Что такое данные и информация?

Во-первых, давайте посмотрим на основные понятия информации. Проще говоря, необработанные необработанные данные называются данными. Обработанная форма данных - информация. Данные или выражение данных являются числовым и логическим значением.

Основными характеристиками информации, которая должна быть защищена, являются:

• Конфиденциальность информации: Конфиденциальность информации называется недоступной и необъяснимой лицами, организациями, субъектами и процессами, которые не авторизованы.
• Целостность знаний: относится к сохранению точности, целостности и уникальных качеств знаний.
• Доступность информации: эта функция позволяет в любое время получать доступ и использовать информацию только уполномоченным лицам.

Информация может быть классифицирована различными способами. Тем не менее, в принципе можно классифицировать следующим образом:

• Конфиденциальная информация имеет решающее значение для бизнеса. Только члены команды управления могут получить доступ к этой информации. Доступ, использование и обмен такой информацией посторонними лицами неудобен для предприятия. Короче говоря, важно сохранять конфиденциальность этой информации.
• Информация, доступная на предприятии, является частной информацией, доступной только заинтересованным сотрудникам. Информация, которую другие сотрудники и третьи стороны, кроме сотрудников подразделения, не должны просматривать и просматривать. Важно сохранять конфиденциальность такой информации.
• Личная информация - это личная информация сотрудников. Только личные исследования, связанные с предпринимательской деятельностью. Хранение и хранение личной информации, не относящейся к работе, является неправильным. Важно, чтобы личная информация была доступна.
• Информация, доступная компании, предназначена только для сотрудников. Целостность и доступность необходимы для такой информации. Информация, которой обмениваются единицы, попадает в этот класс.

Что такое система управления информационной безопасностью ISO / IEC 27001?

Для обеспечения безопасности всех видов информации Международная система стандартизации (ISO) и Международная электротехническая комиссия (IEC) опубликовали стандарт ISO / IEC 2005.

На самом деле история этого стандарта составляет первую часть стандарта BS 1995, опубликованного Британским институтом стандартов в 7799, и вторую часть, опубликованную в 1998. Эти стандарты были пересмотрены вместе в 1999. К году 2000 был опубликован стандарт ISO / IEC 17799. В 2002 был обновлен стандарт BS 7799-2, и 2005 выпустила следующие стандарты Международной организацией по стандартизации:

• ISO 7799: стандарт 2 вместо BS 27001-2005
• ISO 17799: стандарт 2000 вместо ISO 27002: стандарт 2005

Эти два стандарта были недавно пересмотрены в 2013.

Это стандартное семейство было опубликовано Турецким институтом стандартов в нашей стране следующим образом:

• TS EN ISO / IEC 27000 Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Обзор и словарь
• TS EN ISO / IEC 27001 Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования
• TS EN ISO / IEC 27002 Информационные технологии. Методы защиты. Принципы применения средств контроля информационной безопасности
• TS ISO / IEC 27003 Информационные технологии. Методы защиты. Руководство по применению системы менеджмента информационной безопасности
• ISO / IEC 27004 Информационные технологии. Методы защиты. Менеджмент информационной безопасности. Измерение
• TS ISO / IEC 27005 Информационные технологии. Методы защиты. Управление рисками информационной безопасности
• TS ISO / IEC 27006 Информационные технологии. Методы обеспечения безопасности. Требования к организациям, проводящим аудит и сертификацию систем менеджмента информационной безопасности
• TS ISO / IEC 27007 Информационные технологии. Методы защиты. Руководство по аудиту систем менеджмента информационной безопасности
• TSE ISO / IEC EN 27008 Информационные технологии. Методы безопасности. Руководство по контролю информационной безопасности для аудиторов

Что такое риск, управление рисками и угрозы?

Фраза риска, размещенная на нашем языке из французского, определяется как опасность причинения вреда. Риск - это возникновение неожиданного события и его влияние. Поэтому риск считается негативной ситуацией, опасностью. Таким образом, для защиты от негативного воздействия рисков и предотвращения любого ущерба принимаются меры с учетом различных возможностей. Метод, включающий эти исследования и планирование деятельности, называется управлением рисками.

Управление рисками - это процесс выявления, измерения, анализа и оценки ряда факторов риска и минимизации возможных потерь с целью предотвращения нарушения работоспособности предприятия и обеспечения того, чтобы деятельность не оказывала неблагоприятного воздействия. Однако невозможно полностью устранить риск в деятельности по управлению рисками.

Основными элементами исследования по управлению рисками являются:

• Определение активов предприятия с информационной ценностью
• Выявление внутренних и внешних опасностей, которые угрожают бизнесу
• Обнаружение слабых и открытых точек, которые ставят под угрозу бизнес
• Определение вероятности реализации риска
• Определение влияния рисков на деятельность предприятия и системы

Под активом мы понимаем все, что является частью системы и имеет ценность для предприятия. Поэтому активы ценны для бизнеса и должны быть защищены.

С точки зрения системы информационных технологий активы не означают только программное и аппаратное обеспечение. Следующее включено в понятие бытия: все виды информации, персональные компьютеры, принтеры, серверы и все подобное аппаратное обеспечение, операционные системы, разработанные приложения, офисные программы и все аналогичное программное обеспечение, телефоны, кабели, линейные модемы, коммутационные устройства и все другие устройства связи Все документы, услуги, производимые и, конечно, репутация и имидж бизнеса на рынке.

Риски подлежат определенной классификации в исследованиях по управлению рисками. Например, если актив поврежден в группе низкого риска, информационная система не будет сильно повреждена, и система продолжит функционировать. Такая ситуация не вредит репутации предприятия. На информационную систему влияет, если актив поврежден в группе среднего риска. Несмотря на то, что система продолжает функционировать, актив по-прежнему необходимо ввести в действие. Такая ситуация наносит некоторый ущерб репутации предприятия. На информационную систему сильное влияние оказывает повреждение актива в группе высокого риска. Почти половина системы становится непригодной для использования. Чтобы система работала, актив должен быть заменен. Эта ситуация существенно влияет на репутацию предприятия. В группе очень высокого риска присутствие информации было серьезно повреждено, и в этом случае работоспособность системы была сильно нарушена. Информационная система недоступна. Эта ситуация очень сильно влияет на репутацию компании на рынке.

Угроза - это возможность для любого источника угрозы, преднамеренно или в результате аварии, использовать уязвимость в системе и нанести ущерб активам. Природные угрозы включают землетрясения, оползни, наводнения, удары молнии или штормы. Экологические угрозы включают загрязнение воздуха, длительные перебои в подаче электроэнергии и утечки. Угрозы, вызванные людьми, вызваны людьми сознательно или неосознанно. Например, ввод неправильных данных в систему, атаки на внешние сети, установка вредоносного программного обеспечения в системе, кража учетных данных пользователя или доступ к авторизованным лицам в системе.

Открытость для информационных систем - это слабость, ошибка или недостаток, которые встречаются в процедурах безопасности системы, на практике или во внутренних аудитах, что нарушает информационную безопасность. Только эти отверстия не представляют опасности. Должна существовать угроза их реализации.

Какова область применения системы управления информационной безопасностью ISO 27001?

Предприятия производят определенную информацию в рамках своей деятельности независимо от сектора или размера, в котором они работают, и эта информация ценна для каждого предприятия. Усилия по защите информации будут отличаться от бизнеса к бизнесу, но в целом система будет охватывать следующие основные элементы:

• Высшее руководство предприятия должно было определить и объяснить политику, которой необходимо следовать в области информационной безопасности.
• Информационные активы на предприятии должны быть перечислены и расположены в порядке важности.
• Возможность того, что сотрудники совершают ошибки, должна быть предотвращена.
• Риск неправильного использования информационных активов на предприятии должен быть снижен.
• Атаки на источники информации и риск повреждения или изменения информации должны быть уменьшены.
• Операционные компьютерные системы должны быть достаточными и надежными.
• Только уполномоченные лица должны иметь доступ к информации.
• В случае любого нарушения безопасности, своевременное и быстрое реагирование должно быть возможным в соответствии с формой события.
• Атаки на информацию не должны прерывать основную деятельность предприятия и должны иметь возможность очень быстро вернуться в нормальную среду. Другими словами, следует обеспечить непрерывность деятельности.
• Система управления информационной безопасностью должна быть на уровне, достаточном для выполнения обязательств согласно нормативным актам организации.

Хотя система управления информационной безопасностью ISO 27001 воспринимается только как проект информационных технологий на предприятиях, на самом деле это проект информационной безопасности, который касается всего предприятия. Поэтому старшее руководство несет прямую ответственность за установление и эксплуатацию стандарта ISO 27001. Сегодня система управления информационной безопасностью ISO 27001 управляется в целом и включает в себя все человеческие ресурсы, высшее руководство, информационные системы и бизнес-процессы на предприятии.

Основными целями стандарта ISO 27001 являются:

• Для выявления уязвимостей информационной безопасности, если таковые имеются
• Выявление рисков, угрожающих информационным активам
• Определить методы аудита для обеспечения безопасности информационных активов в зоне риска
• Обеспечение проведения необходимого контроля и поддержание возможных рисков на приемлемом уровне.
• Обеспечить непрерывность контроля информационной безопасности на предприятии

Что дает система управления информационной безопасностью ISO 27001?

Стандарт ISO 27001 позволяет устанавливать методологию оценки рисков, составлять отчеты об оценке рисков и составлять планы обработки рисков.

Со временем характер угроз и уязвимостей, присутствующих в системе, может измениться. Или в результате контроля, осуществляемого с применением стандарта ISO 27001, риски могут быть уменьшены или серьезность может быть уменьшена. Поэтому деятельность по мониторингу рисков предприятий важна. Предприятия обязаны проводить исследования по оценке рисков в соответствии с принятой методологией в течение установленного ими периода.

Политика информационной безопасности в соответствии со стандартом ISO 27001 должна в основном включать в себя: физическую и экологическую безопасность, безопасность оборудования, безопасность операционных систем и конечного пользователя, защиту паролем, а также безопасность сервера и системы.

Проблема физической и экологической безопасности относится к предотвращению несанкционированного доступа к системе и защите информационных активов от различных рисков. Сегодня физическая и экологическая безопасность становятся все более важными. Присутствие частных групп безопасности у входа в бизнес-здание, хранение важных информационных сред и доступ к этим средам с зашифрованными системами безопасности являются примерами таких мер. Чтобы защитить информационные системы, обычно устанавливают контролируемый по карте доступ и подобные системы физической безопасности. Такая физическая безопасность границ устанавливается на основе потребностей в защите информационных активов и результатов оценки рисков. В средах с высокой степенью риска информация блокируется от несанкционированного доступа с помощью карт аутентификации или защиты PIN-кодом. Кроме того, должны быть приняты меры физической защиты от ущерба, причиненного такими стихийными бедствиями, как пожар, наводнение, землетрясение, взрыв или социальные потрясения.

Важность системы управления информационной безопасностью ISO 27001

Информационная безопасность направлена ​​на обеспечение непрерывности работы на предприятиях, минимизацию потерь в случае неизбежной опасности и защиту конфиденциальности, доступности и целостности ресурсов во всех случаях. Сегодня не только со своими сотрудниками, но и с деловыми партнерами, акционерами и клиентами создание доверительной среды для защиты и конфиденциальности информации имеет стратегическое значение для управления бизнесом.

Проблемы безопасности, возникающие различными способами, не только нарушают непрерывность деятельности, но также приводят к потере рынка, создают конкурентные трудности и вызывают потерю доверия к деловым партнерам, акционерам и клиентам. Затраты на восстановление этих цифр обходятся дороже, чем затраты на меры, чтобы избежать их потери.

Информация для предприятий, как и другие коммерческие активы, является активом, который имеет ценность и поэтому нуждается в защите. Информация имеет большое значение для бизнеса, чтобы продолжить свою деятельность. По этой причине важно, чтобы информационные активы были конфиденциальными, их целостность поддерживалась и была доступна в любое время, короче говоря, обеспечивается информационная безопасность. Система управления информационной безопасностью ISO / IEC 27001 является единственной международной и проверяемой системой, которая определяет потребности предприятий в этом направлении.

Стандарт ISO 27001 особенно необходим в секторах, где обработка и защита информации имеют первостепенное значение, таких как государственный сектор, сектор финансов, здравоохранение и информационные технологии. Этот стандарт также важен для предприятий, которые управляют информацией для других людей и организаций. Таким образом, предприятия предоставляют своим клиентам гарантию того, что их информация защищена.

Система управления информационной безопасностью ISO 27001 - это система управления, созданная предприятиями с целью обеспечения информационной безопасности, применения этого стандарта, мониторинга, анализа, обслуживания и постоянного улучшения приложения. В этих рамках проводятся исследования анализа рисков с целью определения ресурсов предприятия и выявления возможных рисков. Исследования по оценке риска - это сравнение риска с заданными критериями риска для определения значимости риска.

Планирование системы управления информационной безопасностью ISO 27001

Установление стандарта ISO 27001 на предприятии зависит от ряда этапов. Это как

• Сначала должна быть собрана информация об инфраструктуре предприятия. Эта информация относится к сферам деятельности предприятия, характеру проделанной работы, миссии и поселению предприятия.
• Затем должны быть определены ключевые имена, которые будут использоваться при создании системы. На этом этапе должны быть определены ответственные за управление рисками и цель создания системы.
• Тогда ситуация с безопасностью предприятия должна определяться в сегодняшней ситуации.
• Затем следует собирать информацию, такую ​​как местоположение, операции, бизнес-функции и информационные технологии, которые будут определять область действия системы.
• На этом этапе должны быть определены цель и область применения системы управления информационной безопасностью ISO 27001 и должна быть разработана рабочая программа.
• Наконец, на последнем этапе должны быть определены процессы, необходимые для создания системы и ее непрерывности.

Цикл, который традиционно применяется ко всем системам управления качеством, также имеет место здесь:

• План (создание системы управления информационной безопасностью)
• Применить (Внедрение и эксплуатация системы управления информационной безопасностью)
• Проверка (мониторинг и проверка системы управления информационной безопасностью)
• Принять меры предосторожности (Обслуживание и совершенствование Системы управления информационной безопасностью)

Естественно, с созданием такой системы предприятия получают огромные выгоды. Так, например,

• Предприятие признает существование и значимость всех информационных активов.
• Он защищает информационные активы, применяя их к указанным методам контроля и защиты.
• Таким образом обеспечивается непрерывность работы. При возникновении любого риска действия не могут быть прерваны.
• С помощью этой системы компания завоевывает доверие связанных сторон, поскольку она будет защищать информацию компаний-поставщиков и клиентов.
• Защита информации не оставлена ​​на волю случая.
• Бизнес оценивает своих клиентов более систематически, чем его конкуренты.
• Мотивация сотрудников в бизнесе повышается.
• Поскольку правовые нормы будут обеспечены, возможные юридические последующие действия будут предотвращены.
• Репутация бизнеса на рынке растет, и бизнес на шаг впереди в борьбе с конкурентами.

Система управления информационной безопасностью ISO 27001 требует, чтобы все информационные активы на предприятии рассматривались и оценивались, а анализ рисков проводился с учетом слабых сторон и угроз этих активов. Для этого предприятию следует выбрать метод управления рисками, соответствующий его структуре, и планировать риски. Стандарт включает в себя цели контроля и методы контроля для обработки рисков.

В соответствии со стандартом ISO 27001 предприятия должны составлять планы управления рисками и обработки рисков, определять задачи и обязанности, составлять планы обеспечения непрерывности бизнеса, готовить процессы управления в чрезвычайных ситуациях и вести их учет во время реализации.

Компании также должны выпускать политику информационной безопасности, охватывающую все эти виды деятельности. Все высшее руководство и сотрудники также должны быть осведомлены об информационной безопасности и угрозах. При внедрении системы управления информационной безопасностью ISO 27001 должны быть измерены выбранные цели управления, а также постоянно контролироваться пригодность и эффективность средств управления. Этот процесс должен быть живым процессом, должно быть обеспечено управление информационной безопасностью, активная поддержка высшего руководства и участие всех сотрудников. Запрашивающие предприятия могут получить консультативную и экспертную поддержку в области управления рисками, разработки политики, документирования процессов обеспечения безопасности, выявления и внедрения соответствующих методов контроля.

Короче говоря, стандарт ISO 27001 - это система, которая определяет полную информационную безопасность и способы обеспечения информационной безопасности как живого процесса. Этапы настройки этой системы можно описать следующим образом:

• Классификация информационных активов
• Оценка информационных активов по критериям конфиденциальности, целостности и доступности
• Анализ рисков
• Определение применяемых методов контроля по результатам анализа рисков
• Завершение документации работы
• Применение определенных методов контроля
• Проведение исследований внутреннего аудита
• Ведение записей, требуемых стандартом
• Проведение совещаний по обзору управления
• Проведение сертификационных исследований

Угрозы и недостатки, связанные с электронной связью

В рамках соответствующих правовых норм предприниматели должны предпринять некоторые действия для обеспечения информационной безопасности:

• Храните записи IP-журналов, используемых компьютерами
• Ведите учет, какие сотрудники имеют IP-адреса в прошлом
• Вести журнал учета поездок сотрудников в Интернет.
• Ведение записей журнала электронной почты, отправленных сотрудниками
• Ведение записей о страницах в Интернете, которые сотрудники провели и сколько времени они провели в прошлом
• Обеспечить ограниченный доступ к Интернету путем фильтрации по содержимому
• Обеспечение целостности всех полученных записей и доказательство того, что они не были изменены

В этих рамках основными угрозами для электронного общения сотрудников являются:

• Сотрудники, входящие в зону безопасности, без разрешения или превышающие существующие пределы авторизации
• Сотрудники пытаются нарушить конфиденциальность, целостность и непрерывность данных без авторизации или путем превышения существующих лимитов авторизации путем удаления, добавления, изменения, задержки, сохранения на другом носителе или раскрытия информации.
• Попытка предотвратить, полностью или частично, аппаратные и программные компоненты, чтобы они соответствовали требованиям, установленным в соответствии с правовыми нормами и национальными и зарубежными стандартами.
• Создавая впечатление, что электронное общение осуществляется с нужной стороной, вводя пользователя в заблуждение
• Мониторинг электронной связи с использованием незаконных методов
• Утверждая, что эта информация была получена от другой стороны путем предоставления неверной информации или отправки этой неверной информации другой стороне
• Сделать инфраструктуру электронных коммуникаций частично или полностью неработоспособной или использовать ресурсы этой инфраструктуры таким образом, чтобы предотвратить предоставление услуг

Между тем, несколько слабых мест для электронного общения можно перечислить следующим образом:

• Непредвиденные будущие угрозы
• Ошибки в разработке системы или протокола
• Проблемы при установке системы или протокола
• Ошибки, вызванные разработчиками программного обеспечения
• Ошибки пользователя
• Несоответствия или несоответствия, возникающие при использовании системы

Стандартная структура системы управления информационной безопасностью ISO 27001

Стандарт ISO 27001 был недавно пересмотрен в 2013. В этой версии пункты стандарта следующие:

1. сфера
2. Цитированные стандарты и документы
3. Условия и рецепты
4. Контекст организации

• Понимание организации и ее контекста
• Понимание потребностей и ожиданий заинтересованных сторон
• Определение области применения системы управления информационной безопасностью
• Система управления информационной безопасностью

1. руководство

• Лидерство и приверженность
• Политика
• Корпоративные роли, обязанности и полномочия

1. планирование

• Деятельность, связанная с рисками и возможностями
• Цели информационной безопасности и планирование для достижения этих целей

1. Destek

• Ресурсы
• Квалификация
• осознание
• Коммуникация
• Письменная информация

1. операционная

• Оперативное планирование и контроль
• Оценка риска информационной безопасности
• Обработка рисков информационной безопасности

1. Оценка производительности

• Мониторинг, измерение, анализ и оценка
• Внутренний аудит
• Обзор управления

1. реабилитация

• Несоответствие и корректирующие действия
• Постоянное улучшение

Сертификация системы менеджмента информационной безопасности ISO 27001

После создания системы управления информационной безопасностью ISO 27001 предприятия захотят получить сертификат ISO 27001, чтобы доказать эту ситуацию своим клиентам, конкурентам и соответствующим официальным и частным организациям. Однако целью установки этой системы должно быть не только наличие этого документа. В противном случае нельзя ожидать, что система обеспечит преимущества, описанные выше.

В соответствии с методами контроля, определенными в процессе внедрения, защита информационных активов, контроль рисков, угрожающих информационным активам, принятие мер по устранению или смягчению рисков, оценка новых рисков, возникающих с течением времени, и оценка этих рисков, если есть риски, которые нельзя предотвратить, но допустить. для этого требуются разрешения высшего руководства. Этот процесс будет продолжаться до тех пор, пока бизнес существует.

Компании, которые отвечают требованиям стандарта ISO 27001 и внедряют Систему управления информационной безопасностью, теперь могут запросить сертификат ISO 27001, обратившись в орган по сертификации. На этом этапе чрезвычайно важно, чтобы орган по сертификации был аккредитован местным или иностранным органом по аккредитации. В противном случае выдаваемые отчеты и документы не могут быть действительными.

Первый этап сертификационных работ выполняется посредством существующей документации. На этом этапе политика информационной безопасности, отчеты об оценке рисков, планы действий по риску, декларация соответствия, процедуры безопасности и инструкции по применению, подготовленные предприятием, обрабатываются индивидуально. Если в этих документах обнаружено какое-либо несоответствие, ожидается, что они будут завершены до перехода ко второму этапу.

После завершения первого этапа орган по сертификации назначает одного или нескольких аудиторов и начинает аудиторскую работу в рабочей среде предприятия. В ходе этих проверок на местах наблюдается, соответствуют ли меры безопасности информационной безопасности, определенные организацией в зависимости от сферы деятельности, требованиям стандарта ISO 27001. После завершения проверок второго этапа аудиторы готовят отчет и представляют его в орган по сертификации.

Орган по сертификации проводит оценочные исследования на основе этого отчета и подготавливает сертификат системы управления информационной безопасностью ISO 27001, если сочтет это целесообразным, и передает его на предприятие. Срок действия сертификата составляет три года. Однако после выдачи этого документа промежуточные проверки проводятся один или два раза в год в соответствии с запросом предприятия. Через три года сертификационные исследования должны быть проведены снова.