Руководство по внедрению суиб

Время на прочтение
6 мин

Количество просмотров 28K

На сегодняшний день вопрос информационной безопасности (далее – ИБ) компаний является одним из наиболее актуальных в мире. И это неудивительно, ведь во многих странах происходит ужесточение требований к организациям, которые хранят и обрабатывают персональные данные. В настоящее время российское законодательство требует сохранения значительной доли документооборота в бумажном виде. При этом ощутим тренд на цифровизацию: многие компании уже хранят большое количество конфиденциальной информации как в цифровом формате, так и в виде бумажных документов.

По итогам опроса аналитического центра Anti-Malware 86% респондентов отметили, что за год им хотя бы раз пришлось урегулировать инциденты после кибератак или в результате нарушения пользователями установленных регламентов. В связи с этим приоритетное внимание в бизнесе к информационной безопасности стало необходимостью.

В настоящее время корпоративная информационная безопасность – это не только комплекс технических средств, таких как антивирусы или межсетевые экраны, это уже комплексный подход к обращению с активами компании в целом и с информацией – в частности. Компании по-разному подходят к решению данных проблем. Сегодня мы хотели бы рассказать о внедрении международного стандарта ISO 27001 в качестве решения подобной проблемы. Для компаний на российском рынке наличие подобного сертификата упрощает взаимодействие с зарубежными клиентами и партнерами, у которых есть высокие требования в данном вопросе. ISO 27001 широко применяется на Западе и охватывает требования в области ИБ, которые должны покрываться используемыми техническими решениями, а также способствовать выстраиванию бизнес-процессов. Таким образом, данный стандарт может стать вашим конкурентным преимуществом и точкой соприкосновения с зарубежными компаниями.

Данная сертификация Системы управления информационной безопасностью (далее – СУИБ) собрала в себе лучшие практики проектирования СУИБ и, что немаловажно, предусмотрела возможность выбора средств управления для обеспечения функционирования системы, требования к технологическому обеспечению безопасности и даже к процессу управления персоналом в компании. Ведь необходимо понимать, что технические сбои – это только часть проблемы. В вопросах ИБ огромную роль играет человеческий фактор, исключить или минимизировать который значительно сложнее.

Если ваша компания собирается пройти сертификацию по стандарту ISO 27001, то, возможно, вы уже пытались найти легкий путь, чтобы сделать это. Нам придется вас разочаровать: легких путей здесь нет. Однако есть определенные шаги, которые помогут подготовить организацию к международным требованиям по информационной безопасности:

1. Получите поддержку со стороны руководства

Вы можете считать это очевидным, но на практике этот момент часто упускают из виду. Более того, это одна из основных причин, почему зачастую проекты по внедрению ISO 27001 проваливаются. Без понимания значимости проекта по внедрению стандарта руководство не предоставит либо достаточное количество человеческих ресурсов, либо достаточный бюджет для сертификации.

2. Разработайте план подготовки к сертификации

Подготовка к сертификации по ISO 27001 – это комплексная задача, которая включает в себя разные виды работ, требует вовлечения большого количества людей и может длиться долгие месяцы (или даже годы). Поэтому очень важно составить детальный план проекта: распределить ресурсы, время и вовлечение людей на строго определенные задачи и следить за соблюдением дедлайнов – иначе вы можете никогда не закончить работу.

3. Определите периметр сертификации

Если у вас крупная организация с диверсифицированной деятельностью, вероятно, имеет смысл сертифицировать по ISO 27001 только часть бизнеса компании, что значительно снизит риски вашего проекта, а также его сроки и стоимость.

4. Разработайте политику информационной безопасности

Одним из важнейших документов является Политика информационной безопасности компании. В нем следует отразить цели вашей компании в области информационной безопасности и основные принципы управления ИБ, которая должны соблюдаться всеми сотрудниками. Задача этого документа – определить, чего руководство компании хочет достичь в области ИБ, а также каким образом это будет осуществляться и контролироваться.

5. Определите методологию оценки рисков

Одна из самых сложных задач – определение правил оценки рисков и управления ими. Важно понимать, какие риски компания может считать приемлемыми для себя, а какие требуют немедленных действий для их снижения. Без этих правил СУИБ не будет работать.
При этом стоит помнить об адекватности вырабатываемых мер, предпринимаемых для уменьшения рисков. Но не стоит сильно увлекаться процессом оптимизации, ведь они несут за собой в том числе и большие временные или финансовые затраты или могут быть просто невыполнимы. Рекомендуем вам при разработке мер по снижению рисков пользоваться принципом «минимальной достаточности».

6. Управляйте рисками согласно утвержденной методологии

Следующий этап – последовательное применение методологии управления рисками, то есть их оценка и обработка. Этот процесс должен осуществляться на регулярной основе с большой тщательностью. Поддерживая реестр рисков ИБ в актуальном состоянии, вы сможете эффективно распределять ресурсы компании и предотвращать серьезные инциденты.

7. Планируйте обработку рисков

Риски, превышающие приемлемый для вашей компании уровень, должны обязательно попадать в план обработки рисков. В нем должны фиксироваться действия, направленные на снижение рисков, а также ответственные за них лица и сроки.

8. Заполните Положение о применимости

Это ключевой документ, который будет изучаться специалистами из сертифицирующего органа при проведении аудита. В нем должно быть описано, какие механизмы контроля в области информационной безопасности применимы к деятельности вашей компании.

9. Определите, как будет измеряться эффективность средств управления ИБ

Любое действие должно иметь результат, ведущий к выполнению установленных целей. Поэтому важно четко определить, по каким параметрам будет измеряться достижение целей как для всей системы управления ИБ, так и для каждого выбранного механизма контроля из Приложения о применимости.

10. Внедрите средства управления ИБ

И только после реализации всех предыдущих шагов нужно приступить к внедрению применимых средств управления ИБ из Приложения о применимости. Самой большой сложностью здесь, конечно, будет являться внедрение совершенно нового образа действий во многих процессах вашей организации. Люди обычно сопротивляются новым политикам и процедурам, поэтому обратите внимание на следующий пункт.

11. Внедрите программы обучения для сотрудников

Все описанные выше пункты будут бессмысленны, если ваши сотрудники не понимают важности проекта и не действуют в соответствии с политиками ИБ. Если вы хотите, чтобы ваш персонал соблюдал все новые правила, сначала нужно объяснить людям, почему они необходимы, а затем провести обучение по СУИБ, осветив все важные политики, которые должны учитывать сотрудники в своей ежедневной работе. Отсутствие обучения персонала является распространенной причиной провала проекта по ISO 27001.

12. Поддерживайте процессы СУИБ

На этом этапе ISO 27001 становится повседневной рутиной в вашей организации. Чтобы подтвердить внедрение средств управления ИБ в соответствии со стандартом, аудиторам нужно будет предоставить записи – доказательства реальной работы механизмов контроля. Но в первую очередь записи должны помочь вам отслеживать, выполняют ли ваши сотрудники (и поставщики) свои задачи в соответствии с утвержденными правилами.

13. Подвергайте СУИБ мониторингу

Что происходит с вашей СУИБ? Сколько у вас инцидентов, какого они вида? Должным ли образом выполняются все процедуры? С помощью этих вопросов вы должны проверить, достигает ли компания целей в области информационной безопасности. Если нет, вы должны разработать план исправления ситуации.

14. Проводите внутренний аудит СУИБ

Цель внутреннего аудита – выявить несоответствие реальных процессов в компании утвержденным политикам в области ИБ. По большей части это проверка того, насколько ваши сотрудники выполняют правила. Это очень важный пункт, ведь если вы не контролируете работу своего персонала, организации может быть нанесен ущерб (умышленный или неумышленный). Но задача здесь не в том, чтобы найти виновных и наложить на них дисциплинарные взыскания за несоблюдение политик, а в том, чтобы исправить ситуацию и предотвратить будущие проблемы.

15. Организуйте анализ со стороны руководства

Руководство не должно настраивать ваш файрволл, но оно должно знать, что происходит в СУИБ: например, выполняют ли все свои обязанности и достигает ли СУИБ целевых результатов. Основываясь на этом, руководство должно принимать ключевые решения по совершенствованию СУИБ и внутренних бизнес-процессов.

16. Введите систему корректирующих и превентивных действий

Как и любой стандарт ISO 27001 требует «непрерывного улучшения»: систематического исправления и предотвращения несоответствий в системе управления информационной безопасностью. С помощью корректирующих и превентивных действий можно исправить несоответствие и предотвратить его повторное появление в будущем.

В заключение хочется сказать, что на самом деле пройти сертификацию намного сложнее, чем это описано в различных источниках. Подтверждением является тот факт, что в России на сегодняшний день всего 78 компаний прошли сертификацию на соответствие. При этом за рубежом это один из наиболее популярных стандартов, отвечающих растущим запросам бизнеса в области ИБ. Такая востребованность внедрения обусловлена не только ростом и усложнением типов угроз, но и требованиями законодательства, а также клиентов, которым необходимо сохранение полной конфиденциальности их данных.

Несмотря на то, что сертификация СУИБ является непростой задачей, сам факт выполнения требований международного стандарта ISO/IEC 27001 может дать серьезное конкурентное преимущество на глобальном рынке. Надеемся, что наша статья дала первичное понимание ключевых этапов при подготовке компании к сертификации.

Подготовил и решил опубликовать несколько рекомендаций по внедрению СУИБ. Держите!

1. Поймите зачем вам СУИБ и собираетесь ли вы выходить на сертификацию. Ведь ISO 27001 можно просто использовать в качестве «лучших практик» для совершенствования ИБ…

2. Внедрять СУИБ для сертификации долго и дорого. Обычно это занимает 1.5-2 года. 1 год – это реальный, но скорее оптимистичный срок. 

3. Вот первые шаги по внедрению СУИБ:

• Закупите и внимательно изучите ISO 27001, ISO 27002, ISO 27003, ISO 27005, ISO 27006, ISO 27007. На будущее закупите 19011 и 22301. Да, вы можете пользоваться своими собственными копиями, но на сертификации вас спросят про легальность их происхождения…

• Оцените текущее состояние СУИБ (GAP-анализ). Лучше это сделать самостоятельно «на коленке», тратиться на консалтинг пока не стоит. Основные задачи тут две: самостоятельно разобраться с требованиями стандарта и выявить проблемные области.

• Издайте приказ о внедрении СУИБ и назначении ответственного. Кстати, было бы не плохо сразу назначить ответственного за непрерывность, потом пригодится.

• Создайте Комитет по ИБ и проведите первое заседание. На нем презентуйте стандарт, подход к СУИБ и объясните бизнесу зачем все это надо. Необходимо заручиться поддержкой бизнеса, иначе «не взлетит».

• Разберитесь с процессом управления документами, подготовьте шаблоны, поймите кто будет согласовывать документы и поймите их требования. Документов придется разрабатывать много… Подготовьте следующие шаблоны, они очень пригодятся:

i. Шаблон протокола Комитета по ИБ

ii. Шаблон презентации для Комитета по ИБ

iii. Шаблон Политики/Стандарта/Положения/Руководства (требования)

iv. Шаблон Процесса/Процедуры/Регламента (процедура)

v. Шаблон Плана Аудита ИБ

vi. Шаблон отчета по Аудиту ИБ

• Разработайте большую Политику/Мануал/Руководство СУИБ, в котором распишите цели и принципы ИБ, роли и ответственность, основные процессы и требования. Я рекомендую сделать следующие приложения к документу (ну, или отдельные документы):

i. Область действия СУИБ (scope)

ii. Перечень заинтересованных сторон и их ожидания

iii. Перечень нормативных требований и «лучшие практики»

iv. Перечень документов СУИБ (для начала ориентировочный)

4. Четко поймите, что для сертификации Процессы и Записи (свидетельства выполнения процессов) важнее документов с требованиями. Записи надо собирать и хранить…

5. Стандартный и удобный период цикла PDCA – один год. Но я бы рекомендовал некоторые процессы СУИБ, например, «измерение ИБ», «оценка ИБ руководством» и «управление рисками» проходить 2 раза за год. Кстати, риски могут считаться и чаще, если это принято на корпоративном уровне, но по моему опыту 2 раза в год – это оптимально (не слишком затратно и видна динамика).

6. Заседания Комитета по ИБ рекомендую проводить ежемесячно и кратко. У нас получается от 20 до 60 минут на совещание, это не сильно напрягает участников. 

7. Управление рисками – важнейший и в тоже время сложнейший процесс СУИБ, на аудите его будет проверять особенно тщательно. Есть высокий риск при внедрении СУИБ «заиграться» и потратить слишком много времени на его внедрение (а точнее на выбор методологии и проведение оценки). Если вы не являетесь профессионалом в вопросе оценки рисков (составление моделей угроз для российских регуляторов методом копи-паст, тут, конечно, не в счет), то не усложняйте и используйте ISO 27005 и простые эксельки.

8. Вот еще мысль на будущее: «Если вы не работаете с KRI (ключевые индикаторы риска), то вы не управляете рисками…»

9. Из сложных вопросов внедрения СУИБ я бы выделил только следующие:

• Управление непрерывностью

• Управление рисками

10. А вот эти процессы любят усложнять (для начала не стоит):

• Измерения ИБ (метрики)

• Управления рисками

• Управление инцидентами

• Управление изменениями

• Управление непрерывностью

11. Не надо делать сложных и красивых процедур с их автоматизацией, лучше простые, но рабочие и развивающиеся.

12. А вот эти блоки обычно или забывают или делают очень поверхностно, что создает проблемы на аудите:

• Документирование перечня заинтересованных сторон, их требований и ожиданий.

• Определение целей ИБ и конкретных метрик. «Как вы поймете, что работаете хорошо?». Напомню, что цели ИБ должны быть выровнены с целями бизнеса.

• Документирование области действия СУИБ (scope).

• Определение и контроль требований ИБ, предъявляемых к поставщикам.

• Процесс работы с несоответствиями (NCR) и поиск корневых причин несоответствий (втч позитивных).

• Учет рисков со стороны поставщиков и рисков при изменениях в общем реестре рисков ИБ.

• Контроль версионности документов и записей. 

• Процедура увольнения, возвращение активов и отзыв прав доступа.

• Документирование перечня законодательных и нормативных требований к СУИБ, регулярный пересмотр и обновление.

• Соблюдение требований по обработке и защите ПДн.

• Проверка восстановления резервных копий.

• Проверка BCP / DRP.

• Наличие свидельств проведения тренингов повышения осведомленности и обучения сотрудников обучения.

• Наличие программы и планов повышения осведомленности и обучения сотрудников.

• Наличие программы и планов внутренних аудитов.

• Правила и процедуры уничтожения документов и оборудования.

• Проверка компетенции сотрудников, требования по компетенциями и планы по обучению.

• Документирование требований и процедур физической безопасности.

13. Некоторые записи, например, Реестр информационных активов, Реестр рисков ИБ, SoA и некоторые другие удобно делать в Excel. Тут рекомендую создать отдельный лист с таблицей контроля версионности.

14. Обратите внимание чтобы шаблоны и, соответственно, итоговые документы содержали следующие атрибуты:

• Дата и номер документа

• Версия

• Кем согласован / утвержден

• Пометка от конфиденциальности документа

• Номера страниц

15. Желательно в документах уровня Требования и Процедуры указывать область действия документа, назначение, роли и ответственность, порядок и периодичность пересмотра. Метрики для процедур указывать не рекомендую, усложните и запутаетесь.

16. Как писать Политики/Стандарты/Положения? Открывает ISO 27002, читаем, пересказываем своими словами с учетом контекста организации. Для вдохновения еще можем смотреть NIST, SANS и примеры документов из Интернета.

17. Как писать Процедуры/Регламенты? Читаем для вдохновения ISO 27002, COBIT, ITIL, NIST, затем думаем и рисуем черновик схемы процесса, проверяем его на адекватность (еще раз: лучше упрощать) и документируем по шагам. 

18. Как вести Записи? В простом, удобном и наглядном шаблоне. Тут тоже упрощайте.

19. Вообще, при разработке документов старайтесь не копи-пастить, а именно писать их с нуля по структуре выбранного шаблона. Так документы будут проще и понятнее, они будут в одном стиле и работать с ними будет удобнее…

20. Если разрабатываете документы на английском языке, то обратите внимание на модальные глаголы Shall (требования), Should (рекомендации) и прочие. Подробнее про их использование прописано в ISO 27000 Приложение А. 

21. Пригодится вести хронологию СУИБ (какие ключевые события и когда происходили), я это делаю в Excel.

22. В реестре активов не забудьте указать их владельцев. Рекомендую сразу там же определить требования по доступности активов (пригодится для BCM).

23. Проводите честный внутренний аудит ИБ, документируйте несоответствия и устраняйте их. Или хотя бы планируйте исправление.

24. Типовые ошибки при внедрении СУИБ:

• Отсутствие поддержки руководства.

• Отсутствие поддержки со стороны смежных и вовлеченных подразделений.

• Слишком оптимистичные планы.

• Сложные процедуры согласования и утверждения документов.

• Слишком сложные процедуры (слишком много ролей и размытые зоны ответственности, большое количество записей и их сложность, высокие трудозатраты, наличие сложных метрик, высокие надежды на автоматизацию (если уровень зрелости низкий, то не надо усложнять и гнаться за ней).

• Пренебрежение записями (не собираются, не хранятся).

• Слабое планирование, отсутствие четких приоритетов, «залипание» на отдельных процедурах и требованиях, забывание про важные.

• Отсутствие конкретных целей и слишком большое количество метрик.

• Отсутствие системы мотивации команды проекта.

• Слабая система коммуникации и координации на проекте.

• Излишние надежды на консультантов.

25. Вообще, с консалтингом надо быть аккуратным и стараться внедрять СУИБ собственными силами. Есть ощущение, что зачастую бюджет лучше потратить на обучение команды, закупку шаблонов и тулкитов, и, конечно, заложить бюджет на мотивацию персонала. Стоит задуматься о том, чтобы усилить штат сильными экспертами, а также недорогими специалистами начального уровня, которые будут занимать рутинными задачами (оформление, правка и обновление документов, ведение записей и все такое).

26. Если вы берете консалтинг, то должны четко понимать, что вы от него хотите: экспертизу и шаблоны и/или разгрузку своих специалистов от рутинных задач.

27. У консультантов есть несколько проблемы: они плохо знаю ваш бизнес (контекст), они склонны усложнять (вы же им заплатили деньги -получите тонны бумаги и огромные эксельки), и они настойчиво предлагают различные средства автоматизации, которые вам могут быть пока не нужны.

28. Не стоит ожидать управляемых, измеряемых и автоматизированных процессов, если эти процессы вообще не были внедрены в вашей компании. Это особенно будет заметно на процессах управления рисками, управление инцидентами, управление непрерывностью и оценке эффективности ИБ (измерения).

29. Как проверить опыт и экспертизу консультантов? Попросите примеры или просто шаблоны следующих документов (вас должны насторожить отсутствие этих примеров, их излишняя сложность и навязчивая необходимость высокой зрелости/автоматизации):

• План проекта (с расчетом трудозатрат команды);

• Методика оценки рисков;

• SoA;

• Список заинтересованных сторон и их ожиданий;

• Пример целей и метрик ИБ;

• Описание области действия (scope);

• BCP / DRP.

30. Принципы для успешного внедрения СУИБ:

• СУИБ – командная работа

• Упрощайте! Усложнять будет потом при совершенствовании СУИБ…

• Рано думать об автоматизации, если процессы не внедрены.

• Сфокусируйтесь на текстовой части стандарта, а не на Приложении А.

• Процедуры первичны! СУИБ – это менеджмент, а не технические средства.

• Основная задача – запустить процесс постоянного и осознанного улучшения ИБ.

• Повышайте осведомленность сотрудников о ИБ, СУИБ и проекте. Регулярно и доступно объясняете зачем это все надо…

31. Внедренные другие системы менеджмента (например, СМК) могут как помочь проекту (ряд менеджерских процессов уже могут быть внедрены), так и затормозить проект (придется выравнивать и подстраивать свои процессы).

32. Даже если вы не доведете проект до конца, то вы, так или иначе, усилите ИБ своей компании, да и просто получите хороший и нужный опыт…

Рисунок 1. Процессный подход в рамках СУИБ

Рисунок 2. Комплексная система управления информационной безопасностью

Рисунок 3. Место СУИБ в общей системе менеджмента организации

Этапы создания СУИБ

В рамках работ по созданию СУИБ можно выделить следующие основные этапы:

1. Принятие решения о создании СУИБ.
2. Подготовка к созданию СУИБ.
3. Анализ рисков.
4. Разработка политик и процедур СУИБ.
5. Внедрение СУИБ в эксплуатацию.

Рассмотрим данные этапы более подробно.

Принятие решения о создании СУИБ

Решение о создании и последующей сертификации СУИБ должно приниматься высшим руководством организации. Таким образом руководство выражает свою поддержку началу данного процесса, что является ключевым фактором для успешного внедрения СУИБ в организации. При этом руководство должно осознавать конечную цель данного мероприятия и ценность сертификации для бизнеса компании.

Подготовка к созданию СУИБ

Организация рабочей группы

Не менее важным фактором успешного внедрения СУИБ является создание рабочей группы, ответственной за внедрение СУИБ. В ее состав должны войти:

• представители высшего руководства организации;
• представители бизнес-подразделений, охватываемых СУИБ;
• специалисты подразделений, обеспечивающих информационную безопасность в компании, имеющие соответствующее образование или подготовку, знающие основные принципы и лучшие практики в области информационной безопасности.

Перечисленные сотрудники должны понимать универсальные механизмы систем менеджмента, знать требования Стандарта и пройти обучение по вопросам создания и эксплуатации СУИБ.

В состав рабочей группы, кроме сотрудников компании, могут входить также привлеченные консультанты, специализирующиеся в вопросах построения СУИБ.

Хорошей практикой является создание в организации комитета по информационной безопасности, который, кроме вопросов, связанных с внедрением СУИБ, должен на постоянной основе обеспечить решение задач, определяемых эксплуатацией данной СУИБ и ее непрерывным совершенствованием.

Нормативно-методическое обеспечение

Рабочая группа должна иметь в своем распоряжении всю необходимую нормативно-методическую базу для успешного создания системы управления информационной безопасностью, соответствующей требованиям Стандарта. К сожалению, в настоящий момент изданы далеко не все необходимые документы, что безусловно затрудняет внедрение требований Стандарта.

Ниже приведены стандарты и методики, которыми следует руководствоваться:

• ISO/IEC 27000 — Словарь и определения. Дата выхода неизвестна.
• ISO/IEC 27001:2005.
• ISO/IEC 27002. Сейчас: ISO/IEC 17799:2005. Дата выхода — 2007 год.
• ISO/IEC 27003. Руководство по внедрению СМИБ. Дата выхода — 2008 год.
• ISO/IEC 27004. Метрики ИБ. Дата выхода неизвестна.
• ISO/IEC 27005. Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
• ISO/IEC 27006. «Guidelines for information and communications technology disaster recovery services». Сейчас: SS507:2004 — Singapore Standards for Business Continuity/Disaster Recovery (BC/DR) Service Providers. Дата выхода неизвестна.
• ISO/IEC Guide 73:2002, Risk management — Vocabulary — Guidelines for use in standards.
• ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security managment.
• ISO/IEC TR 18044 Information technology — Security techniques — Information security incident management.
• ISO/IEC 19011:2002 Guidelines for quality and / or environmental management systems auditing.
• Серия методик Британского института стандартов по созданию СУИБ (ранее: документы серии PD 3000).

Выбор области деятельности организации, которая будет охвачена СУИБ

При выборе области деятельности, в которой силами специально созданной рабочей группы будут внедряться механизмы СУИБ, должны учитываться следующие факторы:

• деятельность и услуги, предоставляемые организацией своим партнерам и клиентам;
• целевая информация, безопасность которой должна быть обеспечена;
• бизнес-процессы, обеспечивающие обработку целевой информации;
• подразделения и сотрудники организации, задействованные в данных бизнес-процессах;
• программно-технические средства, обеспечивающие функционирование данных бизнес-процессов;
• территориальные площадки компании, в рамках которых происходят сбор, обработка и передача целевой информации.

Результатом является согласованная с высшим руководством область деятельности организации, в рамках которой планируется создание СУИБ (Рис. 4).

Выявление несоответствий

Для уточнения объема работ и необходимых затрат на создание и последующую сертификацию СУИБ члены рабочей группы проводят работы по выявлению и анализу несоответствий существующих в организации мер защиты требованиям Стандарта. При этом анализируются как применяемые организационные мероприятия в области планирования, внедрения, аудита и модернизации мер по обеспечению информационной безопасности, так и используемые программно-технические средства и механизмы защиты информации.

На данном этапе компания также может выбрать независимый орган по сертификации систем менеджмента, имеющий соответствующую аккредитацию, в котором она хотела бы пройти сертификацию.

Хорошей практикой является заказ у органа по сертификации предварительного аудита для выявления существующих на текущий момент несоответствий требованиям Стандарта. Предварительный аудит на данном этапе поможет выявить области, требующие усовершенствования.

Результатом этих работ должен стать перечень несоответствий требованиям Стандарта и план работ по созданию СУИБ организации.

Анализ рисков

Одной из наиболее ответственных и сложных задач, решаемых в процессе создания СУИБ, следует назвать проведение анализа рисков информационной безопасности в отношении активов организации в выбранной области деятельности и принятие высшим руководством решения о выборе мер противодействия выявленным рискам.

В процессе анализа рисков проводятся следующие работы:

• идентификация всех активов в рамках выбранной области деятельности;
• определение ценности идентифицированных активов;
• идентификация угроз и уязвимостей для идентифицированных активов;
• оценка рисков для возможных случаев успешной реализации угроз информационной безопасности в отношении идентифицированных активов;
• выбор критериев принятия рисков;
• подготовка плана обработки рисков.

Выполнение всех указанных задач обычно осуществляется в соответствии с разрабатываемой процедурой анализа рисков, в которой определена методология и отражены организационные аспекты по каждой из задач.

Идентификация и определение ценности активов

В рамках данных работ должны быть рассмотрены все бизнес-процессы, входящие в выбранную область деятельности организации. По каждому бизнес-процессу совместно с владельцем процесса производится идентификация задействованных активов (Рис. 5).

В терминах Стандарта под активами понимаются:

• информационные входные данные;
• информационные выходные данные;
• информационные записи;
• ресурсы: люди, инфраструктура, оборудование, программное обеспечение, инструменты, услуги.

Следующим шагом в проведении анализа рисков ИБ в отношении активов компании является определение цености актива, которая выражается в величине ущерба для организации, если нарушается какое-либо из следующих свойств актива: конфиденциальность, целостность, доступность.

Информация о ценности актива может быть получена от его владельца или же от лица, которому владелец делегировал все полномочия по данному активу, включая обеспечение его безопасности.

Результатом данных работ является отчет об идентификации и оценке ценности активов.

Анализ рисков

Анализ рисков — это основной движущий процесс СУИБ. Он выполняется не только при создании СУИБ, но и периодически при изменении бизнес-процессов организации и требований по безопасности.

Необходимо подобрать такую методику анализа рисков, которую можно было бы использовать с минимальными изменениями на постоянной основе. Есть два пути: использовать существующие на рынке методики и инструментарий для оценки рисков или же разработать свою собственную методику, которая наилучшим образом будет подходить к специфике компании и охватываемой системой управления информационной безопасности области деятельности.

Последний вариант наиболее предпочтителен, поскольку пока большинство существующих на рынке продуктов, реализующих ту или иную методику анализа рисков, не отвечают требованиям Стандарта. Типичными недостатками таких методик являются:

• стандартный набор угроз и уязвимостей, который зачастую невозможно изменить;
• принятие в качестве активов только программно-технических и информационных ресурсов — без рассмотрения человеческих ресурсов, сервисов и других важных ресурсов;
• общая сложность методики с точки зрения ее устойчивого и повторяющегося использования.

В процессе анализа рисков для каждого из активов или группы активов производится идентификация возможных угроз и уязвимостей, оценивается вероятность реализации каждой из угроз и, с учетом величины возможного ущерба для актива, определяется величина риска, отражающего критичность той или иной угрозы.

Необходимо отметить, что в соответствии с требованиями Стандарта в процедуре анализа рисков должны быть идентифицированы критерии принятия рисков и приемлемые уровни риска. Эти критерии должны базироваться на достижении стратегических, организационных и управленческих целей организации.

Высшее руководство компании использует данные критерии, принимая решения относительно принятия контрмер для противодействия выявленным рискам. Если выявленный риск не превышает установленного уровня, он является приемлемым, и дальнейшие мероприятия по его обработке не проводятся. В случае же, когда выявленный риск превышает приемлемый уровень критичности угрозы, высшее руководство должно принять одно из следующих возможных решений:

• снижение риска до приемлемого уровня посредством применения соответствующих контрмер;
• принятие риска;
• избежание риска;
• перевод риска в другую область, например, посредством его страхования.

Реализация плана обработки рисков

В соответствии с принятыми решениями формируется план обработки рисков. Данный документ содержит перечень первоочередных мероприятий по снижению уровней рисков, а также цели и средства управления из «Приложения А» Стандарта, направленные на снижение рисков, с указанием:

• лиц, ответственных за реализацию данных мероприятий и средств;
• сроков реализации мероприятий и приоритетов их выполнения;
• ресурсов для реализации таких мероприятий;
• уровней остаточных рисков после внедрения мероприятий и средств управления.

Принятие плана обработки рисков и контроль за его выполнением осуществляет высшее руководство организации. Выполнение ключевых мероприятий плана является критерием, позволяющим принять решение о вводе СУИБ в эксплуатацию.

Разработка политик и процедур СУИБ

Разработка организационно-нормативной базы, необходимой для функционирования СУИБ, может проводиться параллельно с реализацией мероприятий плана обработки рисков.

На данном этапе разрабатываются документы, явно указанные в Стандарте, а также те, необходимость реализации которых вытекает из результатов анализа рисков и из собственных требований компании к защите информации. Обычно сюда входят следующие основные политики и процедуры:

• область деятельности СУИБ;
• политика СУИБ;
• подполитики по основным механизмам обеспечения информационной безопасности, применимым к выбранной области деятельности, охватываемой СУИБ, такие как:
  • политика антивирусной защиты;
  • политика предоставления доступа к информационным ресурсам;
  • политика использования средств криптографической защиты;
  • другие политики;
• процедуры СУИБ:
  • управление документацией;
  • управления записями;
  • внутренние аудиты;
  • корректирующие действия;
  • предупреждающие действия;
  • управление инцидентами;
  • анализ функционирования СУИБ руководством организации;
  • оценка эффективности механизмов управления СУИБ;
  • другие процедуры и инструкции.

Разрабатываемые политики и процедуры должны охватывать следующие ключевые процессы СУИБ:

• управление рисками;
• управление инцидентами;
• управление эффективностью системы;
• управление персоналом;
• управление документацией и записями системы управления ИБ;
• пересмотр и модернизация системы;
• управление непрерывностью бизнеса и восстановления после прерываний.

Кроме того, в должностные инструкции ответственного персонала, положения о подразделениях, контрактные обязательства организации должны быть включены обязанности по обеспечению информационной безопасности.

Обязанности по выполнению требований СУИБ посредством соответствующих приказов и распоряжений возлагаются на ответственных сотрудников подразделений, охватываемых СУИБ.

Все разработанные положения политики СУИБ, подполитик, процедур и инструкций доводятся до сведения рядовых сотрудников при их первоначальном и последующем периодическом обучении и информировании.

Таким образом, в результате не только создается документальная база СУИБ, но и происходит реальное распределение обязанностей по обеспечению безопасности информации среди персонала организации.

Внедрение СУИБ в эксплуатацию

Датой ввода СУИБ в эксплуатацию является дата утверждения высшим руководством компании положения о применимости средств управления. Данный документ является публичным и декларирует цели и средства, выбранные организацией для управления рисками. Положение включает:

• средства управления и контроля, выбранные на этапе обработки рисков (в том числе из «Приложения А» Стандарта);
• существующие в организации средства управления и контроля;
• средства, обеспечивающие выполнение требований законодательства и требований регулирующих организаций;
• средства, обеспечивающие выполнение требований заказчиков;
• средства, обеспечивающие выполнение общекорпоративных требований;
• любые другие соответствующие средства управления и контроля.

При вводе СУИБ в эксплуатацию задействуются все разработанные процедуры и механизмы, реализующие выбранные цели и средства управления (Рис. 6).

Подготовка к сертификационному аудиту

На данном этапе, как и на начальном, организации рекомендуется пройти предварительный аудит, который поможет оценить готовность к сертификационному аудиту. Предварительный аудит обычно проводится тем же органом по сертификации, в котором предполагается прохождение сертификационного аудита.

По результатам предварительного аудита орган по сертификации составляет отчет, в нем отмечаются все положительные стороны созданной СУИБ, выявленные несоответствия и рекомендации по их устранению.

Для проведения сертификационного аудита рекомендуется, чтобы СУИБ компании функционировала от трех до шести месяцев. Это минимальный период, необходимый для первичного выполнения внутренних аудитов и анализа СУИБ со стороны руководства, а также для формирования записей по результатам выполнения всех процедур СУИБ, которые анализируются в ходе сертификационного аудита.

Результатом данного этапа является СУИБ организации, готовая к прохождению сертификационного аудита.

Заключение

Рассмотрев основные этапы создания СУИБ, отметим, что этот процесс достаточно сложен и длителен. Очевидно, что работы по разработке и внедрению системы не могут увенчаться успехом без ярко выраженной приверженности высшего руководства компании к созданию СУИБ. Наличие такой приверженности поможет создать эффективную и реально работающую систему.

Усилия, затраченные на создание системы управления информационной безопасностью, позволят организации выйти на новый уровень отношений с клиентами, партнерами, акционерами, продемонстрировать надежность компании и предоставят возможность успешной конкуренции с ведущими компаниями на международном рынке.

1.1. История развития стандартов управления информационной безопасностью

Сегодня безопасность цифрового пространства показывает новый путь национальной безопасности каждой страны. В соответствии с ролью информации как ценного товара в бизнесе, её защита, безусловно, необходима. Для достижения этой цели, каждой организации, в зависимости от уровня информации (с точки зрения экономической ценности), требуется разработка системы управления информационной безопасностью (далее — СУИБ), пока существует возможность, защиты своих информационных активов.

В организациях, существование которых значительно зависит от информационных технологий (далее — ИТ), могут быть использованы все инструменты для защиты данных. Тем не менее, безопасность информации необходима для потребителей, партнеров по сотрудничеству, других организаций и правительства. В связи с этим, для защиты ценной информации, необходимо что бы каждая организация стремилась к той или иной стратегии и реализации системы безопасности на её основе.

СУИБ является частью комплексной системы управления, основанной на оценке и анализов рисков, для разработки, реализации, администрирования, мониторинга, анализа, поддержания и повышения информационной безопасности (далее — ИБ) и ее реализации, полученных из целей организации и требования, требования безопасности, используемых процедур и размерах и структуре ее организации.

Зарождение принципов и правил управления ИБ началось в Великобритании в 1980-х годах. В те годы Министерство торговли и промышленности Великобритании (англ. Department of Trade and Industry, DTI) организовало рабочую группу для разработки свода лучших практик по обеспечению ИБ.

В 1989 году «DTI» опубликовало первый стандарт в этой области, который назывался PD 0003 «Практические правила управления ИБ». Он представлял собой перечень средств управления безопасностью, которые в то время считались адекватными, нормальными и хорошими, применимыми как к технологиям, так и средам того времени. Документ «DTI» был опубликован как руководящий документ британской системы стандартов (англ. British Standard, BS).

В 1995 году Британский институт стандартов (англ. British Standards Institution, BSI) принял национальный стандарт BS 7799—1 «Практические правила управления ИБ». Она описывал 10 областей и 127 механизмов контроля, необходимых для построения СУИБ (англ. Information Security Management System, ISMS), определенных на основе лучших примеров из мировой практики.

Этот стандарт и стал прародителем всех международных стандартов СУИБ. Как и любой национальный стандарт BS 7799 в период 1995—2000 годов пользовался, скажем так, умеренной популярностью только в рамках стран британского содружества.

В 1998 году появилась вторая часть этого стандарта — BS 7799—2 «СУИБ. Спецификация и руководство по применению», определившая общую модель построения СУИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью.

В конце 1999 года эксперты Международной организации по стандартизации (англ. International Organization for Standardization, ISO) и Международной электротехнической комиссии (англ. International Electrotechnical Commission, IEC) пришли к выводу, что в рамках существующих стандартов отсутствует специализированный стандарт управления ИБ. Соответственно, было принято решение не заниматься разработкой нового стандарта, а по согласованию с «BSI», взяв за базу BS 7799—1, принять соответствующий международный стандарт ISO/IEC.

В конце 1999 года обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем управления качеством ISO/IEC 9001 и экологией ISO/IEC 14001, а год спустя без изменений BS 7799—1 был принят в качестве международного стандарта ISO/IEC 17799:2000 «Информационные технологии (далее — ИТ). Практические правила управления ИБ».

В 2002 году была обновлена и первая часть стандарта BS 7799—1 (ISO/IEC 17799), и вторая часть BS 7799—2.

Что же касается официальной сертификации по ISO/IEC 17799, то она изначально не была предусмотрена (полная аналогия с BS 7799). Была предусмотрена только сертификация по BS 7799—2, который представлял собой ряд обязательных требований (не вошедших в BS 7799—1) и в приложении перечень условно обязательных (на усмотрение сертификатора) наиболее важных требований BS 7799—1 (ISO/IEC 17799).

На территории СНГ первой страной, которая в ноябре 2004 года приняла стандарт ISO/IEC 17799:2000 в качестве национального, была Беларусь. Россия ввела этот стандарт только в 2007 году. Центральный Банк РФ на его базе создал стандарт управления ИБ для банковской сферы РФ.

В составе ISO/IEC за разработку семейства международных стандартов по управлению ИБ отвечает подкомитет №27, поэтому была принята схема нумерации данного семейства стандартов с использованием серии последовательных номеров, начиная с 27000 (27k).

В 2005 году подкомитет SC 27 «Методы защиты ИТ» Объединенного технического комитета JTC 1 «ИТ» ISO/IEC разработал сертификационный стандарт ISO/IEC 27001 «ИТ. Методы защиты. СУИБ. Требования», пришедший на смену BS 7799—2, и теперь сертификация проводится уже по ISO 27001.

В 2005 году на основе ISO/IEC 17799:2000 был разработан ISO/IEC 27002:2005 «ИТ. Методы защиты. Свод норм и правил управления ИБ».

В начале 2006 года был принят новый британский национальный стандарт BS 7799—3 «СУИБ. Руководство по управлению рисками ИБ», который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».

В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR 18044 «ИТ. Методы защиты. Управление инцидентами ИБ». В 2011 году на его базе был разработан стандарт ISO/IEC 27035 «ИТ. Методы защиты. Управление инцидентами ИБ».

В 2009 году был принят стандарт ISO/IEC 27000 «ИТ. СУИБ. Общий обзор и терминология». Он предоставляет обзор систем управления ИБ и определяет соответствующие термины. Словарь тщательно сформулированных формальных определений охватывает большинство специализированных терминов, связанных с ИБ и используемых в стандартах группы ISO/IEC 27.

25 сентября 2013 года были опубликованы новые версии стандартов ISO/IEC 27001 и 27002. С этого момента стандарты серии ISO/IEC 27k (управление ИБ) полностью интегрированы со стандартами серии ISO/IEC 20k (управление ИТ-сервисами). Вся терминология из ISO/IEC 27001 перенесена в ISO/IEC 27000, который определяет общий терминологический аппарат для всего семейства стандартов ISO/IEC 27k.

1.2. Стандарт ISO/IEC 27000—2014

Последнее обновление стандарта ISO/IEC 27000 «ИТ. СУИБ. Общий обзор и терминология» состоялось 14 января 2014 года.

Стандарт состоит из следующих разделов:

— введение;

— сфера применения;

— термины и определения;

— системы управления ИБ;

— семейство стандартов СУИБ.

Введение

Обзор

Международные стандарты системы управления представляют модель для налаживания и функционирования системы управления. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области.

При использовании семейства стандартов СУИБ организации могут реализовывать и совершенствовать СУИБ и подготовиться к ее независимой оценке, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной. Эти стандарты могут использоваться организацией для подготовки независимой оценки своей СУИБ, применяемой для защиты информации.

Семейство стандартов СУИБ

Семейство стандартов СУИБ, имеющее общее название «Information technology. Security techniques» (Информационная технология. Методы защиты), предназначено для помощи организациям любого типа и размера в реализации и функционировании СУИБ и состоит из следующих международных стандартов:

— ISO/IEC 27000 СУИБ. Общий обзор и терминология;

— ISO/IЕС 27001 СУИБ. Требования;

— ISO/IEC 27002 Свод правил по управлению ИБ;

— ISO/IEC 27003 Руководство по реализации СУИБ;

— ISO/IEC 27004 УИБ. Измерения;

— ISO/IEC 27005 Управление рисками ИБ;

— ISO/IЕС 27006 Требования для органов, обеспечивающих аудит и сертификацию СУИБ;

— ISO/IEС 27007 Руководство по проведению аудита СУИБ;

— ISO/IEС TR 27008 Руководство по аудиту механизмов контроля ИБ;

— ISO/IEС 27010 УИБ для межсекторных и межорганизационных коммуникаций;

— ISO/IЕС 27011 Руководство пo УИБ для телекоммуникационных организаций на основе ISО/IEC 27002;

— ISO/IEС 27013 Руководство пo интегрированной реализации стандартов ISO/IEC 27001 и ISO/IEC 20000—1;

— ISO/IEС 27014 Управление ИБ высшим руководством;

— ISO/IEС TR 27015 Руководство пo УИБ для финансовых сервисов;

— ISO/IEС TR 27016 УИБ. Организационная экономика;

— ISO/IEС 27035 Управление инцидентами ИБ (в стандарте не указан).

Международный стандарт, не имеющие этого общего названия:

— ISO 27799 Информатика в здравоохранении. УИБ по стандарту ISO/IEC 27002.

Цель стандарта

Стандарт предоставляет обзор СУИБ и определяет соответствующие условия.

Семейство стандартов СУИБ содержит стандарты, которые:

— определяют требования к СУИБ и сертификации таких систем;

— содержат прямую поддержку, детальное руководство и разъяснение целого процесса создания, внедрения, сопровождения и улучшения СУИБ;

— включают в себя отраслевые руководящие принципы для СУИБ;

— руководят проведением оценки соответствия СУИБ.

1. Сфера применения

Стандарт предосталяет обзор СУИБ, а также условий и определений, широко использующихся в семействе стандартов СУИБ. Стандарт применим ко всем типам и размерам организаций (например, коммерческие предприятия, правительственные учреждения, неприбыльные организации).

2. Термины и определения

Раздел содержит определение 89 терминов, например:

— информационная система — приложения, сервисы, ИТ активы и другие компоненты обработки информации;

— информационная безопасность (ИБ) — сохранение конфиденциальности, целостности и доступности информации;

— доступность — свойство быть доступным и готовым к использованию по запросу уполномоченного лица;

— конфиденциальность — свойство информации быть недоступной или закрытой для неуполномоченных лиц;

— целостность — свойство точности и полноты;

— неотказуемость — способность удостоверять наступление события или действие и их создающих субьектов;

— событие ИБ — выявленное состояние системы (сервиса или сети), указывающее на возможное нарушение политики или мер ИБ, или прежде неизвестная ситуация, которая может касаться безопасности;

— инцидент ИБ — одно или несколько событий ИБ, которые со значительной степенью вероятности приводят к компрометации бизнес-операций и создают угрозы для ИБ;

— управление инцидентами ИБ — процессы обнаружения, оповещения, оценки, реагирования, рассмотрения и изучения инцидентов ИБ;

— система управления — набор взаимосвязанных элементов организации для установления политик, целей и процессов для достижения этих целей;

— мониторинг — определение статуса системы, процесса или действия;

— политика — общее намерение и направление, официально выраженное руководством;

— риск — эффект неопределенности в целях;

— угроза — возможная причина нежелательного инцидента, который может нанести ущерб;

— уязвимость — недостаток актива или меры защиты, которое может быть использовано одной или несколькими угрозами.

3. Системы управления ИБ

Раздел «СУИБ» состоит из следующих основных пунктов:

— описание СУИБ;

— внедрение, контроль, сопровождение и улучшение СУИБ;

— преимущества внедрения стандартов семейства СУИБ.

3.1. Введение

Организации всех типов и размеров:

— собирают, обрабатывают, хранят и передают информацию;

— осознают, что информация и связанные процессы, системы, сети и люди являются важными активами для достижения целей организации;

— сталкиваются с целым рядом рисков, которые могут повлиять на функционирование активов;

— устраняют предполагаемый риск посредством внедрения мер и средств ИБ.

Вся информация, хранимая и обрабатываемая организацией, является объектом для угроз атаки, ошибки, природы (например, пожар или наводнение) и т. п. и объектом уязвимостей, свойственных ее использованию.

Обычно понятие ИБ базируется на информации, которая рассматиривается как имеющий ценность актив и требует соответствующей защиты (например, от потери доступности, конфиденциальности и целостности). Возможность получить своевременный доступ уполномоченных лиц к точной и полной информации является катализатором бизнес-эффективности.

Эффективная защита информационных активов путем определения, создания, сопровождения и улучшения ИБ является необходимым условием для достижения организацией своих целей, а также поддержания и улучшения правового соответствия и репутации. Эти координированные действия, направленные на внедрение надлежащих мер защиты и обработку неприемлемых рисков ИБ, общеизвестны как элементы управления ИБ.

По мере изменения рисков ИБ и эффективности мер защиты в зависимости от меняющихся обстоятельств организации следует:

— контролировать и оценивать эффективность внедренных мер и процедур защиты;

— идентифицировать возникающие риски для обработки;

— выбирать, внедрять и улучшать соответствующие меры защиты надлежащим образом.

Для взаимосвязи и координации действий ИБ каждой организации следует сформировать политику и цели ИБ и эффективно достигать этих целей, используя систему управления.

3.2. Описание СУИБ

Описание СУИБ предусматривает следующие составляющие:

— положения и принципы;

— информация;

— информационная безопасность;

— управление;

— система управления;

— процессный подход;

— важность СУИБ.

Положения и принципы

СУИБ состоит из политик, процедур, руководств и соответствующих ресурсов и действий, коллективно управляемых организацией, для достижения защиты своих информационных активов. СУИБ определяет систематический подход к созданию, внедрению, обработке, контролю, пересмотру, сопровождению и улучшению ИБ организации для достижения бизнес-целей.

Она базируется на оценке риска и приемлемых уровнях риска организации, разработанных для эффективной обработки и управления рисками. Анализ требований защиты информационных активов и применение соответствующих мер защиты, чтобы обеспечить необходимую защиту этих активов, способствует успешной реализации СУИБ.

Следующие основные принципы способствуют успешной реализации СУИБ:

— понимание необходимости системы ИБ;

— назначение ответственности за ИБ;

— объединение обязательств руководства и интересов заинтересованных лиц;

— возрастание социальных ценностей;

— оценки риска, определяющие соответствующие меры защиты для достижения допустимых уровней риска;

— безопасность как неотъемлемый элемент ИС и сетей;

— активное предупреждение и выявление инцидентов ИБ;

— обеспечение комплексного подхода к УИБ;

— непрерывная переоценка и соответствующее улучшение ИБ.

Информация

Информация — это актив, который наряду с другими важными бизнес-активами важен для бизнеса организации и, следовательно, должен быть соответственно защищен. Информация может храниться в различных формах, включая такие как цифровая форма (например, файлы с данными, сохраненные на электронных или оптических носителях), материальная форма (например, на бумаге), а также в нематериальном виде в форме знаний сотрудников.

Информация может быть передана различными способами, включая курьера, электронную или голосовую коммуникацию. Независимо от того, в какой форме представлена информация и каким способом передается, она должна быть должным образом защищена.

Во многих организациях информация зависит от информационной и коммуникационной технологии. Эта технология является существенным элементом в любой организации и облегчает создание, обработку, хранение, передачу, защиту и уничтожение информации.

Информационная безопасность

ИБ включает в себя три основных измерения (свойства): конфиденциальность, доступность и целостность. ИБ предусматривает применение и управление соответствующими мерами безопасности, которые включают в себя рассмотрение широкого диапазона угроз, с целью обеспечения длительного успеха и непрерывности бизнеса и минимизации влияний инцидентов ИБ.

ИБ достигается применением соответствующего набора мер защиты, определенного с помощью процесса управления рисками и управляемого с использованием СУИБ, включая политики, процессы, процедуры, организационные структуры, программные и аппаратные средства, чтобы защитить идентифицированные информационные активы.

Эти меры защиты должны быть определены, реализованы, проконтролированы, проверены и при необходимости улучшены, чтобы гарантировать, что уровень ИБ соответствует бизнес-целям организации. Соответствующие меры и средства ИБ следует органично интегрировать в бизнес-процессы организации.

Управление

Управление включает в себя действия по руководству, контролю и непрерывному совершенствованию организации в рамках соответствующих структур. Управленческая деятельность включает в себя действия, методы или практику формирования, обработки, направления, наблюдения и контроля ресурсов. Величина управленческой структуры может варьироваться от одного человека в небольших организациях до управленческой иерархии в крупных организациях, состоящих из многих людей.

Относительно СУИБ управление включает в себя наблюдение и выработку решений, необходимых для достижения бизнес-целей посредством защиты информационных активов. Управление ИБ выражается через формулирование и использование политик ИБ, процедур и рекомендаций, которые затем применяются повсеместно в организации всеми лицами, связанными с ней.

Система управления

Система управления использует совокупность ресурсов для достижения целей организации. Система управления организации включает в себя структуру, политики, планирование, обязательства, методы, процедуры, процессы и ресурсы.

В части ИБ система управления позволяет организации:

— удовлетворять требования безопасности клиентов и других заинтересованных лиц;

— улучшать планы и деятельность организации;

— соответствовать целям ИБ организации;

— выполнять нормативы, законодательство и отраслевые приказы;

— организованно управлять информационными активами для содействия постоянному улучшению и коррекции текущих целей организации.

3.3. Процессный подход

Организации нужно вести разные виды деятельности и управлять ими для того, чтобы функционировать эффективно и результативно. Любой вид деятельности, использующий ресурсы, нуждается в управлении для того, чтобы обеспечить возможность преобразования входов в выходы посредством совокупности взаимосвязанных действий, — это также называется процессом.

Выход одного процесса может непосредственно формировать вход следующего процесса, и обычно такая трансформация происходит в планируемых и управляемых условиях. Применение системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением может быть определено как «процессный подход».

Дополнительная информация (в стандарте отсутствует)

Родоначальником процессного подхода к управлению качеством принято считать американского ученого Уолтера Шухарта. Его книга начинается с выделения 3-х стадий в управлении качеством результатов деятельности организации:

1) разработка спецификации (техническое задание, технические условия, критерии достижения целей) того, что требуется;

2) производство продукции, удовлетворяющей спецификации;

3) проверка (контроль) произведенной продукции для оценки ее соответствия спецификации.

Шухарт одним из первых предложил линейное восприятие указанных стадий замкнуть в цикл, который он отождествил с «динамическим процессом приобретения знаний».

После первого цикла результаты проверки должны являться основой совершенствования спецификации на продукцию. Далее производственный процесс корректируется на основе уточненной спецификации, а новый результат производственного процесса опять же подвергается проверке и т. д.

Американский ученый Эдвардс Деминг трансформировал цикл Шухарта в форму, наиболее часто встречаемую сегодня. Он, чтобы перейти от контроля качества к управлению качеством, дал более общие названия каждому из этапов, и, кроме того, добавил еще один, 4-й этап, с помощью которого он хотел обратить внимание американских менеджеров на то, что они недостаточно анализируют полученную на третьем этапе информацию и не улучшают процесс. Именно поэтому этот этап называется «воздействуй» (Act), и соответственно цикл Шухарта-Деминга называют моделью «PDCA» или «PDSA»:

— Plan — Планирование — идентификация и анализ проблем; оценка возможностей, постановка целей и разработка планов;

— Do — Реализация — поиск решения проблем и реализация планов;

— Check (Study) — Оценка результативности — оценка результатов реализации и выводы в соответствии с поставленной задачей;

— Act — Улучшение — принятие решений на основе полученных выводов, коррекция и улучшение работы.

Модель «PDCA» для СУИБ

Планирование — Реализация — Контроль — Улучшение

1. Планирование (разработка и проектирование): установление целей, политик, элементов управления, процессов и процедур СУИБ для достижения результатов, соответствующих общей политике и целям организации.

2. Реализация (внедрение и обеспечение функционирования): внедрение и применение политик ИБ, элементов управления, процессов и процедур СУИБ по оценке и обработке рисков и инцидентов ИБ.

3. Контроль (мониторинг и анализ функционирования): оценка результативности выполнения требований политик, целей ИБ и эффективности функционирования СУИБ и оповещение высшего руководства о результатах.

4. Улучшение (сопровождение и усовершенствование): проведение корректирующих и предупреждающих действий, основанных на результатах аудита и анализа со стороны руководства для достижения улучшения СУИБ

Метод и цикл Шухарта-Деминга, который чаще называют циклом Деминга, обычно иллюстрируют схему управления любым процессом деятельности. Он с необходимыми уточнениями к настоящему времени получил широкое применение в международных стандартах управления:

— качеством продукции ISO 9000;

— охраной окружающей среды ISO 14000;

— техникой безопасности и охраной труда OHSAS 18000;

— информационными сервисами ISO/IEC 20000;

— безопасностью пищевой продукции ISO 22000;

— информационной безопасностью ISO/IEC 27000;

— безопасностью ISO 28000;

— непрерывностью бизнеса ISO 22300;

— рисками ISO 31000;

— энергетикой ISO 50000.

3.4. Важность СУИБ

Организации следует определить риски, связанные с информационными активами. Достижение ИБ требует управления риском и охватывает риски физические, человеческие и технологические, относящиеся к угрозам, касающимся всех форм информации внутри организации или используемой организацией.

Принятие СУИБ является стратегическим решением для организации, и необходимо, чтобы это решение постоянно интегрировалось, оценивалось и обновлялось в соответствии с потребностями организации.

На разработку и реализацию СУИБ организации влияют потребности и цели организации, требования безопасности, используемые бизнес-процессы, а также размер и структура организации. Разработка и функционирование СУИБ должны отражать интересы и требования ИБ всех заинтересованных лиц организации, включая клиентов, поставщиков, бизнес-партнеров, акционеров и других третьих сторон.

Во взаимосвязанном мире информация и относящиеся к ней процессы, системы и сети составляют критичные активы. Организации и их ИС и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, а также пожар и наводнение. Повреждения ИС и систем, вызванные вредоносным ПО, действиями хакеров и DoS-атаками, стали более распространенными, более масштабными и более изощренными.

СУИБ важна для предприятий как государственного, так приватного сектора. В любой отрасли СУИБ является необходимым инструментом для поддержания электронного бизнеса и важна для действий по управлению риском. Взаимосвязь общедоступных и приватных сетей и обмен информационными активами усложняют управления доступом к информации и ее обработку.

Кроме того, распространение мобильных устройств хранения данных, содержащих информационные активы, может ослабить эффективность традиционных мер защиты. Когда организации принимают семейство стандартов СУИБ, способность применения последовательных и взаимоузнаваемых принципов ИБ можно продемонстрировать бизнес-партнерам и другим заинтересованным сторонам.

ИБ не всегда учитывается при создании и разработке ИС. Кроме того, часто считается, что ИБ — это техническая проблема. Однако ИБ, которая может быть достигнута с помощью технических средств, ограничена и может быть неэффективной, не будучи поддержанной соответствующим управлением и процедурами в контексте СУИБ. Встраивание системы безопасности в функционально завершенную ИС может быть сложным и дорогостоящим.

СУИБ включает в себя идентификацию имеющихся мер защиты и требует тщательного планирования и внимания к деталям. Например, меры разграничения доступа, которые могут быть техническими (логическими), физическими, административными (управленческими), или их комбинацией, гарантируют, что доступ к информационным активам санкционируется и ограничивается на основании требований бизнеса и ИБ.

Успешное применение СУИБ важно для защиты информационных активов, поскольку позволяет:

— повысить гарантии того, что информационные активы адекватно защищены на непрерывной основе от угроз ИБ;

— поддерживать структурированную и всестороннюю систему оценки угроз ИБ, выбора и применения соответствующих мер защиты, измерения и улучшения их эффективности;

— постоянно улучшать среду управления организации;

— эффективно соответствовать правовым и нормативным требованиям.

3.5. Внедрение, контроль, сопровождение и улучшение СУИБ

Внедрение, контроль, сопровождение и улучшение СУИБ являются оперативными этапами развития СУИБ.

Оперативные этапы СУИБ определяют следующие составляющие:

— общие положения;

— требования ИБ;

— решающие факторы успеха СУИБ.

Оперативные этапы СУИБ обеспечивают следующие мероприятия:

— оценка рисков ИБ;

— обработка рисков ИБ;

— выбор и внедрение мер защиты;

— контроль и сопровождение СУИБ;

— постоянное улучшение.

Общие положения

Организация должна предпринимать следующие шаги по внедрению, контролю, сопровождению и улучшению ее СУИБ:

— определение информационных активов и связанных с ними требований ИБ;

— оценка и обработка рисков ИБ;

— выбор и внедрение соответствующих мер защиты для управления неприемлемыми рисками;

— контроль, сопровождение и повышение эффективности мер защиты, связанных с информационными активами организации.

Для гарантии того, что СУИБ эффективно защищает информационные активы организации на постоянной основе, необходимо постоянно повторять все шаги, чтобы выявлять изменения рисков или стратегии организации или бизнес-целей.

Требования ИБ

В пределах общей стратегии и бизнес-целей организации, ее размера и географического распространения требования ИБ могут быть определены в результате понимания:

— информационных активов и их ценности;

— бизнес-потребностей в работе с информацией;

— правовых, нормативных и договорных требований.

Проведение методической оценки рисков, связанных с информационными активами организации, включает в себя анализ:

— угроз активам;

— уязвимостей активов;

— вероятности материализации угрозы;

— возможного влияния инцидента ИБ на активы.

Расходы на соответствующие меры защиты должны быть пропорциональны предполагаемому бизнес-влиянию от материализации риска.

Оценка рисков ИБ

Управление рисками ИБ требует соответствующего метода оценки и обработки риска, который может включать оценку затрат и преимуществ, правовых требований, проблем заинтересованных сторон, и других входных и переменных данных.

Оценки риска должны идентифицировать, измерить и установить приоритеты для рисков с учетом критерия принятия риска и целей организации. Результаты помогут выработать и принять соответствующие управленческие решения для действия и установления приоритетов по управлению рисками ИБ и внедрению мер защиты, выбранных для защиты от этих рисков.

Оценка риска должна включать систематический подход к оценке масштаба рисков (анализ риска) и процесс сравнения оцененных рисков с критерием риска для определения серьезности рисков (оценивание риска).

Оценки риска должны осуществляться периодически, чтобы вносить изменения в требования ИБ и ситуации риска, например, в активы, угрозы, уязвимости, влияния, оценивание риска, и в случае значительных изменений. Эти оценки риска должны осуществляться методично, чтобы обеспечить сопоставимые и воспроизводимые результаты.

Оценка риска ИБ должна четко определять сферу применения, чтобы быть эффективной, и содержать взаимодействия с оценками риска в других сферах, по возможности.

Стандарт ISO/IEC 27005 представляет руководство по управлению рисками ИБ, включая рекомендации по оценке, обработке, принятию, оповещению, мониторингу и анализу риска.

Обработка рисков ИБ

Перед рассмотрением обработки риска организации следует установить критерий для определения, можно принять риски или нет. Риски можно принять, если риск низкий или цена обработки не рентабельна для организации. Такие решения должны быть записаны.

Для каждого риска, определенного оценкой риска, следует принять решение о его обработке. Возможные варианты обработки риска включают:

— применение соответствующих мер защиты для снижения рисков;

— осознанное и объективное принятие рисков в строгом соответствии с политикой организации и критерием принятия риска;

— предотвращение рисков путем исключения действий, приводящих к появлению рисков;

— обмен связанными рисками с другими сторонами, например, страховщиками или поставщиками.

Соответствующие меры защиты от тех рисков, для которых принято решение об их применении с целью обработки рисков, дожны быть выбраны и внедрены.

Выбор и внедрение мер защиты

После определения требований к ИБ, определения и оценки рисков ИБ для информационных активов и принятия решений по обработке рисков ИБ должны быть выбраны и внедрены соответствующие меры защиты для снижения рисков.

Меры и средства ИБ должны гарантировать снижение рисков до приемлемого уровня с учетом:

— требований и ограничений национального и международного законодательства и нормативов;

— целей организации;

— операционных требований и ограничений;

— цены их внедрения и функционирования для снижения рисков, пропорциональной требованиям и ограничениям организации;

— их внедрения для контроля, оценки и улучшения результативности и эффективности мер и средств ИБ для поддержки целей организации;

— необходимости сбалансировать инвестиции на внедрение и функционирование мер защиты от вероятных потерь в результате инцидентов ИБ.

Меры защиты, изложенные в ISO/IEC 27002, общепризнаны как лучшие методы, применимые к большинству организаций и легко приспосабливаемые для организаций разной величины и структуры. Другие стандарты семейства стандартов СУИБ рекомендуют выбор и применение мер защиты, изложенных в стандарте ISO/IEC 27002, для СУИБ.

Меры и средства ИБ при разработке ИС следует рассматривать на стадии формирования системных и проектных требований и технического задания. Невыполнение этого может привести к дополнительным затратам и менее эффективным решениям и, может быть, в худшем случае, к невозможности достичь адекватной безопасности.

Меры защиты следует выбирать из стандарта ISO/IEC 27002 или других перечней, или создавать новые при особой необходимости. Следует осознавать, что некоторые меры защиты могут не подойти для каждой ИС или среды или быть неприемлемыми для всех организаций.

Иногда требуется время для внедрения набора мер защиты и в течение этого времени риск может быть выше приемлемого уровня долгое время. Критерий риска должен предусматривать приемлемость риска на короткое время, пока меры защиты внедряются. Заинтересованные стороны должны быть информированы об уровнях риска, которые оцениваются и прогнозируются в разные моменты времени, по мере последовательного внедрения средств защиты.

Надо понимать, что существующих мер защиты может быть недостаточно для достижения полноценной ИБ. Следует предпринять дополнительные управленческие действия для контроля, оценки и улучшения результативности и эффективности мер и средств ИБ для поддержки целей организации.

Выбор мер и средств ИБ должен быть задокументирован в Положении о применимости для соблюдения требований ИБ.

Контроль и сопровождение СУИБ

Организация должна контролировать и сопровождать СУИБ путем мониторинга и оценки деятельности на предмет соответствия политикам и целям организации и предоставления руководству результатов для анализа. Этот анализ СУИБ позволит наглядно показать, что СУИБ содержит специальные меры защиты, способные обрабатывать риски в сфере применения СУИБ. Кроме того, на основе записей этих контролируемых сфер СУИБ предоставляет данные проверки и корректирующих, профилактических и улучшающих действий.

Постоянное улучшение

Целью постоянного улучшения СУИБ является увеличение вероятностей достижения целей ИБ. Постоянное улучшение следует сфокусировать на поиске возможностей для улучшения и предоположении, что управленческая деятельность не так хороша, как могла бы быть.

Действия по улучшению содержат следующее:

— анализ и оценка существующей ситуации для определения сфер улучшения;

— формирование целей улучшения;

— поиск возможных решений для достижения целей;

— оценка этих решений и осуществление выбора;

— реализация выбранного решения;

— измерение, проверка, анализ и оценка результатов реализации для определения того, что цели достигнуты;

— формализованные изменения.

Результаты следует пересматривать, при необходимости, для определения дальнейших возможностей улучшения. В этом случае, улучшение является непрерывным действием, т.е. действия часто повторяются. Отзывы клиентов и других заинтересованных сторон, аудиты и анализ СУИБ могут также использоваться для определения возможностей улучшения.

3.6. Решающие факторы успеха СУИБ

Для успешной реализации СУИБ, позволяющей организации достичь своих бизнес-целей, имеет значение большое количество факторов. Примеры решающих факторов успеха включают в себя следующие:

— политика ИБ, цели и деятельность, ориентированная на цели;

— подход и структура для разработки, внедрения, контроля, сопровождения и улучшения ИБ, соответствующие корпоративной культуре;

— видимая поддержка и обязательства со стороны всех уровней управления, особенно высшего руководства:

— понимание требований защиты информационных активов, достигаемое применением управления рисками ИБ (см. ISO/IEC 27005);

— эффективное информирование, обучение и образовательная программа по ИБ, доводящая до сведения всех сотрудников и других причастных сторон их обязательства по ИБ, сформулированные в политиках ИБ, стандартах и т. д., а также их мотивирование к соответствующим действиям;

— эффективный процесс управления инцидентами ИБ:

— эффективный подход к управлению непрерывностью бизнеса;

— система измерения, используемая для оценки управления ИБ, и предложения по улучшению, взятые из отзывов.

СУИБ увеличивает вероятность того, что организация будет последовательно достигать решающих факторов успеха, необходимых для защиты ее информационных активов.

3.7. Преимущества внедрения стандартов семейства СУИБ

Преимущества реализации СУИБ проистекают, прежде всего, из сокращения рисков ИБ (т.е. снижения вероятности инцидентов ИБ и/или вызванного ими влияния). В частности, преимущества, полученные от принятия семейства стандартов СУИБ, содержат:

— структурированную базу для поддержания процесса определения, внедрения, функционирования и сопровождения комплексной, рентабельной, значимой, интегрированной и ориентированной СУИБ для удовлетворения разных потребностей организации;

— помощь руководству для стабильного управляющего и операционного подхода к управлению ИБ ответственным образом в контексте государственного и корпоративного управления рисками, включая обучение и тренинг владельцев систем и бизнеса по комплексному управлению ИБ;

— продвижение общепринятых лучших методов ИБ в необязывающей форме, предоставляющей организациям свободу принятия и улучшения мер защиты, соответствующих их особенностям и поддерживающих в случаях внутренних и внешних изменений;

— предоставление общего языка и концептуальной базы для ИБ, что облегчает взаимопонимание бизнес-партнеров с похожими СУИБ, особенно, если они требуют сертификат соответствия ISO/IEC 27001 от аккредитованного органа сертификации;

— повышение доверия заинтересованных сторон к организации;

— удовлетворение социальных нужд и ожиданий;

— более эффективное экономическое управление инвестициями в ИБ.

На этом рассмотрение стандарта ISO/IEC 27000 заканчиваем.

Сертификация СУИБ

Для подтверждения соответствия существующей в организации СУИБ требованиям стандарта, а также ее адекватности существующим бизнес рискам необходима процедура добровольной сертификации. Хотя без этого можно и обойтись, в большинстве случаев сертификация полностью оправдывает вложенные средства и время.

Во-первых, официальная регистрация СУИБ организации в реестре авторитетных органов, таких как служба аккредитации Великобритании (UKAS), укрепляет репутацию фирмы, повышает интерес со стороны потенциальных клиентов, инвесторов и кредиторов.

Во-вторых, в результате успешной сертификации расширяется сфера деятельности компании за счет получения возможности участия в тендерах и развития бизнеса на международном уровне. В наиболее чувствительных к уровню ИБ областях, такой, например, как финансы, наличие сертификата соответствия ISO/IEC 27001 начинает выступать как обязательное требование для осуществления деятельности.

Также очень важно, что процедура сертификации оказывает серьезное мотивирующее и мобилизующее воздействие на персонал компании: повышается уровень осведомленности сотрудников, эффективнее выявляются и устраняются недостатки и несоответствия в СУИБ, что в перспективе означает для организации снижение среднестатистического ущерба от инцидентов ИБ, а также сокращение накладных расходов на эксплуатацию информационных систем. Вполне возможно, наличие сертификата позволит застраховать информационные риски организации на более выгодных условиях.

Следует подчеркнуть, что все перечисленные преимущества организация получает только в том случае, если речь идет о системе сертификации, имеющей международное признание, в рамках которой обеспечивается надлежащее качество проведения работ и достоверность результатов.

Подготовка к сертификации

Подготовка организации к сертификации по ISO/IEC 27001 — процесс довольно длительный и трудоемкий. В общем случае, он включает в себя 6 последовательных этапов, которые выполняются организацией, как правило, при помощи внешних консультантов.

1. Предварительный аудит СУИБ, в ходе которого оценивается текущее состояние, осуществляется инвентаризация и документирование всех основных составляющих СУИБ, определяются область и границы сертификации и выполняется еще целый ряд необходимых подготовительных действий. По результатам аудита разрабатывается детальный план мероприятий по подготовке к сертификации.

2. Оценка информационных рисков, основной целью которой является определение применимости описанных в стандарте механизмов контроля в данной конкретной организации, подготовка декларации о применимости и плана обработки рисков.

3. Анализ расхождений с требованиями стандарта, в результате которого оценивается текущее состояние механизмов контроля в организации и идентифицируются расхождения с декларацией о применимости.

4. Планирование и подготовка программы внедрения недостающих механизмов контроля, по каждому из которых разрабатывается соответствующая стратегия и план.

5. Работы по внедрению недостающих механизмов контроля, которые включают в себя 3 основные составляющие:

— подготовка и повышение осведомленности сотрудников (обучение и тренинги);

— подготовка документации СУИБ (политики, стандарты, процедуры, регламенты, инструкции, планы);

— подготовка свидетельств функционирования СУИБ (отчеты, протоколы, приказы, записи, журналы событий и т.п).

6. Подготовка к сертификационному аудиту: анализируется состояние СУИБ, оценивается степень ее готовности к сертификации, уточняется область и границы сертификации, проводятся соответствующие переговоры с аудиторами органа по сертификации.

Точки преткновения

В процессе внедрения СУИБ возникает много точек преткновения. Часть из них связаны с нарушением описанных выше фундаментальных принципов управления безопасностью. Серьезные затруднения для украинских организаций лежат в законодательной области.

Использование ISO/IEC 27001—2005 как национального стандарта, в то время как уже введен в действие ISO/IEC 27001—2013, а также неотрегулированность системы сертификации средств защиты информации серьезно затрудняет выполнение одного из главных требований стандарта — соответствие действующему законодательству.

Источником затруднений нередко служит неправильное определение области действия и границ СУИБ. Слишком широкая трактовка области действия СУИБ, например, включение в эту область всех бизнес-процессов организации, значительно снижает вероятность успешного завершения проекта по внедрению и сертификации СУИБ.

Столь же важно правильно представлять, где проходят границы СУИБ и каким образом она связана с другими системами управления и процессами организации. Например, СУИБ и система управления непрерывностью бизнеса (СУНБ) организации тесно пересекаются. Последняя является одной из 14 определяемых стандартом областей контроля ИБ. Однако СУИБ включает в себя только ту часть СУНБ, которая связана с ИБ — это защита критичных бизнес процессов организации от крупных сбоев и аварий информационных систем. Другие аспекты СУНБ выходят за рамки СУИБ.

Стандарт — гарантия безопасности

Сегодня организация работы серьезной и эффективной компании, претендующей на успешное развитие, обязательно базируется на современных информационных технологиях. Поэтому обратить внимание на стандарты управления ИБ стоит компаниям любого масштаба. Как правило, вопросы управления ИБ тем актуальнее, чем крупнее компания, чем шире масштаб ее деятельности и претензии на развитие, и, как следствие, выше ее зависимость от информационных технологий.

Использование семейства международных стандартов ISO/IEC 27k позволяет существенно упростить создание, эксплуатацию и развитие СУИБ. Требования нормативной базы и рыночные условия вынуждают организации применять международные стандарты при разработке планов и политик обеспечения ИБ и демонстрировать свою приверженность путем проведения аудитов и сертификаций ИБ. Соответствие требованиям стандарта представляет определенные гарантии наличия в организации базового уровня ИБ, что оказывает положительное влияние на имидж компании.

Арсенал: Как организовать управление ИБ?

Для многих российских компаний настало время задуматься об управлении безопасностью — ИТ-инфраструктура многих из них достигла уровня, требующего четко отлаженной координации. При построении системы управления безопасностью (СУИБ) эксперты рекомендуют опираться на международные стандарты ISO/IEC 27001/17799.

Руководитель обязан контролировать ситуацию в своей организации, подразделении, проекте и во взаимоотношениях с заказчиками. Это означает быть осведомленным о том, что происходит, своевременно узнавать обо всех нештатных ситуациях и представлять себе, какие действия надо будет предпринять, в том или ином случае. В организации существует несколько уровней управления, начиная с менеджеров высшего звена и заканчивая конкретным исполнителями, и на каждом уровне ситуация должна оставаться под контролем. Другими словами, должна быть выстроена вертикаль управления и процессы управления.

Управление информационной безопасностью — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.

Согласно ISO 27001, система управления информационной безопасностью (СУИБ) — это «та часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.

Создание и эксплуатация СУИБ требует применения такого же подхода, как и любая другая система управления. Используемая в ISO 27001 для описания СУИБ процессная модель предусматривает непрерывный цикл мероприятий: планирование, реализация, проверка, действие (ПРПД).

Применение модели ПРПД к процессам СУИБ

Процесс непрерывного совершенствования обычно требует первоначального инвестирования: документирование деятельности, формализация подхода к управлению рисками, определение методов анализа и выделение ресурсов. Эти меры используются для приведения цикла в действие. Они не обязательно должны быть завершены, прежде чем будут активизированы стадии пересмотра.

На стадии планирования обеспечивается правильное задание контекста и масштаба СУИБ, оцениваются рисков информационной безопасности, предлагается соответствующий план обработки этих рисков. В свою очередь, на стадии реализации внедряются принятые решения, которые были определены на стадии планирования. На стадиях проверки и действия усиливают, исправляют и совершенствуют решения по безопасности, которые уже были определены и реализованы.

Проверки могут проводиться в любое время и с любой периодичностью в зависимости от конкретной ситуации. В некоторых системах они должны быть встроены в автоматизированные процессы с целью обеспечения немедленного выполнения и реагирования. Для других процессов реагирование требуется только в случае инцидентов безопасности, когда в защищаемые информационные ресурсы были внесены изменения или дополнения, а также когда произошли изменения угроз и уязвимостей. Необходимы ежегодные или другой периодичности проверки или аудиты, чтобы гарантировать, что система управления в целом достигает своих целей.

Один из вариантов организационной структуры СУИБ

Руководство организации выпускает политику безопасности, в которой вводится понятие СУИБ и провозглашаются ее основные цели: управление непрерывностью бизнеса и управление безопасностью. На вершине СУИБ находится директор по ИБ, возглавляющий управляющий комитет по ИБ — коллегиальный орган, предназначенных для решения стратегических вопросов, связанных с обеспечением ИБ. Директор по ИБ несет ответственность за все процессы управления ИБ, в число которых входят: управление инцидентами и мониторинг безопасности, управление изменениями и контроль защищенности, инфраструктура безопасности (политики, стандарты, инструкции, процедуры, планы и программы), управление рисками, контроль соответствия требованиям, обучение (программа повышения осведомленности).

Создание подобной структуры управления является целью внедрения ISO 27001/17799 в организации. Один из основных принципов здесь — «приверженность руководства». Это означает, что такая структура может быть создана только руководством компании, которое распределяет должности, ответственность и контролирует выполнение обязанностей. Другими словами руководство организации строит соответствующую вертикаль власти, а точнее модифицирует существующую для удовлетворения потребностей организации в безопасности. СУИБ может создаваться только сверху вниз.

Другим основополагающим принципом является вовлечение в процесс обеспечения ИБ всех сотрудников организации, имеющих дело с информационными ресурсами — «от директора до уборщицы». Неосведомленность конкретных людей, работающих с информацией, отсутствие программы обучения по ИБ — одна из основных причин неработоспособности конкретных систем управления.

Не менее важно и то, что в основе любого планирования мероприятий по ИБ должна лежать оценка рисков. Отсутствие в организации процессов управления рисками приводит к неадекватности принимаемых решений и неоправданным расходам. Другими словами, оценка рисков является тем фундаментом, на котором держится стройное дерево СУИБ.

Столь же фундаментальным принципом является «внедрение и поддержка СУИБ собственными руками». Привлечение внешних консультантов на всех этапах внедрения, эксплуатации и совершенствования СУИБ во многих случаях вполне оправдано. Более того, это является одним из механизмов контроля, описанных в ISO 17799. Однако создание СУИБ руками внешних консультантов невозможно по определению, т.к. СУИБ — это совокупность организационных структур формируемых руководством организации и процессов, реализуемых ее сотрудниками, которые должным образом осведомлены о своих обязанностях и обучены навыкам обращения с информацией и ее защиты. СУИБ стоит немалых денег, но ни за какие деньги нельзя купить опыт и знания.

Сертифицировать или нет

Для подтверждения соответствия существующей в организации СУИБ требованиям стандарта, а также ее адекватности существующим бизнес рискам используется процедура добровольной сертификации. Хотя без этого можно и обойтись, в большинстве случаев сертификация полностью оправдывает вложенные средства и время.

Во-первых, официальная регистрация СУИБ организации в реестре авторитетных органов, таких как служба аккредитации Великобритании (UKAS), что укрепляет имидж компании, повышает интерес со стороны потенциальных клиентов, инвесторов, кредиторов и спонсоров.

Во-вторых, в результате успешной сертификации расширяется сфера деятельности компании за счет получения возможности участия в тендерах и развития бизнеса на международном уровне. В наиболее чувствительных к уровню информационной безопасности областях, такой, например, как финансы, наличие сертификата соответствия ISO 27001 начинает выступать как обязательное требование для осуществления деятельности. Некоторые российские компании уже сталкиваются с этими ограничениями.

Также очень важно, что процедура сертификации оказывает серьезное мотивирующее и мобилизующее воздействие на персонал компании: повышается уровень осведомленности сотрудников, эффективнее выявляются и устраняются недостатки и несоответствия в системе управления информационной безопасностью, что в перспективе означает для организации снижение среднестатистического ущерба от инцидентов безопасности, а также сокращение накладных расходов на эксплуатацию информационных систем. Вполне возможно, наличие сертификата позволит застраховать информационные риски организации на более выгодных условиях.

Как свидетельствует текущая практика, расходы на сертификацию по BS7799 в большинстве случаев несопоставимо малы в сравнении с затратами организации на обеспечение информационной безопасности, а получаемые преимущества многократно их компенсируют.

Следует подчеркнуть, что все перечисленные преимущества организация получает только в том случае, если речь идет о системе сертификации, имеющей международное признание, в рамках которой обеспечивается надлежащее качество проведения работ и достоверность результатов.

Подготовка к сертификации

Подготовка организации к сертификации по ISO 27001 — процесс довольно длительный и трудоемкий. В общем случае, он включает в себя шесть последовательных этапов, которые выполняются организацией, как правило, при помощи внешних консультантов.

На первом этапе проводится предварительный аудит СУИБ, в ходе которого оценивается текущее состояние, осуществляется инвентаризация и документирование всех основных составляющих СУИБ, определяются область и границы сертификации и выполняется еще целый ряд необходимых подготовительных действий. По результатам аудита разрабатывается детальный план мероприятий по подготовке к сертификации.

На втором этапе выполняется оценка информационных рисков, основной целью которой является определение применимости описанных в стандарте механизмов контроля в данной конкретной организации, подготовка декларации о применимости и плана обработки рисков.

На третьем этапе выполняется анализ расхождений с требованиями стандарта, в результате которого оценивается текущее состояние механизмов контроля в организации и идентифицируются расхождения с декларацией о применимости.

На последующих этапах осуществляется планирование и внедрение недостающих механизмов контроля, по каждому из которых разрабатывается стратегия и план внедрения. Работы по внедрению механизмов контроля включают в себя три основные составляющие: подготовка сотрудников организации: обучение, тренинги, повышение осведомленности; подготовка документации СУИБ: политики, стандарты, процедуры, регламенты, инструкции, планы; подготовка свидетельств функционирования СУИБ: отчеты, протоколы, приказы, записи, журналы событий и т.п.

На заключительном этапе осуществляется подготовка к сертификационному аудиту: анализируется состояние СУИБ, оценивается степень ее готовности к сертификации, уточняется область и границы сертификации, проводятся соответствующие переговоры с аудиторами органа по сертификации. Подробные рекомендации по созданию СУИБ и подготовки к сертификации содержатся в серии руководящих документов BSI BIP 0071-0073.

Точки преткновения

В процессе внедрения СУИБ возникает много точек преткновения. Часть из них связаны с нарушением описанных выше фундаментальных принципов управления безопасностью. Серьезные затруднения для российских организаций лежат в законодательной области. Неполнота и противоречивость действующего российского законодательства, его запретительный характер в области использования криптографии и во многих других областях, а также неотрегулированность системы сертификации средств защиты информации серьезно затрудняет выполнение одного из главных требований стандарта — соответствие действующему законодательству.

Источником затруднений нередко служит неправильное определение области действия и границ СУИБ. Слишком широкая трактовка области действия СУИБ, например, включение в эту область всех бизнес-процессов организации, значительно снижает вероятность успешного завершения проекта по внедрению и сертификации СУИБ.

Столь же важно правильно представлять, где проходят границы СУИБ и каким образом она связана с другими системами управления и процессами организации. Например, система управления ИБ и система управления непрерывностью бизнеса (ВСМ) организации тесно пересекаются. Последняя является одной из 11 определяемых стандартом областей контроля информационной безопасности. Однако СУИБ включает в себя только ту часть BCM, которая связана с ИБ — это защита критичных бизнес процессов организации от крупных сбоев и аварий информационных систем. Другие аспекты BCM выходят за рамки СУИБ.

Стандарт — гарантия безопасности

Сегодня организация работы серьезной и эффективной компании, претендующей на успешное развитие, обязательно базируется на современных информационных технологиях. Поэтому обратить внимание на стандарты управления информационной безопасностью стоит компаниям любого масштаба. Как правило, вопросы управления информационной безопасностью тем актуальнее, чем крупнее компания, чем шире масштаб ее деятельности и претензии на развитие, и, как следствие, выше ее зависимость от информационных технологий.

Использование международных стандартов управления информационной безопасностью ISO 27001/17799 позволяет существенно упростить создание, эксплуатацию и развитие СУИБ. Требования нормативной базы и рыночные условия вынуждают организации применять международные стандарты при разработке планов и политик обеспечения ИБ и демонстрировать свою приверженность путем проведения аудитов и сертификаций ИБ. Соответствие требованиям стандарта представляет определенные гарантии наличия в организации базового уровня информационной безопасности, что оказывает положительное влияние на имидж компании.

Александр Астахов