Система управления информационной безопасностью в соответствии с ISO/IEС 27001

Система управления информационной безопасностью в соответствии с ISO/IEC 27001

Наталья Куканова, аналитик по информационной безопасности компании Digital Security, BSI-aydumop

Прошло почти десять лет с момента публикации Международной организацией по стандартизации первого стандарта в области управления информационной безопасностью (в 2000 г. была опубликована первая версия ISO/IEC 17799). На сегодняшний день количество сертификатов систем управления информационной безопасностью (СУИБ) в соответствии ISO/IEC 27001 в мире превышает 3,5 тыс., и их число постоянно увеличивается. Россия не стала исключением в этом процессе. И хотя количество компаний, имеющих сертифицированные СУИБ, в России пока еще незначительно (всего 6 успешно пройденных сертификаций), крупные компании проявляют большой интерес к ISO/IEC 27001. Многие компании внедряют СУИБ и хотят получить сертификат.

Инициатива внедрения СУИБ

Инициатива создания и эффективного функционирования системы должна исходить от руководства компании - это гарантирует четкое выполнение всех процедур сотрудниками компании и аккуратное отношение к процессу. В отсутствие поддержки руководства компании функционирование СУИБ будет сложно или почти невозможно поддерживать, так как в данном процессе требуется постоянное взаимодействие различных подразделений, а это один отдел информационной безопасности (ИБ) организовать не сможет.

Процессный подход к СУИБ

В случае принятия решения о создании СУИБ следует четко понимать, что это не разовое мероприятие, а постоянная работа, поскольку эффективность процедур системы управления может с течением времени снижаться.

Для описания жизненного цикла СУИБ (так же, как и жизненного цикла любой другой системы управления) принято использовать PDCA-модель (см. схему).

Все процедуры системы управления должны последовательно проходить следующие четыре этапа: планирование, внедрение, мониторинг и анализ, совершенствование. Каждый этап характеризуется выполнением различных процедур.

Этапы функционирования

Опишем последовательно этапы функционирования СУИБ, начиная с создания системы.

1. Планирование процедур СУИБ:

• решение о создании системы управления руководством компании;
• выбор области действия системы;
• инвентаризация и категорирование информационных активов;
• оценка уровня защищенности информационной системы (ИС) - определение уязвимостей и угроз ИБ;
• анализ информационных рисков;
• разработка Положения о применимости;
• выбор мер по снижению информационных рисков;
• разработка базы нормативных документов по ИБ.

2. Внедрение процедур СУИБ:

• внедрение мер по снижению информационных рисков;
• определение методов оценки эффективности внедренных мер;
• повышение квалификации сотрудников компании в области ИБ;
• внедрение системы управления инцидентами ИБ.

3. Мониторинг и анализ процедур СУИБ:

• регулярные проверки эффективности процедур системы управления;
• регулярный пересмотр результатов анализа информационных рисков;
• регистрация записей системы управления с целью оценки ее эффективности.

4. Совершенствование СУИБ:

• выполнение корректирующих и превентивных действий;
• обеспечение эффективности предпринятых мер совершенствования СУИБ.

Остановимся подробнее на некоторых процедурах СУИБ, которые, как правило, вызывают наибольшие сложности.

Выбор области действия

В целом СУИБ распространяется на всю ИС компании. Однако внедрение системы управления - достаточно сложный процесс, поэтому, как правило, компании выбирают один из критичных бизнес-процессов или автоматизированных систем и внедряют процедуры системы управления, а потом распространяют их на остальные процессы компании.

Отметим, что в рамках области действия СУИБ требуется определить следующие активы:

• информационные ресурсы;
• средства хранения и обработки информации;
• программное обеспечение;
• пользователи ИС;
• вспомогательные сервисы и системы жизнеобеспечения.

Категорирование информационных активов компании

Уровень требуемой защищенности зависит от степени критичности информации для компании - зачем тратить на защиту информации $100, если сама информация стоит $10? Оценку критичности информации проводят, как правило, по трем критериям - конфиденциальности, целостности и доступности, то есть для каждой информации требуется определить ущерб, который понесет компания при ее разглашении, модификации или невозможности получить к ней доступ. Основная сложность этого процесса заключается в том, что оценку критичности активов должны производить сотрудники, работающие с информацией, а они зачастую не знают, как это сделать, да и не хотят - ведь это отвлекает их от основной деятельности. С целью упрощения данного процесса разрабатываются методики оценки критичности, различные формы для заполнения результатов. Таким образом, данный процесс может потребовать много времени и внимания к исполнителям работ. Хотя инвентаризация и категорирование информационных ресурсов - это внутренний процесс компании, общепринятой практикой является приглашение сторонних консультантов. Это помогает сэкономить средства и, главное, время, так как сторонние консультанты уже имеют опыт преодоления затруднений, которые могут возникнуть в процессе инвентаризации и категорирования.

Эффективность процедур СУИБ

После проведения анализа рисков, выбора и внедрения контрмер, необходимо оценить их эффективность. Как правило, эффективность внедренных средств защиты определяется с помощью повторного анализа рисков. Необходимо понять, насколько действительно снизился риск. Учитывая, что мерами снижения рисков могут быть не только отдельные программные или аппаратные решения (скажем, антивирус), но и различные мероприятия (например, регулярное резервное копирование информации). Чтобы оценить эффективность таких мероприятий необходимо знать, выполняются ли необходимые действия в соответствии с указаниями и какой вклад в обеспечение безопасности они вносят.

Для примера рассмотрим процесс мониторинга журналов системных событий. Администратор безопасности должен регулярно (не реже двух раз в неделю) анализировать журнал, выявлять наиболее критичные события, определять их причины и способы устранения. Проверкой выполнения процесса мониторинга могут служить записи, то есть администратор должен фиксировать факт выполнения мониторинга и его результаты. Кроме того, необходимо регулярно проверять действия администратора, например, с помощью различных тестов или интервью. В данном случае следует проанализировать, сколько причин возникновения критичных событий было выявлено и устранено и как это сказалось на общем количестве появления критичных событий в системе.

Готовность к сертификации

Ясно, что готовность системы управления к сертификации определяется индивидуально для каждой компании, но, как правило, если не пройден хотя бы один круг PDCA-модели, о сертификации говорить рано. Для успешного прохождения сертификации аудиторам сертификационных органов необходимо предоставить все документы системы управления безопасностью, а также доказательства того, что процедуры выполняются точно в соответствии с документами. Таким образом, к моменту сертификации следует накопить некоторое количество записей, доказывающих эффективную работу СУИБ. Кроме того, аудиторы будут самостоятельно выполнять проверку сотрудников компании и настроек информационных ресурсов, то есть все, что декларируется в документах и отражается в записях, должно быть действительно выполнено.

Комментарий эксперта

Анна Соколова, эксперт компании "ЭЛВИС-ПЛЮС"

Международные стандарты ISO/IEC 17799 и ISO/IEC 27001 исторически возникли на основе двух частей британского стандарта BS 7799. В первом стандарте изложены рекомендации по построению СУИБ, во втором - требования, выполнение которых обязательно для прохождения сертификации.

Интерес к этим стандартам со стороны российских компаний стимулируется, в том числе, и желанием привлечь дополнительные инвестиционные средства за счет проведения IPO (Initial Public Offering - первичное публичное размещение акций на рынке). Наличие официального и признаваемого во всем мире сертификата позволяет им продемонстрировать соблюдение ряда требований, касающихся вопросов обеспечения информационной безопасности, которые предъявляются в отношении компаний-эмитентов (например, в акте Сарбейнса-Оксли и Объединенном кодексе корпоративного управления¹).

Следует заметить, что за рамками данной статьи осталось рассмотрение таких сложных и дискуссионных моментов процесса создания СУИБ, как, например, анализ и оценка рисков, формирование политики информационной безопасности организации и особенности подготовки ряда других документов, наличие которых необходимо в соответствии с требованиями стандарта.

¹ Для проведения эмиссии и включения в листинг Лондонской фондовой биржи (LSE) компания-эмитент должна удовлетворять ряду требований в сфере корпоративного управления и внутреннего контроля, сформулированных в Объединенном кодексе корпоративного управления (The Combined Code on Corporate Governance, 2003).