Практические аспекты внедрения системы управления ИБ в соответствии с ISO 27001

Практические аспекты внедрения системы управления ИБ в соответствии с ISO 27001

Сердюк В.А., кандидат технических наук, генеральный директор ЗАО "ДиалогНаука"

НА СЕГОДНЯШНИЙ день ИБ является одним из наиболее динамично развивающихся направлений в области ИТ. Это обусловлено тем, что все большее количество компаний уделяют внимание вопросам защиты информационных ресурсов, от которых зависит стабильность функционирования бизнес-процессов предприятия.

Один из основных недостатков в существующих подходах обеспечения безопасности заключается в том, что защита информации в компаниях воспринимается как разовая задача, которая обычно сводится к установке и настройке типового набора средств защиты, таких как антивирусы, межсетевые экраны, системы разграничения доступа и др. Однако с учетом того, что угрозы постоянно эволюционируют, то рано или поздно применение такого подхода приведет к тому, что текущий уровень безопасности организации окажется недостаточным для эффективного противодействия внешним и внутренним атакам злоумышленников. И чтобы избежать этой ситуации, информационная безопасность должна восприниматься как "непрерывный процесс", интегрированный в корпоративную модель управления компанией. Для реализации данного подхода может использоваться международный стандарт ISO/IEC 27001, последняя редакция которого была принята в 2005 г.

Стандарт ISO/IEC 27001 определяет требования для разработки, реализации, эксплуатации, мониторинга, ревизии, поддержания и совершенствования системы управления информационной безопасностью (СУИБ). Требования этого стандарта в определенной степени абстрактны и не привязаны к специфике какой-либо области деятельности организации. Они могут применяться любой организацией вне зависимости от ее типа, размеров и характера бизнеса. Еще одной особенностью стандарта является тот факт, что он носит не технический, а управленческий характер и направлен на внедрение процессов, позволяющих обеспечить должный уровень информационной безопасности компании. СУИБ базируется на процедуре оценки и анализа рисков, интегральных показателей защищенности ключевых информационных активов и выборе мер по минимизации рисков до приемлемого остаточного уровня.

Используя ISO/IEC 27001 в качестве основы для построения системы управления ИБ, организация может пройти процедуру сертификации специализированными органами, имеющими аккредитацию UKAS (United Kingdom Accreditation Service). Получение сертификата международного образца может позволить увеличить капитализацию компании, а также повысить уровень доверия клиентов и партнеров. Необходимо отметить, что срок действия сертификата составляет три года, по истечении которого необходимо проходить ресертификационный аудит.

Касаясь практического применения ISO/IEC 27001, необходимо отметить, что все работы по разработке системы управления И Б можно разбить на следующие основные этапы:

• определение области действия (рамок) проекта;
• проведение обследования с целью идентификации информационных активов;
• проведение оценки и анализа рисков ИБ;
• разработка политики ИБ;
• подготовка плана обработки рисков, содержащего перечень защитных мер, направленных на минимизацию рисков;
• разработка нормативно-методических документов, формализующих процессы СУИБ;
• внедрение системы управления ИБ;
• подготовка к сертификации СУИБ компании на соответствие требованиям стандарта ISO 27001.

При выборе области деятельности, в которой силами специально созданной рабочей группы будут внедряться механизмы СУИБ, должны учитываться следующие факторы:

• деятельность и услуги, предоставляемые организацией своим партнерам и клиентам;
• целевая информация, безопасность которой должна быть обеспечена;
• бизнес-процессы, обеспечивающие обработку целевой информации;
• подразделения и сотрудники организации, задействованные в данных бизнес-процессах;
• программно-технические средства, обеспечивающие функционирование данных бизнес-процессов;
• территориальные площадки компании, в рамках которых происходят сбор, обработка и передача целевой информации.

Одним из основных требований стандарта ISO 27001 является разработка политики ИБ в виде внутрикорпоративного нормативного документа, который утверждается на уровне руководства компании. Все положения носят долгосрочный характер и действуют в течение нескольких лет с момента ее официального утверждения. Основная ее цель заключается в создании нормативной базы для обеспечения комплексной защиты от угроз. Политика должна дополняться регламентами, инструкциями, положениями и другими документами, позволяющими формализовать процессы защиты информации в компании.

Внедрение СУИБ на основе стандарта ISO 27001 позволяет реализовать процессный подход к обеспечению ИБ, что существенным образом позволяет более системно и комплексно решить проблему защиты компании от возможных внешних и внутренних угроз.