Карта сайта
 
 
 
 

Мнение эксперта  => Современная практика проведения аудитов Информационной Безопасности

Современная практика проведения аудитов Информационной Безопасности

Лившиц Илья Иосифович,
Ведущий аудитор, Санкт-Петербур
г


Предметная область

В данной публикации будет рассматриваться предметная области СМИБ – одной из нескольких «высокотехнологичных» систем менеджмента, набирающей популярность в России в последнее время. Интерес к СМИБ возник не случайно, т.к. менеджмент современных предприятий пришел (ценой практики известных инцидентов ИБ) к пониманию проблемы защиты своих активов через определенные процедуры.

Интересная статистика рынка сертификации СМИБ (например, доступная на http://www.iso27000.ru) показывает, что по состоянию на конец 2009 г. в СНГ было выдано порядка 25 сертификатов соответствия СМИБ. Подавляющее большинство компаний – это крупнейшие игроки рынка ИТ-интеграции, далее следуют в порядке убывания провайдеры услуг («телекомы»), встречаются несколько банков. Соотношение количества сертификатов, выданных в России на соответствие требованиям стандарта ISO 9001 (системы менеджмента качества) на тот же срок превышает 50.000, т.е. уровень осознания необходимости и понимания ценности «культуры ИБ» по отношению к более известной «культуре менеджмента качества» составляет примерно 1 к двум тысячам.

В тоже время динамика роста сертификатов соответствия (данные «ISO survey 2009») дает более чем позитивную «информацию к размышлению» - для стандарта СМИБ ежегодный рост измеряется двузначной цифрой и за 2009 г. составил 40%. Для «традиционного» СМК в последние 3-5 лет наблюдается тенденция к снижению, рост за 2009 г. не превышает 8%.



Предметную область СМИБ очень четко формулирует стандарт ISO/IEC 27001:2005 (п. 3.7):

- система менеджмента информационной безопасности (СМИБ) [information security management system] [ISMS] - часть общей системы менеджмента, основанная на управлении бизнес-рисками для создания внедрения, эксплуатации, мониторинга, анализа, поддержания и улучшения ИБ.

Дополнительно полезно принять во внимание термин «Информационная безопасность» (п. 2.19 стандарта ISO/IEC 27001:2005):

- информационной безопасности (ИБ) [information security] - Защита конфиденциальности, целостности и доступности информации.

Примечание. Кроме того, другие свойства, как например аутентичность, ответственность, неотказуемость и надежность могут быть включены дополнительно

Необходимо сделать замечание: СМИБ не является исключительно стандартом «безопасников» или «ИТ-шников», как иногда можно видеть по докладам на конференциях (например, отраслевые конференции по ИБ Центрального Банка Российской Федерации). Понимание, что СМИБ – задача многомерная, требующая участия различных подразделений в организации, установления тонкого баланса затрат «угроза – атака – оценка – защита», в настоящее время встречается не так часто. СМИБ, как современный инструмент менеджмента, может быть исключительно эффективен в ситуациях, когда бизнес адекватно понимает и обоснованно принимает определенные, точно оцененные риски и способен оперативно управлять своими бизнес-процессами даже в условиях негативного изменения ситуации. Далее будут рассмотрены несколько примеров «узкого» понимания СМИБ и некоторые свидетельства аудита, как доказательства, к чему это может привести.

Нормативная база (критерии аудита)

Нормативная база СМИБ будет рассматриваться в данной публикации в «расширительном толковании» - и как критерии аудита (в точном соответствии с термином «критерии аудита»), и как справочная (дополнительная) информация, 3 необходимая для создания и, в большей степени, для постоянного улучшения СМИБ. Аудитор в равной степени должен владеть как требованиями стандарта ISO/IEC 27001:2005, так и системой дополнительных нормативных документов (прежде всего Федеральных законов).

- критерии аудита – «совокупность политик, процедур или требований»
Примечание
. Критерии аудита используются в качестве ориентира, с которым сравниваются свидетельства аудита (3.3). (ISO 19011:2002 п. 3.2)

- свидетельство аудита – «записи, изложение фактов или другая информация, которая связана с критериями аудита (3.2) и может быть проверена».
Примечание
. Свидетельства аудита могут быть качественными или количественными. (ISO 19011:2002 п. 3.3)

Нормативную базу для удобства восприятия разделим на две группы: систему стандартов серии 27000 (по состоянию на март 2011 г.) и законодательные требования. При этом примем во внимание важное требование: п. А.15.1. стандарта ISO/IEC 27001:2005 устанавливает «Соответствие требованиям законодательства».

Система стандартов серии 27001

- ISO/IEC 27000:2009 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Общие положения и словарь».
- ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования».
- ISO/IEC 27002:2005 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».
- ISO/IEC 27003:2010 «Информационные технологии. Методы обеспечения безопасности. Руководство по применению систем менеджмента ИБ».
- ISO/IEC 27004:2009 «Информационные технологии. Методы обеспечения безопасности. Менеджмент ИБ. Измерение».
- ISO/IEC 27005:2008 «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности».
- ISO/IEC 27006:2007 «Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности».
- ISO/IEC 27011:2008 «Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций».
- ISO/IEC 27799:2008 «Информатизация здравоохранения. Менеджмент информационной безопасности для здравоохранения».

Базовым или сертифицирующим стандартом является только ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования». Этот стандарт разработан Joint Technical Committee ИСО/МЭК JTC 1, «Information technology»,16 Subcommittee SC27, «Security techniques». Как и большинство стандартов ISO и ISO/IEC базируется на цикле PDCA Шухарта-Деминга. Стандарт содержит 8 разделов, 3 приложения, при этом приложения «А» обязательное. Приложение «А» включает 11 разделов (А.5 – А.15), содержащих перечень целей управления и соответствующих средств управления.

Для целей данной публикации больший акцент будет сделан на подробном изучении требований аудитов ИБ. Требования аудитов СМИБ четко и однозначно «прописаны» в разделе 6 стандарта ISO/IEC 27001:2005, причем интересным представляются несколько моментов, на которые необходимо обратить внимание:

1. Требование запланированных интервалов

«The organization shall conduct internal ISMS audits at planned intervals to determine whether the control objectives, controls, processes and procedures of its ISMS» «Организация должна проводить внутренние аудиты СМИБ через запланированные интервалы с целью определения того, что цели и средства управления, процессы и процедуры СМИБ»

Явно указано требование планирования интервалов, но нет требования применительно к времени (раз в год, в квартал, в месяц,…). На практике аудиторы (в силу возможной узкой трактовки требования «интервал») иногда ошибочно трактуют это требование, не принимая во внимание специфику стандарта СМИБ. Например, планируемый интервал может быть увязан с фазами жизненного цикла проекта разработки ПО в защищенном исполнении (для ИТ-компании), процедурами анализа инцидентов ИБ (для бизнеса ДБО в финансовой сфере), и пр. Упрощенное понимание этого требования может привести к конфликту внутренних аудиторов и подразделений в организации.

2. Требование планирования с учетом сфер деятельности

«An audit program shall be planned, taking into consideration the status and importance of the processes and areas to be audited, as well as the results of previous audits».

«Программа аудита должна планироваться с учетом статуса, важности процессов и сфер деятельности, подлежащих проверке, а также результатов предыдущих аудитов».

Явно указано требование составления программы аудитов (внутренних) с учетом охвата сфер деятельности (логично это требование вытекает из анализа области применения (scope) СМИБ – п. 4.2.1.). На практике специализированные подразделения организации (например, службы ИБ) могут создавать затруднения доступа (вплоть до полного блокирования) внутренним аудиторам. Принимая во внимание известное требования беспристрастности («Аудиторы не должны проводить аудит своей собственной работы») выполнение программы внутренних аудитов на должном уровне может быть поставлено под сомнение. Вторая часть этой проблемы заключается в том, что внутренний аудитор не должен обязательно являться высококвалифицированным профессионалом CISSP, CISA, MCP, MSDBA и пр. Пренебрежение представителей ИТ- подразделений к внутренним аудиторам, предположим, из юридической службы («как же они будут проверять User polices в Active Directory…» может привести к нежелательным конфликтам). В качестве рекомендации следует привести практику одного из крупнейших предприятий энергетики (Территориальная генерирующая компания, «ТГК»): группа внутренних аудиторов СМИБ сформирована из представителей юридического отдела, службы безопасности, ИТ-службы и отдела управления качеством. Все внутренние аудиторы прошли совместно корпоративный курс обучения и в процессе занятий достаточно «пропитались» спецификой различных требований стандарта ISO/IEC 27001:2005.

3. Требование проведения безотлагательных действий

«The management responsible for the area being audited shall ensure that actions are taken without undue delay to eliminate detected nonconformities and their causes».

«Руководство, отвечающее за проверяемую область, должно гарантировать проведение безотлагательных действий (действий без неуместной задержки) по устранению выявленных несоответствий и их причин».

Явно указано требование для менеджмента реагировать с должной оперативностью, и это в полной мере должно распространяться на всю СМИБ в организации. На практике приходится наблюдать (и фиксировать как несоответствия при аудитах 3-й стороной) следующие ситуации:

1. На крупном машиностроительном предприятии на департамент ИТ возложена функция контроля трафика. В течении длительного периода фиксируется пользователь внутренней сети, который в рабочее время скачивает фильмы (лидер листинга по трафику в течении 2 месяцев). Департамент ИТ докладывает «по команде» руководству компании, но никаких действий не предпринимается. В результате «деятельности» этого пользователя компания оплачивает существенные издержки за перерасход трафика сверх лимитов.

2. В многопрофильном медицинском учреждении на службу качества медицинской деятельности возложены функции инструктажа персонала по защите персональных данных (ПДн) в соответствии с требованиями ФЗ-152 «О защите персональных данных». При внутреннем аудите обнаружено, что часть сотрудников (приемного отделения) не должным образом заполняла обязательства по неразглашению ПДн. По выявленным фактам было проинформировано руководство, но в определенный интервал изменения не произошло. При совместной проверке «Роскомнадзора» и прокуратуры по жалобе одного из пациентов о разглашении ПДн было составлено предписание и наложен штраф за нарушения КоАПП (ст. 13.11).

Стандарт ISO/IEC 27001:2005 устанавливает требования к СМИБ:

- A.15.1 Соответствие требованиям законодательства. Цель: Избегать любых нарушений действующего законодательства или договорных обязательств, а также любых требований безопасности.

- A.15.2 Соответствие политикам и стандартам безопасности, а также техническое соответствие. Цель: Гарантировать соответствие систем организационным политикам и стандартам безопасности.

- A.15.3 Вопросы аудита информационных систем Цель: Максимизация результативности процесса аудита информационных систем и минимизация негативного влияния, связанного с данным процессом.

Очевидно, что инструмент внутреннего аудита является эффективным и позволяет, что весьма важно, решать вопросы оперативно и «не выносить сор из избы». К сожалению, по этим кратким примерам видно, что менеджмент не в полной мере понимает важность создания замкнутой системы управления: не только выявлять несоответствия, но и предпринимать оперативные действия, не дожидаясь финансовых и административных санкций.

Законодательные требования Российской Федерации

Невозможно перечислить все применимое к вопросам ИБ законодательство Российской Федерации (по известным оценкам, это свыше 60 нормативных документов), ограничимся для целей данной публикации основными Федеральными законами (ФЗ) и постановлениями Правительства (ПП):

1. ФЗ-1 «Об электронной цифровой подписи»;

2. ФЗ-16 «О транспортной безопасности»;

3. ФЗ-98 «О коммерческой тайне»;

4. ФЗ-128 «О лицензировании отдельных видов деятельности»;

5. ФЗ-149 «Об информации, информационных технологиях и о защите информации»;

6. ФЗ-152 «О персональных данных»;

7. ФЗ-184 «О техническом регулировании»;

8. ФЗ-5485-1 «О государственной тайне»;

9. ПП РФ № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»;

10. ПП РФ № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

В перечень включены несколько нормативных документов, касающихся известной проблемы защиты ПДн, анализ обязательных требований которых может быть полезен внутренним аудиторам при планировании и проведении проверок ИСПДн внутри своих организаций, как часть СМИБ.

Ситуации аудитов ИБ

С кем приходится иметь дело

За несколько последних лет в статусе аудитора и руководителя группы аудиторов автору довелось принять участие в нескольких десятках аудитов СМИБ. Нельзя сказать, что в каждой организации нас встречали «с распростертыми объятиями», но, как правило, всегда после завершения аудита отчетные документы долго и весьма пристрастно изучались. Об особенностях «добавленной стоимости аудитов» будет подробно изложено далее, а в этом разделе мы поговорим о различных представителях организаций, с которыми приходится тесно общаться в процессе аудита.

1. Тип «У нас все абсолютно прекрасно!»
Данный тип личности, как правило, заинтересован в наилучшем и/или наискорейшем исходе аудита. Весьма радушен, более чем гостеприимен и стремится все вопросы решить в «неформальной обстановке». На одном из предприятий яркий представитель данного типа уверял более часа в отличном положении дел, но был весьма огорчен, что аудиторы приступили к формальному процессу и реальной проверке. В результате выяснилось желание маскировать «слабые места» (точнее полной отсутствие каких- либо утвержденных документов) и желание обойтись только краткими отчетами, подготовленными для ТОП-менеджеров.. Группа аудиторов смогла избежать конфликта только скрупулезно собрав свидетельства аудита и доказав, какие негативные последствия (риски ИБ) грозят организации при продолжении подобной «практики».

2. Тип «Приверженец только очевидных и неопровержимых фактов»
Данный тип личности предоставляет минимум данных, только тех, что очевидны и неопровержимы; никак не поддерживая контакт с аудиторской группой. На одном из аудитов яркий представитель ИТ-подразделения сообщил, (видимо, не без причин), что считает аудиторов «бумажными 7 червяками». При общении был весьма высокомерен и любую информацию буквально приходиться «тянуть клещами». На практике такая ситуация разрешается либо привлечением технического эксперта (если аудитор не отличает, например, ЭЦП от хеш-функции или классы НДВ 4 от НДВ 3…) или демонстрации личной компетенции в предмете обсуждения – установление «профессионального сообщества». В конкретной ситуации аудитор (руководитель группы аудиторов) должен четко контролировать подобные ситуации и уметь их быстро разрешать.

3. Тип «Подробности, и подробности, и еще подробности…»:
Данная тип может заболтать и предоставить аудитору столько подробных сведений, что будет весьма трудно «не утонуть в деталях». С виду этот тип вполне общительный и компетентный человек (вон сколько всего знает!), но его подлинные намерения трудно сразу воспринять. На практике встречались ситуации, когда более чем общительный представитель проверяемой организации просто не хотел говорить о системных вопросах (согласованные и утвержденные политики ИБ), предпочитая долго обсуждать детали настройки технических средств защиты. Вторая сторона этой медали – желание раскрыть аудитору всю информацию о вверенном участке работы, показать, как много лично им делается и, иногда, вовлечь в решение внутренних проблем. Аудитору необходимо четко придерживаться плана работы, и при необходимости, останавливать поток «лишней» информации, касающийся режима ИБ организации.

4. Тип «А ты кто такой?»
Данный тип занимает жесткую и, зачастую, нетерпимую по отношению к вошедшим аудиторам позицию: «Я царь и гений ИТ (ИБ) и нечего мне тут указывать! Сам ты кто такой?». На практике автору довелось общаться с одним из ТОП-менеджеров - директором по ИТ, который озвучил, что он МВА, МСР, MCDBA, MCSA, MSCE и, кажется, еще и МСТ. Занятая позиция не предусматривала возможность задать вопросы и получить внятные ответы, поэтому аудиторы предприняли маневр. Попросили рассказать, что было выполнено по проекту «Альфа» в соответствии с установленным планом. Выяснилось, что по проекту (разработка системы в защищенном исполнении) в сфере ответственности директора по ИТ были более чем серьезные просчеты, которые были документированы как значительные несоответствия. В итоговом отчете 80% значительных несоответствий были зафиксированы именно по дирекции ИТ. На заключительном совещании Представитель руководства организации получил аудитора исчерпывающие комментарии по данному подразделению и, признав факты, в свою очередь, принес извинения группе аудиторов за возникший инцидент.

Что видим

Поговорим о тех ситуациях, которые аудитор видит в организациях как наиболее критичные в аспекте безопасности бизнес-процессов. Для компактности изложения остановимся на 3 примерах:

Стандарт ИСО/МЭК 27001:2005 содержит требования к СМИБ:

- A.8.3.3 Удаление прав доступа – Права доступа всех служащих, подрядчиков и пользователей третьей стороны к информации и средствам обработки информации должны быть удалены по истечении срока их найма, действия договора или соглашения, или скорректированы после изменения.
- A.9.2.7 Вынос имущества – Оборудование, информация или ПО не могут быть вынесены из помещения организации без соответствующего разрешения.
- A.10.7.2 Утилизация носителей информации – Носители информации, когда в них больше нет необходимости, должны надежно и безопасно утилизироваться, используя формальные процедуры.

В одной из крупнейших ИТ-компаний России аудиторами был задан вопрос: «Каким образом выполняются требования п. А.8.3.3?». С разрешения Представителя руководства организации был проанализирован ряд учетных записей сотрудников, прекративших работу за последние 6 мес. Выяснилось, что при увольнении учетные записи не блокировались, а просто передавались новым сотрудникам. Более того, часть настроек («профили» пользователей) никак не корректировались после второй и даже третьей смены «владельца», например, для роли «бухгалтер» были открыты права доступа к системам маркетинга (CRM) и финансовой отчетности. Более всего в этом примере достойно удивления, что для самих сотрудников ИТ-служб это было неизвестно – такая задача ранее никогда не ставилась...

Проблема выноса имущества и контроля этого процесса известна достаточно давно. На одном из аудитов с разрешения руководителя СБ автор предпринял попытку выноса большой коробки за пределы бизнес-центра. Но не через проходную «в лоб» - так было неинтересно, а через задние ворота корпоративной парковки … К сожалению для наблюдавшего издалека руководителя СБ ворота были открыты, и аудитор – солидный мужчина в приличном костюме с галстуком, не спеша и без помех вынес большую коробку (для целей эксперимента, пустую). На заключительном совещании аудиторам было приятно видеть, что в течение суток в режим организации были внесены изменения, в т.ч. добавлены видеокамеры на дальние ворота.

К проблеме утилизации носителей информации необходимо относиться со всей серьезностью, т.к. все утечки информации, как правило, выполняются именно через «отчуждаемые» носители. Несколько примеров:

- В 2007-м году Kia Motors потерял несколько миллиардов долларов из-за продажи инсайдерами разработок конкурентам из Китая;
- В 2008-м Bank of New York допустил утечку информации о своих клиентах, обошедшуюся ему в 866 млн. долларов;
- В 2009-м три подразделения британской группы компаний HSBC были оштрафованы на сумму более 3 млн. фунтов стерлингов за неспособность обеспечить адекватную защиту данных своих клиентов.


За последние несколько лет на уровне корпоративных сетей созданы достаточно эффективные меры защиты, но флешки… (камуфлированные под брелки, «фенечки» и сувениры) … до сих пор остаются головной болью службы безопасности. Иногда сотрудники СБ, по непонятным до конца причинам, забывают о финальной фазе жизненного цикла носителей информации и не предпринимают должных усилий для управления этим риском.

Как реагируем

Рассмотрим пример отчета о реагировании на выявленное несоответствие (категорированное как «незначительное»).

Формулировка несоответствия «В помещении ServiceDesk № 12345, в котором разграничены зоны: зона приема клиентов, зона технических экспертов и склад готовой продукции; отсутствуют технические средства контроля (системы контроля управления доступом во внутренние помещения, управления/блокирования прохода клиентов во внутренние рабочие зоны, системы видео-наблюдения, шлюзовые/изолирующие системы), что не соответствует установленным требованиям контроля (изоляции) зон общественного доступа от средств обработки информации». Формулировка несоответствия

Добавленная стоимость аудитов ИБ

Известна статистика оценки целей сертификации систем менеджмента для различных организаций: 40% для целей получения красивого сертификата (не хуже чем у других…), 40% для целей выполнения внешних требований (тендеры…) и только 20% для выполнения поставленных целей высшего руководства (владельцев). Как показала практика, СМИБ не является исключением этой статистики и для нас важно обсудить, какую пользу или «добавленную стоимость аудитов ИБ» может принести организации.

Основным критически важным фактором, необходимым для стабильной деятельности и устойчивого развития бизнеса, всегда была и остается надежная информационная инфраструктура организации. Для взаимодействия всех заинтересованных сторон (персонал организации, партнеры, государственные регуляторы) необходимо организовать, внедрить и периодически представлять внешним сторонам для независимой оценки систему безопасных условий для эффективных коммуникаций. Результативность и эффективность бизнеса организации непосредственно зависят, в том числе, от уровня «культуры ИБ», достигнутого в организации. Проблема обеспечения ИБ находится в фокусе внимания менеджмента по ряду причин, среди которых: постоянные изменения в действующем законодательстве, активное развитие информационных технологий, глобальная интеграция экономических (в т.ч. кризисных) процессов, агрессивная конкурентная среда.

СМИБ – корректно спроектированная, искусно внедренная и надлежащим образом сертифицированная в соответствии с требованиями стандарта ISO/IEC 27001:2005, призвана обеспечить адекватный уровень защиты информационных активов организации и представить доказательства достигнутого уровня ИБ всем заинтересованным сторонам. Для определенных организаций (банковские и финансовые институты, крупнейшие системные интеграторы, сырьевые добывающие и перерабатывающие компании, страховые, медицинские и другие) наличие сертифицированных СМИБ является де-факто статусным, необходимым для ведения бизнеса на высочайшем уровне.

Международный стандарт ISO/IEC 27001:2005 устанавливает требования к СМИБ для любой организации, вне зависимости от ее размеров, отраслевой принадлежности и географического места расположения. Стандарт предназначен для обеспечения адекватного выбора эффективных средств ИБ, в строгом соответствии с принятой в организации политикой ИБ, практикой менеджмента рисков и другими необходимыми процедурами. Внедрение СМИБ в соответствии с требованиями стандарта ISO/IEC 27001:2005 выполняется поэтапно, при этом важно обеспечить вовлечение в процесс всего персонала организации, имеющего дело с информационными активами («от директора до сотрудника»). Неосведомленность конкретных сотрудников, работающих с информацией, отсутствие программы внедрения, формально разработанные процедуры – вот основные причины неработоспособности ряда СМИБ. 10

Рассмотрим несколько отраслевых примеров «добавленной стоимости аудитов ИБ». Для повышения интереса обратимся к наиболее актуальным проблемам обеспечения требуемого уровня ИБ для ПДн, защита которых предусмотрена в соответствии с многострадальным ФЗ-152 «О защите персональных данных».

Пример 1. Применение стандарта ISO/IEC 27001:2005 для отрасли машиностроения.

В июне 2010 г. группой аудиторов проводился аудит СМИБ на одном из крупнейших машиностроительных предприятий России. Во вторник в одном из подразделений департамента управления персоналом аудитор зафиксировал несоответствие по порядку защиты записей организации. Формулировка несоответствия (незначительно измененная) была такая:

«защита ПДн»

Представитель руководства организации и руководитель департамента управления персоналом более чем спокойно восприняли это несоответствие, как будет ясно позже, весьма легкомысленно. В пятницу при проверке юридического департамента аудиторы попросили информацию о проверках, которые проводились регуляторами за последний год. Среди нескольких отчетов было предоставлено предписание «Роскомнадзора» по устранению в срок до мая 2010 г. ряда нарушений, в т.ч. и нарушений по порядку защиты ПДн, выявленных в том самом подразделении департамента управления персоналом 3 днями ранее… На заключительном совещании руководитель группы аудиторов доложил, в т.ч. и об этом факте и отметил, что в определенных случаях «Роскомнадзору» дано право приостанавливать эксплуатацию ИСПДн с критичными выявленными нарушениями. По итогам совещания ряд руководителей получили более чем конкретное указание от генерального директора по устранению выявленных нарушений, принимая во внимание возможные негативные последствия.

Пример 2. Применение стандарта ISO/IEC 27001:2005 для отрасли здравоохранения (фрагмент)

Пункт ISO/IEC 27001:2005 Требование ISO/IEC 27001:2005 Рекомендуемые меры (средства) защиты
4.2.1 а) Определить область применения и границы СМИБ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологий, включая подробности и обоснование любых исключений из области применения. A.5.1.1 «Документ политики ИБ»
A.5.1.2 «Анализ политики ИБ»
А.7.1.1. «Реестр активов»
А.7.1.2 «Владение активами» А.8.2.1. «Ответственность руководства»
4.2.1 в) принимает во внимание требования бизнеса, правовые и регламентирующие требования, а также договорные обязательства по безопасности; А 6.1.5 «Соглашения о конфиденциальности»
А.8.2.1. «Ответственность руководства»
А. 8.2.3 «Дисциплинарный процесс»
4.2.1 е) Оценить негативные воздействия для бизнеса организации, которые могут быть результатом нарушения безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности или доступности активов. Оценить реальную вероятность возникновения нарушения безопасности в свете преобладающих угроз и уязвимостей, негативных воздействий на соответствующие активы, а также применяемые в данный момент средства управления. Оценить уровни рисков. Определить, являются ли риски приемлемыми или требуется обработка рисков с использованием критериев принятия риска, установленных в 4.2.1c) 2). А. 6.2.1 «Идентификация рисков, связанных с внешними сторонами»
А. 6.2.3 «Рассмотрение требований безопасности в договорах с третьими сторонами»
А.8.2.1. «Ответственность руководства»
А.9.1.6 «Зоны общественного доступа, приемки и отгрузки»
А.9.2.7 «Вынос имущества»
А.11.2.3 «Менеджмент паролей пользователей»
А.12.5.4 «Утечка информации»
4.2.3 а) Быстрого выявления удавшихся и неудавшихся попыток нарушений и инцидентов ИБ; предоставления руководству возможности определить, что деятельность по обеспечению ИБ, как и предполагалось, реализуется посредством делегирования полномочий персоналу или использования информационных технологий; А. 6.1.3 «Распределение ответственности по ИБ»
А 6.1.5 «Соглашения о конфиденциальности»
А. 8.2.3 «Дисциплинарный процесс»
А.8.3.2 «Возврат активов» А.9.2.7 «Вынос имущества»
А.10.7.1 «Менеджмент использования сменных носителей информации»
А.10.10.1 «Ведение журналов (регистрации) аудита»
А.11.2.3 «Менеджмент паролей пользователей»
4.2.4 с) Обмениваться информацией о действиях и улучшениях со всеми заинтересованными сторонами с уровнем подробности, соответствующим обстоятельствам и, если уместно, согласовывать дальнейшую деятельность. А 6.1.2 «Координация вопросов ИБ» А. 6.1.6 «Связь с компетентными органами» А. 6.1.7 «Контакты со специальными группами» А.8.2.1. «Ответственность руководства» А.12.5.4 «Утечка информации»


    Пример 3.
Применение стандарта ISO/IEC 27001:2005 для анализа наиболее критичных рисков Университета (фрагмент)

№ п.п. Уязвимость Пункт ISO/IEC 27001:2005 Требование
1 Целостность в Дн Университета A.10.1.3 «Обязанности и области ответственности должны быть разделены, с целью снизить количество возможностей неразрешенного или непреднамеренного изменения или неправильного использования активов организации».
А 9.2.4 Должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной доступности и целостности.
А 10.9.3 Целостность информации, которая стала доступной в общедоступной системе, должна быть защищена для предотвращения неавторизованной модификации.
2 Конфиденциальность ПДн в ИСПДн Университета А 6.1.5 Требования по конфиденциальности или соглашения о неразглашении, отражающие потребности организации в защите информации, должны быть определены и регулярно пересматриваться.
A.7.1.3 Должны быть определены, документированы и внедрены правила для приемлемого использования информации и активов, связанных со средствами, обрабатывающими информацию.
A.10.7.3 «Должны быть созданы процедуры для 12 обработки и хранения информации, с целью защитить эту информацию от неразрешенного разглашения или неправильного использования».
3 Доступность ПДн в ИСПДн Университета A.9.2 «Предотвратить гибель, ущерб, кражу или компрометацию активов и заминку в работе организации»
А 14.1.3 Должны быть разработаны и внедрены планы для поддержки или восстановления работы и гарантии доступности информации на требуемом уровне и в требуемые сроки после прерывания или отказа критичных бизнес-процессов.

Мотивация:

Внедрение и сертификация СМИБ в соответствии с требованиями ИСО/МЭК 27001:2005 предоставляет организации комплекс ключевых преимуществ:
- независимое подтверждение факта, что в организации должным образом выявлены, оценены и системным образом управляются риски, т.е. соответствующие процедуры ИБ разработаны, внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом;

- доказательство соблюдения действующего законодательства (примеры: ФЗ 152 «О персональных данных», ФЗ 149 «О защите информации», ФЗ 98 «О коммерческой тайне» и иные) и нормативных актов в области ИБ (ФСБ, ФСТЭК, …);

- доказательство стремления высшего руководства организации к обеспечению ИБ в требуемом объеме для всей организации в соответствии с установленными требованиями;

- доказательство создания адекватной и актуальной модели рисков в организации;

- демонстрация определенного уровня ИБ для обеспечения конфиденциальности информации клиентов и партнеров организации;

- демонстрация проведения регулярных аудитов ИБ, оценки результативности и постоянных улучшений СМИБ.

 Дополнительно:

- увеличение стоимости НМА (нематериальных активов, «goodwill»), повышение уровня инвестиционной привлекательности бизнеса (IR) и уменьшения страховых взносов, что в конечном итоге увеличивает капитализацию компании в целом;

- существенного укрепления имиджа компании, повышения к ней интереса со стороны потенциальных клиентов, инвесторов;

- расширения возможностей участия компании в крупных государственных контрактах (тендерах) и федеральных государственных программах;

- выполнения обязательных требований к осуществлению деятельности компаний в наиболее критичных к обеспечению ИБ отраслях (например, финансы, страхование, банки). . снижения рисков, уровня последствий и реального ущерба от инцидентов ИБ, а также сокращения расходов на инфраструктуру;

- снижения операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ (например, при создании единой системы авторизации пользователей).
 

Для удобства навигации по сайту следует пользоваться картой сайта или поиском по сайту.       

 

Современная практика проведения аудитов Информационной Безопасности

© "Взгляд Вашего Потребителя"