- Ухвалення рішення про створення СУІБ
- Підготовка до створення СУІБ
- Нормативно-методичне забезпечення
- Вибір області діяльності організації, яка буде охоплена СУІБ
- виявлення невідповідностей
- аналіз ризиків
- Ідентифікація та визначення цінності активів
- аналіз ризиків
- Реалізація плану обробки ризиків
- Розробка політик і процедур СУІБ
- Впровадження СУІБ в експлуатацію
- Підготовка до сертіфікаційного аудиту
В кінці 2005 року в світ вийшов новий міжнародний стандарт в області інформаційної безпеки - BS ISO / IEC 27001: 2005 (далі Стандарт). В даному документі сформульовані вимоги до системи управління інформаційною безпекою (СУІБ), включаючи загальну методологію створення, впровадження та оцінки ефективності механізмів СУІБ.
В даний час спостерігається підвищений інтерес до цього стандарту з боку компаній, що працюють в різних галузях. Відповідність йому стає важливим фактором комерційного успіху організації завдяки цілому ряду переваг, які вона отримує, таким як:
Перераховані тут переваги набуваються в результаті отримання сертифіката відповідності СУІБ організації вимогам BS ISO / IEC 27001: 2005, який видається незалежним органом по сертифікації при успішному проходженні сертифікаційного аудиту СУІБ.
У даній статті розглянуті основні компоненти і етапи створення СУІБ, що відповідає вимогам BS ISO / IEC 27001: 2005.
Стандарт BS ISO / IEC 27001: 2005 являє собою модель системи менеджменту в області інформаційної безпеки. Як і будь-яка інша сучасна система менеджменту, СУІБ - це, перш за все, набір організаційних заходів і процедур управління, вона не є за своєю суттю технічним стандартом.
В основі стандарту лежить процесний підхід до розробки, реалізації, експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ компанії. Він полягає в створенні і застосуванні системи процесів управління, які взаємопов'язані в безперервний цикл планування, впровадження, перевірки та поліпшення СУІБ ( Мал. 1 ).
Малюнок 1. Процесний підхід в рамках СУІБ
Додатково в Стандарті наведено перелік механізмів захисту інформації програмно-технічного рівня, який може використовуватися. Таким чином, СУІБ, побудована відповідно до вимог ISO / IEC 27001: 2005, являє собою комплексну систему, що включає і механізми управління, і механізми захисту інформації ( Мал. 2 ).
Малюнок 2. Комплексна система управління інформаційною безпекою
Основним рушійним механізмом СУІБ є періодичний аналіз ризиків інформаційної безпеки. Вище керівництво організації також втягується в процес управління СУІБ за допомогою прийняття рішень на основі результатів аналізу ризиків, результатів внутрішніх аудитів та інших механізмів СУІБ. З точки зору процесів управління СУІБ входить в загальну систему менеджменту організації і надає додаткові механізми управління в частині забезпечення захисту критичної інформації ( Мал. 3 ).
Малюнок 3. Місце СУІБ в загальній системі менеджменту організації
В рамках робіт зі створення СУІБ можна виділити наступні основні етапи:
- Ухвалення рішення про створення СУІБ.
- Підготовка до створення СУІБ.
- Аналіз ризиків.
- Розробка політик і процедур СУІБ.
- Впровадження СУІБ в експлуатацію.
Розглянемо ці етапи більш детально.
Ухвалення рішення про створення СУІБ
Рішення про створення та подальшої сертифікації СУІБ повинно прийматися вищим керівництвом організації. Таким чином керівництво висловлює свою підтримку початку даного процесу, що є ключовим фактором для успішного впровадження СУІБ в організації. При цьому керівництво повинно усвідомлювати кінцеву мету даного заходу і цінність сертифікації для бізнесу компанії.
Підготовка до створення СУІБ
Організація робочої групи
Не менш важливим фактором успішного впровадження СУІБ є створення робочої групи, відповідальної за впровадження СУІБ. До її складу мають увійти:
- представники вищого керівництва організації;
- представники бізнес-підрозділів, охоплених СУІБ;
- фахівці підрозділів, що забезпечують інформаційну безпеку в компанії, які мають відповідну освіту або підготовку, знають основні принципи і кращі практики в області інформаційної безпеки.
Перераховані співробітники повинні розуміти універсальні механізми систем менеджменту, знати вимоги Стандарту і пройти навчання з питань створення та експлуатації СУІБ.
До складу робочої групи, окрім співробітників компанії, можуть входити також залучені консультанти, що спеціалізуються в питаннях побудови СУІБ.
Доброю практикою є створення в організації комітету з інформаційної безпеки, який, крім питань, пов'язаних з впровадженням СУІБ, повинен на постійній основі забезпечити вирішення завдань, що визначаються експлуатацією даної СУІБ і її безперервним вдосконаленням.
Нормативно-методичне забезпечення
Робоча група повинна мати в своєму розпорядженні всю необхідну нормативно-методичну базу для успішного створення системи управління інформаційною безпекою, що відповідає вимогам Стандарту. На жаль, в даний момент видано далеко не всі необхідні документи, що безумовно ускладнює впровадження вимог Стандарту.
Нижче наведені стандарти і методики, якими слід керуватися:
- ISO / IEC 27000 - Словник і визначення. Дата виходу невідома.
- ISO / IEC 27001: 2005.
- ISO / IEC 27002. Зараз: ISO / IEC 17799: 2005. Дата виходу - 2007 рік.
- ISO / IEC 27003. Керівництво по впровадженню СМІБ. Дата виходу - 2008 рік.
- ISO / IEC 27004. Метрики ІБ. Дата виходу невідома.
- ISO / IEC 27005. Зараз: BS 7799-3: 2006 - Керівництво по менеджменту ризиків ІБ.
- ISO / IEC 27006. "Guidelines for information and communications technology disaster recovery services". Зараз: SS507: 2004 - Singapore Standards for Business Continuity / Disaster Recovery (BC / DR) Service Providers. Дата виходу невідома.
- ISO / IEC Guide 73: 2002, Risk management - Vocabulary - Guidelines for use in standards.
- ISO / IEC 13335-1: 2004, Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security managment.
- ISO / IEC TR 18044 Information technology - Security techniques - Information security incident management.
- ISO / IEC 19011: 2002 Guidelines for quality and / or environmental management systems auditing.
- Серія методик Британського інституту стандартів по створенню СУІБ (раніше: документи серії PD 3000).
Вибір області діяльності організації, яка буде охоплена СУІБ
При виборі сфери діяльності, в якій силами спеціально створеної робочої групи будуть впроваджуватися механізми СУІБ, повинні враховуватися наступні фактори:
- діяльність та послуги, що надаються організацією своїм партнерам і клієнтам;
- цільова інформація, безпека якої повинна бути забезпечена;
- бізнес-процеси, що забезпечують обробку цільової інформації;
- підрозділи і співробітники організації, задіяні в даних бізнес-процесах;
- програмно-технічні засоби, що забезпечують функціонування даних бізнес-процесів;
- територіальні майданчики компанії, в рамках яких відбуваються збір, обробка і передача цільової інформації.
Результатом є узгоджена з вищим керівництвом область діяльності організації, в рамках якої планується створення СУІБ ( Мал. 4 ).
Малюнок 4. Приклад області діяльності
виявлення невідповідностей
Для уточнення обсягу робіт і необхідних витрат на створення і подальшу сертифікацію СУІБ члени робочої групи проводять роботи з виявлення й аналізу невідповідностей існуючих в організації заходів захисту вимогам Стандарту. При цьому аналізуються як застосовувані організаційні заходи в галузі планування, впровадження, аудиту і модернізації заходів щодо забезпечення інформаційної безпеки, так і використовувані програмно-технічні засоби і механізми захисту інформації.
На даному етапі компанія також може вибрати незалежний орган із сертифікації систем менеджменту, що має відповідну акредитацію, в якому вона хотіла б пройти сертифікацію.
Доброю практикою є замовлення у органу з сертифікації попереднього аудиту для виявлення існуючих на поточний момент невідповідностей вимогам Стандарту. Попередній аудит на даному етапі допоможе виявити області, які потребують удосконалення.
Результатом цих робіт повинен стати перелік невідповідностей вимогам Стандарту і план робіт зі створення СУІБ організації.
аналіз ризиків
Однією з найбільш відповідальних і складних завдань, що вирішуються в процесі створення СУІБ, слід назвати проведення аналізу ризиків інформаційної безпеки щодо активів організації в обраній галузі діяльності і прийняття вищим керівництвом рішення про вибір заходів протидії виявлених ризиків.
У процесі аналізу ризиків проводяться наступні роботи:
- ідентифікація всіх активів в рамках обраної області діяльності;
- визначення цінності ідентифікованих активів;
- ідентифікація загроз і вразливостей для ідентифікованих активів;
- оцінка ризиків для можливих випадків успішної реалізації загроз інформаційної безпеки щодо ідентифікованих активів;
- вибір критеріїв прийняття ризиків;
- підготовка плану обробки ризиків.
Виконання всіх зазначених завдань зазвичай здійснюється відповідно до розроблюваної процедурою аналізу ризиків, в якій визначено методологію і відображені організаційні аспекти по кожній із завдань.
Ідентифікація та визначення цінності активів
В рамках даних робіт повинні бути розглянуті всі бізнес-процеси, що входять в обрану область діяльності організації. По кожному бізнес-процесу спільно з власником процесу проводиться ідентифікація задіяних активів ( Мал. 5 ).
Малюнок 5. Ідентифікація активів в бізнес-процесах
У термінах Стандарту під активами розуміються:
- інформаційні вхідні дані;
- інформаційні вихідні дані;
- інформаційні записи;
- ресурси: люди, інфраструктура, обладнання, програмне забезпечення, інструменти, послуги.
Наступним кроком у проведенні аналізу ризиків ІБ щодо активів компанії є визначення цености активу, яка виражається у величині збитку для організації, якщо порушується будь-яка з наступних властивостей активу: конфіденційність, цілісність, доступність.
Інформація про цінності активу може бути отримана від його власника або ж від особи, якій власник делегував усі повноваження по даному активу, включаючи забезпечення його безпеки.
Результатом даних робіт є звіт про ідентифікацію та оцінці цінності активів.
аналіз ризиків
Аналіз ризиків - це основний рушійний процес СУІБ. Він виконується не тільки при створенні СУІБ, але і періодично при зміні бізнес-процесів організації і вимог з безпеки.
Необхідно підібрати таку методику аналізу ризиків, яку можна було б використовувати з мінімальними змінами на постійній основі. Є два шляхи: використовувати існуючі на ринку методики і інструментарій для оцінки ризиків або ж розробити свою власну методику, яка найкращим чином буде підходити до специфіки компанії і охоплена системою управління інформаційної безпеки області діяльності.
Останній варіант найкращий, оскільки поки більшість існуючих на ринку продуктів, що реалізують ту чи іншу методику аналізу ризиків, не відповідають вимогам стандарту. Типовими недоліками таких методик є:
- стандартний набір загроз і вразливостей, який часто неможливо змінити;
- прийняття в якості активів тільки програмно-технічних і інформаційних ресурсів - без розгляду людських ресурсів, сервісів і інших важливих ресурсів;
- загальна складність методики з точки зору її стійкого і повторюваного використання.
У процесі аналізу ризиків для кожного з активів або групи активів проводиться ідентифікація можливих загроз і вразливостей, оцінюється ймовірність реалізації кожної із загроз і, з урахуванням величини можливих збитків для активу, визначається величина ризику, що відображає критичність тієї чи іншої загрози.
Необхідно відзначити, що відповідно до вимог Стандарту в процедурі аналізу ризиків повинні бути ідентифіковані критерії прийняття ризиків та прийнятні рівні ризику. Ці критерії повинні базуватися на досягненні стратегічних, організаційних і управлінських цілей організації.
Вище керівництво компанії використовує дані критерії, приймаючи рішення щодо прийняття контрзаходів для протидії виявленим ризикам. Якщо виявлений ризик не перевищує встановленого рівня, він є прийнятним, і подальші заходи щодо його обробці не проводяться. У разі ж, коли виявлений ризик перевищує прийнятний рівень критичності загрози, вище керівництво повинне прийняти одне з таких можливих рішень:
- зниження ризику до прийнятного рівня за допомогою застосування відповідних контрзаходів;
- прийняття ризику;
- Щоб усунути;
- переклад ризику в іншу область, наприклад, за допомогою його страхування.
Реалізація плану обробки ризиків
Відповідно до прийнятих рішень формується план обробки ризиків. Даний документ містить перелік першочергових заходів щодо зниження рівнів ризиків, а також цілі та засоби управління з "Додатки А" Стандарту, спрямовані на зниження ризиків, із зазначенням:
- осіб, відповідальних за реалізацію даних заходів і засобів;
- термінів реалізації заходів і пріоритетів їх виконання;
- ресурсів для реалізації таких заходів;
- рівнів залишкових ризиків після впровадження заходів і засобів управління.
Ухвалення плану обробки ризиків і контроль за його виконанням здійснює вище керівництво організації. Виконання ключових заходів плану є критерієм, що дозволяє прийняти рішення про введення СУІБ в експлуатацію.
Розробка політик і процедур СУІБ
Розробка організаційно-нормативної бази, необхідної для функціонування СУІБ, може проводитися паралельно з реалізацією заходів плану обробки ризиків.
На даному етапі розробляються документи, явно зазначені в Стандарті, а також ті, необхідність реалізації яких випливає з результатів аналізу ризиків та з власних вимог компанії до захисту інформації. Зазвичай сюди входять такі основні політики і процедури:
- область діяльності СУІБ;
- політика СУІБ;
- подполітікі по основних механізмів забезпечення інформаційної безпеки, які можуть застосовуватися до обраної області діяльності, яка охоплюється СУІБ, такі як:
- політика антивірусного захисту;
- політика надання доступу до інформаційних ресурсів;
- політика використання засобів криптографічного захисту;
- інші політики;
- процедури СУІБ:
- управління документацією;
- управління записами;
- внутрішні аудити;
- Корегуюча дія;
- запобіжні дії;
- управління інцидентами;
- аналіз функціонування СУІБ керівництвом організації;
- оцінка ефективності механізмів управління СУІБ;
- інші процедури і інструкції.
Розробляються політики і процедури повинні охоплювати наступні ключові процеси СУІБ:
- управління ризиками;
- управління інцидентами;
- управління ефективністю системи;
- управління персоналом;
- управління документацією та записами системи управління ІБ;
- перегляд і модернізація системи;
- управління безперервністю бізнесу і відновлення після переривань.
Крім того, в посадові інструкції відповідального персоналу, положення про підрозділи, контрактні зобов'язання організації повинні бути включені обов'язки щодо забезпечення інформаційної безпеки.
Обов'язки щодо виконання вимог СУІБ за допомогою відповідних наказів і розпоряджень покладаються на відповідальних співробітників підрозділів, охоплених СУІБ.
Всі розроблені положення політики СУІБ, подполітік, процедур та інструкцій доводяться до відома рядових співробітників при їх початковому і наступному періодичному навчанні та інформуванні.
Таким чином, в результаті не тільки створюється документальна база СУІБ, але і відбувається реальний розподіл обов'язків щодо забезпечення безпеки інформації серед персоналу організації.
Впровадження СУІБ в експлуатацію
Датою введення СУІБ в експлуатацію є дата затвердження вищим керівництвом компанії положення про можливість застосування засобів управління. Даний документ є публічним і декларує цілі і засоби, обрані організацією для управління ризиками. Положення включає:
- засоби управління і контролю, вибрані на етапі обробки ризиків (в тому числі з "Додатки А" Стандарту);
- існуючі в організації засоби управління і контролю;
- кошти, що забезпечують виконання вимог законодавства та вимог регулюючих організацій;
- кошти, що забезпечують виконання вимог замовників;
- кошти, що забезпечують виконання загальнокорпоративних вимог;
- будь-які інші відповідні засоби управління і контролю.
При введенні СУІБ в експлуатацію задіюються всі розроблені процедури і механізми, що реалізують обрані цілі і засоби управління ( Мал. 6 ).
Малюнок 6. Основні механізми СУІБ
Підготовка до сертіфікаційного аудиту
На даного етапі, як и на початкових, организации рекомендується пройти Попередній аудит, Який поможет оцініті Готовність до сертіфікаційного аудиту. Попередній аудит зазвичай проводиться тим же органом по сертифікації, в якому передбачається проходження сертифікаційного аудиту.
За результатами попереднього аудиту орган по сертифікації складає звіт, в ньому зазначаються всі позитивні сторони створеної СУІБ, виявлені невідповідності та рекомендації щодо їх усунення.
Для проведення сертифікаційного аудиту рекомендується, щоб СУІБ компанії функціонувала від трьох до шести місяців. Це мінімальний період, необхідний для первинного виконання внутрішніх аудитів та аналізу СУІБ з боку керівництва, а також для формування записів за результатами виконання всіх процедур СУІБ, які аналізуються в ході сертифікаційного аудиту.
Результатом даного етапу є СУІБ організації, готова до проходження сертифікаційного аудиту.
Розглянувши основні етапи створення СУІБ, відзначимо, що цей процес досить складний і тривалий. Очевидно, що роботи з розробки та впровадження системи не можуть увінчатися успіхом без яскраво вираженої прихильності вищого керівництва компанії до створення СУІБ. Наявність такої прихильності допоможе створити ефективну і реально працюючу систему.
Зусилля, витрачені на створення системи управління інформаційною безпекою, дозволять організації вийти на новий рівень відносин з клієнтами, партнерами, акціонерами, продемонструвати надійність компанії і нададуть можливість успішної конкуренції з провідними компаніями на міжнародному ринку.