СИСТЕМИ ЗА УПРАВЛЕНИЕ НА ИНФОРМАЦИОННА СИГУРНОСТ

1.      Стандарти, регламентиращи системи за управление на информационната сигурност /СУИС/.

Използването на различни канали за набавяне на информация и стремежа на всяка организация да предостави надеждна информация на своите клиенти и потребители изисква въвеждане на системи за управление на информационната сигурност /СУИС/.

Стандартите ISO 17799 и ISO 27001 регламентират разработването и внедряването на СУИС. Те обхващат следните аспекти:

·        Политика по сигурност;

·        Организиране на информационната сигурност;

·        Оценка и управление на риска;

·        Реагиране при инциденти и кризи;

·        Управление на активите;

·        Управление на персонала;

·        Сигурност на човешките ресурси;

·        Контрол на достъпа до информационните системи;

·        Придобиване, разработка и поддръжка на информационните системи.

 

2.      Причини, пораждащи необходимостта от разработване, внедряване и поддържане на система за управление на информационната сигурност /СУИС/ в една организация.

2.1.  покриване на изискванията на нормативната уредба.

Изграждането и внедряването на СУИС гарантира съответствие със:

·        Закона за защита на класифицираната информация;

·        Закон за защита на личните данни.

2.2.  повишаване на конкурентноспособността.

Надеждната информация е необходимост и ценност. Конкурентноспособността на една организация е пряко обусловена от това дали фирмата разполага с необходимата информация в конкретния момент. От друга страна конфиденциалността е неделима част и условие на съвременните правоотношения. В някой случаи решаващо значение за осъществяването на една сделка, е именно факта дали изпълнителят може да опази определена информация.

Изграждането, внедряването и сертифицирането на СУИС е доказателство за способността на една организация да управлява и опазва информационните си бази.

2.3. покриване на изискванията на самата организация.

Изграждането и внедряването на СУИС дава възможност една организация да предпази вътрешно фирмената си информация от унищожаване, подправяне, изтичане или вирусни атаки.

3.      Етапи при изграждане и внедряване на СУИС.

1 ЕТАП Одит на състоянието:

• първоначален одит за установяване на съответствие на действащата система с изискванията на съответния стандарт;
• анализ на състоянието и определяне на структура на СУИС;
• разработване на графици за изпълнение на разработката, изготвяне на всички необходими документи по изграждането на СУИС – заповеди, програми и др.

2 ЕТАП Разработване на документите от СУИС:

• разработване на документите от СУИС – наръчник, процедури, оперативни документи и др.;
• поетапно приемане на документите от съвместни работни екипи.

3 ЕТАП Внедряване:

• провеждане на обучение по внедряване;
• извършване на одити по елементите от стандарта при внедряването на системата;
• извършване на изменения в документите при установена необходимост по време на одитите.

4 ЕТАП Функциониране:

• обучение на вътрешни одитори;
• извършване на вътрешни одити;
• трупане на записи по действието на СУИС.

5 ЕТАП Сертифициране и придобиване на сертификат:

• участие в избора на сертификационна организация и по време на извършване на сертификационния одит;
• отстраняване на евентуални забележки от одит

ДОКУМЕНТИ:

Запитване за оферта Сертификация