Потребителски вход

Запомни ме | Регистрация
Актуални статии и мнения в областта на внедряване на системи за управление на сигурността на информацията, ИТ услугите, непрекъсваемостта на бизнеса, качеството. ISO 27001, ISO 20000, BS 25999, ISO 22301, ISO 9001. Едно мнение в почвече никога не е излишно
Автор: mscservices Категория: Бизнес
Прочетен: 49661 Постинги: 19 Коментари: 5
Постинги в блога от Октомври, 2011 г.
Възстановяване след бедствие или непрекъсваемост на бизнеса
От Пол Е. Мур

image

  Спомням си един цитат от сър Джон Харви Джоунс, той каза: "най-хубавото нещо отноно липсата на планиране е, че провалът идва като пълна изненада, вместо да се предшества от период на безпокойство и депресия" Това все още е подходът на много клиенти, когато става въпрос за възстановяване след бедствие и непрекъснатост на бизнеса. Въпреки това, с широко отразените събития през последните няколко години, заедно с новото законодателство, много клиенти напредват с проекти  за защита на бизнеса им при възникване на непредвидено прекъсване.
Тъй като изчислителна мощност се увеличава и разходите падат, в допълнение към високата надеждност на широколентовите мрежови услуги, времето никога не е било по-подходящо за клиентите да се помислят за преодоляването на този критичен въпрос, но от къде да започнат? Искате ли Hot site, Warm recovery, Cold Space? Искате ли Възстановяване след бедствие или непрекъснатост на бизнеса? Искате ли мобилен, статичен или център за възстановяване на бизнеса? Какво искате  да покриете? Колко бързо се нуждаете от него? (след като сте решили какво е то!). И т.н. и т.н. и т.н. Не е чудно, че клиентът е объркан и приключва като отлага упражнението. Наскоро говорих с един клиент, имаше абонамент за услуга по възстановяване след бедствия в продължение на много години, само за да разбере, че когато той се нуждаеше от услугата,тя  не успяваше да сработи! Това беше, защото те се фокусираха предимно върху услуга за Възстановяване след бедствие, а не върху Непрекъсва емостта на бизнеса.  
И така, каква е разликата?
Услугите за възстановяване след бедствие обикновено се фокусират върху предоставянето на ресурси за замяна. Те често са предоставяни на обща абонаментна база от специалисти - доставчици (хардуер, мрежови връзки, офис пространство, компютърни зали, глас и т.н.). Непрекъсваемостта на бизнеса е точно това, което е написано, Непрекъсваемост на бизнеса. С други думи, тя осигурява непрекъснатост на бизнеса след непланирано прекъсване. Но има много области, които трябва да бъдат проучени, преди пълен План за бизнес непрекъсваемост  да може да бъде разработен и тестван.

Общите стъпки, които трябва да бъдат предприети, са показани по-долу.
Оценка на заплахите - най-първата стъпка за всеки успешен план за бизнес непрекъсваемост  е оценката на заплахите. Ако не знаете срещу какво се опитвате да се защитите, как можете да се предпазите?
Много клиенти намират това упражнение за безценно, тъй като то също така посочва рисковете за бизнеса им, които могат да бъдат намалени, или в някои случаи премахнати всички наведнъж: Затова превенцията формира много важна част от фазата на предварително планиране. Всички зони, нуждаещи се от подобряване, също трябва да се маркират на този етап.

======================================================================
www.mscservices.eu - Конуслтантите, специализирани в ISO 27001, ISO 20000, BS 25999, ISO 22301, ISO 9001
======================================================================

Спомням си един цитат от сър Джон Харви Джоунс, той каза: "най-хубавото нещо отноно липсата на планиране е, че провалът идва като пълна изненада, вместо да се предшества от период на безпокойство и депресия"
Това все още е подходът на много клиенти, когато става въпрос за възстановяване след бедствие и непрекъснатост на бизнеса. Въпреки това, с широко отразените събития през последните няколко години, заедно с новото законодателство, много клиенти напредват с проекти  за защита на бизнеса им при възникване на непредвидено прекъсване.

Тъй като изчислителна мощност се увеличава и разходите падат, в допълнение към високата надеждност на широколентовите мрежови услуги, времето никога не е било по-подходящо за клиентите да се помислят за преодоляването на този критичен въпрос, но от къде да започнат?

Искате ли Hot site, Warm recovery, Cold Space? Искате ли Възстановяване след бедствие или непрекъснатост на бизнеса? Искате ли мобилен, статичен или център за възстановяване на бизнеса? Какво искате  да покриете? Колко бързо се нуждаете от него? (след като сте решили какво е то!). И т.н. и т.н. и т.н.
Не е чудно, че клиентът е объркан и приключва като отлага упражнението. Наскоро говорих с един клиент, имаше абонамент за услуга по възстановяване след бедствия в продължение на много години, само за да разбере, че когато той се нуждаеше от услугата,тя  не успяваше да сработи! Това беше, защото те се фокусираха предимно върху услуга за Възстановяване след бедствие, а не върху Непрекъсваемостта на бизнеса.

И така, каква е разликата?
Услугите за възстановяване след бедствие обикновено се фокусират върху предоставянето на ресурси за замяна. Те често са предоставяни на обща абонаментна база от специалисти - доставчици (хардуер, мрежови връзки, офис пространство, компютърни зали, глас и т.н.). Непрекъсваемостта на бизнеса е точно това, което е написано, Непрекъсваемост на бизнеса. С други думи, тя осигурява непрекъснатост на бизнеса след непланирано прекъсване. Но има много области, които трябва да бъдат проучени, преди пълен План за бизнес непрекъсваемост  да може да бъде разработен и тестван.

Общите стъпки, които трябва да бъдат предприети, са показани по-долу.

Оценка на заплахите - най-първата стъпка за всеки успешен план за бизнес непрекъсваемост  е оценката на заплахите. Ако не знаете срещу какво се опитвате да се защитите, как можете да се предпазите?
Много клиенти намират това упражнение за безценно, тъй като то също така посочва рисковете за бизнеса им, които могат да бъдат намалени, или в някои случаи премахнати всички наведнъж: Затова превенцията формира много важна част от фазата на предварително планиране. Всички зони, нуждаещи се от подобряване, също трябва да се маркират на този етап.
Много клиенти идентифицират по-очевидни заплахи, такива като бомби, самолетни катастрофи и т.н и много игнорират по-малко очевидни, като природни бедствия или влияния на околната среда като бомбени заплахи, неблагоприятни метеорологични условия или загуба на достъп до сградата, причинена от локализиран инцидент. Колко клиенти са наясно какъв риск преставлява бизнеса на съседите? Дали правят лесно запалими или токсични материали? Биха ли привлекли вниманието на екстремистки групи? Възможно ли е локализиран инцидент да ви попречи на достъпа до вашите съоръжение? Ако е така, за колко време?

Преглед на въздействието върху бизнеса - Това е, когато наистина се стигне до истинското въздействие върху бизнеса. Един от проблемите на изграждането на успешен план за непрекъснатост на бизнеса е балансът: Какво да искате, и кога да го искате? Това е доста просто, наистина, колкото по-бързо го искаш, толкова повече се разходите! За да се балансира това, клиентът трябва да направи преглед на реалното влияние върху бизнеса си на дадено прекъсване (загуба на приходи, загуба на клиенти, влияние върху цената на акциите, законови изисквания, защита на паричните потоци и др.). Дори ако въздействието е толкова голямо, клиентът ще намери за много трудно да разгърне отново цялата си работна сила върху съоръженията за  възстановяване в рамките на много кратки срокове. Няколко аварийни събития в Лондон показаха въздействието върху обществения транспорт и пътната мрежа (те бяха толкова тежки, че някои клиенти установиха, че не могат да придвижат своя персонал до съоръжениято за възстановяване!). Затова е от съществено значение, че вариантите за  възстановяване са приоритезирани в краткосрочен, средносрочен и дългосрочен аспект.

Изисквания за ресурсите - Сега ние знаем какво искаме, и кога го искаме, възможно е да започнете да търсите елемент на възстановяване при бедствия в бизнес непрекъсваемостта. Запомнете, споменах краткосрочен, средносрочен и дългосрочен план за възстановяване? Е, това е мястото, където Hot, Warm и Cold се появяват в картината.
Hot Recovery - обикновено е наличен за минути. Тази услуга ще използва напълно “жива” услуга за подмяна върху алтернативно съоръжение с подходяща мрежова връзка на място. Това ще даде възможност на клиентите да прехвърлят операциите върху системата за възстановяване с минимално (понякога нула) влияние върху бизнеса. Очевидният недостатък на това е цената.
Warm Recovery - Въпреки че Hot Recovery набира популярност, Warm Recovery все още е далеч по-често прилаганото решение. Warm услугите обикновено са въз основа на база общ абонамент (споделен риск) и са налични в рамките на часове от поискването им. Обикновено би отнело до 24 часа да имате системите включени и  работещи  за вашия бизнес.
Warm услуга може да бъде осигурена по няколко начина; доставена на място, когато оборудването е натоварено върху ван, доставено и инсталирано на място при клиента (очевидно трябва да има на подготвено място, до което да се достави!). Ако компютърното помещение  е повлияно от прекъсването (аварията), услугата може да бъде доставена в мобилно съоръжение за възстановяване (компютърна зала в товарен автомобил). А ако сайтът (работното място) не е достъпно напълно, може да бъде използван отдалечен център за възстановяване.
Cold Solutions - Въпреки че e по-рядко срещанo, Cold Solutions  (празен офис и компютърно оборудване) все още могат да бъдат привлекателни в средносрочен план. Позволява на клиентите да възстановят 50% до 80% от тяхната работа чрез гореща (Hot) или топла (Warm) опции, както и преместването им в рамките на няколко дни или седмици до подходящо място.

Центрове за възстановяване на бизнеса
- центровете за възстановяване на бизнеса са разположени по целия свят и могат да помогнат на клиента да направи по-рационално възобновяването на нормалните бизнес процеси, свързани с офиса, след бедствието. Тези съоръжения включват до хиляда бюра, оборудвани с компютри, телефони и компютърни зали. Те също така предлагат стаи за срещи/заседания, столова и съоръжения за отдих и дори секретарски дейности заедно с пълен телефонно обслужване и комуникационни възможности, включително PABX / ACD, ISDN, ADSL, SDSL, MPLS и други мрежови връзки.

Сега вече е просто въпрос на писане на план и тестване за възстановяване!  И разбира се, да прегледате стандарти като BS 25999, но това ще трябва да изчака след купчината мои писания.


www.mscservices.eu
- Консултанти, специализирани в ISO 27001, ISO 20000, BS 25999, ISO 22301, ISO 9001


Категория: Бизнес
Прочетен: 1379 Коментари: 0 Гласове: 0
Последна промяна: 06.11.2011 19:56

Консултиране по  ISO 9001 - Как да извлечете полза, работейки с  консултант по ISO 9001
от Артър Луис
image
Консултирането по  ISO 9001 се предлага откакто стандартът за системи за управление на качеството ISO 9001 е бил публикуван за първи път през 1979 г. .. В момента почти един милион компании по света са сертифицирани по някой стандартите за управление на бизнеса ISO или друг. Те включват ISO 9001, ISO 14001, AS9100, ISO / TS 16949 и др. Статистиките, които са събрани до този момент показват, че докато някои компании тръгнаха да внедряват ISO стандарти, използвайки вътрешни ресурски,  тези, които използваха външни консултантски услуги по ISO 9001, се възползваха най-много по отношение на скоростта на изпълнение, ефективността и възвращаемостта.
Консултантски фирми по ISO 9001 предлагат редица услуги. Нека сега да разгледаме някои от тях, така че да можете да определите какъв избор от услуги ще са най-подходящ за вашата компания.

ISO 9001- Интерпретация на стандарта
Стандартът за системи за управление на качеството ISO 9001 може да бъде труден документ за разбиране. Той е писан на квази-юридически език и посочва изискванията в много общи линии. Това е умишлено, тъй като той е предназначен да се прилага за всички видове бизнес дейност. Доста компании имат проблеми при интерпретирането му спрямо техните специфични бизнес процеси. Опитният консултант по ISO 9001 може да ви помогне да приложите стандарта към вашите специфични бизнес дейности.

ISO 9001 - Одит на пропуските (Gap audit)
Преди прилагането на стандарта ISO 9001 към вашия бизнес, вие трябва да знаете какво е несъответствието между вашите съществуващи бизнес практики и контролите, отнасящи се до ISO 9001. Ангажирайки консултантски услуги по ISO 9001 – вие можете да имате преглед на вашите настоящи практики на системата за управление, контроли и документация, така че да се установи степента, до която те отговарят на изискванията на ISO 9001. Консултантът ще ви даде подробен одитен доклад, посочващ пропуски във вашата компания заедно с неговите препоръки. Това ще помогне при съвместното внедряване на плана за изпълнение на проекта  за ISO 9001 да се постигне пълно съответствие.

ISO 9001 - Планиране и организация на проекта
В зависимост от големината и сложността на вашата компания, проектът за внедряване на ISO 9001 може да отнеме от шест до 18 месеца до завършването му. Вашият ISO проект трябва да бъдат добре планиран по отношение на това колко време и ресурси са необходими, специфични дейности които трябва  да се извършат, кой ще бъде отговорен за всяка дейност, основните прегледи, одобрения, обучение, разрешаванен на проблеми и т.н. Един добър консултант по ISO 9001 може да бъде ценен помощник при подпомагане на вашия бизнес да се справи с тази важна дейност.

---------------------------------------------------------------------------------------------------------------------------
www.mscservices.eu - Вашите ISO консултанти
---------------------------------------------------------------------------------------------------------------------------

ISO 9001 - Идентифициране и документиране на бизнес процесите
ISO 9001 разглежда бизнес процесите като ключов момент за контрол. Те включват както вътрешни, така и външни процеси. Някои компании имат трудности, правейки разграничение между процеси, отдели и функционални дейности. Консултантите – експерти по ISO 9001 могат да ви помогнат да идентифицирате и правилно да документирате всички организационни процеси, отнасящи се до вашата система за управление на качеството. Това включва: клиентски-ориентирани, управленски, по реализация на продуктите, по ресурсно планиране, измерване, поддръжка и изнесени (outsorced) процеси.

ISO 9001 - Разработване и внедряване на системата
Основният акцент на стандарта ISO 9001 е върху ефективното планиране, функциониране и контрол на всички релевантни процеси, включени в  системата за управление на качеството. Това е вероятно най-времеотнемащата и трудна част от всеки проект за внедряване на ISO. Много въпроси могат да възникнат като: какви процеси трябва да бъдат контролирани, какво се прави за ефективен контрол, как най-добре да се комуникира и внедри, взаимодействие между процесите, как да съзададете цели и задачи на процесите и какви  записи да съхранявате. Това е мястото, където използването на външно консултантиране по ISO 9001 значително ще помогне в отговорите на тези въпроси, ще осигури необходимия фокус и ще улесни внедряването.

ISO 9001 – Документиране на системата за управление
Най-новият стандарт ISO 9001:2008 редуцира вниманието върху документирането и максимализира вниманието си вурху ефективното планиране и контрол. Достатъчно количество документация обаче е необходимо за много бизнес процеси, за да се осигури последователното прилагане на ефективен контрол. Много организации имат или твърде много, или твърде малко документация. Един опитен консултант може да помогне на организацията да определи до къде е нуждата, колко и как трябва да бъде документирано.

ISO 9001 - Предварителната оценка
Сертифициращите органи по ISO 9001 изпълняват своя сертификационен одит на два етапа. По време на етап 1 те преглеждат до колко е готов вашият бизнес (което включва вашите дейности по планиране, документиране и вътрешен преглед), а в етап 2 те одитират вашата система за управление за ефективно внедряване на планираните контроли, като в двата случая прегледът се извършва спрямо стандарта ISO 9001. След като прекарате няколко месеца във внедряване и счетете, че вашата компанията е готова за сертификационния одит, може да е от полза използването на външно консултиране, за да се направи веднъж, за да направи еднократна оценка дали сте наистина готови, да идентифицира всички слабости и да ви помогне да предприемете подходящи коригиращи действия, преди сертификационния одит.

ISO 9001 - Обучение
Консултантските услуги по ISO 9001 често предлагат разнообразие от възможности за обучение. Те включват:

- Обучение по ISO 9001 за осъзнаване на служителите на всички нива
- Мениджмънт насочен общ преглед на ISO стандарта - за топ мениджмънта
- Идентификация, описание, анализ и подобрение на процесите
- Управление на ISO проекти
- Документиране и внедряване на ISO
- Вътрешен одит
- Използване на инструменти за решаване на на проблема
Въз основа на степента на вътрешна експертиза в рамките на вашата организация, вие можете да пожелаете да използвате външна консултантска услуга по ISO 9001, осигуряваща ви някаква част или цялото това обучение.

Разработване  и поддръжка на програма за вътрешна одит по ISO 9001
За да бъде сертифицирана и да остане такава, стандартът ISO 9001 изисква вашата организация да планира и провежда програма за вътрешен одит на своята система за управление на качеството. В тези дни много организации имат недостиг на ресурси, експертиза за вътрешен одит и налични служители, така че те аутсорсват поддържането на техните програми за вътрешен одит по ISO 9001 на консултантски фирми, които го правят далеч по-ефективно, отколкото повечето вътрешни одитори.

ISO 9001 – Процес на непрекъснато подобряване
Стандартът ISO 9001 очаква вашата система за управление на качеството да бъде динамична и да работи за непрекъснато подобряване на ефективността и ефикасността на вашата организация, а също и за повишаване удовлетвореността на клиентите. Много консултантски фирми по ISO 9001 имат разнообразни умения и опит в стратегии и методи за непрекъснато подобряване. Те могат да включват решаване на проблеми, Six Sigma, ефективно производство, използване на различен бизнес софтуер и инструменти и т.н. Те могат значително да увеличат темпото ви чрез придобиване на допълнителна оперативна ефективност, удовлетвореност на клиентите и повишаване на рентабилността на бизнеса.

www.mscservices.eu - Вашите ISO консултанти

Категория: Бизнес
Прочетен: 1419 Коментари: 0 Гласове: 3
Последна промяна: 30.10.2011 08:14

Пет тайни за сигурностa, които ИТ администраторите не искат да знаете
от Филип Либерман - изпълнителен директор, Либерман Software

Като ценни членове на вашата организация, ИТ администраторите работят всеки ден, за да осигурят работоспособността на вашата инфраструктура. Но при днешния натиск за  сдържане на оперативните разходи, ИТ администраторите биха могли да тръгнат по много “по-преки пътища”, отколкото бихте очаквали. А може би нито един аспект на ИТ не страда повече от “преките пътища” отколкото сигурността. Съществуват пет факта за вашата ИТ сигурност, за които вашите администратори вероятно не искат да знаете. 

Повечето пароли никога не се променят                                          
Разбира се, регламентите могат да изискат чести смени на паролите на всички потребители във вашата инфраструктура. Но макар че вашите ИТ администратори могат да имат за задача да променят паролите на регулярна основа, във вашата организация, вероятно липсва автоматизация надеждно да извършва тази промяна, като паролите може да бъдат хиляди, което значи много.

Чувствителни акаунти като администраторски идентификатори, вградени application-to-aplication пароли  и привилегировани сервизни потребители, често запазват едни и същи пароли за години, защото ИТ персоналът може да няма инструменти да ги следи и да ги променя. И тъй като системите и приложенията често се “чупят”, когато ИТ персоналът се опитва да променя взаимозависими идентификатори (credentials), много от най-привилегированите идентификатори във вашата организация може да останат непроменени за продължителен период от време.

Временната промяна на процеси и ръчно писаните скриптове може да успеят в обновяването на паролите на някои видове привилегировани акаунти, но ако вашата организация не е инвестирала в софтуер за управление на идентичността,  вие можете да бъдете сигурни, че много от на паролите, които предоставят достъп до най-чувствителната информация на вашата организация, никога не са променяни. Това означава, че достъп до тези данни - дали от ИТ персонала, програмисти, подизпълнители и други, които някога са имали достъп - ще продължават да се разпространява с течение на времето

Твърде много хора имат твърде много достъп
Независимо от вашите писмени политики, пароли на високо-привилегировани акаунти почти със сигурност се знаят от голяма част от ИТ персонала. И най-вероятно, за по-голямо удобство тези идентификатори са споделени с лица извън ИТ персонала.

В резултат изпълнители, доставчици на услуги, приложнит програмисти и дори крайни потребители е вероятно да имат възможност да получат привилегирован достъп с помощта на идентификаторите, които може би никога не се променят. Освен ако нямате технология на място, за да следите привилегированите идентификатори, да делегирате достъп и да ги променяте след всеки път, когато са използвани, вие никога няма да узнаете кой в момента има достъп

========================================================================
www.mscservices.eu - Вашите ISO консултанти. ISO 27001, ISO 20000, BS 25999
========================================================================

Данните на вашия изпълнителен директор не са тайна
С всички актуални заглавия за корпоративни и държавни изтичания на данни, вие все още може да бъдате изненадани да знаете,колко много хора имат достъп до файлове на вашите работни компютри, както и до данните, намиращи се в приложенията, които старши мениджърите използват всеки ден. Всеки, който знае правата на идентификаторите, може да придобие анонимен достъп да чете, копира и променя данни - включително данните от комуникацията и приложенията, принадлежащи на управленския персонал. В много случаи тези идентификатори са известни не само на висши ИТ мениджъри, но също така и на по-низшия ИТ персонал, екипите за приложно програмиране, контрагенти и др. Повече от вероятно е ниско платените ви Help Desk служители, да имат достъп до по-чувствителни данни, отколкото финансовия ви директор. А тези подизпълнители в Индия? Вероятно е те да  имат достъп и до акаунта на изпълнителноя директор също.

IT одиторите може да бъде подведени

Ако вашите администратори знаят за пропуски в сигурността или неработещи политики, които вашите IT одитори не са открили, те най-вероятно ще се опитат да отнесат тези знания в гроба си. ИТ персоналът има ограничен период от време да завърши по-значими проекти, които влияят върху показателите за изпълнение и заплащанията, така че в повечето случаи можете да забравите за тях, що се отнася до пропуските  в сигурността, които вашите одитори не са успели да забележат.
Сигурността често остава на заден план

Структурата за заплащането на Вашите ИТ администратори обвързани ли е със сигурността? Не е ли? Тогава те вероятно не са толкова проактивни, както може да се очаква, когато става въпрос за сигурността на вашата мрежа. Повечето ИТ администратори не биха ви разказали за уязвимости в сигурността, които те откриват в хода на работата си, защото на тях не им се плаща да водят губещи битки за получаване на ресурси, необходими за отстраняване на всички установени пропуски в сигурността.

Тъй като възнагражденията рядко са обвързани със сигурността на вашата мрежа, вашият ИТ администратор вероятно също не поема инициативата да актуализира своите технически умения, що се отнася до сигурността. Като резултат, дори когато бюджетите дават възможност за покупки на нови технологии за сигурност, вашите служители може да нямат никаква представа как да използват тези нови инструменти ефективно.

Базово, сигурността на всяка организация зависи от това колко добре ИТ балансира удобството с контрола и отчетността. Твърде често ИТ се оставя свободно да царува, работейки по нейните собствени правила когато става дума за сигурност и се съпротивлява, работейки под същите видове контроли, които се прилагат към другите в организацията.

Тези организации, които работят, за да приведат ИТ в баланс - въвеждайки отчетност чрез разделяне на задълженията и адекватни контроли за одит, докато осигуряват достатъчно ресурси и стимули за осигуряване на проактивна сигурност - често излизат напред.

 www.mscservices.eu - Вашите ISO консултанти

Категория: Бизнес
Прочетен: 1782 Коментари: 2 Гласове: 2
Последна промяна: 17.10.2011 20:41

Как да се справим с вътрешни заплахи

Четвъртък, 07 юли, 2011

от: Деян Кошутич 

"Вашето ISO 27001 е хубаво на теория, но ако системният ни администратор откачи, ние сме мъртви" - чувам това доста често, когато говоря с моите клиенти, относно това кои  контроли за сигурност те следва да прилагат.

И това не е само за системните администратори, а също и преките ръководители, инженери, топ мениджмънта и др. – всъщност всеки, който има достъп до чувствителна информация или системи, би могъл да бъдат потенциална заплаха.
Например, най-големите щети в банките не се извършват от разбойници (с пушки в ръцете си), а от служители (с компютри в ръцете си).

Разбира се, кражба на пари не е единствената цел на този вид атаки, тя може да бъде саботаж, кражба на конфиденциална корпоративна информация, подправяне на данни, кражба на идентичност и др.

Тъй като това е толкова сложен въпрос, как можете да се справите с него?

Оценка на риска
ISO 27001 е стандарт, който подхожда към управление на сигурността, главно от превантивна гледна точка  - първата стъпка е да разберете ккакви инциденти може да се случат по отношение на Вашите служители (но също така и външни партньори с достъп до вашите системи), и след това да изберете подходящ контрол за сигурност , с цел да се избегнат тези инциденти. В ISO 27001, този процес се нарича оценка на риска и тертиране на риска.

Обаче оценката на риска не трябва да се прави повърхностно. Ако не помислиш наистина сериозно  за всички лоши неща, които могат да се случат, тогава не би могъл да намалиш тези рискове и някой може да използва тези уязвимости.
Затова не бързайте по време на тази стъпка, правете я систематично.

Превантивни меркиimage

След като знаете как някой вътре в организацията  може да се възползва от уязвимостите, вие можете да започнете да планирате контроли за сигурност по комплексен начин. Отново, ISO 27001 предлага каталог на контроли за сигурност в своето приложение A - тук са показани няколко примера от най-често използваните контроли за намаляване на риска от вътрешни заплахи:

• контрол на достъпа (група А.11 в приложение A) - достъп до чувствителни данни може да бъде одобрен само на база “необходимо е да знае”. По този начин ще се намали броят на хората, които могат да навредят, но също така ще се намалят и щетите ако нечия идентичност е открадната.

• правата за достъп трябва да се преглеждат редовно (контрол A.11.2.4) - много често голям брой служители имат достъп до информация, от която те наистина не се нуждаят.

• Акаунтите и правата на достъп на бивши служители трябва да бъдат прекратении (A.8.3.3) - да, понякога има валидни акаунти няколко години след като работникът или служителят е напуснал фирмата.

• политиката на силни пароли (контрол A.11.2.3) или някакъв друг метод за автентификация трябва да бъде задължителен, за да изключи кражбата на идентичност.

• Разделяне на функциите (контрол A.10.1.3) – вие най-вероятно не бихте позволили на един единствен човек да разрешава изплащането на големи суми - същото важи и за всяка друга чувствителна система.

• Резервиране (A.10.5.1) - разбира се, то трябва да бъде редовно, но също така достъпът до архивираната информация  не може да бъде разрешен на служителите, които могат да навредят най-много на производствените системи.

• Документирани политики и процедури, които ясно определят ролите и отговорностите за сигурността (A.8.1.1; A.10.1.1) - не можете да очаквате от вашите служители да спазват правилата за сигурност, ако те не знаят какви са правилата.

• Осъзнаване и обучение (A.8.2.2) - всички ваши служители трябва да знаят защо е необходимо да защитят чувствителните данни, както и как да го направят, а за някои работни места (например записи от наблюдение, логове) може да се наложи да изпратите служители на специализирани обучения.

Разбира се, има и други контроли, които са по-технически ориентирани, като разделяне на мрежова архитектура (A.11.4.5), редовно обновяване с пачове за сигурност (A.12.6.1), spyware сканиране (A.12.5.4), анти-вирусна защита ( A.10.4.1), защитна стена (A.10.6.1), контроли за физическа сигурност (A.9.1.2) и др.

Проблеми с хората
Въпреки всичко някой с висока мотивация и умения може да заобиколи всички тези проверки за сигурност и да постигне каквото му е на дневен ред (е решил). Ето защо, по мое мнение, най-важното нещо е да се развият някои индикатори за ранно предупреждение. А това изисква малко повече усъвършенстване.

Преди всичко, вие трябва да знаете кой вашите служители - най-вероятно няма да позволите на някой напълно непознат достъп до вашите чувствителни данни и/или системи, само защото той или тя има една много хубава диплома и препоръка. Трябва да се копае по-дълбоко или като ISO 27001 го изисква - извършване на проверка на биографичните данни (A.8.1.2).

Втората, и вероятно най-важната контрол, е постоянно да следите какво се случва - едновременно откъм “меката" страна на нещата (повечето пъти, можете да наблюдавате, ако някой започва да се държи по странен начин) и с "твърди " методи - чрез мониторинг на записи (A.10.10.2), т.е. наблюдение дали има нещо подозрително в използването на информационните системи.

Всъщност, двата метода често могат да се разглеждат заедно - всеки път, когато заключението, че поведението на някого е осбено, записите (логовете) на този човек трябва да се разгледат по-подробно. И обратното - ако забележите някакво странно използване на информационните системи, “меката” страна трябва да се следи по-отблизо. В заключение, вътрешните заплахи вероятно ще останат най-големият риск за сигурността на информацията - сложността на информационните системи и количеството на данните само ще се увеличи тази заплахи във времето. И най-добрият начин за справяне с тях е да ги предотвратим  - когато вече са се случили, вие може само да се надявате, че те няма да отидат твърде далеч


 

http://www.mscservices.eu/ - вашите ISO консултанти

Категория: Бизнес
Прочетен: 1498 Коментари: 0 Гласове: 0
Последна промяна: 29.10.2011 20:08

Нашата амбиция е на тази страница да Ви запознаваме с интересни актуални статии, касаещи разработката и внедряването на системи за управление на бизнеса. Сега на Вашето внимание представяме една публикация на Ник Орчистън..

Планиране на бизнес непрекъсваемостта

26-ти август, 2011 от Ник Орчистън

Ние всички знаем, че бизнес непрекъсваемостта е нещо, което трябва да въведе ред. Всеки знае, че трябва да има планове за действие при извънредни ситуации в случай, че бедствие застигне нашия бизнес. Всеки знае, въпреки че е малко очаквано, бедствието може да се случи във всеки един момент. Никой не е в състояние да разбере това по-добре от борда, главния изпълнителен директор и висшето ръководство. Някой би трябвало да имат тези планове за действие при извънредни ситуации готови, просто за всеки случай.

Така че, ако всичко това е очевидно само по себе, защо четете тази статия? Нямате ли такива планове за действие при извънредни ситуации? Или сте като много други организации с надеждата, че нищо катастрофално няма да се случи,  и сте убедени, че ако това все пак се случи, ще се справите адекватно?

Непрекъсваемостта на бизнеса  е планиран процес, определящ какво може да се обърка, оценяващ риска от това събитие и след това определящ планове за справяне с такива рискове.

Оценката на риска помага за идентифициране на набор от заплахи за организацията, уязвимости за вашата организация, които съществуват ако се случат тези заплахи, оценка на въздействието (загуби за организацията) при такива събития и вероятността за тяхното настъпване.

Заплахите за организацията трябва да бъдат идентифицирани. Това може би е очевидно за наводнения, пожари, бомбени заплахи, терористични действия, бури и други въздействия от околната среда (например силен снеговалеж). Може би е добре да се разгледат и други. Какво ще стане ако ключовите служители са в синдиката и изведнъж спечелят лотарията Евромилион,  тогава те все още ще бъдат ли на работа в понеделник? Какво ще стане, ако ключов клиент обяви банкрут или основен доставчик пострада от земетресение? Всички тези заплахи трябва да бъдат взети под внимание.   Какво влияние биха имали тези заплахи за вашата организация, ако се случат? Ключ към това е разбирането на най- важните дейности и процеси в организацията. За осъществяване на пълен и подходящ процес на планиране на бизнес непрекъсваемостта  от фундаментално значение е  разбирането за това как работи организацията. Този анализ може да се използва впоследствие, за да се определи "какво ако" този ключов процес би изчезнал? Какво бихме правили? Колко дълго бихме могли  да се справим без тази дейност? Как да го възстановим?

Като пример, колко дълго би оцелял бизнеса  ако функцията за кредитен контрол изчезне? Без някой събиращ пари имаме ли достатъчно дълбоки джобове, за да плащаме на нашите хора и нашите доставчици много дълго?

След като ключовите дейности са били идентифицирани, след това е разумно да разберем колко дълго организация може да оцелее без тази функция. Така въздействието с течение на времето може да се определи - това е анализ на въздействието върху бизнеса (Business impact analysis - BIA за по-кратко). От това можем да определим MTPD (Maximum Tolerable Period of  Disruption) или Mаксимално допустим Период на прекъсване.. MTPD е максималното време, което можем да постигнем без тази услуга или дейност преди нашият бизнес да е необратимо застрашени. За някои процеси това може би е въпрос на минути или часове, за други то може да бъде няколко седмици или месеци. Ние трябва да определим RTO (Recovery Time Objective) -желаното време за възстановяване за тези дейности. То е по-малко, отколкото MTPD и е времето, за което ние очакваме да се възстанови дейността. Ако RTO е по-дълъг от MTPD, това означава, че нашият бизнес е в опасност.

Да се приоритезира кои дейности са възстановени и в какъв ред е препоръчително да се идентифицират критичните дейности. Това ни дава План за възстановяване, определящ кои дейности в какъв ред са възстановени и по този начин кои изискват и какви ресурси по кое време

Въоръжени с тази информация ние можем да извършим оценка на риска и по този начин да идентифицираме рисковете за нашия бизнес, както и да определим плановете за действие, които трябва да бъдат въведени, за да противодействаме на потенциалните заплахи, да продължим прекъснатите дейности на организацията,  запазени в рамките на нашите поносими нива

Този процес отнема време и усилия, за да бъде правилно приложен. Но той не отнема предполаганите усилия и замества надеждата  с предварително определена програма. В края на краищата това всичко е за защита на организацията и на заинтересованите страни в от капризите на случайността

Стандартът за бизнес непрекъсвамеост BS 25999-2 (скоро ще бъдат заменен от ISO 22 301) осигурява рамка на системата за управление не само за създаване на подходящи планове за бизнес непрекъсвамеост, но също така гарантира че те са актуални, тествани, поддържани, имат съответните отговорници и са подходящи за вашите предизвикателни и променящи се бизнес изисквания. Ние можем да ви помогнем, да разберете вашето обкръжение, да извършите тези дейности по планирането, да създадете необходимите и подходящи планове, и по-важното – да ги вкараме в една система, която осигурява текущото им тестване, поддръжка и подобряване.

http://www.mscservices.eu/ - вашите ISO консултанти

Категория: Бизнес
Прочетен: 753 Коментари: 0 Гласове: 0
Последна промяна: 25.10.2011 17:00


Петте най-големи мита за ISO 27001
Публикувано от: Деян Кошутич

Много често чувам неща за ISO 27001 и не знам дали да се смея или да плача над тях.
Всъщност това е смешно, как хората са склонни да вземат решения за нещо, за което те знаят много малко - тук са най-често срещаните заблуди

"Стандарт изисква ..."
"Стандартът изисква паролите да се сменят на всеки 3 месеца." "Стандартът изисква да съществуват множество доставчици." "Стандартът изисква сайтът за възстановяване след бедствие да бъде най-малко 50 км от главния сайт."
Наистина ли? Стандартът не казва подобно нещо. За съжаление, този вид невярна информация, аз чувам доста често - хората обикновено бъркат добрите практики с изискванията на стандарта, но проблемът е, че не всички правила за сигурност са приложими за всички видове организации.
И хора, които твърдят, че това е предписано от стандарта, вероятно никога не са чели стандарта.                                 

"Ще оставим ИТ отдела да се справи"image
Това е любимото за мениджърите  - "Информационната сигурност е изцяло свързано с ИТ, не е ли така?" Е добре, не е истина  - най-важните аспекти на информационната сигурност включват не само ИТ мерки, но също така и организационни въпроси и управление на човешките ресурси, които обикновено са извън обсега на ИТ отдела.

“Ние ще го внедрим за няколко месеца"
Бихте могли да внедрите своето ISO 27001 за 2 или 3 месеца, но то няма да работи - вие ще получите само един куп политики и процедури, за които никой не му пука. Внедряване на информационна сигурност означава, че вие трябва да въведете  промени, и отнема време промените да сработят..
Да не говорим, че вие трябва да внедрите само тези контроли, които наистина са необходими, а анализът за това, кое е наистина необходимо, отнема време - това се нарича оценка на риска и третиране на риска.

======================================================================
www.mscservices.eu - Вашите ISO консултанти
======================================================================

"Този стандарт е изцяло за документирането"
Документацията е важна част от изпълнението на ISO 27001, но документацията не е самоцел. Основното е, че вие извършвате вашите дейности по сигурен начин, и документацията е тук, за да ви помогне да го направите.
Също така, записите, които вие генерирате, ще ви помогнат да оцените дали постигнете целите си за сигурност на информацията и да ви даде възможност за коригиране на тези дейности, които са неадекватни.

"Единствената полза от стандарта е за маркетингови цели"
"Ние правим това само за да получим сертификат, не е ли така?" Е, 80% от фирмите смятат, че това е (за съжаление) пътят.
Аз не се опитвам да се споря тук, че ISO 27001 не трябва да се използва за промоционални и продажбени цели, но можете също така да постигне и други много важни предимства - като например предотвратяване да ви се случи историята с WikiLeaks,.
Въпросът тук е - четете ISO 27001 първо преди да формират мнението ви за него, или ако това е твърде скучно за четене за вас (което аз признавам, че е), консултирайте се с някой, който има реални познания за него. И се опитайте да получите някои други ползи освен маркетинговите.

С други думи, увеличете шансовете си да направите изгодна инвестиция в сигурността на информацията.


 www.mscservices.eu - Вашият ISO консултант
 

Категория: Бизнес
Прочетен: 951 Коментари: 1 Гласове: 1
Последна промяна: 17.10.2011 19:52
Търсене

За този блог
Автор: mscservices
Категория: Бизнес
Прочетен: 49661
Постинги: 19
Коментари: 5
Гласове: 6
Архив
Календар
«  Октомври, 2011  >>
ПВСЧПСН
12
3456789
10111213141516
17181920212223
24252627282930
31
Блогрол