Управление информационной безопасностью. Стандарты СУИБ

На разработку и реализацию СУИБ организации влияют потребности и цели организации, требования безопасности, используемые бизнес-процессы, а также размер и структура организации. Разработка и функционирование СУИБ должны отражать интересы и требования ИБ всех заинтересованных лиц организации, включая клиентов, поставщиков, бизнес-партнеров, акционеров и других третьих сторон.

Во взаимосвязанном мире информация и относящиеся к ней процессы, системы и сети составляют критичные активы. Организации и их ИС и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, а также пожар и наводнение. Повреждения ИС и систем, вызванные вредоносным ПО, действиями хакеров и DoS-атаками, стали более распространенными, более масштабными и более изощренными.

СУИБ важна для предприятий как государственного, так приватного сектора. В любой отрасли СУИБ является необходимым инструментом для поддержания электронного бизнеса и важна для действий по управлению риском. Взаимосвязь общедоступных и приватных сетей и обмен информационными активами усложняют управления доступом к информации и ее обработку.

Кроме того, распространение мобильных устройств хранения данных, содержащих информационные активы, может ослабить эффективность традиционных мер защиты. Когда организации принимают семейство стандартов СУИБ, способность применения последовательных и взаимоузнаваемых принципов ИБ можно продемонстрировать бизнес-партнерам и другим заинтересованным сторонам.

ИБ не всегда учитывается при создании и разработке ИС. Кроме того, часто считается, что ИБ – это техническая проблема. Однако ИБ, которая может быть достигнута с помощью технических средств, ограничена и может быть неэффективной, не будучи поддержанной соответствующим управлением и процедурами в контексте СУИБ. Встраивание системы безопасности в функционально завершенную ИС может быть сложным и дорогостоящим.

СУИБ включает в себя идентификацию имеющихся мер защиты и требует тщательного планирования и внимания к деталям. Например, меры разграничения доступа, которые могут быть техническими (логическими), физическими, административными (управленческими), или их комбинацией, гарантируют, что доступ к информационным активам санкционируется и ограничивается на основании требований бизнеса и ИБ.

Успешное применение СУИБ важно для защиты информационных активов, поскольку позволяет:

– повысить гарантии того, что информационные активы адекватно защищены на непрерывной основе от угроз ИБ;

– поддерживать структурированную и всестороннюю систему оценки угроз ИБ, выбора и применения соответствующих мер защиты, измерения и улучшения их эффективности;

– постоянно улучшать среду управления организации;

– эффективно соответствовать правовым и нормативным требованиям.

3.5. Внедрение, контроль, сопровождение и улучшение СУИБ

Внедрение, контроль, сопровождение и улучшение СУИБ являются оперативными этапами развития СУИБ.

Оперативные этапы СУИБ определяют следующие составляющие:

– общие положения;

– требования ИБ;

– решающие факторы успеха СУИБ.

Оперативные этапы СУИБ обеспечивают следующие мероприятия:

– оценка рисков ИБ;

– обработка рисков ИБ;

– выбор и внедрение мер защиты;

– контроль и сопровождение СУИБ;

– постоянное улучшение.

Общие положения

Организация должна предпринимать следующие шаги по внедрению, контролю, сопровождению и улучшению ее СУИБ:

– определение информационных активов и связанных с ними требований ИБ;

– оценка и обработка рисков ИБ;

– выбор и внедрение соответствующих мер защиты для управления неприемлемыми рисками;

– контроль, сопровождение и повышение эффективности мер защиты, связанных с информационными активами организации.

Для гарантии того, что СУИБ эффективно защищает информационные активы организации на постоянной основе, необходимо постоянно повторять все шаги, чтобы выявлять изменения рисков или стратегии организации или бизнес-целей.

Требования ИБ

В пределах общей стратегии и бизнес-целей организации, ее размера и географического распространения требования ИБ могут быть определены в результате понимания:

– информационных активов и их ценности;

– бизнес-потребностей в работе с информацией;

– правовых, нормативных и договорных требований.

Проведение методической оценки рисков, связанных с информационными активами организации, включает в себя анализ:

– угроз активам;

– уязвимостей активов;

– вероятности материализации угрозы;

– возможного влияния инцидента ИБ на активы.

Расходы на соответствующие меры защиты должны быть пропорциональны предполагаемому бизнес-влиянию от материализации риска.

Оценка рисков ИБ

Управление рисками ИБ требует соответствующего метода оценки и обработки риска, который может включать оценку затрат и преимуществ, правовых требований, проблем заинтересованных сторон, и других входных и переменных данных.

Оценки риска должны идентифицировать, измерить и установить приоритеты для рисков с учетом критерия принятия риска и целей организации. Результаты помогут выработать и принять соответствующие управленческие решения для действия и установления приоритетов по управлению рисками ИБ и внедрению мер защиты, выбранных для защиты от этих рисков.

Оценка риска должна включать систематический подход к оценке масштаба рисков (анализ риска) и процесс сравнения оцененных рисков с критерием риска для определения серьезности рисков (оценивание риска).

Оценки риска должны осуществляться периодически, чтобы вносить изменения в требования ИБ и ситуации риска, например, в активы, угрозы, уязвимости, влияния, оценивание риска, и в случае значительных изменений. Эти оценки риска должны осуществляться методично, чтобы обеспечить сопоставимые и воспроизводимые результаты.

Оценка риска ИБ должна четко определять сферу применения, чтобы быть эффективной, и содержать взаимодействия с оценками риска в других сферах, по возможности.

Стандарт ISO/IEC 27005 представляет руководство по управлению рисками ИБ, включая рекомендации по оценке, обработке, принятию, оповещению, мониторингу и анализу риска.

Обработка рисков ИБ

Перед рассмотрением обработки риска организации следует установить критерий для определения, можно принять риски или нет. Риски можно принять, если риск низкий или цена обработки не рентабельна для организации. Такие решения должны быть записаны.

Для каждого риска, определенного оценкой риска, следует принять решение о его обработке. Возможные варианты обработки риска включают:

– применение соответствующих мер защиты для снижения рисков;

– осознанное и объективное принятие рисков в строгом соответствии с политикой организации и критерием принятия риска;

– предотвращение рисков путем исключения действий, приводящих к появлению рисков;

– обмен связанными рисками с другими сторонами, например, страховщиками или поставщиками.

Соответствующие меры защиты от тех рисков, для которых принято решение об их применении с целью обработки рисков, дожны быть выбраны и внедрены.

Выбор и внедрение мер защиты

После определения требований к ИБ, определения и оценки рисков ИБ для информационных активов и принятия решений по обработке рисков ИБ должны быть выбраны и внедрены соответствующие меры защиты для снижения рисков.

Меры и средства ИБ должны гарантировать снижение рисков до приемлемого уровня с учетом:

– требований и ограничений национального и международного законодательства и нормативов;

– целей организации;

– операционных требований и ограничений;

– цены их внедрения и функционирования для снижения рисков, пропорциональной требованиям и ограничениям организации;

– их внедрения для контроля, оценки и улучшения результативности и эффективности мер и средств ИБ для поддержки целей организации;

– необходимости сбалансировать инвестиции на внедрение и функционирование мер защиты от вероятных потерь в результате инцидентов ИБ.

Меры защиты, изложенные в ISO/IEC 27002, общепризнаны как лучшие методы, применимые к большинству организаций и легко приспосабливаемые для организаций разной величины и структуры. Другие стандарты семейства стандартов СУИБ рекомендуют выбор и применение мер защиты, изложенных в стандарте ISO/IEC 27002, для СУИБ.

Меры и средства ИБ при разработке ИС следует рассматривать на стадии формирования системных и проектных требований и технического задания. Невыполнение этого может привести к дополнительным затратам и менее эффективным решениям и, может быть, в худшем случае, к невозможности достичь адекватной безопасности.

Меры защиты следует выбирать из стандарта ISO/IEC 27002 или других перечней, или создавать новые при особой необходимости. Следует осознавать, что некоторые меры защиты могут не подойти для каждой ИС или среды или быть неприемлемыми для всех организаций.

Иногда требуется время для внедрения набора мер защиты и в течение этого времени риск может быть выше приемлемого уровня долгое время. Критерий риска должен предусматривать приемлемость риска на короткое время, пока меры защиты внедряются. Заинтересованные стороны должны быть информированы об уровнях риска, которые оцениваются и прогнозируются в разные моменты времени, по мере последовательного внедрения средств защиты.

Надо понимать, что существующих мер защиты может быть недостаточно для достижения полноценной ИБ. Следует предпринять дополнительные управленческие действия для контроля, оценки и улучшения результативности и эффективности мер и средств ИБ для поддержки целей организации.

Выбор мер и средств ИБ должен быть задокументирован в Положении о применимости для соблюдения требований ИБ.

Контроль и сопровождение СУИБ

Организация должна контролировать и сопровождать СУИБ путем мониторинга и оценки деятельности на предмет соответствия политикам и целям организации и предоставления руководству результатов для анализа. Этот анализ СУИБ позволит наглядно показать, что СУИБ содержит специальные меры защиты, способные обрабатывать риски в сфере применения СУИБ. Кроме того, на основе записей этих контролируемых сфер СУИБ предоставляет данные проверки и корректирующих, профилактических и улучшающих действий.

Постоянное улучшение

Целью постоянного улучшения СУИБ является увеличение вероятностей достижения целей ИБ. Постоянное улучшение следует сфокусировать на поиске возможностей для улучшения и предоположении, что управленческая деятельность не так хороша, как могла бы быть.

Действия по улучшению содержат следующее:

– анализ и оценка существующей ситуации для определения сфер улучшения;

– формирование целей улучшения;

– поиск возможных решений для достижения целей;

– оценка этих решений и осуществление выбора;

– реализация выбранного решения;

– измерение, проверка, анализ и оценка результатов реализации для определения того, что цели достигнуты;

– формализованные изменения.

Результаты следует пересматривать, при необходимости, для определения дальнейших возможностей улучшения. В этом случае, улучшение является непрерывным действием, т.е. действия часто повторяются. Отзывы клиентов и других заинтересованных сторон, аудиты и анализ СУИБ могут также использоваться для определения возможностей улучшения.

3.6. Решающие факторы успеха СУИБ

Для успешной реализации СУИБ, позволяющей организации достичь своих бизнес-целей, имеет значение большое количество факторов. Примеры решающих факторов успеха включают в себя следующие:

– политика ИБ, цели и деятельность, ориентированная на цели;

– подход и структура для разработки, внедрения, контроля, сопровождения и улучшения ИБ, соответствующие корпоративной культуре;

– видимая поддержка и обязательства со стороны всех уровней управления, особенно высшего руководства:

– понимание требований защиты информационных активов, достигаемое применением управления рисками ИБ (см. ISO/IEC 27005);

– эффективное информирование, обучение и образовательная программа по ИБ, доводящая до сведения всех сотрудников и других причастных сторон их обязательства по ИБ, сформулированные в политиках ИБ, стандартах и т. д., а также их мотивирование к соответствующим действиям;

– эффективный процесс управления инцидентами ИБ:

– эффективный подход к управлению непрерывностью бизнеса;

– система измерения, используемая для оценки управления ИБ, и предложения по улучшению, взятые из отзывов.

СУИБ увеличивает вероятность того, что организация будет последовательно достигать решающих факторов успеха, необходимых для защиты ее информационных активов.

3.7. Преимущества внедрения стандартов семейства СУИБ

Преимущества реализации СУИБ проистекают, прежде всего, из сокращения рисков ИБ (т.е. снижения вероятности инцидентов ИБ и/или вызванного ими влияния). В частности, преимущества, полученные от принятия семейства стандартов СУИБ, содержат:

– структурированную базу для поддержания процесса определения, внедрения, функционирования и сопровождения комплексной, рентабельной, значимой, интегрированной и ориентированной СУИБ для удовлетворения разных потребностей организации;

– помощь руководству для стабильного управляющего и операционного подхода к управлению ИБ ответственным образом в контексте государственного и корпоративного управления рисками, включая обучение и тренинг владельцев систем и бизнеса по комплексному управлению ИБ;

– продвижение общепринятых лучших методов ИБ в необязывающей форме, предоставляющей организациям свободу принятия и улучшения мер защиты, соответствующих их особенностям и поддерживающих в случаях внутренних и внешних изменений;

– предоставление общего языка и концептуальной базы для ИБ, что облегчает взаимопонимание бизнес-партнеров с похожими СУИБ, особенно, если они требуют сертификат соответствия ISO/IEC 27001 от аккредитованного органа сертификации;

– повышение доверия заинтересованных сторон к организации;

– удовлетворение социальных нужд и ожиданий;

– более эффективное экономическое управление инвестициями в ИБ.

На этом рассмотрение стандарта ISO/IEC 27000 заканчиваем.

Сертификация СУИБ

Для подтверждения соответствия существующей в организации СУИБ требованиям стандарта, а также ее адекватности существующим бизнес рискам необходима процедура добровольной сертификации. Хотя без этого можно и обойтись, в большинстве случаев сертификация полностью оправдывает вложенные средства и время.

Во-первых, официальная регистрация СУИБ организации в реестре авторитетных органов, таких как служба аккредитации Великобритании (UKAS), укрепляет репутацию фирмы, повышает интерес со стороны потенциальных клиентов, инвесторов и кредиторов.

Во-вторых, в результате успешной сертификации расширяется сфера деятельности компании за счет получения возможности участия в тендерах и развития бизнеса на международном уровне. В наиболее чувствительных к уровню ИБ областях, такой, например, как финансы, наличие сертификата соответствия ISO/IEC 27001 начинает выступать как обязательное требование для осуществления деятельности.

Также очень важно, что процедура сертификации оказывает серьезное мотивирующее и мобилизующее воздействие на персонал компании: повышается уровень осведомленности сотрудников, эффективнее выявляются и устраняются недостатки и несоответствия в СУИБ, что в перспективе означает для организации снижение среднестатистического ущерба от инцидентов ИБ, а также сокращение накладных расходов на эксплуатацию информационных систем. Вполне возможно, наличие сертификата позволит застраховать информационные риски организации на более выгодных условиях.

Следует подчеркнуть, что все перечисленные преимущества организация получает только в том случае, если речь идет о системе сертификации, имеющей международное признание, в рамках которой обеспечивается надлежащее качество проведения работ и достоверность результатов.

Подготовка к сертификации

Подготовка организации к сертификации по ISO/IEC 27001 – процесс довольно длительный и трудоемкий. В общем случае, он включает в себя 6 последовательных этапов, которые выполняются организацией, как правило, при помощи внешних консультантов.

1. Предварительный аудит СУИБ, в ходе которого оценивается текущее состояние, осуществляется инвентаризация и документирование всех основных составляющих СУИБ, определяются область и границы сертификации и выполняется еще целый ряд необходимых подготовительных действий. По результатам аудита разрабатывается детальный план мероприятий по подготовке к сертификации.

2. Оценка информационных рисков, основной целью которой является определение применимости описанных в стандарте механизмов контроля в данной конкретной организации, подготовка декларации о применимости и плана обработки рисков.

3. Анализ расхождений с требованиями стандарта, в результате которого оценивается текущее состояние механизмов контроля в организации и идентифицируются расхождения с декларацией о применимости.

4. Планирование и подготовка программы внедрения недостающих механизмов контроля, по каждому из которых разрабатывается соответствующая стратегия и план.

5. Работы по внедрению недостающих механизмов контроля, которые включают в себя 3 основные составляющие:

– подготовка и повышение осведомленности сотрудников (обучение и тренинги);

– подготовка документации СУИБ (политики, стандарты, процедуры, регламенты, инструкции, планы);

– подготовка свидетельств функционирования СУИБ (отчеты, протоколы, приказы, записи, журналы событий и т.п).

6. Подготовка к сертификационному аудиту: анализируется состояние СУИБ, оценивается степень ее готовности к сертификации, уточняется область и границы сертификации, проводятся соответствующие переговоры с аудиторами органа по сертификации.

Точки преткновения

В процессе внедрения СУИБ возникает много точек преткновения. Часть из них связаны с нарушением описанных выше фундаментальных принципов управления безопасностью. Серьезные затруднения для украинских организаций лежат в законодательной области.

Использование ISO/IEC 27001—2005 как национального стандарта, в то время как уже введен в действие ISO/IEC 27001—2013, а также неотрегулированность системы сертификации средств защиты информации серьезно затрудняет выполнение одного из главных требований стандарта – соответствие действующему законодательству.

Источником затруднений нередко служит неправильное определение области действия и границ СУИБ. Слишком широкая трактовка области действия СУИБ, например, включение в эту область всех бизнес-процессов организации, значительно снижает вероятность успешного завершения проекта по внедрению и сертификации СУИБ.

Столь же важно правильно представлять, где проходят границы СУИБ и каким образом она связана с другими системами управления и процессами организации. Например, СУИБ и система управления непрерывностью бизнеса (СУНБ) организации тесно пересекаются. Последняя является одной из 14 определяемых стандартом областей контроля ИБ. Однако СУИБ включает в себя только ту часть СУНБ, которая связана с ИБ – это защита критичных бизнес процессов организации от крупных сбоев и аварий информационных систем. Другие аспекты СУНБ выходят за рамки СУИБ.

Стандарт – гарантия безопасности

Сегодня организация работы серьезной и эффективной компании, претендующей на успешное развитие, обязательно базируется на современных информационных технологиях. Поэтому обратить внимание на стандарты управления ИБ стоит компаниям любого масштаба. Как правило, вопросы управления ИБ тем актуальнее, чем крупнее компания, чем шире масштаб ее деятельности и претензии на развитие, и, как следствие, выше ее зависимость от информационных технологий.

Использование семейства международных стандартов ISO/IEC 27k позволяет существенно упростить создание, эксплуатацию и развитие СУИБ. Требования нормативной базы и рыночные условия вынуждают организации применять международные стандарты при разработке планов и политик обеспечения ИБ и демонстрировать свою приверженность путем проведения аудитов и сертификаций ИБ. Соответствие требованиям стандарта представляет определенные гарантии наличия в организации базового уровня ИБ, что оказывает положительное влияние на имидж компании.