Методологія впровадження ISO / IEC 27001: 2005 при побудові СУІБ
БЕЗПЕКА
Починаючи з осені 2005 року на російському ринку інформаційної безпеки (ІБ) все більшу популярність при побудові корпоративних систем управління інформаційною безпекою (СУІБ) завойовує міжнародний стандарт ISO / IEC 27001: 2005 "Інформаційні технології. Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки. Вимоги ".
Для цього є кілька причин. Так, c одного боку, більшість російських компаній стають більш зрілими і компетентними учасниками і внутрішнього, і зовнішніх ринків. До визначальних факторів таких змін можна віднести процедуру поступового входження Росії до Світової організації торгівлі (СОТ) і бажання великих підприємств вийти на фондові ринки, реалізувавши процедуру первинного публічного розміщення (розміщення) своїх акцій на міжнародних біржах.
Витоки створення ISO / IEC 27001: 2005
З іншого боку, зріс рівень сервісу більшості консалтингових фірм, що пропонують свої послуги в області побудови СУІБ на базі ISO / IEC 27001: 2005 з наступною сертифікацією.
Безсумнівно, потрібно врахувати позитивні зміни, які відбулися в законодавстві країни в області ІБ за останні роки. Назвемо найбільш значущі з них.
- У 2002 р урядом РФ була затверджена "Програма комплексної стандартизації в галузі захисту інформації на 2002-2010 роки", що передбачає розробку 38 ГОСТ Р.
- Федеральна служба з технічного та експортного контролю, ліцензує діяльність щодо захисту інформації та сертифікації відповідних коштів, у даний час займається введенням в дію комплексного стандарту ГОСТ ISO / IEC 15408-2002 "Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій", який був розроблений на базі міжнародного стандарту ISO / IEC 15408 "The common criteria for information technology security evaluation".
- Державна Дума 28 червня 2006 прийняла законопроект "Про інформацію, інформаційні технології і про захист інформації".
У даній статті ми постараємося дати відповіді на ряд актуальних питань, що виникають у менеджерів компаній і у технічних фахівців в ході ознайомлення зі стандартом ISO / IEC 27001: 2005 та при побудові СУІБ на його основі.
Стандарт ISO / IEC 27001: 2005 в загальній системі державних стандартів і технічних регламентів РФ
За останні два-три роки дуже помітними стали зміни в області законодавства і, що важливо, явно виділилася позитивна тенденція прийняття основних положень міжнародних стандартів як основи для розробки стандартів державних. Зокрема, були прийняті або плануються до прийняття ГОСТи на базі наступних міжнародних стандартів:
- в сфері ІТ - ISO / IEC 7501-1: 1997, ISO / IEC 7501-2: 1997, ISO / IEC 7501-3: 1997, ISO / IEC TR 19760: 2003;
- в сфері ІКТ в освіті - ISO / IEC 18056: 2005, ISO / IEC 8825-4: 2002 / Amd.1: 2004, ISO / IEC 8825-5: 2004;
- в сфері інформаційної безпеки - ISO / IEC 17799: 2005, ISO / IEC 27001: 2005 та ін.
- Федеральним агентством з технічного регулювання і метрології розроблені наступні державні стандарти РФ, в яких є посилання на міжнародний стандарт ISO / IEC 27001: 2005:
- ДСТУ ISO / IEC 27001 "Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки. Вимоги" (цей стандарт прийнятий 31 грудня 2006 року);
- СТО БР Іббсе-1.0-2006 "Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації" (стандарт Банку Росії). Необхідно відзначити, що стандарт цей комплексний і в його основу покладено група стандартів ISO / IEC (зокрема, ISO / IEC 17799-1: 2005, ISO / IEC 18028-1: 2006, ISO / IEC 18043, ISO / IEC TR 18044- 2004 і т. д.); стандарт COBIT; методології аналізу та управління ризиками OCTAVE і CRAMM; ГОСТи і ін.
Історія формування стандарту ISO / IEC 27001: 2005
Витоки ISO / IEC 27001: 2005 знаходяться в британському державному стандарті BS 7799, який був розроблений в 1995 р Британським інститутом стандартів і провідними організаціями і компаніями Великобританії.
У 1999-му перша частина BS 7799 була передана в Міжнародну організацію зі стандартизації (ISO - The International Organization for Standardization) і в 2000-му затверджена в якості міжнародного стандарту як ISO / IEC 17799: 2000 (BS 7799-1: 2000). Наступною його версією став стандарт ISO / IEC 17799: 2005.
Російські експерти в галузі управління інформаційною безпекою почали активно застосовувати стандарт ISO / IEC 17799 на практиці приблизно в 2001-2002 рр.
У 1999 р вийшла в світ друга частина британського стандарту: BS 7799-2: 1999 Information Security management - Specification for ISMS (ISMS - Information Security Management System). У 2002 р з'явилася нова, вдосконалена редакція стандарту - BS 7799-2: 2002. На її основі 14 жовтня 2005-го був прийнятий стандарт ISO / IEC 27001: 2005 (див. Рис. 1).
У нинішньому році очікується розвиток серії стандартів 27000 і випуск ISO / IEC 27002, який змінить ISO / IEC 17799: 2005.
Необхідно відзначити, що з практичної точки зору ISO / IEC 27001: 2005 не просто висуває вимоги до розробки, впровадження та вдосконалення СУІБ, але і є сертифікаційним стандартом, що безсумнівно робить його більш привабливим як для фахівців з інформаційної безпеки, так і для бізнесу в цілому.
Однак не можна забувати, що при розробці та впровадженні корпоративної СУІБ доцільно використовувати і інші державні або галузеві стандарти, наприклад ДСТУ ISO / IEC 17799 "Інформаційні технології. Методи і засоби забезпечення захисту. Звід практичних рекомендацій для менеджменту захисту інформації", прийнятий в кінці вересня 2006 року, або його міжнародний аналог ISO / IEC 17799: 2005.
Конкурентні переваги впровадження СУІБ і сертифікації на відповідність стандарту ISO / IEC 27001: 2005
СУІБ дає компаніям наступні переваги:
- кращу керованість і надійність бізнесу;
- захист ключових бізнес-процесів;
- підвищення довіри до компанії як до партнера і клієнта;
- спрощення виходу на зовнішні ринки - при наявності СУІБ і сертифіката, виданого BSI Management Systems (BSI - British Standards Institution, Британський інститут стандартів). Створений в 1901 р BSI перетворився нині в глобальну мережу (BSI Management Systems), що складається з дочірніх компаній, які пропонують послуги з стандартизації та сертифікації продукції і систем менеджменту BSI;
- підвищення авторитету як на внутрішньому, так і на зовнішніх ринках;
- підвищення прибутковості і капіталізації бізнесу в цілому.
Для структурних підрозділів - відділів ІТ і служб безпеки - переваги можуть бути такими:
- систематизація процесів забезпечення ІБ;
- розстановка пріоритетів компанії в області ІБ;
- управління інформаційною безпекою компанії в рамках єдиної корпоративної політики;
- управління ризиками та їх своєчасне виявлення;
- зниження ризиків від зовнішніх і внутрішніх загроз;
- оптимізація управлінських процесів;
- підвищення ефективності функціонування СУІБ і захищеності інформаційних систем.
Основні заходи, які виконуються при організації СУІБ і регламентовані ISO / IEC 27001: 2005
Основні етапи впровадження стандарту ISO / IEC 27001: 2005 при розгортанні СУІБ
Виконання вимог ISO / IEC 27001: 2005 дозволяє компаніям формалізувати і структурувати процеси управління ІБ за наступними напрямками:
- розробка політики ІБ;
- організація ІБ;
- організація управління внутрішніми активами і ресурсами компанії, що складають основу її ключових бізнес-процесів;
- захист персоналу і зниження внутрішніх загроз компанії;
- фізична безпека в компанії і безпеку навколишнього середовища;
- управління засобами зв'язку та експлуатацією обладнання;
- розробка та обслуговування апаратно-програмних систем;
- управління безперервністю бізнес-процесів в компанії;
- дотримання правових норм з безпеки.
Цілі і комплекси заходів ISO / IEC 27001: 2005 з кожного напряму робіт були запозичені зі стандарту ISO / IEC 17799: 2005 (розділи 5-15) і перераховані в його додатку А (Annex A. Control objectives and controls).
Основні етапи робіт по створенню СУІБ
Побудова корпоративної СУІБ являє собою складний, багатоетапний, циклічний організаційно-технологічний процес. Як показує досвід реалізації проектів з розробки СУІБ в компанії "Концептуальні системи", впровадження даного стандарту доцільно здійснювати в кілька послідовних етапів (див. Рис. 2):
Давайте детально розглянемо кожен такий етап.
Вимоги до консалтинговим компаніям
Найбільш відповідальний етап - вибір консалтингової компанії: саме він визначає не тільки можливість отримання сертифікату BSI, а й успіх подальшого розвитку бізнесу компанії-замовника.
Консалтингова компанія, що виконує аудит на відповідність замовника положенням ISO / IEC 27001: 2005, повинна мати:
- досвід в області аудиту та реалізації проектів;
- високий кваліфікаційний статус, підтверджений якістю виконаних проектів, відгуками клієнтів і ділових партнерів;
- напрацювання власних комплексних методик аудиту, побудови СУІБ, аналізу та управління ризиками і т. Д., Не тільки включають в себе директиви ISO в галузі ІБ, а й розширених за рахунок використання інших стандартів і методик;
- наявність сертифікованих фахівців за напрямами інформаційних технологій, відповідних областей діяльності (ОД) компанії.
Хорошим тоном вважається, коли консалтингова фірма користується підтримкою сертифікує організації, наприклад BSI Management Systems.
На наш погляд, центру підтримки, рекомендованого фахівцями TopS Business Integrator, що працює в цілодобовому режимі, у консалтинговій компанії бути не повинно. Справа в тому, що СУІБ є закритою внутрішньою системою, регульованою і підтримуваної насамперед власними фахівцями підприємства, що експлуатує СУІБ. Тому дистанційний моніторинг засобів захисту інформації з боку компанії-консультанта неприпустимо.
Мета, завдання і регламент аудиторської перевірки
Перший етап розробки СУІБ - аудит компанії на відповідність положенням ISO / IEC 27001: 2005.
Головна мета аудиту - об'єктивно оцінити стан діючої системи управління ІБ компанії, її адекватність цілям і задачам бізнесу, а також розробити рекомендації щодо побудови, впровадження та удосконалення СУІБ.
Під час аудиторських робіт, виконуваних консалтинговою компанією, вирішуються такі основні завдання:
- аналіз структури організації;
- аналіз інформації, що захищається області діяльності компанії і організаційно-розпорядчих документів;
- аналіз структури і функціональних особливостей використовуваних ІТ, зокрема автоматизованої системи збору, обробки, передачі та зберігання інформації;
- перевірка виконання вимог ISO / IEC 27001: 2005 до СУІБ;
- розробка комплексних рекомендацій по методологічному, організаційно-управлінського, технологічного, технічного і апаратно-програмному забезпеченню для створення, побудови і вдосконалення СУІБ.
У більшості випадків рішення перерахованих завдань виконується в чотири етапи.
Етап 1. Планування заходів з аудиту. На даному етапі фахівці аудиторської компанії збирають організаційно-розпорядчі документи, галузеві стандарти, недокументовані проектні рішення та інші робочі матеріали, які можуть мати безпосереднє відношення до створення системи управління ІБ та інформаційних систем компанії, що сприяють використанню механізмів і засобів забезпечення ІБ. Цей же етап включає розробку, погодження та затвердження планів заходів з аудиту.
Етап 2. Перевірка на відповідність ISO / IEC 27001: 2005: визначення області діяльності і ключових бізнес-процесів компанії, які необхідно захистити в першу чергу; анкетування і інтерв'ювання співробітників компанії (різних рівнів); аналіз організаційно-розпорядчих та нормативних документів; аналіз ІБ на відповідність ISO / IEC 27001: 2005.
Етап 3. Оцінка ризиків ІБ - аналітичний і інструментальний аналіз інформаційних ресурсів компанії, перш за все ЛВС; консультації фахівців компанії; оцінка відповідності фактичного і необхідного рівня безпеки інформації; аналіз ризиків.
Етап 4. Систематизація результатів обстеження і формування звітності. Надання підсумкового звіту керівництву компанії.
Створення СУІБ в компанії
Після виконання аудиторських робіт фірма-замовник спільно з консалтинговою компанією приступають до розробки, впровадження (або вдосконалення) системи управління інформаційною безпекою.
Основні завдання цього етапу:
- аналіз структури компанії, функціональних особливостей побудови бізнес-процесів і використовуваних в них ІТ. Визначення захищається області діяльності компанії;
- систематизація та визначення цінності активів компанії-замовника, що входять в її ОД, т. Е складання переліку активів із зазначенням їх власника, місця розміщення, відповідального і т. Д .;
- аналіз ризиків ІБ, визначення можливих шляхів їх реалізації (несанкціонованого впливу на підсистеми і бізнес-процеси), класифікація ризиків за ступенем критичності, оцінка ймовірного збитку від реалізації загроз, розрахунок ефективності впровадження комплексних заходів щодо зниження ризиків;
- розробка ІБ-політики компанії;
- визначення процедур щодо зниження ризиків;
- створення положення про можливість застосування комплексу контролів (інакше - комплексу заходів щодо створення СУІБ);
- розробка і впровадження СУІБ;
- розробка комплексних рекомендацій по методологічному, організаційно-управлінського, технологічного, технічного і апаратно-програмному забезпеченню режиму ІБ в організації;
- аналіз і оцінка результатів впровадження СУІБ.
Розглянемо основні етапи робіт з побудови та впровадження СУІБ в компанії.
Етап 1. Підготовка планів заходів. На даному етапі фахівці здійснюють збір організаційно-розпорядчих документів та інших робочих матеріалів, що стосуються побудови та функціонування інформаційних систем компанії, що плануються до використання механізмів і засобів забезпечення ІБ. Крім того, складаються, узгоджуються і затверджуються у керівництва компанії плани заходів по етапах робіт.
Етап 2. Перевірка на відповідність ISO / IEC 27001: 2005. Інтерв'ювання та анкетування менеджерів і співробітників підрозділів. Аналіз СУІБ компанії на відповідність вимогам стандарту ISO / IEC 27001: 2005.
Етап 3. Аналіз нормативних і організаційно-розпорядчих документів (ОРД), що спираються на організаційну структуру компанії. За його результатами визначається захищається ОД і розробляється ескіз політики ІБ компанії.
Етап 4. Аналіз і оцінка ризиків ІБ. Розробка методики з управління ризиками компанії і їх аналізу. Аналіз інформаційних ресурсів компанії, в першу чергу ЛВС з метою виявлення загроз і вразливостей захищаються активів ОД. Інвентаризація активів. Проведення консультацій для спеціалістів компанії і оцінка відповідності фактичного і необхідного рівня безпеки. Розрахунок ризиків, визначення поточного та допустимого рівня ризику для кожного конкретного активу. Ранжування ризиків, вибір комплексів заходів щодо їх зниження і розрахунок теоретичної ефективності впровадження.
Етап 5. Розробка і реалізація планів заходів по ІБ. Розробка положення про можливість застосування контролю відповідно до ISO / IEC 27001: 2005. Розробка плану обліку та усунення ризиків. Підготовка звітів для керівника компанії.
Етап 6. Розробка нормативних і організаційно-розпорядчих документів. Розробка і затвердження остаточної політики ІБ і відповідних їй положень (подполітік). Розробка стандартів, процедур та інструкцій, що забезпечують нормальне функціонування і експлуатацію СУІБ компанії.
Етап 7. Впровадження комплексних заходів щодо зниження ризиків ІБ і оцінка їх ефективності відповідно до затвердженого керівництвом планом обробки і усунення ризиків.
Етап 8. Навчання персоналу. Розробка планів заходів та впровадження програм з навчання та підвищення компетенції співробітників компанії з метою ефективного донесення принципів ІБ до всіх співробітників і в першу чергу тих, хто працює в структурних підрозділах, що забезпечують ключові бізнес-процеси.
Етап 9. Формування звітності. Систематизація результатів обстеження і підготовка звітності. Представлення результатів робіт для керівників компанії. Підготовка документів до ліцензування на відповідність ISO / IEC 27001: 2005 та передача їх в сертифікує організації.
Етап 10. Аналіз та оцінка результатів впровадження СУІБ на підставі методики, яка оцінює надійність функціонування СУІБ компанії. Розробка рекомендацій щодо вдосконалення системи управління ІБ компанії.
ISO 27001 - частки участі організацій в сертифікації
Варто підкреслити, що етап повторного аудиту після створення корпоративної СУІБ не є обов'язковим, але провести його перед сертифікацією доцільно, щоб уточнити, як виконуються вимоги стандарту і рекомендації консалтингової компанії.
Процедура сертифікації СУІБ на відповідність вимогам міжнародного стандарту ISO / IEC 27001: 2005
Останній етап формування СУІБ - сертифікація на відповідність вимогам міжнародного стандарту ISO / IEC 27001: 2005.
Існує кілька уповноважених організацій, які мають право видачі сертифікатів відповідності, наприклад BSI Management Systems, DNV Certification US (підрозділ Det Norske Veritas), URS Certification Limited, TUV Rheinland Group, Certification International і т. Д.
Процедура сертифікації в BSI по ISO / IEC 27001: 2005 досить проста. Після трьох - шести місяців експлуатації СУІБ компанія-замовник подає заявку на сертифікацію в BSI Management Systems (з 2004 р на території Росії та інших країн СНД діє регіональне представництво цієї організації - BSI Management Systems Russia). Після затвердження заявки BSI надсилає аудиторів для вивчення документації з метою виявлення слабких місць в системі управління, і якщо таких не виявлено, то проводить сертифікаційний аудит в організації, представивши графік робіт і кошторис.
При успішному завершенні аудиту BSI Management Systems видає сертифікат терміном на три роки.
З автором статті, директором з розвитку бізнесу ТОВ "Концептуальні системи", можна зв'язатися по e-mail: [email protected].
Версія для друку
Тільки зареєстровані Користувачі могут залішаті Коментарі.