trarzh-TWenfrdeelitfarues

ISO 27001

ISO 27001 ақпараттық қауіпсіздікті басқару жүйесінің сертификаты

ISO 27001 ақпараттық қауіпсіздікті басқару жүйесі

Деректер және ақпарат дегеніміз не?

Алдымен ақпараттың негізгі ұғымдарын қарастырайық. Қарапайым тілмен айтқанда, шикі шикізат деректері деп аталады. Деректердің өңделген нысаны ақпарат болып табылады. Мәліметтер немесе өрнектер сандық және логикалық мән болып табылады.

Қорғалуы керек ақпараттың негізгі сипаттамалары:

  • Ақпараттың құпиялылығы: ақпараттың құпиялылығы қол жетімді емес және рұқсат етілмеген адамдар, ұйымдар, ұйымдар және процестер қол жетімді емес деп аталады.
  • Білімнің тұтастығы: бұл білімнің дәлдігі, тұтастығы және ерекше қасиеттерінің сақталуын білдіреді.
  • Ақпараттың қол жетімділігі: бұл ақпаратқа уәкілетті адамдар кез келген уақытта қол жетімді және қол жетімді болып табылады.

Ақпаратты әртүрлі жолмен жіктеуге болады. Алайда, негізінен былайша жіктеуге болады:

  • Құпия ақпарат бизнес үшін өте маңызды. Бұл ақпаратқа тек басқару тобының мүшелері қол жеткізе алады. Мұндай ақпаратқа рұқсаты жоқ адамдардың қол жеткізу, пайдалану және бөлісу кәсіпорын үшін қолайсыз болып табылады. Қысқасы, бұл ақпаратты құпия сақтау керек.
  • Кәсіпорын ішінде қол жетімді ақпарат тек мүдделі қызметкерлерге қол жетімді жеке ақпарат болып табылады. Бөлім қызметкерлерінен басқа басқа қызметкерлер мен үшінші тарап қол жетімді және көре алмайтын ақпарат. Мұндай ақпаратты құпия сақтау маңызды.
  • Жеке мәліметтер - бұл қызметкерлердің жеке мәліметтері. Кәсіпкерлік қызметпен байланысты жеке зерттеулер ғана қамтылады. Жұмысқа қатысы жоқ жеке ақпаратты сақтау және сақтау дұрыс емес. Жеке ақпараттың қол жетімді болуы өте маңызды.
  • Компанияда қол жетімді ақпарат тек қызметкерлерге арналған. Мұндай ақпарат үшін тұтастық пен қол жетімділік қажет. Бөлімдер арасында бөлісетін ақпарат осы сыныпқа жатады.

ISO / IEC 27001 ақпараттық қауіпсіздікті басқару жүйесі деген не?

Ақпараттың барлық түрлерінің қауіпсіздігін қамтамасыз ету үшін ХНУМХ-да ISO / IEC 2005 ақпараттық қауіпсіздікті басқару жүйесінің стандарты Халықаралық стандарттар ұйымы (ISO) және Халықаралық электротехникалық комиссия (IEC) жариялады.

Шын мәнінде, бұл стандарттың тарихы 1995-та Британдық стандарттар институты шығарған BS 7799 стандартының бірінші бөлігін және 1998-де жарияланған екінші бөлімін құрайды. Бұл стандарттар 1999-де бірге қайта қаралды. 2000 жылға қарай ISO / IEC 17799 стандарты жарияланды. 2002-та BS 7799-2 стандарты жаңартылды және 2005 бойынша Халықаралық стандарттар ұйымы келесі стандарттарды шығарды:

  • ISO 7799: BS 2-27001 орнына 2005 стандарты
  • ISO 17799: 2000 стандарты ISO 27002: 2005 стандартының орнына

Бұл екі стандарт жақында 2013-де қайта қаралды.

Бұл стандартты отбасы түрік стандарттары институты біздің елде былай жариялады:

  • Ақпараттық технологиялар - Қауіпсіздік техникасы - Ақпараттық қауіпсіздікті басқару жүйелері - Шолу және глоссарий
  • TS EN ISO / IEC 27001 Ақпараттық технологиялар - Қауіпсіздік техникасы - Ақпараттық қауіпсіздікті басқару жүйелері - Талаптар
  • TS EN ISO / IEC 27002 Ақпараттық технологиялар - Қауіпсіздік техникасы - Ақпараттық қауіпсіздікті басқару принциптері
  • TS ISO / IEC 27003 Ақпараттық технологиялар - Қауіпсіздік техникасы - Ақпараттық қауіпсіздікті басқару жүйесін қолдану нұсқаулығы
  • ISO / IEC 27004 ақпараттық технологиялар - Қауіпсіздік техникасы - Ақпараттық қауіпсіздікті басқару - Өлшеу
  • TS ISO / IEC 27005 Ақпараттық технологиялар - Қауіпсіздік техникасы - Ақпараттық қауіпсіздік қатерлерін басқару
  • TS ISO / IEC 27006 Ақпараттық технологиялар - Қауіпсіздік техникасы - Ақпараттық қауіпсіздікті басқару жүйелеріне аудит және сертификаттау жүргізетін ұйымдарға қойылатын талаптар
  • TS ISO / IEC 27007 Ақпараттық технологиялар - Қауіпсіздік техникасы - Ақпараттық қауіпсіздікті басқару жүйелерінің аудиті бойынша нұсқаулық
  • TSE ISO / IEC EN 27008 Ақпараттық технологиялар - Қауіпсіздік техникасы - Аудиторлар үшін ақпараттық қауіпсіздікті басқару бойынша нұсқаулық

Тәуекел, тәуекелді басқару және қауіп деген не?

Француз тілінен алынған қауіп-қатер фразасы зиян келтіру қаупі ретінде анықталған. Тәуекел - бұл күтпеген оқиғаның пайда болуы және оған әсер ету. Сондықтан тәуекел теріс жағдай, қауіп ретінде қарастырылады. Осылайша, қауіп-қатердің теріс әсерінен қорғау және зиян келтірмеу үшін әртүрлі мүмкіндіктерді ескере отырып шаралар қабылданады. Осы зерттеулер мен жоспарлау әрекеттерін қамтитын әдіс тәуекелдерді басқару деп аталады.

Тәуекелдерді басқару - бұл кәсіпорынның жұмысына кедергі келтірмеу және іс-әрекетке теріс әсер етпеу үшін қауіптің бірқатар факторларын анықтау, өлшеу, талдау және бағалау және ықтимал шығындарды азайту процесі. Алайда, тәуекелдерді басқару қызметіндегі қауіпті толығымен жою мүмкін емес.

Тәуекелдерді басқаруды зерттеудің негізгі элементтері:

  • Ақпараттық құндылығы бар кәсіпорын активтерін анықтау
  • Бизнеске қауіп төндіретін ішкі және сыртқы қауіптерді анықтау
  • Кәсіпке қауіп төндіретін әлсіз және ашық нүктелерді анықтау
  • Тәуекелді іске асыру ықтималдығын анықтау
  • Кәсіпорынның қызметіне және жүйеге қауіп-қатердің әсерін анықтау

Актив бойынша біз жүйенің құрамдас бөлігі және кәсіпорын үшін құндылығы бар нәрсені айтамыз. Сондықтан активтер бизнес үшін құнды және оны қорғау қажет.

Ақпараттық технологиялар жүйесі тұрғысынан алғанда, активтер тек бағдарламалық-техникалық құралдар ғана емес. Болу тұжырымдамасына мыналар кіреді: ақпараттың барлық түрлері, дербес компьютерлер, принтерлер, серверлер және соған ұқсас барлық аппараттық құралдар, операциялық жүйелер, әзірленген қосымшалар, кеңсе бағдарламалары және соған ұқсас барлық бағдарламалар, телефондар, кабельдер, желілік модемдер, коммутациялық құрылғылар және басқа да байланыс құралдары , шығарылған барлық құжаттар, қызметтер және әрине, нарықтағы бизнестің беделі мен имиджі.

Тәуекелдерді басқару зерттеулерінде тәуекелдер белгілі бір жіктелуге жатады. Мысалы, егер актив төмен тәуекел тобында бүлінсе, ақпараттық жүйе көп зақымдалмайды және жүйе өз жұмысын жалғастырады. Бұл жағдай кәсіпорынның беделіне нұқсан келтірмейді. Егер актив орташа тәуекел тобында зақымдалған болса, ақпараттық жүйеге әсер етеді. Жүйе жұмыс істей берсе де, актив әлі де орнында тұруы керек. Бұл жағдай кәсіпорынның беделіне нұқсан келтіреді. Егер актив жоғары тәуекел тобында бүлінсе, ақпараттық жүйеге қатты әсер етеді. Жүйенің жартысына жуығы жарамсыз болып қалады. Жүйе жұмыс істеуі үшін активті ауыстыру керек. Бұл жағдай кәсіпорынның беделіне айтарлықтай әсер етеді. Тәуекелдің өте жоғары тобында ақпараттың болуы қатты бұзылды, бұл жағдайда жүйенің жұмыс қабілеттілігіне үлкен әсер етті. Ақпараттық жүйе қол жетімді емес. Бұл жағдай компанияның нарықтағы беделіне өте нашар әсер етеді.

Қатер кез-келген қауіп-қатер көзінің ықтимал немесе апат нәтижесінде жүйенің осалдығын пайдалану және активтерге зиян келтіру мүмкіндігі. Табиғи қауіптерге жер сілкінісі, жер көшкіні, су тасқыны, найзағай немесе дауыл кіреді. Экологиялық қауіп-қатерге ауаның ластануы, электр қуатының ұзаққа созылуы және судың ағуы жатады. Адамның қауіп-қатерін адамдар саналы түрде немесе білместен туындайды. Мысалы, жүйеге қате деректерді енгізу, сыртқы желілік шабуылдар, жүйеге зиянды бағдарламаны орнату, пайдаланушының тіркелгі деректерін ұрлау немесе жүйеге уәкілетті тұлғалардың кіруі.

Ақпараттық жүйелердің ашықтығы - бұл жүйенің қауіпсіздігі процедураларында, тәжірибеде немесе ішкі тексерулерде кездесетін әлсіздік, қателік немесе кемшілік. Тек осы саңылаулар қауіп төндірмейді. Оларды жүзеге асыруға қауіп төнуі керек.

ISO 27001 ақпараттық қауіпсіздікті басқару жүйесінің қолданылу аясы қандай?

Кәсіпорындар қай салада жұмыс жасайтынына қарамастан, олар өз қызметтері аясында белгілі бір ақпаратты шығарады және бұл ақпарат әр бизнес үшін маңызды. Ақпаратты қорғауға бағытталған іс-шаралар бизнестен әр түрлі болады, бірақ тұтастай алғанда жүйе келесі негізгі элементтерді қамтиды:

  • Кәсіпорынның топ-менеджменті ақпараттық қауіпсіздік саласындағы саясатты анықтап, түсіндіруі керек.
  • Кәсіпорындағы ақпараттық активтер тізіліп, маңыздылығы бойынша орналастырылуы керек.
  • Қызметкерлердің қателік жіберуі мүмкіндігінің алдын алу керек.
  • Кәсіпорындағы ақпараттық активтерді теріс пайдалану қаупін азайту керек.
  • Ақпарат көздеріне шабуыл жасау және ақпараттың бұзылу немесе өзгеру қаупін азайту керек.
  • Операциялық компьютерлік жүйелер жеткілікті және сенімді болуы керек.
  • Ақпаратқа тек уәкілетті адамдар ғана қол жеткізе алады.
  • Қауіпсіздік қандай-да бір бұзылған жағдайда, уақтылы және жедел әрекет ету шараның түріне сәйкес болуы керек.
  • Ақпаратқа шабуылдар кәсіпорынның негізгі қызметін үзбеуі керек және қалыпты ортаға тез оралуға қабілетті болуы керек. Басқаша айтқанда, қызметтің үздіксіздігі қамтамасыз етілуі керек.
  • Ақпараттық қауіпсіздікті басқару жүйесі ұйымның заңнамалық актілерінің міндеттемелерін орындау үшін жеткілікті деңгейде болуы керек.

ISO 27001 ақпараттық қауіпсіздікті басқару жүйесі кәсіпорындарда тек ақпараттық технологиялар жобасы ретінде қабылданады, бірақ бұл шын мәнінде бүкіл кәсіпорынға қатысты ақпараттық қауіпсіздік жобасы. Сондықтан жоғары басшылық ISO 27001 стандартының құрылуы мен жұмыс істеуіне тікелей жауап береді. Бүгінгі таңда ISO 27001 ақпараттық қауіпсіздікті басқару жүйесі тұтастай басқарылады, оған барлық адами ресурстар, жоғары менеджмент, ақпараттық жүйелер және кәсіпорындағы бизнес-процестер кіреді.

ISO 27001 стандартының негізгі міндеттері:

  • Ақпараттық қауіпсіздіктің осал тұстарын анықтау, егер бар болса
  • Ақпараттық активтерге қауіп төндіретін тәуекелдерді анықтау
  • Тәуекел жағдайында ақпараттық активтердің қауіпсіздігін қамтамасыз ету үшін аудит әдістерін анықтау
  • Қажетті бақылаудың жүзеге асырылуын және ықтимал тәуекелдерді қолайлы деңгейде ұстап тұруды қамтамасыз ету
  • Кәсіпорындағы ақпараттық қауіпсіздікті басқарудың үздіксіздігін қамтамасыз ету

ISO 27001 ақпараттық қауіпсіздікті басқару жүйесі нені ұсынады?

ISO 27001 стандарты тәуекелдерді бағалау әдістемесін құруға, тәуекелдерді бағалау бойынша есептерді дайындауға және тәуекелдерді өңдеу жоспарларын дайындауға мүмкіндік береді.

Уақыт өте келе жүйеде болатын қауіптер мен осалдықтардың сипаты өзгеруі мүмкін. Немесе ISO 27001 стандарты қолданылған бақылау нәтижесінде тәуекелдер азайып немесе ауырлығы төмендеуі мүмкін. Сондықтан кәсіпорындардың тәуекелдерін бақылау қызметі маңызды болып табылады. Кәсіпорындар қабылдаған әдістеме бойынша тәуекелдерді бағалау бойынша зерттеулерді олар анықтаған мерзімде жүргізуге міндетті.

ISO 27001 стандарты бойынша ақпараттық қауіпсіздік саясаты негізінен мыналарды қамтуы керек: физикалық және экологиялық қауіпсіздік, жабдық қауіпсіздігі, операциялық жүйелер және түпкі пайдаланушының қауіпсіздігі, пароль қауіпсіздігі, сервер мен жүйенің қауіпсіздігі.

Физикалық және экологиялық қауіпсіздік мәселесі жүйеге санкцияланбаған қол жеткізуді болдырмауға және ақпараттық активтерді түрлі қауіптерден қорғауға қатысты. Бүгінгі таңда физикалық және экологиялық қауіпсіздік маңызды бола бастады. Бизнес-ғимараттың кіреберісінде жеке күзет топтарының болуы, маңызды ақпараттық ортаны сақтау және шифрланған қауіпсіздік жүйелерімен осы орталарға қол жеткізу осындай шараларға мысал бола алады. Ақпараттық жүйелерді қорғау үшін картамен басқарылатын қол жетімділік пен ұқсас физикалық қауіпсіздік жүйелерін орнату жиі кездеседі. Мұндай физикалық шекара қауіпсіздігі ақпараттық активтердің қажеттіліктеріне және қауіптерді бағалау нәтижелеріне негізделген. Аутентификациялық карталар немесе PIN-кодтар арқылы жоғары қауіпті ақпараты бар орталар санкцияланбаған қол жетімділіктен оқшауланады. Сонымен қатар, өрт, су тасқыны, жер сілкінісі, жарылыс немесе әлеуметтік тәртіпсіздік сияқты апаттардан болатын зияннан физикалық қорғау шараларын қолдану керек.

ISO 27001 ақпараттық қауіпсіздікті басқару жүйесінің маңыздылығы

Ақпараттық қауіпсіздік кәсіпорындардағы жұмыстың үздіксіздігін қамтамасыз етуге, қауіпті жағдайда шығындарды азайтуға және барлық жағдайларда ресурстардың құпиялылығы, қол жетімділігі мен тұтастығын қорғауға бағытталған. Бүгінгі таңда тек өз қызметкерлерімен ғана емес, сонымен бірге іскери серіктестермен, акционерлермен және клиенттермен де, ақпараттың қорғалуы мен құпиялылығына сенімді орта құру бизнесті басқаруда стратегиялық маңызы бар.

Қызметтің үздіксіздігін тоқтата тұрумен қатар, әртүрлі тәсілдермен туындаған қауіпсіздік мәселелері нарықтың жоғалуына, бәсекелестік қиындықтардың туындауына және іскери серіктестерге, акционерлер мен клиенттерге деген сенімді жоғалтуға әкеледі. Бұл нөмірлерді қалпына келтіруге жұмсалған шығындар оларды жоғалтпауға арналған шараларға қарағанда қымбатырақ.

Кәсіпорындарға арналған ақпарат, басқа коммерциялық активтер сияқты, құндылыққа ие, сондықтан оны қорғауды қажет етеді. Кәсіптің өз қызметін жалғастыруы үшін ақпараттың маңызы зор. Осы себепті ақпараттық активтердің құпиялылығы, олардың тұтастығы сақталуы және әрдайым қол жетімді болуы өте маңызды, қысқаша айтқанда, ақпараттық қауіпсіздік қамтамасыз етіледі. ISO / IEC 27001 ақпараттық қауіпсіздікті басқару жүйесі бұл бағыттағы кәсіпорындардың қажеттіліктерін анықтайтын жалғыз халықаралық және тексерілетін жүйе.

ИСО 27001 стандарты, әсіресе, қоғамдық, қаржылық, денсаулық сақтау және ақпараттық технологиялар секторлары сияқты ақпаратты өңдеу және қорғау өте маңызды болып табылатын салаларда қажет. Бұл стандарт басқа адамдар мен ұйымдар үшін ақпаратты басқаратын бизнес үшін де маңызды. Осылайша, бизнес өз тұтынушыларына ақпараттың қорғалатындығына кепілдік береді.

ISO 27001 ақпараттық қауіпсіздікті басқару жүйесі - бұл ақпараттық қауіпсіздікті қамтамасыз ету, осы стандартты орындау, бақылау, қарау, қолдау және қосымшаны үнемі жетілдіріп отыру мақсатында кәсіпорындар құрған басқару жүйесі. Осы шеңберде кәсіпорынның ресурстарын анықтау және ықтимал тәуекелдерді анықтау мақсатында тәуекелдерді талдау бойынша зерттеулер жүргізіледі. Тәуекелдерді бағалау бойынша зерттеулер - бұл тәуекелдің маңыздылығын анықтау мақсатында берілген критерийлермен салыстыру.

ISO 27001 ақпараттық қауіпсіздікті басқару жүйесін жоспарлау

Кәсіпорында ISO 27001 стандартын орнату бірқатар қадамдарға байланысты. Бұл,

  • Біріншіден, кәсіпорынның инфрақұрылымы туралы ақпарат жиналуы керек. Бұл ақпарат кәсіпорынның қызмет саласына, орындалған жұмыстың сипатына, кәсіпорынның миссиясы мен есеп айырысуымен байланысты.
  • Содан кейін жүйені құруға қызмет ететін негізгі атауларды анықтау керек. Бұл кезеңде тәуекелдерді басқаруға жауапты адамдар және жүйені құру мақсаты анықталуы керек.
  • Сонда кәсіпорынның қауіпсіздік жағдайы бүгінгі жағдайда анықталуы керек.
  • Одан кейін ақпарат жиналуы керек, мысалы, орналасқан жері, операциялары, бизнес функциялары және ақпараттық технологиялар, бұл жүйенің қолданылу аясын анықтайды.
  • Бұл кезеңде ISO 27001 ақпараттық қауіпсіздікті басқару жүйесінің мақсаты мен ауқымы анықталып, жұмыс бағдарламасы құрылуы керек.
  • Сонымен, соңғы кезеңде жүйені құру және жүйенің үздіксіздігі үшін қажетті процестер анықталуы керек.

Әдеттегідей сапа менеджментінің барлық жүйелеріне қолданылатын цикл, мұнда да кездеседі:

  • Жоспар (Ақпараттық қауіпсіздікті басқару жүйесін құру)
  • Қолдану (Ақпараттық қауіпсіздікті басқару жүйесін енгізу және пайдалану)
  • Тексеру (Ақпараттық қауіпсіздікті басқару жүйесін бақылау және шолу)
  • Сақтық шараларын жасаңыз (ақпараттық қауіпсіздікті басқару жүйесін қолдау және жетілдіру)

Әрине, мұндай жүйенің құрылуымен бизнес үлкен пайда табады. Мысалы,

  • Ұйым барлық ақпараттық активтердің болуы мен маңыздылығын мойындайды.
  • Ол ақпараттық активтерді белгіленген басқару және қорғау әдістеріне қолдану арқылы қорғайды.
  • Осылайша жұмыстың үздіксіздігі қамтамасыз етіледі. Кез-келген қауіп-қатер туындаған кезде, іс-шаралар үзілмейді.
  • Бұл жүйенің көмегімен компания байланысты тараптардың сеніміне ие болады, өйткені ол жеткізуші компаниялар мен тапсырыс берушілердің ақпаратын қорғайды.
  • Ақпаратты қорғау кездейсоқтық емес.
  • Клиенттерді бағалау кезінде бизнес бәсекелестеріне қарағанда жүйелі әрекет етеді.
  • Қызметкерлердің бизнесте мотивациясы артады.
  • Құқықтық регламенттер қамтамасыз етілгендіктен, мүмкін болатын құқықтық бақылаудың алдын алады.
  • Нарықтағы бизнестің беделі артып, бизнес бәсекелестерімен күресте бір саты алға шығады.

ISO 27001 ақпараттық қауіпсіздікті басқару жүйесі кәсіпорындағы барлық ақпараттық активтерге назар аударуды және бағалауын талап етеді, ал осы активтердің әлсіз жақтары мен қауіптерін ескере отырып, тәуекелдерге талдау жасалады. Бұған қол жеткізу үшін кәсіпорын өзінің құрылымына сәйкес келетін тәуекелдерді басқару әдісін таңдап, тәуекелдерді жоспарлау керек. Стандарт бақылау мақсаттары мен тәуекелдерді өңдеуді бақылау әдістерін қамтиды.

ISO 27001 стандартына сәйкес, кәсіпорындар тәуекелдерді басқару және тәуекелдерді басқару жоспарларын құруға, міндеттер мен жауапкершіліктерді анықтауға, бизнестің үздіксіздігін қамтамасыз ету жоспарларын жасауға, төтенше жағдайларды басқару процестерін дайындауға және іске асыру кезінде олардың есебін жүргізуге міндетті.

Кәсіпорындар барлық осы шараларды қамтитын ақпараттық қауіпсіздік саясатын шығаруы керек. Барлық жоғары басшылар мен қызметкерлер ақпараттық қауіпсіздік пен қауіптер туралы хабардар болуы керек. ISO 27001 ақпараттық қауіпсіздікті басқару жүйесін енгізу кезінде таңдалған басқару мақсаттары өлшеніп, басқару элементтерінің сәйкестігі мен өнімділігі үнемі бақылануы керек. Бұл процесс өмір сүру процесі болуы керек, ақпараттық қауіпсіздікті басқару, жоғары басшылықтың белсенді қолдауы және барлық қызметкерлердің қатысуы қамтамасыз етілуі керек. Өтініш беруші кәсіпорындар тәуекелдерді басқару, саясатты құру, қауіпсіздік процестерін құжаттау, бақылаудың тиісті әдістерін анықтау және енгізу бойынша кеңестер мен сараптамалық қолдау ала алады.

Қысқаша айтқанда, ISO 27001 стандарты - бұл жалпы ақпараттық қауіпсіздікті және өмір сүру процесі ретінде ақпараттық қауіпсіздікті қалай қамтамасыз етуді анықтайтын жүйе. Бұл жүйені орнату қадамдарын келесідей сипаттауға болады:

  • Ақпараттық активтердің жіктелуі
  • Құпиялылық, тұтастық және қол жетімділік критерийлері бойынша ақпараттық активтерді бағалау
  • Тәуекелді талдау
  • Тәуекелдерді талдау нәтижелері бойынша қолданылатын бақылау әдістерін анықтау
  • Құжаттамалық жұмыстарды аяқтау
  • Анықталған бақылау әдістерін қолдану
  • Ішкі аудит зерттеулерін жүргізу
  • Стандарт бойынша талап етілетін жазбаларды жүргізу
  • Басшылықтың қарау жөніндегі отырыстарын өткізу
  • Сертификаттау бойынша зерттеулер жүргізу

Электрондық байланысқа қатысты қауіптер мен әлсіздіктер

Тиісті нормативтік-құқықтық актілердің аясында ақпараттық қауіпсіздікті қамтамасыз ету үшін бизнес жасайтын бірнеше нәрсе бар:

  • Компьютерлер пайдаланатын IP-журналдардың есебін жүргізіңіз
  • Өткен уақытта қандай IP-мекен-жайы бар қызметкерлердің есебін жүргізіңіз
  • Интернетте қызметкерлердің іссапарлары туралы журнал жазбаларын жүргізіңіз
  • Қызметкерлер жіберген электрондық поштаның жазбаларын жүргізу
  • Интернеттегі қызметкерлердің өткен және қанша уақыт өткізгенін парақтардың есебін жүргізу
  • Мазмұны бойынша сүзу арқылы Интернетке шектеулі қатынауды қамтамасыз етіңіз
  • Барлық алынған жазбалардың тұтастығын қамтамасыз ету және олардың өзгертілмегенін дәлелдеу

Осы шеңберде қызметкерлердің электрондық байланысқа негізгі қауіптері мыналар болып табылады:

  • Рұқсатсыз немесе қолданыстағы рұқсат етілген шектеулерден асатын қауіпсіздікке сезімталдық аймағына кіретін қызметкерлер
  • Қызметкерлер ақпараттың құпиялылығын, тұтастығы мен үздіксіздігін авторизациясыз бұзуға немесе қолданыстағы рұқсат етілген шектеулерді жою, қосу, өзгерту, кейінге қалдыру, басқа ортаға сақтау немесе ақпаратты ашу арқылы бұзуға тырысады.
  • Бағдарламалық жасақтама мен бағдарламалық жасақтама компоненттерінің толық немесе ішінара нормативтік құқықтық актілерге, ішкі және шетелдік стандарттарға сәйкес талаптарға сәйкес келмеуіне жол бермеуге тырысу
  • Пайдаланушыны алдау арқылы электронды байланыс дұрыс тараппен жасалатындығы туралы әсер беру
  • Заңсыз әдістерді қолдана отырып, электрондық байланысқа мониторинг жүргізу
  • Бұл ақпарат басқа тараптан дұрыс емес ақпаратты шығару немесе басқа тарапқа жіберу арқылы алынған деп талап ету
  • Электрондық байланыс инфрақұрылымын жартылай немесе толығымен жұмыс істемейтін ету немесе осы инфрақұрылымның ресурстарын қызмет көрсетуге кедергі келтіретін тәсілмен пайдалану

Осы уақытта электронды байланыстың әлсіз жақтарын төмендегідей санауға болады:

  • Болашақ қауіптер
  • Жүйені немесе хаттаманы жобалаудағы қателер
  • Жүйені немесе хаттаманы орнатудағы проблемалар
  • Бағдарламалық жасақтама жасаушылар жіберген қателер
  • Пайдаланушының қателері
  • Жүйені пайдалану кезінде туындайтын сәйкессіздіктер немесе сәйкессіздіктер

ISO 27001 ақпараттық қауіпсіздікті басқару жүйесінің стандартты құрылымы

Жақында 27001 ISO 2013 стандарты қайта қаралды. Бұл нұсқада стандарттың тармақтары келесідей:

  1. көлемі
  2. Сілтемелер мен құжаттар
  3. Терминдер мен рецепттер
  4. Ұйымның мазмұны
  • Ұйымдастыру және оның мәнмәтінін түсіну
  • Мүдделі тараптардың қажеттіліктері мен үміттерін түсіну
  • Ақпараттық қауіпсіздікті басқару жүйесінің көлемін анықтау
  • Ақпараттық қауіпсіздікті басқару жүйесі
  1. көшбасшылық
  • Көшбасшылық және жауапкершілік
  • саясат
  • Корпоративтік рөлдер, жауапкершілік және өкілеттіктер
  1. жоспарлау
  • Тәуекелдермен және мүмкіндіктермен байланысты іс-шаралар
  • Ақпараттық қауіпсіздік мақсаттары және осы мақсаттарға жетуді жоспарлау
  1. Қолдау
  • ресурстар
  • Біліктілігі
  • сана
  • қарым-қатынас
  • Жазбаша ақпарат
  1. операциялық
  • Операциялық жоспарлау және бақылау
  • Ақпараттық қауіпсіздік тәуекелін бағалау
  • Ақпараттық қауіпсіздік тәуекелін өңдеу
  1. Тиімділікті бағалау
  • Бақылау, өлшеу, талдау және бағалау
  • Ішкі аудит
  • Басшылықтың шолуы
  1. оңалту
  • Сәйкессіздік және түзету әрекеті
  • Үнемі жетілдіру

ISO 27001 ақпараттық қауіпсіздікті басқару жүйесінің сертификаты

Кәсіпорындар ISO 27001 сертификатын ISO 27001 ақпараттық қауіпсіздігін басқару жүйесін растағаннан және осы жағдайды өз тұтынушыларына, бәсекелестерге және тиісті ресми және жеке ұйымдарға дәлелдегеннен кейін алғысы келеді. Алайда, бұл жүйені орнатудың мақсаты тек осы құжатта болмауы керек. Әйтпесе, жүйеде жоғарыда сипатталған артықшылықтар күтілмейді.

Іске асыру барысында анықталған бақылау әдістеріне сәйкес, ақпараттық активтерді қорғау, ақпараттық активтерге қауіп төндіретін тәуекелдерді басқару, тәуекелдерді жою немесе азайту бойынша шаралар қабылдау, уақыт өте келе пайда болатын жаңа тәуекелдерді бағалау және егер мүмкін емес, бірақ мүмкін болатын тәуекелдер болса, оларды бағалау. ол үшін топ-менеджменттің келісімі қажет. Бұл процесс бизнес болғанша жалғасады.

ISO 27001 стандартының талаптарына сәйкес келетін және ақпараттық қауіпсіздікті басқару жүйесін енгізетін кәсіпорындар енді сертификаттау органына жүгіну арқылы ISO 27001 сертификатын сұрай алады. Бұл кезде сертификаттау жөніндегі органның жергілікті немесе шетелдік аккредиттеу органынан аккредиттелгендігі өте маңызды. Әйтпесе, шығарылатын есептер мен құжаттар жарамды бола алмайды.

Сертификаттау жұмысының бірінші кезеңі қолданыстағы құжаттама жұмыстары арқылы жүзеге асырылады. Бұл кезеңде ақпараттық қауіпсіздік саясаты, тәуекелдерді бағалау туралы есептер, тәуекелдер бойынша іс-қимыл жоспарлары, сәйкестік туралы декларация, кәсіпорын дайындаған қауіпсіздік рәсімдері және қолдану нұсқаулықтары жеке қарастырылады. Егер осы құжаттарда кез келген сәйкессіздік анықталса, олар екінші кезеңге өтпес бұрын аяқталады деп күтілуде.

Бірінші кезең аяқталғаннан кейін сертификаттау жөніндегі орган бір немесе бірнеше аудиторды тағайындайды және кәсіпорынның жұмыс ортасында, яғни жұмыста аудиторлық жұмыстарды бастайды. Жергілікті жерлерде жүргізілген тексерулерде ақпараттық қауіпсіздік қауіпсіздігін басқару саласы қызмет саласына байланысты ISO 27001 стандартының талаптарына сәйкестігі байқалады. Екінші кезең аудиттері аяқталғаннан кейін аудиторлар есеп дайындайды және оны сертификаттау органына ұсынады.

Сертификаттау жөніндегі орган осы есеп негізінде бағалау зерттеулерін жүргізеді және егер қажет болса, кәсіпорынға ISO 27001 ақпараттық қауіпсіздікті басқару жүйесінің сертификатын дайындайды және ұсынады. Сертификаттың қолданылу мерзімі - үш жыл. Алайда, осы құжат шығарылғаннан кейін кәсіпорынның сұранысына сәйкес аралық тексерулер жылына бір немесе екі рет жүргізіледі. Үш жылдан кейін сертификациялық зерттеулер қайтадан өткізілуі керек.

 

куәлік

Компания халықаралық стандарттар бойынша аудит, инспекция және сертификаттау қызметтерін ұсынады, сонымен қатар мерзімді тексеру, тестілеу және бақылау қызметтерін ұсынады.

Бізбен байланысыңыз

Мекен жайы:

Mahmutbey Mh, Dilmenler Cd, № 2 
Бағчилар - Стамбул, ТҮРКИЯ

Телефон:

+ 90 (212) 702 00 00

WhatsApp:

+ 90 (532) 281 01 42

Электрондық пошта:

[электрондық пошта қорғалған]

іздеу