trarzh-TWenfrdeelitfarues

ИСО КСНУМКС

ИСО КСНУМКС Цертификат система за управљање безбедношћу информација

    Иоу аре хере:  
  1. НАУКА
  2. потврда
  3. Сертификација система
  4. Систем управљања информацијском сигурношћу ИСО КСНУМКС

Систем управљања информацијском сигурношћу ИСО КСНУМКС

Сертификација система
Систем управљања информацијском сигурношћу ИСО КСНУМКС
  • 1 слика 2

Шта су подаци и информације?

Прво, погледајмо основне концепте информација. У најједноставнијем смислу, сирови сирови подаци се називају подаци. Обрађени облик података је информација. Израз података или података је нумеричка и логичка вредност.

Главне карактеристике информација које морају бити заштићене су:

  • Поверљивост информација: Повјерљивост информација се назива неприступачним и необјашњивим од стране особа, организација, ентитета и процеса који нису овлаштени.
  • Интегритет знања: односи се на очување тачности, интегритета и јединствених квалитета знања.
  • Доступност информација: Ова функција је доступна само овлаштеним особама.

Информације се могу класификовати на различите начине. Међутим, у основи је могуће класификовати на следећи начин:

  • Повјерљиве информације су кључне за пословање. Само чланови менаџерског тима могу приступити овим информацијама. Приступ, употреба и размјена таквих информација од стране неовлаштених особа је незгодна за подузеће. Укратко, неопходно је да ове информације остану поверљиве.
  • Информације које су доступне у оквиру предузећа су приватне информације које су доступне само запосленим особама. Информације које други запослени и трећа лица, осим запослених у јединици, не би смели приступити и видјети. Од суштинске је важности да се такве информације чувају као поверљиве.
  • Лични подаци су лични подаци запослених. Покривене су само личне студије везане за пословне активности. Чување и чување личних података који нису релевантни за посао нису тачни. Битно је да су личне информације доступне.
  • Информације које су доступне предузећу су само за запослене. Интегритет и приступачност су неопходни за такве информације. Информације подељене између јединица спадају у ову класу.

Шта је ИСО / ИЕЦ КСНУМКС систем управљања безбедношћу информација?

Да би се осигурала сигурност свих врста информација, Међународна организација за стандарде (ИСО) и Међународна електротехничка комисија (ИЕЦ) објавиле су стандард ИСО / ИЕЦ КСНУМКС Информатион Сецурити Манагемент Систем.

У ствари, историја овог стандарда представља први део стандарда БС КСНУМКС који је објавио Британски институт за стандарде у КСНУМКС-у и други део објављен у КСНУМКС-у. Ови стандарди су ревидирани заједно у КСНУМКС-у. До године КСНУМКС, објављен је ИСО / ИЕЦ КСНУМКС стандард. У КСНУМКС-у, БС КСНУМКС-КСНУМКС стандард је ажуриран и од стране КСНУМКС-а су следећи стандарди издати од стране Међународне организације за стандарде:

  • ИСО КСНУМКС: Стандард КСНУМКС уместо БС КСНУМКС-КСНУМКС
  • ИСО КСНУМКС: КСНУМКС стандард уместо ИСО КСНУМКС: КСНУМКС стандард

Ова два стандарда су недавно ревидирана у КСНУМКС-у.

Ова стандардна породица је објављена од стране Турског института за стандарде у нашој земљи на следећи начин:

  • Информациона технологија - Сигурносне технике - Системи управљања информацијском сигурношћу - Преглед и глосар
  • ТС ЕН ИСО / ИЕЦ КСНУМКС Информациона технологија - Сигурносне технике - Системи управљања информацијском сигурношћу - Захтјеви
  • ТС ЕН ИСО / ИЕЦ КСНУМКС Информациона технологија - Технике безбедности - Принципи примене за контролу безбедности информација
  • ТС ИСО / ИЕЦ КСНУМКС Информациона технологија - Технике сигурности - Водич за примјену система управљања информацијском сигурношћу
  • ИСО / ИЕЦ КСНУМКС Информациона технологија - Технике безбедности - Управљање безбедношћу информација - Мерење
  • ТС ИСО / ИЕЦ КСНУМКС Информациона технологија - Технике безбедности - Управљање ризиком информацијске сигурности
  • ТС ИСО / ИЕЦ КСНУМКС Информациона технологија - Технике безбедности - Захтеви за организације које врше ревизију и сертификацију система управљања безбедношћу информација
  • ТС ИСО / ИЕЦ КСНУМКС Информациона технологија - Технике безбедности - Смернице за ревизију система управљања информацијском сигурношћу
  • ТСЕ ИСО / ИЕЦ ЕН КСНУМКС Информациона технологија - Технике сигурности - Водич за контролу информација о сигурности за ревизоре

Шта је ризик, управљање ризиком и претња?

Фраза ризика постављена на нашем језику од француског је дефинисана као опасност од штете. Ризик је појава неочекиваног догађаја и на њега утиче. Дакле, ризик се сматра негативном ситуацијом, опасност. На овај начин, како би се заштитили од негативних ефеката ризика и избегли било какву штету, предузимају се мјере узимањем у обзир различитих могућности. Метода која укључује ове студије и активности планирања назива се управљање ризиком.

Управљање ризиком је процес идентификације, мјерења, анализе и процјене бројних фактора ризика и минимизирања могућих губитака како би се спријечио прекид операбилности предузећа и осигурало да то не утиче негативно на активности. Међутим, није могуће потпуно елиминисати ризик у активностима управљања ризицима.

Главни елементи студије управљања ризиком су:

  • Одређивање имовине предузећа са информацијском вриједношћу
  • Идентификација унутрашњих и спољашњих опасности које угрожавају пословање
  • Откривање слабих и отворених питања која угрожавају пословање
  • Утврђивање вероватноће реализације ризика
  • Утврђивање ефеката ризика на активности предузећа и система

Под имовином подразумевамо све што је део система и има вредност за предузеће. Према томе, средства су драгоцена за пословање и треба их заштитити.

У смислу система информационе технологије, средства не подразумевају само софтвер и хардвер. У концепт постојања укључени су: све врсте информација, персонални рачунари, штампачи, сервери и сви слични хардвер, оперативни системи, развијене апликације, канцеларијски програми и сви слични софтвер, телефони, каблови, линијски модеми, комутацијски уређаји и сви други уређаји све документе, услуге и наравно репутацију и слику пословања на тржишту.

Ризици су предмет одређене класификације у студијама управљања ризиком. На пример, ако је имовина оштећена у групи са ниским ризиком, информациони систем неће бити много оштећен и систем ће наставити да функционише. Ова ситуација не штети угледу предузећа. Информациони систем је погођен ако је средство оштећено у средњој ризичној групи. Иако систем наставља да функционише, имовина и даље треба да се успостави. Оваква ситуација узрокује одређену штету угледу предузећа. Информациони систем је јако погођен ако је имовина оштећена у групи високог ризика. Скоро половина система постаје неупотребљива. Да би систем функционисао, средство мора бити замењено. Ова ситуација значајно утиче на углед предузећа. У веома ризичној групи, присуство информација је тешко оштећено, иу овом случају операбилност система је у великој мери погођена. Информациони систем није доступан. Оваква ситуација веома лоше утиче на углед компаније на тржишту.

Пријетња представља потенцијал за било који извор пријетњи, било намјерно или као посљедица несреће, како би се искористила рањивост у суставу и оштетила имовина. Природне пријетње су земљотреси, клизишта, поплаве, удари грома или олује. Еколошке пријетње укључују загађење зрака, продужене прекиде напајања и цурења. Пријетње које изазивају људска бића изазивају људи свјесно или несвјесно. На пример, унос погрешних података у систем, спољашњи мрежни напади, инсталирање злонамерног софтвера на систем, крађа корисничких акредитива или приступ овлашћеним лицима у систем.

Отвореност према информационим системима је слабост, грешка или недостатак који се сусреће у системским сигурносним процедурама, у пракси или у интерним ревизијама, што крши сигурност информација. Ови отвори сами по себи нису опасни. Мора постојати пријетња њиховој реализацији.

Који је опсег ИСО КСНУМКС система управљања информацијском сигурношћу?

Предузећа производе одређене информације у оквиру својих активности, без обзира на сектор или величину у којој послују и ове информације су драгоцене за свако предузеће. Напори за заштиту информација ће се разликовати од пословања до бизниса, али генерално ће систем обухватити сљедеће главне елементе:

  • Врховно руководство предузећа требало је да дефинише и објасни политику коју треба поштовати у области информационе безбедности.
  • Информациона средства у предузећу треба да буду наведена и сврстана по важности.
  • Треба спречити могућност да запослени праве грешке.
  • Требало би смањити ризик од злоупотребе информационих средстава у предузећу.
  • Требало би смањити нападе на изворе информација и ризик од корупције или промјене информација.
  • Оперативни компјутерски системи треба да буду довољни и поуздани.
  • Само овлашћена лица треба да имају приступ информацијама.
  • У случају било каквог кршења сигурности, правовремено и брзо реаговање треба бити могуће у складу са обликом догађаја.
  • Напади на информације не би требало да ометају главне активности предузећа и да се могу брзо вратити у нормално окружење. Другим ријечима, треба осигурати континуитет активности.
  • Систем управљања информацијском сигурношћу мора бити на нивоу који је довољан да испуни обавезе законских прописа ентитета.

Иако се ИСО КСНУМКС систем управљања информацијском сигурношћу перципира само као пројект информационих технологија у предузећима, то је заправо пројект информацијске сигурности који се тиче цијелог предузећа. Виши менаџмент је стога директно одговоран за успостављање и рад стандарда ИСО КСНУМКС. Данас се ИСО КСНУМКС систем управљања информацијском сигурношћу управља као цјелина која укључује све људске ресурсе, виши менаџмент, информационе системе и пословне процесе у предузећу.

Основни циљеви стандарда ИСО КСНУМКС су:

  • Идентификовати пропусте у информацијској сигурности, ако постоје
  • Идентификовање ризика који угрожавају информациону имовину
  • Одредити методе ревизије како би се осигурала сигурност информацијске имовине у опасности
  • Обезбеђивање спровођења потребних контрола и задржавање могућих ризика на прихватљивом нивоу
  • Обезбедити континуитет контроле безбедности информација у предузећу

Шта доноси систем управљања безбедношћу информација ИСО КСНУМКС?

ИСО КСНУМКС стандард омогућава успостављање методологије процјене ризика, припрему извјештаја о процјени ризика и припрему планова за обраду ризика.

Током времена, природа претњи и рањивости присутних у систему може да се промени. Или, као резултат контроле која се спроводи применом стандарда ИСО КСНУМКС, ризици могу бити смањени или озбиљност може бити смањена. Стога су активности праћења ризика у предузећима важне. Предузећа су дужна провести студије о процјени ризика у складу са прихваћеном методологијом у периоду који су одредили.

Политика безбедности информација према стандарду ИСО КСНУМКС требало би углавном да обухвата: физичку и еколошку безбедност, безбедност опреме, оперативне системе и безбедност крајњих корисника, безбедност лозинки и сигурност сервера и система.

Питање физичке и еколошке безбедности односи се на спречавање неовлашћеног приступа систему и заштиту информационих средстава од различитих ризика. Данас је физичка и еколошка безбедност све важнија. Примјери таквих мјера су присуство приватних сигурносних тимова на улазу у пословну зграду, складиштење важних информационих окружења и приступ тим окружењима са шифрованим сигурносним системима. Да би се заштитили информациони системи, уобичајено је да се инсталира приступ са контролом картице и слични системи физичке заштите. Таква физичка сигурност границе се успоставља на основу сигурносних потреба информацијске имовине и резултата процјене ризика. Окружења са високоризичним информацијама блокирана су од неовлашћеног приступа путем аутентикационих картица или ПИН заштите. Поред тога, треба предузети мере физичке заштите и применити их против штете проузроковане катастрофама као што су пожар, поплава, земљотрес, експлозија или друштвени немири.

Значај ИСО КСНУМКС система за управљање безбедношћу информација

Безбедност информација има за циљ да осигура континуитет рада у предузећима, да минимизира губитке у случају неизбјежне опасности и да заштити повјерљивост, приступачност и интегритет ресурса у свим случајевима. Данас, не само са својим запосленима, већ и са пословним партнерима, акционарима и купцима, успостављање повјерења за заштиту и повјерљивост информација од стратешког је значаја за управљање пословањем.

Проблеми сигурности на различите начине не само да прекидају континуитет активности, већ и узрокују губитак тржишта, стварају конкурентске тешкоће и узрокују губитак повјерења према пословним партнерима, дионичарима и клијентима. Трошкови издатака за опоравак ових бројева су скупљи од трошкова мјера како би се избјегло њихово губљење.

Информације за предузећа, као и друга комерцијална средства, је средство које има вриједност и стога треба бити заштићено. Информације су од великог значаја за наставак пословања. Из тог разлога, важно је да се информациона средства чувају као поверљива, да се њихов интегритет одржава и да је увек доступан, укратко, обезбеђена је безбедност информација. Систем управљања информацијском сигурношћу ИСО / ИЕЦ КСНУМКС је једини међународни и ревизорски систем који дефинира потребе предузећа у овом правцу.

Стандард ИСО КСНУМКС је посебно потребан у секторима у којима је обрада и заштита информација од највеће важности, као што су јавни, финансијски, здравствени и информациони сектор. Овај стандард је такође важан за предузећа која управљају информацијама за друге људе и организације. На овај начин, компаније пружају својим клијентима сигурност да су њихове информације заштићене.

Систем управљања информацијском сигурношћу ИСО КСНУМКС је систем управљања успостављен од стране предузећа с циљем пружања информацијске сигурности, примјене овог стандарда, праћења, прегледа, одржавања и континуираног побољшања апликације. У оквиру овог оквира, спроводе се анализе ризика како би се одредили ресурси предузећа и идентификовали могући ризици. Студије процене ризика су поређење ризика са датим критеријумима ризика како би се одредио значај ризика.

ИСО КСНУМКС Планирање система за управљање безбедношћу информација

Успостављање стандарда ИСО КСНУМКС у предузећу зависи од низа корака. То је као,

  • Прво, треба прикупити информације о инфраструктури предузећа. Ове информације се односе на области делатности предузећа, природу обављеног посла, мисију и насељавање предузећа.
  • Затим треба одредити кључна имена која ће служити у успостављању система. У овој фази треба одредити оне који су одговорни за управљање ризиком и сврху успостављања система.
  • Тада би се сигурносна ситуација у предузећу требала одредити у данашњој ситуацији.
  • Затим треба прикупити информације, као што су локације, операције, пословне функције и информационе технологије, које ће одредити опсег система.
  • У овој фази треба одредити циљ и обим ИСО КСНУМКС система управљања информацијском сигурношћу и успоставити програм рада.
  • Коначно, у последњој фази треба одредити процесе неопходне за успостављање система и континуитет система.

Циклус, који се традиционално односи на све системе управљања квалитетом, такође је овде случај:

  • План (успостављање система управљања информацијском сигурношћу)
  • Примена (имплементација и рад система за управљање безбедношћу информација)
  • Провера (надгледање и преглед система управљања безбедношћу информација)
  • Предузети мере предострожности (одржавање и унапређење система управљања безбедношћу информација)

Наравно, успостављањем таквог система, предузећа добијају огромне користи. На пример,

  • Ентитет препознаје постојање и значај свих информационих средстава.
  • Он штити информациону имовину примјењујући их на специфициране методе контроле и заштите.
  • На овај начин је осигуран континуитет рада. Када се наиђе на било који ризик, активности се спречавају да буду прекинуте.
  • Са овим системом, компанија стиче поверење повезаних страна, јер ће штитити информације о компанијама добављачима и клијентима.
  • Заштита информација није препуштена случају.
  • Пословање делује систематичније од својих конкурената када оцењује своје клијенте.
  • Повећава се мотивација запослених у бизнису.
  • Будући да ће законска регулатива бити осигурана, могуће правне мјере ће бити спријечене.
  • Повећава се углед бизниса на тржишту и пословање је корак испред борбе против својих конкурената.

Систем управљања информацијском сигурношћу ИСО КСНУМКС захтијева да се све информацијске имовине у предузећу адресирају и оцјењују, те да се направи анализа ризика узимајући у обзир слабости и пријетње тих средстава. Да би се то постигло, предузеће треба да изабере метод управљања ризиком који одговара његовој структури и да планира ризик. Стандард укључује контролне циљеве и методе контроле за обраду ризика.

У складу са ИСО КСНУМКС стандардом, од предузећа се тражи да израде планове за управљање ризиком и обраду ризика, идентификују задатке и одговорности, припреме планове за континуитет пословања, припреме процесе управљања ванредним ситуацијама и воде евиденцију о њима током имплементације.

Предузећа такође морају да издају политику безбедности информација која покрива све ове активности. Сви виши руководиоци и запослени такође треба да буду свесни безбедности информација и претњи. У имплементацији ИСО КСНУМКС система управљања информацијском сигурношћу, потребно је измјерити одабране циљеве контроле и континуирано пратити прикладност и учинковитост контрола. Овај процес би требао бити жив процес, управљање информацијском сигурношћу, активна подршка виших руководилаца и учешће свих запослених. Подузећа која траже услуге могу добити консултантску и стручну подршку у управљању ризицима, креирању политика, документовању сигурносних процеса, идентификацији и имплементацији одговарајућих метода контроле.

Укратко, ИСО КСНУМКС стандард је систем који дефинише укупну безбедност информација и како обезбедити безбедност информација као живи процес. Кораци постављања овог система могу се описати на следећи начин:

  • Класификација информационих средстава
  • Процена информационе имовине у складу са критеријумима поверљивости, интегритета и приступачности
  • Анализа ризика
  • Одређивање метода контроле које ће се примјењивати према резултатима анализе ризика
  • Завршетак рада на документацији
  • Примена одређених метода контроле
  • Спровођење студија интерне ревизије
  • Вођење евиденције која се захтијева стандардом
  • Спровођење састанака за преглед руководства
  • Извођење сертификационих студија

Претње и слабости у вези са електронским комуникацијама

У оквиру релевантних законских прописа, постоје неке ствари које би компаније требале учинити како би осигурале сигурност информација:

  • Водите евиденцију ИП дневника које користе рачунари
  • Водите евиденцију о томе који запослени имају ИП адресе за прошлост
  • Водите евиденцију о путовањима запослених на Интернету
  • Вођење евиденције е-маил порука послата од стране запослених
  • Вођење евиденције о страницама на интернету које су запослени провели и колико су провели у прошлости
  • Обезбедите ограничен приступ приступу Интернету филтрирањем по садржају
  • Обезбедити интегритет свих добијених записа и доказати да они нису измењени

У овом оквиру, главне претње електронској комуникацији запослених су:

  • Запослени који улазе у област безбедносне осетљивости без овлашћења или прелазећи постојећа ограничења ауторизације
  • Запослени покушавају да ометају поверљивост података, интегритет и континуитет без овлашћења или прекорачењем постојећих ограничења ауторизације брисањем, додавањем, изменом, одлагањем, чувањем на другом медију или откривањем информација
  • Покушај спречавања, у цијелости или дјеломично, хардверских и софтверских компоненти да испуне захтјеве постављене у складу са законским прописима и домаћим и страним стандардима
  • Обезбедити утисак да се електронска комуникација врши са правом страном обмањујући корисника
  • Праћење електронске комуникације коришћењем нелегалних метода
  • Тврдећи да су ове информације добијене од друге стране, дајући нетачне информације или да пошаљу нетачне информације другој страни
  • Да делотворно или потпуно неупотребљава електронску комуникациону инфраструктуру или да потроши ресурсе за ову инфраструктуру на начин који спречава пружање услуга

У међувремену, неколико слабих тачака за електронску комуникацију може се навести на следећи начин:

  • Непредвидиве будуће претње
  • Грешке у дизајнирању система или протокола
  • Проблеми при инсталирању система или протокола
  • Грешке узроковане програмерима софтвера
  • Корисничке грешке
  • Неадекватности или несукладности које настају током коришћења система

Стандардна структура ИСО КСНУМКС система управљања информацијском сигурношћу

ИСО КСНУМКС стандард је недавно ревидиран у КСНУМКС-у. У овој верзији, клаузуле стандарда су следеће:

  1. обим
  2. Наведени стандарди и документи
  3. Услови и рецепти
  4. Контекст организације
  • Разумевање организације и њеног контекста
  • Разумевање потреба и очекивања заинтересованих страна
  • Одређивање обима система управљања информацијском сигурношћу
  • Систем управљања информацијском сигурношћу
  1. руководство
  • Вођство и посвећеност
  • Политика
  • Корпоративне улоге, одговорности и овласти
  1. планирање
  • Активности које се баве ризицима и могућностима
  • Циљеви информацијске сигурности и планирање за постизање тих циљева
  1. Дестек
  • средства
  • квалификације
  • свесност
  • комуникација
  • Писане информације
  1. радни
  • Оперативно планирање и контрола
  • Процена ризика безбедности информација
  • Обрада ризика у области безбедности информација
  1. Оцена учинка
  • Мониторинг, мерење, анализа и евалуација
  • Интерна ревизија
  • Манагемент ревиев
  1. рехабилитација
  • Несукладност и корективне акције
  • Континуирано побољшање

ИСО КСНУМКС сертификација система управљања информацијском сигурношћу

Након успостављања ИСО КСНУМКС система за управљање информацијском сигурношћу, предузећа ће желети да добију ИСО КСНУМКС цертификат како би доказали ову ситуацију својим клијентима, конкурентима и повезаним службеним и приватним организацијама. Међутим, сврха инсталације овог система не би требало да буде само тај документ. У супротном, од система се не може очекивати да пружи горе описане користи.

Према контролним методама утврђеним током процеса имплементације, заштити информационих средстава, контроли ризика који угрожавају информациону имовину, предузимањем мера за елиминисање или ублажавање ризика, проценом нових ризика који се јављају током времена и проценом ових ризика уколико постоје ризици који се не могу спречити, али прихватљиви. за ово су потребна одобрења највишег руководства. Овај процес ће се наставити све док постоји бизнис.

Предузећа која испуњавају захтеве стандарда ИСО КСНУМКС и имплементирају систем управљања информацијском сигурношћу сада могу захтијевати ИСО КСНУМКС цертификат примјеном цертификацијског тијела. У овом тренутку, изузетно је важно да сертификационо тело буде акредитовано од локалног или страног акредитационог тела. У супротном, извештаји и документи који се издају не могу бити валидни.

Прва фаза сертификационог рада врши се кроз постојећу документацију. У овој фази, политика информационе безбедности, извештаји о процени ризика, акциони планови за ризике, декларација о усаглашености, безбедносне процедуре и инструкције за апликацију припремљене од стране предузећа се рукују појединачно. Ако се у овим документима открије било каква неусклађеност, очекује се да ће бити довршени прије него што пређу на другу фазу.

Након завршетка прве фазе, сертификационо тело именује једног или више ревизора и иницира рад ревизије у радном окружењу предузећа. У овим ревизијама на лицу мјеста, уочава се да ли контроле сигурности информација које је ентитет одредио, овисно о подручју дјеловања, испуњавају захтјеве стандарда ИСО КСНУМКС. Након завршетка ревизије у другој фази, ревизори припремају извјештај и достављају га цертификационом тијелу.

Сертификационо тело спроводи евалуационе студије на основу овог извештаја и припрема ИСО КСНУМКС сертификат система за управљање безбедношћу информација ако сматра да је то потребно и доставља га предузећу. Период важења сертификата је три године. Међутим, након издавања овог документа, привремене ревизије се спроводе једном или два пута годишње у складу са захтјевом предузећа. Након три године, сертификационе студије се морају поново провести.

 

потврда

Компанија пружа услуге ревизије, надзора и сертификације према међународно прихваћеним стандардима, као и пружа услуге периодичне инспекције, тестирања и контроле.

Контакт

Адреса:

Махмутбеи Мх, Дилменлер Цд, Но 2 
Багцилар - Истанбул, ТУРСКА

Телефон:

+ КСНУМКС (КСНУМКС) КСНУМКС КСНУМКС КСНУМКС

ВхатсАпп:

+ КСНУМКС (КСНУМКС) КСНУМКС КСНУМКС КСНУМКС

Е-маил:

[емаил заштићен]

Претрага