Этап
Первый этап разработки СУИБ - аудит компании на соответствие положениям ISO/IEC 27001:2005.
Главная цель аудита - объективно оценить состояние действующей системы управления ИБ компании, ее адекватность целям и задачам бизнеса, а также разработать рекомендации по построению, внедрению и совершенствованию СУИБ.
Во время аудиторских работ решаются следующие основные задачи:
- анализ структуры организации;
- анализ защищаемой области деятельности компании и организационно-распорядительных документов;
- анализ структуры и функциональных особенностей используемых ИТ, в частности автоматизированной системы сбора, обработки, передачи и хранения информации;
- проверка выполнения требований ISO/IEC 27001:2005 к СУИБ;
- разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению для создания, построения и совершенствования СУИБ.
В большинстве случаев решение перечисленных задач выполняется в четыре этапа.
Этап 1. Планирование мероприятий по аудиту. На данном этапе собирают организационно-распорядительные документы, отраслевые стандарты, недокументированные проектные решения и другие рабочие материалы, которые могут иметь непосредственное отношение к созданию системы управления ИБ и информационных систем компании, способствующих использованию механизмов и средств обеспечения ИБ. Этот же этап включает разработку, согласование и утверждение планов мероприятий по аудиту.
Этап 2. Проверка на соответствие ISO/IEC 27001:2005: определение области деятельности и ключевых бизнес-процессов компании, которые необходимо защитить в первую очередь; анкетирование и интервьюирование сотрудников компании (разных уровней); анализ организационно-распорядительных и нормативных документов; анализ ИБ на соответствие ISO/IEC 27001:2005.
|
Этап 3. Оценка рисков ИБ - аналитический и инструментальный анализ информационных ресурсов компании; оценка соответствия фактического и необходимого уровня безопасности информации; анализ рисков.
Этап 4. Систематизация результатов обследования и формирование отчетности. Предоставление итогового отчета руководству компании.
Этап-3 Этап
После выполнения аудиторских работ приступают к разработке, внедрению (или совершенствованию) системы управления информационной безопасностью.
Основные задачи этого этапа:
- анализ структуры компании, функциональных особенностей построения бизнес-процессов и используемых в них ИТ. Определение защищаемой области деятельности компании;
- систематизация и определение ценности активов компании, т. е составление перечня активов с указанием их собственника, места размещения, ответственного и т. д.;
- анализ рисков ИБ, определение возможных путей их реализации, классификация рисков по степени критичности, оценка вероятного ущерба от реализации угроз, расчет эффективности внедрения комплексных мероприятий по снижению рисков;
- разработка политики ИБ компании;
- определение процедур по снижению рисков;
- создание положения о применимости комплекса мероприятий по созданию СУИБ;
- разработка и внедрение СУИБ;
- разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению режима ИБ в организации;
|
- анализ и оценка результатов внедрения СУИБ.
Рассмотрим основные этапы работ по построению и внедрению СУИБ в компании.
Этап 1. Подготовка планов мероприятий. На данном этапе специалисты осуществляют сбор организационно-распорядительных документов и других рабочих материалов, касающихся построения и функционирования информационных систем компании, планируемых к использованию механизмов и средств обеспечения ИБ. Кроме того, составляются, согласуются и утверждаются у руководства компании планы мероприятий по этапам работ.
Этап 2. Проверка на соответствие ISO/IEC 27001:2005. Интервьюирование и анкетирование менеджеров и сотрудников подразделений. Анализ СУИБ компании на соответствие требованиям стандарта ISO/IEC 27001:2005.
Этап 3. Анализ нормативных и организационно-распорядительных документов (ОРД), опирающихся на организационную структуру компании. По его результатам определяется защищаемая ОД и разрабатывается эскиз политики ИБ компании.
Этап 4. Анализ и оценка рисков ИБ.
Инвентаризация активов
Прежде всего, необходимо определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:
· информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
· программное обеспечение;
|
· материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
· сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);
· сотрудники компании, их квалификация и опыт;
· нематериальные ресурсы (репутация и имидж компании).
Инвентаризация заключается в составлении перечня ценных активов компании.
Оценка критичности активов
Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов.
Оценку критичности активов можно выполнять в денежных единица и в уровнях.
Принципы оценки критичности каждого указанного актива:
· информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия;
· программное обеспечение, материальные ресурсы и сервисы оцениваются с точки зрения их доступности или работоспособности.
· сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию.
· репутация компании оценивается в связи с информационными ресурсами.
Оценка информационных рисков
Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.
Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым. Т.е. компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Уклонение от рисков - это полное устранение источника риска.
Передача рисков - перенесение ответственности за риск на третьи лица (например, поставщику оборудования или страховой компании) без устранения источника риска.
Снижение рисков - это выбор и внедрение мер по снижению вероятности нанесения ущерба.
В процессе обработки рисков сначала требуется определить, какие риски требуют дальнейшей обработки, а какие можно принять.
По результатам оценки и обработки рисков разрабатывается Положение о применимости. Наличие этого документа обязательно для прохождения сертификации.
В Приложении А к стандарту ISO 27001 перечислены все требования к обеспечению безопасности, которые должны выполняться в компании. Положение о применимости является итоговым решением относительно снижения информационных рисков компании.
Этап 5. Разработка и реализация планов мероприятий по ИБ. Разработка положения о применимости контроля в соответствии с ISO/IEC 27001:2005. Разработка плана учета и устранения рисков. Подготовка отчетов для руководителя компании.
Этап 6. Разработка нормативных и организационно-распорядительных документов. Разработка и утверждение окончательной политики ИБ и соответствующих ей положений (подполитик). Разработка стандартов, процедур и инструкций, обеспечивающих нормальное функционирование и эксплуатацию СУИБ компании.
Стандарт требует, чтобы все меры по снижению рисков были документально зафиксированы. Документированные процедуры являются обязательным элементом системы управления ИБ. Следовательно, в рамках системы управления необходимо разработать базу нормативных документов, описывающих все процедуры в области ИБ.
Основными документами по управлению ИБ являются
- Политика управления информационной безопасностью
- Политика информационной безопасности.
- Методики и инструкции,
- Процедуры обеспечения ИБ и управления ею.
- Регламент обеспечения физической безопасности.
Этап 7. Внедрение комплексных мероприятий по снижению рисков ИБ и оценка их эффективности в соответствии с утвержденным руководством планом обработки и устранения рисков.
Этап 8. Обучение персонала. Разработка планов мероприятий и внедрение программ по обучению и повышению компетенции сотрудников компании с целью эффективного донесения принципов ИБ до всех сотрудников и в первую очередь тех, кто работает в структурных подразделениях, обеспечивающих ключевые бизнес-процессы.
Обучение сотрудников можно выполнять в форме очных и заочных курсов с последующим тестированием, целесообразно организовать обучение сотрудников с помощью системы дистанционного обучения, в рамках которой могут быть представлены различные курсы (как для пользователей, так и для специалистов), игровые методики обучения, тестирование.
Этап 9. Формирование отчетности. Систематизация результатов обследования и подготовка отчетности. Представление результатов работ для руководителей компании. Подготовка документов к лицензированию на соответствие ISO/IEC 27001:2005 и передача их в сертифицирующую организацию.
Этап 10. Анализ и оценка результатов внедрения СУИБ на основании методики, оценивающей надежность функционирования СУИБ компании. Разработка рекомендаций по совершенствованию системы управления ИБ компании.
Основная сложность может заключаться в проверке эффективности процедур системы управления ИБ. Т.е. для каждой процедуры необходимо разработать критерии, по которым будет проверяться ее эффективность, и, кроме этого, такие критерии требуется разработать для всей системы управления в целом.
Критериями оценки эффективности системы управления ИБ могут быть, например, изменение количества инцидентов ИБ, квалификация пользователей в области ИБ и пр.
Этап
Повторный аудит после создания СУИБ не является обязательным, но провести его перед сертификацией целесообразно, чтобы уточнить, как выполняются требования стандарта.
Этап
После трех - шести месяцев эксплуатации СУИБ компания-заказчик может подать заявку на сертификацию СУИБ.
Сертификация систем менеджмента защиты информации по ISO/IEC 27001 (ИСО/МЭК 27001) производится по следующим этапам:
1. Подача заявки для сертификации
2. Заключение договора на сертификацию
3. Проверка документов СМЗИ на предмет соответствие требованиям ISO/IEC 27001 (ИСО/МЭК 27001)
4. Планирование предварительного аудита
5. Предварительный аудит
6. Организация-заявитель исправляет ошибки, выявленные по результатам предварительного аудита
7. Планирование сертификационного аудита
8. Сертификационный аудит
9. Составление отчета группой аудита
10. Организация - заявитель исправляет ошибки, выявленные в ходе аудита
11. Выдача сертификата ISO/IEC 27001 (ИСО/МЭК 27001)