Upload
amddichev
View
1.364
Download
4
Embed Size (px)
DESCRIPTION
ISO/IEC 27001 Certification process
Citation preview
Сертифициране на “АИС” на фирма за проектиране и
разработка на софтуерни продукти по ISO/IEC 27001
Иван ДичевСофия, 2011
Обект на изследването е прилагане на стандарта ISO/IEC 27001:2005в Автоматизирана Информационна Система(АИС) на фирма запроектиране и разработка на софтуерни продукти.
Предмет на изследването е процеса на разработка и документиранена политика за информационна сигурност, и внедряване на СУИС въвфирма “Ай Би Ес България” ЕООД.
Въведение
ISO/IEC 27001 - Диаграма
ISO/IEC 27001
• ISO 27001 е приложим за всеки тип организация.
• Стандарта има за цел да установи, оперира, наблюдава, преглежда, поддържа и подобрява Система за Управление на Информационна Сигурност (СУИС).
• Прилагането на СУИС, трябва да бъде прието като стратегическо решение на организацията.
• СУИС трябва да се имплементира, съобразно мащабите и нуждите на организацията (пример: простите ситуации изискват прости решения).
ISO/IEC 27001 - Обхват
1. Подкрепа от ръководството
• Ръководството на организацията трябва активно да поддържа Политиката по информационна сигурност, като демонстрира своята ангажираност към процеса по внедряване и развитие на СУИС.
• Трябва да се одобри “Политика по информационна сигурност” и да се назначат лица, които ще бъдат отговорни за процеса по внедряване на СУИС.
Подкрепа от Ръководството
2. Определяне обхвата на
СУИС
• Определя се в зависимост от дейността на организацията, нейното географско положение, активи и използвани технологии.
• Всеки умишлен пропуск на елементи от обхвата на системата трябва да бъде обоснован.
Обхват на СУИС
Идентификация на активите• Всички активи трябва да бъдат ясно определени, а
техният списък поддържан в актуално състояние.
• Списъкът с активите трябва да съдържа цялата информация, нужна за възтановяване на бизнес процесите след бедствени ситуации. Това включва:
– Вид на актива; – Формат (пр. информация, софтуер, физически,
услуга, човешки ресурс и т.н.) – Местоположение;– Информация за резервните копия(back-up); – Лицензионна информация; – Стойност.
3.Идентификация на активите
Оценка на риска
4b. Оценка на риска
• Определя се методика за оценка на риска, обхващаща въздействието и заплахите върху комплексната характеристика на активите. Взима се в предвид влиянието върху тяхната конфиденциалност, интегритет и достъпност.
• Възможно е няколкократно изпълнение на процеса по оценка на риска, с цел да се покрият различни части на организацията или различен тип информационни системи.
• Степента на риска се определя от стойността на актива, неговата уязвимост и вероятността от проявление на заплаха:
Р = С х У х В
4a. Определяне на методика за оценка на риска
Декларация за приложимост
5a.Декларация за
приложимост
• Декларацията за приложимост (ДП) представлява документ описващ избраните контроли и техните цели.
• За съставянето на ДП се използват резултатите получени от процеса по оценка на риска.
• ISO/IEC 27002 съдържа най-често използваните контроли за борба със заплахи и уязвимости в информационните системи.
• В зависимост от конкретната ситуация е възможно прилагането на допълнителни контроли.
План за третиране на риска
5b. Изготвяне на План за Третиране
на Риска(ПТР)
• Планът за третиране на риска (ПТР) определя какви действия по отношения на риска трябва да изпълни организацията.
• Основните начини за въздействие върху риска са:
приемане на риска;
избягване на риска;
прехвърляне на риска;
смекчаване на риска.
Програма за внедряване на СУИС
• Съдържа подробно описание на етапите, тяхната последователност, срокове за изпълнение и отговорни лица.
• Задължителните етапи при внедряване на стандарта са:
диагностичен одит на съществуващата система; специализирано обучение и подготовка на
персонала; документиране на системата; внедряване на избраните контроли; внедряване на документираната система; методи за измерване на ефективността на системите
за контрол; определяне на стъпките при подготовка на
системата за сертификация; организиране на сертификационен одит.
6. Разработка на програма за
внедряване на СУИС
СУИС
8. Система за Управление на
Информационна Сигурност
• От изключителна важност е да се демонстрира връзката между избраните контроли, резултатите от процеса по оценка на риска и плана за третиране на риска.
• Задължителната документация, която трябва да съществува за правилното опериране на СУИС е следната:
Обхват на СУИС; Политика по ИС; Доклак за оценка на риска; Процедури за приложимост на контролите; Методика за инвентаризация на активите; Методика за категоризиране на активите; Методика за оценка на риска; Методика за измерване ефективността на системите за
контрол; План за третиране на риска; Декларация за приложимост.
Проверка за несъответствия и коригиращи действия
• Ръководството трябва да извършва периодична проверка на СУИС(поне веднъж годишно) за да гарантира ефективността и адекватното приложение на системата.
• Проверката трябва да разглежда възможностите за усъвършенстване на СУИС.
• Всички резултати от проверката трябва да бъдат подходящо документирани в съгласност с Политиката по управление на документацията.
11.Коригиращи действия
10. Проверка за несъответствия
Преглед на системата
12.Преглед на системата
• Преди започването на официалния сертификационен одит се извършва преглед с цел да се оцени пригодността, адекватността и ефективността на системата, възможностите за подобрения и целите на СУИС.
• Външният одит може да се осъществи, едва след като е минало достатъчно време за да се демонстрира опериране на системата в съгласност с изискванията за постоянно усъвършенстване.
• Отидорите ще търсят доказателства, за това, че СУИС наистина се усъвършенства с течение на времето.
Сертификационен одит
13. Сертификаци-онен одит
• Процеса по сертифициране представлява оценка на СУИС в организацията. Той трябва да гарантира, че компанията е извършила оценка на риска и е предприела контролни мерки за да защити бизнес процесите си.
• Цялата документация доказваща, че компанията отговаря на изискванията поставени от стандарта, трябва да бъде представена в подходящ формат.
• Сертифициращият одитор, трябва да бъде убеден, че оценката на риска е изготвена в съгласност с дейността на организацията и покрива нейните активи.
• Прави се проверка за връзката между ПТР, ДП и изходните данни получени от оценката на риска.
Усъвършенстване на СУИС
• Организацията трябва да работи непрестанно върху усъвършенстването на СУИС, чрез:
– периодичен преглед на Политиката по информационна сигурност;
– преглед на целите поставени към СУИС;– анализ на резултати получени от одити;– анализ на събитията свързани с ИС;– коригиращи и превантивни действия;– преглед на системата от страна на
Ръководството.14.Непрекъснато усъвършенстване
Референции
A - BS ISO/IEC 27001:2005 (ISO 27001) – Системи за управление на информационната сигурност - Изисквания
B - BS ISO/IEC 27002:2005 (ISO 27002) – Практически кодекс по управление на иформацията
C – Проф. Ц. Семерджиев – Управление на информационната сигурност – изд. Софттрейд (2007)
D – http://www.iso27001security.com
Благодаря Ви за вниманието!