Система менеджмента информационной безопасности. Законодательная база российской федерации Улучшение системы менеджмента информационной безопасности

В мире информационных технологий приоритетным становится вопрос обеспечения целостности, надежности и конфиденциальности информации. Поэтому признание необходимости наличия в организации системы менеджмента информационной безопасности (СМИБ) является стратегическим решением.

Был разработан для создания, внедрения, поддержания функционирования и непрерывного улучшения СМИБ на предприятии.Также благодаря применению данного Стандарта внешним партнерам становится очевидной способность организации соответствовать собственным требованиям по информационной безопасности. В этой статье пойдет речь об основных требованиях Стандарта и обсуждение его структуры.

{ADV31}

Основные задачи Стандарта ISO 27001

Прежде, чем переходить к описанию структуры Стандарта, оговорим его основные задачи и рассмотрим историю появления Стандарта в России.

Задачи Стандарта:

• установление единых требований для всех организаций к созданию, внедрению и улучшения СМИБ;
• обеспечение взаимодействия высшего руководства и сотрудников;
• сохранение конфиденциальности, целостности и доступности информации.

При этом требования, установленные Стандартом, являются общими и предназначены для применения любыми организациями, независимо от их типа, размера или характера.

История Стандарта:

• В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 - Part 1.
• В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая - требования к системам менеджмента информационной безопасности.
• В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была передана в Международную Организацию по Сертификации.
• Этот документ был утвержден в 2000 г. в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
• В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 «Спецификация системы управления информационной безопасностью». Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
• В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-ой серии и получил новый номер - ISO/IEC 27002:2005.
• 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования». В настоящее время сертификация организаций проводится по этой версии Стандарта.

Структура Стандарта

Одним из преимуществ данного Стандарта является схожесть его структуры с ИСО 9001, так каксодержит идентичные заголовки подразделов, идентичный текст, общие термины и основные определения. Это обстоятельство позволяет сэкономить время и деньги, так как часть документации уже была разработана при сертификации по ИСО 9001.

Если говорить о структуре Стандарта, то представляет собой перечень требований к СМИБ, обязательных для сертификации и состоит из следующих разделов:

Основные разделы	Приложение А
0. Введение	A.5 Политики информационной безопасности
1. Область применения	A.6 Организация информационной безопасности
2. Нормативные ссылки	A.7 Безопасность человеческих ресурсов (персонала)
3. Термины и определения	A.8 Управление активами
4. Контекст организации	A.9 Управление доступом
5. Лидерство	A.10 Криптография
6. Планирование	A.11 Физическая безопасность и защита от окружающей среды
7. Поддержка	A.12 Безопасность операций
8. Операции (Эксплуатация)	A.13 Безопасность коммуникаций
9. Оценка (Измерение) результативности	A.14 Приобретение, разработка и обслуживание информационных систем
10. Совершенствование (Улучшение)	A.15 Взаимоотношения с поставщиками
	A.16 Менеджмент инцидентов
	A.17 Обеспечение непрерывности бизнеса
	A.18 Соответствие законодательству

Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить направления, которые невозможно применить на предприятии.

При внедрении Стандарта на предприятии для прохождения дальнейшей сертификации стоит помнить, что не допускается исключений требований, установленных в разделах 4 - 10. Об этих разделах и пойдет речь дальше.

Начнем с раздела 4 - Контекст организации

Контекст организации

В этом разделе Стандарт требует от организации определить внешние и внутренние проблемы, которые значимы с точки зрения ее целей, и которые влияют на способность ее СМИБ достигать ожидаемых результатов. При этом следует учитывать законодательные и нормативные требования и договорные обязательства в отношении информационной безопасности. Также организация должна определить и документально зафиксировать границы и применимость СМИБ, чтобы установить ее область действия.

Лидерство

Высшее руководство должно демонстрировать лидерство и обязательства в отношении системы менеджмента информационной безопасности посредством, например, гарантии того, что информационная политика безопасности и цели в сфере информационной безопасности установлены и согласуются со стратегией организации. Также высшее руководство должно гарантировать обеспечение всеми необходимыми ресурсами для СМИБ. Другими словами, для работников должно быть очевидным вовлеченность руководства в вопросы информационной безопасности.

Должна быть документально зафиксирована и доведена до сведения работников политика в области информационной безопасности. Этот документ напоминает политику в области качества ISO 9001. Он также должен соответствовать назначению организации и включать цели в области информационной безопасности. Хорошо, если это будут реальные цели, вроде сохранения конфиденциальности и целостности информации.

Также от руководства ожидается распределение функций и обязанностей, связанных с информационной безопасностью среди работников.

Планирование

В этом разделе мы подходим к первому этапу управленческого принципа PDCA (Plan - Do - Check - Act) - планируй, выполняй, проверяй, действуй.

Планируя систему менеджмента информационной безопасности, организация должнапринять во внимание проблемы, упомянутые в разделе 4, а также определить риски и потенциальные возможности, которые необходимо принять во внимание, чтобы гарантировать, что СМИБ может достигать ожидаемых результатов, предотвратить нежелательные эффекты и достигать непрерывного совершенствования.

При планировании, каким образом достигнуть своих целей в области информационной безопасности, организация должна определить:

• что будет сделано;
• какие ресурсы потребуются;
• кто будет ответственным;
• когда цели будут достигнуты;
• как результаты будут оцениваться.

Кроме того, организация должна сохранять данные по целям в области информационной безопасности как документированную информацию.

Обеспечение

Организация должна определить и обеспечить ресурсы, необходимые для разработки, внедрения, поддержания функционирования и непрерывного улучшения СМИБ, это включает в себя как персонал, так и документацию. В отношении персонала от организации ожидается подбор квалифицированных и компетентных работников в области информационной безопасности. Квалификация работников должна подтверждаться удостоверениями, дипломами и т.п. Возможно привлечение по контракту сторонних специалистов, либо обучение своих работников. Что касается документации, она должна включать:

• документированную информацию, требуемую Стандартом;
• документированную информацию, признанную организацией необходимой для обеспечения результативности системы менеджмента информационной безопасности.

Документированной информацией, требуемой СМИБ и Стандартом, необходимо управлять, чтобы гарантировать, что она:

• доступна и пригодна для применения там, где и когда она необходима, и
• надлежащим образом защищена (например, от потери конфиденциальности,неправильного использования или потери целостности).

Функционирование

В данном разделе говорится о втором этапе управленческого принципа PDCA - необходимости организации управлять процессамидля обеспечения соответствия требованиям, и выполнять действия, определенные в разделе Планирование. Также говорится, что организация должна выполнять оценку рисков информационной безопасности через запланированные интервалы времени или когда предложены или произошли существенные изменения. Организация должна сохранять результаты оценки рисков информационной безопасности как документированную информацию.

Оценка результатов деятельности

Третий этап - проверка. Организация должна оценивать функционирование и результативность СМИБ. Например, в ней должен проводиться внутренний аудит, чтобы получать информацию о том,

1. соответствует ли система менеджмента информационной безопасности
   • собственным требованиям организации к ее системе менеджмента информационной безопасности;
   • требованиям Стандарта;
2. что система менеджмента информационной безопасности результативно внедрена и функционирует.

Разумеется, что объем и сроки проведения аудитов должны планироваться заранее. Все результаты необходимо документировать и сохранять.

Улучшение

Суть этого раздела в том, чтобы определить порядок действий при выявлении несоответствия. Организации необходимо исправлять несоответствие, последствия и провести анализ ситуации, чтобы в будущем подобное не происходило. Все несоответствия и корректирующие действия должны документироваться.

На этом заканчиваются основные разделы Стандарта. В Приложении А приводятся более конкретные требования, которым должна соответствовать организация. Например, в плане контроля доступа, пользования мобильных устройств и носителей информации.

Выгоды от внедрения и сертификации ISO 27001

• повышение статуса организации и соответственно доверия партнеров;
• повышение стабильности функционирования организации;
• повышениеуровня защиты от угроз информационной безопасности;
• обеспечениенеобходимого уровня конфиденциальности информации заинтересованных сторон;
• расширение возможностей участия организации в крупных контрактах.

Экономическими преимуществами являются:

• независимое подтверждение сертификационным органом наличия в организации высокого уровня информационной безопасности, контролируемого компетентным персоналом;
• доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
• демонстрация определенного высокого уровнясистем менеджмента для обеспечения должного уровня обслуживания клиентов и партнеров организации;
• демонстрация проведения регулярных аудитов систем менеджмента, оценки результативности и постоянных улучшений.

Сертификация

Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех этапов:

• 1-ый этап- изучение аудитором ключевых документов СМИБ на соответствие требованиям Стандарта- может выполняться как на территории организации, так и путем передачи этих документов внешнему аудитору;
• 2-ой этап- детальный аудит, включая тестирование внедренных мер, и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
• 3-ий этап - выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.

Итог

Как можно увидеть, применение данного стандарта на предприятии позволить качественно повысить уровень информационной безопасности, что в условиях современных реалий дорогого стоит. Требований Стандарт содержит немало, но самое главное требование - делать то, что написано! Без реального применения требований стандарта он превращается в пустой набор бумажек.

Разработчики стандарта отмечают, что он был подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). СМИБ (англ. -information security management system; ISMS ) определяется как часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Стандарт предполагает использование процессного подхода для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. Он основан на модели "Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рис. 2.3 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам.

На этапе разработки системы менеджмента информационной безопасности организация должна осуществить следующее:

• определить область и границы действия СМИБ;
• определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
• определить подход к оценке риска в организации;
• идентифицировать риски;
• проанализировать и оценить риски;
• определить и оценить различные варианты обработки рисков;
• выбрать цели и меры управления для обработки рисков;
• получить утверждение руководством предполагаемых остаточных рисков ;
• получить разрешение руководства на внедрение и эксплуатацию СМИБ;
• подготовить Положение о применимости.

Рис. 2.3.

Этап "внедрение и функционирование системы менеджмента информационной безопасности" предполагает, что организация должна выполнить следующее:

• разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ;
• реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;
• внедрить выбранные меры управления;
• определить способ измерения результативности выбранных мер управления;
• реализовать программы по обучению и повышению квалификации сотрудников;
• управлять работой СМИБ;
• управлять ресурсами СМИБ;
• внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ.

Третий этап "Проведение мониторинга и анализа системы менеджмента информационной безопасности" требует:

• выполнять процедуры мониторинга и анализа;
• проводить регулярный анализ результативности СМИБ;
• измерять результативность мер управления для проверки соответствия требованиям ИБ;
• пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения;
• проводить внутренние аудиты СМИБ через установленные периоды времени;
• регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования;
• обновлять планы ИБ с учетом результатов анализа и мониторинга;
• регистрировать действия и события, способные повлиять на результативность или функционирование СМИБ.

И наконец, этап "Поддержка и улучшение системы менеджмента информационной безопасности" предполагает, что организация должна регулярно проводить следующие мероприятия:

• выявлять возможности улучшения СМИБ;
• предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;
• передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
• обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.

Далее в стандарте приводятся требования к документации, которая в частности должна включать положения политики СМИБ и описание области функционирования, описание методики и отчет об оценке рисков, план обработки рисков, документирование связанных процедур. Также должен быть определен процесс управления документами СМИБ, включающий актуализацию, использование, хранение и уничтожение.

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи и записи о выполнении процессов. В качестве примеров называются журналы регистрации посетителей, отчеты о результатах аудита и т.п.

Стандарт определяет, что руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания СМИБ, а также организацию подготовки персонала.

Как уже ранее отмечалось, организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие оценить ее функциональность и соответствие стандарту. А руководство должно проводить анализ системы менеджмента информационной безопасности.

Также должны проводиться работы по улучшению системы менеджмента информационной безопасности: повышению ее результативности и уровня соответствия текущего состояния системы и предъявляемым к ней требованиям.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

"Система менеджмента информационной безопасности"

менеджмент международный стандарт

В ведение

Система менеджмента информационной безопасности -- это совокупность процессов, которые работают в компании для обеспеченияконфиденциальности,целостностиидоступностиинформационных активов. В первой части реферата рассматривается процесс внедрения системы менеджмента в организацию, а также приведены основные аспекты выгоды от реализации системы менеджмента информационной безопасности.

Рис.1. Цикл управления

Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование (Рис.1). Этот стандарт будет рассмотрен подробнее во второй части.

С истема менеджмента информационной безопасности

Системой менеджмента информационной безопасности (СМИБ) называют ту часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. Процессы СМИБ созданы в соответствии с требованиям стандарта ISO/IEC 27001:2005, в основе которого лежит цикл

Работа системы основана на подходах современной теории рисков менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.

Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:

· Управление внутренней организацией информационной безопасности.

· Обеспечение информационной безопасности при взаимодействии с третьими сторонами.

· Управление реестром информационных активов и правила их классификации.

· Управление безопасностью оборудования.

· Обеспечение физической безопасности.

· Обеспечение информационной безопасности персонала.

· Планирование и принятие информационных систем.

· Резервное копирование.

· Обеспечение безопасности сети.

Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность -- это результат устойчивого функционирования процессов, связанных с информационными технологиями.

При построении СМИБ в компаниях специалисты проводят следующие работы:

· организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;

· определяют область деятельности (ОД) СМИБ;

· обследуют организацию в ОД СМИБ:

o в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;

o в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;

o в части ИТ инфраструктуры;

o в части ИБ инфраструктуры.

· разрабатывают и согласовывают аналитический отчет, содержащий перечень основных бизнес-процессов и оценку последствий реализации угроз ИБ в их отношении, перечень процессов менеджмента, ИТ-систем, подсистем информационной безопасности (ПИБ), оценку степени выполнения организацией всех требований ISO 27001 и оценку зрелости процессов организации;

· выбирают исходный и целевой уровень зрелости СМИБ, разрабатывают и утверждают Программу повышения зрелости СМИБ; разрабатывают высокоуровневую документацию в области ИБ:

o Концепцию обеспечения ИБ,

o Политики ИБ и СМИБ;

· выбирают и адаптируют методику оценки рисков, применимую в организации;

· выбирают, поставляют и развертывают ПО, используемое для автоматизации процессов СМИБ, организуют обучение специалистов компании;

· проводят оценку и обработку рисков, в ходе которой для их снижения выбираются меры Приложения «А» стандарта 27001 и формулируются требования к их реализации в организации, предварительно выбирают технические средства обеспечения ИБ;

· разрабатывают эскизные проекты ПИБ, производят оценку стоимости обработки рисков;

· организуют утверждение оценки рисков высшим руководством организации и разрабатывают Положения о применимости; разрабатывают организационные меры обеспечения ИБ;

· разрабатывают и реализуют технические проекты по внедрению технических подсистем информационной безопасности, поддерживающих выполнение выбранных мер, включая поставку оборудования, пуско-наладочные работы, разработку эксплуатационной документации и обучение пользователей;

· предоставляют консультации в ходе эксплуатации построенной СМИБ;

· организуют обучение внутренних аудиторов и проведение внутренних аудитов СМИБ.

Результатом данных работ является функционирующая СМИБ. Выгода от реализации СМИБ в компании достигаются за счет:

· эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;

· предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;

· повышения культуры ИБ в организации;

· повышения зрелости в области управления обеспечением ИБ;

· оптимизации расходования средств на обеспечение ИБ.

ISO/IEC 27001-- международный стандарт по информационной безопасности

Этот стандарт разработан совместно Международной Организацией по Стандартизации (ISO) и Международной электротехнической комиссией (IEC). Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания СМИБ. ISO 27001 устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные ресурсы. В международном стандарте используется понятие «защиты информации» и трактуется как обеспечение конфиденциальности, целостности и доступности информации. Основой стандарта является система управления рисками, связанными с информацией. Этот стандарт также можно использовать для оценки соответствия заинтересованными внутренними и внешними сторонами.

Для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшении системы менеджмента защиты информации (СМЗИ) стандарт принимает процессный подход. Он заключается в применении системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением.

Международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA), который еще называют циклом Шухарта-Деминга. Этот цикл применяется для структуризации всех процессов СМЗИ. На Рисунке 2 показано, как СМЗИ берет в качестве входных данных требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям.

Планирование - это фаза создания СМЗИ, создания перечня активов, оценки рисков и выбора мер.

Рисунок 2. Модель PDCA, примененная к процессам СМЗИ

Осуществление - это этап реализации и внедрения соответствующих мер.

Проверка - фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

Действие - выполнение превентивных и корректирующих действий.

В ыводы

ISO 27001 описывает общую модель внедрения и функционирования СМИБ, а также действий по мониторингу и улучшению СМИБ. ISO намеревается гармонизировать различные стандарты по системам менеджмента, такие как ISO/IEC 9001:2000, который посвящен менеджменту качества, и ISO/IEC 14001:2004, предназначенный для систем экологического менеджмента. Цель ISO состоит в том, чтобы обеспечить согласованность и интеграцию СМИБ с другими системами менеджмента в компании. Сходство стандартов позволяет использовать схожий инструментарий и функционал для внедрения, управления, пересмотра, проверки и сертификации. Подразумевается, что если компания внедрила другие стандарты менеджмента, она может использовать единую систему аудита и управления, которая применима к менеджменту качества, экологическому менеджменту, менеджменту безопасности и т.д. Внедрив СМИБ, высшее руководство получает средства мониторинга и управления безопасностью, что снижает остаточные бизнес-риски. После внедрения СМИБ, компания может официально обеспечивать безопасность информации и продолжать выполнять требования клиентов, законодательства, регуляторов и акционеров.

Стоит отметить, что в законодательстве РФ существует документ ГОСТ Р ИСО/МЭК 27001-2006, который представляет собой переведенную версию международного стандарта ISO27001.

С писок литературы

1.Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил.

2.Международный стандартISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (дата обращения: 23.05.12)

3.Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27003 - "Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента Информационной Безопасности"(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (дата обращения: 23.05.12)

4.Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. -- 320 с.: ил.

5.Статья свободной энциклопедии»Википедия», «Система менеджмента

информационной безопасности» (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (дата обращения: 23.05.12)

6.Sigurjon Thor Arnasonи Keith D. Willett "How to Achieve 27001 Certification" («Какподготовитьсяксертификациипостандарту ISO 27001»)

Размещено на Allbest.ru

Подобные документы

Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.

курсовая работа , добавлен 03.02.2011


Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.

курсовая работа , добавлен 03.02.2011


Основные этапы создания системы менеджмента на предприятии пищевой промышленности. HACCP как основа любой системы менеджмента безопасности пищевого продукта. Система менеджмента безопасности пищевых продуктов. Опасные факторы и предупреждающие действия.

реферат , добавлен 14.10.2014


Современные системы менеджмента и их интегрирование. Интегрированные системы менеджмента качества. Характеристика ОАО "275 АРЗ" и его системы менеджмента. Разработка системы управления охраной труда. Методы оценки интегрированной системы безопасности.

дипломная работа , добавлен 31.07.2011


Внедрение системы менеджмента качества. Сертификация систем менеджмента качества (ISO 9000), экологического менеджмента (ISO 14 000), системы управления охраной труда и техникой безопасности организаций (OHSAS 18 001:2007) на примере ОАО "Лента".

реферат , добавлен 06.10.2008


Разработка стандарта организации интегрированной системы менеджмента, устанавливающего единый порядок осуществления процесса управления документацией. Этапы создания системы менеджмента качества ОАО "ЗСМК". Размещение электронных версий документов.

дипломная работа , добавлен 01.06.2014


Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.

курсовая работа , добавлен 30.12.2011


Понятие системы управленческой информации и ее место в общей системе менеджмента. Виды информационных систем и их содержание. Понятие менеджмента как информационной системы. Функции системы управления финансами. Системы совершения сделок и операций.

реферат , добавлен 06.01.2015


Понятия в области охраны здоровья и безопасности труда. Международные стандарты ISO о системах менеджмента качества, системах экологического менеджмента, системах менеджмента профессиональной безопасности и здоровья. Адаптация стандарта OHSAS 18001-2007.

курсовая работа , добавлен 21.12.2014


Характеристика информационного менеджмента; субъектов информационно-правовых отношений; правового режима получения, передачи, хранения и использования информации. Особенности и юридические аспекты информационного обмена и информационной безопасности.

Шахалов Игорь Юрьевич

К вопросу об интегрировании систем менеджмента качества и информационной безопасности

Аннотация: рассмотрены международные стандарты ИСО 27001 и ИСО 9001. Проведен анализ сходств и различий системы менеджмента качества и системы менеджмента информационной безопасности. Показана возможность интегрирования системы менеджмента качества и системы менеджмента информационной безопасности. Приведены основные этапы построения и внедрения интегрированной системы менеджмента информационной безопасности. Показаны преимущества интегрированного подхода.

Ключевые слова: системы менеджмента информационная безопасность, интегрированные системы менеджмента, СМИБ, СМК, ИСО 27001.

Наталья Олеговна

Введение

В современном мире с появлением распространенных и удобных технических устройств обозначилась довольно остро проблема защиты информации. Наряду с выпуском качественной продукции или оказанием услуг предприятиям и организациям важно сохранять нужную информацию в тайне от конкурентов, чтобы оставаться на выгодных позициях на рынке. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки.

Таким образом, лидерами на рынке становятся организации, придерживающиеся лучших мировых практик, содержащих требования, руководства по внедрению систем управления бизнес-процессами организации. Лучшими стандартами по разработке, внедрению, мониторингу и улучшению таких систем являются документы Международной Организации по стандартизации (ISO). Особое внимание необходимо уделить стандартам серий ISO 900x и ISO 2700x, в которых собраны лучшие практики по внедрению системы менеджмента качества (СМК) и системы менеджмента информационной безопасности (СМИБ) .

Система менеджмента качества, внедренная в соответствии с требованиями стандарта ISO 9001, давно признана неотъемлемым атрибутом успешной компании, производящей высококачественную продукцию или оказывающей услуги высокого класса. Сегодня наличие сертификата соответствия является одновременно эффективным маркетинговым решением и механизмом контроля процессов производства . Аудит СМК является развитым направлением бизнеса.

Ежедневно усиливается зависимость успешной деятельности компании от корпоративной системы защиты информации. Это объясняется увеличением объема жизненно важных данных, обрабатываемых в корпоративной информационной системе. Информационные системы усложняются, растет и число уязвимостей, обнаруживаемых в них. Аудит СМИБ позволяет оценить текущее состояние безопасности функционирования корпоративной информационной системы,

оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы компании .

Так как стандарт ISO 9001 давно занял лидирующее положение по количеству сертификатов в мире, а стандарт ISO 27001 показывает тенденцию к возрастанию сертификации системы менеджмента информационной безопасности, целесообразно рассмотреть возможное взаимодействие и интеграцию СМК и СМИБ.

Интегрированиестандартов

На первый взгляд, менеджмент качества и информационная безопасность - совершенно различные области. Однако на практике они тесно связанны и образуют одно целое (Рисунок 1). Удовлетворение потребностей клиентов, составляющее объективную цель качества, с каждым годом все больше зависит от доступности информационных технологий и от безопасности данных, для поддержания которых и используется стандарт ISO 27001. С другой стороны, стандарт ISO 9001 точно соответствует корпоративным целям организации, помогая обеспечивать менеджмент информационной безопасности. Благодаря комплексному подходу ISO 27001 может быть эффективно интегрирован в существующие СМК или осуществляться вместе с СМК.

сти (ISO 27001) и управления ИТ-услугами (ISO 20000) имеют аналогичную структуру и процессный подход. Это дает синергию, которая окупается: на практике интегрированная система менеджмента на текущую эксплуатацию экономит от 20 до 30 процентов от общего объема расходов на оптимизацию системы, проверок и ревизий .

Стандарты информационной безопасности и управления качеством направлены на постоянное совершенствование в соответствии с моделью Plan-Do-Check-Act (PDCA, «планирование - осуществление - проверка - действие»), известной как «цикл Деминга» (см. рис. 2) . Кроме того, они похожи по своей структуре, как показано в таблице соответствия в приложении С стандарта ISO 27001. В обоих стандартах определены понятия процессного подхода, области действия, требования к системе и документации, а также административная ответственность. В обоих случаях структура заканчивается внутренним аудитом, анализом со стороны руководства и улучшением системы. В этом обе системы взаимодействуют. Например, ISO 9001 требует управления несоответствующей продукцией. Аналогично, в стандарте ISO 27001 существует требование по управлению инцидентами для устранения сбоев.

Рис. 1. Сферы взаимодействия и схожести СМК и СМИБ

Рис. 2. Цикл Деминга

Более 27 200 организаций самых различных отраслей в более чем 100 странах мира сертифицированы на соответствие ISO 9001:2008 по управлению качеством. В зависимости от рынка и требований законодательства, многие организации все чаще вынуждены иметь дело с ИБ. В этой связи, интеграция системы управления предлагает реальные возможности. Комплексный подход также интересен для компаний, которые не использовали любой процесс управления до сих пор. Стандарты ИСО качества (ISO 9001), охраны окружающей среды (ISO 14000), информационной безопасно-

Различия между стандартами полезно дополняют друг друга, что решительно способствует повышению делового успеха. Например, ISO 9001 требует определения корпоративных целей, ориентированности на клиента и измеримости, в какой степени цели и задачи выполнены. Это три вопроса, которые не находятся в центре интересов ISO 27001. В свою очередь, этот стандарт придает первостепенное значение управлению рисками для поддержания непрерывности бизнеса и предлагает подробную помощь в реализации СМИБ. По сравнению

с этим, ISO 9001 является в большей степени теоретическим стандартом.

ISO 27001 - стандарт не только для ИТ

Многие считают, что стандарт ISO 27001 предназначен только для ИТ-процессов, однако на самом деле это не так. Основополагающим пунктом по внедрению СМ И Б стандарта ISO 27001 служит определение активов .

■ "lilltpHiimiir-J. » iJilllF.lEL^OIU.IC.

г т^цдкпиниж ц нетувк^тнслщс tEp.tna.

» ■irreiiKinfundu «GcTMHiiociv

* КЯДРОМК:

■ JI!l"|"l"L>4_l]Jil"HIIL,k

» D|KtttcCcU H «patitU.

» jimii 14: ii |vju7JIIIM.

Рис. 3. Виды активов

Под активом понимается все, что представляет для компании ценность (Рисунок 3). То есть активом могут быть: человеческие ресурсы, инфраструктура, инструменты, оборудование, средства коммуникации, службы и любые другие активы, включая услуги по поставке закупаемой продукции. Исходя из процессов, компания определяет, какие у нее есть активы и какие активы задействованы в критичных процессах, производит оценку ценности активов. И уже только после этого производится оценка рисков по всем ценным активам. Таким образом, СМИБ предназначена не только для цифровой информации, которая обрабатывается в автоматизированной системе. Например, некоторые из наиболее критичных процессов связанны

Подготовка

планов мероприятии

2 Проверка H:i соответствие

с хранением печатных копий информации, что также учтено в ISO 27001. СМИБ охватывает все способы, с помощью которых может храниться важная информация в вашей компании: начиная от того, как ваши электронные письма защищены, заканчивая тем, где в здании хранятся личные дела сотрудников.

Поэтому огромное заблуждение считать, что раз стандарт направлен на построение системы менеджмента информационной безопасности, то это может относиться только к данным, хранящимся в компьютере. Даже в наш цифровой век все еще много информации отражено на бумажных носителях, которые тоже должны быть надежно защищены.

ISO 9001 не может удовлетворять потребностям компании в ИБ, поскольку он узко направлен на качество продукции. Поэтому очень важно внедрять в компании ISO 27001. На первый взгляд специалисту может показаться, что оба стандарта очень общие, и не имеют конкретики. Однако это не так: в стандарте ISO 27001 описан практически каждый шаг по внедрению и контролю функционирования СМИБ (Рисунок 4).

Основные этапы построения системы менеджмента информационной безопасности

Основные этапы построения СМИБ проиллюстрированы на рисунке 4 . Рассмотрим их подробнее.

Этап 1. Подготовка планов мероприятий. На данном этапе специалисты осуществляют сбор организационно-распорядительных документов (ОРД) и других рабочих материалов,

3 А тип нормальных ii ОРД

4 Анализ ii оценм рисков 11Б

Внедрение

5 РязраОогхя и <> РаэряОопв комплексных & 00\*ieiitii:

радиация п ланов ■-> норма товнш н -> мероприятии -> CfftpJOTHW*

мероприятия пн>ПБ ОРД поенпжению

Формирование 10 AiUtuin оценка результатов инОрснЕшС"ММБ

Рис. 4. Этапы построения СМИБ

касающихся построения и функционирования информационных систем компании, планируемых к использованию механизмов и средств обеспечения ИБ. Кроме того, составляются, согласуются и утверждаются у руководства компании планы мероприятий по этапам работ.

Этап 2. Проверка на соответствие ISO/ IEC 27001:2005. Интервьюирование и анкетирование менеджеров и сотрудников подразделений. Анализ СМИБ компании на соответствие требованиям стандарта ISO/IEC 27001:2005.

Этап 3. Анализ нормативных и организационно-распорядительных документов, опирающихся на организационную структуру компании. По его результатам определяется защищаемая область действия (ОД) и разрабатывается эскиз политики ИБ компании.

Этап 4. Анализ и оценка рисков ИБ. Разработка методики по управлению рисками компании и их анализу. Анализ информационных ресурсов компании, в первую очередь ЛВС, с целью выявления угроз и уязвимостей защищаемых активов ОД. Инвентаризация активов. Проведение консультаций для специалистов компании и оценка соответствия фактического и необходимого уровня безопасности. Расчет рисков, определение текущего и допустимого уровня риска для каждого конкретного актива. Ранжирование рисков, выбор комплексов мероприятий по их снижению и расчет теоретической эффективности внедрения .

Этап 5. Разработка и реализация планов мероприятий по ИБ. Разработка положения о применимости контролей в соответствии с ISO/IEC 27001:2005. Разработка плана учета и устранения рисков. Подготовка отчетов для руководителя компании.

Этап 6. Разработка нормативных и ОРД. Разработка и утверждение окончательной политики И Б и соответствующих ей положений (частных политик). Разработка стандартов, процедур и инструкций, обеспечивающих нормальное функционирование и эксплуатацию СМИБ компании.

Этап 7. Внедрение комплексных мероприятий по снижению рисков ИБ и оценка их эффективности в соответствии с утвержденным руководством планом обработки и устранения рисков.

Этап 8. Обучение персонала. Разработка планов мероприятий и внедрение программ по обучению и повышению компетенции сотрудников компании с целью эффективного донесения принципов ИБ до всех сотрудников и

в первую очередь тех, кто работает в структурных подразделениях, обеспечивающих ключевые бизнес-процессы.

Этап 9. Формирование отчетности. Систематизация результатов обследования и подготовка отчетности. Представление результатов работ для руководителей компании. Подготовка документов к лицензированию на соответствие ISO/IEC 27001:2005 и передача их в сертифицирующую организацию.

Этап 10. Анализ и оценка результатов внедрения СМИБ на основании методики, оценивающей надежность функционирования СМИБ компании. Разработка рекомендаций по совершенствованию системы управления ИБ компании.

Анализируя каждый этап внедрения СМИБ, можно сказать, что ISO 27001 имеет четкую структуру и требования, которые позволят выстроить работающую систему, в которой будет взаимодействие на всех нужных уровнях. Но нельзя забывать, что основное отличие СМИБ и СМК в том, что первая система сосредоточена на информационной безопасности.

Важность информационной безопасности в современном мире

Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности .

Руководители компаний должны осознать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими. В этом им может помочь внедрение СМИБ, которая по своей структуре имеет потенциал к развитию, прозрачность управления, гибкость к любым изменениям. Наряду с элементами управления для компьютеров и компьютерных сетей стандарт ISO 27001 уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, нормативным требованиям, в то же время отдельные технические вопросы детализированы в других стандартах серии

ИСО 27000 . Преимуществ внедрения в компанию СМИБ очень много, часть из них представлена на рис. 5.

Глбкшль Масш пОДр>ч;ь1[ч.-ть

Снижение ¡juvum

HiKiinimi n II11 \ 11 Ч"Г 1111 111 пуднТ

Пртртшалъ уирдоктл

" Ji|m| ill p.Ki u:

ажщтня№ цн^ст

Рис. 5. Преимущества внедрения системы менеджмента информационной безопасности

Следует указать на преимущества ISO

Демонстрация компетентности безопасности. ISO 27001 представляет собой практическое руководство для организации, которое помогает сформулировать требования безопасности для обеспечения требуемого уровня защищенности и выполнения конкретных целей безопасности. Особенно важно организациям быть компетентными в четырех областях управления безопасностью, включая: определение и оценку активов компании, оценку рисков и определения критериев приема риска, управление и принятие этих пунктов, и постоянное улучшение общей программы безопасности организации.

Обеспечение уверенности клиентов. ISO 27001 обеспечивает независимое доказательство того, что программы корпоративного управления поддерживаются лучшими, передовыми, международными практиками. Сертификация на соответствие ISO 27001 обеспечивает спокойствие корпорациям, стремящимся продемонстрировать добросовестность клиентам, акционерам и потенциальным партнерам, а главное, показать, что в компании успешно реализована надежная система менеджмента информационной безопасности. Для многих серьезно регулируемых отраслей, таких как финансы или Интернет-услуги, выбор поставщика может

быть ограничен теми организациями, которые уже сертифицированы по ISO 27001.

Более эффективное использование ресурсов. Благодаря использованию процессного подхода возможна оптимизация процессов, происходящих в компании. Что влечет за собой уменьшение использования ресурсов, например, времени.

Постоянное улучшение. СМИБ использует PCDA модель, что позволяет регулярно проверять состояние всей системы, проводить анализ и совершенствовать систему управления

1. Имидж, бренд. Сертификация на соответствие ISO 27001 открывает перед компанией широкие возможности: выход на международный уровень, новые партнерства, большее количество клиентов, новые контракты, успех в тендерах. Наличие СМИБ в компании - это показатель высокого уровня развития.

2. Гибкость СМИБ. Независимо от изменений процессов, новых технологий, основа структуры СМИБ остается действенной. СМИБ достаточно легко подстраивается под нововведения, путем модернизации существующих и внедрения новых контрмер.

3. Масштабируемость внедрения стандарта. Так как ISO 27001 предполагает определение области действия, это позволяет сертифицировать лишь часть процессов. Можно начать внедрять СМИБ в наиболее значимую для компании ОД, а уже позже расширять.

4. Аудит. Многие российские компании воспринимают аудиторские работы как катастрофу. ISO 27001 показывает международный подход к проведению аудитов: прежде всего заинтересованность компании в том, чтобы действительно соответствовать стандартам, а не делать сертификацию кое-как, лишь «для галочки».

5. Регулярные внутренние или внешние аудиты позволяют исправлять нарушения, совершенствовать СМИБ, значительно снизить риски. В первую очередь, это нужно компании для собственного спокойствия, что у них все в порядке и риски убытков минимизированы. А уже второстепенно - сертификат соответствия, который подтверждает для партнеров или клиентов, что этой компании можно доверять.

6. Прозрачность управления. Использование стандарта ISO 27001 дает достаточно четкие инструкции по созданию управления, а

также требования к документации, которая должна быть в компании. Проблема многих компаний в том, что существующие документы для определенных отделов просто не читаются, ибо разобраться, что и кому предназначается, зачастую невозможно из-за запутанности системы документации. Иерархичность уровней документации, от политики информационной безопасности до описания определенных процедур, делает использование существующих правил, регламентов и прочего намного легче. Также внедрение СМ И Б предполагает обучение персонала: проведение семинаров, рассылок, вывешивание предупреждающих плакатов, что значительно повышает осведомленность об ИБ среди обычных служащих.

В заключение следует отметить, что в современном бизнесе неотъемлемость базовой системы менеджмента качества, выстроенной в соответствии с требованиями стандарта ISO 9001, и завоевывающей позиции системы менеджмента информационной безопасности очевидна.

Сегодня лидером рынка станут компании, которые отслеживают не только показатели качества продукции и услуг, но и уровни конфиденциальности, целостности и доступности информации о них. Также немаловажным фактором успеха является прогнозирование и оценка рисков, что требует грамотного подхода и использования лучших международных практик. Совместное внедрение и сертификация систем менеджмента качества и информационной безопасности поможет решить широкий спектр задач для любой отрасли промышленности или торговли, что в свою очередь приведет к качественному повышению уровня оказываемых услуг.

Литература

1. Дорофеев А. В., Шахалов И. Ю. Основы управления информационной безопасностью современной организации // Правовая информатика. 2013. № 3. С. 4-14.

2. Чашкин В. Н. Управление информационной безопасностью как элемент системы управления информационно-технологической деятельностью организации // Безопасность информационных технологий. 2009. № 1. С. 123-124.

3. Горячев В. В. Новый ГОСТ на СМК. Основные отличия от ГОСТ РВ 15.002-2003 //

Методы менеджмента качества. 2013. № 7. С. 18-23.

4. Доценко С. П., Пшенецкий С. П. Подход к построению модели систем менеджмента информационной безопасности // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета. 2009. № 53. С. 47-56.

5. Каменев А. В., Заворитько Е. В. Модель системы менеджмента информационной безопасности на предприятии (в организации) // Интеллект. Инновации. Инвестиции. 2013. № 1. С. 111-114.

6. Соловьев А. М. Нормативно-методическая база в области обеспечения информационной безопасности // Экономика, статистика и информатика. Вестник УМО. 2012. № 1. С. 174-181.

7. Козин И. Ф., Лившиц И. И. Информационная безопасность. Интеграция международных стандартов в систему информационной безопасности России // Информатизация и связь. 2010. № 1. С. 50-55.

8. Колодин В. С. Сертификация интегрированных систем менеджмента // Вестник Иркутского государственного технического университета. 2010. Т. 41. № 1. С. 44-48.

9. Меркушова Н. И., Науменко Ю. А., Мерку-шова Ю. А. Интегрированные системы менеджмента: предпосылки создания на российских предприятиях // Молодой ученый.

2013. № 12 (59). С. 327-331.

10. Воропаева В. Я., Щербов И. Л., Хаустова Е. Д. Управление информационной безопасностью информационно-телекоммуникационных систем на базе модели «Р1ап-Do-Check-Act» // Науков1 пращ Донецько-го нацюнального техшчного ушверситету. Сер1я: "Обчислювальна техшка та автоматизащя". 2013. № 2 (25). С. 104-110.

11. Дорофеев А. В., Марков А. С. Менеджмент информационной безопасности: основные концепции // Вопросы кибербезопасности.

2014. № 1 (2). С. 67-73.

12. Шпер В. Л. О стандарте 18О/1ЕС 27001 // Методы менеджмента качества. 2008. № 3. С. 60-61.

13. Марков А. С., Цирлов В. Л. Управление рисками - нормативный вакуум информационной безопасности // Открытые системы. СУБД. 2007. № 8. С. 63-67.

14. Матвеев В. А., Цирлов В. Л. Состояние и перспективы развития индустрии информационной безопасности Российской Федера-

ции в 2014 г. // Вопросы кибербезопасности. 2013. № 1(1). С. 61-64.

15. Барабанов А. В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2013. № 1(1). С. 37-41.

16. Марков А. С., Цирлов В. Л. Руководящие указания по кибербезопасности в контексте

ISO 27032 // Вопросы кибербезопасности. 2014. № 1(2). С. 28-35. 17. Храмцовская Н. Что нужно знать руководителю об информационной безопасности // Кадровик. 2009. № 4. С. 061-072.

Действует Редакция от 27.12.2006

Наименование документ	"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)
Вид документа	приказ, стандарт, гост, исо
Принявший орган	ростехрегулирование
Номер документа	ИСО/МЭК 27001-2006
Дата принятия	01.01.1970
Дата редакции	27.12.2006
Дата регистрации в Минюсте	01.01.1970
Статус	действует
Публикация	На момент включения в базу документ опубликован не был
Навигатор	Примечания

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)

8. Улучшение системы менеджмента информационной безопасности

8.1. Постоянное улучшение

Организация должна постоянно повышать результативность СМИБ посредством уточнения политики ИБ, целей ИБ, использования результатов аудитов, анализа контролируемых событий, корректирующих и предупреждающих действий, а также использования руководством результатов анализа СМИБ (см. раздел 7).

8.2. Корректирующие действия

Организация должна проводить мероприятия по устранению причин несоответствий требованиям СМИБ с целью предупредить их повторное возникновение. Документированная процедура корректирующего действия должна устанавливать требования по:

a) выявлению несоответствий;

b) определению причин несоответствий;

C) оцениванию необходимости действий во избежание повторения несоответствий;

d) определению и реализации необходимых корректирующих действий;

e) ведению записей результатов предпринятых действий (см. 4.3.3);

f) анализу предпринятого корректирующего действия.

8.3. Предупреждающие действия

Организация должна определять действия, необходимые для устранения причин потенциальных несоответствий требованиям СМИБ, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать последствиям потенциальных проблем. Документированная процедура предпринятого предупреждающего действия должна устанавливать требования по:

a) выявлению потенциальных несоответствий и их причин;

b) оцениванию необходимости действия с целью предупредить появление несоответствий;

c) определению и реализации необходимого предупреждающего действия;

d) записи результатов предпринятого действия (см. 4.3.3);

e) анализу результатов предпринятого действия.

Организация должна определить изменения в оценках рисков и установить требования к предупреждающим действиям, при этом обращая особое внимание на существенно измененные количественные показатели рисков.

Приоритеты в отношении реализации предупреждающих действий должны быть определены на основе результатов оценки риска.

Примечание - Обычно затраты на проведение мероприятий по предотвращению несоответствий более экономичны, чем на корректирующие действия.