Система менеджмента информационной безопасности по ИСО 27001

1. Информационные  активы станут понятными для  менеджмента компании. Организация должна управлять активами

• Инвентаризация активов.

• Определение ответственных за активы.

• Разработать принципы классификации активов по их значимости, правовым требованиям, важности и критичности для организации.

• Идентифицировать активы в соответствии с принципами классификации.

2. Угрозы и уязвимости  безопасности для существующих  бизнес-процессов будут регулярно  выявляться. Организация должна идентифицировать риски:

• Идентифицировать активы.

• Идентифицировать угрозы этим активам.

• Идентифицировать уязвимости, которые могут быть использованы этими угрозами.

• Определить воздействие, которое может привести к потере конфиденциальности, целостности и доступности ресурсов.

3. Риски будут  просчитываться и приниматься  решения на основе бизнес целей  компании. Организация должна проанализировать и оценить риски:

• Оценить ущерб бизнесу.

• Оценить вероятность возникновения нарушения.

• Оценить уровни рисков.

• Определить, является ли риск приемлемым или требуется обработка риска с использованием критериев принятия риска.

4. Управление системой  в критичных ситуациях будет  эффективным. Организация должна управлять непрерывностью бизнеса:

• Определить и внедрить процессы для непрерывности бизнеса.

• Идентифицировать события, которые могут привести к нарушениям бизнес-процессов, определить возможности и степени влияния.

• Разработать планы восстановления.

• Определить приоритеты планов для их тестирования и поддержки.

• Тестировать и регулярно обновлять планы.

5. Будет проводиться  процесс выполнения политики  безопасности (находить и исправлять  слабые места). Руководство должно:

• Разрабатывать политики СМИБ.

• Устанавливать цели и планы.

• Распределять ответственность в области ИБ.

• Доводить до сведения всех сотрудников.

• Обеспечивать ресурсами.

• Принимать решения о допустимости рисков.

• Обеспечивать проведение внутренних аудитов.

• Проводить анализ СМИБ.

6. Подчеркнется  прозрачность и чистота бизнеса  перед законом благодаря соответствию  стандарту. Организация должна:

• Определять применимое законодательство.

• Обеспечить защиту интеллектуальной собственности.

• Обеспечить защиту записей от потери, разрушения и фальсификации в соответствии с требованиями законодательства.

• Обеспечить защиту персональных данных и приватной информации.

• Предотвратить нецелевое использование средств обработки информации пользователем

7. Снизится и  оптимизируется стоимость поддержки  системы безопасности. Стандарт требует идентифицировать и классифицировать активы. Классификацию можно провести в денежном выражении или по качественному признаку. Кроме того, стандарт требует оценить риски. Для принятия объективного решения о финансировании того или иного направления информационной безопасности стандарт требует разработать схему принятия рисков (рис. 1).

Таким образом, объективная оценка сочетаний «ущерб-вероятность» позволить постоянно эффективно финансировать информационную безопасность.

8. Появится надежная  защита от рейдерских атак. Рейдеры — специалисты по перехвату оперативного управления или собственности фирмы с помощью специально инициированного бизнес-конфликта. Рейдерство — вывод активов из владения законных собственников. Одна из возможных схем работы рейдера — создать предприятию максимальное количество проблем, а затем забрать у собственников и менеджмента за бесценок с тем, чтобы с тысячекратной прибылью продать предприятие или его имущество третьим сторонам.

Уязвимости предприятия порождают рейдерский захват. Редкие предприятия не имеют «грехов». Эти «грехи», а точнее компрометирующая информация, находится в рамках общей информационной системы предприятия. Закрывая эту информацию от третьих лиц можно избежать инициирования рейдерского захвата.

Сам процесс рейдерского захвата базируется на изучении внутренних процессов предприятия, правил и норм его работы. Эта информация позволяет четко спланировать и провести рейдерский захват в наиболее подходящий момент времени. Закрытие этой информации или дезинформирование рейдеров не позволит осуществить план по захвату предприятия.

9. Подсистема безопасности  интегрируется в общую систему  менеджмента. СМИБ построена на принципах европейского менеджмента. Требования к общей системе менеджмента нашли свое отражение в стандарте ISO 9001:2000. Стандарт ISO 27001 гармонизирован со стандартом на системы менеджмента качества ISO 9001:2000 и базируется на его основных принципах.

Структура документации по требованиям ISO/IEC 27001:2005 может быть аналогична структуре по требованиям ISO 9001:2000. Большая часть документации, требуемая по ISO/IEC 27001:2005 уже могла быть разработана и использоваться в рамках общей системы менеджмента предприятия.

10. Предприятие  получит международное признание  и повысит авторитет как на  внутреннем, так и на внешних  рынках. Для получения этой выгоды необходимо подтвердить соответствие СМИБ требованиям стандарта с помощью третьей независимой стороны. Независимость третьей стороны — ключевой фактор получения вышеуказанных выгод. В качестве третьей стороны выступает сертифицирующий орган. Подтверждение сертифицирующего органа выражается в выдаче сертификата. Уровень доверия клиентов к системе напрямую зависит от доверия клиентов к сертификатам того или иного сертифицирующего органа.

Управление рисками

Основа стандарта ИСО 27001 — система управление рисками, связанными с информацией.

Система управления рисками позволяет получать ответы на следующие вопросы:

• Какие риски в данный момент угрожают нашим бизнес-процессам?

• На каком направлении информационной безопасности требуется сосредоточить внимание?

• Сколько времени и средств можно потратить на данное техническое решение для защиты информации?

Задача риск-менеджмента — идентификация рисков и управление ими. Риск-менеджмент — это руководство для любых действий как в краткосрочном, так и в долгосрочном разрезе жизнедеятельности организации. Риск-менеджмент уделяет основное внимание превентивным мероприятиям или мероприятиям, смягчающим размеры последствий.

Риск — это комбинация вероятности события и его последствий (ISO/IEC Guide 73).

В пункте 4.2.1 ISO 27001 требуется:

• в) оценить подход к оценке риска в организации (определить метод оценки риска, определить критерии принятия рисков),

• г) идентифицировать риски (идентифицировать активы, идентифицировать угрозы, идентифицировать уязвимости, идентифицировать возможные воздействия, которые могут привести к утрате конфиденциальности, целостности и доступности активов),

• д) проанализировать и оценить риски (оценить ущерб бизнесу, оценить вероятность, оценить уровни рисков, определить приемлемость/неприемлемость рисков),

• е) определить и оценить варианты обработки рисков,

• ж) выбрать цели и меры контроля для обработки рисков.

Требования стандарта практически служат руководством к внедрению системы менеджмента рисков.

 

Методика внедрения СМИБ «ИТ-ГРУНДШУТЦ»

Стандарт ISO/IEC 27001:2005 выдвигает требования к СМИБ, но не описывает методику внедрения. Рассмотрим одну из самых простых и надежных в применении методик по созданию СМИБ — «ИТ-Грундшутц». Она разработана германским правительственным федеральным офисом по информационной безопасности (BSI), соответствующие документы находятся в открытом доступе на сайте www.bsi.de. Методика совместима с требованиями ISO/IEC 27001:2005, содержит структурированный и практический подход, а также конкретные, подробно описанные мероприятия по реализации требований ISO/IEC 27001:2005.

Благодаря конкретно сформулированным стандартным мероприятиям (каталоги базовой защиты) для самых разных аспектов информационной безопасности «ИТ-Грундшутц» — наименее затратная методика внедрения. Она базируется на следующих документах.

Стандарты:

• ISO/IEC 27001:2005 — системы менеджмента информационной безопасности (требования);

• BSI 100-1 — системы менеджмента информационной безопасности (рекомендации);

• BSI 100-2 — методика «ИТ-Грундшутц» (как, что и зачем делать, в общем виде);

• BSI 100-3 — анализ рисков на основе методики «ИТ-Грундшутц» (позволяет внедрить систему управления рисками по требованиям ISO/IEC 27001:2005).

Каталоги (постоянно обновляются):

• Часть M. Модули — описывает конкретные действия по разработке СМИБ (например, раздел по разработке политики безопасности включает требования к политике, содержание политики, варианты разработки политики, примеры целей по безопасности, которые вытекают из политики);

• Часть Т. Угрозы. — подробное описание угроз, использованных в Части М (каталог угроз к многочисленным активам);

• Часть S. Методы защиты — подробное описание методов защиты, использованных в Части М (каталог мероприятий по снижению угроз).

 

Пример применения ИСО 270001 в России и за рубежем

  Таким стандартом, а точнее набором стандартов, является комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учетом требований российского законодательства. В основе данного набора документов (далее СТО БР ИББС), содержащего три стандарта и пять рекомендаций по стандартизации, лежит и ISO 27001 и ряд других международных стандартов по управлению информационными технологиями и информационной безопасностью. 
Вопросы аудита и оценки соответствия требованиям стандарта, как и для ISO 27001, прописаны в отдельных документах — «СТО БР ИББС-1.1-2007. Аудит информационной безопасности», «СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010» и «РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0». 
Во время оценки соответствия по СТО БР ИББС проверяется выполнение 423 частных показателей ИБ, сгруппированных в 34 групповых показателя. Результатом оценки является итоговый показатель, который должен находиться на 4-м или 5-м уровне по пятибалльной шкале, установленной Банком России. Это, кстати, очень сильно отличает аудит по СТО БР ИББС от аудита по другим нормативным актам в области ИБ. В СТО БР ИББС не бывает несоответствия, просто уровень соответствия может быть разный: от нуля до пяти. И только уровни выше 4-го считаются положительными. 
По состоянию на конец 2011 года около 70–75% банков внедрили или находятся в процессе внедрения этого набора стандартов. Несмотря ни на что они де-юре носят рекомендательный характер, но де-факто инспекционные проверки Банка России проводились до недавнего времени именно в соответствии с требованиями СТО БР ИББС (хотя явно это никогда и нигде не звучало). 
Ситуация изменилась с 1 июля 2012 года, когда в полную силу вступил закон «О национальной платежной системе» и разработанные для его исполнения нормативные документы Правительства России и Банка России. С этого момента вопрос необходимости проведения аудита соответствия требованиям СТО БР ИББС вновь встал на повестке дня. Дело в том, что методика оценки соответствия, предложенная в рамках законодательства о национальной платежной системе (НПС), и методика оценки соответствия СТО БР ИББС могут очень сильно расходиться в итоговых значениях. При этом оценка по первой методике (для НПС) стала обязательной, в то время как оценка по СТО БР ИББС по-прежнему де-юре носит рекомендательный характер. Да и в самом Банке России на момент написания статьи еще не было принято решение о дальнейшей судьбе этой оценки. Если раньше все нити сходились в Главное управление безопасности и защиты информации Банка России (ГУБЗИ), то с разделением полномочий между ГУБЗИ и Департаментом регулирования расчетов (LHH) вопрос пока остается открытым.