Информация давно превратилась в товар, спрос на который постоянно растёт. Утрата конфиденциальной информации приносит организации прямые финансовые потери независимо от рода деятельности. Неспособность организации обеспечить правильное функционирование системы защиты информации косвенным образом влияет на репутацию организации и, как следствие, ставит под угрозу само существование компании на рынке. В связи с этим растёт необходимость в создании работоспособной системы, которая бы смогла обеспечить адекватную защиту информационных активов организации.
 Таблица 1. ISO/IEC 27001:2005 |
ISO/IEC 27001:2005 определяет требования к созданию, управлению, поддержанию, мониторингу, контролю и улучшению системы менеджмента информационной безопасности (СМИБ). В свою очередь СМИБ представляет собой часть общей системы управления, основанную на оценках бизнес-рисков. Под информационной безопасностью подразумевается сохранение конфиденциальности, целостности, доступности, а также других свойств информации.
СМИБ в соответствии со стандартом является циклическим процессом, основывающимся на модели ПДПД (рис. 1): Планируй (создание СМИБ) — Делай (внедрение и управление СМИБ) — Проверяй (мониторинг и контроль СМИБ) — Действуй (обновление и улучшение СМИБ).
Один из необходимых этапов создания СМИБ в организации - внедрение мер контроля и управления рисками. Перечень этих мер приведен в Приложении А к стандарту, детальное описание — в тексте стандарта ISO/IEC 17799:2005 «Информационные технологии — Методы защиты — Практическое руководство для управления системой защиты информации».
Важной особенностью стандарта является то, что СМИБ может охватывать не всю организацию, а только определённую область деятельности, критичную для данной организации, которую выбирает сама организация. По мере возникновения потребности организация может подключать и другие области деятельности, т.е. расширять область действия стандарта.
После выполнения всех необходимых этапов создания СМИБ организация обязана пройти сертификацию — подтвердить правильность построения и работоспособность СМИБ.
Получение сертификата о соответствии СМИБ организации требованиям данного стандарта предоставляет самой организации ряд существенных преимуществ:
• Повышение управляемости и надёжности.
• Повышение доверия к организации со стороны потенциальных партнёров и клиентов.
• Подтверждение прозрачности управления и системы в целом.
• Упрощение процедуры выхода на внешние рынки.
• Повышение авторитета организации как на внутреннем, так и на внешнем рынке.
• Минимизация вероятности понести убытки вследствие потери информации или одного из ее свойств (конфиденциальности, целостности, доступности).
• Гарантия выбора адекватных мер по защите информации, а значит, целесообразное использование средств, выделяемых на информационную безопасность.
• Анализ рисков информационной безопасности, который дает возможность уменьшать существующие угрозы для ресурсов организации, а также эффективно противодействовать возникновению новых.
Внедрение стандарта представляет естественный шаг для развития организации в целом. В то же время отсутствие сертифицированной СМИБ наносит ущерб организации и может привести к нежелательным последствиям, таким как:
• финансовые потери вследствие неконтролируемого распространения конфиденциальных данных;
• потеря позиций на рынке вследствие нанесения конкурирующей организацией атак по незащищённым уязвимым местам;
• ухудшение имиджа организации;
• незащищенность информационных систем от внешних атак.
Построение СМИБ в организации
Корректное построение СМИБ в организации — основа для дальнейшей деятельности организации. Специалисты организации могут разработать и внедрить СМИБ самостоятельно, выполняя требования стандарта и учитывая мировую практику, либо прибегнуть к помощи компетентных организаций, имеющих опыт в данной области. В любом случае построение СМИБ организации подразумевает прохождение следующих основных этапов.
• Предварительный аудит.
• Определение области действия и границ СМИБ.
• Назначение сотрудников, ответственных за СМИБ (создание структуры, которая будет внедрять и обеспечивать работоспособность СМИБ организации, к примеру, отдел внутренней безопасности).
• Инвентаризация активов организации и определение их важности.
• Оценка защищённости активов организации (анализ существующих угроз и уязвимостей, а также вероятностей их реализации).
• Определение подхода организации к оценке рисков (стандарт не устанавливает обязательного метода к определенному методу оценки рисков – наоборот, организация может предложить свой метод оценки рисков, и чем проще будет этот метод, тем лучше).
• Подсчёт рисков в организации как в качественных, так и в количественных показателях.
• Анализ рисков и принятие решений по обработке рисков (принять риск, уменьшить риск до допустимого уровня, передать третьей стороне, избежать риска).
• Выбор целей управления и средств для обработки рисков.
• Анализ существующих контрмер (организационные мероприятия и программно-технические средства, направленные на защиту определённого актива организации).
• Анализ процессной документации организации (создаётся список организационных документов, требующих внедрения).
Создание политики информационной безопасности (пересматриваемый документ, который должен быть одобрен руководством и представлен для изучения всем сотрудникам организации; описывает функциональные обязанности руководства и подход к управлению информационной безопасностью).
Создание Заявления о применимости (обязательный документ, который содержит все рекомендации Приложения А стандарта ISO/IEC 27001:2005 с описанием, выполняется ли данное требование в организации).
• Разработка документации СМИБ (инструкции, процедуры, методики, записи, корпоративные стандарты и т. д.).
• Внедрение СМИБ (внедрение необходимых технических средств, подготовка к аудиту и т. д.).
• Обучение персонала (проводится при принятии на работу, при внедрении СМИБ и при внесении изменений в СМИБ).
• Проведение внутреннего аудита СМИБ организации.
Но что делать, если в организации уже существует своя система информационной безопасности и строить с нуля новую представляется нецелесообразным? Выход из данной ситуации — проведение внутреннего аудита. На основе результатов такого анализа можно откорректировать действующую систему, разработать недостающие процессные документы, улучшить подход к оценке рисков в организации и т. д.
Сертификация СМИБ
Подготовкой к прохождению сертификации может заниматься как сама организация, так и организация-посредник, накопившая компетенцию в этой области. Перед началом сертификации компания должна пройти предварительный аудит, который даст возможность оценить, насколько организация готова к сертификации.
• Сертификацию может проходить СМИБ компании, которая уже проработала определённое время не менее трёх месяцев после внедрения. Это — минимальный период, необходимый для формирования различного рода записей, анализа функционирования и т. д.
• Этап сертификации состоит из следующих шагов:
• Выбор сертифицирующего органа.
• Заполнение заявки на прохождение сертификации.
• Прохождение сертификации.
Проверка СМИБ аудиторами сертифицирующего органа включает стадию проверки наличия документации — политик, процедур, методик и других документов, описывающих действия в рамках СМИБ. Проверяется наличие базы рисков информационной безопасности, методики оценки рисков, прогнозирования и управления рисками для уменьшения вероятности их возникновения и реализации. Проводится опрос персонала организации и проверка выполнения требований процессных документов СМИБ. После окончания аудита выполняются корректирующие действия по недостаткам, обнаруженным во время проверки.
Аудиты
Проведение аудитов является обязательным требованием стандарта ISO 27001. Сущность аудита на соответствие СМИБ требованиям стандарта заключается в проверке выполнения каждого положения стандарта. По каждому такому положению проверяющие должны ответить на вопросы: выполняется ли данное требование, если нет, то каковы причины невыполнения? По результатам аудита составляются отчеты, в которых фиксируются обнаруженные несоответствия. Задача организации после аудита — внедрить корректирующие действия, направленные на устранение обнаруженных несоответствий.
По характеру аудиты разделяют на внутренние и внешние. Внутренние аудиты проводятся через запланированные организацией промежутки времени в соответствии с составленной программой. Внутренние аудиты осуществляют специалисты, сертифицированные как внутренние аудиторы, из числа сотрудников организаций-посредников, предоставляющих услуги по проведению внутренних аудитов.
Внешние аудиты проводятся сертифицирующим органом и делятся на:
надзорные аудиты (раз в год);
ресертификационные аудиты (раз в три года).
С автором статьи, Максимом Нечаевым, руководителем отдела технической и криптографической защиты ООО «Арт-мастер», можно связаться по адресу:
m_nechaev@am-soft.ua
| Мировая практика Стандарт ISO/IEC 27001:2005 приобрёл большую популярность в мире, о чём говорит, в частности, количество выданных сертификатов — 3890 (2007 год). В частности, сертификат получили следующие организации с мировым именем: Показательно, что первое место по числу организаций, сертифицированных по ISO/IEC 27001:2005, занимает Япония, где правительство ввело обязательную сертификацию по этому стандарту для организаций, осуществляющих государственные поставки или участвующих в государственных тендерах. Организации стран СНГ также начали активно реализовывать требования ISO/IEC 27001:2005, что доказывает не только необходимость создания сертифицированной СМИБ, но и подтверждает значимость и эффективность самого стандарта. Ведь для организации получение сертификата означает повышение репутации и доверия клиентов, а следовательно, устойчивость на рынке и рост доходов. |
