Translate

понеделник, 25 февруари 2013 г.

УСЛУГИ ПО ИНФОРМАЦИОННА СИГУРНОСТ ПРЕДОСТАВЯНИ ОТ INFOSEC SERVICE


УСЛУГИ ПО ИНФОРМАЦИОННА СИГУРНОСТ
ПРЕДОСТАВЯНИ ОТ INFOSEC SERVICE

Контакти:
www.study-security.com
infosecservicebg@gmail.com
infosecservice@study-security.com
мобилен: +359 886 655 315
Пламен Каменов - Консултант

INFOSEC SERVICE предоставя набор от услуги за своите клиенти,  свързани с изграждането система за фирмена сигурност и в частност, система за управление на информационната сигурност (СУИС).

Забележка: От началото на 2013 г.,  всички предоставяни от INFOSEC SERVICE услуги отчитат и новите / променените изисквания на  предстоящите за официално въвеждане (трето тримесечие на 2013 г.) стандарти за информационна сигурност ISO 27001:2013 и ISO 27002:2013

СУИС обхваща всички основни аспекти на фирмената сигурност,  вкл.:

-       защита на данните и информацията, важни за бизнеса на фирмата;
-       сигурност на фирмените ИТ ресурсите – мрежи, компютри, софтуер (системен и     приложен), и др.;
-       сигурност на персонала;
-       системи за физическа сигурност на работни помещения и сгради (вкл. СОТ, контрол на физическия достъп, видеонаблюдение и др.);
-       защита на процесите на разработване/ придобиване на софтуер;
-       защита на ИТ услугите предоставяни и/или ползвани от фирмата;
-       сигурност на инфраструктурата (електрозахранване, ВиК, климатизация и др.);

Основните ползи за фирмите от изграждането и внедряването на СУИС са:

-       значително намаляване на рисковете и/или последствията от:

o   кражба и/или злонамерено използване на данни / информация, важни за бизнеса на фирмата
o   кражба и/или злонамерено използване на лични данни на персонал на фирмата;
o   кражба и/или злонамерено използване на интелектуална собстеност на фирмата;
o   кражба и/или злонамерено използване на оборудване на фирмата (в т.ч. комуникационно и компютърно оборудване);
o   злонамерено въздействи върху ИТ системите на фирмата, с цел нарушаване / затрудняване тяхното нормално функциониране;
o   извършване на измами с помощта на фирмените ИТ системи;
o   външни атаки на фирмените ИТ ресурси – компютърни мрежи, бази данни, приложения и др.
o   въздействието на промишлени аварии, природни бедствия и др. върху бизнеса на фирмата (неговата устойчивост / непрекъснатост);

-      създаване на вътрешен ред и правила във фирмата, свързани с нейната сигурност – в т.ч. сигурност на бизнес процесите, ИТ системите, които ги реализират (подпомагат изпълнението им)  и персонала, който ги изпълнява;

-      намаляване на разходите на фирмата необходими за  възстановяването на бизнеса, след възникване на събития, свързани с нарушаването на сигурността в което и да е нейно направление;

-      запазване на направените инвестиции в отделни системи за сигурност (напр. СОТ, видеонаблюдение и др.) и разширяване на техните функции, чрез интегрирането им в СУИС;

-      осигуряване на единна система за управление и контрол на всички внедрени (предвидени за внедряване) защитни / контролни механизми за сигурност – напр. за физическа, персонална, компютърна, комуникационна и др. видове сигурност;

-      практическо прилагане  на изискванията на международните стандарти и добрите бизнес практики за сигурност;

Предназначение на предоставяните услуги

Предоставяните от  INFOSEC SERVICE  по информационна сигурност са предназначени основно за:
-     Осигуряване на необходимите  и достатъчни знания, и практически умения на представители на Клиента, за самостоятелно или подпомагано от  INFOSEC SERVICE разработване, внедряване, поддръжка и развитие на Система за управление на информационната сигурност (СУИС), съобразена с изискванията и/или препоръките на стандартите за информационна сигурност от фамилията ISO 27000, добрите бизнес практики по сигурността и специфичните изисквания на Клиента;

-     Осигуряване на знания и информация  за ръководството на организацията на Клиента, свързани с подхода и осъществяването на цялостно управление, контрол по сигурността, вкл. и за защитата на активите на организацията:
o    данни / информация (на електронен и/или хартиен носител),
o   информационни системи и техните компоненти (софтуер, хардуер);
o   комуникационни системи и обменяните чрез тях данни / информация;
o   персонал (собствен и нает по договори и др.);
o   инфраструктура – сгради, помещения, елктрозахранване, ВиК, климатизация и др.;

-     Осигуряване на интегриране на системите за физическа  сигурност, персонална сигурност и системите / средствата за сигурност на компютрите, мрежите, софтуера, данните и информацията в информационните системи в единна система за управление на сигурността в организацията;

-     Извършване на цялостно проектиране, изграждане и внедряване на СУИС от INFOSEC SERVICE, подпомагано в информационно отношение от упълномощени представители на Клиента;

-     Осигуряване на обучение на персонал на Клиента за самостоятелно провеждане на вътрешни одити по сигурността в организацията;

-    Подпомагане на Клиента при процесите, необходими за акредитирана сертификация на СУИС на организацията, в съответствие с изискванията на ISO 27001

Публикувано от в Няма коментари:

Новия проект на ISO 27001:2013 DRAFT – основни (предвидени) промени


Новия проект на ISO 27001:2013 DRAFT – основни (предвидени) промени

1.Липсва изрично изискване за задължителните документирани процедури по сигурността (напр. за управление на документите, вътрешните одити, коригиращи и превантивни действия
2.Липсва списък на задължителните за СУИС документи (т. 4.3.1 от текущата версия на ISO 27001)
3.Либерализация на процесите и дейностите, свързани с оценката на риска  - липса на изискването за наличност на документирана методология за оценка на риска.
4.Структурата на ISO 27001 съдържа 11 пункта (вместо 8 в текущата версия) и приложение А  (променено по обхват и детайли)
5.Въведени са нови термини - „leadership”, „заинтересовани страни”, „документирана информация”
6.Понятието „собственик на актив” е заменено с понятието „собственик на риска”
7.Въведен е нов пункт – „Комуникации”, свързан с въпросите на сигурността на информацията вътре в организацията и извън нейните предели.
8.В Приложение А към ISO 27001 има следните основни промени:
- Общото количество групи от контроли в новата  версия са 14 (11 в текущата версия);
- Общия брой контроли е 113 (133 в текущата версия);
- Отпадат следните контроли (както са обозначени в Приложение А,  от текущата версия на стандарта) - A.6.1.1, A.6.1.4, A.6.2.1, A.6.2.2, A.10.2.1, A.10.4.2 ., A.10.7.4, A.10.8.5, A.10.9.3, A.10.10.2, A.10.10.5, A.11.4.2, A.11.4.3, A.11.4.4, A.11.4.6, A.11.4.7, A.11.5.2, A.11.5.5, A.11.5.6, A.11.6.2, A.12.2.1, A.12.2.2, А. 12.2.3, A.12.2.4, A.12.5.4, A.14.1.2, A.14.1.4, A.15.1.5, A.15.3.2
9.Добавят се 9 нови средства за контрол, както следва:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities

Основния резултат от предвидените промени в ISO 27001- 2013, е свързан с наличието на повече свобода (в т.ч. и творчество) при проектирането на СУИС и възможности за по-лесна интеграция с други системи за управление (качество, ИТ  услуги и др.). От друга страна, наличието само на общи изисквания в стандарта повишава  отговорността на консултантите / разработчиците / внедрители  СУИС.

Забележка: Направените основни констатации са базирани на текущото съдържание на ISO 27001:2013 DRAFT, който се очаква да бъде въведен, като официална нова версия през третото тримесечие на 2013 г.
УСЛУГИ ПО ИНФОРМАЦИОННА СИГУРНОСТ ПРЕДОСТАВЯНИ ОТ INFOSEC SERVICE

INFOSEC SERVICE предоставя набор от услуги за своите клиенти,  свързани с изграждането система за фирмена сигурност и в частност, система за управление на информационната сигурност (СУИС).

Забележка: От началото на 2013 г.,  всички предоставяни от INFOSEC SERVICE услуги отчитат и новите / променените изисквания на  предстоящите за официално въвеждане (трето тримесечие на 2013 г.) стандарти за информационна сигурност ISO 27001:2013 и ISO 27002:2013

Контакти:

www.study-security.com
infosecservicebg@gmail.com
infosecservice@study-security.com

Пламен Каменов - Консултант
мобилен: +359 886 655 315
Публикувано от в Няма коментари:
Първата публикация в блога ще бъде свързана с промените в ISO 27001:2013. Предвижда се новата версия на стандарта да бъде въведена в действие през последното тримесечие на 2013 г. Същото се отнася и за ISO 27002:2013.

 Двете нови версии на стандартите от фамилията ISO 27000 за информационна сигурност променят съществено подхода за изграждане на Системи за управление на информационната сигурност (СУИС).
УСЛУГИ ПО ИНФОРМАЦИОННА СИГУРНОСТ ПРЕДОСТАВЯНИ ОТ INFOSEC SERVICE

INFOSEC SERVICE предоставя набор от услуги за своите клиенти,  свързани с изграждането система за фирмена сигурност и в частност, система за управление на информационната сигурност (СУИС).

Забележка: От началото на 2013 г.,  всички предоставяни от INFOSEC SERVICE услуги отчитат и новите / променените изисквания на  предстоящите за официално въвеждане (трето тримесечие на 2013 г.) стандарти за информационна сигурност ISO 27001:2013 и ISO 27002:2013

Контакти:

www.study-security.com
infosecservicebg@gmail.com
infosecservice@study-security.com

Пламен Каменов - Консултант
мобилен: +359 886 655 315
Публикувано от в Няма коментари:
Абонамент за: Публикации (Atom)