место системы ISMS в общей концепции управления качеством

реклама
Принципы создания системы управления
информационной безопасностью (ISMS).
Место системы ISMS в общей концепции
управления качеством (ISO 9000) и
управления ИТ-услугами
Михаил Пышкин, CISM
Руководитель направления
информационной безопасности
Компания КРОК
Согласно отчету Gartner Group к 2006 году
ISO17799 станет самым распространенным
стандартом для построения и анализа
систем информационной безопасности
организаций.
Стандарт BS 7799-2 – путь к ISO
Стандарт находится на согласовании в комитете ISO под рабочим
названием:
ISO/IEC FCD 24743 "Information security management systems
requirements specification".
ISO/IEC FCD 24743 “Техническое задание на разработку системы
управления информационной безопасностью»
http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=38853&scopelist=PROGRAMME
Information Security Management System
Система управления информационной
безопасностью
Это часть общей системы управления, основанной
на анализе бизнес рисков, в функции которой
входит: устанавливать, осуществлять, управлять,
контролировать, рассматривать, поддерживать и
улучшать информационную безопасность.
То, что проверено – измерено, что измерено – управляется.
Стандарты управления системами
•
•
•
•
•
•
•
ISO 17799 – Информационная безопасность
ISO 9001 - Качество
ISO 14001 – Окружающая среда
OHSAS 18001 - Медицина
TL 9000 - Телекоммуникации
TS 16949 - Автомобильный
AS 9100 - Аэрокосмонавтика
Система качества КРОК
Сертификат качества ГОСТ Р ИСО 9001
подтверждает соответствие процессов
разработки, сопровождения и
обслуживания автоматизированных
систем и средств информационных
технологий международным стандартам
качества.
Служба Качества КРОК гарантирует
постоянное соответствие качества
проводимых работ международным
нормам, а также требованиям заказчика.
Основы философии СМК
Документируй то, что делаешь, и
делай, как задокументировал
Главной целью ставь степень
удовлетворенности заказчика
Планируй; делай, что
запланировал; контролируй
результат; улучшай
Возможность анализа
неудачи
Возможность
повторения удачи
Понятие качества
получает конкретный
смысл
Качество становится
измеряемым
Возможность
предвидеть проблемы
Непрерывный
контроль
соответствия плану
Сужение диапазона
разброса результатов
PDCA – Plan Do Check Act – цикл Деминга
Структура документации системы качества
Документы первого уровня
Политика в области качества и
Руководство по качеству
Документы второго уровня
Стандарты и руководящие документы Компании,
регламентирующие функциональную деятельность
подразделений и служб
Документы третьего уровня
Методики и рабочие инструкции, содержащие требования, правила и
процедуры по выполнению работ и обеспечению их качества
Взаимосвязь
документированных процедур
Периодически
выполняемые
процедуры
СТП «Внутренний
аудит СК»
Постоянно
выполняемые
процедуры
СТП «Постоянно
действующая
комиссия по
качеству»
Бизнес-процессы
Постоянно
выполняемые
процедуры
СТП «Управление
документацией и
данными»
СТП «Процесс
решения проблем»
Техническое обслуживание
СТП «Техническое
обслуживание»
СТП «Управление
персоналом»
Корректирующие
процедуры
СТП
«Корректирующие
действия»
СТП
«Предупреждаю-щие
действия»
Ответственность руководства
Задачи высшего руководства:
•
•
•
•
•
Сформулировать Политику и цели качества: Политика в области
качества должна соответствовать целям организации;
Планировать СМК (цели в области качества должны быть
измеримыми и соответствовать Политике в области качества);
Донести до всех сотрудников компании важность качественного
решения задач и удовлетворения всех требований потребителя;
Обеспечивать доступность ресурсов;
Проводить периодический анализ СМК на пригодность,
адекватность и эффективность, используя результаты аудитов и
обратную связь с потребителями.
Роль постоянно действующей комиссии по
качеству (ПДКК)
ПДКК, в состав которой входит ответственный за
информационную безопасность, проводит следующие работы
в части ISMS:
• Регулярные встречи и вовлечение руководства;
• Назначение ответственных;
• Руководит внутренними проверками ISMS и привлечением
внешних аудиторов;
• Выполняет регулярный анализ отчетов по инцидентам;
• Проводит при необходимости пересмотр документов ISMS;
• Решает вопросы корректирующих и предупреждающих мер;
• Руководит программой обучения и тестирования знаний
сотрудников;
• Выполняет анализ эффективности ISMS.
Будущий международный ITSM
стандарт - BS15000
British Standards Institution (BSi)
• 1998 - Code of Practice [ PD0005 ]
• 2000 - Self-assessment Workbook [ PD0015 ]
- Specification [ BS15000 ]
• 2001 - Early adopters Æ Feedback
• 2002 - Rewrite as Part 1 & 2
- Rewrite PD0015/PD0005
• 2003 - Formal certification scheme
• 2006 - ISO Standard
Процессы BS15000
Service Delivery Processes
Security
Management
Availability
& Contingency
Management
Service Level Management
Capacity
Management
Service Reporting
Control Processes
Financial
Management
Configuration Management
Release
Processes
Change Management
Resolution Processes
Release
Management
Incident Management
Problem Management
Relationship
Processes
Business
Relationship
Management
Supplier
Management
Процессы ITIL
Взаимосвязь процессов ITIL
Процедура внедрения ISMS
Заказать
стандарт
Пройти
обучение
Организовать
проектную
группу
Определить
охват ISMS
Выбрать
консультанта
Разработать
Политику
ISMS
Произвести
инвентаризацию
ресурсов
Произвести
оценку ресурсов
Оценить риски,
определить
уровень
приемлемого
риска
Выбрать,
документировать и
внедрить средства
контроля рисков
Документирование
ISMS, Аудит и
анализ ISMS
Сертификация
ISMS
Постоянное
совершенствование
Основные блоки ISMS
Жизненный цикл ISMS – модель PDCA
Scope •
Policy •
Risk Assessment (RA) •
Risk Treatment Plan (RTP) •
Statement of Applicability (SOA) •
•ISMS Improvements
•Preventive Action
•Corrective Action
Operate Controls •
Awareness Training •
Manage Resources •
Prompt Detection and Response to Incidents •
•Management Review
•Internal ISMS Audit
Инструментарий внедрения ISMS
•
•
•
•
•
•
•
•
•
Callio Secura 17799
RiskWatch 17799
NetIQ VigilEnt Policy Center
…
HP Service Desk
Documentum
Microsoft SharePoint Portal
Incident Tracker
….
Факторы, необходимые для успеха
• Цели безопасности и обеспечение ее должны основываться на
производственных целях и требованиях; функции управления
безопасностью должно взять на себя руководство организации;
• Явная поддержка и приверженность к поддержанию режима
безопасности высшего руководства;
• Понимание рисков нарушения безопасности (как угроз, так и
слабостей), которым подвергаются ресурсы организации; а также
уровня их защищенности в организации, который должен основываться
на ценности и важности этих ресурсов;
• Ознакомление с системой безопасности всех руководителей и рядовых
сотрудников организации;
• Предоставление исчерпывающего пособия по политике и стандартам
информационной безопасности всем сотрудникам и подрядчикам.
ISO/IEC 17799:2000
Современные реалии
Guidelines for UK Government websites
• "If your website is managed by an Internet Service Provider
(ISP)/hosting service, you should ensure as far that the ISP/host
has procedures, eg, ISO17799, in place to comply with your
corporate website security.”
• "It is recommended that the application and maintenance of those
procedures is checked on a regular basis by qualified security
consultants such as those accredited".
Элемент Политики ISMS известной международной компании:
• Компании группы обеспечивают, что внешние организации, с
которыми они взаимодействуют, используют
необходимые методы контроля. Удовлетворительным
уровнем контроля безопасности ИТ считается организация
контроля в соответствии с Британским стандартом 7799 или
местным эквивалентом.
INTERNATIONAL REGISTER OF ISMS (BS 7799)
ACCREDITED CERTIFICATES - 1201
1
Принципы создания системы управления
информационной безопасностью (ISMS).
Место системы ISMS в общей концепции
управления качеством (ISO 9000) и
управления ИТ-услугами
Михаил Пышкин, CISM
Руководитель направления
информационной безопасности
Компания КРОК
MPyshkin@croc.ru
+7(095) 974-2274
Скачать