ISMS

© Христо Тужаров,  

април 2009

 

КОМПОНЕНТЕН МОДЕЛ НА ISMS

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

СИСТЕМА ЗА УПРАВЛЕНИЕ СИГУРНОСТТА НА ИНФОРМАЦИЯТА

СИСТЕМЕН ПОДХОД

ПИРАМИДАЛЕН ISMS МОДЕЛ

МИСИЯ НА ISMS

ПОТРЕБИТЕЛИ НА ISMS

 

ХАКЕРИ И КРАКЕРИ

 

ФУНКЦИИ НА ISMS

 

КОМПОНЕНТЕН МОДЕЛ НА ISMS

ЖИЗНЕН ЦИКЪЛ НА  ISMS

СПИРАЛЕН МОДЕЛ  

Компонентен модел на системата за управление сигурността на информацията ISMS

Системата за управление сигурността на информацията СУСИ (ISMS) включва четири базови компонента, които във взаимодействие помежду си реализират процес на трансформация на изисквания към информационната сигурност в защитена система с оптимизиран остатъчен риск за сигурността на информацията.

 

 В СУСИ се реализират  процеси по предупреждаване за заплахи, откриване на атаки и реагиране на нарушения в информационната сигурност, чрез използване на съвременни технологии, при организация, зададена със стандартите от серията ISO 2700х и с активното участие на заинтересованите страни.

 

 

Процеси в СУСИ (ISMS)

 

Всички стандарти от серията ISO/IEC 2700х са базирани на процесния подход.

 

Процес - последователна смяна на състоянията, явленията, хода на развитие на нещо.

 

Всяка дейност, която използва ресурси и се управлява с цел превръщането на входните елементи в изходни, може да се счита за процес.

 

  • Процесите се изпълняват по съответстващи им алгоритми.

  • Всеки процес в системата се идентифицира чрез код или име.

  • Процесите се разбиват на етапи, наричани фази.

  • Процесите се реализират по модела „планиране – изпълнение – проверка - действие,  (Рlап – Dо  -Сhеск - Асt, РОСА), наричан още цикъл на Деминг.

Ключови  процеси в СУСИ (ISMS)

Разрабатваните политики и процедури трябва да обхващат следните клучови процеси на СУСИ:

  1. Управление на документацията;

  2. Управление на записите;

  3. Управление на риска;

  4. Управление на инцидентите, свързани с информационната сигурност;

  5. Анализ от страна на ръководството;

  6. Вътрешни аудите в областта на информационната сигурност;

  7. Управление коригиращи действия;

  8. Мониторинг на ефективността от използаните механизми за защита в СУСИ;

  9. Управление на персонала;

  10. Организация на обучение и информираност в областта на информационната сигурност.

 Ключовите процеси трябва да включват дейности по реализиране на основните задачи на СУСИ – предупреждаване, откриване, реакция на нарушения на сигурността в системата.

Ключови  процеси в СУСИ(ISMS)

 

Предупреждаване – използване на проактивен подход за предотвратяване на проблемите до тяхното възникване.

 

Откриване – изследване и анализ на заплахите и уязвимостите, с цел намиране на оптимални механизми за предотвратяване на нарушаване на информационната сигурност.

 

Реакция – възстановяване на системата с минимално възможни загуби; изучаване на опита и подобряване на сигурността.

 

Технологии в СУСИ (ISMS)

Технологията дава начина за организация и изпълнение на даден процес.

Явява се съвкупност от средства и методи за обезпечаване на процесите по осигуряване на конфиденциалност, цялостност и достъпност на данните. 

 Изисквания към ИТ:

  • Да осигури реализиране на процесния подход – използване на стандартизирани и унифицирани етапи (фази), операции и действия;

  • Да осъществява целенасочено управление на информационните процеси;

  • Да включва целия набор от средства за постигане на поставената цел;

  • Да има регулярен характер.

Технологии в СУСИ (ISMS)

Базови ИТ

Информационни технологии, върху които се базира създаването на осигуряващи и приложни информационни технологии (компютърна техника, компютърни мрежи, операционни системи, софтуерни платформи, GRID технологии )

Осигуряват решаване на отделни части от една задача. Служат за създаване на приложни ИТ.

 

Осигуряващи ИТ

Осигуряват реализацията на базовите и приложните информационни технологии (стандарти, елементна база, CASE, инструментален софтуер).  

 

Приложни ИТ

Формират се на основа на базовите информационни технологии и се реализират с помощта на осигуряващите информационни технологии. Предназначени са за реализиране на механизми, обезпечаващи информационната сигурност.

 

Организация на СУСИ (ISMS)

 

Организация на СУСИ (ISMS)

 

Управлението на СУСИ се реализира на база редица организационни дейности. Те зависят от:

 

Мисията на системата – в зависимост от поставените цели, се задоволяват очакванията и потребностите на заинтересованите страни.

 

Стандарти, регламентиращи дейността – международните стандарти ISO 2700x , регламентират дейностите в рамките на СУСИ.

 

 Информация – първичната информация (пазарна, технологична и т.н. ) , получавана на входа на системата, която определя подходите и средствата за реализиране на информационната сигурност.

 

 Ресурси – осигуряват необходимите за функциониране на системата персонал, средства и технологии.

 

В резултат на създадената организация от СУСИ се очакват следните резултати:

 

Информационна сигурност – нивото зависи от спецификата на организацията и поставените цели.

 

Подготвени специалисти – те реализират политиката на системата. Явяват се интелектуален капитал, който осигурява развитието и просперитета и.

 

Информация за обществото – съобщения , публикации и други информационни материали, укрепващи доверието в организацията.

 

Потребители на СУСИ (ISMS)

СУСИ е социална система и потребителите на системата се явяват активен неин компонент.

 

С помощта на информационни технологии и при наличие на съответната организация, те осъществяват функционирането на ключовите процеси, осигуряващи ефективност на СУСИ. Политиката за сигурност и организационната култура са решаващи в работата на потребителите.