Опубликовано в журнале "CIO" №2 от 21 февраля 2007 года
Начиная с октября 2005 года на российском рынке информационной безопасности все большую известность при построении корпоративной системы управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC [IEC — the International Electrotechnical Commission] 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
Это происходит по нескольким причинам: c одной стороны, российские организации становятся более зрелыми и компетентными участниками как внутреннего, так и внешних рынков. К определяющим факторам таких изменений можно отнести процедуру постепенного вхождения России во Всемирную торговую организацию и желание крупных компаний выйти на фондовые рынки, разместив свои акции на международных биржах.
С другой стороны, вырос уровень сервиса большинства консалтинговых компаний, которые предлагают свои услуги в области построения корпоративной системы управления информационной безопасностью на базе ISO/IEC 27001:2005 с последующей сертификацией.
И, несомненно, сыграли свою роль позитивные изменения, которые произошли в законодательстве Российской Федерации за последние несколько лет [1, 2, 3]. Так, в 2002 году Правительством РФ была утверждена «Программа комплексной стандартизации в области защиты информации на 2002 — 2010 годы», предусматривающая разработку 38 ГОСТ Р. Кроме того, Федеральная служба по техническому и экспортному контролю, лицензирующая деятельность по защите информации и занимающаяся сертификацией средств защиты информации, вводит в действие комплексный стандарт ГОСТ ИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», который был разработан на базе международного стандарта ISO/IEC 15408 «The common criteria for information technology security evaluation». Наконец, 28 июня 2006 года Государственной Думой был принят законопроект «Об информации, информационных технологиях и о защите информации».
За 2006 год консалтинговыми компаниями разработаны СУИБ в соответствии с требованиями международного стандарта ISO/IEC 27001:2005 для множества организаций — как крупных, так и небольших, где число сотрудников не превышает пятидесяти человек.
Выполнение подобных проектов способствовало расширению представления о том, как должна строиться полноценная СУИБ, помогло усовершенствовать методики реализации процедур аудита, разработки и внедрения СУИБ, а также анализа рисков. В данной статье мы рассмотрим и постараемся дать ответы на наиболее актуальные вопросы, возникающие как у менеджеров организаций, так и у технических специалистов в процессе ознакомления со стандартом ISO/IEC 27001:2005 и при построении СУИБ на его основе. Стандарт ISO/IEC 27001:2005 в общей системе государственных стандартов и технических регламентов РФ
За последние два-три года все более заметными становятся изменения в области формирования и совершенствования законодательства и, что немаловажно, положительная тенденция в отношении принятия основных положений международных стандартов в качестве основы для разработки стандартов государственных:
Федеральным агентством по техническому регулированию и метрологии были разработаны следующие государственные стандарты РФ, в которых есть ссылки на международный стандарт ISO/IEC 27001:2005: ГОСТ Р ИСО/МЭК 27001 «Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (стандарт утвержден 31.12.2006 года) и стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Необходимо отметить, что стандарт ЦБ России комплексный и в его основу были положены: группа стандартов ISO/IEC (например, такие, как ISO/IEC 17799-1:2005, ISO/IEC 18028-1:2006, ISO/IEC 18043, ISO/IEC TR 18044-2004 и т. д.); стандарт COBIT; методологии анализа и управления рисками OCTAVE и CRAMM; ГОСТы и т.д.
История формирования стандарта ISO/IEC 27001:2005
Стандарт ISO/IEC 27001:2005 берет свое начало из Британского государственного стандарта BS 7799, который был разработан в 1995 году Британским институтом стандартов в сотрудничестве с другими организациями.
В 1999 году первая часть стандарта BS 7799 была передана в Международную организацию по стандартизации ISO и в 2000 году впервые утверждена в качестве международного стандарта как ISO/IEC 17799:2000 (BS 7799-1:2000) [4]. Следующей его версией стал стандарт ISO/IEC 17799:2005. В России экспертами в области управления информационной безопасностью стандарт ISO/IEC 17799 начал активно применяться на практике начиная с 2001–2002 годов [5].
В том же 1999 году выходит в свет вторая часть стандарта BS 7799 — BS 7799-2:1999 Information Security Management — Specification for ISMS (ISMS — Information Security Management System).
В 2002 году стандарт совершенствуется и выпускается его новая редакция — BS 7799-2:2002. На ее основе 14 октября 2005 года принимается стандарт ISO/IEC 27001:2005 (см. рис. 1).
В 2007 году ожидается развитие серии стандартов 27000 и выход стандарта ISO/IEC 27002, который сменит ISO/IEC 17799:2005.
Необходимо отметить, что с практической точки зрения стандарт ISO/IEC 27001:2005 не просто выдвигает требования к разработке, внедрению и совершенствованию СУИБ, но и является сертификационным стандартом, что, несомненно, делает его более привлекательным как для специалистов по информационной безопасности, так и для организации в целом.
Но нельзя также забывать и о том, что при разработке и внедрении корпоративной СУИБ целесообразно использовать другие государственные или отраслевые стандарты, например, такой, как ГОСТ Р ИСО/МЭК 17799 «Информационные технологии. Методы и средства обеспечения защиты. Свод практических рекомендаций для менеджмента защиты информации», принятый в конце сентября 2006 года, или его международный аналог ISO/IEC 17799:2005. Какие конкурентные преимущества дает внедрение СУИБ и сертификация на соответствие стандарту ISO/IEC 27001:2005?
Для бизнеса, в целом, можно выделить следующие преимущества:
Для структурных подразделений организации, таких, как подразделения информационных технологий и службы безопасности, это:
Основные мероприятия, выполняемые при организации СУИБ и регламентируемые ISO/IEC 27001:2005
Выполнение требований ISO/IEC 27001:2005 позволяет организациям формализовать и структурировать процессы управления информационной безопасностью по следующим направлениям:
Цели и комплексы мероприятий стандарта ISO/IEC 27001:2005 по каждому из направлений работ заимствованы из стандарта ISO/IEC 17799:2005 (разделы 5–15) и перечислены в его Приложении А — Control objectives and controls. Основные этапы работ по созданию СУИБ
Построение корпоративной СУИБ — это сложный, многоэтапный, циклический организационно-технологический процесс. Исходя из опыта реализации проектов разработки СУИБ, внедрение данного стандарта целесообразно осуществлять в несколько последовательных этапов (см. рис. 2).
Далее мы подробно рассмотрим каждый из этапов. Требования к консалтинговым компаниям
Наиболее ответственный этап — выбор консалтинговой компании, который определяет успех не только в получении сертификата BSI, но и успех собственного дальнейшего развития. Компания, которая будет выполнять аудит у заказчика, должна отвечать следующим базовым требованиям:
Хорошим тоном считается, когда консалтинговая компания пользуется поддержкой сертифицирующей компании, например, BSI Management Systems.
На наш взгляд, у консалтинговой компании не должно быть центра поддержки, работающего в круглосуточном режиме. Это обусловлено тем, что СУИБ является закрытой внутренней системой, регулируемой и поддерживаемой, прежде всего, группой специалистов организации, эксплуатирующей СУИБ. В связи с этим удаленный мониторинг состояния средств защиты информации со стороны консалтинговой компании является недопустимым. Цель, задачи и регламент аудиторской проверки
Началом разработки СУИБ является аудит организации на соответствие положениям ISO/IEC 27001:2005. Многие руководители организаций считают этот этап необязательным, говоря: «Зачем нам аудит, когда и так очевидно, что у нас все плохо?!» Однако в организации, как правило, несмотря на столь пессимистичный вывод, существуют разного рода положения, инструкции и иные организационно-распорядительные документы, которые регламентируют работу структурных подразделений. Аудит позволяет выявить и систематизировать такие документы в соответствии с требованиями ISO/IEC 27001:2005. После этого можно определить направления работ по созданию системы управления информационной безопасностью организации.
Основная цель аудита — объективно оценить состояние существующей системы управления информационной безопасностью и ее адекватность целям и задачам бизнеса, после чего разработать рекомендации по совершенствованию имеющейся СУИБ либо построению и внедрению новой.
Во время выполнения аудиторских работ консалтинговая компания решает следующие основные задачи:
В большинстве случаев решение данных задач выполняется в четыре основных этапа:
Планирование мероприятий по аудиту. На данном этапе специалистами аудиторской компании осуществляется сбор организационно-распорядительных документов, отраслевых стандартов, недокументированных проектных решений и других рабочих материалов, касающихся вопросов создания системы управления информационной безопасностью и информационных систем организации, способствующих использованию механизмов и средств обеспечения информационной безопасности. Разработка, согласование и утверждение планов мероприятий по аудиту.
Проверка на соответствие ISO/IEC 27001:2005. Этот этап включает: определение области деятельности и ключевые бизнес-процессы организации, которые необходимо защитить в первую очередь; проведение анкетирования и интервьюирования сотрудников организации, анализ организационно-распорядительных и нормативных документов и анализ информационной безопасности на соответствие ISO/IEC 27001:2005.
Оценка рисков информационной безопасности. Аналитический и инструментальный анализ локальной вычислительной сети и информационных ресурсов организации. Проведение консультаций со специалистами, оценка соответствия фактического уровня безопасности информации и анализ рисков.
Систематизация результатов обследования и формирование отчетности. Предоставление итогового отчета руководству организации.
Создание и (или) внедрение СУИБ в организации
После выполнения аудиторских работ организация-заказчик приступает совместно с консалтинговой компанией к разработке, внедрению или совершенствованию системы управления информационной безопасностью.
При этом предполагается решение следующих основных задач:
Рассмотрим основные этапы работ по построению и внедрению СУИБ организации [В зависимости от специфики работы, защищаемой области деятельности компании и числа сотрудников количество этапов и их детализация могут изменяться]:
Стоит подчеркнуть, что этап повторного аудита после создания корпоративной СУИБ не является обязательным, но вполне целесообразным перед сертификацией с целью уточнения выполнения требований стандарта и рекомендаций консалтинговой компании. Процедура сертификации СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2005
Последний этап формирования СУИБ — сертификация на соответствие требованиям международного стандарта ISO/IEC 27001:2005.
Существует несколько уполномоченных организаций, которые имеют право выдачи сертификатов соответствия, такие, как BSI Management Systems, Japan Quality Assurance Organization (JQA), DNV Certification US (подразделение Det Norske Veritas) и т. д.
В частности, процедура сертификации в BSI по ISO/IEC 27001:2005 достаточно проста.
После трех-шести месяцев эксплуатации СУИБ организация-заказчик подает заявку на сертификацию в BSI Management Systems.
После утверждения заявки BSI присылает аудиторов для изучения документации с целью выявления слабых мест в системе управления, и если таковых не обнаружено, проводит сертификационный аудит в организации, представляя график проведения аудита и сметы.
При успешном завершении аудита BSI Management Systems выдает сертификат сроком на 3 года.
Литература:
[1] Есауленко А. Часовые информационных ресурсов//Журнал «Сети». 2003. № 18. http://old.osp.ru/nets/2003/18/008_1.htm
[2] Панасенко Е. Законодательство и регулирование отрасли ИБ. http://www.cnews.ru/reviews/free/security2006/articles/legislation
[3] Петросян Е. Р., Якимов О. С. Состояние и перспективы развития нормативного обеспечения информационной безопасности. http://www.infoforum.ru/?pag=18&pagedetail=164
[4] Горобец Н. И. BSI и BS 7799 — взгляд разработчиков//Журнал «Защита информации. Inside». 2005. № 2. С. 28–31 http://www.bsi-russia.com/About/News/kBSI_I.pdf
[5] Медведовский И. ISO 17799: Эволюция стандарта в период 2002–2005. http://www.dsec.ru/about/articles/iso17799_evolution