Дәріс № 7. ISO 27001 халықаралық стандарты бойынша негізделген ақпараттық қауіпсіздік
Мақсаты: студенттерді ISO 27001 стандартымен таныстыру.
Мазмұны:
Ақпараттық қауіпсіздіктін менеджмент жүйесі (АҚМЖ) түсінігі.
PDCA циклы.
ISO 27001 стандартын қолдану келесі артықшылықтары.
ISO 27001 стандартын қолдану аумағы.
Ақпараттық қауіпсіздік аумағында қолданылатын ISO стандарттар қатары.
Қазақстанда бірнеше ұйым ISO 27001 халықаралық стандарты негізінде құрылған ақпараттық қауіпсіздікті басқару жүйесін енгізді немесе енгізіп жатыр. Бұл ISO стандарттарының танымалдығына ғана емес, ұйымдардың материалдық емес активтерін қорғауға деген қажеттілігімен байланысты.
Осы проблеманын тиімді шешімі, ұйымның тұрақтылығы мен бәсекеге қабілеттілігіне, оның беделіне әсер етеді.
Ақпараттық қауіпсіздікті қамтамасыз ету үшін құрама әдіс қажет, яғни ақпараттық қауіпсіздіктін менеджмент жүйесін (АҚМЖ) (ISMS- information security management system) құру және енгізу ақпараттық қауіпсіздік инциденттерінің тәуекелдерін айтарлықтай төмендетеді.
ISO 27001:2005 стандарты «Ақпараттық технологиялар. Ақпараттық қауіпсіздік жүйелері. Талаптар», оның негізінде заманауи АҚМЖ құруға болады. ISO 27001 британдық BS 7799 стандартының, 2 бөлімің қарастырып және бейімдеу негізінде құрылған. ISO 27001 ISO 9001 сияқты, басқару жүйесін үздіксіз жетілдіру және бейімдеу үшін кеңінен танымал PDCA циклын қолданады (1 сурет):
а) plan- процедуралар мен жоспарларды бекітіп, тарату арқылы жүзеге асырылған АҚМЖ құру;
б) do- АҚМЖ енгізу және оның жұмыс істеуін қамтамасыз ету, мысалы, өкілеттіктерді бөлу және мақсаттар мен міндеттердің айқын қойылу арқылы;
в) check- АҚМЖ-ын үнемі қадағалау және талдау, мысалы, жоспарланған және жоспардан тыс тексерулер, басшылық жағынан талдау арқылы;
г) act- егер қажет болса, АҚМЖ-ын бейімдеу және жақсарту, мысалы, түзету және алдын-алу шаралары арқылы.
АҚМЖ-нің
«тәуекелдерді
мәні-
Бейімдеу және жақсарту
Ақпараттық
Жүйені еңгізу және қолдану
басқару».
Әдетте «тәуекелдерді басқару»
қауіпсіздік
тәуекелдерді басқаруды,
оның ішінде анықтау, бағалау және оларды болдырмау немесе азайту үшін шараларды қабылдауды білдіреді. Тәуекел - оқиғаның пайда болу ықтималдығының және оның салдарларының үйлесуі. Мысалы, ұйымның
компьютерлік жүйе компьютерлік
Қадағалау, талдау
вирус жұқтырған болуы
мүмкін, оның әсері бизнес- процестердін тоқтауы және нәтижесінде қаржылық шығынға әкелуі мүмкін. Сондықтан, вирус шабуылы өте жоғары тәуекел болғандықтан тиісті ұйымдастырушылық, техникалық және бағдарламалық қамтамасыз қорғауды талап етеді.
ISO-ның ресми деректеріне (www.ISO.org) сәйкес, 2007 жылдың соңына қарай әлемнің сертификациядан өткен 70 елінен 7732 ұйым бар, бірақ Қазақстаннан ешқандай ұйымдар ISO 27001 стандартына сай сертификатталған. Абсолюттік көшбасшы - Жапония, онда 4 896 ұйым ISO 27001 сертификатын алды, яғни жалпы аттестатталғандардың 63% -ы.
ISO 27001 стандартын қолдану келесі артықшылықтарды береді:
ISO 27001 стандартына сәйкес ұйымның жүйелерінде мен үдерістерінде ақпараттық қауіпсіздік жеткілікті түрде қамтамасыз ететінін сертификат арқылы көрсету;
табысты бизнесті ұйымдастыру үшін маңызды болып табылатын клиенттер үшін ақпараттық қауіпсіздікті қамтамасыз ету;
ұйымның және оның клиенттерінің ақпараттық қауіпсіздігіне зиян келтірмей процесстерді аутсорсингке беру;
ұйымның ақпараттық қауіпсіздігімен байланысты тәуекелдерді азайту, бұл тұрақты дамуға ықпал етеді.
ISO 27001 әр түрлі ұйымдарға, барлық түрлеріне қолданылады. Ең танымал ISO 27001 стандарты келесі салаларда қолданылады:
телекоммуникация;
банк және қаржы;
сақтандыру;
ақпараттық технологиялар;
денсаулық сақтау;
мемлекеттік қызметтер;
коммуналдық қызметтер;
бөлшек сауда;
білім беру;
авариялық қызметтер;
күш құрылымдары;
өндіріс;
көлік компаниялары мен қызмет көрсетушілер.
Жоғарыда аталған ISO 27001 және ISO 27002 стандарттарына қосымша, ақпараттық қауіпсіздік стандарттар қатарына келесі стандарттар енгізілген:
ISO/IEC 27000:2009 «Ақпараттық технологиялар – Қауіпсіздікті қамтамасыз ету әдістері - Ақпараттық қауіпсіздігінің менеджмент жүйесі - Жалпы ақпарат және сөздік қоры».
ISO/IEC 27003:2010 «Ақпараттық технологиялар - Қауіпсіздікті қамтамасыз ету әдістері - Ақпараттық қауіпсіздігінің менеджмент жүйесін енгізу бойынша нұсқаулар». Бұл стандарт ИСО/IEC 27000 сериялы стандарты негізінде АҚМЖ-н енгізу бойынша нұсқауларды ұсынады.
ISO/IEC 27004:2009 «Ақпараттық технологиялар - Қауіпсіздікті қамтамасыз ету әдістері - Ақпараттық қауіпсіздіктін менеджменті - Өлшемдер» ақпараттық қауіпсіздік саласындағы индикаторлар мен өлшеулер туралы ұсыныстарды қамтиды.
ISO/IEC 27005:2008 «Ақпараттық технологиялар - Қауіпсіздікті қамтамасыз ету әдістері - Ақпараттық қауіпсіздік қаупін басқару». Жоғарыда айтылғандай, менеджмент қаупі ИСО 27000 сериялы стандарттарының негізі болып табылады, сондықтан қауіпсіздікке қатысты тәуекелдерді басқару бойынша қосымша стандарт жарияланды.
ISO/IEC 27006:2007 «Ақпараттық технологиялар - Қауіпсіздікті қамтамасыз ету - Ақпараттық қауіпсіздік жүйелерін аудит және сертификаттауды жүзеге асыратын органдарға қойылатын талаптар».
Бұл стандарт аккредиттелген органдарға ақпараттық қауіпсіздік жүйелеріне аудит және сертификаттау қызметтерін ұсыну үшін қажет. Сонымен бірге ISO/ IEC 17021:2006 «Сәйкестікті бағалау - менеджмент жүйелеріне аудит және сертификаттауды жүзеге асыратын органдарға қойылатын жалпы талаптар» және ISO 19011:2002 «Сапа менеджменті және/немесе қоршаған орта менеджменті жүйелеріне аудит жүргізу бойынша нұсқаулар» құжаттарына сілтеме жасалуы керек.
Ақпараттық қауіпсіздіктің келесі стандарттары КАЖ үшін (корпоративтік ақпараттық жүйелер) пайдалы болады:
ISO/IEC 27033-1:2009 «Ақпараттық технологиялар – Қауіпсіздікті қамтамасыз ету- Желінің қауіпсіздігі - 1 бөлім: Шолу және түсініктер».
ISO 13335-1:2004 «Ақпараттық технологиялар. АT қауіпсіздігін басқаруға арналған нұсқаулық. Ақпараттық және телекоммуникациялық технологиялар қауіпсіздігін басқару тұжырымдамалары мен модельдері».
ISO 13335-3:1998 «Ақпараттық технологиялар. АT қауіпсіздігін басқаруға арналған нұсқаулық. АТ қауіпсіздігін басқару әдістері».
ISO 13335-4:2000 «Ақпараттық технологиялар. АT қауіпсіздігін басқаруға арналған нұсқаулық. Қорғау механизмдерін таңдау».
ISO 13335-5:2001 «Ақпараттық технологиялар. АT қауіпсіздігін басқаруға арналған нұсқаулық. Желінің қауіпсіздігін басқаруға арналған нұсқаулық».
ISO/IEC 18044:2004 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз етудің әдістері мен құралдары- Ақпараттық қауіпсіздік оқиғаларын басқару».
ISO/IEC 18045:2008 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз етудің әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау әдістемесі».
ISO/IEC 15408-1:2005 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз етудің әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау критерилері. 1 бөлім. Кіріспе және жалпы модель».
ISO/IEC 15408-2:2008 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз етудің әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау критерилері. 2 бөлім. Қызметтік қауіпсіздік талаптары».
ISO/IEC 15408-3:2008 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз етудің әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау критерилері. 3 бөлім. Қауіпсіздікке деген сенімділік талаптары».
Достарыңызбен бөлісу: |