Контакты
Подписка
МЕНЮ
Контакты
Подписка

Система управления информационной безопасностью в соответствии с ISO/IEС 27001

Система управления информационной безопасностью в соответствии с ISO/IEС 27001

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Система управления информационной безопасностью в соответствии с ISO/IEC 27001

Наталья Куканова, аналитик по информационной безопасности компании Digital Security, BSI-aydumop

Прошло почти десять лет с момента публикации Международной организацией по стандартизации первого стандарта в области управления информационной безопасностью (в 2000 г. была опубликована первая версия ISO/IEC 17799). На сегодняшний день количество сертификатов систем управления информационной безопасностью (СУИБ) в соответствии ISO/IEC 27001 в мире превышает 3,5 тыс., и их число постоянно увеличивается. Россия не стала исключением в этом процессе. И хотя количество компаний, имеющих сертифицированные СУИБ, в России пока еще незначительно (всего 6 успешно пройденных сертификаций), крупные компании проявляют большой интерес к ISO/IEC 27001. Многие компании внедряют СУИБ и хотят получить сертификат.

Инициатива внедрения СУИБ

Инициатива создания и эффективного функционирования системы должна исходить от руководства компании - это гарантирует четкое выполнение всех процедур сотрудниками компании и аккуратное отношение к процессу. В отсутствие поддержки руководства компании функционирование СУИБ будет сложно или почти невозможно поддерживать, так как в данном процессе требуется постоянное взаимодействие различных подразделений, а это один отдел информационной безопасности (ИБ) организовать не сможет.

Процессный подход к СУИБ

В случае принятия решения о создании СУИБ следует четко понимать, что это не разовое мероприятие, а постоянная работа, поскольку эффективность процедур системы управления может с течением времени снижаться.

Для описания жизненного цикла СУИБ (так же, как и жизненного цикла любой другой системы управления) принято использовать PDCA-модель (см. схему).

Все процедуры системы управления должны последовательно проходить следующие четыре этапа: планирование, внедрение, мониторинг и анализ, совершенствование. Каждый этап характеризуется выполнением различных процедур.

Этапы функционирования

Опишем последовательно этапы функционирования СУИБ, начиная с создания системы.

1. Планирование процедур СУИБ:

  • решение о создании системы управления руководством компании;
  • выбор области действия системы;
  • инвентаризация и категорирование информационных активов;
  • оценка уровня защищенности информационной системы (ИС) - определение уязвимостей и угроз ИБ;
  • анализ информационных рисков;
  • разработка Положения о применимости;
  • выбор мер по снижению информационных рисков;
  • разработка базы нормативных документов по ИБ.

2. Внедрение процедур СУИБ:

  • внедрение мер по снижению информационных рисков;
  • определение методов оценки эффективности внедренных мер;
  • повышение квалификации сотрудников компании в области ИБ;
  • внедрение системы управления инцидентами ИБ.

3. Мониторинг и анализ процедур СУИБ:

  • регулярные проверки эффективности процедур системы управления;
  • регулярный пересмотр результатов анализа информационных рисков;
  • регистрация записей системы управления с целью оценки ее эффективности.

4. Совершенствование СУИБ:

  • выполнение корректирующих и превентивных действий;
  • обеспечение эффективности предпринятых мер совершенствования СУИБ.

Остановимся подробнее на некоторых процедурах СУИБ, которые, как правило, вызывают наибольшие сложности.

Выбор области действия

В целом СУИБ распространяется на всю ИС компании. Однако внедрение системы управления - достаточно сложный процесс, поэтому, как правило, компании выбирают один из критичных бизнес-процессов или автоматизированных систем и внедряют процедуры системы управления, а потом распространяют их на остальные процессы компании.

Отметим, что в рамках области действия СУИБ требуется определить следующие активы:

  • информационные ресурсы;
  • средства хранения и обработки информации;
  • программное обеспечение;
  • пользователи ИС;
  • вспомогательные сервисы и системы жизнеобеспечения.

Категорирование информационных активов компании

Уровень требуемой защищенности зависит от степени критичности информации для компании - зачем тратить на защиту информации $100, если сама информация стоит $10? Оценку критичности информации проводят, как правило, по трем критериям - конфиденциальности, целостности и доступности, то есть для каждой информации требуется определить ущерб, который понесет компания при ее разглашении, модификации или невозможности получить к ней доступ. Основная сложность этого процесса заключается в том, что оценку критичности активов должны производить сотрудники, работающие с информацией, а они зачастую не знают, как это сделать, да и не хотят - ведь это отвлекает их от основной деятельности. С целью упрощения данного процесса разрабатываются методики оценки критичности, различные формы для заполнения результатов. Таким образом, данный процесс может потребовать много времени и внимания к исполнителям работ. Хотя инвентаризация и категорирование информационных ресурсов - это внутренний процесс компании, общепринятой практикой является приглашение сторонних консультантов. Это помогает сэкономить средства и, главное, время, так как сторонние консультанты уже имеют опыт преодоления затруднений, которые могут возникнуть в процессе инвентаризации и категорирования.

Эффективность процедур СУИБ

После проведения анализа рисков, выбора и внедрения контрмер, необходимо оценить их эффективность. Как правило, эффективность внедренных средств защиты определяется с помощью повторного анализа рисков. Необходимо понять, насколько действительно снизился риск. Учитывая, что мерами снижения рисков могут быть не только отдельные программные или аппаратные решения (скажем, антивирус), но и различные мероприятия (например, регулярное резервное копирование информации). Чтобы оценить эффективность таких мероприятий необходимо знать, выполняются ли необходимые действия в соответствии с указаниями и какой вклад в обеспечение безопасности они вносят.

Для примера рассмотрим процесс мониторинга журналов системных событий. Администратор безопасности должен регулярно (не реже двух раз в неделю) анализировать журнал, выявлять наиболее критичные события, определять их причины и способы устранения. Проверкой выполнения процесса мониторинга могут служить записи, то есть администратор должен фиксировать факт выполнения мониторинга и его результаты. Кроме того, необходимо регулярно проверять действия администратора, например, с помощью различных тестов или интервью. В данном случае следует проанализировать, сколько причин возникновения критичных событий было выявлено и устранено и как это сказалось на общем количестве появления критичных событий в системе.

Готовность к сертификации

Ясно, что готовность системы управления к сертификации определяется индивидуально для каждой компании, но, как правило, если не пройден хотя бы один круг PDCA-модели, о сертификации говорить рано. Для успешного прохождения сертификации аудиторам сертификационных органов необходимо предоставить все документы системы управления безопасностью, а также доказательства того, что процедуры выполняются точно в соответствии с документами. Таким образом, к моменту сертификации следует накопить некоторое количество записей, доказывающих эффективную работу СУИБ. Кроме того, аудиторы будут самостоятельно выполнять проверку сотрудников компании и настроек информационных ресурсов, то есть все, что декларируется в документах и отражается в записях, должно быть действительно выполнено.

Комментарий эксперта

Анна Соколова, эксперт компании "ЭЛВИС-ПЛЮС"

Международные стандарты ISO/IEC 17799 и ISO/IEC 27001 исторически возникли на основе двух частей британского стандарта BS 7799. В первом стандарте изложены рекомендации по построению СУИБ, во втором - требования, выполнение которых обязательно для прохождения сертификации.

Интерес к этим стандартам со стороны российских компаний стимулируется, в том числе, и желанием привлечь дополнительные инвестиционные средства за счет проведения IPO (Initial Public Offering - первичное публичное размещение акций на рынке). Наличие официального и признаваемого во всем мире сертификата позволяет им продемонстрировать соблюдение ряда требований, касающихся вопросов обеспечения информационной безопасности, которые предъявляются в отношении компаний-эмитентов (например, в акте Сарбейнса-Оксли и Объединенном кодексе корпоративного управления1).

Следует заметить, что за рамками данной статьи осталось рассмотрение таких сложных и дискуссионных моментов процесса создания СУИБ, как, например, анализ и оценка рисков, формирование политики информационной безопасности организации и особенности подготовки ряда других документов, наличие которых необходимо в соответствии с требованиями стандарта.


1 Для проведения эмиссии и включения в листинг Лондонской фондовой биржи (LSE) компания-эмитент должна удовлетворять ряду требований в сфере корпоративного управления и внутреннего контроля, сформулированных в Объединенном кодексе корпоративного управления (The Combined Code on Corporate Governance, 2003).

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2007
Посещений: 26258

Приобрести этот номер или подписаться

Статьи по теме

  Автор

Наталья Куканова

Наталья Куканова

Аналитик по информационной безопасности Digital Security

Всего статей:  2

  Автор

Анна Соколова

Анна Соколова

ОАО "ЭЛВИС-ПЛЮС", эксперт

Всего статей:  7

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций