Этапы внедрения стандарта ИСО МЭК 27001

Этап

Первый этап разработки СУИБ - аудит компании на соответствие положениям ISO/IEC 27001:2005.

Главная цель аудита - объективно оценить состояние действующей системы управления ИБ компании, ее адекватность целям и задачам бизнеса, а также разработать рекомендации по построению, внедрению и совершенствованию СУИБ.

Во время аудиторских работ решаются следующие основные задачи:

- анализ структуры организации;

- анализ защищаемой области деятельности компании и организационно-распорядительных документов;

- анализ структуры и функциональных особенностей используемых ИТ, в частности автоматизированной системы сбора, обработки, передачи и хранения информации;

- проверка выполнения требований ISO/IEC 27001:2005 к СУИБ;

- разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению для создания, построения и совершенствования СУИБ.

В большинстве случаев решение перечисленных задач выполняется в четыре этапа.

Этап 1. Планирование мероприятий по аудиту. На данном этапе собирают организационно-распорядительные документы, отраслевые стандарты, недокументированные проектные решения и другие рабочие материалы, которые могут иметь непосредственное отношение к созданию системы управления ИБ и информационных систем компании, способствующих использованию механизмов и средств обеспечения ИБ. Этот же этап включает разработку, согласование и утверждение планов мероприятий по аудиту.

Этап 2. Проверка на соответствие ISO/IEC 27001:2005: определение области деятельности и ключевых бизнес-процессов компании, которые необходимо защитить в первую очередь; анкетирование и интервьюирование сотрудников компании (разных уровней); анализ организационно-распорядительных и нормативных документов; анализ ИБ на соответствие ISO/IEC 27001:2005.

Этап 3. Оценка рисков ИБ - аналитический и инструментальный анализ информационных ресурсов компании; оценка соответствия фактического и необходимого уровня безопасности информации; анализ рисков.

Этап 4. Систематизация результатов обследования и формирование отчетности. Предоставление итогового отчета руководству компании.

Этап-3 Этап

После выполнения аудиторских работ приступают к разработке, внедрению (или совершенствованию) системы управления информационной безопасностью.

Основные задачи этого этапа:

- анализ структуры компании, функциональных особенностей построения бизнес-процессов и используемых в них ИТ. Определение защищаемой области деятельности компании;

- систематизация и определение ценности активов компании, т. е составление перечня активов с указанием их собственника, места размещения, ответственного и т. д.;

- анализ рисков ИБ, определение возможных путей их реализации, классификация рисков по степени критичности, оценка вероятного ущерба от реализации угроз, расчет эффективности внедрения комплексных мероприятий по снижению рисков;

- разработка политики ИБ компании;

- определение процедур по снижению рисков;

- создание положения о применимости комплекса мероприятий по созданию СУИБ;

- разработка и внедрение СУИБ;

- разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению режима ИБ в организации;

- анализ и оценка результатов внедрения СУИБ.

Рассмотрим основные этапы работ по построению и внедрению СУИБ в компании.

Этап 1. Подготовка планов мероприятий. На данном этапе специалисты осуществляют сбор организационно-распорядительных документов и других рабочих материалов, касающихся построения и функционирования информационных систем компании, планируемых к использованию механизмов и средств обеспечения ИБ. Кроме того, составляются, согласуются и утверждаются у руководства компании планы мероприятий по этапам работ.

Этап 2. Проверка на соответствие ISO/IEC 27001:2005. Интервьюирование и анкетирование менеджеров и сотрудников подразделений. Анализ СУИБ компании на соответствие требованиям стандарта ISO/IEC 27001:2005.

Этап 3. Анализ нормативных и организационно-распорядительных документов (ОРД), опирающихся на организационную структуру компании. По его результатам определяется защищаемая ОД и разрабатывается эскиз политики ИБ компании.

Этап 4. Анализ и оценка рисков ИБ.

Инвентаризация активов

Прежде всего, необходимо определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:

· информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);

· программное обеспечение;

· материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);

· сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);

· сотрудники компании, их квалификация и опыт;

· нематериальные ресурсы (репутация и имидж компании).

Инвентаризация заключается в составлении перечня ценных активов компании.

Оценка критичности активов

Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов.

Оценку критичности активов можно выполнять в денежных единица и в уровнях.

Принципы оценки критичности каждого указанного актива:

· информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия;

· программное обеспечение, материальные ресурсы и сервисы оцениваются с точки зрения их доступности или работоспособности.

· сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию.

· репутация компании оценивается в связи с информационными ресурсами.

Оценка информационных рисков

Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.

Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым. Т.е. компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.

Уклонение от рисков - это полное устранение источника риска.

Передача рисков - перенесение ответственности за риск на третьи лица (например, поставщику оборудования или страховой компании) без устранения источника риска.

Снижение рисков - это выбор и внедрение мер по снижению вероятности нанесения ущерба.

В процессе обработки рисков сначала требуется определить, какие риски требуют дальнейшей обработки, а какие можно принять.

По результатам оценки и обработки рисков разрабатывается Положение о применимости.Наличие этого документа обязательно для прохождения сертификации.

В Приложении А к стандарту ISO 27001 перечислены все требования к обеспечению безопасности, которые должны выполняться в компании. Положение о применимости является итоговым решением относительно снижения информационных рисков компании.

Этап 5. Разработка и реализация планов мероприятий по ИБ. Разработка положения о применимости контроля в соответствии с ISO/IEC 27001:2005. Разработка плана учета и устранения рисков. Подготовка отчетов для руководителя компании.

Этап 6. Разработка нормативных и организационно-распорядительных документов. Разработка и утверждение окончательной политики ИБ и соответствующих ей положений (подполитик). Разработка стандартов, процедур и инструкций, обеспечивающих нормальное функционирование и эксплуатацию СУИБ компании.

Стандарт требует, чтобы все меры по снижению рисков были документально зафиксированы. Документированные процедуры являются обязательным элементом системы управления ИБ. Следовательно, в рамках системы управления необходимо разработать базу нормативных документов, описывающих все процедуры в области ИБ.

Основными документами по управлению ИБ являются

• Политика управления информационной безопасностью
• Политика информационной безопасности.
• Методики и инструкции,
• Процедуры обеспечения ИБ и управления ею.
• Регламент обеспечения физической безопасности.

Этап 7. Внедрение комплексных мероприятий по снижению рисков ИБ и оценка их эффективности в соответствии с утвержденным руководством планом обработки и устранения рисков.

Этап 8. Обучение персонала. Разработка планов мероприятий и внедрение программ по обучению и повышению компетенции сотрудников компании с целью эффективного донесения принципов ИБ до всех сотрудников и в первую очередь тех, кто работает в структурных подразделениях, обеспечивающих ключевые бизнес-процессы.

Обучение сотрудников можно выполнять в форме очных и заочных курсов с последующим тестированием, целесообразно организовать обучение сотрудников с помощью системы дистанционного обучения, в рамках которой могут быть представлены различные курсы (как для пользователей, так и для специалистов), игровые методики обучения, тестирование.

Этап 9. Формирование отчетности. Систематизация результатов обследования и подготовка отчетности. Представление результатов работ для руководителей компании. Подготовка документов к лицензированию на соответствие ISO/IEC 27001:2005 и передача их в сертифицирующую организацию.

Этап 10. Анализ и оценка результатов внедрения СУИБ на основании методики, оценивающей надежность функционирования СУИБ компании. Разработка рекомендаций по совершенствованию системы управления ИБ компании.

Основная сложность может заключаться в проверке эффективности процедур системы управления ИБ. Т.е. для каждой процедуры необходимо разработать критерии, по которым будет проверяться ее эффективность, и, кроме этого, такие критерии требуется разработать для всей системы управления в целом.

Критериями оценки эффективности системы управления ИБ могут быть, например, изменение количества инцидентов ИБ, квалификация пользователей в области ИБ и пр.

Этап

Повторный аудит после создания СУИБ не является обязательным, но провести его перед сертификацией целесообразно, чтобы уточнить, как выполняются требования стандарта.

Этап

После трех - шести месяцев эксплуатации СУИБ компания-заказчик может подать заявку на сертификацию СУИБ.

Сертификация систем менеджмента защиты информации по ISO/IEC 27001 (ИСО/МЭК 27001) производится по следующим этапам:

1. Подача заявки для сертификации

2. Заключение договора на сертификацию

3. Проверка документов СМЗИ на предмет соответствие требованиям ISO/IEC 27001 (ИСО/МЭК 27001)

4. Планирование предварительного аудита

5. Предварительный аудит

6. Организация-заявитель исправляет ошибки, выявленные по результатам предварительного аудита

7. Планирование сертификационного аудита

8. Сертификационный аудит

9. Составление отчета группой аудита

10. Организация - заявитель исправляет ошибки, выявленные в ходе аудита

11. Выдача сертификата ISO/IEC 27001 (ИСО/МЭК 27001)