Сертифициране на “АИС” на фирма за проектиране и

разработка на софтуерни продукти по ISO/IEC 27001

Иван ДичевСофия, 2011

Обект на изследването е прилагане на стандарта ISO/IEC 27001:2005в Автоматизирана Информационна Система(АИС) на фирма запроектиране и разработка на софтуерни продукти.

Предмет на изследването е процеса на разработка и документиранена политика за информационна сигурност, и внедряване на СУИС въвфирма “Ай Би Ес България” ЕООД.

Въведение

ISO/IEC 27001 - Диаграма

ISO/IEC 27001

• ISO 27001 е приложим за всеки тип организация.

• Стандарта има за цел да установи, оперира, наблюдава, преглежда, поддържа и подобрява Система за Управление на Информационна Сигурност (СУИС).

• Прилагането на СУИС, трябва да бъде прието като стратегическо решение на организацията.

• СУИС трябва да се имплементира, съобразно мащабите и нуждите на организацията (пример: простите ситуации изискват прости решения).

ISO/IEC 27001 - Обхват

1. Подкрепа от ръководството

• Ръководството на организацията трябва активно да поддържа Политиката по информационна сигурност, като демонстрира своята ангажираност към процеса по внедряване и развитие на СУИС.

• Трябва да се одобри “Политика по информационна сигурност” и да се назначат лица, които ще бъдат отговорни за процеса по внедряване на СУИС.

Подкрепа от Ръководството

2. Определяне обхвата на

СУИС

• Определя се в зависимост от дейността на организацията, нейното географско положение, активи и използвани технологии.

• Всеки умишлен пропуск на елементи от обхвата на системата трябва да бъде обоснован.

Обхват на СУИС

Идентификация на активите• Всички активи трябва да бъдат ясно определени, а

техният списък поддържан в актуално състояние.

• Списъкът с активите трябва да съдържа цялата информация, нужна за възтановяване на бизнес процесите след бедствени ситуации. Това включва:

– Вид на актива; – Формат (пр. информация, софтуер, физически,

услуга, човешки ресурс и т.н.) – Местоположение;– Информация за резервните копия(back-up); – Лицензионна информация; – Стойност.

3.Идентификация на активите

Оценка на риска

4b. Оценка на риска

• Определя се методика за оценка на риска, обхващаща въздействието и заплахите върху комплексната характеристика на активите. Взима се в предвид влиянието върху тяхната конфиденциалност, интегритет и достъпност.

• Възможно е няколкократно изпълнение на процеса по оценка на риска, с цел да се покрият различни части на организацията или различен тип информационни системи.

• Степента на риска се определя от стойността на актива, неговата уязвимост и вероятността от проявление на заплаха:

Р = С х У х В

4a. Определяне на методика за оценка на риска

Декларация за приложимост

5a.Декларация за

приложимост

• Декларацията за приложимост (ДП) представлява документ описващ избраните контроли и техните цели.

• За съставянето на ДП се използват резултатите получени от процеса по оценка на риска.

• ISO/IEC 27002 съдържа най-често използваните контроли за борба със заплахи и уязвимости в информационните системи.

• В зависимост от конкретната ситуация е възможно прилагането на допълнителни контроли.

План за третиране на риска

5b. Изготвяне на План за Третиране

на Риска(ПТР)

• Планът за третиране на риска (ПТР) определя какви действия по отношения на риска трябва да изпълни организацията.

• Основните начини за въздействие върху риска са:

приемане на риска;

избягване на риска;

прехвърляне на риска;

смекчаване на риска.

Програма за внедряване на СУИС

• Съдържа подробно описание на етапите, тяхната последователност, срокове за изпълнение и отговорни лица.

• Задължителните етапи при внедряване на стандарта са:

диагностичен одит на съществуващата система; специализирано обучение и подготовка на

персонала; документиране на системата; внедряване на избраните контроли; внедряване на документираната система; методи за измерване на ефективността на системите

за контрол; определяне на стъпките при подготовка на

системата за сертификация; организиране на сертификационен одит.

6. Разработка на програма за

внедряване на СУИС

СУИС

8. Система за Управление на

Информационна Сигурност

• От изключителна важност е да се демонстрира връзката между избраните контроли, резултатите от процеса по оценка на риска и плана за третиране на риска.

• Задължителната документация, която трябва да съществува за правилното опериране на СУИС е следната:

Обхват на СУИС; Политика по ИС; Доклак за оценка на риска; Процедури за приложимост на контролите; Методика за инвентаризация на активите; Методика за категоризиране на активите; Методика за оценка на риска; Методика за измерване ефективността на системите за

контрол; План за третиране на риска; Декларация за приложимост.

Проверка за несъответствия и коригиращи действия

• Ръководството трябва да извършва периодична проверка на СУИС(поне веднъж годишно) за да гарантира ефективността и адекватното приложение на системата.

• Проверката трябва да разглежда възможностите за усъвършенстване на СУИС.

• Всички резултати от проверката трябва да бъдат подходящо документирани в съгласност с Политиката по управление на документацията.

11.Коригиращи действия

10. Проверка за несъответствия

Преглед на системата

12.Преглед на системата

• Преди започването на официалния сертификационен одит се извършва преглед с цел да се оцени пригодността, адекватността и ефективността на системата, възможностите за подобрения и целите на СУИС.

• Външният одит може да се осъществи, едва след като е минало достатъчно време за да се демонстрира опериране на системата в съгласност с изискванията за постоянно усъвършенстване.

• Отидорите ще търсят доказателства, за това, че СУИС наистина се усъвършенства с течение на времето.

Сертификационен одит

13. Сертификаци-онен одит

• Процеса по сертифициране представлява оценка на СУИС в организацията. Той трябва да гарантира, че компанията е извършила оценка на риска и е предприела контролни мерки за да защити бизнес процесите си.

• Цялата документация доказваща, че компанията отговаря на изискванията поставени от стандарта, трябва да бъде представена в подходящ формат.

• Сертифициращият одитор, трябва да бъде убеден, че оценката на риска е изготвена в съгласност с дейността на организацията и покрива нейните активи.

• Прави се проверка за връзката между ПТР, ДП и изходните данни получени от оценката на риска.

Усъвършенстване на СУИС

• Организацията трябва да работи непрестанно върху усъвършенстването на СУИС, чрез:

– периодичен преглед на Политиката по информационна сигурност;

– преглед на целите поставени към СУИС;– анализ на резултати получени от одити;– анализ на събитията свързани с ИС;– коригиращи и превантивни действия;– преглед на системата от страна на

Ръководството.14.Непрекъснато усъвършенстване

Референции

A - BS ISO/IEC 27001:2005 (ISO 27001) – Системи за управление на информационната сигурност - Изисквания

B - BS ISO/IEC 27002:2005 (ISO 27002) – Практически кодекс по управление на иформацията

C – Проф. Ц. Семерджиев – Управление на информационната сигурност – изд. Софттрейд (2007)

D – http://www.iso27001security.com

Благодаря Ви за вниманието!