новое семейство международных стандартов на системы управления иб имеет код
Управление ИТ-рисками.
Общие подходы к управлению рисками
Общие подходы к управлению рисками
Редактор, специалист в области PR. Работала менеджером по маркетингу и PR компании ALP Group. С 2003 по 2014 г. была выпускающим редактором журнала Intelligent Enterprise.
Риск, событие, характеристки риска
Прежде чем говорить об ИТ-рисках, разберёмся с основными терминами и понятиями, связанными с рисками любого рода. В России основой для целой серии стандартов по рискам служит ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения». Он даёт следующую трактовку риска:
Риск — следствие влияния неопределённости на достижение поставленных целей.
Под неопределённостью подразумевается состояние полного или частичного отсутствия понимания или знания о некотором событии, его последствиях и вероятности. Влияние неопределённости — это отклонение от ожидаемого результата деятельности (целей) с позитивными или негативными последствиями. Таким образом, понятие риска связано с понятием «событие», поэтому риск часто характеризуют через описание возможного события и предположительного влияния его последствий.
Тогда риску можно дать такое определение:
Риск — это следствие вероятности возникновения события, которое окажет отрицательное воздействие на достижение поставленных целей.
Здесь важно подчеркнуть несколько обстоятельств:
Исходя из этого, риск характеризуется двумя величинами:
Вероятность возникновения риска — характеристика возможного наступления рискового события.
Каждому риску отводится вероятность больше 0%, но меньше 100%. Риск с вероятностью 0% не считается риском, так как не может произойти. Равно как и риск с вероятностью 100% — тоже не риск, а реальное событие, которое в обязательном порядке предусматривается проектом.
Последствия риска — степень влияния риска на достижение поставленных целей организации: трудозатраты, деньги, отклонения от принятого плана и т. д.
Иногда эти две величины объединяют в один показатель — уровень (или величина) риска.
Уровень риска — это мера риска, комбинация характеристик его вероятности и последствий.
Подход к управлению рисками
Оцениваемые характеристки риска позволяют говорить об управлении рисками.
Управление рисками предприятия (Enterprise Risk Management, ERM) — это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.
Управление рисками позволяет организации определить, в какой степени потенциальные события повлияют на достижение её целей. Согласно рекомендациям авторитетной организации COSO (The Committee of Sponsoring Organizations of the Treadway Commission) управление рисками организации:
У компании есть четыре варианта реакции на риск:
Остановлюсь особо на варианте уменьшения риска. Самая очевидная реакция на риск — организовать контроль за деятельностью и процессами. Однако этого не всегда достаточно: нередко риск требует принятия специальных мер. Различают несколько видов рисков:
Логика снижения уровня риска показана на рис. 1. Как правило, первоочередные меры реагирования на риск — контроль за ходом деятельности и процессами организации. Это снижает присущий уровень риска, но если остаточный риск все же выше, чем приемлемый для организации, то необходимо предусмотреть специальные меры реагирования на риск. В идеале эти меры должны быть достаточными, чтобы уменьшить остаточный риск до приемлемого уровня. Уровень риска, который организация готова принять, называется толерантностью к риску. Это индивидуальная характеристика: одни организации готовы рисковать чуть больше в надежде получить большую премию за риск, в то время как другие всячески обходят риски стороной.
Рис. 1. Общая логика снижения уровня риска до приемлемого уровня.
Стандарты управления рисками
В сентябре 2015 года Международная организация по стандартизации (International Organization for Standardization, ISO) опубликовала новую редакцию стандарта ISO 9001:2015. Одно из ключевых отличий от предыдущей версии — появление требований по управлению рисками. Требования по управлению рисками дополнили несколько пунктов стандарта и заменили прежнее требование необходимости предупреждающих действий.
Существуют стандарты, непосредственно посвящённые управлению рисками. Наиболее важные международные стандарты в области управления рисками приведены в таблице 1. Прежде всего, это семейство стандартов 31000, которое включает:
Стандарты семейства 31000 очень гибкие и универсальные, на их основе можно построить любую корпоративную систему управления рисками. Кроме того, существует еще короткий ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения».
Таблица 1. Международные стандарты в области управления рисками предприятия.
В следующей части статьи мы поговорим о системе управления рисками и соотвествующем процессе.
Статьи по теме: «Информационная безопасность»
Обзор международных стандартов в области ИБ
Содержание:
Введение
В настоящий момент существует большое количество подходов к обеспечению и управлению информационной безопасностью. Наиболее эффективные из них формализованы в стандарты.
Международные стандарты и методологии в области ИБ и управления ИТ являются ориентиром при построении информационной безопасности, а также помогают в решении связанных с этой деятельностью задач всех уровней, как стратегических и тактических, так и операционных. Попробуем разобраться в идеях популярных зарубежных стандартов и в том, как они могут применяться в российской практике.
Зачем нужны ИБ-стандарты
Каждому специалисту, имеющему отношение к информационной безопасности, желательно ознакомиться с наиболее известными методологиями в области ИБ, а также научиться применять их на практике. Изучение лучших практик дает возможность узнать:
Международные ИБ-стандарты развиваются годами, и за это время успели усовершенствоваться и вобрать в себя лучший опыт практикующих специалистов, в том числе лучшие практики в области развития ИТ.
Еще одним преимуществом изучения стандартов является возможность продуктивного взаимодействия в сообществе ИБ-специалистов — общепризнанные стандарты международного уровня позволяют им общаться между собой и с внутренними подразделениями компании на одном языке с использованием устоявшихся терминов и определений. В том числе это помогает обосновывать руководству необходимость тех или иных ИБ-мер формулировками, понятными бизнесу. Стоит отметить, что ИБ всегда идет бок о бок с ИТ, и для повышения эффективности работы очень важно уметь устанавливать коммуникации с ИТ. В этом ИБ-специалисту помогает изучение таких стандартов, как ITIL и COBIT.
Какие бывают ИБ-стандарты
Существует множество систем взглядов и разных способов группировки стандартов. Методы классификации различаются по целям и задачам применения.
Рассмотрим стандарты с прикладной и процессной точек зрения. Стандарты можно поделить на:
Технические стандарты помогают провести выстраивание технической защиты информации — выбрать необходимый комплекс защитных мер и провести их грамотную настройку.
Процессно-ориентированные стандарты описывают поход к выстраиванию отдельных процессов.
Если процессно-ориентированные стандарты позволяют ответить на вопросы «что делать?», то технические дают практические рекомендации и отвечают на вопрос «как это реализовать?».
К процессно-ориентированным стандартам относятся: серия ISO/IEC 27XXX, руководство ITIL, методология COBIT и так далее.
В части технических стандартов стоит отметить проект OWASP top 10, CIS Controls, а также CIS Benchmarks, которые содержат детальную информацию по обеспечению безопасности ИТ-элементов инфраструктуры, что помогает противодействовать широкому спектру угроз.
Тем не менее, не всегда стоит однозначно делить стандарты на категории. Один стандарт может агрегировать в себе информацию по нескольким направлениям. Так, например, стандарт PCI DSS (стандарт безопасности данных индустрии платежных карт) отражает комплексный подход к обеспечению ИБ и содержит как требования к управлению безопасностью, правилам и процедурам, так и большой перечень технических требований к критически важным мерам защиты.
Краткий обзор ИБ-стандартов
COBIT
Международная ассоциация ISACA (Information Systems Audit and Control Association), известная разработкой стандартов по управлению ИТ в корпоративной среде и проводимыми сертификациями (например, CISA, CISM, CRISC), и Институт руководства ИТ (IT Governance Institute — ITGI) совместно разработали подход к управлению информационными технологиями. В 1996 году на его основе организация ISACF выпустила первую версию стандарта COBIT. С течением времени и с развитием подходов к управлению ИТ концепция COBIT пересматривалась и расширялась. Сегодня самой новой версией методологии является COBIT 2019, ставшая продуктом эволюции пятой версии стандарта (пересмотр состоялся в декабре 2018 года). COBIT 2019 описывает набор процессов, лучших практик и метрик для выстраивания эффективного управления и контроля, а также достижения максимальной выгоды от использования ИТ.
Основой стандарта являются 40 высокоуровневых целей контроля, сгруппированных в четыре домена, два из которых посвящены информационной безопасности):
Таким образом, стандарт охватывает всю деятельность компании и позволяет широко взглянуть на управление ИТ и ИБ. Стандарт носит высокоуровневый характер, то есть говорит, что должно быть достигнуто, но не объясняет, как. С помощью принципов COBIT 2019 можно минимизировать риски и контролировать возврат инвестиций в ИТ и средства информационной защиты.
ITIL и ITSM
Библиотека инфраструктуры информационных технологий или ITIL (The IT Infrastructure Library) — это набор публикаций (библиотека), описывающий общие принципы эффективного использования ИТ-сервисов. Библиотека ITIL применяется для практического внедрения подходов IT Service Management (ITSM) — проектирования сервисов и ИТ-инфраструктуры компании, а также обеспечения их связности.
ITIL можно рассматривать в том числе с точки зрения информационной безопасности, так как для успешного использования ИТ и поддерживаемых услуг необходимо обеспечивать доступность, целостность и конфиденциальность ИТ-инфраструктуры. Это достигается правильным управлением ИТ-безопасностью. Библиотека содержит раздел, посвященный вопросам безопасности в структуре процессов ITIL. В материалах ITIL не прописаны конкретные требования к средствам защиты, а лишь дается описание общей организации безопасной работы ИТ-сервисов. В библиотеке можно найти как основные принципы выстраивания самого процесса управления ИБ, так и ключевые рекомендации по поддержанию СУИБ — Системы управления информационной безопасностью (Information Security Management System или ISMS). Если COBIT определяет ИТ-цели, то ITIL указывает шаги на уровне процессов. Кроме того, библиотека содержит рекомендации по выстраиванию смежных процессов, например, по управлению инцидентами, что позволяет комплексно взглянуть на выстраивание процессов и их интеграцию в ИТ-среду. Библиотека ITIL полезна специалистам, в задачи которых входит выстраивание процесса управления ИТ-услугами и интеграция ИБ в этот подход. Знание документа позволяет им разговаривать с ИТ-службой на одном языке — языке ИТ-сервисов.
Серия ISO/IEC 27XXX
Наиболее известным и популярным набором стандартов среди как зарубежных, так и российских ИБ-специалистов, к которому обращаются в первую очередь при внедрении СУИБ, являются документы из серии ИБ-стандартов ISO/IEC 27XXX.
Самый известный стандарт серии — ISO/IEC 27001:2013, определяющий аспекты менеджмента информационной безопасности и содержащий лучшие практики по выстраиванию процессов для повышения эффективности управления ИБ. Стандарт декларирует риск-ориентированный подход, который позволяет выбрать необходимые меры и средства защиты, наилучшим образом соответствующие потребностям и интересам бизнеса. По результатам внедрения стандарта ISO/IEC 27001:2013 компания может пройти сертификацию. Так же, как и концепция ITIL, ISO/IEC 27001:2013 в качестве модели управления качеством берет за основу Цикл Деминга-Шухарта PDCA (англ. «Plan-Do-Check-Act» — «планирование-действие-проверка-корректировка»), что означает непрерывное совершенствование ИБ-процессов.
Стандарт ISO/IEC 27001:2013 состоит из двух частей:
Стандарт ISO/IEC 27001:2013 имеет российский аналог ГОСТ Р ИСО/МЭК 27001.
Также специалисты часто обращаются к стандарту ISO/IEC 27002:2013 (ранее выходил под номером ISO/IEC 17799), более подробно раскрывающему высокоуровневые требования ISO/IEC 27001:2013 к выстраиванию процессов в СУИБ. Документ описывает рекомендуемые практические меры в области управления информационной безопасностью.
ISO/IEC 27000:2013 Information technology. Security techniques. Information security management systems. Overview and vocabulary | Термины и определения. |
ISO/IEC 27001:2013 Information technology. Security techniques. Information security management systems. Requirements | Системы обеспечения информационной безопасности. Документ описывает требования к СУИБ и средства их реализации. |
ISO/IEC 27002:2013 Information technology. Security techniques. Code of practice for information security management | Методы и средства обеспечения информационной безопасности. Стандарт разъясняет практические аспекты управления ИБ с более детальным описанием средств реализации, приведенных в ISO/IEC 27001:2013. |
ISO/IEC 27003:2017 Information technology. Security techniques. Information security management system implementation guidance | Реализация систем менеджмента информационной безопасности. Руководство по реализации СУИБ, описывающее все этапы внедрения. |
ISO/IEC 27004:2016 Information technology. Security techniques. Information security management. Measurement | Измерение эффективности информационной безопасности. Описывает подход к использованию метрик для оценки эффективности СУИБ. Стандарт применим к компаниям, достигшим четвертого (управляемого) уровня зрелости процессов ИБ согласно CMMI. |
ISO/IEC 27005:2018 Information technology. Security techniques. Information security risk management (также можно обратиться к ISO 31000:2018 — Risk management) | Менеджмент риска информационной безопасности. Стандарт предназначен для определения в компании подхода к менеджменту рисков. |
ISO/IEC 27035:2016 Information technology. Security techniques. Information security incident management (Part 1 & Part 2) | Управление инцидентами и событиями ИБ. Стандарт содержит руководящие указания по планированию и подготовке к реагированию на инциденты. |
Полный перечень стандартов серии можно найти на сайте Международной организации по стандартизации https://www.iso.org/ru/home.html.
Еще одним стандартом, применяемым зарубежными ИБ-специалистами, является ISO 15408, состоящий из трех частей:
Вторая часть приводит требования к функциональности средств защиты, которые могут быть использованы при анализе защищенности для оценки полноты реализованных функций безопасности.
Третья часть серии содержит обоснования угроз, политик и требований. Стандарт определяет компоненты доверия к безопасности, каталогизирует наборы компонентов и классов доверия. ISO/IEC 15408-3:2008 включает в себя оценочные уровни доверия, определяющие шкалу измерения и компоненты доверия, а также критерии оценки профилей защиты и заданий безопасности.
В целом эти стандарты содержат техническую часть, не акцентируя внимание на вопросах управления информационной безопасностью.
На основании данного стандарта в свое время был разработан руководящий документ ФСТЭК (Приказ председателя Гостехкомиссии России от 19 июня 2002 г. № 187).
NIST — National Institute of Standards and Technology — американский национальный институт стандартизации, аналог отечественного Госстандарта. В состав института входит Центр по компьютерной безопасности, который публикует с начала 1990-х годов Стандарты (FIPS), а также детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности.
Для рекомендаций в области ИБ (Special Publications) в NIST выделили специальную серию с кодом 800, состоящую из десятков рекомендаций.
Серия содержит документы, описывающие подходы к управлению информационной безопасностью, и освещает технические вопросы ее обеспечения (обеспечение безопасности мобильных устройств, защита облачных вычислений, требования к аутентификации, удаленному доступу и т. д.).
Ниже приведен краткий перечень наиболее популярных документов:
NIST SP 800-53 | Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций |
NIST SP 800-50 | Создание программы повышения осведомленности в области безопасности ИТ |
NIST SP 800-40 | Управление уязвимостями |
NIST SP 800-53 A | Измерение эффективности информационной безопасности |
NIST SP 800-37 / NIST SP 800-39 / NIST SP 800-30 | Менеджмент рисков |
NIST SP 800-61 / NIST SP 800-86 | Управление инцидентами |
Одной из самых известных публикаций является стандарт NIST SP 800-53 «Security and Privacy Controls for Federal Information Systems and Organizations», содержащий описание средств реализации требований ИБ и рекомендации по их применению. В стандарте дается более подробное описание средств реализации в сравнении с документом более высокого уровня ISO/IEC 27001 Приложение А. Так же, как и в ISO, средства реализации в NIST SP 800-53 разбиты на домены, соответствующие различным областям обеспечения ИБ. Подобный подход можно найти и в российских стандартах: для Приказов № 17 и 21 ФСТЭК России сформировала группу мер и разработала к ним требования и процедуры.
Еще одним известным у специалистов документом является NIST 800-30, определяющий подходы к организации деятельности по управлению рисками ИБ. Этот документ часто рассматривают в паре с ISO/IEC 27005:2018, который (как и все документы серии) носит более высокоуровневый характер. В отличие от ISO/IEC 27005:2018, документ NIST содержит более развернутые описания и рекомендации по применению.
SANS. CIS 20
SANS — организация по обучению и сертификации в области ИБ, наиболее известна своими руководствами по безопасной настройке различных систем (Benchmarks) и перечнем ключевых мер защиты Top 20 Critical Security Controls (CSC), включающим 20 рекомендаций по защите ИТ-инфраструктуры. ИБ-специалисты могут использовать этот документ как контрольный список при проверке безопасности систем.
Международное ИТ-сообщество CIS (Center for Internet Security) регулярно обновляет рекомендации с лучшими практиками мер защиты от актуальных ИБ-угроз. Меры разделены на три группы реализации в зависимости от особенностей организации. Наиболее удобным является ранжирование CIS Controls — порядок реализации мер, начиная с наиболее важных.
Помимо этого, CIS Benchmarks дает рекомендации по настройке конфигураций для систем Linux, Windows, Checkpoint, Cisco, Apache, MySQL, Oracle, VMware, а также содержит инструкции по настройке набирающих популярность Docker и Kubernetes.
С полным перечнем можно ознакомиться на сайте CIS https://www.cisecurity.org/cis-benchmarks/.
O-ISM3
При формировании требований безопасности необходимо учитывать уровень зрелости компании — уровень ее организационного и технологического развития. Для эффективного использования ИБ необходимо применять модель зрелости процессов. Она позволяет оценить уровень зрелости ИБ-процессов и определить приоритетные направления развития безопасности в компании.
Модель О-ISM3 (Open Information Security Management Maturity Model) разработана независимым консорциумом The Open Group и позволяет провести оценку зрелости функционирования существующих процессов СУИБ компании.
Модель О-ISM3 оперирует четырьмя уровнями управления СУИБ: базовый, стратегический, тактический и операционный. Согласно модели О-ISM3, процессы СУИБ классифицируются по пяти уровням зрелости:
Уровень определяется аудитором на основании предопределенных метрик и документации. Существует большое количество инструментов для оценки зрелости процессов (CMMI, NIST, BPM от Gartner и др.), и каждый определяет свой подход, к которому ИБ-специалисту необходимо обращаться при построении модели зрелости.
Заключение
В статье рассмотрены наиболее популярные международные стандарты в области информационной безопасности. Но количество представляющих интерес стандартов гораздо больше. Для решения нетривиальных задач необходимо обращать внимание не только на самые часто упоминаемые из них. Например, Центр по обеспечению безопасности в киберпространстве (Australian Cyber Security Centre) Австралийского союза разработал Руководство по информационной безопасности (Australian Government Information Security Manual), отражающее как технические рекомендации для обеспечения ИБ (перечень руководств), так и стратегические обоснования, которые ИБ-специалисты могут использовать в диалоге с бизнесом.
Помимо этого, существует много организаций и проектов, чьей целью является практическое обеспечение безопасности и публикации которых помогают ИБ-специалистам проверять свои объекты защиты на уязвимости. Примерами служат проект OWASP, отчеты команды ICS-CERT, база данный MITRE. Другие полезные инструменты —фреймворки OSSTMM, Penetration Testing Framework, ISSAF и др., помогающие проводить техническое обследование на предмет защищенности.
Необходимо понимать, что для качественного построения системы ИБ требуется агрегировать знания и совмещать подходы, полученные из разных источников, так как каждая система взглядов содержит плюсы и минусы и требует адаптации к условиям конкретной компании. Специалистам по информационной безопасности необходимо постоянно совершенствоваться, расширять набор компетенций и профессиональных знаний, и принятые за рубежом стандарты существенно помогают в этом.
Автор:
Мария Романычева, консультант Центра информационной безопасности компании «Инфосистемы Джет»
Как избежать двойных стандартов в информационной безопасности
Стандартизация в сфере информационной безопасности становится все важнее: сложность информационных систем, объем и значимость содержащихся в них данных непрерывно растут, появляются все новые нормативные требования. Какой стандарт предпочесть?
Станислав Прищеп, начальник отдела консалтинга и аудита, департамент информационной и сетевой безопасности, STEP LOGIC
Наиболее распространенным и общепризнанным в мире сборником рекомендаций в сфере защиты информации является стандарт ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements.
История ISO и ISO 27001
Стандарт ISO/IEC 27001 по праву считается наиболее концептуальным и комплексным. Его история началась в 80-х годах прошлого века, когда Центр компьютерной безопасности Департамента торговли и индустрии Великобритании опубликовал рекомендации DTI CCSC User’s Code of Practice. Документ был разработан на основе политики информационной безопасности компании Royal Dutch Shell (ныне Shell). Он представлял собой перечень ключевых мер информационной безопасности, которым необходимо было следовать при работе с корпоративными мэйнфреймами. В 1993 году документ был доработан и опубликован Британским институтом стандартов (British Standards Institute, BSI) под названием Code of Practice for Information Security Management. Результатом дальнейшей доработки документа BSI стал изданный в 1995 году британский национальный стандарт BS 7799:1995, содержавший актуализированный перечень рекомендуемых для применения в организациях мер защиты информации. Однако выбор оптимальных для конкретной организации мер защиты информации оставался за рамками стандарта. Для решения этой проблемы в 1998 году BSI разработал стандарт-дополнение – BS 7799 Part 2:1998. Именно его можно считать прямым предшественником стандарта ISO/IEC 27001.
Важным событием в дальнейшей истории развития стандартов BS 7799 стало их признание со стороны Международной организации по стандартизации (International Organization for Standardization, ISO) и Международной электротехнической комиссии (International Electrotechnical Commission, IEC). В 2000 году техническим комитетом, созданным под эгидой этих организаций, был принят стандарт ISO/IEC 17799:2000, являющийся развитием стандарта BS7799-1. В 2005 году аналогичную процедуру прошел стандарт BS 7799 Part 2:1998, который получил название ISO/IEC 27001. С этого момента все международные стандарты менеджмента информационной безопасности, выпускаемые под патронажем ISO/IEC, входят в серию 270xx. Так, в 2007 году обновленная версия стандарта ISO/IEC 17799:2000 получила наименование ISO/IEC 27002. А образовавшаяся разница во времени между выпуском стандартов ISO/IEC 27001 и ISO/IEC 27002 была устранена в 2013 году, когда обновленные версии обоих стандартов были изданы одновременно (рис. 1).
В настоящее время серия 27xxx содержит более 30 стандартов по различным направлениям системы менеджмента информационной безопасности (СМИБ), начиная с уровня стратегического управления и контроля СМИБ и заканчивая техническими рекомендациями по применению отдельных программно-технических и организационных мер защиты информации. Все эти стандарты можно разделить на несколько групп (рис. 2).
Базовые стандарты ISO/IEC 27001 и ISO/IEC 27002 со временем были дополнены следующими документами:
Стандарты серии постепенно переводятся на русский язык и издаются в национальной системе стандартизации ГОСТ, находящейся в ведении Росстандарта России. По состоянию на 2018 год переведены и изданы стандарты с индексами ГОСТ Р ИСО/МЭК 27000, 27001, 27002, 27003, 27004, 27005, 27006, 27007, 27011, 27013, 27031, 27033, 27034 и 27037. Стандарты серии ISO/IEC 27xxx и ГОСТ Р ИСО/МЭК 27xxx в совокупности образуют целостную систему знаний и лучших практик в сфере обеспечения информационной безопасности в организациях любого масштаба и области деятельности.
Подход ISO 27001 к обеспечению информационной безопасности
Подход к управлению информационной безопасностью в настоящее время определяется двумя взаимосвязанными стандартами: ISO/IEC 27001 и ISO/IEC 27002 (рис. 3). Основную роль здесь играет стандарт 27001, содержащий рекомендации по менеджменту ИБ в организации на основе широко используемого в корпоративной среде цикла управления качеством PDCA (Plan, Do, Check, Act). Стандарт ISO/IEC 27002 носит скорее справочный характер, описывая набор возможных мер защиты информации, из которых организация может выбрать необходимые именно ей.
Стандарт ISO/IEC 27001 дает рекомендации по функционированию СМИБ как комплексной системы, направленной на защиту информационных активов организации от угроз и, следовательно, минимизацию рисков. С точки зрения бизнеса СМИБ представляет собой одну из множества систем организации, к которой предъявляются определенные требования и которая должна оправдать ожидания и вернуть вложенные в нее средства (рис. 4).
В соответствии с рекомендациями стандарта, СМИБ включает в себя полный комплекс действий по обеспечению информационной безопасности, в том числе организацию деятельности и управление рисками, а также непосредственное применение мер защиты информации. Делать выбор тех или иных способов защиты информации следует на основе оценки рисков ИБ, т.е. размера возможного ущерба от реализации угроз конфиденциальности, целостности и доступности информации. И, конечно, исходя из необходимости выполнения нормативных обязательств перед государством, партнерами и другими заинтересованными сторонами.
Таким образом, предлагаемый подход позволяет применять стандарт для реализации СМИБ в организациях любого масштаба и уровня нормативной зарегулированности.
Отметим также, что ISO/IEC 27001 совместим с другими стандартами систем менеджмента качества, такими как ISO 9001, ISO 14000, ISO 31000, ISO/IEC 38500, ISO/IEC 20000, ISO/IEC 22301 и др. Это позволяет использовать единый подход и принципы, общую терминологию, реализовать интегрированные процессы по направлениям контроля качества выпускаемой продукции, охраны окружающей среды, стратегического управления и управления ИТ-сервисами, обеспечения непрерывности деятельности организации, и, наконец, информационной безопасности. Что, в свою очередь, дает возможность построить структурированную и прозрачную систему менеджмента организации и повысить общую эффективность соответствующих процессов.
Реализация стандарта в сочетании с локальными нормативными требованиями к защите информации
Сегодня можно выделить следующие основные области нормативного регулирования СМИБ:
В банковской среде принятие решений в области информационной безопасности на основе оценки рисков успешно применяется уже давно. Такой подход продиктован международными соглашениями Базельского комитета, нормативными документами и рекомендациями Банка России. Одним из первых отечественных отраслевых стандартов, разработанных с использованием ISO/IEC 17799 и BS 7799-2-2002, можно назвать издаваемый с 2004 года стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», известный как СТО БР ИББС-1.0. В 2017 году ему на смену пришел ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», призванный объединить подходы к обеспечению информационной безопасности всей банковской системы. Этот ГОСТ, как и СТО БР ИББС, предполагает выбор и реализацию мер защиты информации исходя из оценки рисков ИБ как части операционных рисков кредитной организации.
Таким образом, в нормативных требованиях и рекомендациях национальных регуляторов задействуются те же принципы и подходы к организации деятельности по защите информации, что и в стандартах ISO и IEC. А базой для реализации нормативных требований в единой СМИБ может служить стандарт ISO/IEC 27001. Какие же преимущества дает его использование? Их можно разделить на две категории: плюсы от внедрения в организации стандарта и положительные результаты реализации на его базе нормативных требований по защите информации.
К первой категории можно отнести:
Недостатки подхода, ограничения и трудности внедрения стандарта
У предлагаемого стандартом подхода есть и ограничения. Основной – низкая детализация требований и, соответственно, необходимость привлечения для их реализации опытных экспертов высокого уровня. Это плата за гибкость и адаптивность стандарта.
Другим важным ограничением внедрения стандарта может стать «тяжелый багаж» устаревших правил и подходов к обеспечению защиты информации. Во многих компаниях процессы менеджмента годами формировались по пути избыточной формализации, и часто руководство неохотно берется за кардинальную перестройку системы.
В этом случае залогом успешной реализации требований стандарта является осознание руководством важности целей и задач информационной безопасности. Без поддержки топ-менеджмента внедрение стандарта невозможно, так как в основе принятия ключевых решений в СМИБ лежит готовность идти на необходимые изменения и ограничения, выделять финансовые и кадровые ресурсы.
Пример реализации ISO/IEC 27001 в крупной международной компании
Руководством компании была поставлена задача: реализовать российские нормативные требования по защите информации на базе используемого головной компанией стандарта ISO/IEC 27001, минимизировав при этом зависимость собственной СМИБ от центрального офиса. Выполнение этой задачи осложняли следующие факторы:
В ходе обследования были проинспектированы активы и установлены области действия нормативных требований, разработана программа обеспечения информационной безопасности филиала. Следующим этапом проекта стала разработка единой политики ИБ, отражающей общие требования руководства к защите информации. Затем были разработаны и внедрены процедуры, регламентирующие порядок реализации процессов PDCA как основы деятельности СМИБ. И в завершение разработаны организационные документы, определяющие требования к реализации мер защиты информации и обеспечивающие выполнение нормативов. При этом процессы оценки рисков, обоснования и пересмотра мер защиты были интегрированы в процесс модернизации и создания информационных систем и вынесены за рамки проекта внедрения СМИБ. Это позволило плавно и безболезненно провести минимизацию рисков информационной безопасности и при этом выполнить нормативные правовые требования по защите платежной информации и персональных данных.
Итогом проекта стал набор организационно-распорядительных документов по информационной безопасности филиала, внедрение которых позволило:
Практика внедрения стандарта за рубежом
На сегодняшний день ISO/IEC 27001 – один из самых динамично развивающихся стандартов по информационной безопасности. Об этом говорит не только заложенный в серию стандартов объем полезных знаний, но и статистика. По данным последнего опубликованного отчета ISO, с 2012-го по 2017 год количество сертифицированных СМИБ выросло более чем в два раза – с 19 тыс. до 39 тыс. Наибольшее количество сертификаций прошло в Японии, Китае, Великобритании, Индии, США, Германии, Италии и других странах Европейского союза. Тенденция к росту популярности стандарта, вероятно, закрепится – в связи с необходимостью создания эффективной системы менеджмента информационной безопасности для выполнения требований General Data Protection Regulation (GDPR).
Однако Россия по количеству выданных сертификатов (на 2017 год – 78) пока находится только в третьем десятке стран Европы, даже при том, что при подсчете учитывались сертификаты, выданные как в международной, так и в национальной системе сертификации (т.е. аудиторами, аккредитованными национальным органом по сертификации (Росстандарт), а не только International Accreditation Forum (IAF)).
По статистике за 2017 год, наиболее популярной была сертификация в ИТ-отрасли и телекоммуникациях. Можно предположить, что преобладание сертифицированных ИТ- и сервисных организаций во многом связано с передачей крупными компаниями своих ИТ-процессов на аутсорсинг и распространением облачных и сервисных услуг. В числе компаний-аутсорсеров можно назвать Google, Microsoft, Amazon, IBM, Atos Origin, CSC, BNP Paribas Partners for Innovation и др. Кроме того, множество компаний непублично следуют рекомендациям 27001, не сертифицируя собственную СМИБ.
Постоянный рост числа приверженцев стандарта во всем мире не случаен и объясняется преимуществами его применения. Так, опрос, проведенный компанией IT Governance в организациях, которые внедрили ISO/IEC 27001, дал следующие результаты:
По мере развития технологий, роста объема информационных ресурсов и появления новых нормативных требований увеличиваются и затраты на обеспечение информационной безопасности. Все важнее становятся вопросы обоснования расходов на СМИБ и эффективности ее деятельности. В таких условиях необходимо избежать дублирования процессов защиты информации, исключить корпоративные «двойные стандарты», поднять защиту информации на качественно новый уровень и оправдать вложенные в обеспечение информационной безопасности средства. Решить эти задачи позволяет внедрение в организации стандарта информационной безопасности ISO/IEC 27001. Признанный специалистами по ИБ во всем мире и набирающий популярность в корпоративной среде, стандарт допускает возможность получения международного или национального сертификата соответствия, что дает дополнительные преимущества и служит залогом доверия со стороны клиентов и партнеров.