencapai tujuan keamanan informasinya, organisasi harus menentukan:

• apa yang akan dilakukan;
• sumber daya apa yang akan dibutuhkan;
• siapa yang akan bertanggung jawab;
• kapan tujuan akan tercapai;
• bagaimana hasilnya akan dievaluasi.

Selain itu, organisasi harus menyimpan data tentang tujuan keamanan informasi sebagai informasi terdokumentasi.

Keamanan

Organisasi harus menentukan dan menyediakan sumber daya yang diperlukan untuk mengembangkan, menerapkan, memelihara, dan terus meningkatkan SMKI, termasuk personel dan dokumentasi. Dari segi personel, organisasi diharapkan dapat merekrut personel keamanan informasi yang berkualitas dan kompeten. Kualifikasi karyawan harus dikonfirmasi dengan sertifikat, diploma, dll. Dimungkinkan untuk menarik spesialis pihak ketiga berdasarkan kontrak, atau untuk melatih karyawan Anda sendiri. Dalam hal dokumentasi, itu harus mencakup:

• informasi terdokumentasi yang disyaratkan oleh Standar;
• informasi terdokumentasi yang ditentukan oleh organisasi diperlukan untuk efektivitas sistem manajemen keamanan informasi.

Informasi terdokumentasi yang disyaratkan oleh SMKI dan Standar harus dikendalikan untuk memastikan bahwa:

• tersedia dan dapat digunakan di mana dan saat dibutuhkan, dan
• dilindungi dengan tepat (misalnya, terhadap hilangnya kerahasiaan, penyalahgunaan, atau hilangnya integritas).

Berfungsi

PADA bagian ini berbicara tentang tahap kedua dari prinsip manajemen PDCA - kebutuhan organisasi untuk mengelola proses untuk memastikan kepatuhan terhadap persyaratan, dan untuk melakukan tindakan yang ditentukan di bagian Perencanaan. Ini juga menyatakan bahwa organisasi harus melakukan penilaian risiko keamanan informasi pada interval terjadwal atau ketika perubahan signifikan diusulkan atau terjadi. Organisasi harus menyimpan hasil penilaian risiko keamanan informasi sebagai informasi terdokumentasi.

Evaluasi kinerja

Tahap ketiga adalah verifikasi. Organisasi harus mengevaluasi fungsi dan efektivitas SMKI. Misalnya, harus melakukan audit internal untuk mendapatkan informasi tentang

1. apakah sistem manajemen keamanan informasi mematuhi
   • persyaratan organisasi itu sendiri untuk sistem manajemen keamanan informasinya;
   • persyaratan Standar;
2. bahwa sistem manajemen keamanan informasi diterapkan dan beroperasi secara efektif.

Tentu saja, volume dan waktu audit harus direncanakan sebelumnya. Semua hasil harus didokumentasikan dan disimpan.

Peningkatan

Tujuan dari bagian ini adalah untuk menentukan tindakan ketika ketidaksesuaian diidentifikasi. Organisasi perlu memperbaiki ketidaksesuaian, konsekuensi dan melakukan analisis situasi agar hal ini tidak terjadi di masa depan. Semua ketidaksesuaian dan tindakan korektif harus didokumentasikan.

Ini menyimpulkan bagian utama dari Standar. Lampiran A memberikan persyaratan yang lebih spesifik yang harus dipenuhi oleh organisasi. Misalnya dalam hal kontrol akses, penggunaan perangkat mobile dan media penyimpanan.

Manfaat Penerapan dan Sertifikasi ISO 27001

• meningkatkan status organisasi dan, karenanya, kepercayaan mitra;
• meningkatkan stabilitas fungsi organisasi;
• meningkatkan tingkat perlindungan terhadap ancaman keamanan informasi;
• memastikan tingkat kerahasiaan informasi pihak yang berkepentingan yang diperlukan;
• memperluas peluang bagi organisasi untuk berpartisipasi dalam kontrak besar.

Manfaat ekonominya adalah:

• konfirmasi independen oleh lembaga sertifikasi tentang keberadaan dalam organisasi keamanan informasi tingkat tinggi yang dikendalikan oleh personel yang kompeten;
• bukti kepatuhan hukum yang ada dan regulasi (pelaksanaan sistem persyaratan wajib);
• demonstrasi sistem manajemen tingkat tinggi tertentu untuk memastikan tingkat layanan yang tepat kepada pelanggan dan mitra organisasi;
• Demonstrasi melakukan audit rutin sistem manajemen, evaluasi kinerja dan perbaikan berkelanjutan.

Sertifikasi

Sebuah organisasi dapat disertifikasi oleh lembaga terakreditasi sesuai dengan standar ini. Proses sertifikasi terdiri dari tiga tahap:

• Tahap 1 - mempelajari oleh auditor dokumen kunci SMKI untuk memenuhi persyaratan Standar - dapat dilakukan baik di wilayah organisasi maupun dengan mentransfer dokumen-dokumen ini ke auditor eksternal;
• Tahap 2 - audit terperinci, termasuk pengujian tindakan yang diterapkan, dan evaluasi efektivitasnya. Termasuk studi lengkap dari dokumen yang disyaratkan oleh standar;
• Tahap 3 - kinerja audit pengawasan untuk memastikan bahwa organisasi yang disertifikasi memenuhi persyaratan yang disebutkan. Dilakukan secara periodik.

Hasil

Seperti yang Anda lihat, penggunaan standar ini di suatu perusahaan akan memungkinkan peningkatan kualitatif dalam tingkat keamanan informasi, yang sangat berharga dalam kondisi realitas modern. Standar berisi banyak persyaratan, tetapi persyaratan yang paling penting adalah melakukan apa yang tertulis! Tanpa penerapan nyata dari persyaratan standar, itu berubah menjadi satu set kertas kosong.

Shakhalov Igor Yurievich

Tentang masalah mengintegrasikan sistem manajemen mutu dan keamanan informasi

Abstrak: Standar internasional ISO 27001 dan ISO 9001 dipertimbangkan. Analisis persamaan dan perbedaan antara sistem manajemen mutu dan sistem manajemen keamanan informasi dilakukan. Kemungkinan mengintegrasikan sistem manajemen mutu dan sistem manajemen keamanan informasi ditampilkan. Tahapan utama membangun dan mengimplementasikan sistem manajemen keamanan informasi terintegrasi diberikan. Keuntungan dari pendekatan terintegrasi ditunjukkan.

Kata kunci: sistem manajemen, keamanan informasi, sistem manajemen terintegrasi, SMKI, SMM, ISO 27001.

Natalya Olegovna

pengantar

PADA dunia modern Dengan munculnya perangkat teknis yang tersebar luas dan nyaman, masalah keamanan informasi menjadi sangat akut. Seiring dengan rilis produk berkualitas atau penyediaan layanan untuk perusahaan dan organisasi, penting untuk mempertahankan informasi yang perlu rahasia dari pesaing agar tetap berada pada posisi yang menguntungkan di pasar. PADA kompetisi berbagai tindakan yang bertujuan untuk memperoleh (memperoleh, memperoleh) informasi rahasia dengan berbagai cara, hingga langsung spionase industri menggunakan modern sarana teknis intelijen.

Dengan demikian, organisasi yang menganut best world practice, berisi persyaratan, pedoman penerapan sistem manajemen proses bisnis dalam suatu organisasi, menjadi pemimpin di pasar. Standar terbaik untuk pengembangan, implementasi, pemantauan dan peningkatan sistem tersebut adalah dokumen dari Organisasi Internasional untuk Standardisasi (ISO). Perhatian khusus harus diberikan pada standar seri ISO 900x dan ISO 2700x, yang berisi praktik terbaik untuk penerapan sistem manajemen mutu (SMM) dan sistem manajemen keamanan informasi (SMKI).

Sistem manajemen mutu, yang diterapkan sesuai dengan persyaratan standar ISO 9001, telah lama dikenal sebagai atribut integral perusahaan yang sukses menghasilkan produk berkualitas tinggi atau menyediakan layanan berkualitas tinggi. Saat ini, keberadaan sertifikat kesesuaian merupakan solusi pemasaran yang efektif dan mekanisme untuk mengendalikan proses produksi. Audit QMS adalah lini bisnis yang dikembangkan.

Setiap hari ketergantungan aktivitas sukses perusahaan pada sistem perlindungan informasi perusahaan meningkat. Hal ini disebabkan oleh peningkatan volume data vital yang diproses dalam sistem informasi perusahaan. Sistem informasi menjadi lebih kompleks, dan jumlah kerentanan yang ditemukan di dalamnya juga bertambah. Audit SMKI memungkinkan Anda untuk menilai status keamanan saat ini dari fungsi sistem informasi perusahaan,

menilai dan memprediksi risiko, mengelola dampaknya terhadap proses bisnis perusahaan.

Karena standar ISO 9001 telah lama menempati posisi terdepan dalam hal jumlah sertifikat di dunia, dan standar ISO 27001 menunjukkan tren peningkatan dalam sertifikasi sistem manajemen keamanan informasi, disarankan untuk mempertimbangkan kemungkinan interaksi dan integrasi dari SMM dan SMKI.

Integrasi standar

Pada pandangan pertama, manajemen kualitas dan keamanan informasi adalah bidang yang sama sekali berbeda. Namun, dalam praktiknya mereka terkait erat dan membentuk satu kesatuan (Gambar 1). Kepuasan pelanggan yang merupakan tujuan objektif kualitas, setiap tahun semakin tergantung pada ketersediaan teknologi informasi dan keamanan data, yang didukung oleh standar ISO 27001. Di sisi lain, standar ISO 9001 persis sesuai dengan tujuan perusahaan organisasi dengan membantu mengelola keamanan informasi. Berkat pendekatan terintegrasi, ISO 27001 dapat secara efektif diintegrasikan ke dalam SMM yang ada atau diimplementasikan dalam hubungannya dengan SMM.

Layanan TI (ISO 27001) dan manajemen layanan TI (ISO 20000) memiliki struktur dan pendekatan proses yang serupa. Ini memberikan sinergi yang membuahkan hasil: dalam praktiknya, sistem manajemen terintegrasi untuk operasi yang sedang berlangsung menghemat 20 hingga 30 persen dari total biaya pengoptimalan, pemeriksaan, dan audit sistem.

Standar manajemen kualitas dan keamanan informasi berfokus pada peningkatan berkelanjutan sesuai dengan model Plan-Do-Check-Act (PDCA), yang dikenal sebagai Siklus Deming (lihat Gambar 2) . Selain itu, mereka serupa dalam struktur, seperti yang ditunjukkan pada tabel korespondensi dalam Lampiran C ISO 27001. Kedua standar mendefinisikan konsep pendekatan proses, ruang lingkup, persyaratan sistem dan dokumentasi, dan tanggung jawab administratif. Dalam kedua kasus, struktur diakhiri dengan audit internal, tinjauan manajemen dan perbaikan sistem. Dalam hal ini, kedua sistem berinteraksi. Misalnya, ISO 9001 mensyaratkan pengelolaan produk yang tidak sesuai. Demikian pula, dalam standar ISO 27001 ada persyaratan untuk manajemen insiden untuk mengatasi kegagalan.

Beras. 1. Area interaksi dan kesamaan antara SMM dan SMKI

Beras. 2. Siklus Deming

Lebih dari 27.200 organisasi di berbagai industri di lebih dari 100 negara di seluruh dunia telah disertifikasi ISO 9001:2008 untuk manajemen mutu. Tergantung pada pasar dan persyaratan hukum, banyak organisasi semakin dipaksa untuk berurusan dengan keamanan informasi. Dalam hal ini, integrasi sistem kontrol menawarkan peluang nyata. Pendekatan terpadu juga menarik bagi perusahaan yang sejauh ini belum menggunakan proses manajemen. Standar ISO untuk kualitas (ISO 9001), perlindungan lingkungan (ISO 14000), keamanan informasi

Perbedaan antara standar saling melengkapi dengan bermanfaat, yang merupakan kontributor yang menentukan untuk meningkatkan kesuksesan bisnis. Misalnya, ISO 9001 memerlukan definisi tujuan perusahaan, fokus pelanggan, dan keterukuran sejauh mana tujuan dan sasaran terpenuhi. Ini adalah tiga isu yang tidak menjadi fokus ISO 27001. Pada gilirannya, standar ini mengutamakan manajemen risiko untuk kelangsungan bisnis dan menawarkan bantuan rinci dalam penerapan SMKI. Dibandingkan

dengan ini, ISO 9001 lebih merupakan standar teoretis.

ISO 27001 bukan hanya untuk IT

Banyak orang mengira bahwa standar ISO 27001 hanya untuk proses IT, tapi nyatanya tidak. Poin mendasar untuk penerapan MS&B standar ISO 27001 adalah definisi aset.

"lilltpHiimiir-J. » iJillF.lEL^OIU.IC.

g t^tsdkpinizh ts netuvk^tnslschs tEp.tna.

» irreiiKinfundu «GcTMHiiociv

*KYADROMK:

JI!l"|"l"L>4_l]Jil"HIIL,k

» D|KtttcCcU H «patitU.

» jimii 14: ii |vju7JIIIM.

Beras. 3. Jenis aset

Aset adalah segala sesuatu yang bernilai bagi perusahaan (Gambar 3). Artinya, aset dapat berupa: sumber daya manusia, infrastruktur, peralatan, peralatan, komunikasi, layanan, dan aset lainnya, termasuk layanan untuk memasok produk yang dibeli. Berdasarkan proses, perusahaan menentukan aset apa yang dimilikinya dan aset apa yang terlibat dalam proses kritis, dan mengevaluasi nilai aset. Dan baru setelah itu, risiko dinilai untuk semua aset berharga. Dengan demikian, SMKI ditujukan tidak hanya untuk informasi digital yang diproses secara sistem otomatis. Misalnya, beberapa proses yang paling kritis terkait dengan

Pelatihan

rencana acara

2 Periksa kepatuhan H:i

hard copy informasi, yang juga dicakup oleh ISO 27001. SMKI mencakup semua cara di mana informasi penting dapat disimpan di perusahaan Anda: dari bagaimana Anda email dilindungi, diakhiri dengan tempat penyimpanan file pribadi karyawan di dalam gedung.

Oleh karena itu, adalah kesalahpahaman besar bahwa karena standar ditujukan untuk membangun sistem manajemen keamanan informasi, ini hanya dapat diterapkan pada data yang disimpan di komputer. Bahkan di era digital kita, masih banyak informasi di atas kertas, yang juga harus dilindungi dengan aman.

ISO 9001 tidak dapat memenuhi kebutuhan keamanan informasi perusahaan karena berfokus secara sempit pada kualitas produk. Oleh karena itu, sangat penting untuk menerapkan ISO 27001 di sebuah perusahaan.Pada pandangan pertama, mungkin tampak bagi seorang spesialis bahwa kedua standar tersebut sangat umum dan kurang spesifik. Namun, ini tidak terjadi: standar ISO 27001 menjelaskan hampir setiap langkah dalam penerapan dan pengendalian fungsi SMKI (Gambar 4).

Tahapan utama membangun sistem manajemen keamanan informasi

Tahapan utama dalam membangun SMKI diilustrasikan pada Gambar 4. Mari kita pertimbangkan mereka secara lebih rinci.

Tahap 1. Penyusunan rencana aksi. Pada tahap ini, spesialis mengumpulkan dokumen organisasi dan administrasi (ORD) dan lainnya bahan kerja,

3 Tipe normal II ORD

4 Analisis ii penilaian risiko 11B

Penerapan

5 RyazraOoghya dan<>Kompleks RaeryaOopv & 00\*ieiitii:

rencana radiasi -> norma tovnsh n -> acara -> CfftpJOTHW*

kegiatan Sen>PB ORD sesuai permintaan

Pembentukan 10 hasil evaluasi AiUtuin diOrsnEshS"IMB

Beras. 4. Tahapan membangun SMKI

berkaitan dengan konstruksi dan pengoperasian sistem informasi perusahaan, mekanisme dan sarana penyediaan keamanan informasi yang direncanakan untuk digunakan. Selain itu, rencana tindakan untuk tahapan pekerjaan disusun, disetujui dan disetujui oleh manajemen perusahaan.

Tahap 2. Memeriksa kepatuhan terhadap ISO/IEC 27001:2005. Mewawancarai dan menanyai manajer dan karyawan departemen. Analisis SMKI perusahaan untuk pemenuhan persyaratan ISO/IEC 27001:2005.

Tahap 3. Analisis dokumen peraturan dan organisasi dan administrasi berdasarkan struktur organisasi perusahaan. Berdasarkan hasilnya, lingkup yang dilindungi (OS) ditentukan dan sketsa kebijakan keamanan informasi perusahaan dikembangkan.

Tahap 4. Analisis dan penilaian risiko SI. Pengembangan metodologi untuk mengelola risiko perusahaan dan analisisnya. Analisis sumber informasi perusahaan, terutama LAN, untuk mengidentifikasi ancaman dan kerentanan aset ML yang dilindungi. Inventaris aset. Memberikan konsultasi untuk spesialis perusahaan dan menilai kepatuhan dengan tingkat keamanan yang sebenarnya dan yang diperlukan. Perhitungan risiko, penentuan tingkat risiko saat ini dan yang dapat diterima untuk setiap aset tertentu. Mulai risiko, memilih serangkaian tindakan untuk menguranginya dan menghitung efektivitas teoritis implementasi.

Tahap 5. Pengembangan dan implementasi rencana aksi untuk keamanan informasi. Pengembangan peraturan tentang penerapan kontrol sesuai dengan ISO/IEC 27001:2005. Pengembangan rencana untuk akuntansi dan menghilangkan risiko. Membuat laporan untuk kepala perusahaan.

Tahap 6. Pengembangan dokumentasi normatif dan operasional. Pengembangan dan persetujuan kebijakan final I&B dan ketentuan terkaitnya (kebijakan pribadi). Pengembangan standar, prosedur dan instruksi yang memastikan fungsi normal dan operasi SMKI perusahaan.

Tahap 7. Implementasi langkah-langkah komprehensif untuk mengurangi risiko SI dan mengevaluasi efektivitasnya sesuai dengan rencana penanganan dan eliminasi risiko yang disetujui oleh manajemen.

Tahap 8. Pelatihan personel. Penyusunan rencana aksi dan implementasi program pelatihan dan peningkatan kompetensi karyawan perusahaan agar prinsip-prinsip keamanan informasi dapat dikomunikasikan secara efektif kepada seluruh karyawan dan

terutama mereka yang bekerja di divisi struktural yang mendukung proses bisnis utama.

Tahap 9. Pembentukan pelaporan. Sistematisasi hasil survei dan pelaporan. Presentasi hasil kerja untuk eksekutif perusahaan. Persiapan dokumen untuk perizinan sesuai dengan ISO/IEC 27001:2005 dan penyerahannya ke organisasi sertifikasi.

Tahap 10. Analisis dan evaluasi hasil penerapan SMKI berdasarkan metodologi yang menilai keandalan fungsi SMKI perusahaan. Penyusunan rekomendasi perbaikan sistem manajemen keamanan informasi perusahaan.

Menganalisis setiap tahap implementasi SMKI, kita dapat mengatakan bahwa ISO 27001 memiliki struktur dan persyaratan yang jelas yang akan memungkinkan Anda untuk membangun sistem kerja di mana akan ada interaksi di semua tingkat yang diperlukan. Tetapi kita tidak boleh lupa bahwa perbedaan utama antara SMKI dan SMM adalah bahwa sistem pertama difokuskan pada keamanan informasi.

Pentingnya Keamanan Informasi di Dunia Modern

Bisnis saat ini tidak dapat eksis tanpa teknologi informasi. Diketahui bahwa sekitar 70% dari total produk nasional dunia bergantung pada satu atau lain cara pada informasi yang disimpan dalam sistem informasi. Pengenalan komputer secara luas telah menciptakan tidak hanya kenyamanan yang terkenal, tetapi juga masalah, yang paling serius adalah masalah keamanan informasi.

Para pemimpin bisnis harus menyadari pentingnya keamanan informasi, belajar bagaimana memprediksi dan mengelola tren di bidang ini. Dalam hal ini mereka dapat dibantu dengan pengenalan SMKI, yang menurut strukturnya memiliki potensi untuk dikembangkan, transparansi manajemen, dan fleksibilitas terhadap perubahan apa pun. Seiring dengan kontrol untuk komputer dan jaringan komputer, standar ISO 27001 memberikan perhatian besar pada pengembangan kebijakan keamanan, bekerja dengan personel (perekrutan, pelatihan, pemecatan), memastikan kontinuitas proses produksi, persyaratan peraturan, sementara beberapa masalah teknis dirinci dalam standar seri lainnya

ISO27000. Ada banyak keuntungan dari penerapan SMKI di sebuah perusahaan, beberapa di antaranya ditunjukkan pada Gambar. 5.

GlbkshlSkala subr\u003e h; 1 [h.-t

¡juvum . berkurang

HiKiinimi n II11 \ 11 H "G 1111 111 pdnT

Prattshal wirdoctle

" Ji|m|sakit p.Ki u:

azhchtnya Tidak. tsn ^ st

Beras. 5. Manfaat penerapan sistem manajemen keamanan informasi

Manfaat ISO harus ditunjukkan

Demonstrasi kompetensi keamanan. ISO 27001 adalah panduan praktis untuk organisasi yang membantu merumuskan persyaratan keamanan untuk mencapai tingkat keamanan yang diperlukan dan memenuhi tujuan keamanan tertentu. Sangat penting bagi organisasi untuk menjadi kompeten dalam empat bidang manajemen keamanan, termasuk: mengidentifikasi dan mengevaluasi aset perusahaan, menilai risiko dan menentukan kriteria penerimaan risiko, mengelola dan menerima item ini, dan perbaikan berkelanjutan. program umum keamanan organisasi.

Menjamin kepercayaan pelanggan. ISO 27001 memberikan bukti independen bahwa program tata kelola perusahaan didukung oleh praktik internasional terbaik, canggih. Sertifikasi ISO 27001 memberikan ketenangan pikiran bagi perusahaan yang ingin menunjukkan integritas kepada pelanggan, pemegang saham, dan mitra potensial, dan yang paling penting, untuk menunjukkan bahwa perusahaan telah berhasil menerapkan sistem manajemen keamanan informasi yang baik. Untuk banyak industri yang diatur secara ketat, seperti keuangan atau layanan Internet, pemilihan vendor dapat

terbatas pada organisasi yang sudah disertifikasi ISO 27001.

Penggunaan sumber daya yang lebih efisien. Berkat penggunaan pendekatan proses, dimungkinkan untuk mengoptimalkan proses yang terjadi di perusahaan. Yang memerlukan pengurangan penggunaan sumber daya, seperti waktu.

Perbaikan terus-menerus. SMKI menggunakan model PCDA, yang memungkinkan Anda untuk secara teratur memeriksa status seluruh sistem, menganalisis dan meningkatkan sistem manajemen

1. Gambar, merek. Sertifikasi ISO 27001 membuka berbagai peluang bagi perusahaan: internasionalisasi, kemitraan baru, lebih banyak klien, kontrak baru, sukses dalam tender. Kehadiran SMKI di suatu perusahaan merupakan indikator tingkat perkembangan yang tinggi.

2. Fleksibilitas SMKI. Terlepas dari perubahan proses, teknologi baru, struktur dasar SMKI tetap berlaku. SMKI cukup mudah untuk beradaptasi dengan inovasi dengan meningkatkan yang ada dan memperkenalkan penanggulangan baru.

3. Skalabilitas penerapan standar. Karena ISO 27001 adalah pelingkupan, itu hanya memungkinkan sebagian dari proses untuk disertifikasi. Anda dapat mulai menerapkan SMKI di OD paling signifikan bagi perusahaan, dan mengembangkannya nanti.

4. Audit. Banyak perusahaan Rusia menganggap pekerjaan audit sebagai bencana. ISO 27001 menunjukkan pendekatan internasional untuk audit: pertama-tama, kepentingan perusahaan untuk benar-benar memenuhi standar, dan tidak melakukan sertifikasi entah bagaimana, hanya "untuk pertunjukan".

5. Audit internal atau eksternal secara berkala memungkinkan untuk memperbaiki pelanggaran, meningkatkan SMKI, dan mengurangi risiko secara signifikan. Pertama-tama, perusahaan membutuhkannya untuk ketenangan pikiran, bahwa semuanya beres dan risiko kerugian diminimalkan. Dan yang kedua - sertifikat kesesuaian, yang menegaskan kepada mitra atau pelanggan bahwa perusahaan ini dapat dipercaya.

6. Transparansi manajemen. Penggunaan standar ISO 27001 memberikan instruksi yang cukup jelas untuk membuat kontrol, dan

juga persyaratan dokumentasi yang harus ada di perusahaan. Masalah bagi banyak perusahaan adalah bahwa dokumen yang ada untuk departemen tertentu sama sekali tidak dapat dibaca, karena seringkali tidak mungkin untuk mengetahui apa yang ditujukan untuk siapa dan karena kerumitan sistem dokumentasi. Hirarki tingkat dokumentasi, dari kebijakan keamanan informasi hingga deskripsi prosedur tertentu, memanfaatkan aturan yang ada, peraturan dan hal-hal lain jauh lebih mudah. Juga, pengenalan SM&B melibatkan pelatihan staf: mengadakan seminar, pengiriman surat, memasang poster peringatan, yang secara signifikan meningkatkan kesadaran akan keamanan informasi di antara karyawan biasa.

Sebagai kesimpulan, perlu dicatat bahwa dalam bisnis modern hal tidak dapat dicabut sistem dasar manajemen mutu, dibangun sesuai dengan persyaratan standar ISO 9001, dan posisi pemenang sistem manajemen keamanan informasi jelas.

Saat ini, pemimpin pasar akan menjadi perusahaan yang memantau tidak hanya kualitas produk dan layanan, tetapi juga tingkat kerahasiaan, integritas, dan ketersediaan informasi tentang produk dan layanan tersebut. Juga, faktor keberhasilan yang penting adalah peramalan dan penilaian risiko, yang membutuhkan pendekatan yang kompeten dan penggunaan praktik internasional terbaik. Implementasi bersama dan sertifikasi manajemen mutu dan sistem keamanan informasi akan membantu memecahkan jangkauan luas tugas untuk industri atau perdagangan apa pun, yang pada gilirannya akan mengarah pada peningkatan kualitatif dalam tingkat layanan yang diberikan.

literatur

1. Dorofeev A. V., Shakhalov I. Yu. Dasar-dasar manajemen keamanan informasi organisasi modern// Informatika hukum. 2013. No. 3. S. 4-14.

2. Chashkin V. N. Manajemen keamanan informasi sebagai elemen sistem manajemen kegiatan teknologi informasi suatu organisasi // Keamanan teknologi informasi. 2009. No. 1. S. 123-124.

3. Goryachev VV GOST baru untuk QMS. Perbedaan utama dari GOST RV 15,002-2003 //

Metode manajemen mutu. 2013. Nomor 7. S. 18-23.

4. Dotsenko S. P., Pshenetsky S. P. Pendekatan untuk membangun model sistem manajemen keamanan informasi // Polythematic Network Electronic Majalah Sains Universitas Agraria Negeri Kuban. 2009. No.53.S.47-56.

5. Kamenev A. V., Zavoritko E. V. Model sistem manajemen keamanan informasi di perusahaan (dalam organisasi) // Intellect. Inovasi. Investasi. 2013. No. 1. Hal. 111-114.

6. Solovyov A. M. Basis regulasi dan metodologi di bidang keamanan informasi // Ekonomi, statistik, dan informatika. Vestnik UMO. 2012. No. 1. S. 174-181.

7. Kozin I. F., Livshits I. I. Keamanan informasi. Integrasi standar internasional ke dalam sistem keamanan informasi Rusia // Informasi dan komunikasi. 2010. Nomor 1. S.50-55.

8. Kolodin V. S. Sertifikasi sistem manajemen terintegrasi // Buletin Universitas Teknik Negeri Irkutsk. 2010. V. 41. No. 1. S. 44-48.

9. Merkushova N. I., Naumenko Yu. A., Merkushova Yu. A. Sistem manajemen terpadu: prasyarat untuk penciptaan di perusahaan Rusia // Ilmuwan muda.

2013. Nomor 12 (59). hal.327-331.

10. Voropaeva V. Ya., Shcherbov I. L., Khaustova E. D. Pengelolaan keamanan informasi sistem informasi dan telekomunikasi berdasarkan model P1ap-Do-Check-Act. Ser1ya: "Lembar teknologi dan otomatisasi dihitung." 2013. Nomor 2 (25). hal.104-110.

11. Dorofeev A. V., Markov A. S. Manajemen keamanan informasi: konsep dasar // Masalah keamanan siber.

2014. Nomor 1 (2). hal.67-73.

12. Shper VL Pada standar 18O/1EC 27001 // Metode manajemen mutu. 2008. No. 3. S. 60-61.

13. Markov A. S., Tsirlov V. L. Manajemen risiko - kekosongan peraturan keamanan informasi // sistem terbuka. DBMS. 2007. No. 8. S. 63-67.

14. Matveev V. A., Tsirlov V. L. Status dan prospek pengembangan industri keamanan informasi Federasi Rusia

tions in 2014 // Isu keamanan siber. 2013. Nomor 1(1). hal.61-64.

15. Barabanov A. V. Standarisasi proses pengembangan brankas alat perangkat lunak// Masalah keamanan siber. 2013. Nomor 1(1). hal.37-41.

16. Markov A. S., Tsirlov V. L. Pedoman untuk keamanan siber dalam konteks

ISO 27032 // Masalah keamanan siber. 2014. Nomor 1(2). hal.28-35. 17. Khramtsovskaya N. Apa yang perlu diketahui manajer tentang keamanan informasi // Kadrovik. 2009. Nomor 4. S.061-072.