560 likes | 982 Views
Управление и Информационна сигурност . EQE България АД Компания на ABS Group www.abs-group.com. Митко Мирчев Атанаска Пенева Емил Иванчев. EQE България – базова информация .
E N D
Управление и Информационна сигурност EQE България АД Компания на ABS Group www.abs-group.com Митко Мирчев Атанаска Пенева Емил Иванчев
EQE България – базова информация • През 1992 г е учредено местно акционерно дружество с мажоритарен собственик EQE International Inc., САЩ - глобално представена специализирана компания в областта на рисковите анализи и специалното инженерство. • През 2000 г. в резултат на сливане на EQE International и ABS Group е учредена ABS Consulting - глобална консултантска компания обединени в няколко бизнес звена.
Дейности на EQE България • Инженерно-проектантски услуги • Земетръсно инженерство и силни въздействия • Супервизии и инспекции • Анализи на риска • Консултиране, разработване и внедряване на управленски системи
Защо сме с вас? • PR – QMS – IMS не съществуват сами за себе си • СУ осигурява връзката с изискванията и удовлетвореността на заинтересованите страни • Осъзнаване и компетентност • Оценка на обкръжаващата среда • Информацията като водещ ресурс
Отговорност на ръководството Измервания, анализи иподобряване Управление на ресурсите Заинтересовани страни Заинтересовани страни Система за управление Изисквания Реализация на Удовлетворение Продукт/услуга Бизнес цели Продукт Услуга Инфор-мация Вход Изход Процесен Модел Непрекъснато подобряване на системата за управление
Системен подход • Взаимосвързани и развиващи се части и подсистеми • Вътрешна йерархия • Процесите се разглеждат на принципа от общото към частното - отражение на реалния обект • Основни цели, разделени на подцели/задачи • Управленски решения - след анализ на ситуации от миналото и оценка на възможни последствия
Качество – стандарти ISO 9000 Серията от стандарти ISO 9000 описват набор от правила и практики, реализирането на които позволява създаване и поддържане на система, осигуряваща непрекъснато изискваното качество, както и неговото подобряване.
Качество – стандарти ISO 9000 • ISО 9000:2000 Системи за управление на качеството- Основни понятия и речник • ISО 9001:2000 Системи за управление на качеството – Изисквания • ISО 9004:2000 Системи за управление на качеството – Ръководство по подобряване на резулатите • ISО 19011:2002 - Указания за одит на системи за управление на качеството и/или за управление на околната среда
Качество – принципи на управление • Насоченост към потребителя • Лидерство • Въвличане на хората • Процесен подход • Системен подход към управлението • Непрекъснато подобряване • Вземане на решения, основани на факти • Взаимноизгодни отношения с доставчиците
НЕПРЕКЪСНАТО ПОДОБРЯВАНЕ Системен подходPDCA - цикъл Цели Резултати Планиране PLAN Корекции ACT Извършване DO Проверка CHECK
Управление на качеството Координирани дейности, за ръководене и контрол в една организация по отношение на качеството Управлението на качеството включва: • политика • цели • планиране • оперативно управление • осигуряване • подобряване
EQE България • Динамична организационна структура • Висше ръководство - Борд на директорите • Oперативно ръководство - Изпълнителeн директор, мениджър бизнес развитие, мениджър по управление на качеството, ръководители на направления и главeн счетоводител • Направления: “Строително и сеизмично инженерство”, “Технологично инженерство” и “Системи за управление” • Ръководител на проект, водещ инженер, член на екипа на проект
СУК на EQE Мисия: "Чрез високотехнологични консултантски и проектантски услуги да подпомага своите клиенти в стремежа им постоянно да повишават качеството и безопасността на дейността си и да намаляват съпътстващите въздействия върху околната среда" Ценностна система • Интересите на нашите клиенти • Осъзнаваме нашата отговорност • Нашите активи – експертите и репутацията Глобална цел: ”Задоволяване на изискванията на клиентите чрез качествени и икономически ефективни инженерни или управленски решения, които не застрашават здравето на хората и безопасността на обекта, не замърсяват околната среда, решения - съобразени с изискванията на закона, приложимите международни стандарти и нормативните документи, действащи в страната”.
Документи Документация EQE Политика Цели • Политика • Цели • Задачи за 2007 • Наръчник по качеството • Таблица на цитиране на документите по УК • Процеси (7) • Длужностни характеристики • Процедури (6) • Работни инструкции (8) • Записи по качество, съгласно изискванията на процеси, процедури, инструкции; бланки • Технически архив • Нормативна библиотека НК Системни и процесни процедури Работни процедури (инструкции), методики, изисквания Записи, външна комуникация, стандарти, закони, нормативи и пр.
Процедури КАКВО ? • Какво представлява целта на производството, услугата или административната дейност • Какво се прави за постигане на тази цел • Какво е необходимо да се направи, ако целта не бъде постигната КОЙ ? • Кой изпълнява дейностите • Кой трябва да контролира изпълнението • Кой проверява специфичния продукт, издава документите и т.н.
Процедури КАК ? • Как се изпълнява дейността • Как се изпитва продуктът или оценява услугата • Как се събират и регистрират данните • Как се оценява ефективността КОГА ? • Кога се изпълнява процедурата • Кога да се изпълни конкретна операция • Кога да се проведат изпитанията и т.н.
Управление насигурносттанаинформациятаСъдържание • Предизвикателствата предбизнеса 2. Принципина управление на сигурността 3. Модели на системи за управление 4. Системи за управлениена сигурносттана информацията 5. Въпроси и коментари
Global Compact Глобални цели на управлението на бизнеса • Осигуряване на непрекъснатост /стабилност/ на бизнеса • Минимизиране на щетите за бизнеса • Максимизиране на възвръщаемостта на инвестициите
11 СЕПТЕМВРИ, 2001 Сигурността е водещ фактор във всички сектори на глобалната икономика и нашия живот.
Ключови елементи в изграждането на системата за сигурност • E-government приложения и услуги. • Защита на информационната инфраструктура с национално значение. • Неприкосновеност - необходимост от защита на личните данни.
OECD Принципи за сигурност • Осъзнаване Да бъде осъзната необходимостта от сигурност на инфорационните системи и мрежи и с какво те спомагат за изграждане насигурна бизнес среда. • Отговорност Отговорност за сигурността на информационни системи и мрежи. • Оценка на риска Прилагане на механизми за оценка на риска.
OECD Принципи за сигурност • Проектиране и внедряване на системи за сигурност Сигурността да бъде включена като един от ключовите елементи в структурата на информационните системи и мрежи. • Управление на сигурността Изчерпателен подход в управлението на сигурността. • Реакция Навременна намеса и сътрудничество за предотвратяване, откриване и реакция при инциденти по сигурността.
OECD Принципи за сигурност • Демократичност Сигурността на информационните системи и мрежи трябва да бъде съвместима с ценностите на демократичното общество. • Етичност Уважение към законовите права на другите. • Периодична оценка Преглед и периодична оценка на сигурността на информационните системи и мрежи и изработване на подходящи промени в политиката за сигурност, включвайки подходящи практики, мерки и процедури за сигурността.
Околна среда Комуни-кации с клиенти ...... Финанси Социална отговорност Качество Сигурност Човешки ресурси Здраве и безопасност Системи за управление
Система за управление насигурността наинформацията ISO/IEC 27001
Какво представлява информационната сигурност ? Конфиденциалност Confidentiality ПРОСЛЕДИМОСТ TRACEABILITY Цялостност Integrity Наличност Availability
Източници за определяне на изискванията за сигурността • правни, законови, регулаторни • договорни изисквания, • оценката на рисковете • принципи, цели и бизнес изисквания
Информационна сигурност - Структура Информационна сигурност 45% 55% Административна сигурност IT-Сигурност Data Centre-Сигурност Комуникационна сигурност Физическа сигурност Непрекъснатост на управлението
Контрол, от гледна точка на законодателството за защита на: • данните и тайната на личната информация; • записите на организацията; • правата на интелектуална собственост.
Най-добра практика за сигурност включва: • политиката за сигурност; • разпределение на отговорностите по сигурността; • осведоменост, образование и обучение по сигурност; • правилна обработка в приложенията; • управление на техническата уязвимост; • управление на инцидентите със сигурността; • управление на непрекъснатостта на бизнеса; • усъвършенствания
Серията ISO/IEC 27000 • ISO 27000 – Принципи и речник (в разработка) • ISO 27001 – ISMS изисквания (BS7799 – Част 2) • ISO 27002 – (ISO/ IEC 17799:2005) • ISO 27003 – ISMS Ръководство за приложение (2007) • ISO 27004 – ISMS Метрики и измерване (2007) • ISO 27005 – ISMS Управление на риска • ISO 27006 – 27010 – за бъдещо ползване
Развитие на ISMS стандарта(BS7799 - ISO/IEC 17799 - ISO/IEC 27001:2005) 200X ISO 27005 2008 ISO 27000 2007 ISO 27004 2007 ISO 27003 2005 ISO/IEC 27001:2005 ISO/IEC 17799:2005 2002 Нов BS 7799-2 2001 Нов BS 7799-2 (проект) Декември 2000 ISO/IEC 17799:2000 Шведски стандарт SS 62 77 99 Част 1 & 2 1999 Ново издание на BS 7799 Част 1 & 2 1998 BS 7799 Част 2 1995 BS 7799 Част 1
Ключови точки на сигурността • Сигурността спомага за изпълнение на мисията на организацията • Сигурността е неделим елемент от управлението • Сигурността трябва да бъде Cost-Effective • Собственика на системата носят отговорност относно сигурността извън тяхната организация • Отговорностите за сигурността трябва да бъдат ясно формулирани • Сигурността изисква изчерпателен и цялостен подход • Сигурността трябва да бъде периодически оценявана • Сигурността е ограничена от факторите на социалната среда
ISO/IEC 27001:2005 Пет задължителни изисквания • Раздел 4 – Общи изисквания и изисквания към документацията • Общи изисквания • Установяване и поддръжка • Изисквания към документацията “Организацията трябва да изгради, внедри, поддържа и непрекъснато да подобрява документираната ISMSISMS изцяло в контекст на бизнес активите и риска на организацията. За целите на този стандарт използваните процеси се основават на PDCA модела...”
ISO/IEC 27001:2005 • Раздел 5 –Отговорност на ръководството • Съпричастност на ръководството • Управление на ресурсите • Раздел 6 – Вътрешен ISMSoдит • Раздел 7 – Преглед от ръководството на ISMS • Преглед на входните данни • Преглед на изходните данни • Раздел 8 – Подобряване на ISMS • Непрекъснато подобряване • Коригиращи действия • Превантивни действия
ISO/IEC 27001:2005 Анекс A- Контроли на управлението • A.5- Политика на сигурността • A.6- Организационна и информационна сигурност • A.7- Управление на активите • A.8- Сигурност на човешките ресурси • A.9- Физическа сигурност и защита от околната среда • A.10- Управление на комуникациите • A.11- Контрол на достъп • A.12- Информационни системи, изграждане и поддръжка • A.13- сигурност на информацията при инциденти • A.14- Управление на непрекъснатостта на бизнеса • A.15- Съответствие
Критични фактори за успех • Опитът показва, че следните фактори са критични за успешното внедряване на информационната сигурност вътре в организацията: • Политиката на сигурност, цели и дейности, които оказват влияние върху бизнес целите на организацията • Подходът на внедряване на сигурността, който е съставна част от културата на организацията • Видима поддръжка и съпричастност от страна на ръководството • Правилно разбиране на изискванията за сигурност, оценяването на риска и управлението на риска • Ефективен маркетинг на идеологията за необходимост от сигурност, възприет и осъзнат от всички мениджъри и служители • Предоставяне на информация относно политиката за сигурност до всички служители • Осигуряване на подходящо обучение
ISO/IEC 27002:2007 • 11 точки за контрол на риска; • 39 основни категории сигурност; • 133 контроли на сигурността.
Информация Служители Клиенти Финанси Управление на комуникациите Схема на ISO/IEC 27001 Политика за сигурност Съответствие Организационна сигурност Управление на непрекъснатостта на бизнеса Класифициранe на активите и контрол Изграждане и поддържане на системата Сигурност на персонала Контрол на достъп Сигурност на физическо ниво
Оценка на риска • Всички с оценка над 100 да се определят контроли • Да се преизчисли риска след прилагане на приложените контроли
Anti-Spam Engine Филтриране Входяща поща
Заключение Нашите възможности • Да се пренебрегнат моделите • Да се изгради система за управление съгласно моделите • Сертифициране EQEB
Въпроси УСПЕХ НА ВСИЧКИ! Questions & Answers ? Митко Мирчев Атанаска Пенева Емил Иванчев E-mail: mirtchev@eqe.bg app@eqe.bg eii@eqe.bg