Методология внедрения ISO/IEC 27001:2005 при построении СУИБ

БЕЗОПАСНОСТЬ

Начиная с осени 2005 г. на российском рынке информационной безопасности (ИБ) все большую известность при построении корпоративных систем управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC 27001:2005 "Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования".

Тому есть несколько причин. Так, c одной стороны, большинство российских компаний становятся более зрелыми и компетентными участниками и внутреннего, и внешних рынков. К определяющим факторам таких изменений можно отнести процедуру постепенного вхождения России во Всемирную торговую организацию (ВТО) и желание крупных предприятий выйти на фондовые рынки, реализовав процедуру первоначального публичного предложения (размещения) своих акций на международных биржах.

Истоки создания ISO/IEC 27001:2005

С другой стороны, вырос уровень сервиса большинства консалтинговых фирм, предлагающих свои услуги в области построения СУИБ на базе ISO/IEC 27001:2005 с последующей сертификацией.

Несомненно, нужно учесть позитивные изменения, которые произошли в законодательстве страны в области ИБ за последние годы. Назовем наиболее значимые из них.

- В 2002 г. правительством РФ была утверждена "Программа комплексной стандартизации в области защиты информации на 2002-2010 годы", предусматривающая разработку 38 ГОСТ Р.

- Федеральная служба по техническому и экспортному контролю, лицензирующая деятельность по защите информации и сертификации соответствующих средств, в настоящее время занимается вводом в действие комплексного стандарта ГОСТ ИСО/ МЭК 15408-2002 "Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий", который был разработан на базе международного стандарта ISO/IEC 15408 "The common criteria for information technology security evaluation".

- Государственная Дума 28 июня 2006 г. приняла законопроект "Об информации, информационных технологиях и о защите информации".

В данной статье мы постараемся дать ответы на ряд актуальных вопросов, возникающих у менеджеров компаний и у технических специалистов в ходе ознакомления со стандартом ISO/IEC 27001:2005 и при построении СУИБ на его основе.

Стандарт ISO/IEC 27001:2005 в общей системе государственных стандартов и технических регламентов РФ

За последние два-три года очень заметными стали изменения в области законодательства и, что немаловажно, явно выделилась положительная тенденция принятия основных положений международных стандартов как основы для разработки стандартов государственных. В частности, были приняты или планируются к принятию ГОСТы на базе следующих международных стандартов:

- в сфере ИТ - ISO/IEC 7501-1:1997, ISO/IEC 7501-2:1997, ISO/IEC 7501-3:1997, ISO/IEC TR 19760:2003;

- в сфере ИКТ в образовании - ISO/IEC 18056:2005, ISO/IEC 8825-4:2002/Amd.1:2004, ISO/IEC 8825-5:2004;

- в сфере информационной безопасности - ISO/IEC 17799:2005, ISO/IEC 27001:2005 и др.

- Федеральным агентством по техническому регулированию и метрологии разработаны следующие государственные стандарты РФ, в которых есть ссылки на международный стандарт ISO/IEC 27001:2005:

- ГОСТ Р ИСО/МЭК 27001 "Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (этот стандарт принят 31 декабря 2006 г.);

- СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (стандарт Банка России). Необходимо отметить, что стандарт этот комплексный и в его основу положены группа стандартов ISO/IEC (в частности, ISO/IEC 17799-1:2005, ISO/IEC 18028-1:2006, ISO/IEC 18043, ISO/IEC TR 18044-2004 и т. д.); стандарт COBIT; методологии анализа и управления рисками OCTAVE и CRAMM; ГОСТы и др.

История формирования стандарта ISO/IEC 27001:2005

Истоки ISO/IEC 27001:2005 находятся в британском государственном стандарте BS 7799, который был разработан в 1995 г. Британским институтом стандартов и ведущими организациями и компаниями Великобритании.

В 1999-м первая часть BS 7799 была передана в Международную организацию по стандартизации (ISO - The International Organization for Standardization) и в 2000-м утверждена в качестве международного стандарта как ISO/IEC 17799:2000 (BS 7799-1:2000). Следующей его версией стал стандарт ISO/IEC 17799:2005.

Российские эксперты в области управления информационной безопасностью начали активно применять стандарт ISO/IEC 17799 на практике приблизительно в 2001-2002 гг.

В 1999 г. вышла в свет вторая часть британского стандарта: BS 7799-2:1999 Information Security management - Specification for ISMS (ISMS - Information Security Management System). В 2002 г. появилась новая, усовершенствованная редакция стандарта - BS 7799-2:2002. На ее основе 14 октября 2005-го был принят стандарт ISO/IEC 27001:2005 (см. рис. 1).

В нынешнем году ожидается развитие серии стандартов 27000 и выпуск ISO/IEC 27002, который сменит ISO/IEC 17799:2005.

Необходимо отметить, что с практической точки зрения ISO/IEC 27001:2005 не просто выдвигает требования к разработке, внедрению и совершенствованию СУИБ, но и является сертификационным стандартом, что несомненно делает его более привлекательным как для специалистов по информационной безопасности, так и для бизнеса в целом.

Однако нельзя забывать, что при разработке и внедрении корпоративной СУИБ целесообразно использовать и другие государственные или отраслевые стандарты, например ГОСТ Р ИСО/МЭК 17799 "Информационные технологии. Методы и средства обеспечения защиты. Свод практических рекомендаций для менеджмента защиты информации", принятый в конце сентября 2006 г., или его международный аналог ISO/IEC 17799:2005.

 Конкурентные преимущества внедрения СУИБ и сертификации на соответствие стандарту ISO/IEC 27001:2005

СУИБ дает компаниям следующие преимущества:

- лучшую управляемость и надежность бизнеса;

-  защиту ключевых бизнес-процессов;

- повышение доверия к компании как к партнеру и клиенту;

- упрощение выхода на внешние рынки - при наличии СУИБ и сертификата, выданного BSI Management Systems (BSI - British Standards Institution, Британский институт стандартов). Созданный в 1901 г. BSI превратился ныне в глобальную сеть (BSI Management Systems), состоящую из дочерних компаний, которые предлагают услуги по стандартизации и сертификации продукции и систем менеджмента BSI;

- повышение авторитета как на внутреннем, так и на внешних рынках;

- повышение доходности и капитализации бизнеса в целом.

Для структурных подразделений - отделов ИТ и служб безопасности - преимущества могут быть такими:

- систематизация процессов обеспечения ИБ;

- расстановка приоритетов компании в области ИБ;

- управление информационной безопасностью компании в рамках единой корпоративной политики;

- управление рисками и их своевременное выявление;

- снижение рисков от внешних и внутренних угроз;

- оптимизация управленческих процессов;

- повышение эффективности функционирования СУИБ и защищенности информационных систем.

Основные мероприятия, выполняемые при организации СУИБ и регламентируемые ISO/IEC 27001:2005

Основные этапы внедрения стандарта ISO/IEC 27001:2005 при развертывании СУИБ

Выполнение требований ISO/IEC 27001:2005 позволяет компаниям формализовать и структурировать процессы управления ИБ по следующим направлениям:

- разработка политики ИБ;

- организация ИБ;

- организация управления внутренними активами и ресурсами компании, составляющими основу ее ключевых бизнес-процессов;

- защита персонала и снижение внутренних угроз компании;

- физическая безопасность в компании и безопасность окружающей среды;

- управление средствами связи и эксплуатацией оборудования;

- разработка и обслуживание аппаратно-программных систем;

- управление непрерывностью бизнес-процессов в компании;

- соблюдение правовых норм по безопасности.

Цели и комплексы мероприятий ISO/IEC 27001:2005 по каждому направлению работ были заимствованы из стандарта ISO/IEC 17799:2005 (разделы 5-15) и перечислены в его приложении А (Annex A. Control objectives and controls).

 Основные этапы работ по созданию СУИБ

Построение корпоративной СУИБ представляет собой сложный, многоэтапный, циклический организационно-технологический процесс. Как показывает опыт реализации проектов по разработке СУИБ в компании "Концептуальные системы", внедрение данного стандарта целесообразно осуществлять в несколько последовательных этапов (см. рис. 2):

Давайте подробно рассмотрим каждый такой этап.

Требования к консалтинговым компаниям

Наиболее ответственный этап - выбор консалтинговой компании: именно он определяет не только возможность получения сертификата BSI, но и успех дальнейшего развития бизнеса компании-заказчика.

Консалтинговая компания, выполняющая аудит на соответствие заказчика положениям ISO/IEC 27001:2005, должна иметь:

- опыт в области аудита и реализации проектов;

- высокий квалификационный статус, подтвержденный качеством выполненных проектов, отзывами клиентов и деловых партнеров;

- наработку собственных комплексных методик аудита, построения СУИБ, анализа и управления рисками и т. д., не только включающих в себя директивы ISO в области ИБ, но и расширенных за счет использования других стандартов и методик;

- наличие сертифицированных специалистов по направлениям информационных технологий, соответствующих областей деятельности (ОД) компании.

Хорошим тоном считается, когда консалтинговая фирма пользуется поддержкой сертифицирующей организации, например BSI Management Systems.

На наш взгляд, центра поддержки, рекомендуемого специалистами TopS Business Integrator, работающего в круглосуточном режиме, у консалтинговой компании быть не должно. Дело в том, что СУИБ является закрытой внутренней системой, регулируемой и поддерживаемой прежде всего собственными специалистами предприятия, эксплуатирующего СУИБ. Поэтому дистанционный мониторинг средств защиты информации со стороны компании-консультанта недопустимо.

 Цель, задачи и регламент аудиторской проверки

Первый этап разработки СУИБ - аудит компании на соответствие положениям ISO/IEC 27001:2005.

Главная цель аудита - объективно оценить состояние действующей системы управления ИБ компании, ее адекватность целям и задачам бизнеса, а также разработать рекомендации по построению, внедрению и совершенствованию СУИБ.

Во время аудиторских работ, выполняемых консалтинговой компанией, решаются следующие основные задачи:

- анализ структуры организации;

- анализ защищаемой области деятельности компании и организационно-распорядительных документов;

- анализ структуры и функциональных особенностей используемых ИТ, в частности автоматизированной системы сбора, обработки, передачи и хранения информации;

- проверка выполнения требований ISO/IEC 27001:2005 к СУИБ;

- разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению для создания, построения и совершенствования СУИБ.

В большинстве случаев решение перечисленных задач выполняется в четыре этапа.

Этап 1. Планирование мероприятий по аудиту. На данном этапе специалисты аудиторской компании собирают организационно-распорядительные документы, отраслевые стандарты, недокументированные проектные решения и другие рабочие материалы, которые могут иметь непосредственное отношение к созданию системы управления ИБ и информационных систем компании, способствующих использованию механизмов и средств обеспечения ИБ. Этот же этап включает разработку, согласование и утверждение планов мероприятий по аудиту.

Этап 2. Проверка на соответствие ISO/IEC 27001:2005: определение области деятельности и ключевых бизнес-процессов компании, которые необходимо защитить в первую очередь; анкетирование и интервьюирование сотрудников компании (разных уровней); анализ организационно-распорядительных и нормативных документов; анализ ИБ на соответствие ISO/IEC 27001:2005.

Этап 3. Оценка рисков ИБ - аналитический и инструментальный анализ информационных ресурсов компании, прежде всего ЛВС; консультации специалистов компании; оценка соответствия фактического и необходимого уровня безопасности информации; анализ рисков.

 Этап 4. Систематизация результатов обследования и формирование отчетности. Предоставление итогового отчета руководству компании.

Создание СУИБ в компании

После выполнения аудиторских работ фирма-заказчик совместно с консалтинговой компанией приступают к разработке, внедрению (или совершенствованию) системы управления информационной безопасностью.

Основные задачи этого этапа:

- анализ структуры компании, функциональных особенностей построения бизнес-процессов и используемых в них ИТ. Определение защищаемой области деятельности компании;

- систематизация и определение ценности активов компании-заказчика, входящих в ее ОД, т. е составление перечня активов с указанием их собственника, места размещения, ответственного и т. д.;

- анализ рисков ИБ, определение возможных путей их реализации (несанкционированного воздействия на подсистемы и бизнес-процессы), классификация рисков по степени критичности, оценка вероятного ущерба от реализации угроз, расчет эффективности внедрения комплексных мероприятий по снижению рисков;

- разработка ИБ-политики компании;

- определение процедур по снижению рисков;

- создание положения о применимости комплекса контролей (иначе - комплекса мероприятий по созданию СУИБ);

- разработка и внедрение СУИБ;

- разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению режима ИБ в организации;

- анализ и оценка результатов внедрения СУИБ.

Рассмотрим основные этапы работ по построению и внедрению СУИБ в компании.

 Этап 1. Подготовка планов мероприятий. На данном этапе специалисты осуществляют сбор организационно-распорядительных документов и других рабочих материалов, касающихся построения и функционирования информационных систем компании, планируемых к использованию механизмов и средств обеспечения ИБ. Кроме того, составляются, согласуются и утверждаются у руководства компании планы мероприятий по этапам работ.

Этап 2. Проверка на соответствие ISO/IEC 27001:2005. Интервьюирование и анкетирование менеджеров и сотрудников подразделений. Анализ СУИБ компании на соответствие требованиям стандарта ISO/IEC 27001:2005.

Этап 3. Анализ нормативных и организационно-распорядительных документов (ОРД), опирающихся на организационную структуру компании. По его результатам определяется защищаемая ОД и разрабатывается эскиз политики ИБ компании.

Этап 4. Анализ и оценка рисков ИБ. Разработка методики по управлению рисками компании и их анализу. Анализ информационных ресурсов компании, в первую очередь ЛВС с целью выявления угроз и уязвимостей защищаемых активов ОД. Инвентаризация активов. Проведение консультаций для специалистов компании и оценка соответствия фактического и необходимого уровня безопасности. Расчет рисков, определение текущего и допустимого уровня риска для каждого конкретного актива. Ранжирование рисков, выбор комплексов мероприятий по их снижению и расчет теоретической эффективности внедрения.

Этап 5. Разработка и реализация планов мероприятий по ИБ. Разработка положения о применимости контроля в соответствии с ISO/IEC 27001:2005. Разработка плана учета и устранения рисков. Подготовка отчетов для руководителя компании.

Этап 6. Разработка нормативных и организационно-распорядительных документов. Разработка и утверждение окончательной политики ИБ и соответствующих ей положений (подполитик). Разработка стандартов, процедур и инструкций, обеспечивающих нормальное функционирование и эксплуатацию СУИБ компании.

Этап 7. Внедрение комплексных мероприятий по снижению рисков ИБ и оценка их эффективности в соответствии с утвержденным руководством планом обработки и устранения рисков.

Этап 8. Обучение персонала. Разработка планов мероприятий и внедрение программ по обучению и повышению компетенции сотрудников компании с целью эффективного донесения принципов ИБ до всех сотрудников и в первую очередь тех, кто работает в структурных подразделениях, обеспечивающих ключевые бизнес-процессы.

  Этап 9. Формирование отчетности. Систематизация результатов обследования и подготовка отчетности. Представление результатов работ для руководителей компании. Подготовка документов к лицензированию на соответствие ISO/IEC 27001:2005 и передача их в сертифицирующую организацию.

Этап 10. Анализ и оценка результатов внедрения СУИБ на основании методики, оценивающей надежность функционирования СУИБ компании. Разработка рекомендаций по совершенствованию системы управления ИБ компании.

ISO 27001 - доли участия организаций в сертификации

Стоит подчеркнуть, что этап повторного аудита после создания корпоративной СУИБ не является обязательным, но провести его перед сертификацией целесообразно, чтобы уточнить, как выполняются требования стандарта и рекомендации консалтинговой компании.

Процедура сертификации СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2005

Последний этап формирования СУИБ - сертификация на соответствие требованиям международного стандарта ISO/IEC 27001:2005.

Существует несколько уполномоченных организаций, которые имеют право выдачи сертификатов соответствия, например BSI Management Systems, DNV Certification US (подразделение Det Norske Veritas), URS Certification Limited, TUV Rheinland Group, Certification International и т. д.

Процедура сертификации в BSI по ISO/IEC 27001:2005 достаточно проста. После трех - шести месяцев эксплуатации СУИБ компания-заказчик подает заявку на сертификацию в BSI Management Systems (с 2004 г. на территории России и других стран СНГ действует региональное представительство этой организации - BSI Management Systems Russia). После утверждения заявки BSI присылает аудиторов для изучения документации с целью выявления слабых мест в системе управления, и если таковых не обнаружено, то проводит сертификационный аудит в организации, представив график работ и смету.

При успешном завершении аудита BSI Management Systems выдает сертификат сроком на три года.

 С автором статьи, директором по развитию бизнеса ООО "Концептуальные системы", можно связаться по e-mail: a.chesalov@conceptual-s.com.