Законодательная база российской федерации. Система менеджмента информационной безопасности

Право, неловко. Мы сообщали о скором выходе стандарта ISO 45001, который должен заменить нынешний стандарт управления охраной труда OHSAS 18001, говорили, что ждать его надо в конце 2016 года… Уж полночь близится, а Германа все нет. Пора признать — ISO 45001 задерживается. Правда, по уважительным причинам. У экспертного сообщества возникло слишком много вопросов к нему. […]

  • Двойственная статья намечается. Международная организация по стандартизации четко выразила свою позицию по поводу использования маркировки ее стандартов на продукции — ISO говорит «нельзя». Однако предприниматели хотят все-таки хотят делать это. Как им быть? Почему нет, собственно? Предыстория вопроса такова. Как вы понимаете, стандарты ISO не имеют непосредственного отношения к продукции, выпускаемой сертифицированными по ним предприятиями. […]

  • Добьем тему. В прошлой статье мы с вами начали разговор о восьми принципах СМК. Принципах, на которых строится любая система менеджмента качества. Наша цель в том, чтобы перевести эти принципы с языка бизнес-тренеров на человеческий язык. Чтобы из них можно было извлечь реальную пользу. Про ориентацию на потребителя — говорили. Говорили, как производить не «что-то […]

  • Про менеджмент качества говорят многие. Но говорят почему-то так, что ничего в итоге непонятно. А значит, менеджмент качества остается словами. Слишком умными словами. Давайте переведем их на нормальный язык и поймем, чем принципы менеджмента качества реально помогают улучшить деятельность компании. Обойдемся без долгих прелюдий. Всего у актуальных сейчас систем менеджмента качества, самой популярной из которых […]

  • Проектный менеджмент… Уверен, найдется немало людей, которые слишком долго общались со всевозможными бизнес-консультантами — и теперь от одного подобного словосочетания начинают испытывать легкую тошноту. Что делать? Давайте просто выбросим бизнес-консультантов из головы и изложим дело человеческим языком. Проектный менеджмент — это не обязательно человек в белой рубашке, который рисует сложные диаграммы и блок-схемы маркером на […]

    • Согласно требованиям стандарта ГОСТ Р ИСО/МЭК 27001-2006. "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования" , организация должна осуществить следующее:

      Определить политику СМИБ на основе характеристик бизнеса организации, ее размещения, активов и технологий, которая:

      • содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ;

        принимает во внимание требования бизнеса, нормативно-правовые требования, а также договорные обязательства по обеспечению безопасности;

        согласуется со стратегическим содержанием менеджмента рисков организации, в рамках которого будет разрабатываться и поддерживаться СМИБ;

        устанавливает критерии оценки рисков;

        утверждается руководством организации.

    ГОСТ Р ИСО/МЭК 27002

    Цель : Обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с требованиями бизнеса и соответствующими законами и нормами.

    Высшее руководство должно установить четкое направление политики в соответствии с целями бизнеса и демонстрировать поддержку и обязательства в отношении обеспечения информационной безопасности посредством разработки и поддержки политики информационной безопасности в рамках организации.

    При необходимости следует предусмотреть наличие контактного лица, занимающегося вопросами информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности или группами специалистов, включая соответствующие органы, чтобы находиться в курсе отраслевых тенденций, осуществлять мониторинг стандартов и методов оценки, и обеспечивать адекватные точки контакта при обработке инцидентов информационной безопасности. Следует поощрять многопрофильный подход к обеспечению информационной безопасности.

    Должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций.

    Политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности. Документ, в котором излагается политика, должен содержать положения относительно:

      определения информационной безопасности, ее общих целей и сферы действия, а также упоминания значения безопасности как инструмента, обеспечивающего возможность совместного использования информации;

      изложения намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;

      подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска;

      краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия, например:

      • соответствие законодательным требованиям и договорным обязательствам;

        требования по обеспечению осведомленности, обучения и тренинга в отношении безопасности;

        менеджмент непрерывности бизнеса;

        ответственность за нарушения политики информационной безопасности;

        определения общих и конкретных обязанностей сотрудников в рамках менеджмента информационной безопасности, включая информирование об инцидентах безопасности;

        ссылок на документы, дополняющие политику информационной безопасности, например более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

    Данная политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в актуальной, доступной и понятной форме.

    Политика информационной безопасности может составлять часть документа по общей политике. Если политика информационной безопасности распространяется за пределами организации, следует принимать меры в отношении неразглашения чувствительной информации. Дополнительную информацию можно найти в ИСО/МЭК 13335-1.

    ГОСТ Р ИСО/МЭК 27003

    Стандарт "ГОСТ Р ИСО/МЭК 27003 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности" рекомендует:

    В качестве исходных данных взять:

      Приоритеты организации для разработки СМИБ - обобщенные цели и перечень требований;

      Составление описания случая применения СМИБ для данного предприятия и плана проекта для утверждения руководством - первоначальное утверждение руководством проекта СМИБ;

      Объединение всех областей действия и границ для получения области действия и границ - область действия и границы СМИБ;

      Разработку политики СМИБ и получение одобрения руководства - политика СМИБ;

      Определение требований к информационной безопасности для процесса СМИБ;

      Определение активов в рамках области действия СМИБ;

      Проведение оценки информационной безопасности;

      Результаты оценки риска и выбора целей и средств управления;

      Разработка конечной структуры организации для информационной безопасности;

      Разработка основы для документирования СМИБ;

    Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями информационной безопасности в отношении использования СМИБ.

    Политика информационной безопасности документирует стратегическую позицию организации в отношении информационной безопасности во всей организации.

    Политика строится на основе информации и знания. Моменты, признанные руководством важными во время ранее проведенного анализа, должны быть сделаны наглядными, им должно быть уделено особое внимание в политике, чтобы обеспечить стимуляцию и мотивацию в организации. Также важно отметить, что происходит, если не следовать выбранной политике, и подчеркнуть влияния законов и регулирующих положений на рассматриваемую организацию.

    Примеры политики информационной безопасности можно взять из справочной литературы, сети Интернет, в сообществах по интересам и отраслевых объединениях. Формулировки и подсказки можно найти в годовых отчетах, других документах по политике или документах, сохраняемых руководством.

    Относительно фактического объема документации по политике могут существовать различные интерпретации и требования. Эта документация должна быть в достаточной степени суммирована, чтобы работники организации понимали значение политики. Кроме того, она должна достаточно четко показывать, каких целей необходимо достичь, чтобы установить набор правил и целей организации.

    Объем и структура политики информационной безопасности должны подкреплять документы, которые используются на следующем этапе процесса, для введения системы управления информационной безопасностью.

    Для больших организаций со сложной структурой (например, с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.

    Предлагаемая политика (с номером версии и датой) должна быть подвергнута перекрестной проверке и учреждена в организации оперативным руководителем. После учреждения в группе управления или аналогичном органе оперативный руководитель утверждает политику информационной безопасности. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.

    Выходные данные представляют собой документ, описывающий и документирующий утвержденную руководством политику СМИБ. Этот документ должен быть повторно утвержден в следующей фазе проекта, поскольку зависит от результатов оценки риска.

    ГОСТ Р ИСО/МЭК 27003-2012. Приложение D. Структура политики

    В данном приложении содержатся дополнительные рекомендации по структуре политики, включая политику информационной безопасности.

    Политика - это общие намерения и указания, официально выраженные руководством. Содержание политики управляет действиями и решениями, касающимися предмета политики. Организация может иметь несколько политик, по одной для каждой сферы деятельности, важной для организации. Некоторые политики независимы одна от другой, в то время как другие политики находятся в иерархическом соотношении. В области безопасности политики, как правило, иерархически организованы. Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику информационной безопасности и политику системы менеджмента информационной безопасности. В свою очередь, политика информационной безопасности может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам информационной безопасности. Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика информационной безопасности подкрепляется политиками, касающимися контроля доступа, политики «чистого стола» и «чистого экрана», использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.

    Согласно стандарту ISO/I ЕС 27001 требуется, чтобы организации имели политику СМИБ и политику информационной безопасности. Однако это не подразумевает каких-либо конкретных соотношений между этими политиками. Эти политики могут разрабатываться как равноправные политики: политика СМИБ может подчиняться политике информационной безопасности, или, наоборот, политика информационной безопасности может подчиняться политике СМИБ.

      цели и задачи организации;

      стратегии, адаптированные для достижения этих целей;

      структуру и процессы, адаптированные организацией;

      цели и задачи, связанные с предметом политики;

      требования связанных политик более высокого уровня.

    Политики могут иметь следующую структуру:

      Краткое изложение политики - общее описание из одного-двух предложений.

      Введение - краткое объяснение предмета политики.

      Область действия - описывает части или действия организации, находящиеся под влиянием политики. При необходимости в пункте «Область действия» перечисляются другие политики, подкрепляемые данной политикой.

      Цели - описание назначения политики.

      Принципы - описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем - правила выполнения процессов.

      Сферы ответственности - кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.

      Ключевые результаты - описание результатов, получаемых предприятием, если цели достигнуты.

      Связанные политики - описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.

    Пример политики информационной безопасности

    Далее приведен пример политики информационной безопасности , показывающий ее структуру и пример содержания.

    Политика информационной безопасности (Пример)

    Краткое изложение политики

    Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.

    Введение

    Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.

    Информационная безопасность - это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.

    Область действия

    Данная политика подкрепляет общую политику безопасности организации.
    Данная политика применяется ко всем сотрудникам организации.

    Цели информационной безопасности

      Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.

      Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.

      Сохранение целостности материалов бухгалтерского учета.

      Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.

    Принципы информационной безопасности

      Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.

    Работу предприятий в 21 веке трудно представить без информационных и коммуникационных технологий. Информация — неотъемлемый компонент всех сфер деятельности предприятия, средство, без которого невозможно решать множество усложняющихся задач, стоящих перед предприятием.

    Информация обладает несколькими характеристками, и одна из важнейших — безопасность. Информационная безопасность напрямую влияет на функционирование бизнеса, конкурентоспособность, имидж на рынке и, в конечном итоге, на финансовые показатели. Достаточно часто под ней понимают ограничение доступа сторонних лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью.

    Лучшей мировой практикой в области управления информационной безопасностью признан международный стандарт ISO/IEC 27001:2005 (ISO 27001). Он устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы. Данный стандарт определяет информационную безопасность как «сохранение конфиденциальности, целостности и доступности информации».

    Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия.

    Целостность — обеспечение точности и полноты информации, а также методов ее обработки.

    Доступность — обеспечение доступа к информации авторизованным пользователям в нужный момент времени.

    Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба. Чтобы понять суть информационной безопасности необходимо наглядно представить всю цепочку, в которую входят информация, информационные потоки, свойства этих потоков, информационные проблемы. Только после этого можно осознать роль информационной безопасности.

    ЖИЗНЕННЫЙ ЦИКЛ И ПОТОКИ ИНФОРМАЦИИ

    Начнем с ключевого элемента жизнеобеспечения предприятия — информации.

    Информация на предприятии находится в постоянном движении: где-то возникает, где-то накапливается, куда-то передается, кем-то используется на протяжении определенного времени и в конце концов становится ненужной. Таким образом формируется цикл жизни определенной информации. Каждый из этапов данного цикла (или набор этих этапов) можно рассматривать как информационный поток . В такие потоки на предприятии входит информация, необходимая:

    • для принятия управленческих решений (экономические показатели собственного предприятия и конкурентов, данные о функционировании бизнес-процессов, данные о поставщиках, о рынке сбыта);
    • для выполнения оперативных бизнес-целей (результаты управленческих решений, оперативные задания и корректировки, информация о сырье и материалах, требования заказчиков);
    • для обеспечения работы бизнес-процессов (описания процессов и их взаимосвязей, методическая документация, административная документация).

    Можно выделить следующие свойства информационных потоков :

    • краткосрочность — информация важна в определенный момент времени,
    • открытость — информация предприятия представляет интерес для третьих лиц (клиентов, поставщиков, конкурентов),
    • склонность к росту — объем информации на предприятии велик и постоянно растет,
    • изменчивость — информационные потоки на предприятии находятся в постоянном движении.

    Необходимо заметить, что под информацией следует понимать все данные, представляющие интерес для предприятия и находящиеся в любом виде — в бумажном, электронном, звуковом (телефонные переговоры), графическом (слайды). Выделять электронный вид информации и подходить к нему как-то особенно с точки зрения безопасности не стоит, т. к. информация образует информационные потоки, которые зачастую формируются на бумаге или в устной речи, затем превращаются в электронный документ, пересылаются посредством электронной почты (факса), а затем могут быть распечатаны на бумаге. Вместе с тем электронная информация обладает дополнительными свойствами как положительными :

    • ее можно быстро доставить в любую точку;
    • можно оперативно создавать новые электронные документы на базе существующих;
    • можно накапливать большие объемы информации, предоставляя удобный и оперативный доступ к необходимой ее части;

    так и отрицательными :

    • ее достаточно просто повредить или уничтожить;
    • она легко может попасть в руки конкурента.

    На каждом из этапов жизненного цикла информации действуют различные факторы, стремящиеся нарушить естественное, то есть бесконфликтное, течение информационных потоков. Обобщающим для различных факторов такого рода (объективных и субъективных) является понятие угроз информационной безопасности. Угрозы не появляются просто так. Возникновение угроз связано с наличием уязвимостей в информационных системах предприятий.

    Примеры информационных угроз и уязвимостей, приводящих к возникновению угроз:

    • попадание коммерческой информации к конкурентам (слабая система контроля доступа к информационным ресурсам сторонних лиц);
    • частичная или полная потеря информации по разработке нового продукта (пожар в архиве, уход с работы ключевого сотрудника);
    • несвоевременность получения информации (отсутствие четких правил по предоставлению информации, сбой в работе компьютерного оборудования);
    • некорректность полученной информации для выполнения оперативных бизнес-целей, (ошибка оператора из-за недостаточной квалификации или уровня контроля ввода данных).

    Основной задачей СМИБ по требованиям ISO 27001 является предотвращение происшествий, причиняющих ущерб бизнесу, путем эффективного ограничения внутренних и внешних умышленных и неумышленных угроз и уязвимостей.

    ИСТОРИЯ РАЗВИТИЯ ISO 27001

    Развитие информационных систем в начале 90-х годов привело к необходимости создания стандарта по управлению безопасностью. По запросу британского правительства и промышленности британский департамент торговли и промышленности разработал Практики к СМИБ . В разработке этого документа принимали участие British Telecom, Marks and Spencer, National Westminster Bank, Nationwide, Shell International, Unilever и др. Дальнейший путь развития стандарта был таким:

    1995 г. Появление британского стандарта BS 7799-1:1995. Часть 1 описывает принципы и структуру СМИБ.

    1998 г. Новая редакция BS 7799-1:1998. Появление стандарта BS 7799-2:1998. Часть 2 — Требования к СМИБ. Позволяет проводить сертификацию СМИБ. С этого момента появилась возможность проводить сертификацию по британскому стандарту.

    1999 г. Новая редакция BS 7799-1:1999. Новая редакция BS 7799-2:1999

    2000 г. Появление международного стандарта ISO 17799:2000. С этого момента стандарт BS 7799-1:1999 получил международное признание.

    2001 г. Новая редакция BS 7799-2:2001.

    2002 г. Новая редакция BS 7799-2:2002.

    2003 г. Национальный Банк Молдовы выдвинул требования к коммерческим банкам о внедрении СМИБ на основе ISO 17799:2000.

    2004 г. Белоруссия приняла национальный ГОСТ 17799. Центробанк РФ на базе ISO 17799:2000 создал стандарт управления информационной безопасностью для банковской сферы.

    2005 г. Появление стандарта ISO/IEC 27001:2005, который заменил BS 7799-2:2002. Новая редакция ISO 17799:2005 (вскоре будет переименован в ISO/IEC 27002).

    2006 г. Россия работает над переводом стандартов ISO 17799:2005 и ISO 27001:2005. В России и Украине появились специалисты по разработке СМИБ. Предприятия стран СНГ ведут работы по разработке СМИБ. Международные сертифицирующие органы получили аккредитацию на право проведения сертификации.

    2007 г. Появление российского государственного стандарта ГОСТ Р ИСО/МЭК 17799:2005 (аналог ISO 17799:2000). Ожидается появление ГОСТ Р ИСО 17799:2007 и ГОСТ Р ИСО 27001:2007. Ожидается начало работ в Украине по выпуску ДСТУ ИСО 17799 и ДСТУ ИСО 27001.

    Начальный стандарт BS 7799 прошел долгий путь, с чередой испытаний и корректировок. Важнейшим этапом в его «карьере» стал 2005 г., когда стандарт, позволяющий оценивать СМИБ, был признан международным (то есть подтверждена состоятельность его требований к современной СМИБ). С этого момента передовые предприятия во всем мире начали активно внедрять стандарт ISO 27001 и проводить подготовку к сертификации.

    СТРУКТУРА ISO 27001

    Знакомство со СМИБ лучше всего начинать с изучения лучших мировых практик в области информационной безопасности, приведенных в стандарте ISO 27001, который отличается логичным и понятным изложением, а лучшие практики сформулированы в качестве четких требований. Стандарт состоит из четырех частей.

    Первая часть «Общие положения» содержит информацию о назначении стандарта, его связи с другими стандартами по ИБ, а также термины и определения.

    Вторая часть «Требования к СМИБ» является основной. Она выдвигает обязательные для выполнения требования к СМИБ и позволяет на их основе построить эффективную систему. Общие требования занимают всего девять страниц и содержат следующие разделы: «Система менеджмента информационной безопасности», «Обязательства руководства», «Внутренние аудиты СМИБ», «Анализ СМИБ руководством», «Совершенствование СМИБ».

    Третья часть «Приложение А. Цели и меры контроля» описывает конкретные требования к каждому направлению информационной безопасности (всего 11 направлений, которые обозначены в соответствии с разделами 5-15 стандарта ISO/IEC 17799:2005).

    А5. Политика в области безопасности. Цель: обеспечить четкое управление и поддержку политики в области ИБ со стороны руководства предприятия.

    А6. Организация системы безопасности. Цель: создать организационную структуру, которая будет внедрять и обеспечивать работоспособность СМИБ.

    А7. Классификация активов и управление. Цель: поддерживать адекватную ИБ путем классификации информационных активов по необходимости и приоритету защиты, распределить ответственность.

    А8. Безопасность и персонал. Цель: уменьшить риск человеческих ошибок, хищений и неправильного использования оборудования.

    А9. Физическая и внешняя безопасность. Цель: предотвращать несанкционированный доступ, повреждение и нарушение работы информационной системы организации.

    А10. Менеджмент компьютеров и сетей. Цель: обеспечить безопасное функционирование компьютеров и сетей.

    А11. Управление доступом к системе. Цель: управлять доступом к информации, предотвращать несанкционированный доступ.

    А12. Приобретение, разработка и обслуживание информационной системы. Цель: обеспечить выполнение требований безопасности при создании или развитии информационной системы организации, поддерживать безопасность приложений и данных.

    А13. Менеджмент инцидентов информационной безопасности. Цель: обеспечить, чтобы сообщение об инцидентах и недостатках ИБ позволяли своевременно предпринять корректирующие действия.

    А14. Обеспечение непрерывности бизнеса. Цель: подготовить план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации.

    А15. Соответствие законодательству. Цель: обеспечить выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.

    Стандарт ISO/IEC 17799:2005 содержит рекомендации по реализации требований «Приложения А» стандарта ISO/IEC 27001:2005. Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить те направления, которые невозможно применить на предприятии.

    Четвертая часть стандарта состоит из «Приложения B: связь между принципами OECD и ISO 27001», «Приложения C: связь между ISO 9001:2000, ISO 14001:2004 и ISO 27001» и библиографических ссылок. Эта часть является информативной.

    ВЫГОДЫ ВНЕДРЕНИЯ ISO 27001

    Приведем выгоды внедрения и сертификации СМИБ на основе стандарта ISO 27001 вместе с требованиями стандарта, которые позволяют получить эти выгоды.

    1. Информационные активы станут понятными для менеджмента компании. Организация должна управлять активами

    • Инвентаризация активов.
    • Определение ответственных за активы.
    • Разработать принципы классификации активов по их значимости, правовым требованиям, важности и критичности для организации.
    • Идентифицировать активы в соответствии с принципами классификации.

    [Стандарт ISO 27001. Прил. А. Требование А.7]

    2. Угрозы и уязвимости безопасности для существующих бизнес-процессов будут регулярно выявляться. Организация должна идентифицировать риски:

    • Идентифицировать активы.
    • Идентифицировать угрозы этим активам.
    • Идентифицировать уязвимости, которые могут быть использованы этими угрозами.
    • Определить воздействие, которое может привести к потере конфиденциальности, целостности и доступности ресурсов.

    [Стандарт ISO 27001. Пункт 4.2.1 г)]

    3. Риски будут просчитываться и приниматься решения на основе бизнес%целей компании. Организация должна проанализировать и оценить риски:

    • Оценить ущерб бизнесу.
    • Оценить вероятность возникновения нарушения.
    • Оценить уровни рисков.
    • Определить, является ли риск приемлемым или требуется обработка риска с использованием критериев принятия риска.

    [Стандарт ISO 27001. Пункт 4.2.1 д)]

    4. Управление системой в критичных ситуациях будет эффективным. Организация должна управлять непрерывностью бизнеса:

    • Определить и внедрить процессы для непрерывности бизнеса.
    • Идентифицировать события, которые могут привести к нарушениям бизнес-процессов, определить возможности и степени влияния.
    • Разработать планы восстановления.
    • Определить приоритеты планов для их тестирования и поддержки.
    • Тестировать и регулярно обновлять планы.

    [Стандарт ISO 27001. Прил. А. Требование А.14]

    5. Будет проводиться процесс выполнения политики безопасности (находить и исправлять слабые места). Руководство должно:

    • Разрабатывать политики СМИБ.
    • Устанавливать цели и планы.
    • Распределять ответственность в области ИБ.
    • Доводить до сведения всех сотрудников.
    • Обеспечивать ресурсами.
    • Принимать решения о допустимости рисков.
    • Обеспечивать проведение внутренних аудитов.
    • Проводить анализ СМИБ.

    [Стандарт ISO 27001. Пункт 5.1]

    6. Подчеркнется прозрачность и чистота бизнеса перед законом благодаря соответствию стандарту. Организация должна:

    • Определять применимое законодательство.
    • Обеспечить защиту интеллектуальной собственности.
    • Обеспечить защиту записей от потери, разрушения и фальсификации в соответствии с требованиями законодательства.
    • Обеспечить защиту персональных данных и приватной информации.
    • Предотвратить нецелевое использование средств обработки информации пользователем

    [Стандарт ISO 27001. Прил. А. Требование А.15.1]

    7. Снизится и оптимизируется стоимость поддержки системы безопасности. Стандарт требует идентифицировать и классифицировать активы. Классификацию можно провести в денежном выражении или по качественному признаку. Кроме того, стандарт требует оценить риски. Для принятия объективного решения о финансировании того или иного направления информационной безопасности стандарт требует разработать схему принятия рисков (рис. 1).

    Таким образом, объективная оценка сочетаний «ущерб-вероятность» позволить постоянно эффективно финансировать информационную безопасность.

    8. Появится надежная защита от рейдерских атак. Рейдеры — специалисты по перехвату оперативного управления или собственности фирмы с помощью специально инициированного бизнес-конфликта. Рейдерство — вывод активов из владения законных собственников. Одна из возможных схем работы рейдера — создать предприятию максимальное количество проблем, а затем забрать у собственников и менеджмента за бесценок с тем, чтобы с тысячекратной прибылью продать предприятие или его имущество третьим сторонам.

    Уязвимости предприятия порождают рейдерский захват. Редкие предприятия не имеют «грехов». Эти «грехи», а точнее компрометирующая информация, находится в рамках общей информационной системы предприятия. Закрывая эту информацию от третьих лиц можно избежать инициирования рейдерского захвата.

    Сам процесс рейдерского захвата базируется на изучении внутренних процессов предприятия, правил и норм его работы. Эта информация позволяет четко спланировать и провести рейдерский захват в наиболее подходящий момент времени. Закрытие этой информации или дезинформирование рейдеров не позволит осуществить план по захвату предприятия.

    9. Подсистема безопасности интегрируется в общую систему менеджмента. СМИБ построена на принципах европейского менеджмента. Требования к общей системе менеджмента нашли свое отражение в стандарте ISO 9001:2000. Стандарт ISO 27001 гармонизирован со стандартом на системы менеджмента качества ISO 9001:2000 и базируется на его основных принципах.

    Структура документации по требованиям ISO/IEC 27001:2005 может быть аналогична структуре по требованиям ISO 9001:2000. Большая часть документации, требуемая по ISO/IEC 27001:2005 уже могла быть разработана и использоваться в рамках общей системы менеджмента предприятия.

    10. Предприятие получит международное признание и повысит авторитет как на внутреннем, так и на внешних рынках. Для получения этой выгоды необходимо подтвердить соответствие СМИБ требованиям стандарта с помощью третьей независимой стороны. Независимость третьей стороны — ключевой фактор получения вышеуказанных выгод. В качестве третьей стороны выступает сертифицирующий орган. Подтверждение сертифицирующего органа выражается в выдаче сертификата. Уровень доверия клиентов к системе напрямую зависит от доверия клиентов к сертификатам того или иного сертифицирующего органа.

    УПРАВЛЕНИЕ РИСКАМИ

    Основа стандарта ИСО 27001 — система управление рисками, связанными с информацией.

    Система управления рисками позволяет получать ответы на следующие вопросы:

    • Какие риски в данный момент угрожают нашим бизнес-процессам?
    • На каком направлении информационной безопасности требуется сосредоточить внимание?
    • Сколько времени и средств можно потратить на данное техническое решение для защиты информации?

    Задача риск-менеджмента — идентификация рисков и управление ими. Риск-менеджмент — это руководство для любых действий как в краткосрочном, так и в долгосрочном разрезе жизнедеятельности организации. Риск-менеджмент уделяет основное внимание превентивным мероприятиям или мероприятиям, смягчающим размеры последствий.

    Риск — это комбинация вероятности события и его последствий (ISO/IEC Guide 73).

    В пункте 4.2.1 ISO 27001 требуется:

    • в) оценить подход к оценке риска в организации (определить метод оценки риска, определить критерии принятия рисков),
    • г) идентифицировать риски (идентифицировать активы, идентифицировать угрозы, идентифицировать уязвимости, идентифицировать возможные воздействия, которые могут привести к утрате конфиденциальности, целостности и доступности активов),
    • д) проанализировать и оценить риски (оценить ущерб бизнесу, оценить вероятность, оценить уровни рисков, определить приемлемость/неприемлемость рисков),
    • е) определить и оценить варианты обработки рисков ,
    • ж) выбрать цели и меры контроля для обработки рисков .

    Требования стандарта практически служат руководством к внедрению системы менеджмента рисков.

    Алгоритм оценки и принятия рисков приведен на рис. 2. Стандарт позволяет проводить как качественную, так и количественную оценку рисков. На практике многие риски трудно или невозможно оценить в количественном эквиваленте.

    Методика анализа рисков подробно описана в методике «ИТ-Грундшутц», в стандарте BSI 100-3 , который свободно доступен (www.bsi.de).

    МЕТОДИКА ВНЕДРЕНИЯ СМИБ «ИТ-ГРУНДШУТЦ»

    Стандарт ISO/IEC 27001:2005 выдвигает требования к СМИБ, но не описывает методику внедрения. Рассмотрим одну из самых простых и надежных в применении методик по созданию СМИБ — «ИТ-Грундшутц». Она разработана германским правительственным федеральным офисом по информационной безопасности (BSI), соответствующие документы находятся в открытом доступе на сайте www.bsi.de. Методика совместима с требованиями ISO/IEC 27001:2005, содержит структурированный и практический подход, а также конкретные, подробно описанные мероприятия по реализации требований ISO/IEC 27001:2005.

    Благодаря конкретно сформулированным стандартным мероприятиям (каталоги базовой защиты) для самых разных аспектов информационной безопасности «ИТ-Грундшутц» — наименее затратная методика внедрения. Она базируется на следующих документах.

    Стандарты:

    • ISO/IEC 27001:2005 — cистемы менеджмента информационной безопасности (требования);
    • BSI 100-1 — системы менеджмента информационной безопасности (рекомендации);
    • BSI 100-2 — метододика «ИТ-Грундшутц» (как, что и зачем делать, в общем виде);
    • BSI 100-3 — анализ рисков на основе методики «ИТ-Грундшутц» (позволяет внедрить систему управления рисками по требованиям ISO/IEC 27001:2005).

    Каталоги (постоянно обновляются):

    • Часть M. Модули — описывает конкретные действия по разработке СМИБ (например, раздел по разработке политики безопасности включает требования к политике, содержание политики, варианты разработки политики, примеры целей по безопасности, которые вытекают из политики);
    • Часть Т. Угрозы. — подробное описание угроз, использованных в Части М (каталог угроз к многочисленным активам);
    • Часть S. Методы защиты — подробное описание методов защиты, использованных в Части М (каталог мероприятий по снижению угроз).

    НАЦИОНАЛЬНЫЕ ОСОБЕННОСТИ ВНЕДРЕНИЯ

    Ответственность. Первоначальный вопрос в наших условиях — это ответственность за функционирование СМИБ. Наличие соответствующей должности не регламентировано в стандарте ISO/IEC 27001:2005, и европейские консультанты, занимающиеся внедрением СМИБ, настаивают на назначении ответственного лица из числа руководства. В наших условиях полномочия и обязанности такового могут быть возложены на одного из следующих лиц: руководитель службы безопасности, руководитель службы качества, руководитель службы ИТ, руководитель службы ИТ-безопасности, первый руководитель.

    Место в общей системе менеджмента. В различных отраслях украинской промышленности место СМИБ будет различным, поскольку в отраслях мы имеем разный уровень развития информационных систем, разные степени автоматизации, разную специфику бизнеса.

    Крупные предприятия горно-металлургического комплекса, машиностроительные и химические предприятия могут иметь СМИБ такого вида, как на рис. 3а.

    Хочу подчеркнуть, что СМИБ практически полностью содержится внутри общей системы менеджмента, т. к. самые важные аспекты безопасности в этом случае — целостность и доступность информации.

    Для предприятий финансовой сферы, телекоммуникационных услуг, авиакомпаний, государственных органов законодательной и исполнительной власти, управлений статистики, МВД и СБУ структура может быть такой, как на рис. 3б. В этом случае СМИБ является основой жизнедеятельности организации.

    Для предприятий и организаций среднего размера СМИБ может иметь вид, как на рис. 3в.

    Естественно, невозможно точно охарактеризовать место СМИБ в организации только в зависимости от отраслевой принадлежности и размеров. Каждое предприятие — всегда уникальный механизм со своим стилем менеджмента, своими технологическими и информационными механизмами.

    Вовлечение персонала — еще один немаловажный фактор успеха внедрения СМИБ в Украине. Для реализация его в наших условиях необходимы следующие мероприятия:

    • обучение ответственных за внедрение системы;
    • разъяснение всем сотрудникам, вовлеченным в СМИБ, необходимости выполнения требований стандарта;
    • исключение (минимизация) системы штрафов;
    • разработка системы мотивации.

    Отсутствие этих мер может значительно снизить эффективность СМИБ

    Александр Анатольевич Дмитриев
    эксперт по системам
    информационной безопасности
    ТЮФ Норд Украина (г. Донецк)

    September 12th, 2011

    Управление ИБ по Стандарту ISO 27001. Требования по документированию
    Счастье есть. Управление информационной безопасностью возможно построить на основе стандарта ISO 27001. О том, как это сделать, рассказывает заместитель руководителя по методологической работе направления "Аудит информационных систем" департамента аудиторских и консультационных услуг финансовым институтам ФБК Михаил Винников:

    Сегодня я расскажу о процессе вроде бы не имеющем отношения к ИБ, скорее - к документообороту, но на самом деле - процессе важном, экономящем эксплуатанту кучу времени и нервов - о том, какие требования предъявляются к документированию процессов ИБ, или - как правильно и с минимальными затратами сил описать СМИБ и поддерживать эти описания в актуальном состоянии. Естественно, ориентируясь на ISO 27001.

    Уровень информационной безопасности (далее - ИБ), адекватный потребностям организации, требует ясного изложения основных правил, принципов и задач, адекватной реализации их в повторяемые и контролируемые защитные меры, воплощения мер на практике силами сотрудников организации при обеспечении оперативного отражения текущей ситуации для принятия соответствующих управляющих действий.
    Наилучший способ реализации этого - облечь идеи, практические мысли и результаты деятельности по обеспечению ИБ в документальную форму, что позволит, во-первых, определить структуру взаимодействия правил и реализующих их практических действий, а во-вторых, довести до каждого работника на соответствующем уровне делового процесса правила и требования по обеспечению ИБ, которыми он должен руководствоваться при выполнении своих должностных обязанностей, а также определить порядок контроля их соблюдения.
    Исходя из изложенного выше, получаем новую «ветку» в схеме системы менеджмента ИБ (СМИБ) по Стандарту ИСО 27001 (далее - Стандарт):

    «СМИБ» - «разрабатывает» - «требования по документированию».

    Коды в названиях задач, как уже упоминалось в начале наших публикаций, указывают на номер раздела Стандарта ИСО 27001.
    Как организовать систему документального обеспечения СМИБ?
    Каждый тип документа можно дополнительно охарактеризовать следующими вопросами-атрибутами, влияющими на его жизненный цикл:
    - для кого он предназначен (кто его будет читать);
    - кто его согласовывает и утверждает;
    - как часто он может меняться.
    С другой стороны, формально документы можно разделить на программные (справочные) и оперативные (содержащие результаты деятельности). В терминах Стандарта, такие документы разделяются, соответственно, на собственно документы и записи.
    Согласно Стандарта, документация СМИБ должна включать в себя информацию о:
    - документированных положениях политики СМИБ, ее целей и области функционирования, политике ИБ;
    - процедурах и мерах управления, используемых СМИБ;
    - методологии оценки рисков ИБ;
    - результатах оценки рисков и планы их обработки;
    - процедурах оценки результатов функционирования СМОИБ;
    - свидетельства функционирования СМИБ.
    В каком формате необходимо представить эту информацию?
    При разработке системы документов, обеспечивающих СМИБ, возникает коллизия между трудоемкостью (потребностью в ресурсах) первоначального создания документов и дальнейшего поддержания их в актуальном состоянии. С одной стороны, есть желание, чтобы число типов (номенклатура) и количество самих документов было как можно меньше (малым количеством легче управлять, быстрее можно закончить подготовку всего пакета и т.п.). С другой стороны, если СМИБ «живет» и все время развивается, документы периодически, а на некоторых периодах развития - достаточно часто, приходится корректировать и дорабатывать. Если документы по обеспечению ИБ включены в общий «бюрократический» цикл организации: «разработка-согласование-утверждени е», то чем более высокий уровень утверждения и согласования документов, тем дольше будет цикл ввода в действие новых версий документов, тем труднее поддерживать их в актуальном состоянии.
    Предположим, организация разработала Политику информационной безопасности, включив в нее положения по правилам действий по отдельным направлениям ИБ (называемые частными политиками ИБ). Ввиду того, что с Политикой ИБ должны быть ознакомлены все сотрудники организации, документ старались сделать не очень объемным и подробным, а положения частных политик описали кратко, в виде тезисов.
    Что получилось в результате?
    Документ все равно получился тяжеловесным - более десятка страниц, что очень много. Получившиеся частные политики из-за неконкретности практически ничего не объясняют, поэтому применять их невозможно. Документ трудно сопровождать - для того чтобы внести и утвердить корректировку в раздел, например, безопасного использования Интернет при принятии решения об использовании, скажем, системы обнаружения вторжений (IDS), нужно ждать очередного собрания директоров и т.п. Т.е. документ получился нерабочим.
    Политика ИБ должна быть проста для понимания и умещаться, в идеале, на одну-две страницы, ведь она как стратегический документ утверждается на самом высоком уровне управленческой иерархии, и знакомиться с ней должны все сотрудники организации. Разделение общей и частных политик на отдельные документы позволяет дорабатывать, расширять и корректировать частные политики эффективнее, утверждение соответствующего документа пройдет существенно быстрее, при этом, БЕЗ ИЗМЕНЕНИЯ общей политики ИБ.
    Точно также получается, если в частной политике отражать использование какой-либо конкретной технологии или системы, ее конфигурацию. Смена системы или ее перенастройка влечет изменение документа, подписываемого на уровне директора. Не правильно! Проще в частной политике указать на подчиненные документы (третьего и четвертого уровня), приведя в приложении к частной политике формат и перечень информации, необходимой для обеспечения управления.
    Надеюсь, я убедил Вас в мысли, что система документов ИБ должна быть построена по иерархической схеме с максимально общими и абстрактными документами на высшем уровне иерархии, и повышение «конкретности» по мере приближения к практической части.
    Что рекомендуют нам стандарты?
    Стандарт ISO 13335-1 предусматривает 4 уровня политик (правил) информационной безопасности:
    - корпоративная политика безопасности;
    - политика информационной безопасности;
    - корпоративная политика безопасности информационных и коммуникационных технологий;
    - политика безопасности [отдельных] систем информационных и коммуникационных технологий.
    Рекомендации в области стандартизации Банка России РС БР ИББС 2.0-2007 предлагают следующую интерпретацию положений упомянутого выше стандарта:

    Какие документы могут быть отнесены к каждому из уровней?

    Уровни документов

    Типы документов

    Первый уровень

    Политика СМИБ, Политика информационной безопасности, Концепция информационной безопасности

    Второй уровень

    Частные политики информационной безопасности (обеспечение физической безопасности, предоставление доступа, использование Интернет и электронной почты, ИБ в технологических процессах и т.п.)

    Третий уровень

    Инструкции, положения, порядки, руководства, методические пособия и программы обучения, требования к конфигурации и т.п.

    Четвертый уровень

    Записи в системных журналах ОС, СУБД и ИС; реестры информационных активов; заявки и выполненные наряды по предоставлению доступа; записи в журналах обучения и инструктажа по ИБ, протоколы испытаний, акты, обязательства о неразглашении конфиденциальной информации и т.п.

    Документы, отнесенные к разным уровням иерархии, имеют разный по длительности жизненный цикл.

    Уровни документов

    Как часто меняются?

    Первый уровень

    редко (изменения стратегического уровня)

    Второй уровень

    не часто (при изменениях на уровне тактических решений)

    Третий уровень

    относительно часто

    Четвертый уровень

    непрерывно


    Высокоуровневые документы должны быть максимально обобщающими и абстрактными и изменяться при изменениях стратегического уровня - смене стратегии бизнеса, принятие новых стандартов, кардинальная смена информационной системы и т.п. Подчиненные по иерархии документы (третий уровень) могут меняться существенно чаще - при внедрении новых продуктов, технологий обеспечения ИБ, формировании дополнительных учебных курсов или разработке порядков резервного копирования информации. На четвертом уровне записи формируются непрерывно и со временем, скорее всего, будет уточняться их формат.

    Документы, находящиеся на разных уровнях иерархии, требуют утверждения на разных уровнях управления.

    Высокоуровневые документы - политики СМИБ и ИБ, определяющие стратегические подходы к обеспечению ИБ, утверждаются на уровне собственников или совета директоров.
    Частные политики, определяющие правила информационной безопасности в отдельных сферах, могут утверждаться на уровне исполнительного директора или курирующего руководителя, но при этом должны иметь широкий круг согласования в подразделениях, которых эти сферы деятельности затрагивают.
    Положения, инструкции и прочие практические документы являются рабочими документами подразделений, эксплуатирующих инфраструктуру обеспечения ИБ, они их создают, корректируют и изменяют. В отдельных случаях, некоторые документы третьего могут требовать утверждения на уровне руководства организации (например, положения о подразделениях и т.п.).
    Свидетельства функционирования ИБ при необходимости аутентифицируются подписью исполнителя.
    Чтобы не запутаться в версиях документов, правильно распространять документы среди сотрудников, для кого они предназначены, всей этой кипой документов надо УПРАВЛЯТЬ.
    Процедура управления документами должна обеспечивать:
    - утверждение документов на соответствующем уровне управляющей структуры организации;
    - пересмотр и модернизацию, при необходимости, документов;
    - обеспечение идентификации внесенных изменений и текущего статуса версий документов;
    - доступ к рабочим версиям документов в местах их использования;
    - наличие порядка идентификации документов и предоставления доступа к ним;
    - доступ к документам авторизованных лиц, а также то, что их жизненный цикл (передача, хранение и уничтожение) проводится в соответствии с уровнем классификации их конфиденциальности;
    - идентификацию документов, созданных вне организации;
    - контроль за распространением документов;
    - предотвращение использования устаревших документов;
    - соответствующую идентификацию устаревших документов в случае, если они сохраняются для какой-либо цели.
    Процедуру управления документами ИБ желательно описать в виде отдельного документа, содержащего, в том числе, перечень и назначение всех документов, период и/или условия пересмотра, кто является владельцем каждого из документов, кто какой документ согласовывает и утверждает, для кого каждый тип документов предназначен и т.п.
    Все правила создания, изменения, согласования и утверждения документов должны соответствовать принятым в организации правилам документооборота.
    Следует отметить, что процедура пересмотра документов не обязательно подразумевает внесение изменений в документы. Полезно предусмотреть для некоторых типов документов процедуру подтверждения их актуальности, проводимую через большие, но регулярные промежутки времени. Из рекомендаций Банка России о периоде в три года для проведения самооценки или аудита соответствия требованиям стандарта СТО БР ИББС-1.0, можно предположить, что такой же период для пересмотра/подтверждения политики ИБ можно признать разумным (в смысле, НЕ РЕЖЕ!). Для остальных документов, возможно, процедуру пересмотра надо проводить несколько чаще.
    Свидетельства функционирования СМИБ так же должны формироваться в виде документов, существующих в обычной бумажной форме или электронной. К свидетельствам функционирования СМИБ можно отнести различные заявки и наряды по предоставлению доступа, записи журналов операционных систем, СУБД и прикладных программ, результаты функционирования систем предотвращения вторжения и отчеты по результатам теста на проникновение, акты проверки конфигурации рабочих мест и серверов и т.п. Данный класс документов обозначаются в Стандарте как «записи». Процедура управления записями должна обеспечивать их контроль и защиту от модификации, т.к. при определенных условиях они могут являться материалами для проведения расследования инцидентов ИБ и качество хранения данных материалов определяет, будут ли признаны данные материалы легитимными или наоборот не заслуживающими доверия. К записям также можно отнести результаты мониторинга СМИБ, расследования инцидентов ИБ, отчеты о результатах функционирования СМИБ и т.п.
    Процедуры управления записями должны:
    - обеспечивать четкость, простоту, идентифицируемость и восстанавливаемость документальных свидетельств;
    - использовать меры управления, обеспечивающие идентификацию, хранение, защиту конфиденциальности и целостности, поиск, определение сроков хранения и порядка уничтожения.
    В качестве примера, приведем небольшой «вертикальный» фрагмент перечня типов документов, составляющих систему документирования СМИБ, например, обеспечения ИБ при доступе к сети Интернет:

    Уровень

    Документы

    Первый уровень

    > Политика информационной безопасности организации

    > Концепция обеспечения информационной безопасности

    Второй уровень

    > Частная политика информационной безопасности организации при работе с ресурсами сети Интернет

    > Термины, используемые в документах ИБ (глоссарий)

    Третий уровень

    > Порядок предоставления доступа пользователей к ресурсам сети Интернет

    > Описание профилей доступа (набора разрешений и запретов) к ресурсам сети Интернет

    > Схема компьютерной сети, подключенной к сети Интернет

    > Карточка настройки прокси-сервера

    > Карточка настройки межсетевого экрана между сегментами внутренней сети и демилитаризованной зоной (DMZ )

    > Карточка настройки рабочей станции [для обеспечения доступа к Интернет]

    > Памятка пользователя о порядке использования ресурсов сети Интернет

    > Описание и квалификационные требования функциональной роли «администратор систем доступа в Интернет»

    > Должностная инструкция сотрудника, исполняющего функциональную роль «администратор систем доступа в Интернет»

    Четвертый уровень

    > Заявка-наряд на подключение пользователя к использованию ресурсов сети Интернет

    > Перечень пользователей, подключенных к сети Интернет с указание профиля доступа

    > Журнал прокси-сервера о доступе пользователей к ресурсам сети Интернет

    > Журнал системы обнаружения вторжений (IDS ) в сегменте сети, расположенном в DMZ

    > Отчет о вторжениях в DMZ , обнаруженных IDS

    > Акт проведения проверки конфигурации межсетевого экрана


    Приведенный список является далеко не исчерпывающим даже для выбранного направления и зависит от конкретных технологий и сервисов, получаемых или предоставляемых организацией с использованием сети Интернет, а также подходов для обеспечения информационной безопасности.
    Приведем несколько общих рекомендаций по созданию документов СМИБ.
    > В виде отдельного документа следует разработать документ под названием «Глоссарий», общий, по крайней мере, для документов первых двух уровней, использовать его при разработке документов и указать его в документах в виде ссылки.
    > Для проведения стандартизации форм документов можно в приложениях к документам высокого уровня указывать формы подчиненных документов, особенно тех, которые являются свидетельствами выполнения (отчетами, формами запросов и т.п.). С одной стороны, это несколько усложняет процедуру первоначальной разработки документа. С другой стороны, если все связанные документы разрабатываются как элементы процедуры, вы сразу получаете готовую к использованию технологию.
    > Частой ошибкой при подготовке документов высокого уровня (политик и частных политик, положений и т.п.) является внесение непосредственно в текст документов конкретных фамилий, названий систем и т.п. Соответственно, смена исполнителя так же приводит к запуску длительного цикла согласования «новой» версии документа. Подобные «переменные» величины лучше изначально переносить в приложения, подчиненные документы или записи (документы четвертого уровня).
    > При создании «практических» документов при описании выполнения той или иной функции желательно указывать не должность, а функциональную роль, например «администратор антивирусной системы» или «оператор системы резервного копирования», а в отдельном документе вести реестр сотрудников, выполняющих ту или иную роль. Это удлинит жизненный цикл документа, без необходимости его коррекции и обеспечит гибкость его применения, т.к. можно вести отдельный реестр «компетенций» и оперативно подменять исполнителей при возникновении такой необходимости.
    > Каждый документ должен содержать признак своего владельца (ответственного сотрудника), область действия и условия пересмотра.
    > Документы и записи СМИБ могут существовать как в «твердой» (бумажной), так и в электронной форме. Для предоставления аудиторам или проверяющим копий экземпляров документов, находящихся в электронной форме, должны существовать соответствующие процедуры и определены их ответственные исполнители.
    К сказанному выше можно добавить, что если разработку документов высокого уровня (политик, положений и т.п.) можно поручить внешним консультантам, то документы и записи нижних уровней должны формировать и поддерживать в актуальном состоянии сотрудники организации, максимально вовлеченные в процесс функционирования СМИБ и составляющих ее процедур.
    В следующей публикации обсудим участие руководства организации в системе менеджмента информационной безопасности.

    В мире информационных технологий приоритетным становится вопрос обеспечения целостности, надежности и конфиденциальности информации. Поэтому признание необходимости наличия в организации системы менеджмента информационной безопасности (СМИБ) является стратегическим решением.

    Был разработан для создания, внедрения, поддержания функционирования и непрерывного улучшения СМИБ на предприятии.Также благодаря применению данного Стандарта внешним партнерам становится очевидной способность организации соответствовать собственным требованиям по информационной безопасности. В этой статье пойдет речь об основных требованиях Стандарта и обсуждение его структуры.

    Ваш бизнес выйдет на новый уровень качества, если получить легитимный Сертификат ISO с помощью опытных специалистов.

    Основные задачи Стандарта ISO 27001

    Прежде, чем переходить к описанию структуры Стандарта, оговорим его основные задачи и рассмотрим историю появления Стандарта в России.

    Задачи Стандарта:

    • установление единых требований для всех организаций к созданию, внедрению и улучшения СМИБ;
    • обеспечение взаимодействия высшего руководства и сотрудников;
    • сохранение конфиденциальности, целостности и доступности информации.

    При этом требования, установленные Стандартом, являются общими и предназначены для применения любыми организациями, независимо от их типа, размера или характера.

    История Стандарта:

    • В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 - Part 1.
    • В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая - требования к системам менеджмента информационной безопасности.
    • В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была передана в Международную Организацию по Сертификации.
    • Этот документ был утвержден в 2000 г. в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
    • В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 «Спецификация системы управления информационной безопасностью». Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
    • В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-ой серии и получил новый номер - ISO/IEC 27002:2005.
    • 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования». В настоящее время сертификация организаций проводится по этой версии Стандарта.

    Структура Стандарта

    Одним из преимуществ данного Стандарта является схожесть его структуры с ИСО 9001, так каксодержит идентичные заголовки подразделов, идентичный текст, общие термины и основные определения. Это обстоятельство позволяет сэкономить время и деньги, так как часть документации уже была разработана при сертификации по ИСО 9001.

    Если говорить о структуре Стандарта, то представляет собой перечень требований к СМИБ, обязательных для сертификации и состоит из следующих разделов:

    Основные разделы Приложение А
    0. Введение A.5 Политики информационной безопасности
    1. Область применения A.6 Организация информационной безопасности
    2. Нормативные ссылки A.7 Безопасность человеческих ресурсов (персонала)
    3. Термины и определения A.8 Управление активами
    4. Контекст организации A.9 Управление доступом
    5. Лидерство A.10 Криптография
    6. Планирование A.11 Физическая безопасность и защита от окружающей среды
    7. Поддержка A.12 Безопасность операций
    8. Операции (Эксплуатация) A.13 Безопасность коммуникаций
    9. Оценка (Измерение) результативности A.14 Приобретение, разработка и обслуживание информационных систем
    10. Совершенствование (Улучшение) A.15 Взаимоотношения с поставщиками
    A.16 Менеджмент инцидентов
    A.17 Обеспечение непрерывности бизнеса
    A.18 Соответствие законодательству

    Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить направления, которые невозможно применить на предприятии.

    При внедрении Стандарта на предприятии для прохождения дальнейшей сертификации стоит помнить, что не допускается исключений требований, установленных в разделах 4 - 10. Об этих разделах и пойдет речь дальше.

    Начнем с раздела 4 - Контекст организации

    Контекст организации

    В этом разделе Стандарт требует от организации определить внешние и внутренние проблемы, которые значимы с точки зрения ее целей, и которые влияют на способность ее СМИБ достигать ожидаемых результатов. При этом следует учитывать законодательные и нормативные требования и договорные обязательства в отношении информационной безопасности. Также организация должна определить и документально зафиксировать границы и применимость СМИБ, чтобы установить ее область действия.

    Лидерство

    Высшее руководство должно демонстрировать лидерство и обязательства в отношении системы менеджмента информационной безопасности посредством, например, гарантии того, что информационная политика безопасности и цели в сфере информационной безопасности установлены и согласуются со стратегией организации. Также высшее руководство должно гарантировать обеспечение всеми необходимыми ресурсами для СМИБ. Другими словами, для работников должно быть очевидным вовлеченность руководства в вопросы информационной безопасности.

    Должна быть документально зафиксирована и доведена до сведения работников политика в области информационной безопасности. Этот документ напоминает политику в области качества ISO 9001. Он также должен соответствовать назначению организации и включать цели в области информационной безопасности. Хорошо, если это будут реальные цели, вроде сохранения конфиденциальности и целостности информации.

    Также от руководства ожидается распределение функций и обязанностей, связанных с информационной безопасностью среди работников.

    Планирование

    В этом разделе мы подходим к первому этапу управленческого принципа PDCA (Plan - Do - Check - Act) - планируй, выполняй, проверяй, действуй.

    Планируя систему менеджмента информационной безопасности, организация должнапринять во внимание проблемы, упомянутые в разделе 4, а также определить риски и потенциальные возможности, которые необходимо принять во внимание, чтобы гарантировать, что СМИБ может достигать ожидаемых результатов, предотвратить нежелательные эффекты и достигать непрерывного совершенствования.

    При планировании, каким образом достигнуть своих целей в области информационной безопасности, организация должна определить:

    • что будет сделано;
    • какие ресурсы потребуются;
    • кто будет ответственным;
    • когда цели будут достигнуты;
    • как результаты будут оцениваться.

    Кроме того, организация должна сохранять данные по целям в области информационной безопасности как документированную информацию.

    Обеспечение

    Организация должна определить и обеспечить ресурсы, необходимые для разработки, внедрения, поддержания функционирования и непрерывного улучшения СМИБ, это включает в себя как персонал, так и документацию. В отношении персонала от организации ожидается подбор квалифицированных и компетентных работников в области информационной безопасности. Квалификация работников должна подтверждаться удостоверениями, дипломами и т.п. Возможно привлечение по контракту сторонних специалистов, либо обучение своих работников. Что касается документации, она должна включать:

    • документированную информацию, требуемую Стандартом;
    • документированную информацию, признанную организацией необходимой для обеспечения результативности системы менеджмента информационной безопасности.

    Документированной информацией, требуемой СМИБ и Стандартом, необходимо управлять, чтобы гарантировать, что она:

    • доступна и пригодна для применения там, где и когда она необходима, и
    • надлежащим образом защищена (например, от потери конфиденциальности,неправильного использования или потери целостности).

    Функционирование

    В данном разделе говорится о втором этапе управленческого принципа PDCA - необходимости организации управлять процессамидля обеспечения соответствия требованиям, и выполнять действия, определенные в разделе Планирование. Также говорится, что организация должна выполнять оценку рисков информационной безопасности через запланированные интервалы времени или когда предложены или произошли существенные изменения. Организация должна сохранять результаты оценки рисков информационной безопасности как документированную информацию.

    Оценка результатов деятельности

    Третий этап - проверка. Организация должна оценивать функционирование и результативность СМИБ. Например, в ней должен проводиться внутренний аудит, чтобы получать информацию о том,

    1. соответствует ли система менеджмента информационной безопасности
      • собственным требованиям организации к ее системе менеджмента информационной безопасности;
      • требованиям Стандарта;
    2. что система менеджмента информационной безопасности результативно внедрена и функционирует.

    Разумеется, что объем и сроки проведения аудитов должны планироваться заранее. Все результаты необходимо документировать и сохранять.

    Улучшение

    Суть этого раздела в том, чтобы определить порядок действий при выявлении несоответствия. Организации необходимо исправлять несоответствие, последствия и провести анализ ситуации, чтобы в будущем подобное не происходило. Все несоответствия и корректирующие действия должны документироваться.

    На этом заканчиваются основные разделы Стандарта. В Приложении А приводятся более конкретные требования, которым должна соответствовать организация. Например, в плане контроля доступа, пользования мобильных устройств и носителей информации.

    Выгоды от внедрения и сертификации ISO 27001

    • повышение статуса организации и соответственно доверия партнеров;
    • повышение стабильности функционирования организации;
    • повышениеуровня защиты от угроз информационной безопасности;
    • обеспечениенеобходимого уровня конфиденциальности информации заинтересованных сторон;
    • расширение возможностей участия организации в крупных контрактах.

    Экономическими преимуществами являются:

    • независимое подтверждение сертификационным органом наличия в организации высокого уровня информационной безопасности, контролируемого компетентным персоналом;
    • доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
    • демонстрация определенного высокого уровнясистем менеджмента для обеспечения должного уровня обслуживания клиентов и партнеров организации;
    • демонстрация проведения регулярных аудитов систем менеджмента, оценки результативности и постоянных улучшений.

    Сертификация

    Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех этапов:

    • 1-ый этап- изучение аудитором ключевых документов СМИБ на соответствие требованиям Стандарта- может выполняться как на территории организации, так и путем передачи этих документов внешнему аудитору;
    • 2-ой этап- детальный аудит, включая тестирование внедренных мер, и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
    • 3-ий этап - выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.

    Итог

    Как можно увидеть, применение данного стандарта на предприятии позволить качественно повысить уровень информационной безопасности, что в условиях современных реалий дорогого стоит. Требований Стандарт содержит немало, но самое главное требование - делать то, что написано! Без реального применения требований стандарта он превращается в пустой набор бумажек.



    © 2024 Мы знаем все о фундаментах. Работа. Материалы. Выбор. Документация