1. Информационные
активы станут понятными для
менеджмента компании. Организация должна управлять
активами
Определение ответственных
за активы.
Разработать принципы классификации
активов по их значимости, правовым требованиям,
важности и критичности для организации.
Идентифицировать активы в
соответствии с принципами классификации.
2. Угрозы и уязвимости
безопасности для существующих
бизнес-процессов будут регулярно
выявляться. Организация должна идентифицировать
риски:
Идентифицировать угрозы этим
активам.
Идентифицировать уязвимости,
которые могут быть использованы этими
угрозами.
Определить воздействие, которое
может привести к потере конфиденциальности,
целостности и доступности ресурсов.
3. Риски будут
просчитываться и приниматься
решения на основе бизнес целей
компании. Организация должна проанализировать
и оценить риски:
Оценить вероятность возникновения
нарушения.
Определить, является ли риск
приемлемым или требуется обработка риска
с использованием критериев принятия
риска.
4. Управление системой
в критичных ситуациях будет
эффективным. Организация должна управлять
непрерывностью бизнеса:
Определить и внедрить процессы
для непрерывности бизнеса.
Идентифицировать события,
которые могут привести к нарушениям бизнес-процессов,
определить возможности и степени влияния.
Разработать планы восстановления.
Определить приоритеты планов
для их тестирования и поддержки.
Тестировать и регулярно обновлять
планы.
5. Будет проводиться
процесс выполнения политики
безопасности (находить и исправлять
слабые места). Руководство должно:
Разрабатывать политики СМИБ.
Устанавливать цели и планы.
Распределять ответственность
в области ИБ.
Доводить до сведения всех сотрудников.
Принимать решения о допустимости
рисков.
Обеспечивать проведение внутренних
аудитов.
6. Подчеркнется
прозрачность и чистота бизнеса
перед законом благодаря соответствию
стандарту. Организация должна:
Определять применимое законодательство.
Обеспечить защиту интеллектуальной
собственности.
Обеспечить защиту записей
от потери, разрушения и фальсификации
в соответствии с требованиями законодательства.
Обеспечить защиту персональных
данных и приватной информации.
Предотвратить нецелевое использование
средств обработки информации пользователем
7. Снизится и
оптимизируется стоимость поддержки
системы безопасности. Стандарт требует идентифицировать
и классифицировать активы. Классификацию
можно провести в денежном выражении или
по качественному признаку. Кроме того,
стандарт требует оценить риски. Для принятия
объективного решения о финансировании
того или иного направления информационной
безопасности стандарт требует разработать
схему принятия рисков (рис. 1).
Таким образом, объективная
оценка сочетаний «ущерб-вероятность»
позволить постоянно эффективно финансировать
информационную безопасность.
8. Появится надежная
защита от рейдерских атак. Рейдеры — специалисты по перехвату
оперативного управления или собственности
фирмы с помощью специально инициированного
бизнес-конфликта. Рейдерство — вывод
активов из владения законных собственников.
Одна из возможных схем работы рейдера
— создать предприятию максимальное количество
проблем, а затем забрать у собственников
и менеджмента за бесценок с тем, чтобы
с тысячекратной прибылью продать предприятие
или его имущество третьим сторонам.
Уязвимости предприятия порождают
рейдерский захват. Редкие предприятия
не имеют «грехов». Эти «грехи», а точнее
компрометирующая информация, находится
в рамках общей информационной системы
предприятия. Закрывая эту информацию
от третьих лиц можно избежать инициирования
рейдерского захвата.
Сам процесс рейдерского захвата
базируется на изучении внутренних процессов
предприятия, правил и норм его работы.
Эта информация позволяет четко спланировать
и провести рейдерский захват в наиболее
подходящий момент времени. Закрытие этой
информации или дезинформирование рейдеров
не позволит осуществить план по захвату
предприятия.
9. Подсистема безопасности
интегрируется в общую систему
менеджмента. СМИБ построена на принципах
европейского менеджмента. Требования
к общей системе менеджмента нашли свое
отражение в стандарте ISO 9001:2000. Стандарт
ISO 27001 гармонизирован со стандартом на
системы менеджмента качества ISO 9001:2000
и базируется на его основных принципах.
Структура документации по
требованиям ISO/IEC 27001:2005 может быть аналогична
структуре по требованиям ISO 9001:2000. Большая
часть документации, требуемая по ISO/IEC
27001:2005 уже могла быть разработана и использоваться
в рамках общей системы менеджмента предприятия.
10. Предприятие
получит международное признание
и повысит авторитет как на
внутреннем, так и на внешних
рынках. Для получения этой выгоды необходимо
подтвердить соответствие СМИБ требованиям
стандарта с помощью третьей независимой
стороны. Независимость третьей стороны
— ключевой фактор получения вышеуказанных
выгод. В качестве третьей стороны выступает
сертифицирующий орган. Подтверждение
сертифицирующего органа выражается в
выдаче сертификата. Уровень доверия клиентов
к системе напрямую зависит от доверия
клиентов к сертификатам того или иного
сертифицирующего органа.
Управление рисками
Основа стандарта ИСО 27001 —
система управление рисками, связанными
с информацией.
Система управления рисками
позволяет получать ответы на следующие
вопросы:
Какие риски в данный момент
угрожают нашим бизнес-процессам?
На каком направлении информационной
безопасности требуется сосредоточить
внимание?
Сколько времени и средств можно
потратить на данное техническое решение
для защиты информации?
Задача риск-менеджмента —
идентификация рисков и управление ими.
Риск-менеджмент — это руководство для
любых действий как в краткосрочном, так
и в долгосрочном разрезе жизнедеятельности
организации. Риск-менеджмент уделяет
основное внимание превентивным мероприятиям
или мероприятиям, смягчающим размеры
последствий.
Риск — это комбинация вероятности
события и его последствий (ISO/IEC Guide 73).
В пункте 4.2.1 ISO 27001 требуется:
в) оценить подход
к оценке риска в организации (определить метод оценки риска, определить критерии принятия рисков),
г) идентифицировать
риски (идентифицировать активы, идентифицировать угрозы, идентифицировать уязвимости, идентифицировать возможные воздействия, которые могут привести к утрате конфиденциальности, целостности и доступности активов),
д) проанализировать
и оценить риски (оценить ущерб бизнесу, оценить вероятность, оценить уровни рисков, определить приемлемость/неприемлемость рисков),
е) определить и оценить
варианты обработки рисков,
ж) выбрать цели и
меры контроля для обработки рисков.
Требования стандарта практически
служат руководством к внедрению системы
менеджмента рисков.
Методика внедрения СМИБ «ИТ-ГРУНДШУТЦ»
Стандарт ISO/IEC 27001:2005 выдвигает
требования к СМИБ, но не описывает методику
внедрения. Рассмотрим одну из самых простых
и надежных в применении методик по созданию
СМИБ — «ИТ-Грундшутц». Она разработана
германским правительственным федеральным
офисом по информационной безопасности
(BSI), соответствующие документы находятся
в открытом доступе на сайте www.bsi.de. Методика
совместима с требованиями ISO/IEC 27001:2005,
содержит структурированный и практический
подход, а также конкретные, подробно описанные
мероприятия по реализации требований
ISO/IEC 27001:2005.
Благодаря конкретно сформулированным
стандартным мероприятиям (каталоги базовой
защиты) для самых разных аспектов информационной
безопасности «ИТ-Грундшутц» — наименее
затратная методика внедрения. Она базируется
на следующих документах.
Стандарты:
ISO/IEC 27001:2005 — системы менеджмента информационной безопасности (требования);
BSI 100-1 — системы менеджмента информационной безопасности (рекомендации);
BSI 100-2 — методика «ИТ-Грундшутц» (как, что и зачем делать, в общем виде);
BSI 100-3 — анализ рисков на основе методики «ИТ-Грундшутц» (позволяет внедрить систему управления рисками по требованиям ISO/IEC 27001:2005).
Каталоги (постоянно обновляются):
Часть M. Модули — описывает
конкретные действия по разработке СМИБ
(например, раздел по разработке политики
безопасности включает требования к политике,
содержание политики, варианты разработки
политики, примеры целей по безопасности,
которые вытекают из политики);
Часть Т. Угрозы. — подробное
описание угроз, использованных в Части
М (каталог угроз к многочисленным активам);
Часть S. Методы защиты — подробное
описание методов защиты, использованных
в Части М (каталог мероприятий по снижению
угроз).
Пример применения
ИСО 270001 в России и за рубежем
Таким стандартом, а точнее набором
стандартов, является комплекс документов
Банка России, описывающий единый подход
к построению системы обеспечения ИБ организаций
банковской сферы с учетом требований
российского законодательства. В основе
данного набора документов (далее СТО
БР ИББС), содержащего три стандарта и
пять рекомендаций по стандартизации,
лежит и ISO 27001 и ряд других международных
стандартов по управлению информационными
технологиями и информационной безопасностью.
Вопросы аудита и оценки соответствия
требованиям стандарта, как и для ISO 27001,
прописаны в отдельных документах — «СТО
БР ИББС-1.1-2007. Аудит информационной безопасности»,
«СТО БР ИББС-1.2-2010. Методика оценки соответствия
информационной безопасности организаций
банковской системы Российской Федерации
требованиям СТО БР ИББС-1.0-2010» и «РС БР
ИББС-2.1-2007. Руководство по самооценке
соответствия информационной безопасности
организаций банковской системы Российской
Федерации требованиям СТО БР ИББС-1.0».
Во время оценки соответствия по СТО БР
ИББС проверяется выполнение 423 частных
показателей ИБ, сгруппированных в 34 групповых
показателя. Результатом оценки является
итоговый показатель, который должен находиться
на 4-м или 5-м уровне по пятибалльной шкале,
установленной Банком России. Это, кстати,
очень сильно отличает аудит по СТО БР
ИББС от аудита по другим нормативным
актам в области ИБ. В СТО БР ИББС не бывает
несоответствия, просто уровень соответствия
может быть разный: от нуля до пяти. И только
уровни выше 4-го считаются положительными.
По состоянию на конец 2011 года около 70–75%
банков внедрили или находятся в процессе
внедрения этого набора стандартов. Несмотря
ни на что они де-юре носят рекомендательный
характер, но де-факто инспекционные проверки
Банка России проводились до недавнего
времени именно в соответствии с требованиями
СТО БР ИББС (хотя явно это никогда и нигде
не звучало).
Ситуация изменилась с 1 июля 2012 года, когда
в полную силу вступил закон «О национальной
платежной системе» и разработанные для
его исполнения нормативные документы
Правительства России и Банка России.
С этого момента вопрос необходимости
проведения аудита соответствия требованиям
СТО БР ИББС вновь встал на повестке дня.
Дело в том, что методика оценки соответствия,
предложенная в рамках законодательства
о национальной платежной системе (НПС),
и методика оценки соответствия СТО БР
ИББС могут очень сильно расходиться в
итоговых значениях. При этом оценка по
первой методике (для НПС) стала обязательной,
в то время как оценка по СТО БР ИББС по-прежнему
де-юре носит рекомендательный характер.
Да и в самом Банке России на момент написания
статьи еще не было принято решение о дальнейшей
судьбе этой оценки. Если раньше все нити
сходились в Главное управление безопасности
и защиты информации Банка России (ГУБЗИ),
то с разделением полномочий между ГУБЗИ
и Департаментом регулирования расчетов
(LHH) вопрос пока остается открытым.