Карта сайта
 
 
 
 

Мнение эксперта  => Современные аспекты проектирования, создания и внедрения систем менеджмента информационной безопасности на базе международного стандарта ISO/IEC 27001:2005

Современные аспекты проектирования, создания и внедрения систем менеджмента информационной безопасности на базе международного стандарта ISO/IEC 27001:2005

Лившиц Илья Иосифович,
Ведущий аудитор, Санкт-Петербур
г


В настоящее время информация является одним из ключевых, и, к сожалению, зачастую недооцененным ресурсом организаций. Одним из наиболее эффективных инструментов управления и защиты критичной информации является система менеджмента информационной безопасности (далее СМИБ), построенная на основе известной модели международного стандарта ISO/IEC 27001:2005 (ГОСТ Р ИСО/МЭК 27001:2006).

Система менеджмента информационной безопасности

При создании СМИБ в текущих экономических условиях необходимо четко определять цели создания СМИБ и требования, предъявляемые к техническим (и иным) средствам обеспечения ИБ. Важно отметить, что установленные высшим руководством цели, как правило, позволяют исчерпывающим образом определить перечень (а так же порядок размещения, режимы работы,..) средств обеспечения ИБ (обратим внимание, что в тексте стандарта используется специальный термин «control»), а также требования по управлению персоналом, которые позволят совокупно создать СМИБ, адекватную принятой модели рисков. По теме об актуальности СМИБ говорить нет необходимости, каждое современное предприятие этот вопрос для себя уже давно решило, но дополнительное обсуждение аспектов проектирования, создания и внедрения в настоящее время представляет полезным.

Отдельным аспектом следует выделить процедуру внутреннего аудита СМИБ, которая является необходимой (в соответствии с требованиями стандарта – «документированная процедура») и позволяет установить правила контроля, оценки защищенности активов, переоценки рисков с должной периодичностью и требуемой «глубиной» проверки. Критерии проведения внешних аудитов СМИБ подробно рассмотрены в специальном стандарте ISO/IEC 27006:2005 «Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью».

Цели и требования

Сформулируем основные цели СМИБ:

- Обеспечение надлежащего уровня безопасности организации – как составной элемент системы национальной безопасности России;
- Приведение норм безопасности на важнейших объектах России к международным стандартам («лучшим практикам»);
- Повышение стоимости нематериальных активов (НМА) и улучшение деловой репутации;
- Улучшение взаимоотношений с ключевыми заинтересованными сторонами (например, инвесторами) за счет гарантированной оптимизации рисков, в том числе и в области ИБ.

Базис для формирования требований к СМИБ определен следующими стандартами:

- ISO/IEC 27000:2009 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Общие положения и словарь».
- ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования».
- ISO/IEC 27002:2005 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».
- ISO/IEC 27005:2008 «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности».
- ISO/IEC 27006:2007 «Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности».
- ISO/IEC 27011:2008 «Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций».
- ISO/IEC 27799:2008 «Информатизация здравоохранения. Менеджмент информационной безопасности для здравоохранения».

Базовый (сертифицирующий) стандарт ISO/IEC 27001:2005

Стандарт ISO/IEC 27001:2005 «Системы менеджмента информационной безопасности. Требования» устанавливает требования к СМИБ для любой организации, вне зависимости от ее размеров, отраслевой принадлежности и географического места расположения. Стандарт предназначен для обеспечения адекватного выбора эффективных средств ИБ, в строгом соответствии с принятой в организации политикой ИБ, практикой менеджмента рисков и другими необходимыми процедурами. Внедрение СМИБ в соответствии с требованиями стандарта выполняется в несколько этапов, при этом важно обеспечить вовлечение в процесс всего персонала организации, имеющего дело с ценными активами.

В соответствии с положениями стандарта ISO/IEC 27005:2008 предлагается следующая иерархия активов:


1. Базовые (основные активы)
- Бизнес-процссы;
- Информация.

2. Поддерживающие активы
- Оборудование;
- Программное обеспечение (ПО)
- Сетевая инфраструктура;
- Персонал;
- Здания и сооружения;
- Организационная структура.

Отдельный аспект – обеспечение защиты персональных данных (ПДн), как в части соответствия ФЗ-152 «О персональных данных», так и выполнения требований ISO/IEC 27001:2005. Для практического применения важно провести анализ (и далее выполнять его на периодической основе) по анализу уровня защищенности ПДн в организации. В частности, оценки уровня защищенности могут быть обсуждены как элемент выходных данных для анализа со стороны руководства и являться удобным критерием оценки общего уровня ИБ. Более того, принятие во внимание экономических оценок (затрат на внедрение средств защиты информации (СЗИ) и иных «контролей» из Приложения А ISO/IEC 27001:2005, обучения, внешнего тестирования и пр.) позволит выполнять периодическую переоценку и, при необходимости, изменение затрат на поддержание должного уровня защищенности ПДн при минимально допустимом (требуемом) перечне технических СЗИ.

Соответствие СМИБ требованиям законодательства

Одним из ключевых требований, которым необходимо руководствоваться при проектировании, разработке и внедрении СМИБ, является соответствие требованиям законодательства (Compliance). Например, в приложении А.15 (обязательное приложение к стандарту ISO/IEC 27001:2005) указаны обязательные требования соответствия, например:
- A.15.1 Соответствие требованиям законодательства.
- A.15.2 Соответствие политикам и стандартам безопасности, а также техническое соответствие.

В общем случае, для практического использования предлагается следующая иерархия требований, на соответствие которым будет проектироваться, создаваться и внедряться СМИБ:

- Устанавливаются международными стандартами, например: ISO/IEC 27001:2005, …
- Устанавливаются Законодательной властью, например: Указы Президента № 188, 351,..
- Устанавливаются надзорными органами («регуляторами»), например: Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) ,...
- Устанавливаются в организации, например, «Политика ИБ», «Политика использования ноутбуков»,...
- Устанавливаются требованиями контрактов с партнерами...

Обеспечение информационной безопасности в кризисной ситуации

Для результативного внедрения практики ИБ и при планировании СМИБ важно оценить не только выполнение технических и законодательных требований, но и определить экономические «бенефиты». В текущей экономической ситуации вопросы эффективности (т.е. соотношения планируемого (достигнутого) результата и затраченных ресурсов) получили особое внимание в силу ряда обстоятельств.

По данным МВД преступления в сфере «высоких технологий» становятся все масштабнее, «...за 2009 год было выявлено 5,5 тысяч таких преступлений, за 9 месяцев 2010 года - уже около 7,5 тысяч», сообщил генерал-полковник милиции Борис Мирошников. По словам Б. Мирошникова, в настоящее время среди противоправных действий в сфере IT лидирует неправомерный доступ к компьютерной информации, а также создание, использование и распространение вредоносных программ. Он также сообщил, что в подразделения управления "К" ежедневно поступают 20-30 обращений граждан. При этом реально преступлений в сфере высоких технологий происходит гораздо больше, так как этот вид преступности имеет высокую латентность. По данным опроса мировых компаний по вопросам безопасности ИТ-систем, проведенного экспертами VanDyke Software, выяснилось, что за 2009-2010 год все компании регистрировали хотя бы одно несанкционированное проникновение к данным, хранящимся на пользовательских машинах в офисной сети или серверах. Если обратиться к цифрам отчета по аудиту ИБ, то в крупных компаниях, имеющих в штате 1-5 тыс. человек, успешность несанкционированного доступа к информации достигло 59 % (в 2009 г. – 57%), а очень крупных (больше 5 тыс. человек) – 67 % (в 2009 г. – 41%).

Причинами возникших проблем являлись: хакеры и сетевые атаки (по 14%), отсутствие, либо недостаточная проработанность политик безопасности (12%), мобильные сотрудники (10%) и многие другие факторы. Приблизительно половина респондентов указала, что в их организации есть формальная процедура проверки защиты с участием внешней организации, которая осуществляется не реже одного раза в год (в 2009 г. таких было лишь 35%), и у более 54% опрошенных проведенные аудиты помогли обнаружить «существенные проблемы» ИБ.

Современный объект защиты

ИТ-инфраструктура современного предприятия – это сложная интегрированная структура, в которой обрабатываются, хранятся и передаются (в том числе при международном информационном обмене) различные типы данных. Как правило, ИТ- инфраструктура включает в себя основные компоненты:

- обеспечение телефонной связи (в т.ч. цифровой, с использованием SIP- протокола);
- обеспечение доступа к сети интернет (в т.ч. беспроводной доступ Wi-Fi и новейшие технологии 4G: WiMAX, LTE);
- обеспечение современными средствами вычислительной техники (в т.ч. мобильными);
- кабельная инфраструктура (в т.ч. аренда каналов и физических линий);
- системы интеллектуальной пожарной и охранной сигнализации; . системы видеонаблюдения и контроля доступа (СКУД).

Категории обрабатываемой информации

Один из наиболее ценных активов для любого предприятия (как было отмечено в начале статьи) – это информация. Применительно к термину «информация» существуют различные виды классификации, категории конфиденциальности, типы носителей, схемы обработки, методы защиты и пр. Для удобства рассмотрения предлагается следующая система:

Открытые данные:

- перечень услуг, тарифы, режимы работы и пр.
- контактные телефоны служб и пр.
- адреса центрального офиса и территориальных площадок, складов и пр.

Конфиденциальные данные:

- персональные данные,
- служебная тайна,
- врачебная тайна (осмотр сотрудников),
- тайна телефонных переговоров и иных сообщений,
- коммерческая деятельность (информация, отнесенная к коммерческой тайне).

Специфические категории информации:

- Данные геоинформационных систем (информация о земельных участках, о технических характеристиках зданий, о пространственном расположении зданий и сооружений, о размещении различных инженерных сетей и пр.);
- Данные технологических процессов (параметры технологических процессов, сменность работы персонала и оборудования, графики проведения ППР и ТО, применяемые защитные средства и системы автоматики и пр.)

Аспекты менеджмента рисков

Внедрение современных инструментов менеджмента рисков является важным элементом при проектировании, создании, внедрении и эксплуатации СМИБ. Требования менеджмента рисков непосредственно содержатся в описании модели PDCA 1 применительно к СМИБ ISO/IEC 27001:2005.

Для эффективной СМИБ необходимо контролировать следующие основные риски:
- Безопасность системы расчетов (прежде всего, ключевого материала ЭЦП и физических носителей);
- Физическая безопасность зданий и сооружений;
- Безопасность дата-центров2,, в т.ч. резервных сервисов и помещений (возможно применение стандартов BS 25999);
- Надежность и доступность всех сервисов (возможно применение стандартов ISO/IEC серии 20000); . Безопасность изменений конфигурации сервисов;
- Обеспечение бесперебойной работы производственного комплекса.

Преимущества создания СМИБ

Рассмотрим основные преимущества, получаемые в результате тщательно подготовленного и экономически сбалансированного проекта внедрения СМИБ:

- Независимое подтверждение факта, что в организации должным образом выявлены, оценены и системным образом управляются риски, т.е. соответствующие процедуры ИБ разработаны, внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом; . Доказательство соблюдения действующих законов и нормативных актов в области ИБ; . Доказательство стремления высшего руководства организации к обеспечению ИБ в требуемом объеме для всей организации в соответствии с установленными требованиями; . Демонстрация определенного уровня ИБ для обеспечения конфиденциальности информации клиентов и партнеров организации; . Демонстрация проведения регулярных аудитов ИБ, оценки результативности и постоянных улучшений СМИБ. . Существенное укрепление имиджа компании как надежного партера, повышения к ней интереса со стороны потенциальных партнеров; . Снижение рисков и размера ущерба от инцидентов ИБ, а также сокращение расходов на создание адекватной рискам технической инфраструктуры; . Снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ.

-------------------
1 PDCA («Plan-Do-Check-Act», «Планирование – Выполнение – проверка – Воздействие (управление, корректировка)») – циклически повторяющийся процесс принятия решения, используемый в управлении качеством. Также известен как Цикл Деминга (Deming Cycle), Shewhart cycle, Deming Wheel, или Plan- Do-Study-Act. Методология PDCA представляет собой простейший алгоритм действий руководителя по управлению процессом и достижению его целей. Цикл управления начинается с планирования. (Википедия)

2 Дата-центр (от англ. data center), или центр (хранения и) обработки данных (ЦОД/ЦХОД) — это специализированное здание для размещения (хостинга) серверного и коммуникационного оборудования и подключения абонентов к каналам сети Интернет. Дата-центр исполняет функции обработки, хранения и распространения информации, как правило, в интересах корпоративных клиентов — он ориентирован на решение бизнес-задач путем предоставления информационных услуг. (Википедия).

Резюме

Стандарты ИСО/МЭК серии 27000 призваны помочь всем заинтересованным сторонам при проектировании, внедрении и оценке результативности и эффективности СМИБ. В современных экономичесикх условиях очевидно, что обеспечение ИБ на должном уровне невозможно без выполнения комплекса взаимоувязанных требований.

В России стандарты ИСО/МЭК приняты в качестве ГОСТ Р и доступны на русском языке, что существенно облегчает приемственность лучших мировых практик на уровне высшего менеджмента, быстрого обучение специалистов и вовлечение широкого сообщества экспертов («безопасников», «ИТ-шиков», «персональщиков», юристов, специалистов служб менеджмента качества) в управление ИБ.

Принятие «на вооружение» практик ISO/IEC 27001:2005 позволит создать СМИБ, адекватно соответствующую современным вызовам и угрозам, что позволяет предложить бизнесу инструмент для надежной защиты точного определенного перечня ценных активов с установленной (требуемой) оценкой защищенности.
 

Для удобства навигации по сайту следует пользоваться картой сайта или поиском по сайту.       

 

Современные аспекты проектирования, создания и внедрения систем менеджмента информационной безопасности на базе международного стандарта ISO/IEC 27001:2005

© "Взгляд Вашего Потребителя"