Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Консaлтинг ISO 27001, ISO 20000, BS 25999, ISO 22301, ISO 31000
Типовые документы по ИБ
 

Консaлтинг ISO 27001, ISO 20000, BS 25999, ISO 22301, ISO 31000

Операции с документом

Здравствуйте, в этом блоге я буду публиковать мои статьи по вопросам систем управления информационной безопасностью, ИТ сервисами и непрерывности бизнеса, а так же и статьи других консультантов, мнение которых я разделяю.

Blog Entry Как я бы выбрал консультанта для построения системы управления (ISO системы)? 19-06-2012 | Комментарии: 2 | Автор: Слав Петров
Сегодня в Интернете свои услуги предлагают большое количество консультантов по построению систем управления. Как найти самое выгодное для нас предложение среди всех этих предложений? Прочитайте ... Прежде всего я хотел бы уточнить, что эта статья не относится к менеджерам, которые хотели бы «купить» систему управления, или говоря короче - купить сертификат. Для них критерий вибора только один - самая низкая цена, и эта статья является пустой затратой времени. Эта статья предназначена для менеджеров, которые кроме сертификата хотели бы получить и преимущества действительно работающей системы управления в своей организации. Как поступают все когда решили, что пора внедрить систему менеджмента (ISO системы) в своей организации? Нет проблемов - ответите вы - на рынке большое количество консалтинговых организаций. Обычно все обращаются к консультанту, который уже строил вам другую систему управления. Или ищут рекомендации для консультанта который строил систему управления у знакомого. Или просто делают поиск в Интернете по ключевым словам, выбирают 2-3 консультантов с первой страницы Google и выбирают консультанта дающий лучшее финансовое предложение. А вы уверены ли что делаете так лучший выбор? Любой человек может ответить себе, но вот как бы я действовал на основе прошлого опыта в этой области: Идея для первичного отбора среди консультантов, строили систему для вас или ваших коллег, хорошая - это дает информацию о коректности консультанта. Если у меня нет такой возможности, я бы посмотрел в Интернете по ключевым словам, описывающие максимально желаемую систему управления. После отбора потенциальных консультантов, мы должны выбрать своего консультанта. Во-первых, я бы запросил информацию и доказательства какие системы строил каждый из этих отобранных консультантов. Некоторые системы управления считаются «массовыми» - системы менеджмента качества, охраны окружающей среды, безопасносных условий труда, разработаны в соответствии с требованиями ISO 9001, ISO 14001, OHSAS 18001. По построению этих систем работают на практике почти все консультанты и здесь риск нахождения неопытного консультанта не очень большой. Однако внедрение таких систем также требует компетентности и я бы искал доказа-тельства построения таких систем и обратную связь с предыдущими клиентами. Несколько иначе обстоит вопрос об осуществлении некоторых систем, которые требуют специальных знаний и опыта - такие системы строятся в соответствии с требованиями новых стандартов для рынка СНГ - это ISO 20000-1 (системы управления услугами) ISO 27001 (для систем управления информационной безопасностью), ISO 22000 (для систем управления безопасностью пищевых продуктов), ISO 22301 (для систем управления непрерывности бизнеса), ISO 50001 (для системы энергоменеджмента), ISO 31000 (управление рисками). Выбор консультанта по этим стандартам является значительно более рискованным, потому что там не так много консультантов с опытом работы в странаг СНГ (за исключением ISO 22000). В этом случае первостепенное значение имеет тщательное изучение опыта консалтинговых организаций. Здесь вы можете легко быть введены в заблуждение, вот некоторые популярные способы: 1. Выбираете консультантов с первых страниц Google Ошибка - рейтинг в Google основан на платных услугах, или просто на очень хорошей SEO оптимизации, а не на консалтинговой компетентности. 2. Выбираете консультанта, который показал огромное количество стандартов на своей странице. Ошибка - некоторые консультанты пишут в своей странице все известные им стандарты и ждут когда некоторый клиент "укусить" через поисковые системы любой из них. Честно говоря, я бы выбрал специализированного консультанта, а не "эксперта во всем». Объяснит это не сложно - каждый из этих стандартов имеет свои особенности и требует глубокого знания, а во многих случаях физически невозможно изучить такую разнообразную и объемную информацию по всем стандартам. Например, в стандартах группы ISO 27000 насчитывается более 20 стандартов, необходимые для внедрения и аудита систем менеджмента информационной безопасности. Учитывая, что консалтинговые компании как правило имеют не больше 6-7 специалистов по системам управления, вы понимаете что практически невозможно одной компанией охватить в глубине все ведущие стандарты. 3. Выбираете самую низкую предложенную цену и кратчайшие сроки построения. Большая ошибка - это обычно означает, что вы получите только т.наз. шаблоны, после которого в будущем вы дол-жны своими силами оптимизировать свой бизнес. И не пытаясь быть наставником, я бы сказал, что цены ниже 22 000 - 25 000 USD для построения ISO 27001 в небольшой организации являются подозрительными, а для внедрения ISO 20000-1, ISO 22301 - прямо скажем это смешно. Кроме того, сроки реализации меньше 5-6 месяцев достаточно нереальные. После того как я изучил профессиональный опыт и выбрал своего консультанта, необходимо четко определить обязательства сторон, план построения и способ отчета этапов проекта. Распространенная ошибка со стороны заказчика здесь - не входя в детали плана, сроков и ответственностей за выполнение. Таким образом вы можете получить что-то различное от того, что вы ожидали, а при отсутствии четкого регламента можете попасть в бесконечный спор с консультантом. И еще одна важная вещь, которую я бы не пропустил - обязательно привлечь своих сотрудников к активному участию в процессе построения. На первый взгляд, это пустая трата ресурсов, потому что мы заплатили за построение консультанту. Но в долгосрочной перспективе я буду иметь подготовленных сотрудников для управления системой и успею снизить зависимость от будущих консультантов. Я надеюсь, эта статья была полезной для тех, которые решилш внедрить систему управления. А почему консультант будет писать такие статьи? - Потому что консультанты, работающие професионально, предпочитают работать с клиентами, которые знают «правила игры». По всем дополнительным вопросам, пожалуйста обращайтесь к www.mscservices.eu.
Blog Entry ISO 20000 - Сложно ли внедрить систему управления услугами? 16-04-2012 | Комментарии: 0 | Автор: Слав Петров
Сложно ли внедрить систему управления услугами в соответствии со стандартом ISO 20000-1:2001? Ответ вполне ожидаемый и очень прост - зависит ! И чтобы мой ответ не был очень уклончивым, я обьясню что имею ввиду. Сложно ли внедрить систему управления услугами в соответствии со стандартом ISO 20000-1:2001? Ответ вполне ожидаемый и очень прост - зависит ! И чтобы мой ответ не был очень уклончивым, я обьясню что имею ввиду. Если в вашей организации уже внедрили систему менеджмента качества (ISO 9001), систему менеджмента информа-ционной безопасности (ISO 27001) и процессы ITIL-a (IT Infrastructure Library), без особых усилий вы можете развернуть свою системu управления услугами (ISO 20000). Потому что у вас и вашего руководства уже есть понимание важности и навыки для внедрения и поддержания систем управления. У вас уже есть основные процедуры, требуемые стандартов как: процедуры для управления документами и записями, для внутренних аудитов, для преду-преждающих и корректирующих действий. Вы уже внедрили процессы анализа со стороны руководства и улучшения системы. У вас работают процессы ITIL-а, которые требуются по ISO 20000-1:2011.Вам нужно только привести свои документы к требованиям стандарта, интегрировать свою систему менеджмента сервисов с существую-щей системой управления качеством и системой управления информационной безопасностью и без особых усилий у вас будет свой ISO 20000. Вы скажете - ну, так действительно легко, но сколько таких организациий, которые уже внедрили ISO 9001, ISO 27001 и процессы ITIL-а? Ну не так уж мало. Тем не менее, продолжим дальше - предположим, что ваша организация большая или средная ИТ-компания, которая имеет опыт сотрудничества с крупнымм международным поставщиком ИТ и телекоммуникационных решений.В этом слу-чае вы неизбежно уже ввели систему управления качеством и систему управления информационной безопасностью из-за требования клиентов (государственные учреждения, банки, телекоммуникационные компании и др). Вы неизбежно должны иметь специалистов, которые знакомы с процессами ITIL-а снова из-за характера Вашей работы. Партнерство с установленными поставщиками ИТ и телекоммуникационных решений неибежно привело вам к внедрению лучших практик в поставки сервисов, потому что это практика крупных производителей - они требуют от своих партнеров соблюдения определенных правил в отношении предоставления услуг и выполняют ежегодные аудиты что бы проверить, как вы соблюдаете их. В этом случае с большой уверенностью можно сказать, что у вас уже реализо-ваны следующие функции и процессы ITIL-а: help desk, планирование и внедрение новых или измененных сервисов, управление уровнем сервисов, отчетность сервисов, управление непрерывностью и доступностью сервисов, управле-ние инцидентами и проблемами, управление изменениями, процесса ввода в эксплуатацию и развертывания. Процесс управления информационной безопасностью обеспечивается внедренной системой управления информационной безо-пасностью. Процессы управления поставщиками и деловыми отношениями могут быть предоставлены внедренной сис-темой менеджмента качества. В этом случае необходимо реализовать некоторые дополнительные процессы, такие как: бюджетирование и бухгалтерский учет сервисов, управление емкости, управление конфигурациями, которое при наличии приобретенных навыков организации для внедрения и поддержания процессов, никак не сложно. Ну, а если ваша организация не имеет опыта сотрудничества с международным производителем ИТ и коммуникацион-ного оборудования и не внедряла ни одного из вышеуказанных процессов? Ну, тогда вам нужно реализовать все это. Конечно, если у вас действует система менеджмента качества и система менеджмента информационной безопас-ности, это облегчит вашу работу так как вы можете использовать их для обеспечения процессов управления постав-щиками, деловыми отношениями и безопасностью информации. А если вы не внедрили ISO 9001 и ISO 27001? Ну, тогда вам придется больше поработать. Вот почему я начал статью с этим "зависит". Впрочем вполне нормально ожидать от организации, в которой возникла необходимость осуществления ISO 20000, что она использует передовой опыт в области ИТ-сервисов ...
Blog Entry Новая структура группы стандартов ISO/IEC 27000 17-02-2014 | Комментарии: 0 | Автор: Слав Петров
Все в области информационной безопасности уже знают что существуют новые версии стандартов ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002. Много тех которые знают что существуют новые версии и других стандартов группы ISO/IEC 27000. Немного тех однако которые знают что принята новая структура самой группы. Все в области информационной безопасности уже знают что существуют новые версии стаднартов ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002. Много тех которые знают что существуют новые версии и других стандартов группы ISO/IEc 27000. Немного тех однако которые знают что принята новая структура самой группы. Вот какие группы стандартов будут присуствовать в группе: 1. Стандарт-словарь: ISO/IEC 27000 Overview and vocabulary 2. Стандарты-требования: a) ISO/IEC 27001 Information security management systems - Requirements b) ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems 3. Стандарты - руководства: а) ISO/IEC 27002 Code of practice for information security controls b) ISO/IEC 27003 Information security management system implementation guidance c) ISO/IEC 27004 Information security management - Measurement d) ISO/IEC 27005 Information security risk management e) ISO/IEC TR 27006 ISMS controls audit guidelines f) ISO/IEC 27007 Guidelines for information security management systems auditing g) ISO/IEC 27013 Guidance on the integrated implementation of ISO/IEC 27000 and ISO/IEC 20000-1 h) ISO/IEC 27014 Governance of information security i) ISO/IEC TR 27016 Information security management - Organizational economics 4. Стандарты-руководства по отдельним секторам: а) ISO/IEC 27010 Information security management guidelines for inter-sector and inter-organizational communications b) ISO/IEC 27011 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 c) ISO/IEC TR 27015 Information security management guidelines for financial services d) ISO/IEC TS 27017 Guidelines on information security controls for the use of cloudcomputing services based on ISO/IEC 27002 5. Стандарты-руководства по специфичесским механизмам контроля: а) ISO/IEC 2703x b) ISO/IEC 2704x
Blog Entry Новая версия стандарта ISO/IEC 27000:2014 29-01-2014 | Комментарии: 0 | Автор: Слав Петров
Новая версия стандарта ISO/IEC 27000:2014 опубликована Международная организация по стандартизации (ISO) опубликовала новую версия стандарта ISO/IEC 27000:2014 "Information technology — Security techniques — Information security management systems - Overview and vocabulary. Стандарт предоставляет обзор систем управления информационной безопасностью и определяет соответствующие термины. Словарь тщательно сформулированных формальных определений охватывает большинство специализированных терминов, связанных с информационной безопасностью и используемых в стандартах группы ISO/IEC 27 000, 89 из них в нынешнoй версии стандартов. ISO/IEC 27000 в значительной степени заменяет ISO/IEC Guide 2:1996 “Standardization and related activities – General vocabulary”, ISO/IEC Guide 73:2009 “Risk management – Vocabulary – Guidelines for use in standards” и ISO/IEC 2382-8: “Information technology - Vocabulary Part 8: Security”. Он также включает в себя определения, взятые из нескольких других стандартов ISO, например ISO 9000. Стандрт нужен для правильного понимания новых версий стандартов группы ISO/IEC 27000, например ISO/IEC 27001 и ISO/IEC 27002.
Blog Entry Новый ISO 27001:2013 - два в одном: либерализация и гармонизация 13-02-2013 | Комментарии: 8 | Автор: Слав Петров
С нетерпением прочитал проект новой версии стандарта ISO 27001:2013. Вот мои первые впечатления после ознакомления:

Новый ISO 27001:2013 - два в одном: либерализация и гармонизация
Славчо Ненков – 12.02.2013

Новость для публикации проекта новой версии стандарта ISO / IEC 27001:2013 я встретил с большим интересом как его ожидали и другие коллеги работающие в области информационной безопасности. Существовали ожидания для серьезных изменений в стандарте. Самое экзотическое для меня было ожидание об удалении Анекса А, оставляя решение о выборе средтсв управления информационной безопасностью полностью на усмотрение консультанта (внедряющей организации). Вот мои впечатления после прочтения проекта стандарта:

Основное изменение стандарта для меня направлено в сторону либерализации. И не смотря на то что Анекс А еще находится на своем месте (к счастью, не всегда интерпретация является лучшим решением, особенно когда консультанты спешат с внедрением системы ... :)), есть достаточно изменений в этом духе. Вот основные:

Отсуствуют требования об обязательных документированных процедур
В старой версии стандарта существует требование для наличии четырех обязательных документированных процедур, а именно: управление документами, внутренные аудиты, корректирующие действия, предупреждающие действия. В проекте новой версии стандарта отсутствует такое требование.

Отсуствует перечень обязательных документов СУИБ
В старой версии стандарта пункт 4.3.1 содержит перечень обязательных документов СУИБ. Проект новой версии стандарта не содержит такого подробного списка обязательных документов.

Либерализация в оценке риска
В отличие от действующей версии стандарта ISO / IEC 27001:2005, проект новой версии не содержит требования о наличии документированной методологии для оценки риска. Существует требование для предварительного определения процесса оценки риска, но нет безусловного требования о документировании.
Еще больше либерализация в определении методологии для оценки риска. Активы, угрозы и уязвимости здесь не фиксированы как основа для оценки риска, существует только требование для идентификации рисков, связанных с конфиденциальностью, доступностью и целостностью информации. Как – это решает внедряющая организация. Последствия/воздействие и вероятность остаются основой для определения уровней риска.

Отсуствует акцент на предупреждающие действия
В проекте новой версии стандарта отсуствует пункт о предупреждающих действиях. Основное внимание сосредоточено на различие между терминами „коррекция“ и „корректирующее действие“, но пункт о предупреждающих действиях отсуствует.

Второе заметное изменение в проекте новой версии ISO/IEC 27001 - это гармонизация с требованиями Анекса SL ISO/IEC 2012 Директивы. Структура стандарта обновлена, содержит уже 11 пунктов и знакомий Анекс А, и соответствует структуре рекомендуемой ISO/IEC Директивой. В самом деле, такие изменения ожидают и другие стандарты, относящиеся к системам управления - такие, как ISO 9001, ISO 20000-1 и другие.
Кроме структуры стандарта, дух общего содержания тоже направлен на гармонизацию с требованиями других стандартов для систем управления и на лучшую интеграцию в общем процессе управления.

Другие важные изменения в стандарте относятся к следующим областям:
Введен термин „leadership” который значительно приводит понимание руководства к духу и принципам стандарта ISO 9001:2008.
Введен термин "заинтересованные стороны", к которому относятся клиенты, поставщики, партнеры, законодательные и регулирующие органы и другие. Заинтересованные стороны должны быть идентифицираны и описаны со стороны организации.
В проекте новой версии использована концепция «документированная информация», которая включает в себе термины „документы“ и „записи“. В общем, основные требования к документам и записям в текущей версии стандарта сохранены.
На месте знакомого "владелец актива" введено понятие "владелец риска", которое ссылается на ISO 31000 и рассмотривает процесс на уровни рисков. Этот стандарт адресован и при определении принципов, к которым должны быть адаптированы оценка рисков и воздействие на риски.
Определены более конкретные и четкие правила для определения целей, процедуры для их измерения, анализа и оценки результатов.
Создан новый пункт „Коммуникации“, касающийся к обязательствам в отношении коммуникаций, связанные с безопасностью информации внутри и за пределами организации.

Изменения в Анексе А стандарта не особо революционные и в основном связаны с изменениями в число средств контроля и группы средтсв контроля, с распределением средств контроля по группам и редактированием текущего содержания некоторых из них.
Общее количество груп средтв контроля в новой версии Анекса А уже 14 вместо нынешних 11. В группах распределены 113 средств контроля вместо нынешних 133.
Ожидается удаление 29 средств контроля из Анекса А текущей версии стандарта (A.6.1.1, A.6.1.4, A.6.2.1, A.6.2.2, A.10.2.1, A.10.4.2 ., A.10.7.4, A.10.8.5, A.10.9.3, A.10.10.2, A.10.10.5, A.11.4.2, A.11.4.3, A.11.4.4, A.11.4.6, A.11.4.7, A.11.5.2, A.11.5.5, A.11.5.6, A.11.6.2, A.12.2.1, A.12.2.2, А. 12.2.3, A.12.2.4, A.12.5.4, A.14.1.2, A.14.1.4, A.15.1.5, A.15.3.2).
Добавлены 9 новых средств контроля как следует:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities- A.12.6.2 Ограничения на установку программного обеспечения

Основным результатом изменений в проекте новой версии ISO/IEC 27001 (либерализация) является увеличение свободы применения при построении систем. Таким образом увеличаетсч ответственность консультантов/внедрителей СУИБ за счет более общих требований стандарта. Конечно, это нельзя рассматриваться как возможность читать стандарт так как дьявол читает Евангелие (как возможность для минимизации работ по построению СУИБ), которое к сожалению уже случилось с некторыми стандартами (например ISO 9001).
Другим важным результатом изменения (гармонизация) является возможность для еще лучшей интеграции СУИБ с другими системами управления в организации.

-------------------------------------------
www.mscservices.eu - Ваши ISO консультанты
-------------------------------------------

Blog Entry Система управления ИТ сервисами – ISO 20000 скажет как лучше 13-01-2012 | Комментарии: 0 | Автор: Слав Петров
Группа стандартов ISO 20000 - требования и рекомендации по управлению ИТ сервисов

Целью данной статьи является ознакомление читателей с особенно интересной и применимой группой стандартов ISO – группа стандартов управления ИТ сервисами ISO 20000.

Прежде всего – что такое система управления?
Есть много различных определений понятия "система управления", касающихся различных аспектов деятельности организации. Наше понимание этого понятия связано с интерпретацией некоторых международных стандартов. Стандарт ISO 9000:2005 предоставляет следующее определение системы управления: "система, позволяющая устанавливать политику и цели, и достигнуть эти цели". Стандарт ISO 27000:2009 предоставляет дополнительные характеристики, а именно: "рамка политик, процедур, указаний и связанных с ними ресурсов для достижения целей организации».
В более широком смысле, система управление следует понимать как единый комплекс, в том числе организационная структура, ресурсы, документированные процедуры и политики, процессы и практики в рамках организации.

Система управления ИТ-сервисами СУИТС (IT services management system ITSMS)
Система управления ИТ-сервисами СУИТС (IT services management system ITSMS) или система менеджмента ИТ сервисов СМИТС – это система осуществляющaя руководство и контроль деятельности по управлению ИТ-услуг со стороны поставщика.
Система особенно пригодна для следующих типов организации:
- Компании, основной деятельностью которых является предоставление ИТ-услуг для третьих лиц (сервисные организации, системные интеграторы, софтверные компании, хостинговые компании, центры обработки данных и т.д.)
- Крупные организации, для которых обеспечение качество ИТ-сервисовг внутри организации имеет решающее значение для их работы (например государственная администрация, телекоммуникации, финансовые учреждения и др.)
Основными преимуществами внедрения системы менеджмента ИТ сервисов являются:
- Обеспечение высокого качества и надежности ИТ-сервисов
- Повышение эффективности и добавленной стоимости предоставляемых услуг
- Повышение доверия со стороны клиентов
- Укрепление конкурентных преимуществ

Группа стандартов ISO 20000
ISO 200000 – ето группа стандартов, которая определяет требования и дает лучшие практики для разработки, внедрения, управления и совершенствования систем менеджмента ИТ сервисов в организации. Рекомендации основаны на библиотеке наилучшей практики ITIL (IT Infrastructure Library).
ISO 20000 группа в настоящем времени состоит из 5 опубликованных стандартов описаны ниже:
ISO 20000-1:2011 - Information technology --Service management -- Part 1: Service management system requirements
ISO 20000-1:2011 – Информационные технологии –Управление сервисами -- Част 1: Требования к системам управления сервисами
Это основной стандарт группы и определяет требования для разработки, внедрения, управления и совершенствования систем управления ИТ-услугами. Требования стандарта основаны на библиотеке наилучшей практики ITIL. Это новая версия стандарта и в отличие от последней здесь принята общая структура стандартов ISO 9001, 27001, 14001 и четко определенны требования к процессам управления документами и записями, внутренными аудитами, корректирующими и предупреждающими действиями, анализу со стороны руководства. Таким образом, системы управления ИТ-услугами значительно проще могут интегрироваться с системами управления качеством и с системами управления информационной безопасностью.
ISO 20000-2:2005 - Information technology -- Service management -- Part 2: Code of practice
ISO 20000-2:2005 – Информационние технологии - Управление сервисами – Част 2: Кодекс лучших практик
Стандарт дает рекомендации для успешного внедрения, управления и совершенствования систем менеджмента ИТ-услуг на основе библиотеки передового ИТ-опыта ITIL. К данному моменту этот стандарт соответствует структуре последней версии стандарта ISO 20000-1 и в процессе разработки новая версия стандарта, которая, как ожидается, будут опубликована в первой половине 2012 года.
ISO 20000-3:2009 - Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1
ISO 20000-3:2009 - Информационние технологии - Управление сервисами – Част 3: Руководство по определению области действия и применимости ISO / IEC 20000-1
Как ясно из его названия, этот стандарт является руководством для определения области действия и применимости ISO 20000-1 к системе управления ИТ-услугами. К данному моменту этот стандарт тоже соответствует структуре последней версии стандарта ISO 20000-1 и в процессе разработки новая версия стандарта.
ISO 20000-4:2010 - Information technology -- Service management -- Part 4: Process reference model
ISO 20000-4:2010 - Информационние технологии - Управление сервисами – Част 4: Процесс-ориентированная модель
Вспомогательный стандарт, который фокусируется на процессно-ориентированной модели внедрения, управления и улучшения систем управления ИТ-услугами и предоставляет рекомендации по их развитию.
ISO 20000-5:2010 - Information technology -- Service management -- Part 5: Exemplar implementation plan for ISO/IEC 20000-1
ISO 20000-5:2010 - Информационние технологии - Управление сервисами – Част 5: Пример плана внедрения стандарта ISO / IEC 20000-1
Стандарт имеет практический харктер и прелагает пример плана реализации системы управления ИТ-услугами, отвечающие требованиям ISO 20000-1 и построен на лучших практиках ITIL
В заключение хочу сказать, что развитие группы стандартов ISO 20000 еще предстоит. К настоящему моменту В настоящее время готовятся новые версии двух стандартов группы и новый стандарт.

www.mscservices.eu/ru

Blog Entry ISO 27000 - группа стандартов по информационной безопасности. Обзор 13-01-2012 | Комментарии: 0 | Автор: Слав Петров
Обзор актуальных стандартов ISO 27000 группы

В самом начале - что такое информационная безопасность?

Для торговцев продуктами безопасности, понимание информационной безопасности ограничено тем, что они продают. Для многих директоров и менеджеров информационная безопасность - это то, что они не понимают и с чем должны справляться ИТ-менеджеры. Для большинства пользователей ИТ-оборудования информационная безопасность означает ограничение их деятельности.
Все эти мнения очень упрощенные и опасны!

Информационная безопасность относится не только к соблюдению соответствия, демонстрации лучшей практики или внедрению новейших технологических решений.
В основном, информационная безопасность связана с управлением рисками для самого ценного актива, который имеет любая организация – ИНФОРМАЦИЯ.
По стандарту ISO 27001:2005 информационная безопасность – это: “обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надёжность”

Вот чем занимается группа стандартов ISO 27000 - обеспечением информационной безопасности организации.

На сегодняшний день есть 17 утвержденных и опубликованных стандартов группы ISO 27000.

Есть 4 вида групп стандартов:

Стандарты для обзора и введения в терминологию
Стандарты, которые определяют обязательные требования к СУИБ (система управления информационной безопасностью)
Стандарты, определяющие требования и рекомендации для аудита СУИБ
Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.

Стандарты для обзора и введения в терминологию:

ISO/IEC 27000:2009 – Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь
Данный стандарт обеспечивает определение основной терминологии, которая используется в стандартах по информационной безопасности. В каждом стандарте есть и дополнительные термины. В данный момент разрабатывается новая версия стандарта ISO 27000.

Стандарты, которые определяют обязательные требования к СУИБ:

ISO/IEC 27001:2005 – Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

Это основной стандарт группы. Он определяет требования к разработке, внедрению, поддержке и улучшению систем менеджмента информационной безопасности В данный момент разрабатывается новая версия стандарта ISO 27001.

Стандарты, определяющие требования и рекомендации для аудита СУИБ:

ISO/IEC 27006:2011 - Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности

Этот стандарт расширяет требований стандарта ISO 17021 специально для органов, проводящих аудит и сертификацию СУИБ

ISO/IEC 27007:2011 - Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности

Стандарт ISO 27007 предлагает рекомендации по проведению аудитов СУИБ со стороны сертификационных организаций. Он полезен для аудиторов этих организаций.

ISO/IEC TR 27008:2011 - Информационные технологии. Методы обеспечения безопасности - Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности
Данный стандарт, как и ISO 27007 является дополнительным стандартом к ISO 19011:2011 специально для СУИБ. Он специализирован для аудита средств управления информационной безопасностью в организации

Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ:

ISO/IEC 27002:2005 - Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности
Самый популярный стандарт группы после ISO 27001. Он дает отличные указания для разработки, внедрения, поддержки и совершенствовании СУИБ. Он является библией для консультантов.

ISO/IEC 27003:2010 - Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности
Стандарт дает указания и методику для процессов разработки и внедрения СУИБ.

ISO/IEC 27004:2010 - Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности
Стандарт является руководством для выбора, проектирования, управления и улучшения средств и методов измерения эффективности и результативности системы

ISO/IEC 27005:2011 - Информационные технологии . Методы защиты. Менеджмент рисков информационной безопасности.
Этот стандарт является одним из самых важных в группе. Несмотря на то, что он только указательный, а не обязательный стандарт, его назначение состоит в том, что управление рисками - один из самых важных процессов (я думаю самый важный) для информационной безопасности.

ISO/IEC 27011:2010 - Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций на основе ISO / IEC 27002
Это специализированное руководство по СУИБ в телекоммуникационных организациях.

ISO/IEC 27031:2011 - Информационные технологии - Методы обеспечения защиты – Руководство для готовности информационных и коммуникационных технологий по обеспечению непрерывности бизнеса
Новый, интересный стандарт - руководство по обеспечению непрерывности бизнеса в ИКТ

ISO/IEC 27033-1:2009 - Информационные технологии - Методы обеспечения защиты – Сетевая безопасность – Част 1 – Обзор и понятия
Первый из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры

ISO/IEC 27033-3:2010 - Информационные технологии - Методы обеспечения защиты – Сетевая безопасность – Част 3 – Сетевые сценарии - Угрозы, методы проектирования и управления вопросами
Другой стандарт из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры - с практическим значением

ISO/IEC 27034-1:2011 - Информационные технологии - Методы обеспечения защиты – Безопасность приложений – Част 1: Обзор и понятия
Первый из другой группы специализированных стандартов в области обеспечения информационной безопасности прикладного программного обеспечения.

ISO/IEC 27035:2011 - Информационные технологии - Методы обеспечения защиты – Управление инцидентами по информационной безопасности
Один из ценных стандартов в группе с практической стоимостью в области управления инцидентами по информационной безопасностью

ISO 27799:2008 - Информатика в здравоохранении. Менеджмент безопасности информации по стандарту ISO/IEC 27002
Это специализированное руководство по СУИБ в здравоохранении.

ISO/IEC 24762:2008 - Информационные технологии - Методы обеспечения защиты – Рекомендации по услугами для аварийного восстановления информационных и коммуникационных технологий
Тоже интересный стандарт с точки зрения практических рекомендаций по обеспечению аварийного восстановления ИКТ

Группа стандартов ISO 27000 получила очень серьезное развитие в последние годы. В настоящее время в различных стадиях подготовки находятся еще 25 новых стандартов, которые обеспечат необходимую помощь при разработке, внедрении, поддержании и улучшении СУИБ.

www.mscservices.eu

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex