Создание комплексной системы управления информационной безопасностью
СОДЕРЖАНИЕ
ISO/IEC 27001 и система управления информационной безопасностью
Этапы создания СУИБ
Принятие решения о создании СУИБ
Подготовка к созданию СУИБ
Анализ рисков
Разработка политик и процедур СУИБ
Внедрение СУИБ в эксплуатацию
Заключение
В конце 2005 года в свет вышел новый международный стандарт в области информационной безопасности — BS ISO/IEC 27001:2005 (далее Стандарт). В данном документе сформулированы требования к системе управления информационной безопасностью (СУИБ), включая общую методологию создания, внедрения и оценки эффективности механизмов СУИБ. В настоящее время наблюдается повышенный интерес к этому стандарту со стороны компаний, работающих в различных отраслях. Соответствие ему становится важным фактором коммерческого успеха организации благодаря целому ряду преимуществ, которые она получает, таким как:
- конкурентные преимущества;
- повышение положения компании в международных рейтингах, необходимое для привлечения зарубежных инвестиций и выхода на международные рынки;
- повышение стоимости акций компании;
- демонстрация партнерам и клиентам высокого уровня своей надежности за счет адекватной защиты информации, включая информацию клиентов и партнеров;
- снижение рисков, связанных с возможными ущербами для активов компании;
- повышение прозрачности процесса управления информационной безопасностью в организации:
- четкое разделение полномочий и ответственности за обеспечение информационной безопасности;
- критерии оценки эффективности выполняемых мероприятий по обеспечению информационной безопасности;
- обоснование затрат на информационную безопасность.
Перечисленные здесь преимущества приобретаются в результате получения сертификата соответствия СУИБ организации требованиям BS ISO/IEC 27001:2005, который выдается независимым органом по сертификации при успешном прохождении сертификационного аудита СУИБ. Самым трудоемким и сложным этапом на пути к сертификации является собственно создание системы управления ИБ и внедрение ее механизмов в компании. В данной статье рассмотрены основные компоненты и этапы создания СУИБ, соответствующей требованиям BS ISO/IEC 27001:2005. ISO/IEC 27001 и система управления информационной безопасностью Стандарт BS ISO/IEC 27001:2005 представляет собой модель системы менеджмента в области информационной безопасности. Как и любая другая современная система менеджмента, СУИБ — это, прежде всего, набор организационных мероприятий и процедур управления, она не является по своей сути техническим стандартом. В основе стандарта лежит процессный подход к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ компании. Он заключается в создании и применении системы процессов управления, которые взаимоувязаны в непрерывный цикл планирования, внедрения, проверки и улучшения СУИБ. Дополнительно в Стандарте приведен перечень механизмов защиты информации программно-технического уровня, который может использоваться. Таким образом, СУИБ, построенная в соответствии с требованиями ISO/IEC 27001:2005, представляет собой комплексную систему, включающую и механизмы управления, и механизмы защиты информации. Основным движущим механизмом СУИБ является периодический анализ рисков информационной безопасности. Высшее руководство организации также вовлекается в процесс управления СУИБ посредством принятия решений на основе результатов анализа рисков, результатов внутренних аудитов и других механизмов СУИБ. С точки зрения процессов управления СУИБ входит в общую систему менеджмента организации и предоставляет дополнительные механизмы управления в части обеспечения защиты критичной информации.
Этапы создания СУИБ
В рамках работ по созданию СУИБ можно выделить следующие основные этапы: 1. Принятие решения о создании СУИБ. 2. Подготовка к созданию СУИБ. 3. Анализ рисков. 4. Разработка политик и процедур СУИБ. 5. Внедрение СУИБ в эксплуатацию. Рассмотрим данные этапы более подробно.
Принятие решения о создании СУИБ
Решение о создании и последующей сертификации СУИБ должно приниматься высшим руководством организации. Таким образом руководство выражает свою поддержку началу данного процесса, что является ключевым фактором для успешного внедрения СУИБ в организации. При этом руководство должно осознавать конечную цель данного мероприятия и ценность сертификации для бизнеса компании.
Подготовка к созданию СУИБ
Организация рабочей группы
Не менее важным фактором успешного внедрения СУИБ является создание рабочей группы, ответственной за внедрение СУИБ. В ее состав должны войти:
- представители высшего руководства организации;
- представители бизнес-подразделений, охватываемых СУИБ;
- специалисты подразделений, обеспечивающих информационную безопасность в компании, имеющие соответствующее образование или подготовку, знающие основные принципы и лучшие практики в области информационной безопасности.
Перечисленные сотрудники должны понимать универсальные механизмы систем менеджмента, знать требования Стандарта и пройти обучение по вопросам создания и эксплуатации СУИБ. В состав рабочей группы, кроме сотрудников компании, могут входить также привлеченные консультанты, специализирующиеся в вопросах построения СУИБ. Хорошей практикой является создание в организации комитета по информационной безопасности, который, кроме вопросов, связанных с внедрением СУИБ, должен на постоянной основе обеспечить решение задач, определяемых эксплуатацией данной СУИБ и ее непрерывным совершенствованием.
Нормативно-методическое обеспечение
Рабочая группа должна иметь в своем распоряжении всю необходимую нормативно-методическую базу для успешного создания системы управления информационной безопасностью, соответствующей требованиям Стандарта. К сожалению, в настоящий момент изданы далеко не все необходимые документы, что безусловно затрудняет внедрение требований Стандарта. Ниже приведены стандарты и методики, которыми следует руководствоваться:
- ISO/IEC 27000 — Словарь и определения. Дата выхода неизвестна.
- ISO/IEC 27001:2005.
- ISO/IEC 27002. Сейчас: ISO/IEC 17799:2005. Дата выхода — 2007 год.
- ISO/IEC 27003. Руководство по внедрению СМИБ. Дата выхода — 2008 год.
- ISO/IEC 27004. Метрики ИБ. Дата выхода неизвестна.
- ISO/IEC 27005. Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
- ISO/IEC 27006. "Guidelines for information and communications technology disaster recovery services". Сейчас: SS507:2004 — Singapore Standards for Business Continuity/Disaster Recovery (BC/DR) Service Providers. Дата выхода неизвестна.
- ISO/IEC Guide 73:2002, Risk management — Vocabulary — Guidelines for use in standards.
- ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security managment.
- ISO/IEC TR 18044 Information technology — Security techniques — Information security incident management.
- ISO/IEC 19011:2002 Guidelines for quality and / or environmental management systems auditing.
- Серия методик Британского института стандартов по созданию СУИБ (ранее: документы серии PD 3000).
Выбор области деятельности организации, которая будет охвачена СУИБ
При выборе области деятельности, в которой силами специально созданной рабочей группы будут внедряться механизмы СУИБ, должны учитываться следующие факторы:
- деятельность и услуги, предоставляемые организацией своим партнерам и клиентам;
- целевая информация, безопасность которой должна быть обеспечена;
- бизнес-процессы, обеспечивающие обработку целевой информации;
- подразделения и сотрудники организации, задействованные в данных бизнес-процессах;
- программно-технические средства, обеспечивающие функционирование данных бизнес-процессов;
- территориальные площадки компании, в рамках которых происходят сбор, обработка и передача целевой информации.
Результатом является согласованная с высшим руководством область деятельности организации, в рамках которой планируется создание СУИБ.
Выявление несоответствий
Для уточнения объема работ и необходимых затрат на создание и последующую сертификацию СУИБ члены рабочей группы проводят работы по выявлению и анализу несоответствий существующих в организации мер защиты требованиям Стандарта. При этом анализируются как применяемые организационные мероприятия в области планирования, внедрения, аудита и модернизации мер по обеспечению информационной безопасности, так и используемые программно-технические средства и механизмы защиты информации. На данном этапе компания также может выбрать независимый орган по сертификации систем менеджмента, имеющий соответствующую аккредитацию, в котором она хотела бы пройти сертификацию. Хорошей практикой является заказ у органа по сертификации предварительного аудита для выявления существующих на текущий момент несоответствий требованиям Стандарта. Предварительный аудит на данном этапе поможет выявить области, требующие усовершенствования. Результатом этих работ должен стать перечень несоответствий требованиям Стандарта и план работ по созданию СУИБ организации.
Анализ рисков
Одной из наиболее ответственных и сложных задач, решаемых в процессе создания СУИБ, следует назвать проведение анализа рисков информационной безопасности в отношении активов организации в выбранной области деятельности и принятие высшим руководством решения о выборе мер противодействия выявленным рискам. В процессе анализа рисков проводятся следующие работы:
- идентификация всех активов в рамках выбранной области деятельности;
- определение ценности идентифицированных активов;
- идентификация угроз и уязвимостей для идентифицированных активов;
- оценка рисков для возможных случаев успешной реализации угроз информационной безопасности в отношении идентифицированных активов;
- выбор критериев принятия рисков;
- подготовка плана обработки рисков.
Выполнение всех указанных задач обычно осуществляется в соответствии с разрабатываемой процедурой анализа рисков, в которой определена методология и отражены организационные аспекты по каждой из задач.
Идентификация и определение ценности активов
В рамках данных работ должны быть рассмотрены все бизнес-процессы, входящие в выбранную область деятельности организации. По каждому бизнес-процессу совместно с владельцем процесса производится идентификация задействованных активов. В терминах Стандарта под активами понимаются:
- информационные входные данные;
- информационные выходные данные;
- информационные записи;
- ресурсы: люди, инфраструктура, оборудование, программное обеспечение, инструменты, услуги.
Следующим шагом в проведении анализа рисков ИБ в отношении активов компании является определение цености актива, которая выражается в величине ущерба для организации, если нарушается какое-либо из следующих свойств актива: конфиденциальность, целостность, доступность. Информация о ценности актива может быть получена от его владельца или же от лица, которому владелец делегировал все полномочия по данному активу, включая обеспечение его безопасности. Результатом данных работ является отчет об идентификации и оценке ценности активов.
Анализ рисков
Анализ рисков — это основной движущий процесс СУИБ. Он выполняется не только при создании СУИБ, но и периодически при изменении бизнес-процессов организации и требований по безопасности. Необходимо подобрать такую методику анализа рисков, которую можно было бы использовать с минимальными изменениями на постоянной основе. Есть два пути: использовать существующие на рынке методики и инструментарий для оценки рисков или же разработать свою собственную методику, которая наилучшим образом будет подходить к специфике компании и охватываемой системой управления информационной безопасности области деятельности. Последний вариант наиболее предпочтителен, поскольку пока большинство существующих на рынке продуктов, реализующих ту или иную методику анализа рисков, не отвечают требованиям Стандарта. Типичными недостатками таких методик являются:
- стандартный набор угроз и уязвимостей, который зачастую невозможно изменить;
- принятие в качестве активов только программно-технических и информационных ресурсов — без рассмотрения человеческих ресурсов, сервисов и других важных ресурсов;
- общая сложность методики с точки зрения ее устойчивого и повторяющегося использования.
В процессе анализа рисков для каждого из активов или группы активов производится идентификация возможных угроз и уязвимостей, оценивается вероятность реализации каждой из угроз и, с учетом величины возможного ущерба для актива, определяется величина риска, отражающего критичность той или иной угрозы. Необходимо отметить, что в соответствии с требованиями Стандарта в процедуре анализа рисков должны быть идентифицированы критерии принятия рисков и приемлемые уровни риска. Эти критерии должны базироваться на достижении стратегических, организационных и управленческих целей организации. Высшее руководство компании использует данные критерии, принимая решения относительно принятия контрмер для противодействия выявленным рискам. Если выявленный риск не превышает установленного уровня, он является приемлемым, и дальнейшие мероприятия по его обработке не проводятся. В случае же, когда выявленный риск превышает приемлемый уровень критичности угрозы, высшее руководство должно принять одно из следующих возможных решений:
- снижение риска до приемлемого уровня посредством применения соответствующих контрмер;
- принятие риска;
- избежание риска;
- перевод риска в другую область, например, посредством его страхования.
Реализация плана обработки рисков
В соответствии с принятыми решениями формируется план обработки рисков. Данный документ содержит перечень первоочередных мероприятий по снижению уровней рисков, а также цели и средства управления из "Приложения А" Стандарта, направленные на снижение рисков, с указанием:
- лиц, ответственных за реализацию данных мероприятий и средств;
- сроков реализации мероприятий и приоритетов их выполнения;
- ресурсов для реализации таких мероприятий;
- уровней остаточных рисков после внедрения мероприятий и средств управления.
Принятие плана обработки рисков и контроль за его выполнением осуществляет высшее руководство организации. Выполнение ключевых мероприятий плана является критерием, позволяющим принять решение о вводе СУИБ в эксплуатацию.
Разработка политик и процедур СУИБ
Разработка организационно-нормативной базы, необходимой для функционирования СУИБ, может проводиться параллельно с реализацией мероприятий плана обработки рисков. На данном этапе разрабатываются документы, явно указанные в Стандарте, а также те, необходимость реализации которых вытекает из результатов анализа рисков и из собственных требований компании к защите информации. Обычно сюда входят следующие основные политики и процедуры:
- область деятельности СУИБ;
- политика СУИБ;
- подполитики по основным механизмам обеспечения информационной безопасности, применимым к выбранной области деятельности, охватываемой СУИБ, такие как:
- политика антивирусной защиты;
- политика предоставления доступа к информационным ресурсам;
- политика использования средств криптографической защиты;
- другие политики;
- процедуры СУИБ:
- управление документацией;
- управления записями;
- внутренние аудиты;
- корректирующие действия;
- предупреждающие действия;
- управление инцидентами;
- анализ функционирования СУИБ руководством организации;
- оценка эффективности механизмов управления СУИБ;
- другие процедуры и инструкции.
Разрабатываемые политики и процедуры должны охватывать следующие ключевые процессы СУИБ:
- управление рисками;
- управление инцидентами;
- управление эффективностью системы;
- управление персоналом;
- управление документацией и записями системы управления ИБ;
- пересмотр и модернизация системы;
- управление непрерывностью бизнеса и восстановления после прерываний.
Кроме того, в должностные инструкции ответственного персонала, положения о подразделениях, контрактные обязательства организации должны быть включены обязанности по обеспечению информационной безопасности. Обязанности по выполнению требований СУИБ посредством соответствующих приказов и распоряжений возлагаются на ответственных сотрудников подразделений, охватываемых СУИБ. Все разработанные положения политики СУИБ, подполитик, процедур и инструкций доводятся до сведения рядовых сотрудников при их первоначальном и последующем периодическом обучении и информировании. Таким образом, в результате не только создается документальная база СУИБ, но и происходит реальное распределение обязанностей по обеспечению безопасности информации среди персонала организации.
Внедрение СУИБ в эксплуатацию
Датой ввода СУИБ в эксплуатацию является дата утверждения высшим руководством компании положения о применимости средств управления. Данный документ является публичным и декларирует цели и средства, выбранные организацией для управления рисками. Положение включает:
- средства управления и контроля, выбранные на этапе обработки рисков (в том числе из "Приложения А" Стандарта);
- существующие в организации средства управления и контроля;
- средства, обеспечивающие выполнение требований законодательства и требований регулирующих организаций;
- средства, обеспечивающие выполнение требований заказчиков;
- средства, обеспечивающие выполнение общекорпоративных требований;
- любые другие соответствующие средства управления и контроля.
При вводе СУИБ в эксплуатацию задействуются все разработанные процедуры и механизмы, реализующие выбранные цели и средства управления.
Подготовка к сертификационному аудиту
На данном этапе, как и на начальном, организации рекомендуется пройти предварительный аудит, который поможет оценить готовность к сертификационному аудиту. Предварительный аудит обычно проводится тем же органом по сертификации, в котором предполагается прохождение сертификационного аудита. По результатам предварительного аудита орган по сертификации составляет отчет, в нем отмечаются все положительные стороны созданной СУИБ, выявленные несоответствия и рекомендации по их устранению. Для проведения сертификационного аудита рекомендуется, чтобы СУИБ компании функционировала от трех до шести месяцев. Это минимальный период, необходимый для первичного выполнения внутренних аудитов и анализа СУИБ со стороны руководства, а также для формирования записей по результатам выполнения всех процедур СУИБ, которые анализируются в ходе сертификационного аудита. Результатом данного этапа является СУИБ организации, готовая к прохождению сертификационного аудита.
Заключение
Рассмотрев основные этапы создания СУИБ, отметим, что этот процесс достаточно сложен и длителен. Очевидно, что работы по разработке и внедрению системы не могут увенчаться успехом без ярко выраженной приверженности высшего руководства компании к созданию СУИБ. Наличие такой приверженности поможет создать эффективную и реально работающую систему. Усилия, затраченные на создание системы управления информационной безопасностью, позволят организации выйти на новый уровень отношений с клиентами, партнерами, акционерами, продемонстрировать надежность компании и предоставят возможность успешной конкуренции с ведущими компаниями на международном рынке.
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: