ISO/IEC 27001

Vikipediya, azad ensiklopediya
Naviqasiyaya keç Axtarışa keç

ISO/IEC 27001Beynəlxalq Standartlaşdırma TəşkilatıBeynəlxalq Elektrotexniki Komissiya tərəfindən birgə hazırlanmış beynəlxalq informasiya təhlükəsizliyi standartı. JTC 1 Birgə Texniki Komitəsinin SC27 Alt Komitəsi tərəfindən buraxılış üçün hazırlanmışdır. Standart İnformasiya Təhlükəsizliyi İdarəetmə Sisteminin (İTİS) yaradılması, inkişafı və saxlanması üçün informasiya təhlükəsizliyi sahəsində tələbləri özündə birləşdirir.

Məqsəd və hədəfi

[redaktə | vikimətni redaktə et]

ISO/IEC 27001 standartı (ISO 27001) informasiya təhlükəsizliyinin idarə edilməsi sahəsində dünyanın ən yaxşı təcrübələrinin təsvirlərini özündə birləşdirir. ISO 27001 təşkilatın öz informasiya aktivlərini qorumaq qabiliyyətini nümayiş etdirmək üçün informasiya təhlükəsizliyi idarəetmə sisteminə tələbləri müəyyən edir. Bu standart İnformasiya Təhlükəsizliyi İdarəetmə Sisteminin (İTİS) inkişafı, tətbiqi, istismarı, monitorinqi, təhlili, dəstəklənməsi və təkmilləşdirilməsi üçün bir model kimi hazırlanmışdır.

İTİS-in hədəfi informasiya aktivlərini qorumaq və maraqlı tərəflərin etimadını təmin etmək üçün nəzərdə tutulmuş müvafiq təhlükəsizlik nəzarətlərini seçməkdir.

Əsas anlayışlar

[redaktə | vikimətni redaktə et]

İnformasiya təhlükəsizliyi informasiyanın məxfiliyinin, bütövlüyünün və əlçatanlığının qorunmasıdır. Bu anlayışa həmçinin, orijinallıq və etibarlılıq kimi digər xüsusiyyətlər də daxil edilə bilər.

  • Məxfilik — informasiyanın yalnız müvafiq səlahiyyəti olan şəxslər (səlahiyyətli istifadəçilər) üçün əlçatan olmasını təmin etmək.
  • Bütövlük — informasiyanın düzgünlüyünün və tamlığının, habelə onun işlənməsi üsullarının təmin edilməsi.
  • Mövcudluq — lazım olduqda (tələb olunduqda) səlahiyyətli istifadəçilərin informasiyalara çıxışının təmin edilməsi.

"İnformasiya təhlükəsizliyi" anlayışının özü beynəlxalq standart tərəfindən məlumatın məxfiliyinin, bütövlüyünün və əlçatanlığının təmin edilməsi kimi şərh olunur. ISO 27001 standartının əsasını informasiya ilə bağlı risklərin idarə edilməsi sistemi təşkil edir. Risklərin idarə edilməsi sistemi aşağıdakı suallara cavab almağa imkan yaradır:

  • İnformasiya təhlükəsizliyinin hansı sahəsinə diqqət yetirmək lazımdır;
  • İnformasiyanın qorunması üçün bu texniki həllə nə qədər vaxt və pul sərf edilə bilər.

ISO/IEC 27001:2005 standartının strukturu

[redaktə | vikimətni redaktə et]
  • Müqəddimə
  • Giriş
  • Tətbiq sahəsi
  • Normativ istinadlar
  • Şərtlər və anlayışlar
  • İnformasiya Təhlükəsizliyi İdarəetmə Sistemi
  • İdarəetmə məsuliyyəti
  • Daxili İTİS auditləri
  • Rəhbərlik tərəfindən İTİS-in təhlili
  • İTS-in təkmilləşdirilməsi
  • Əlavə A (normativ) idarəetmə məqsədləri və ona nəzarət
  • Əlavə B (informasiya) OECD prinsipləri və bu beynəlxalq standart
  • Əlavə C (informasiya) ISO 9001:2000, ISO 14001:2004 və bu beynəlxalq standart arasında uyğunluq
  • Biblioqrafiya

ISO/IEC 27001:2013 standartının ən son versiyası

[redaktə | vikimətni redaktə et]

2013-cü ildə Beynəlxalq Sertifikatlaşdırma Təşkilatı ISO/IEC 27001:2013 standartının yeni versiyasını hazırlamış və qəbul etmişdir. Dəyişikliklər həm standartın strukturuna, həm də tələblərə təsir etmişdir.

ISO/IEC 27001:2013 standartının əsas tələblərinin strukturu İSO/IEC direktivlərinə uyğun olaraq verilmişdir. Yəni, beynəlxalq təşkilatın bütün standartları eyni bölmə strukturuna malik olacaqdır. Yeni standartın mətn məzmununun ingilis dilindəki versiyası aşağıdakı kimidir:

  • Introduction
  • Scope
  • Normative references
  • Terms and definitions
  • Context of organization
  • Leadership
  • Planning
  • Support
  • Operation
  • Performance evaluation
  • Improvement

Standartın A Əlavəsinin strukturunda da dəyişikliklər edilmişdir. Üç yeni bölmə meydana çıxmışdır:

  • "A.10 Kriptoqrafiya",
  • "A.13 Rabitə təhlükəsizliyi",
  • "A.15 Təchizatçılarla əlaqələr".

"A.10 Kriptoqrafiya" bölməsi yeni deyil, onun tələbləri standartın köhnə versiyasının A.12 bölməsinin müəyyən bəndlərini təkrarlayır. "A.13 Rabitə təhlükəsizliyi" və "A.15 Təchizatçı münasibətləri" bölmələri 2005-ci il Əlavə A-nın ayrı-ayrı bölmələrini birləşdirmiş və bəzi yeni tələbləri də özündə birləşdirmişdir.

ISO/IEC 27001:2013 standartının yeni versiyasının əsas hissəsində edilən dəyişikliklər:

  • informasiya təhlükəsizliyinin idarə edilməsi sisteminin məqsədləri üçün tələblər aydın şəkildə tərtib edilmişdir.
  • Risklərin mətn təsvirləri üçün sadələşdirilmiş tələblər
  • Yüksək rəhbərliyin "Qalıq risklərin qəbulu haqqında Əsasnamə"nin verilməsi öhdəliyi aradan qaldırılır.
  • "Tətbiq Müddəaları və SoA" arasında aydın əlaqə qurulmuşdur.
  • "Aktiv sahibi" əvəzinə "Risk sahibi" anlayışı müəyyənləşdirilmiş və tələb təqdim edilmişdir.
  • İTİS-in monitorinqi üçün tələblər aydın şəkildə tərtib edilmiş və əlavə edilmişdir.
  • İnformasiya təhlükəsizliyinin idarə edilməsi sisteminin sənədləşdirilməsi və qeydlərinin idarə edilməsinə dair tələblər sadələşdirilmişdir.
  • İnformasiya təhlükəsizliyi idarəetmə sistemi daxilində rabitə tələbləri aydın şəkildə müəyyən edilmişdir.

Əsas hissədə ən mühüm dəyişiklik "Risk sahibləri"nin müəyyən edilməsi tələbidir.

ISO/IEC 27001:2013 Əlavə A daxilində yeni tələblər:

  • A.6.1.4 Information security in project management
  • A.12.6.2 Restrictions on software installation
  • A.14.2.1 Secure development policy
  • A.14.2.5 System development procedures
  • A.14.2.6 Secure development environment
  • A.14.2.8 System security testing
  • A.15.1.1 Information security policy for supplier relationships
  • A.15.1.3 Information and communication technology supply chain
  • A.16.1.4 Assessment and decision of information security events
  • A.17.1.2 Implementing information security continuity
  • A.17.2.1 Availability of information processing facilities

"A" əlavəsində tələblərin (nəzarətlərin) sayı 133-dən 113-ə enmişdir. ISO/IEC 27001 Əlavə A ISO 27002 ilə eyni olan, lakin o qədər də təfərrüatlı olmayan məqsədlər və nəzarət vasitələrinin siyahısını təqdim edir. Əlavə B İTİS prosedurlarının və PDCA addımlarının İqtisadi Əməkdaşlıq və İnkişaf Təşkilatının (OECD) prinsipləri ilə necə uyğunlaşdığını göstərən cədvəldən ibarətdir. Əgər şirkət artıq ISO 9001 və ya ISO 14001-i tətbiq edibsə, o zaman ona ISO 9001, 14001 və 27001 standartlarının tələblərinə uyğunluq cədvəlini ehtiva edən Əlavə C lazımdır.[1]

Sertifikatlaşdırma

[redaktə | vikimətni redaktə et]

Təşkilat bu standarta uyğun olaraq akkreditə olunmuş agentliklər tərəfindən sertifikatlaşdırıla bilər. Sertifikatlaşdırma prosesi üç mərhələdən ibarətdir:

  • Birinci mərhələ — informasiya təhlükəsizliyinin idarə edilməsi sisteminin əsas sənədlərinin auditor tərəfindən yoxlanılması. Bura tətbiq oluna bilənlik haqqında bəyanat (SoA), risklə mübarizə planı (RTP) və s. aiddir. Bu, həm təşkilatın ərazisində, həm də bu sənədləri kənar auditora göndərməklə həyata keçirilə bilər;
  • İkinci mərhələ — həyata keçirilən tədbirlərin sınaqdan keçirilməsi və onların effektivliyinin qiymətləndirilməsi daxil olmaqla, ətraflı, dərin audit. Standartın tələb etdiyi sənədlərin tam öyrənilməsi daxildir;
  • Üçüncü mərhələ — sertifikatlaşdırılmış təşkilatın göstərilən tələblərə cavab verdiyini təsdiqləmək üçün nəzarət auditinin aparılması. Dövri olaraq həyata keçirilir.

Beynəlxalq standartlardan hər hansı birinə və ya onların kombinasiyasına uyğun olaraq idarəetmə sisteminin sertifikatlaşdırılması proseduru 4 mərhələyə bölünür.

  • Birinci mərhələ — sertifikatlaşdırmaya hazırlıq;
  • İkinci mərhələ — birinci mərhələnin auditi (sertifikasiyaya hazırlığın yoxlanılması);
  • Üçüncü mərhələ — ikinci mərhələnin mərhələ auditi (sertifikasiyanın auditi);
  • Dördüncü mərhələ — sertifikatın verilməsi və ona nəzarət.
  1. Новый ИСО 27001

Xarici keçidlər

[redaktə | vikimətni redaktə et]