ISO/IEC 27001 (Information Technology — Code of Practice For Information Security Management) Информационные технологии — принципы внедрения систем управления информационной безопасностью

 По-настоящему безопасной можно считать лишь систему, которая выключена, замурована в бетонный корпус, заперта в помещении со свинцовыми стенами и охраняется вооруженным караулом, – но и в этом случае сомнения не оставляют меня.

(Юджин Х. Спаффорд)

ISO/IEC 27001 является международно признанным стандартом информационной безопасности. Система управления информационной безопасностью (СУИБ — Information Security Management System) определяет управленческие рамки, предусматриваемые для каждой среды (в бумажном варианте, электронной версии, в письменной и устной коммуникации и т.п.). СУИБ предполагает осуществление целой серии взаимодополняющих мер контроля и систематически проработанных и обеспечивающих непрерывное улучшение таких действий, как определение возможных рисков и угроз. формирование политики безопасности, контроль аудита и внедрения, создание подходящих методов, построение институциональных структур и обеспечение функций разработки/отладки программ.

Информация, как и другие важные коммерческие сущности, составляет для некоторого предприятия стоимость и по этой причине является сущностью. требующей соответственной охраны. Информационная безопасность охраняет информацию от широкого диапазона угроз и опасностей в смысле обеспечения непрерывной коммерческой ценности, снижения до минимума коммерческих потерь, подъема на самый высший уровень преобразования коммерческих возможностей в капитальные вложения. Информация может находиться в различных формах. Может быть написана или напечатана на бумаге, сохранена в электронной форме, может быть передана по почте или с помощью использования электронных средств, может демонстрироваться в фильмах или же может быть выражена в словесной форме в процессе взаимного обмена. Независимо от формы, которую может принимать информация, и независимо от формы ее распространения или сбора, она должна постоянно и соответствующим образом охраняться.

Безопасность информации в стандарте ISO/IEC 27001 определена как соблюдение нижеследующих принципов:

A) Конфиденциальность: гарантия доступа к информации только для уполномоченных лиц,

Б) Надежность: обеспечение достоверности и целостности информации и средств ее обработки

B) Полезность: гарантия доступа полномочных пользователей к информации и соответствующим источникам в случае необходимости

Безопасность информации обеспечивается путем внедрения комплекса таких мер контроля как политики, применения, методы, институциональные структуры и функций программирования. Эти формы контроля должны быть построены с точки зрения обеспечения конкретных целей безопасности предприятия.

Преимущества, предоставляемые стандартом ISO 27001

  • Сохранение и увеличение престижа компании
  • Обеспечение непрерывности работы
  • Создание эффективной системы управления рисками на основе определения рисков и угроз
  • Завоевание доверия клиентов
  • Обеспечение соответствия законодательным актам
  • Эффективный контроль над доступом к источникам информации
  • Обеспечение конфиденциальности, надежности и полезности информации
    • Повышение сознательного отношения к безопасности информации у персонала, первичных и вторичных пользователей и их информирование о приоритетных вопросах безопасности
    • Создание реальной системы контроля в системах ручного и автоматического управления с целью гарантирования подконтрольности использования в надлежащей форме чувствительной информации
  • Предотвращение злоупотреблений с источниками систем информации при исполнении своих обязанностей персонала, клиентов и пользователей
  • Предотвращение вероятной утечки информации в системах информационных технологий путем их предварительного определения
  • Усиление мер безопасности против преднамеренного разрушения информационных систем, атаки хакеров и других угроз, исходящих извне.

 Система менеджмента информационной безопасности (СМИБ) — та часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. Информационная безопасность тесно связана с работой бизнеса, его конкурентоспособностью, успешностью имиджа предприятия и, в конечном итоге, доходами компании. Лучшей мировой практикой в области управления информационной безопасностью признан стандарт ISO/IEC 27001:2005

В случае построения в соответствии с требованиями ISO/IEC 27001 основывается на PDCA модели:

  • Plan (Планирование) — фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;
  • Do (Действие) — этап реализации и внедрения соответствующих мер;
  • Check (Проверка) — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.
  • Act (Улучшения) — выполнение превентивных и корректирующих действий.

 ISO/IEC 27001 — международный стандарт по информационной безопасности разработанный совместно Международной Организацией по Стандартизации (ISO) и Международной электротехнической комиссией (IEC).

Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности.

Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной безопасности ISO/IEC 27001 (ISO 27001). ISO 27001 устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы.

Понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации.

 Основа стандарта ИСО 27001 – система управление рисками, связанными с информацией.Система управления рисками позволяет получать ответы на следующие вопросы:

- На каком направлении информационной безопасности требуется сосредоточить внимание?

- Сколько времени и средств можно потратить на данное техническое решение для защиты информации?

 Алгоритм внедрения системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO/IEC 27001

 Первый этап. Управленческий

  1. Осознать цели и выгоды внедрения СМИБ
  2. Получить поддержку руководства на внедрение и ввод в эксплуатацию системы менеджмента информационной безопасности (СМИБ)
  3. Распределить ответственность по СМИБ

Второй этап. Организационный

  1. Создать группу по внедрению и поддержке СМИБ
  2. Обучить группу по внедрению и поддержке СМИБ
  3. Определить область действия СМИБ

Третий этап. Первоначальный анализ СМИБ

  1. Провести анализ существующей СМИБ
  2. Определить перечень работ по доработке существующей СМИБ

Четвертый этап. Определение политики и целей СМИБ

  1. Определить политику СМИБ
  2. Определить цели СМИБ по каждому процессу СМИБ

Пятый этап. Сравнение текущей ситуации со стандартом

  1. Провести обучение ответственных за СМИБ требованиям стандарта
  2. Проработать требования стандарта
  3. Сравнить требования стандарта с существующим положением дел

Шестой этап. Планирование внедрения СМИБ

  1. Определить перечень мероприятий для достижения требований стандарта
  2. Разработать руководство по информационной безопасности

Седьмой этап. Внедрение системы управления рисками

  1. Разработать процедуру по идентификации рисков
  2. Идентифицировать и ранжировать активы

«Модули»

  1. Определить ответственных за активы
  2. Оценить активы
  3. Идентифицировать угрозы и уязвимости активов

«Угрозы»

  1. Рассчитать и ранжировать риски
  2. Разработать план по снижению рисков

«Меры защиты»

  1. Определить неприменимые контроли (направления) безопасности из приложения А
  2. Разработать положение о применимости контролей

Восьмой этап. Разработка документации СМИБ

  1. Определить перечень документов (процедур, записей, инструкций) для разработки
  2. Разработка процедур и других документов
  • управленческие процедуры (стандарт на разработку документов, управление документацией, записями; корректирующие и предупреждающие мероприятия; внутренний аудит; управление персоналом и др.)
  • технические процедуры (приобретение, развитие и поддержка информационных систем; управление доступом; регистрация и анализ инцидентов; резервное копирование; управление съемными носителями и др.)
  • записи управленческие (отчеты о внутренних аудитах; анализ СМИБ со стороны высшего руководства; отчет об анализе рисков; отчет о работе комитета по информационной безопасности; отчет о состоянии корректирующих и предупреждающих действий; договора; личные дела сотрудников и др.)
  • записи технические (реестр активов; план предприятия; план физического размещения активов; план компьютерной сети; журнал регистрации резервного копирования; журнал регистрации факта технического контроля после изменений в операционной системе; логи информационных систем; логи системного администратора; журнал регистрации инцидентов; журнал регистрации тестов по непрерывности бизнеса и др.)
  • инструкции, положения (правила работы с ПК, правила работы с информационной системой, правила обращения с паролями, инструкция по восстановлению данных из резервных копий, политика удаленного доступа, правила работы с переносным оборудованием и др.)
  1. Разработка и введение в действие документов СМИБ

Девятый этап. Обучение персонала

  1. Обучение руководителей подразделений требованиям ИБ
  2. Обучение всего персонала требованиям ИБ

Десятый этап. Разработка и принятие мер по обеспечению работы СМИБ

  1. Внедрение средств защиты
  • административных
  • учебных
  • технических

Одиннадцатый этап. Внутренний аудит СМИБ

  1. Подбор команды внутреннего аудита СМИБ
  2. Планирование внутреннего аудита СМИБ
  3. Проведение внутреннего аудита СМИБ

Двенадцатый этап. Анализ СМИБ со стороны высшего руководства

  1. Проведение анализа СМИБ со стороны высшего руководства

Тринадцатый этап. Официальный запуск СМИБ

  1. Приказ о введении в действие СМИБ

Четырнадцатый этап. Оповещение заинтересованных сторон

  1. Информирование клиентов, партнеров, СМИ о запуске СМИБ