Apa yang dimaksud dengan sistem manajemen keamanan informasi modern. Standar modern di bidang keamanan informasi menggunakan konsep manajemen risiko Sasaran dan tujuan studi

Aktif Edisi dari 27.12.2006

dokumen nama	"TEKNOLOGI INFORMASI. METODE DAN SARANA MENJAMIN KEAMANAN. SISTEM MANAJEMEN KEAMANAN INFORMASI. PERSYARATAN. ​​GOST R ISO / IEC 27001-2006" (disetujui oleh Perintah Rostekhregulirovanie tanggal 27.12.2006 N 375-st)
Jenis dokumen	pesanan, standar, bagus, iso
Tubuh tuan rumah	Rostechregulation
Nomor dokumen	ISO / IEC 27001-2006
Tanggal adopsi	01.01.1970
Tanggal revisi	27.12.2006
Tanggal pendaftaran dengan Kementerian Kehakiman	01.01.1970
Status	tindakan
Publikasi	Pada saat dimasukkan dalam database, dokumen tidak dipublikasikan
navigator	Catatan (edit)

"TEKNOLOGI INFORMASI. METODE DAN SARANA MENJAMIN KEAMANAN. SISTEM MANAJEMEN KEAMANAN INFORMASI. PERSYARATAN. ​​GOST R ISO / IEC 27001-2006" (disetujui oleh Perintah Rostekhregulirovanie tanggal 27.12.2006 N 375-st)

8. Perbaikan sistem manajemen informasi keamanan

8.1. Perbaikan terus-menerus

Organisasi harus terus meningkatkan efektivitas SMKI dengan mengklarifikasi kebijakan SI, tujuan SI, penggunaan hasil audit, analisis peristiwa yang dikendalikan, tindakan korektif dan pencegahan, dan penggunaan hasil analisis SMKI oleh manajemen (lihat Klausul 7) .

8.2. Tindakan perbaikan

Organisasi harus mengambil tindakan untuk menghilangkan penyebab ketidaksesuaian dengan persyaratan SMKI untuk mencegah terulangnya ketidaksesuaian tersebut. Prosedur tindakan korektif yang terdokumentasi harus menetapkan persyaratan untuk:

a) mengidentifikasi ketidaksesuaian;

b) menentukan penyebab ketidaksesuaian;

C) mengevaluasi kebutuhan tindakan untuk menghindari terulangnya ketidaksesuaian;

d) mengidentifikasi dan menerapkan tindakan korektif yang diperlukan;

e) memelihara catatan hasil tindakan yang diambil (lihat 4.3.3);

f) meninjau tindakan korektif yang diambil.

8.3. Aksi Pencegahan

Organisasi harus menentukan tindakan yang diperlukan untuk menghilangkan penyebab potensi ketidaksesuaian dengan persyaratan SMKI untuk mencegah terulangnya ketidaksesuaian tersebut. Tindakan pencegahan yang diambil harus sepadan dengan konsekuensi dari potensi masalah. Prosedur terdokumentasi untuk tindakan pencegahan yang diambil harus menetapkan persyaratan untuk:

a) mengidentifikasi potensi ketidaksesuaian dan penyebabnya;

b) mengevaluasi kebutuhan tindakan untuk mencegah terjadinya ketidaksesuaian;

c) menentukan dan melaksanakan tindakan pencegahan yang diperlukan;

d) rekaman hasil tindakan yang diambil (lihat 4.3.3);

e) meninjau hasil dari tindakan yang dilakukan.

Organisasi harus mengidentifikasi perubahan dalam penilaian risiko dan menetapkan persyaratan tindakan pencegahan, dengan perhatian khusus pada perubahan material indikator kuantitatif risiko.

Prioritas pelaksanaan tindakan pencegahan harus ditentukan berdasarkan hasil penilaian risiko.

CATATAN Secara umum, biaya untuk mengambil tindakan untuk mencegah ketidaksesuaian lebih ekonomis daripada tindakan korektif.

Kirim karya bagus Anda di basis pengetahuan sederhana. Gunakan formulir di bawah ini

Mahasiswa, mahasiswa pascasarjana, ilmuwan muda yang menggunakan basis pengetahuan dalam studi dan pekerjaan mereka akan sangat berterima kasih kepada Anda.

Diposting pada http://www.allbest.ru/

"Sistem Manajemen Keamanan Informasi"

manajemen standar internasional

Vmelakukan

Sistem manajemen keamanan informasi adalah serangkaian proses yang bekerja di perusahaan untuk memastikan kerahasiaan, integritas, dan ketersediaan aset informasi. Bagian pertama esai mengkaji proses penerapan sistem manajemen dalam suatu organisasi, dan juga memberikan aspek utama manfaat penerapan sistem manajemen keamanan informasi.

Gambar 1. Siklus kontrol

Daftar proses dan rekomendasi tentang cara terbaik untuk mengatur fungsinya diberikan dalam standar internasional ISO 27001: 2005, yang didasarkan pada siklus manajemen Plan-Do-Check-Act. Sesuai dengan itu, siklus hidup SMKI terdiri dari empat jenis kegiatan: Penciptaan - Implementasi dan operasi - Pemantauan dan analisis - Pemeliharaan dan peningkatan (Gbr. 1). Standar ini akan dibahas lebih rinci di bagian kedua.

DENGANsistempengelolaaninformasikeamanan

Sistem manajemen keamanan informasi (ISMS) mengacu pada bagian itu sistem umum manajemen, yang didasarkan pada pendekatan risiko bisnis dalam pembuatan, implementasi, operasi, pemantauan, analisis, dukungan, dan peningkatan keamanan informasi. Proses SMKI dirancang sesuai dengan persyaratan ISO / IEC 27001: 2005, yang didasarkan pada siklus

Pekerjaan sistem didasarkan pada pendekatan teori modern manajemen risiko, yang memastikan integrasinya ke dalam sistem manajemen risiko organisasi secara keseluruhan.

Implementasi sistem manajemen keamanan informasi menyiratkan pengembangan dan penerapan prosedur yang ditujukan untuk identifikasi sistematis, analisis dan mitigasi risiko keamanan informasi, yaitu risiko sebagai akibatnya aset informasi (informasi dalam bentuk apa pun dan dalam bentuk apa pun) akan kehilangan kerahasiaan, integritas dan ketersediaan.

Untuk memastikan mitigasi risiko keamanan informasi secara sistematis, berdasarkan hasil penilaian risiko, proses berikut diterapkan di organisasi:

Pengelolaan organisasi internal informasi keamanan.

· Memastikan keamanan informasi saat berinteraksi dengan pihak ketiga.

· Pengelolaan daftar aset informasi dan aturan klasifikasinya.

· Manajemen keamanan peralatan.

· Memastikan keamanan fisik.

· Memastikan keamanan informasi personel.

Perencanaan dan adopsi sistem Informasi.

· Cadangan.

· Mengamankan jaringan.

Proses sistem manajemen keamanan informasi mempengaruhi semua aspek manajemen infrastruktur TI organisasi, karena keamanan informasi adalah hasil dari fungsi berkelanjutan dari proses terkait teknologi informasi.

Saat membangun SMKI di perusahaan, spesialis melakukan pekerjaan berikut:

· Mengatur manajemen proyek, membentuk kelompok proyek di pihak pelanggan dan kontraktor;

· Menentukan area kegiatan (OD) SMKI;

Survei organisasi di SMKI OD:

o dalam hal proses bisnis organisasi, termasuk analisis konsekuensi negatif dari insiden keamanan informasi;

o dalam hal proses manajemen organisasi, termasuk manajemen mutu yang ada dan proses manajemen keamanan informasi;

o dalam hal infrastruktur TI;

o dalam hal infrastruktur keamanan informasi.

Mengembangkan dan menyepakati laporan analitis yang berisi daftar proses bisnis utama dan penilaian konsekuensi penerapan ancaman keamanan informasi terkait dengannya, daftar proses manajemen, sistem TI, subsistem keamanan informasi (ISS), dan penilaian sejauh mana organisasi memenuhi semua persyaratan ISO 27001 dan penilaian kematangan proses organisasi;

· Memilih tingkat kematangan SMKI awal dan target, mengembangkan dan menyetujui Program Peningkatan Maturitas SMKI; mengembangkan dokumentasi keamanan informasi tingkat tinggi:

o Konsep keamanan informasi,

o kebijakan SI dan SMKI;

· Memilih dan mengadaptasi metodologi penilaian risiko yang berlaku di organisasi;

· Memilih, menyediakan dan menyebarkan perangkat lunak yang digunakan untuk mengotomatisasi proses SMKI, mengatur pelatihan untuk spesialis perusahaan;

· Menilai dan memproses risiko, di mana, untuk menguranginya, ukuran Lampiran A standar 27001 dipilih dan persyaratan untuk penerapannya dalam organisasi dirumuskan, sarana teknis keamanan informasi dipilih sebelumnya;

· Mengembangkan proyek sketsa PIB, menilai biaya penanganan risiko;

· Mengatur persetujuan penilaian risiko oleh manajemen puncak organisasi dan mengembangkan Pernyataan Penerapan; mengembangkan langkah-langkah organisasi untuk memastikan keamanan informasi;

· Mengembangkan dan mengimplementasikan proyek teknis untuk implementasi subsistem keamanan informasi teknis yang mendukung pelaksanaan langkah-langkah yang dipilih, termasuk penyediaan peralatan, komisioning, pengembangan dokumentasi operasional dan pelatihan pengguna;

· Memberikan konsultasi selama pengoperasian SMKI yang dibangun;

· Menyelenggarakan pelatihan bagi auditor internal dan melakukan audit SMKI internal.

Hasil dari karya-karya tersebut adalah SMKI yang berfungsi. Manfaat penerapan SMKI di perusahaan dicapai melalui:

· Manajemen kepatuhan yang efektif terhadap persyaratan hukum dan persyaratan bisnis di bidang keamanan informasi;

· Pencegahan insiden IS dan pengurangan kerusakan jika terjadi;

· Meningkatkan budaya keamanan informasi dalam organisasi;

· Meningkatkan kedewasaan di bidang manajemen keamanan informasi;

· Optimalisasi pengeluaran untuk keamanan informasi.

ISO / IEC27001-- internasionalstandarpadainformasikeamanan

Standar ini dikembangkan bersama Organisasi Internasional oleh Standardisasi (ISO) dan Komisi Elektroteknik Internasional (IEC). Standar berisi persyaratan keamanan informasi untuk pembuatan, pengembangan dan pemeliharaan SMKI. ISO 27001 menetapkan persyaratan untuk SMKI untuk menunjukkan kemampuan organisasi untuk melindungi aset informasinya. Standar internasional menggunakan konsep "keamanan informasi" dan ditafsirkan sebagai jaminan kerahasiaan, integritas dan ketersediaan informasi. Dasar dari standar tersebut adalah sistem manajemen risiko informasi. Standar ini juga dapat digunakan untuk menilai kesesuaian oleh pihak internal dan eksternal yang berkepentingan.

Untuk membuat, menerapkan, mengoperasikan, memantau, menganalisis, memelihara, dan meningkatkan sistem manajemen keamanan informasi (ISMS) secara berkelanjutan, standar tersebut mengadopsi pendekatan proses... Ini terdiri dari penerapan sistem proses dalam suatu organisasi, bersama dengan identifikasi dan interaksi proses-proses ini, serta manajemennya.

Standar internasional mengadopsi model Plan-Do-Check-Act (PDCA), yang juga disebut siklus Shewhart-Deming. Siklus ini digunakan untuk menyusun semua proses SMKI. Gambar 2 menunjukkan bagaimana SMKI mengambil persyaratan keamanan informasi dan harapan pemangku kepentingan sebagai masukan dan melalui tindakan dan proses yang diperlukan menghasilkan hasil keamanan informasi yang memenuhi persyaratan dan harapan tersebut.

Perencanaan adalah fase membuat SMKI, membuat inventarisasi aset, menilai risiko, dan memilih tindakan.

Gambar 2. Model PDCA yang diterapkan pada proses SMKI

Implementasi adalah tahapan implementasi dan implementasi tindakan yang tepat.

Review merupakan tahapan evaluasi efektivitas dan kinerja SMKI. Biasanya dilakukan oleh auditor internal.

Tindakan - Mengambil tindakan pencegahan dan perbaikan.

Vkesimpulan

ISO 27001 menjelaskan model umum untuk implementasi dan pengoperasian SMKI dan tindakan untuk memantau dan meningkatkan SMKI. ISO bermaksud untuk menyelaraskan berbagai standar sistem manajemen seperti ISO/IEC 9001:2000 yang berkaitan dengan manajemen mutu, dan ISO/IEC 14001:2004 yang berkaitan dengan sistem manajemen lingkungan. Tujuan ISO adalah untuk memastikan konsistensi dan integrasi SMKI dengan sistem manajemen lain di perusahaan. Kesamaan standar memungkinkan penggunaan alat dan fungsionalitas serupa untuk implementasi, manajemen, revisi, verifikasi, dan sertifikasi. Implikasinya, jika perusahaan telah menerapkan standar manajemen lain, dapat menggunakan audit terpadu dan sistem manajemen yang berlaku untuk manajemen mutu, manajemen lingkungan, manajemen keselamatan, dll. Dengan menerapkan SMKI, manajemen senior memperoleh sarana untuk memantau dan mengelola keamanan, yang mengurangi risiko bisnis residual. Setelah menerapkan SMKI, perusahaan secara formal dapat memastikan keamanan informasi dan terus mematuhi persyaratan pelanggan, undang-undang, regulator, dan pemegang saham.

Perlu dicatat bahwa dalam undang-undang Federasi Rusia ada dokumen GOST R ISO / IEC 27001-2006, yang merupakan versi terjemahan standar internasional ISO27001.

DENGANmencicitliteratur

1.Korneev I.R., Belyaev A.V. Keamanan informasi perusahaan. - SPb.: BHV-Petersburg, 2003.-- 752 hal.: sakit.

2.Standar internasional ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (tanggal akses: 23/05/12)

3.Standar nasional Federasi Rusia GOST R ISO / IEC 27003 - " Teknologi Informasi... Metode keamanan. Panduan Penerapan Sistem Manajemen Keamanan Informasi "(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (tanggal diakses: 23.05.12)

4. Skiba V.Yu., Kurbatov V.A. Pedoman untuk melindungi dari ancaman internal terhadap keamanan informasi. SPb.: Peter, 2008 .-- 320 hal.: sakit.

5. Artikel ensiklopedia gratis "Wikipedia", "Sistem manajemen

keamanan informasi "(http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (tanggal diakses: 23.05.12)

6. Sigurjon Thor Arnason dan Keith D. Willett "Cara Mencapai Sertifikasi 27001"

Diposting di Allbest.ru

Dokumen serupa

Ancaman keamanan informasi di perusahaan. Identifikasi kekurangan pada sistem keamanan informasi. Maksud dan tujuan dibentuknya sistem keamanan informasi. Usulan langkah-langkah untuk meningkatkan sistem keamanan informasi organisasi.

makalah ditambahkan 02/03/2011


Analisis sistem keamanan informasi di perusahaan. Layanan Keamanan Informasi. Ancaman keamanan informasi khusus perusahaan. Metode dan sarana perlindungan informasi. Model sistem informasi dari perspektif keamanan.

makalah ditambahkan 02/03/2011


Tahapan utama pembuatan sistem manajemen pada perusahaan industri makanan. HACCP sebagai tulang punggung sistem manajemen keamanan pangan. Sistem manajemen keamanan produk makanan... Faktor berbahaya dan tindakan pencegahan.

abstrak ditambahkan pada 14/10/2014


Sistem manajemen modern dan integrasinya. Sistem manajemen mutu terintegrasi. Deskripsi JSC "275 ARZ" dan sistem manajemennya. Pengembangan sistem manajemen perlindungan tenaga kerja. Metode untuk menilai sistem keamanan terintegrasi.

tesis, ditambahkan 31/07/2011


Implementasi sistem manajemen mutu. Sertifikasi sistem manajemen mutu (ISO 9000, manajemen lingkungan (ISO 14000), sistem manajemen kesehatan dan keselamatan organisasi (OHSAS 18 001: 2007) pada contoh JSC "Lenta".

abstrak ditambahkan pada 10/06/2008


Pengembangan standar untuk menyelenggarakan sistem manajemen terpadu yang menetapkan pesanan seragam pelaksanaan proses manajemen dokumen. Tahapan pembuatan sistem manajemen mutu JSC “ZSMK”. Akomodasi versi elektronik dokumen.

tesis, ditambahkan 06/01/2014


Diagram hierarki karyawan. Alat keamanan informasi. Pertanyaan keamanan. Diagram arus informasi perusahaan. Metode untuk memantau integritas sistem informasi. Pemodelan kontrol akses ke informasi layanan.

makalah, ditambahkan 30/12/2011


Konsep sistem informasi manajemen dan tempatnya dalam sistem manajemen umum. Jenis sistem informasi dan isinya. Konsep manajemen sebagai sistem informasi. Fungsi sistem manajemen keuangan. Sistem untuk membuat kesepakatan dan operasi.

abstrak ditambahkan pada 01/06/2015


Konsep di bidang kesehatan dan keselamatan kerja. Standar internasional ISO tentang sistem manajemen mutu, sistem manajemen lingkungan, sistem manajemen keselamatan dan kesehatan kerja. Adaptasi standar OHSAS 18001-2007.

makalah ditambahkan 21/12/2014


karakteristik manajemen informasi; subyek informasi dan hubungan hukum; rezim hukum untuk menerima, mentransfer, menyimpan, dan menggunakan informasi. Fitur dan aspek hukum pertukaran informasi dan keamanan informasi.

pengantar

Sebuah perusahaan yang berkembang pesat, serta raksasa di segmennya, tertarik untuk menghasilkan keuntungan dan melindungi diri dari pengaruh penyusup. Jika sebelumnya pencurian nilai material adalah bahaya utama, maka hari ini peran utama pencurian terjadi dalam kaitannya dengan informasi berharga. Penerjemahan bagian penting dari informasi ke dalam bentuk elektronik, menggunakan lokal dan jaringan global menciptakan ancaman baru secara kualitatif terhadap informasi rahasia.

Bank sangat sensitif terhadap kebocoran informasi, organisasi manajemen, perusahaan asuransi. Perlindungan informasi di perusahaan adalah serangkaian tindakan yang memastikan keamanan data pelanggan dan karyawan, yang penting dokumen elektronik dan segala macam informasi, rahasia. Setiap perusahaan dilengkapi dengan teknologi komputer dan akses ke World Wide Web. Penyerang dengan terampil terhubung ke hampir setiap komponen sistem ini dan menggunakan gudang senjata besar (virus, malware, tebakan kata sandi, dll.) untuk mencuri informasi berharga. Sistem keamanan informasi harus diterapkan di setiap organisasi. Pemimpin perlu mengumpulkan, menganalisis, dan mengkategorikan semua jenis informasi yang perlu dilindungi, dan menggunakan sistem keamanan yang sesuai. Namun hal ini tidak akan cukup, karena selain teknologi, ada faktor manusia yang juga berhasil membocorkan informasi kepada pesaing. Penting untuk mengatur perlindungan perusahaan Anda dengan benar di semua tingkatan. Untuk tujuan ini, sistem manajemen keamanan informasi digunakan, yang dengannya manajer akan menetapkan proses pemantauan bisnis yang berkelanjutan dan memastikan tingkat keamanan data yang tinggi.

1. Relevansi topik

Untuk semuanya perusahaan modern, perusahaan atau organisasi, salah satu tugas terpenting adalah memastikan keamanan informasi. Ketika suatu perusahaan secara stabil melindungi sistem informasinya, itu menciptakan lingkungan yang andal dan aman untuk operasinya. Kerusakan, kebocoran, kekurangan dan pencurian informasi selalu menjadi kerugian bagi setiap perusahaan. Oleh karena itu, pembuatan sistem manajemen keamanan informasi di perusahaan adalah masalah topikal kemodernan.

2. Maksud dan tujuan penelitian

Analisis cara membuat sistem manajemen keamanan informasi di perusahaan, dengan mempertimbangkan kekhasan wilayah Donetsk.

• menganalisa keadaan seni sistem manajemen keamanan informasi di perusahaan;
• mengidentifikasi alasan pembuatan dan penerapan sistem manajemen keamanan informasi di perusahaan;
• untuk mengembangkan dan menerapkan sistem manajemen keamanan informasi pada contoh perusahaan Pabrik Peralatan Penyelamatan Tambang Donetsk PJSC;
• mengevaluasi efektivitas, efisiensi, dan kelayakan ekonomi dari pengenalan sistem manajemen keamanan informasi di perusahaan.

3. Sistem manajemen keamanan informasi

Keamanan informasi dipahami sebagai keadaan perlindungan informasi dan infrastruktur pendukung dari pengaruh yang tidak disengaja atau disengaja yang bersifat alami atau buatan (ancaman informasi, ancaman terhadap keamanan informasi) yang dapat menyebabkan kerusakan yang tidak dapat diterima pada subjek hubungan informasi.

Ketersediaan informasi - properti sistem untuk menyediakan akses tepat waktu tanpa hambatan dari subjek yang berwenang (berwenang) ke informasi yang menarik bagi mereka atau untuk melakukan pertukaran informasi tepat waktu di antara mereka.

Integritas informasi adalah properti informasi yang mencirikan ketahanannya terhadap penghancuran yang tidak disengaja atau disengaja atau perubahan yang tidak sah. Integritas dapat dibagi menjadi statis (dipahami sebagai kekekalan objek informasi) dan dinamis (terkait dengan eksekusi yang benar dari tindakan kompleks (transaksi)).

Kerahasiaan informasi adalah properti informasi yang diketahui dan hanya dapat diakses oleh subjek yang berwenang dari sistem (pengguna, program, proses). Kerahasiaan adalah aspek keamanan informasi yang paling berkembang di negara kita.

Sistem manajemen keamanan informasi (selanjutnya SMKI) adalah bagian dari sistem manajemen umum berdasarkan pendekatan terhadap risiko bisnis, yang dimaksudkan untuk pembentukan, penerapan, pengelolaan, pemantauan, pemeliharaan, dan peningkatan keamanan informasi.

Faktor utama yang mempengaruhi perlindungan informasi dan data di perusahaan adalah:

• Peningkatan kerjasama perusahaan dengan mitra;
• Otomatisasi proses bisnis;
• Kecenderungan peningkatan volume informasi perusahaan, yang ditransmisikan melalui saluran komunikasi yang tersedia;
• Tren peningkatan kejahatan komputer.

Tugas sistem keamanan informasi perusahaan beragam. Misalnya, penyediaan penyimpanan data yang andal di berbagai media; perlindungan informasi yang dikirimkan melalui saluran komunikasi; membatasi akses ke beberapa data; membuat cadangan dan banyak lagi.

Keamanan informasi lengkap dari sebuah perusahaan adalah nyata hanya dengan pendekatan yang tepat untuk perlindungan data. Dalam sistem keamanan informasi, perlu memperhitungkan semua ancaman dan kerentanan saat ini.

Salah satu yang paling instrumen yang efektif manajemen dan perlindungan keamanan informasi adalah sistem manajemen keamanan informasi yang dibangun berdasarkan model MS ISO / IEC 27001:2005. Standar ini didasarkan pada pendekatan proses untuk pengembangan, implementasi, operasi, pemantauan, analisis, pemeliharaan dan peningkatan SMKI perusahaan. Ini terdiri dari pembuatan dan penerapan sistem proses manajemen yang saling berhubungan dalam siklus perencanaan, implementasi, verifikasi, dan peningkatan SMKI yang berkelanjutan.

Standar Internasional ini disusun dengan tujuan untuk menciptakan model untuk implementasi, implementasi, operasi, pemantauan, analisis, pemeliharaan dan peningkatan SMKI.

Faktor utama penerapan SMKI:

• legislatif - persyaratan undang-undang nasional saat ini dalam hal IS, persyaratan internasional;
• kompetitif - kepatuhan terhadap level, elitisme, perlindungan aset tidak berwujud mereka, keunggulan;
• anti-kejahatan - perlindungan dari perampok (kerah putih), pencegahan kerusakan dan pengawasan rahasia, pengumpulan bukti untuk proses.

Struktur dokumentasi keamanan informasi ditunjukkan pada Gambar 1.

Gambar 1 - Struktur dokumentasi di bidang keamanan informasi

4. Membangun SMKI

Pendukung ISO menggunakan model PDCA untuk membuat SMKI. ISO menerapkan model ini ke banyak standar manajemennya dan ISO 27001 tidak terkecuali. Selain itu, mengikuti model PDCA dalam mengatur proses manajemen memungkinkan Anda untuk menggunakan teknik yang sama di masa depan - untuk manajemen kualitas, manajemen lingkungan, manajemen keselamatan, serta di bidang manajemen lainnya, yang mengurangi biaya. Oleh karena itu, PDCA adalah pilihan yang sangat baik, sepenuhnya memenuhi tugas menciptakan dan memelihara SMKI. Dengan kata lain, tahapan PDCA menentukan bagaimana menetapkan kebijakan, tujuan, proses dan prosedur yang sesuai dengan risiko yang ditangani (tahap Rencana), menerapkan dan menggunakan (tahap Melakukan), mengevaluasi dan, jika mungkin, mengukur hasil proses dari titik perspektif kebijakan (tahap pemeriksaan), mengambil tindakan korektif dan pencegahan (tahap perbaikan - Act). Konsep tambahan yang bukan merupakan bagian dari standar ISO yang dapat berguna dalam membuat SMKI adalah: state as should (to-be); keadaan apa adanya (apa adanya); rencana transisi.

Dasar dari ISO 27001 adalah sistem manajemen risiko informasi.

Tahapan membuat SMKI

Sebagai bagian dari pekerjaan pembuatan SMKI, tahapan utama berikut dapat dibedakan:

Gambar 2 - Model PDCA untuk manajemen keamanan informasi (animasi: 6 frame, 6 pengulangan, 246 kilobyte)

5. Manajemen Risiko Informasi

Manajemen risiko dipertimbangkan pada tingkat administratif keamanan informasi, karena hanya manajemen organisasi yang dapat mengalokasikan sumber daya yang diperlukan, memulai, dan mengendalikan implementasi program yang relevan.

Penggunaan sistem informasi dikaitkan dengan serangkaian risiko tertentu. Ketika potensi kerusakan sangat besar, perlu untuk mengambil tindakan perlindungan yang dapat dibenarkan secara ekonomi. Penilaian risiko (ulang) secara berkala diperlukan untuk memantau efektivitas kegiatan keamanan dan untuk memperhitungkan perubahan lingkungan.

Inti dari aktivitas manajemen risiko adalah untuk menilai ukurannya, mengembangkan langkah-langkah yang efektif dan hemat biaya untuk mengurangi risiko, dan kemudian memastikan bahwa risiko terkandung dalam batas yang dapat diterima (dan tetap demikian).

Proses manajemen risiko dapat dibagi menjadi beberapa tahapan berikut:

1. Pilihan objek yang dianalisis dan tingkat detail pertimbangannya.
2. Pilihan metodologi penilaian risiko.
3. Identifikasi aset.
4. Analisis ancaman dan konsekuensinya, identifikasi kerentanan dalam perlindungan.
5. Tugas beresiko.
6. Pemilihan tindakan perlindungan.
7. Implementasi dan verifikasi langkah-langkah yang dipilih.
8. Penilaian risiko sisa.

Manajemen risiko, seperti aktivitas lainnya di bidang keamanan informasi, perlu diintegrasikan ke dalam siklus hidup SI. Maka efeknya paling besar, dan biayanya minimal.

Sangat penting untuk memilih metodologi penilaian risiko yang baik. Tujuan penilaian adalah untuk mendapatkan jawaban atas dua pertanyaan: apakah risiko yang ada dapat diterima, dan jika tidak, peralatan pelindung mana yang harus digunakan. Ini berarti bahwa penilaian harus kuantitatif, memungkinkan perbandingan dengan batas penerimaan yang telah dipilih sebelumnya dan biaya penerapan regulator keselamatan baru. Manajemen risiko adalah masalah pengoptimalan yang khas, dan ada beberapa produk perangkat lunak yang dapat membantu menyelesaikannya (terkadang produk semacam itu hanya dilampirkan ke buku tentang keamanan informasi). Kesulitan mendasar, bagaimanapun, terletak pada ketidakakuratan data awal. Anda dapat, tentu saja, mencoba mendapatkan ekspresi moneter untuk semua nilai yang dianalisis, menghitung semuanya ke sen terdekat, tetapi ini tidak masuk akal. Lebih praktis menggunakan satuan konvensional. Dalam kasus yang paling sederhana dan dapat diterima, Anda dapat menggunakan skala tiga poin.

Tahapan utama manajemen risiko.

Langkah pertama dalam menganalisis ancaman adalah mengidentifikasinya. Jenis ancaman yang dipertimbangkan harus dipilih berdasarkan pertimbangan akal sehat (tidak termasuk, misalnya, gempa bumi, tetapi tidak melupakan kemungkinan penyitaan organisasi oleh teroris), tetapi dalam jenis yang dipilih, lakukan analisis paling rinci .

Dianjurkan untuk mengidentifikasi tidak hanya ancaman itu sendiri, tetapi juga sumber kemunculannya - ini akan membantu dalam memilih alat perlindungan tambahan.

Setelah mengidentifikasi ancaman, perlu untuk menilai kemungkinan penerapannya. Diperbolehkan menggunakan skala tiga poin (probabilitas rendah (1), sedang (2) dan tinggi (3)).

Jika ada risiko yang ternyata sangat tinggi, perlu untuk menetralisirnya dengan menerapkan langkah-langkah perlindungan tambahan. Biasanya, untuk menghilangkan atau menetralisir kerentanan yang membuat ancaman menjadi nyata, ada beberapa mekanisme keamanan, yang berbeda dalam efisiensi dan biaya.

Seperti halnya aktivitas apa pun, penerapan dan pengujian regulator keselamatan baru harus direncanakan sebelumnya. Rencana harus memperhitungkan kehadiran sumber keuangan dan waktu pelatihan staf. Jika kita berbicara tentang mekanisme perlindungan perangkat lunak dan perangkat keras, Anda perlu menyusun rencana pengujian (otonom dan kompleks).

Ketika tindakan yang dimaksudkan diambil, perlu untuk memeriksa keefektifannya, yaitu untuk memastikan bahwa risiko residual telah dapat diterima. Jika hal ini benar terjadi, maka Anda dapat dengan aman menjadwalkan tanggal revaluasi berikutnya. Jika tidak, Anda harus menganalisis kesalahan yang dibuat dan segera menjalankan kembali sesi manajemen risiko.

kesimpulan

Setiap kepala perusahaan peduli dengan bisnisnya dan oleh karena itu harus memahami bahwa keputusan untuk menerapkan sistem manajemen keamanan informasi (ISMS) merupakan langkah penting yang akan meminimalkan risiko kehilangan aset perusahaan / organisasi dan mengurangi kerugian finansial, dan dalam beberapa kasus menghindari kebangkrutan.

Keamanan informasi penting untuk bisnis, baik sektor swasta maupun publik. Ini harus dilihat sebagai alat untuk menilai, menganalisis, dan meminimalkan risiko terkait.

Keamanan yang dapat dicapai sarana teknis, memiliki keterbatasan dan harus didukung oleh praktik dan prosedur manajemen yang tepat.

Menentukan pengendalian memerlukan perencanaan dan perhatian yang cermat.

Untuk melindungi informasi secara efektif, langkah-langkah keamanan yang paling tepat harus dikembangkan, yang dapat dicapai dengan mengidentifikasi risiko utama informasi dalam sistem dan menerapkan langkah-langkah yang tepat.

Biyachuev T.A. Keamanan jaringan perusahaan/ ed. L.G. Osovetsky. - SPb.: Penerbitan SPb GU ITMO, 2006 .-- 161 hal.

Gladkikh A.A., Dementyev V.E. / Prinsip dasar keamanan informasi jaringan komputer: tutorial untuk siswa; - Ulyanovsk: penerbit UlSTU, 2009 .-- 168 hal.

Standar BS ISO / IEC 27001: 2005 menjelaskan model sistem manajemen keamanan informasi (ISMS) dan mengusulkan serangkaian persyaratan untuk mengatur keamanan informasi dalam suatu perusahaan tanpa mengacu pada metode implementasi yang dipilih oleh pelaksana organisasi.

Check - Tahap evaluasi efektivitas dan kinerja SMKI. Biasanya dilakukan oleh auditor internal.

Keputusan tentang pembuatan (dan sertifikasi selanjutnya) SMKI diambil oleh manajemen puncak organisasi. Ini menunjukkan dukungan manajemen dan penegasan kembali nilai SMKI bagi bisnis. Manajemen organisasi memulai pembentukan tim perencanaan SMKI.

Kelompok yang bertanggung jawab untuk merencanakan SMKI harus mencakup:

· Perwakilan dari manajemen puncak organisasi;

· Perwakilan unit bisnis yang tercakup dalam SMKI;

· Spesialis departemen keamanan informasi;

· Konsultan pihak ketiga (jika perlu).

Komite IS memberikan dukungan untuk pengoperasian SMKI dan peningkatan berkelanjutannya.

Kelompok kerja harus dipandu oleh kerangka peraturan dan metodologis, baik dalam kaitannya dengan penciptaan SMKI, dan terkait dengan bidang kegiatan organisasi, dan, tentu saja, oleh sistem umum undang-undang negara.

Kerangka regulasi untuk membuat SMKI:

· ISO / IEC 27000: 2009 Kosakata dan definisi.

ISO / IEC 27001: 2005 Persyaratan Umum ke SMKI.

ISO / IEC 27002: 2005 Panduan praktis tentang manajemen keamanan informasi.

· ISO / IEC 27003: 2010 Panduan praktis untuk penerapan SMKI.

· ISO / IEC 27004: 2009 Metrik (Pengukuran) keamanan informasi.

· ISO / IEC 27005: 2011 Pedoman untuk manajemen risiko keamanan informasi.

Panduan ISO / IEC 73: 2002, Manajemen risiko - Kosakata - Pedoman untuk digunakan dalam standar.

ISO / IEC 13335-1: 2004, Teknologi informasi - Teknik keamanan - Manajemen keamanan teknologi informasi dan komunikasi - Bagian 1: Konsep dan model untuk manajemen keamanan teknologi informasi dan komunikasi.

ISO / IEC TR 18044 Teknologi informasi - Teknik keamanan - Manajemen insiden keamanan informasi.

ISO / IEC 19011: 2002 Pedoman untuk audit sistem manajemen mutu dan / atau lingkungan.

· Seri Metodologi SMKI Lembaga Standar Inggris (sebelumnya Dokumen Seri PD 3000).

Proses pembuatan SMKI terdiri dari 4 tahap:

Tahap 1. Merencanakan SMKI.

Menetapkan kebijakan, tujuan, proses dan prosedur terkait manajemen risiko dan perlindungan informasi sesuai dengan keseluruhan kebijakan dan tujuan organisasi.

a) Menentukan ruang lingkup dan batasan SMKI:

· Deskripsi jenis kegiatan dan tujuan bisnis organisasi;

· Indikasi batas-batas sistem yang dicakup oleh SMKI;

· Deskripsi aset organisasi (jenis sumber daya informasi, perangkat lunak dan perangkat keras, personel dan struktur organisasi);

· Deskripsi proses bisnis menggunakan informasi yang dilindungi.

Deskripsi batasan sistem meliputi:

Deskripsi struktur organisasi yang ada (dengan kemungkinan perubahan yang mungkin timbul sehubungan dengan pengembangan sistem informasi).

Sumber daya sistem informasi yang akan dilindungi (komputer, informasi, sistem, dan perangkat lunak aplikasi). Untuk menilai mereka, sistem kriteria dan metodologi untuk memperoleh penilaian menurut kriteria ini (kategorisasi) harus dipilih.

Teknologi pemrosesan informasi dan tugas yang harus diselesaikan. Untuk tugas yang harus diselesaikan, model pemrosesan informasi harus dibangun dalam hal sumber daya.

Diagram sistem informasi organisasi dan infrastruktur pendukungnya.

Sebagai aturan, pada tahap ini, sebuah dokumen dibuat di mana batas-batas sistem informasi ditetapkan, sumber daya informasi perusahaan yang akan dilindungi terdaftar, sistem kriteria dan metode untuk menilai nilai informasi perusahaan. aset disediakan.

b) Definisi kebijakan SMKI organisasi (versi ISS yang diperluas).

· Tujuan, arah dan prinsip kegiatan dalam kaitannya dengan perlindungan informasi;

· Deskripsi strategi (pendekatan) manajemen risiko dalam organisasi, penataan tindakan pencegahan untuk melindungi informasi berdasarkan jenis (hukum, organisasi, perangkat keras dan perangkat lunak, rekayasa dan teknis);

· Deskripsi kriteria signifikansi risiko;

· Kedudukan manajemen, penentuan frekuensi pertemuan topik keamanan informasi di tingkat manajemen, termasuk revisi berkala ketentuan kebijakan keamanan informasi, serta prosedur pelatihan semua kategori pengguna informasi sistem tentang keamanan informasi.

c) Menentukan pendekatan penilaian risiko dalam organisasi.

Metodologi penilaian risiko dipilih tergantung pada SMKI, persyaratan keamanan informasi bisnis yang ditetapkan, persyaratan hukum dan peraturan.

Pilihan metodologi penilaian risiko tergantung pada tingkat persyaratan untuk rezim keamanan informasi dalam organisasi, sifat ancaman yang diperhitungkan (spektrum dampak ancaman) dan efektivitas tindakan pencegahan potensial untuk melindungi informasi. Secara khusus, perbedaan dibuat antara persyaratan dasar dan persyaratan tambahan atau lengkap untuk mode keamanan informasi.

Persyaratan Minimum ke mode IS sesuai dengan level IS dasar. Persyaratan tersebut berlaku, sebagai suatu peraturan, untuk solusi desain yang khas. Ada sejumlah standar dan spesifikasi yang mempertimbangkan set minimum (tipikal) dari ancaman yang paling mungkin, seperti: virus, kegagalan peralatan, akses tidak sah, dll. Untuk menetralisir ancaman ini, tindakan pencegahan harus diambil, terlepas dari kemungkinan implementasi dan sumber daya kerentanannya. Dengan demikian, karakteristik ancaman tidak perlu dipertimbangkan pada tingkat dasar. Standar asing di bidang ini ISO 27002, BSI, NIST, dll.

Dalam kasus di mana pelanggaran rezim IB menyebabkan konsekuensi serius, persyaratan tambahan dikenakan.

Untuk merumuskan peningkatan persyaratan tambahan, Anda harus:

Tentukan nilai sumber daya;

Tambahkan ke set standar daftar ancaman yang relevan dengan sistem informasi yang dipelajari;

Menilai kemungkinan ancaman;

Tentukan kerentanan sumber daya;

Menilai potensi kerusakan dari efek penyusup.

Penting untuk menemukan metodologi penilaian risiko yang dapat digunakan dengan perubahan minimal secara berkelanjutan. Ada dua cara: menggunakan metode dan alat yang ada untuk penilaian risiko di pasar, atau membuat metodologi Anda sendiri, yang disesuaikan dengan spesifikasi perusahaan dan area aktivitas yang dicakup oleh SMKI.

Opsi terakhir adalah yang paling disukai, karena sejauh ini sebagian besar produk di pasar yang menerapkan satu atau lain metodologi analisis risiko tidak memenuhi persyaratan Standar. Kerugian khas dari teknik tersebut adalah:

· set standar ancaman dan kerentanan yang seringkali tidak mungkin diubah;

Penerimaan hanya perangkat lunak dan perangkat keras dan sumber daya informasi sebagai aset - tanpa pertimbangan sumber daya manusia, layanan dan sumber daya penting lainnya;

· Kompleksitas keseluruhan metodologi dalam hal penggunaan yang berkelanjutan dan berulang.

· Kriteria untuk menerima risiko dan tingkat risiko yang dapat diterima (harus didasarkan pada pencapaian tujuan strategis, organisasi dan manajemen organisasi).

d) Identifikasi risiko.

Identifikasi aset dan pemiliknya

Data masukan informasional;

Keluaran informasi;

Catatan informasi;

Sumber daya: orang, infrastruktur, peralatan, perangkat lunak, alat, layanan.

· Identifikasi ancaman (standar untuk penilaian risiko sering menyarankan kelas ancaman yang dapat ditambah dan diperluas).

· Identifikasi kerentanan (ada juga daftar kerentanan paling umum yang dapat Anda andalkan saat menganalisis organisasi Anda).

· Penentuan nilai aset (kemungkinan konsekuensi dari hilangnya kerahasiaan, integritas dan ketersediaan aset). Informasi tentang nilai suatu aset dapat diperoleh dari pemiliknya atau dari seseorang yang kepadanya pemilik telah mendelegasikan semua wewenang atas aset tersebut, termasuk memastikan keamanannya.

e) Penilaian risiko.

· Penilaian kerusakan yang dapat ditimbulkan pada bisnis dari hilangnya kerahasiaan, integritas dan ketersediaan aset.

· Penilaian kemungkinan penerapan ancaman melalui kerentanan yang ada, dengan mempertimbangkan alat manajemen IS yang tersedia dan menilai kemungkinan kerusakan yang ditimbulkan;

· Penentuan tingkat risiko.

Penerapan kriteria penerimaan risiko (dapat diterima/membutuhkan perawatan).

f) Perlakuan risiko (sesuai dengan strategi manajemen risiko yang dipilih).

Tindakan yang mungkin:

Tindakan pasif:

Penerimaan risiko (keputusan tentang akseptabilitas tingkat risiko yang dihasilkan);

Penghindaran risiko (keputusan untuk mengubah aktivitas yang menyebabkan tingkat risiko tertentu - memindahkan server web keluar dari perbatasan jaringan lokal);

Tindakan aktif:

Mengurangi risiko (menggunakan penanggulangan organisasi dan teknis);

Transfer risiko (asuransi (kebakaran, pencurian, bug perangkat lunak)).

Pilihan tindakan yang mungkin tergantung pada kriteria risiko yang diterima (tingkat risiko yang dapat diterima ditetapkan, tingkat risiko yang dapat dikurangi melalui manajemen keamanan informasi, tingkat risiko yang direkomendasikan untuk ditinggalkan atau diubah jenis aktivitasnya). yang menyebabkannya, dan risiko yang diinginkan untuk dialihkan ke pihak lain) ...

g) Memilih tujuan dan pengendalian untuk perlakuan risiko.

Sasaran dan pengendalian harus menerapkan strategi manajemen risiko, dengan mempertimbangkan kriteria untuk menerima risiko dan persyaratan hukum, peraturan, dan lainnya.

ISO 27001-2005 memberikan daftar tujuan dan kontrol sebagai dasar untuk membangun rencana penanganan risiko (persyaratan SMKI).

Rencana penanganan risiko berisi daftar tindakan prioritas untuk mengurangi tingkat risiko, yang menunjukkan:

· Orang-orang yang bertanggung jawab atas pelaksanaan langkah-langkah dan dana ini;

· Ketentuan pelaksanaan kegiatan dan prioritas pelaksanaannya;

· Sumber daya untuk pelaksanaan kegiatan tersebut;

· Tingkat risiko residual setelah penerapan tindakan dan kontrol.

Manajemen puncak organisasi bertanggung jawab atas adopsi dan pengawasan rencana penanganan risiko. Pemenuhan kegiatan utama dari rencana tersebut merupakan kriteria untuk membuat keputusan dalam menjalankan SMKI.

Pada tahap ini, alasan pemilihan berbagai tindakan pencegahan untuk IS dibuat, terstruktur sesuai dengan tingkat keamanan informasi peraturan, organisasi, manajerial, teknologi dan perangkat keras dan perangkat lunak. (Selanjutnya, serangkaian tindakan pencegahan diterapkan sesuai dengan strategi manajemen risiko informasi yang dipilih). Dengan versi lengkap dari analisis risiko, efektivitas tindakan pencegahan juga dinilai untuk setiap risiko.

h) Persetujuan manajemen atas risiko residual yang diajukan.

i) Memperoleh persetujuan manajemen untuk implementasi dan commissioning SMKI.

j) Pernyataan Keberlakuan (sesuai dengan ISO 27001-2005).

Tanggal penerapan SMKI adalah tanggal ketika manajemen puncak perusahaan menyetujui Pernyataan Penerapan Pengendalian, yang menjelaskan tujuan dan cara yang dipilih oleh organisasi untuk mengelola risiko:

· Kontrol dan kontrol yang dipilih selama tahap perlakuan risiko;

· Sudah ada dalam organisasi sarana pengelolaan dan pengendalian;

· Sarana untuk memastikan kepatuhan terhadap persyaratan hukum dan persyaratan organisasi pengatur;

· Sarana untuk memastikan pemenuhan kebutuhan pelanggan;

· Berarti memastikan pemenuhan persyaratan umum perusahaan;

· Setiap cara lain yang sesuai untuk manajemen dan pengendalian.

Tahap 2. Implementasi dan pengoperasian SMKI.

Untuk menerapkan dan mengoperasikan kebijakan, kontrol, proses, dan prosedur keamanan informasi di bidang keamanan informasi, dilakukan tindakan sebagai berikut:

a) Pengembangan rencana penanganan risiko (deskripsi dari kontrol yang direncanakan, sumber daya (perangkat lunak, perangkat keras, personel) yang diperlukan untuk implementasi, dukungan, kontrol, dan tanggung jawab manajemen untuk manajemen risiko keamanan informasi (pengembangan dokumen pada perencanaan tahap, mendukung tujuan keamanan informasi, mendefinisikan peran dan tanggung jawab, menyediakan sumber daya yang diperlukan untuk membangun SMKI, mengaudit dan meninjau).

b) Alokasi pendanaan, peran dan tanggung jawab untuk pelaksanaan rencana penanganan risiko.

c) Pelaksanaan pengendalian yang direncanakan.

d) Penetapan tolok ukur kinerja (metrik) kontrol, metode pengukurannya, yang akan memberikan hasil yang sebanding dan dapat direproduksi.

e) Peningkatan kualifikasi, kesadaran personel di bidang keamanan informasi sesuai dengan tanggung jawab pekerjaannya.

f) Mengelola operasional SMKI, mengelola sumber daya untuk memelihara, memantau dan meningkatkan SMKI.

g) Penerapan prosedur dan pengendalian lain untuk deteksi dan respons cepat terhadap insiden keamanan informasi.

Tahap 3: Pemantauan dan analisis berkelanjutan terhadap fungsi SMKI.

Tahap ini melibatkan penilaian atau pengukuran indikator kinerja utama proses, menganalisis hasil dan memberikan laporan kepada manajemen untuk dianalisis dan mencakup:

a) Melakukan pemantauan dan analisis berkelanjutan (memungkinkan Anda untuk dengan cepat mendeteksi kesalahan dalam fungsi SMKI, mengidentifikasi dan merespons insiden keamanan dengan cepat, menggambarkan peran personel dan sistem otomatis di SMKI, untuk mencegah insiden keamanan dengan menganalisis perilaku yang tidak biasa, untuk menentukan efektivitas penanganan insiden keamanan).

b) Melakukan analisis efektivitas SMKI secara berkala (meninjau kepatuhan terhadap kebijakan dan tujuan SMKI, audit, indikator kunci efektivitas, saran dan tanggapan pemangku kepentingan).

c) Mengukur efektivitas kontrol untuk memverifikasi bahwa persyaratan keamanan terpenuhi

d) Penilaian ulang risiko secara berkala, analisis risiko residual dan penentuan tingkat risiko yang dapat diterima untuk setiap perubahan dalam organisasi (tujuan dan proses bisnis, ancaman yang teridentifikasi, kerentanan yang baru diidentifikasi, dll.)

e) Audit internal SMKI secara berkala.

Audit SMKI - memeriksa kepatuhan tindakan pencegahan yang dipilih dengan tujuan dan sasaran bisnis yang dinyatakan dalam SI organisasi, berdasarkan hasilnya, risiko residual dinilai dan, jika perlu, dioptimalkan.

f) Tinjauan berkala terhadap ruang lingkup dan tren SMKI oleh manajemen.

g) Memperbarui rencana manajemen risiko untuk menangkap hasil pemantauan dan tinjauan.

h) Memelihara log kejadian yang berdampak negatif terhadap efektivitas atau kualitas SMKI.

Tahap 4. Memelihara dan meningkatkan SMKI.

Berdasarkan hasil audit internal SMKI dan analisis manajemen, tindakan korektif dan pencegahan dikembangkan dan diterapkan untuk meningkatkan SMKI secara berkelanjutan:

a) Peningkatan kebijakan keamanan informasi, tujuan keamanan informasi, audit, analisis peristiwa yang diamati.

b) Pengembangan dan penerapan tindakan korektif dan pencegahan untuk menghilangkan ketidakpatuhan terhadap persyaratan SMKI.

c) Pemantauan perbaikan SMKI.

Kesimpulan

ISO 27001 menjelaskan model umum untuk implementasi dan pengoperasian SMKI dan tindakan untuk memantau dan meningkatkan SMKI. ISO bermaksud untuk menyelaraskan berbagai standar sistem manajemen seperti ISO/IEC 9001:2000 yang berkaitan dengan manajemen mutu, dan ISO/IEC 14001:2004 yang berkaitan dengan sistem manajemen lingkungan. Tujuan ISO adalah untuk memastikan konsistensi dan integrasi SMKI dengan sistem manajemen lain di perusahaan. Kesamaan standar memungkinkan penggunaan alat dan fungsionalitas serupa untuk implementasi, manajemen, revisi, verifikasi, dan sertifikasi. Implikasinya, jika perusahaan telah menerapkan standar manajemen lain, dapat menggunakan audit terpadu dan sistem manajemen yang berlaku untuk manajemen mutu, manajemen lingkungan, manajemen keselamatan, dll. Dengan menerapkan SMKI, manajemen senior memperoleh sarana untuk memantau dan mengelola keamanan, yang mengurangi risiko bisnis residual. Setelah menerapkan SMKI, perusahaan secara formal dapat memastikan keamanan informasi dan terus mematuhi persyaratan pelanggan, undang-undang, regulator, dan pemegang saham.

Perlu dicatat bahwa dalam undang-undang Federasi Rusia ada dokumen GOST R ISO / IEC 27001-2006, yang merupakan versi terjemahan dari standar internasional ISO27001.

Bibliografi

1.Korneev I.R., Belyaev A.V. Keamanan informasi perusahaan. - SPb.: BHV-Petersburg, 2003 .-- 752 hal.

2. Internasional standar ISO 27001

(http://www.specon.ru/files/ISO27001.pdf) (tanggal akses: 23/05/12).

3. Standar nasional Federasi Rusia GOST R ISO / IEC 27003 - "Teknologi informasi. Metode memastikan keamanan. Pedoman penerapan Sistem Manajemen Keamanan Informasi

(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (tanggal diakses: 23.05.12).

4. Skiba V.Yu., Kurbatov V.A. Pedoman untuk melindungi dari ancaman internal terhadap keamanan informasi. SPb.: Petrus, 2008 .-- 320 hal.

Sistem manajemen keamanan informasi adalah bagian dari sistem manajemen secara keseluruhan berdasarkan penggunaan metode penilaian risiko bisnis untuk pengembangan, implementasi, operasi, pemantauan, analisis, dukungan dan peningkatan keamanan informasi.

Sistem manajemen meliputi: struktur organisasi kebijakan, kegiatan perencanaan, alokasi tanggung jawab, kegiatan praktikum, prosedur, proses, dan sumber daya [GOST R ISO / IEC 27001-2006]

Standar ISO 27001 mendefinisikan persyaratan untuk sistem manajemen keamanan informasi (ISMS). Persyaratan standar sampai batas tertentu abstrak dan tidak terikat pada spesifik area aktivitas perusahaan.

Perkembangan sistem informasi di awal tahun 90-an menyebabkan perlunya dibuat suatu standar manajemen keamanan. Atas permintaan Pemerintah dan Industri Inggris, Departemen Perdagangan dan Industri Inggris telah mengembangkan Praktik SMKI.

Standar awal BS 7799 telah menempuh perjalanan panjang dengan serangkaian pengujian dan penyesuaian. Tahap paling penting dalam "karirnya" adalah pada tahun 2005, ketika standar untuk mengevaluasi SMKI diakui sebagai internasional (yaitu, konsistensi persyaratannya untuk SMKI modern telah dikonfirmasi). Sejak saat itu, perusahaan terkemuka di seluruh dunia mulai aktif menerapkan standar ISO 27001 dan bersiap untuk sertifikasi.

struktur SMKI

SMKI modern adalah sistem manajemen berorientasi proses yang mencakup komponen organisasi, dokumenter, dan perangkat lunak dan perangkat keras. Berikut "pandangan" pada SMKI dapat dibedakan: proses, dokumenter dan kedewasaan.

Proses SMKI dibuat sesuai dengan persyaratan standar ISO / IEC 27001: 2005, yang didasarkan pada siklus manajemen Plan-Do-Check-Act. Sesuai dengan itu, siklus hidup SMKI terdiri dari empat jenis kegiatan: Penciptaan - Implementasi dan pengoperasian - Pemantauan dan analisis - Pemeliharaan dan peningkatan. Proses SMKI yang terdokumentasi memastikan bahwa semua persyaratan standar 27001 terpenuhi.

Dokumentasi SMKI terdiri dari kebijakan, prosedur terdokumentasi, standar dan catatan dan dibagi menjadi dua bagian: dokumentasi manajemen SMKI dan dokumentasi operasional SMKI.

Model kematangan SMKI menentukan detail dari dokumentasi yang dikembangkan dan tingkat otomatisasi proses manajemen dan operasi SMKI. Model kematangan CobiT digunakan dalam penilaian dan perencanaan. Program Peningkatan Kematangan SMKI menyediakan komposisi dan waktu tindakan untuk meningkatkan proses manajemen SI dan manajemen pengoperasian fasilitas SI.

Standar mengusulkan penerapan model PDCA (Plan-Do-Check-Act) untuk lingkaran kehidupan SMKI, yang meliputi desain, implementasi, operasi, kontrol, analisis, dukungan, dan peningkatan (Gambar 1).

Rencana - fase pembuatan SMKI, membuat daftar aset, penilaian risiko dan pemilihan tindakan;

Do (Action) - tahap implementasi dan implementasi langkah-langkah yang relevan;

Check - Tahap evaluasi efektivitas dan efisiensi SMKI. Biasanya dilakukan oleh auditor internal.

Bertindak (Perbaikan) - Ambil tindakan pencegahan dan korektif.

Proses pembuatan SMKI terdiri dari 4 tahap:

Proses perencanaan yang bertujuan untuk mengidentifikasi, menganalisis, dan merancang cara untuk menangani risiko keamanan informasi. Saat membuat proses ini, metodologi harus dikembangkan untuk mengkategorikan aset informasi dan penilaian risiko formal berdasarkan data tentang ancaman dan kerentanan yang relevan dengan infrastruktur informasi yang dipertimbangkan. Berkenaan dengan area audit PCI DSS, dua jenis aset informasi berharga dengan tingkat kekritisan yang berbeda dapat dibedakan - data pemegang kartu dan data autentikasi penting.

Proses penerapan metode penanganan risiko yang direncanakan, menggambarkan prosedur untuk memulai proses keamanan informasi baru, atau memodernisasi yang sudah ada. Perhatian khusus harus diberikan untuk menggambarkan peran dan tanggung jawab, dan perencanaan untuk implementasi.

Proses pemantauan proses SMKI yang berfungsi (perlu dicatat bahwa proses SMKI dan SMKI itu sendiri tunduk pada pemantauan efektivitas - lagi pula, empat proses manajemen bukanlah patung granit, dan aktualisasi diri berlaku untuk mereka).

Proses penyempurnaan proses SMKI sesuai dengan hasil pemantauan, sehingga memungkinkan untuk dilakukan tindakan perbaikan dan pencegahan.