Consulting, training, design, implementation, maintenance and development of Cyber Security Management Systems and Independent or Integrated Systems for Quality Management (ISO 9001), Information Security Management (ISO 27001), IT Service Management (ISO 20000-1), Business Continuity Management (ISO 22301), EU Global Data Protection Regulaton (GDPR) Contacts: +359 886 655 315; infosecservicebg@gmail.com; http://infosecservicebg.wix.com/study-security
Translate
понеделник, 26 ноември 2018 г.
ИНТЕГРИРАНИ СИСТЕМИ ЗА УПРАВЛЕНИЕ
Практиката ми в областта на проектирането, изграждането и внедряването на Системи за управление на качеството (ISO 9001), Системи за управление на информационната сигурност (ISO 27001) и Системи за управление на услугите (ISO 20000-1) показва, че все повече организации имащи такива изградени и функциониращи самостоятелно системи се ориентират към тяхната интеграция. Това се определя от няколко основни фактора:
1. Изискванията на бизнеса за използване на една, обща за процесите, продуктите, услугите и информационната сигурност интегрирана система за управление. В много случаи, бизнеса разглежда (не без основание) интегрираните системи за управление , като много съществен елемент от цялостното управление на функционирането на организацията и постигането на нейните цели;
2. Изискванията на бизнеса за икономичност и ефективност на изграждането, функционирането, поддръжката и развитието на системите за управление. В този смисъл, една интегрирана система за управление, напълно покрива тези изисквания;
3. Хармонизирането на стандартите, в контекста на използването на единна (обща) структура, при запазване на различията при изискванията. Тази обща структура силно облекчава усилията по създаването на интегрирани системи за управление, вкл., на тяхната документална част. Освен другото, улеснява се и процеса за интегриране на вече създадени и функциониращи, отделни системи за управление.
Отчитайки засиления интерес към интегрираните системи за управление в платформата за дистанционно, асистирано самообучение InfoSec Learning Management Systmem, започва публикуването на курсове за обучение по самостоятелно изграждане на такива системи. Първия курс, който ще бъде публикуван до 15.12.2018 e свързан с изграждането на Интегрирана система за управление на качеството (ISO 9001:2015) и информационната сигурност (ISO 27001:2013).
https://infosec.learning-portal.org/
Пламен Каменов
неделя, 21 октомври 2018 г.
GDPR - Определяне на рисковете към сигурността на личните данни
EU General Data Protection Regulation (GDPR) 👈
В платформата за дистанционно обучение InfoSec Learning Management System е добавен нов курс - "Определяне на обхвата на Система за управление на защитата на личните данни и рисковете към тяхната сигурност "
Материалите по курса са разработени в съответствие с изискванията на GDPR - (по-специално с чл. 30 – “Регистри по дейностите на обработване на лични данни“ и с чл. 32 - “Сигурност на обработките на лични данни“)
петък, 19 октомври 2018 г.
ISO 20000-1:2018 и разширените изисквания за сигурност на ИТ услугите
ISO 20000-1:2018 👈
В платформата за дистанционно обучение InfoSec Learning Management System е добавен нов курс - "Методика за оценка и противодействие на рисковете към непрекъснатостта и наличността на ИТ услугите"
Курса е подготвен, отчитайки разширените изисквания за сигурност на услугите - кл.8.7 от ISO 20000-1:2018
Курса е подготвен, отчитайки разширените изисквания за сигурност на услугите - кл.8.7 от ISO 20000-1:2018
https://infosec.learning-portal.org/
вторник, 25 септември 2018 г.
Новия ISO 20000-1:2018 в сила от 15.9.2018 г.
Новата версия на ISO 20000-1:2018 за Системи за управление на услугите (ИТ) е в сила от 15.9.2018 г.
Основните разлики в изискванията на ISO 20000-1:2018 и ISO 20000-1: 2011 са публикувани в платформата за дистанционно обучение Infosec Learning System ( https://infosec.learning-portal.org ), категория "Виртуална библиотека", раздел "Управление на ИТ услугите". До края на 2018 г. ще бъдат актуализирани и публикувани в платформата курсовете, свързани с изграждането на СУУ и разработване на изискващата се документация.
четвъртък, 20 септември 2018 г.
Infosec Service BG - Distant, e-Learning Platform
Достъпно, професионално подготвено, дистанционно обучение, чрез новата платформа на Infosec Srvice BG - InfoSec Learning Management System - в направленията:
1. Информационна / киберсигурност - ISO 27001.
2. Защита на личните данни - EU GDPR / ЗЗЛД ;
3. Управление на ИТ услугите - ISO 20000-1;
4. Непрекъснатост на бизнеса - ISO 22301;
5. Противодействие на "инсайдери"
За повече информация:
https://infosec.learning-portal.org/
https://infosec.learning-portal.org/
неделя, 9 септември 2018 г.
Платформа за дистанционно обучение
InfoSec Learning Management System
Курсове за самообучение в областите:
1. Информационна / киберсигурност
2. Управление на ИТ услугите
3. Защита на личните данни (GDPR)
4. Противодействие на злонамерените действия на "вътрешни хора"
5. Непрекъснатост на бизнеса
Курсове за самообучение в областите:
1. Информационна / киберсигурност
2. Управление на ИТ услугите
3. Защита на личните данни (GDPR)
4. Противодействие на злонамерените действия на "вътрешни хора"
5. Непрекъснатост на бизнеса
За всички, които имат неудържим порив за придобиване на знания в областта на информационната / кибер сигурност, EU GDPR, управлението на ИТ услугите и др., от днес (09.9.2018) започва функционирането на платформата за дистанционно обучение
InfoSec Learning Management System.
вторник, 24 юли 2018 г.
GDPR - Система за управление на защитата на личните данни - Документална част (основни документи) - обхват на СУЗЛД
ПРИМЕР
!
Разработен
от INFOSEC
SERVICE BG
РЪКОВОДСТВО
ЗА
ОПРЕДЕЛЯНЕ НА ОБХВАТА НА
СИСТЕМА
ЗА УПРАВЛЕНИЕ НА ЗАЩИТАТА НА ЛИЧНИТЕ
ДАННИ
(СУЗЛД)
1.
ВЪВЕДЕНИЕ
Това
Ръководството описва основните стъпки
при определянето на обхвата на СУЗЛД,
с цел създаването на предпоставки за
постигане на съответствие с
изискванията
на General
Data Protection Regulation - GDPR (по-специално
с чл.30 –
“Регистри
по дейностите на обработване на лични
данни“
и
с чл.32 -
“Сигурност
на обработките на лични данни“)
и
ЗЗЛД. Освен това, изпълнението на
Ръководството подпомага за утвърждаването
на организацията, като надежден доставчик
на стоки и услуги, който защитава надеждно
личните данни на своите служители,
клиенти и контрагенти (бизнес партньори).
Дейностите
по определяне обхвата на СУЗЛД са от
съществена важност за нейното изграждането,
внедряването, поддържане и развитие.
Точното
и ясно дефиниране на границите на СУЗЛД,
позволява да се избегне извършването
на дейности, които не са необходими, а
също и да се подобри качеството на
анализа на риска към сигурността на
личните данни, и съответния избор на
контроли / защитни механизми.
СУЗЛД
може да покрива цялата организация или
част от нея, отделна система и/или услуга,
в съответствие с местата и дейностите,
които използват / работят с лични данни.
Целта
е, СУЗЛД да покрива тези части от
организацията, в които проблемите по
сигурността на личните данни, могат да
доведат до неприемливи последствия за
бизнеса на организацията, като цяло, а
също, да бъдат нарушени основни права
и свободи на гражданите (напр., правото
на гражданите на защита на техните лични
данни)
Това
Ръководството се базира на:
- Описанията на бизнес процесите в организацията , вкл. продуктите / услугите, които ползват лични данни, експертната оценка за степента на тяхната важност за бизнеса и потенциалното им влияние върху сигурността на личните данни;
- Описанията на информационните активи, осигуряващи изпълнението на бизнес процесите в организацията, ползващи лични данни;
- Изискванията за защита на личните данни, определени в националната регулаторна рамка – закони (ЗЗЛД), наредби, правилници и др. и на GDPR.
2.
ОСНОВНИ СТЪПКИ
Основните
стъпки за определяне обхвата на СУЗЛД
са:
2.1.
Стъпка №1 - Преглед и анализ на основните
бизнес процеси в организацията, вкл.
продуктите /услугите, които ползват
лични данни и провеждане на експертната
оценка за степента на тяхната важност
за бизнеса, и потенциалното им влияние
върху сигурността на личните данни
Тази
стъпка се извършва от работна група,
включваща представители на всички звена
в организацията, имащи отношение към
изпълнението на съответните бизнес
процеси, а също и експерти по информационна
сигурност.
Забележка:
Описанието
на съответните бизнес процеси
(последователност на дейностите,
обработки, изпълнители, входна и изходна
информация / данни и др.) може да бъде
налично в различни документи на
организацията – Правилник за работата
на организацията, Система за управление
на качеството (политики, процедури,
инструкции, форми за отчет), Система за
управление на услугите и др., или да
бъде представено от ръководители /
експерти, които ръководят тяхното
изпълнение.
Преди
провеждането на анализ на основните
бизнес процеси, ползващи лични данни
се определя организационния обхват на
СУЗЛД – организационни звена, адреси,
в или извън страната, в ЕС или извън ЕС.
Ако организацията има Политика за
изграждане, поддръжка и развитие на
СУЗЛД, то това е първоначалния, основен
източник за определянето на организационния
обхват.
Пример
– описание на организационния обхват на
СУЗЛД
№
|
Наименование
на бизнес процеса, ползващ лични данни
|
Наименование
на звенто / организацията, изпълняващо
бизнес процеса
|
Местоположение
на звеното / организацията,
изпълняващо бизнес процеса
|
1
|
Административно
обслужване на персонала, клиентите
и/или доставчиците |
Организацията
– отдел „Административно обслужване“
|
София.....
|
2
|
Финансово
обслужване на персонала, клиентите
и/или доставчиците |
Организацията
– отдел „Административно обслужване“и
външен доставчик (име) на услуги
за финансово и счетоводно обслужване
|
София.....
Пловдив.....
|
3
|
Електронна
търговия |
Организацията
-отдел „Електронен магазин“ и външен
доставчик (име) на услуги за финансово
и счетоводно обслужване
|
София.....
Пловдив.....
|
4
|
Търговска
дейност, пазарни проучвания и e-mail
marketing |
Организацията
-отдел „Търговия и маркетинг“ и външен
доставчик (име)
на услуги за e-mail marketing
|
София
....
САЩ,
Бостон, ......
|
На
база проведения преглед и анализ на
бизнес процесите, ползващи лични данни,
се изготвя Опис на бизнес процесите,
личните данни и съответните обработки.
Забележка:
Ползваните
в съответния бизнес процес лични данни,
могат да бъдат класифицирани, като общи
(напр., име, адрес, ЕГН, № лична карта,
електронна поща и др.), чувствителни /
специални ( раса,
етнос, политически възгледи, религиозна
или философска вяра, генетика, биометрия,
здравно състояние, сексуален живот и
сексуална ориентация ) и криминални
(свързани с нарушения присъди и др.).
Видовете
обработки на ползваните в бизнес процес
лични данни включват всяка
операция или съвкупност от операции,
извършвана(и)
чрез
автоматични или други средства като
събиране,
записване, организиране, структуриране,
съхранение, адаптиране или промяна,
извличане, консултиране, употреба,
разкриване чрез предаване, разпространяване
или друг начин, по който данните стават
достъпни, подреждане или комбиниране,
ограничаване, изтриване или унищожаване
Пример:
№
|
Наименование
на бизнес процеса, ползващ лични данни
|
Видове
лични данни, ползвани в бизнес процеса
|
Видове
обработки на личните данни, ползвани
в бизнес процеса
|
1
|
Административно
обслужване на персонала, клиентите
и/или доставчиците |
Общи
лични данни:
|
|
2
|
Финансово
обслужване на персонала, клиентите
и/или доставчиците |
Общи
лични данни:
|
|
3
|
Електронна
търговия |
Общи
лични данни:
|
|
4
|
Търговска
дейност, пазарни проучвания и e-mail
marketing |
Общи
лични данни:
|
|
Описанието
на бизнес процесите е необходимо да се
прегледа и анализира за да се създаде
база за определяне, на качествено ниво
степента на важност на всеки процес
за бизнеса, и на степента на
потенциалното му влияние върху
сигурността на личните данни.
Качественото
определяне
на степента
на
важност на бизнес процесите и потенциалното
им влияние върху сигурността на личните
данни се могат да се дефинират, като:
несъществена,
съществена, голяма и много голяма
Пример:
№
|
Наименование
на бизнес процеса, ползващ лични данни
|
Степен
на важност на бизнес процеса за
постигане на целите на организацията
|
Степен
на потенциално влияние върху сигурността
на личните данни
|
1
|
Административно
обслужване на персонала, клиентите
и/или доставчиците |
съществена
|
голяма
|
2
|
Финансово
обслужване на персонала, клиентите
и/или доставчиците |
голяма
|
много
голяма
|
3
|
Електронна
търговия |
много
голяма
|
много
голяма
|
4
|
Търговска
дейност, пазарни проучвания и e-mail
marketing |
голяма
|
съществена
|
Забележки:
Бизнес
процес „Финансово
обслужване на персонала, клиентите
и/или доставчиците“ се извършва по
договор, с външна
организация, базирана в страната.
Бизнес
процес „Търговска дейност, пазарни
проучвания и e-mail
marketing” се
извършва от организацията, с изключение
на дейностите, свързани с e-mail
marketing, които
в преобладаващата си част се изпълняват
по договор с външна
организация,
базирана в страна извън
ЕС.
2.2.
Стъпка №2 – “Количествена оценка на
бизнес процесите”
Вход
за тази стъпка са резултатите от
изпълнението на стъпка 1 “Преглед и
анализ на основните бизнес процеси в
организацията...”
Оценката
на бизнес процесите се извършва, отчитайки
определените на качествено ниво степени
на важност и потенциал на влияние на
бизнес процеса (напр. несъществена,
съществена, голяма, много голяма) и
техните последващи остойностявания,
по предварително приети количествени
коефициенти на съответствие.
Пример:
Остойностяване
при степен на важност на бизнес процеса
Таблица
на съответствието – “качествена оценка
– количествен коефициент” за степен
на важност на бизнес процеси
№
|
Степен
на важност на бизнес процеса за
постигане на целите на организацията
(качествена
оценка)
|
Степен
на важност на бизнес процеса за
постигане на целите на организацията
(количествен
коефициент)
|
1
|
несъществена
|
0.1
|
2
|
съществена
|
0.4
|
3
|
голяма
|
0.7
|
5
|
много
голяма
|
1.0
|
Пример:
Остойностяване
при степен на потенциално влияние към
сигурността на личните данни.
Таблица
на съответствието – “качествена оценка
– количествен коефициент” за степен
на потенциално влияние
на бизнес процес върху сигурността
на личните данни
№
|
Степен
на потенциално влияние върху сигурността
на личните данни
(качествена
оценка)
|
Степен
на потенциално влияние върху сигурността
на личните данни
(количествен
коефициент)
|
1
|
несъществена
|
0.2
|
2
|
съществена
|
0.5
|
3
|
голяма
|
0.8
|
5
|
много
голяма
|
1.0
|
Пример:
Интегрирана оценка на бизнес процес –
важност за бизнеса и за влияние върху
сигурността на личните данни
Забележка:
Интегрираната
оценка се получава след умножението
на съответните количествени коефициенти
за важност и влияние.
№
|
Наименование
на бизнес процеса, ползващ лични данни
|
Степен
на важност на бизнес процеса за
постигане на целите на организацията
|
Степен
на потенциално влияние върху сигурността
на личните данни
|
Интегрирана
оценка на бизнес процес
|
1
|
Административно
обслужване на персонала, клиентите
и/или доставчиците |
съществена
/ 0.4
|
голяма
/ 0.8
|
0.32
|
2
|
Финансово
обслужване на персонала, клиентите
и/или доставчиците |
голяма
/ 0.7
|
много
голяма / 1.0
|
0.7
|
3
|
Електронна
търговия |
много
голяма / 1.0
|
много
голяма / 1.0
|
1.0
|
4
|
Търговска
дейност, пазарни проучвания и e-mail
marketing |
голяма
/ 0.7
|
съществена
/ 0.5
|
0.35
|
Забележка:
Колкото
е по-голяма интегрираната оценка
на даден бизнес процес, толкова е и
по-голяма неговата важност, както за
бизнеса, така и за сигурността на личните
данни, които обработва.
След
завършването на работата по тази стъпка
организацията ще разполага с:
-
организационния обхват на СУЗЛД;
-
бизнес обхвата на СУЗЛД и съответните
качествени, количествени и интегрирани
оценки на бизнес процесите, ползващи
лични данни (по отношение на тяхната
важност за бизнеса и потенциалното им
влияние върху сигурността на личните
данни, които ползват).
2.3.
Стъпка №3 – “Определяне на информационните
активи, осигуряващи изпълнението на
съответните бизнес процеси, ползващи
лични данни”
Вход
за тази стъпка са идентифицираните
бизнес процеси, техните качествени,
количествени и интегрирани оценки по
отношение приноса им към бизнеса, и
потенциалното им влияние към сигурността
на личните данни. (изход от изпълнението
на стъпка 2)
Тази
стъпка се извършва от работна група,
включваща представители на всички звена
в организацията, имащи отношение към
изпълнението на съответните бизнес
процеси, а също и експерти по информационна
сигурност.
За
всеки
бизнес процес, ползващ лични данни
се описват информационните активите,
осигуряващи неговото изпълнение в
обхват (съгласно Политиката за изграждане,
поддръжка и развитие на СУЗЛД):
- хардуер - компютри, сървери, средства за съхраняване, периферна техника, мрежово оборудване, комуникационна инфраструктура (вкл., мрежово окабеляване), гарантирано електрозахранване, климатизация и др., както е приложимо;
- софтуер - системи за управление на бази данни съдържащи лични данни; приложения и системи за обработка на лични данни; софтуерен инструментариум за системен и/или софтуерен инженеринг; приложения за клиенти; софтуер за тестване и др., както е приложимо;
- лични данни, вкл., информация и документи съдържащи лични данни(
- персонал - наетите служители (постоянно и временно наети, собствени и външни) одитори (вътрешни и външни), доставчици на услуги, представители на заинтересованите и свързани лица, страни по договори, консултанти, посетители или представители на други организации, имащи отношение при изпълнението на съответния бизнес процес и достъп до активи, рабогещи с лични данни на организацията и др., както е приложимо.
Пример:
- Информационни
активи, осигуряващи изпълнението на
бизнес процес “Електронна
търговия”
Идент.№
на актива
|
Описание
на актива
|
Функция
на актива
|
Организационна
единица, собственик на актива
|
Персонален
собственик на актива
(длъжност
/ име)
|
Достъп
до актива
(длъжност
/ име / организация)
|
|
ХАРДУЕР
|
|
|
|
|
00001Н
|
Компютър
.........
|
Събиране,
записване, съхранение, обмен и
унищожаване на лични данни
|
Отдел
“Електронен магазин“”
|
..........
|
............
|
00002Н
|
Сървер.за.........
|
Записване,
съхранение , обмен и унищожаване на
лични данни
|
Отдел
“ИТ“”
|
............
|
.............
|
|
СОФТУЕР
|
|
|
|
|
00001S |
Приложение
„Регистър клиенти“
|
Събиране,
записване,
структуриране,
съхранение, обмен и унищожаване на
лични данни
|
Отдел
“Електронен магазин“”
|
..........
|
.........
|
00002S |
Приложение
за анализ на клиентите и покупките
|
Събиране,
записване,
структуриране,
извличане, съхранение, обмен и
унищожаване на лични данни
|
Отдел
“Електронен магазин“”
|
..........
|
..........
|
00003S |
Приложение
за финнасово и счетоводно обслужване
на покупките / клиентите
|
Записване,
структуриране,
извличане, съхранение, обмен и
унищожаване на лични данни
|
Отдел
“Електронен магазин“” и
външна
организация
|
............
|
..........
|
Забележки:
Персонала,
работещ и/или имащ достъп до лични данни
не е определен в отделни редове на
горната таблица, тъй-като тази информация
се съдържа в последните две колони от
нея.
Персонален
собственик
на актив е физическото лице, което работи
с този актив и има отговорности, свързани
с неговата защита.
В
допълнение към направеното по-горе
описание, може
да се добави вида на личните данни,
с които работят съответните активи
(напр., към втората колона на горната
таблица).
След
завършването на изпълнението на тази
стъпка, организацията разполага с опис
на активите, осигуряващи изпълнението
на бизнес процесите, ползващи лични
данни.
Важността
на активите за бизнеса и тяхното
потенциално влияние върху сигурността
на личните данни, съответствуват на
качествените, количествени и интегрирани
оценки, определени за съответния бизнес
процес !
2.4.
Стъпка №4 – “Документиране на установения
обхват на СУЗЛД”
На
тази стъпка се подготвя окончателен
документ “Обхват на СУЗЛД"” и се представя
на Ръководството на организацията за
съгласуване и одобряване, след което
той става основание за извършване на
последващите дейности по изграждането
на системата – анализ и оценка на риска
към активите, избор на контроли (механизми
за защити) за тях и др.
Забележка:
Този
документ се променя при планирани и/или
фактически настъпили изменения в бизнес
процесите, активите и персонала, който
осигурява тяхното изпълнение, като
всички стъпки от процеса или част от
тях се изпълняват, в съответствие с
обхвата и детайлите на измененията.
Крайния
документ включва:
Списъци
на бизнес процесите, ползващи лични
данни и на информационните активи,
осигуряващи тяхното изпълнение:
- Хардуер;
- Софтуер;
- Лични данни, информация и документи
- Персонал
Така
определения обхват на СУЗЛД е основа
за провеждането на анализ и оценка на
рисковете към сигурността на личните
данни, и за последващото определянето
на конкретни контролни / защитни механизми
и/или средства за тяхната защита.
Обхвата
на СУЗЛД е база за изпълнението на
изискванията и постигане на
съответствие с GDPR,
по-специално
с чл.30 –
“Регистри
по дейностите на обработване на лични
данни“
и
с чл.32 -
“Сигурност
на обработките на лични данни“.
ТОВА Е САМО ЕДИН ПРИМЕР ЗА ОПРЕДЕЛЯНЕТО НА ОБХВАТА НА СУЗЛД, ПРЕДНАЗНАЧЕН ДА ВИ ПОДПОМОГНЕ ПРИ ОПРЕДЕЛЯНЕТО НА ВАША МЕТОДИКА, ОТГОВАРЯЩА НА ХАРАКТЕРИСТИКИТЕ НА ВАШАТА ОРГАНИЗАЦИЯ !
Абонамент за:
Публикации (Atom)