Методология внедрения международного стандарта ISO/IEC 27001:2005 при построении корпоративной системы управления информационной безопасностью
2007
21 02.2007

Методология внедрения международного стандарта ISO/IEC 27001:2005 при построении корпоративной системы управления информационной безопасностью

Александр Чесалов

Опубликовано в журнале "CIO" №2 от 21 февраля 2007 года

Начиная с октября 2005 года на российском рынке информационной безопасности все большую известность при построении корпоративной системы управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC [IEC — the International Electrotechnical Commission] 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Это происходит по нескольким причинам: c одной стороны, российские организации становятся более зрелыми и компетентными участниками как внутреннего, так и внешних рынков. К определяющим факторам таких изменений можно отнести процедуру постепенного вхождения России во Всемирную торговую организацию и желание крупных компаний выйти на фондовые рынки, разместив свои акции на международных биржах.

С другой стороны, вырос уровень сервиса большинства консалтинговых компаний, которые предлагают свои услуги в области построения корпоративной системы управления информационной безопасностью на базе ISO/IEC 27001:2005 с последующей сертификацией.

И, несомненно, сыграли свою роль позитивные изменения, которые произошли в законодательстве Российской Федерации за последние несколько лет [1, 2, 3]. Так, в 2002 году Правительством РФ была утверждена «Программа комплексной стандартизации в области защиты информации на 2002 — 2010 годы», предусматривающая разработку 38 ГОСТ Р. Кроме того, Федеральная служба по техническому и экспортному контролю, лицензирующая деятельность по защите информации и занимающаяся сертификацией средств защиты информации, вводит в действие комплексный стандарт ГОСТ ИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», который был разработан на базе международного стандарта ISO/IEC 15408 «The common criteria for information technology security evaluation». Наконец, 28 июня 2006 года Государственной Думой был принят законопроект «Об информации, информационных технологиях и о защите информации».

За 2006 год консалтинговыми компаниями разработаны СУИБ в соответствии с требованиями международного стандарта ISO/IEC 27001:2005 для множества организаций — как крупных, так и небольших, где число сотрудников не превышает пятидесяти человек.

Выполнение подобных проектов способствовало расширению представления о том, как должна строиться полноценная СУИБ, помогло усовершенствовать методики реализации процедур аудита, разработки и внедрения СУИБ, а также анализа рисков. В данной статье мы рассмотрим и постараемся дать ответы на наиболее актуальные вопросы, возникающие как у менеджеров организаций, так и у технических специалистов в процессе ознакомления со стандартом ISO/IEC 27001:2005 и при построении СУИБ на его основе. Стандарт ISO/IEC 27001:2005 в общей системе государственных стандартов и технических регламентов РФ

За последние два-три года все более заметными становятся изменения в области формирования и совершенствования законодательства и, что немаловажно, положительная тенденция в отношении принятия основных положений международных стандартов в качестве основы для разработки стандартов государственных:

  • в сфере информационных технологий были приняты или планируются к принятию ГОСТы на базе следующих международных стандартов: ISO/IEC 7501-1:1997, ISO/IEC 7501-2:1997, ISO/IEC 7501-3:1997, ISO/IEC TR 19760:2003;
  • в сфере технологий информации и связи в образовании были приняты или планируются к принятию ГОСТы на базе международных стандартов: ISO/IEC 18056:2005, ISO/IEC 8825-4:2002/Amd.1:2004, ISO/IEC 8825-5:2004;
  • в сфере информационной безопасности были приняты или планируются к принятию ГОСТы на базе следующих международных стандартов: ISO/IEC 17799:2005, ISO/IEC 27001:2005 и т.д.;

Федеральным агентством по техническому регулированию и метрологии были разработаны следующие государственные стандарты РФ, в которых есть ссылки на международный стандарт ISO/IEC 27001:2005: ГОСТ Р ИСО/МЭК 27001 «Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (стандарт утвержден 31.12.2006 года) и стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Необходимо отметить, что стандарт ЦБ России комплексный и в его основу были положены: группа стандартов ISO/IEC (например, такие, как ISO/IEC 17799-1:2005, ISO/IEC 18028-1:2006, ISO/IEC 18043, ISO/IEC TR 18044-2004 и т. д.); стандарт COBIT; методологии анализа и управления рисками OCTAVE и CRAMM; ГОСТы и т.д.

История формирования стандарта ISO/IEC 27001:2005

Стандарт ISO/IEC 27001:2005 берет свое начало из Британского государственного стандарта BS 7799, который был разработан в 1995 году Британским институтом стандартов в сотрудничестве с другими организациями.

В 1999 году первая часть стандарта BS 7799 была передана в Международную организацию по стандартизации ISO и в 2000 году впервые утверждена в качестве международного стандарта как ISO/IEC 17799:2000 (BS 7799-1:2000) [4]. Следующей его версией стал стандарт ISO/IEC 17799:2005. В России экспертами в области управления информационной безопасностью стандарт ISO/IEC 17799 начал активно применяться на практике начиная с 2001–2002 годов [5].

В том же 1999 году выходит в свет вторая часть стандарта BS 7799 — BS 7799-2:1999 Information Security Management — Specification for ISMS (ISMS — Information Security Management System).

В 2002 году стандарт совершенствуется и выпускается его новая редакция — BS 7799-2:2002. На ее основе 14 октября 2005 года принимается стандарт ISO/IEC 27001:2005 (см. рис. 1).

В 2007 году ожидается развитие серии стандартов 27000 и выход стандарта ISO/IEC 27002, который сменит ISO/IEC 17799:2005.

Необходимо отметить, что с практической точки зрения стандарт ISO/IEC 27001:2005 не просто выдвигает требования к разработке, внедрению и совершенствованию СУИБ, но и является сертификационным стандартом, что, несомненно, делает его более привлекательным как для специалистов по информационной безопасности, так и для организации в целом.

Но нельзя также забывать и о том, что при разработке и внедрении корпоративной СУИБ целесообразно использовать другие государственные или отраслевые стандарты, например, такой, как ГОСТ Р ИСО/МЭК 17799 «Информационные технологии. Методы и средства обеспечения защиты. Свод практических рекомендаций для менеджмента защиты информации», принятый в конце сентября 2006 года, или его международный аналог ISO/IEC 17799:2005. Какие конкурентные преимущества дает внедрение СУИБ и сертификация на соответствие стандарту ISO/IEC 27001:2005?

Для бизнеса, в целом, можно выделить следующие преимущества:

  • повышение управляемости и надежности;
  • повышение защищенности ключевых бизнес-процессов;
  • повышение доверия к организации со стороны контрагентов;
  • подтверждение прозрачности;
  • упрощение процедуры выхода на внешние рынки (при наличии сертификата, выданного BSI Management Systems [BSI — British Standards Institution. С момента своего создания в 1901 году организация BSI превратилась в глобальную сеть, состоящую из дочерних компаний, предоставляющих многочисленные услуги по стандартизации и сертификации продукции и систем менеджмента BSI Inc. (фирменное наименование BSI Management Systems). BSI Management Systems Russia — представительство BSI на территории СНГ с 2004 года]);
  • повышение авторитета организации как на внутреннем, так и на внешних рынках;
  • повышение доходности и капитализации.

Для структурных подразделений организации, таких, как подразделения информационных технологий и службы безопасности, это:

  • систематизация процессов обеспечения ИБ;
  • расстановка приоритетов в сфере ИБ;
  • управление ИБ в рамках единой корпоративной политики;
  • своевременное выявление и управление рисками;
  • снижение рисков от внешних и внутренних угроз;
  • оптимизация управленческих процессов;
  • повышение эффективности функционирования СУИБ и защищенности информационных систем.

Основные мероприятия, выполняемые при организации СУИБ и регламентируемые ISO/IEC 27001:2005

Выполнение требований ISO/IEC 27001:2005 позволяет организациям формализовать и структурировать процессы управления информационной безопасностью по следующим направлениям:

  • разработка политики безопасности;
  • организация информационной безопасности;
  • организация управления внутренними активами и ресурсами, составляющими основу ключевых бизнес-процессов;
  • защита персонала и снижение внутренних угроз;
  • физическая безопасность и безопасность окружающей среды;
  • управление средствами связи и эксплуатацией оборудования;
  • управление и контроль доступа;
  • разработка и обслуживание аппаратно-программных систем;
  • управление непрерывностью бизнес-процессов;
  • соответствие требованиям стандарта и соблюдение правовых норм по безопасности.

Цели и комплексы мероприятий стандарта ISO/IEC 27001:2005 по каждому из направлений работ заимствованы из стандарта ISO/IEC 17799:2005 (разделы 5–15) и перечислены в его Приложении А — Control objectives and controls. Основные этапы работ по созданию СУИБ

Построение корпоративной СУИБ — это сложный, многоэтапный, циклический организационно-технологический процесс. Исходя из опыта реализации проектов разработки СУИБ, внедрение данного стандарта целесообразно осуществлять в несколько последовательных этапов (см. рис. 2).

Далее мы подробно рассмотрим каждый из этапов. Требования к консалтинговым компаниям

Наиболее ответственный этап — выбор консалтинговой компании, который определяет успех не только в получении сертификата BSI, но и успех собственного дальнейшего развития. Компания, которая будет выполнять аудит у заказчика, должна отвечать следующим базовым требованиям:

    наличие опыта аудита и реализации проектов;
  • наличие высокого партнерского статуса, который определяется опытом и качеством выполненных проектов, возможными отзывами клиентов и деловых партнеров;
  • наличие собственных комплексных методик аудита, построения СУИБ, анализа и управления рисками и т. д., которые бы включали в себя не только директивы ISO в области ИБ, но и были бы расширены за счет использования других стандартов и методик;
  • наличие специалистов, прошедших подготовку на специализированных курсах по проведению аудита организаций на соответствие СУИБ требованиям стандарта ISO/IEC 27001:2005;
  • наличие команды сертифицированных специалистов по различным направлениям информационных технологий, входящих в группу аудиторов или аналитиков.

Хорошим тоном считается, когда консалтинговая компания пользуется поддержкой сертифицирующей компании, например, BSI Management Systems.

На наш взгляд, у консалтинговой компании не должно быть центра поддержки, работающего в круглосуточном режиме. Это обусловлено тем, что СУИБ является закрытой внутренней системой, регулируемой и поддерживаемой, прежде всего, группой специалистов организации, эксплуатирующей СУИБ. В связи с этим удаленный мониторинг состояния средств защиты информации со стороны консалтинговой компании является недопустимым. Цель, задачи и регламент аудиторской проверки

Началом разработки СУИБ является аудит организации на соответствие положениям ISO/IEC 27001:2005. Многие руководители организаций считают этот этап необязательным, говоря: «Зачем нам аудит, когда и так очевидно, что у нас все плохо?!» Однако в организации, как правило, несмотря на столь пессимистичный вывод, существуют разного рода положения, инструкции и иные организационно-распорядительные документы, которые регламентируют работу структурных подразделений. Аудит позволяет выявить и систематизировать такие документы в соответствии с требованиями ISO/IEC 27001:2005. После этого можно определить направления работ по созданию системы управления информационной безопасностью организации.

Основная цель аудита — объективно оценить состояние существующей системы управления информационной безопасностью и ее адекватность целям и задачам бизнеса, после чего разработать рекомендации по совершенствованию имеющейся СУИБ либо построению и внедрению новой.

Во время выполнения аудиторских работ консалтинговая компания решает следующие основные задачи:

    анализ структуры организации;
  • анализ защищаемой области деятельности и организационно-распорядительных документов;
  • анализ структуры и функциональных особенностей, используемых информационных технологий автоматизированной системы сбора, обработки, передачи и хранения информации;
  • проверка выполнения требований ISO/IEC 27001:2005 к СУИБ;
  • разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению для создания, построения или совершенствования СУИБ.

В большинстве случаев решение данных задач выполняется в четыре основных этапа:

Планирование мероприятий по аудиту. На данном этапе специалистами аудиторской компании осуществляется сбор организационно-распорядительных документов, отраслевых стандартов, недокументированных проектных решений и других рабочих материалов, касающихся вопросов создания системы управления информационной безопасностью и информационных систем организации, способствующих использованию механизмов и средств обеспечения информационной безопасности. Разработка, согласование и утверждение планов мероприятий по аудиту.

Проверка на соответствие ISO/IEC 27001:2005. Этот этап включает: определение области деятельности и ключевые бизнес-процессы организации, которые необходимо защитить в первую очередь; проведение анкетирования и интервьюирования сотрудников организации, анализ организационно-распорядительных и нормативных документов и анализ информационной безопасности на соответствие ISO/IEC 27001:2005.

Оценка рисков информационной безопасности. Аналитический и инструментальный анализ локальной вычислительной сети и информационных ресурсов организации. Проведение консультаций со специалистами, оценка соответствия фактического уровня безопасности информации и анализ рисков.

Систематизация результатов обследования и формирование отчетности. Предоставление итогового отчета руководству организации.

Создание и (или) внедрение СУИБ в организации

После выполнения аудиторских работ организация-заказчик приступает совместно с консалтинговой компанией к разработке, внедрению или совершенствованию системы управления информационной безопасностью.

При этом предполагается решение следующих основных задач:

  • анализ структуры организации, функциональных особенностей построения бизнес-процессов и используемых в них информационных технологий. Определение защищаемой области деятельности организации;
  • идентификация, систематизация и определение ценности активов организации;
  • анализ рисков ИБ, определение возможных путей их реализации (несанкционированных воздействий на подсистемы и бизнес-процессы организации), категорирование рисков по степени критичности. Оценка возможного ущерба от реализации угроз. Расчет эффективности внедрения комплексных мероприятий по снижению рисков;
  • разработка Политики информационной безопасности организации;
  • разработка Процедуры по снижению рисков;
  • разработка Положения о применимости контролей — комплексов мероприятий информационной безопасности в соответствии с Приложением А стандарта ISO/IEC 27001:2005;
  • разработка и внедрение СУИБ;
  • разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению режима информационной безопасности организации;
  • анализ и оценка результатов внедрения СУИБ.

Рассмотрим основные этапы работ по построению и внедрению СУИБ организации [В зависимости от специфики работы, защищаемой области деятельности компании и числа сотрудников количество этапов и их детализация могут изменяться]:

  • Планирование и подготовка планов мероприятий. На данном этапе осуществляется сбор организационно-распорядительных документов и других рабочих материалов, касающихся вопросов построения и функционирования информационных систем организации, планируемых к использованию механизмов и средств обеспечения информационной безопасности, а также осуществляется разработка, согласование и утверждение планов мероприятий по этапам работ и утверждение их у руководства организации.
  • Проверка на соответствие ISO/IEC 27001:2005. Проведение интервьюирования и анкетирования менеджеров и сотрудников различных подразделений организации. Анализ СУИБ организации на соответствие требованиям стандарта ISO/IEC 27001:2005.
  • Анализ нормативных и организационно-распорядительных документов (ОРД). Анализ ОРД осуществляется исходя из организационной структуры. После этого уточняется или выполняется определение защищаемой области деятельности (ОД) и разрабатывается эскиз политики информационной безопасности организации.
  • Анализ и оценка рисков ИБ. Разработка методики по анализу и управлению рисками организации. Аналитический и инструментальный анализ локальной вычислительной сети и информационных ресурсов организации, с целью выявления угроз и уязвимостей защищаемых активов ОД. Инвентаризация активов. Проведение консультаций со специалистами организации и оценка соответствия фактического уровня безопасности. Расчет рисков, определение текущего и допустимого уровня риска для каждого конкретного актива. Ранжирование рисков, выбор комплексов мероприятий (контролей) по их снижению и расчет теоретической эффективности внедрения.
  • Разработка и реализация планов мероприятий. Разработка Положения о применимости контролей в соответствии с ISO/IEC 27001:2005. Разработка Плана обработки и устранения рисков. Подготовка отчетов для руководителя организации.
  • Разработка нормативных и организационно-распорядительных документов. Разработка и утверждение окончательной Политики информационной безопасности и соответствующих ей положений. Разработка стандартов, процедур и инструкций, обеспечивающих нормальное и стабильное функционирование и эксплуатацию СУИБ.
  • Реализация и оценка эффективности проведения комплексных мероприятий по снижению рисков ИБ, в соответствии с утвержденным руководителем Планом обработки и устранения рисков.
  • Обучение персонала. Разработка планов мероприятий и внедрение программ по обучению и повышению компетенции сотрудников организации с целью эффективного донесения принципов информационной безопасности для всех руководителей и сотрудников, и в первую очередь для тех из них, структурные подразделения которых участвуют в обеспечении ключевых бизнес-процессов.
  • Систематизация результатов обследования и подготовка отчетности. Представление результатов работ для руководителей организации. Подготовка документов на лицензирование на соответствие ISO/IEC 27001:2005 и передача их в сертифицирующую организацию.
  • Анализ и оценка результатов внедрения СУИБ (осуществляется на основании методики оценки надежности функционирования СУИБ). Разработка рекомендаций по совершенствованию СУИБ.

Стоит подчеркнуть, что этап повторного аудита после создания корпоративной СУИБ не является обязательным, но вполне целесообразным перед сертификацией с целью уточнения выполнения требований стандарта и рекомендаций консалтинговой компании. Процедура сертификации СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2005

Последний этап формирования СУИБ — сертификация на соответствие требованиям международного стандарта ISO/IEC 27001:2005.

Существует несколько уполномоченных организаций, которые имеют право выдачи сертификатов соответствия, такие, как BSI Management Systems, Japan Quality Assurance Organization (JQA), DNV Certification US (подразделение Det Norske Veritas) и т. д.

В частности, процедура сертификации в BSI по ISO/IEC 27001:2005 достаточно проста.

После трех-шести месяцев эксплуатации СУИБ организация-заказчик подает заявку на сертификацию в BSI Management Systems.

После утверждения заявки BSI присылает аудиторов для изучения документации с целью выявления слабых мест в системе управления, и если таковых не обнаружено, проводит сертификационный аудит в организации, представляя график проведения аудита и сметы.

При успешном завершении аудита BSI Management Systems выдает сертификат сроком на 3 года.

Литература:

[1] Есауленко А. Часовые информационных ресурсов//Журнал «Сети». 2003. № 18. http://old.osp.ru/nets/2003/18/008_1.htm
[2] Панасенко Е. Законодательство и регулирование отрасли ИБ. http://www.cnews.ru/reviews/free/security2006/articles/legislation
[3] Петросян Е. Р., Якимов О. С. Состояние и перспективы развития нормативного обеспечения информационной безопасности. http://www.infoforum.ru/?pag=18&pagedetail=164
[4] Горобец Н. И. BSI и BS 7799 — взгляд разработчиков//Журнал «Защита информации. Inside». 2005. № 2. С. 28–31 http://www.bsi-russia.com/About/News/kBSI_I.pdf
[5] Медведовский И. ISO 17799: Эволюция стандарта в период 2002–2005. http://www.dsec.ru/about/articles/iso17799_evolution

Назад
Обратный звонок
Мне можно звонить с до
Перезвоните мне
Обратная связь
Отправить!
Оставить отзыв
Отправить!