BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/security/practicaliso.html

Практические аспекты применения международного стандарта безопасности информационных систем ISO 27001:2005
Наталья Куканова, http://dsec.ru
Опубликовано: dl, 28.03.07 00:41

Введение

В настоящее время более трех тысяч компаний по всему миру прошли сертификацию по международному стандарту ISO 27001, определяющему основные требования к разработке и функционированию системы управления информационной безопасностью (ИБ). В России сертификация по ISO 27001 только набирает обороты (на данный момент сертификат на соответствие требованиям стандарта получен четырьмя российскими компаниями). Однако компании, выполняющие консалтинг в области построения системы управления ИБ, отмечают возрастающий интерес российских компаний к стандарту ISO 27001. Естественно, что компаниям, которые задумались о получении сертификата, в первую очередь, важно понимать, какую выгоду они получат от прохождения сертификации, а также какие действия им необходимо будет выполнить для построения своей системы управления ИБ.

Получение сертификата на соответствие системы управления ИБ требованиям ISO 27001 позволяет самой компании, а также ее партнерам убедиться в том, что система управления ИБ внедрена в общую систему управления бизнес-процессами компании, что она работает правильно и эффективно. Это особенно важно в том случае, если компания работает с большими объемами ценной информации или если компания обрабатывает или хранит ценную информацию своих клиентов. Эффективная система управления ИБ, во-первых, обеспечивает необходимый уровень защиты всех информационных активов компании (т.е. существенно снижается риск нанесения ущерба компании из-за нарушения ИБ), и, во-вторых, гарантирует, что меры и средства защиты информации являются адекватными и пропорциональными возможному ущербу компании.

Цель настоящей статьи - описать этапы разработки и внедрения системы управления ИБ в компании, а также обратить особое внимание читателей на то, какие могут возникать проблемы и как избежать сложностей в данном процессе.

Этапы разработки и внедрения системы управления ИБ

            Для начала отметим, что подготовка к сертификации, как правило, делится на два основных этапа:

  1. разработка системы управления (и всех необходимых процедур);
  2. внедрение системы управления.

Для выполнения первого этапа рекомендуется приглашать консультантов. Второй этап (внедрение) выполняется самой компанией, т.е. специалисты компании должны ознакомиться с необходимыми процедурами, наладить их четкое выполнение, проверять и контролировать их эффективность и пр.

Можно выделить следующие основные этапы разработки системы управления ИБ:

  1. Инвентаризация активов.
  2. Категорирование активов.
  3. Оценка защищенности информационной системы.
  4. Оценка информационных рисков.
  5. Обработка информационных рисков (в том числе определение конкретных мер для защиты ценных активов).
  6. Внедрение выбранных мер обработки рисков.
  7. Контроль выполнения и эффективности выбранных мер.

Роль руководства компании в системе управления ИБ

Одним из основных условий эффективного функционирования системы управления ИБ является вовлеченность руководства компании в процесс управления ИБ. Все сотрудники должны понимать, что, во-первых, вся деятельность по обеспечению ИБ инициирована руководством и обязательна для выполнения, во-вторых, руководство компании лично контролирует функционирование системы управления ИБ, в-третьих, само руководство выполняет те же правила по обеспечению ИБ, что и все сотрудники компании.

Выбор области сертификации

Систему управления ИБ, как правило, целесообразно разрабатывать для всей компании в целом. Т.е. процедуры системы управления, в большинстве случаев, необходимы для выполнения во всей компании. Однако внедрить систему управления сразу во все бизнес-процессы часто непросто, поэтому проще внедрять систему управления последовательно. Таким образом, внедрив систему управления в каком-то одном бизнес-процессе компании, мы можем получить сертификат на нее в рамках данного бизнес-процесса, а затем расширять область сертификации (scope) по мере внедрения в остальные процессы компании. Следовательно, при подготовке к сертификации требуется определить область сертификации (описать, в какой конкретно подсистеме компании будет внедрена система управления). Аудиторы сертификационных органов проверяют выполнение всех процедур системы управления только в рамках выбранной области сертификации.

Важно иметь в виду, что описание области сертификации необходимо выполнить максимально подробно, т.е. требуется точно определить все активы, входящие в область сертификации.

Инвентаризация активов компании

Прежде всего, необходимо определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:

  1. информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
  2. программное обеспечение;
  3. материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
  4. сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);
  5. сотрудники компании, их квалификация и опыт;
  6. нематериальные ресурсы (репутация и имидж компании).

Следует определить, нарушение информационной безопасности каких активов может нанести ущерб компании. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при анализе информационных рисков.

Инвентаризация заключается в составлении перечня ценных активов компании. Как правило, данный процесс выполняют владельцы активов.

Понятие <владелец> определяет лиц или стороны, которые имеют утвержденные руководством компании обязанности по управлению созданием, разработкой, поддержанием, использованием и защитой активов. Понятие <владелец> не означает, что какое-либо лицо действительно имеет имущественные права на активы. [ISO/IEC 27001:2005]

Категорирование активов компании

В процессе категорирования активов необходимо оценить критичность активов для бизнес-процессов компании или, другими словами, определить, какой ущерб понесет компания в случае нарушения информационной безопасности активов.

Данный процесс вызывает наибольшую сложность, т.к. ценность активов определяется на основе экспертных оценок их владельцев. В процессе данного этапа часто проводятся обсуждения между консультантами по разработке системы управления и владельцами активов. Это помогает владельцам активов понять, каким образом следует определять ценность активов с точки зрения информационной безопасности (как правило, процесс определения критичности активов является для владельца новым и нетривиальным). Кроме этого, для владельцев активов разрабатываются различные методики оценки. В частности, такие методики могут содержать конкретные критерии (актуальные для данной компании), которые следует учитывать при оценке критичности.

Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов.

Оценку критичности активов можно выполнять в денежных единица и в уровнях. Однако, учитывая тот факт, что для анализа информационных рисков, необходимы значения в денежных единицах, в случае оценки критичности активов в уровнях, следует определить оценку каждого уровня в деньгах.

Например, для базовой оценки рисков достаточно трехуровневой шкалы оценки критичности - низкий, средний и высокий уровни. В этом случае оценка каждого уровня в деньгах будет выполняться на основе следующих принципов:

Название уровня

Определение в денежных единицах

Определение с точки зрения влияния на репутацию компании

Низкий уровень

Незначительный ущерб

Незначительное влияние на репутацию компании

Средний уровень

Заметный или большой ущерб

Существенное влияние на репутацию компании или ущемление ее интересов

Высокий уровень

Значительный ущерб

Урон репутации компании и ее интересам, который может представлять угрозу для продолжения деятельности компании вплоть до полного банкротства

 

Пример трехуровневой шкалы с оценкой в денежных единицах представлен в следующей таблице:

Название уровня

Оценка уровня, у.е.

Низкий

до 100 тыс.

Средний

от 100 тыс. до 1 млн.

Высокий

свыше 1 млн.

При выборе шкалы важно учитывать следующее:

  1. чем меньше количество уровней, тем ниже точность оценки;
  2. чем больше количество уровней, тем выше сложность оценки (т.е. сложно определить разницу между, скажем, 7ым и 8ым уровнем десятиуровневой шкалы).

Следовательно, нужно найти <золотую середину> - чтобы и точность не очень пострадала, и сложность не превышала допустимые пределы.

Кроме этого, следует иметь в виду, что для расчета информационных рисков достаточно примерных значений критичности активов, т.е. не обязательно оценивать активы с точностью до денежной единицы. Однако денежное выражение критичности все равно необходимо.

Рассмотрим подробнее принципы оценки критичности каждого указанного актива:

  1. информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия, модификации или недоступности в течение определенного времени;
  2. программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности. Т.е. требуется определить, какой ущерб понесет компания при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов компании, к ним будет нарушен доступ, и вследствие этого компания понесет убытки;
  3. сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Доступность сотрудников оценивается  с точки зрения их отсутствия на рабочем месте. Т.е. оценивается, какой ущерб понесет компания при отсутствии сотрудника в течение определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфичных операций;
  4. репутация компании оценивается в связи с информационными ресурсами. Т.е. оценивается, какой ущерб репутации компании будет нанесен в случае нарушения безопасности информации компании.

Заметим, что процесс категорирования активов должен подчиняться четким документированным процедурам компании. Т.е. аудиторам сертификационного органа будет недостаточно формального документа, отражающего результаты категорирования. От владельцев активов требуется, чтобы они могли объяснить, какие методики они использовали при оценке, на основании каких данных были получены результаты оценки.

Оценка защищенности информационной системы компании

Очевидно, что для анализа информационных рисков необходимо оценить не только критичность активов, но и уровень их защищенности.

В процессе оценки защищенности информационной системы определяются угрозы, действующие на активы, а также уязвимости информационной системы, в которой обрабатываются активы и которые могут привести к реализации угроз. Угрозы и уязвимости рассматриваются только вместе друг с другом. Уязвимость, через которую невозможно реализовать ни одну угрозу, не имеет смысла. Аналогично, угроза, которую невозможно реализовать ввиду отсутствия уязвимости, также неактуальна. Не вызывает сомнения, что различные угрозы и уязвимости имеют разное значение (разный вес) для информационной системы. Например, злоумышленник скорее решит воспользоваться открытой дверью, чем открытым окном, если офис компании расположен на семнадцатом этаже тридцатичетырехэтажного здания (однако, совсем исключать эту возможность не стоит). Следовательно, необходимо определить, какие угрозы и уязвимости наиболее актуальны, а какие менее значимы, или, другими словами, определить вероятность реализации угрозы через уязвимость. Вероятность реализации уязвимостей (как и любая другая вероятность) определяется в пределах от 0 до 1 (или от 0 до 100%).

Угрозы, уязвимости, а также их вероятности определяются в результате проведения технологического аудита защищенности информационной системы компании. Такой аудит может быть выполнен как специалистами компании (так называемый, внутренний аудит), так и сторонними консультантами (внешний аудит).

Оценка информационных рисков

Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.

Классическая формула оценки рисков:

1,

где       R - информационный риск;

D - критичность актива (ущерб);

P(V) - вероятность реализации уязвимости.

Результаты оценки рисков, как правило, представляются в <Отчете об оценке информационных рисков компании>.

Обработка информационных рисков

Обработка информационных рисков - это этап, в процессе которого определяется, какие действия по отношению к рискам требуется выполнить в компании.

Основными способами обработки рисков являются:

  1. принятие рисков;
  2. уклонение от рисков;
  3. передача рисков;
  4. снижение рисков.

Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым. Т.е. компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.

Уклонение от рисков - это полное устранение источника риска.

Передача рисков - перенесение ответственности за риск на третьи лица (например, поставщику оборудования или страховой компании) без устранения источника риска.

Снижение рисков - это выбор и внедрение мер по снижению вероятности нанесения ущерба.

В процессе обработки рисков сначала требуется определить, какие риски требуют дальнейшей обработки, а какие можно принять. Как правило, это определяется с помощью оценки приемлемого уровня риска. Риски, равные или ниже приемлемого, можно принять. Очевидно, что для рисков, превышающих приемлемый уровень, требуется выбрать дальнейшие меры по обработке. Приемлемый уровень риска определяется руководством компании или специальной группой, в которую входят руководители и главные финансисты компании. Например, если руководство компании декларирует, что низкий уровень риска считается приемлемым, то дальнейшие действия по обработке рисков определяются только для средних и высокий уровней риска. Причем средний и высокий уровень риска требуется снизить до низкого уровня (т.е. до приемлемого уровня).

В случае если в компании наблюдается большой разброс значений риска (как правило, это может возникнуть, если критичности активов была определена в денежных единицах, а не уровнях), информационные риски можно разбить на категории и определять приемлемый уровень для каждой категории отдельно. Это вызвано тем, что снижать различные значения рисков до одного заданного значения не всегда целесообразно (часто для снижения высоких рисков до заданного уровня необходимы неоправданно большие затраты).

По результатам данного этапа требуется составить <Отчет об обработке информационных рисков компании>, который подробно описывает способы обработки рисков. Кроме этого, составляется <План снижения рисков>. В настоящем плане четко описываются конкретные меры по снижению рисков, сотрудники, ответственные за выполнение каждого положения плана, сроки выполнения плана.

Положение о применимости

По результатам оценки и обработки рисков разрабатывается Положение о применимости. Наличие этого документа обязательно для прохождения сертификации. Положение о применимости содержит все требования Приложения А к стандарту ISO 27001 с описанием, выполняются ли данные требования в компании. Если требования не выполняются, необходимо описать причину невыполнения (такой причиной могут быть результаты оценки рисков). Если требования выполняются, следует перечислить документы, которым должно соответствовать их выполнение.

В Приложении А к стандарту ISO 27001 перечислены все требования к обеспечению безопасности, которые должны выполняться в компании. Следовательно, Положение о применимости является итоговым решением относительно снижения информационных рисков компании.

Документированные процедуры

Стандарт требует, чтобы все меры по снижению рисков были документально зафиксированы. Т.е. для эффективного управления ИБ необходимо наличие процедур, которые будут поддерживаться определенными документами (инструкциями, политиками, регламентами), выполняться определенными людьми. И каждая процедура должна быть отражена в соответствующем документе. Документированные процедуры являются обязательным элементом системы управления ИБ. Следовательно, в рамках системы управления необходимо разработать базу нормативных документов, описывающих все процедуры в области ИБ.

Основными документами по управлению ИБ являются Политика управления информационной безопасностью и Политика информационной безопасности. Политика управления ИБ описывает общий подход к управлению ИБ. Политика ИБ описывает основные процедуры обеспечения ИБ с указанием ссылок на конкретные документы системы управления ИБ.

Кроме этого, разрабатываются методики и инструкции, описывающие процедуры обеспечения ИБ и управления ею.

В качестве примеров можно привести следующие методики:

  1. Методика инвентаризации активов.
  2. Методика категорирования активов.
  3. Методика оценки информационных рисков.
  4. Методик обработки информационных рисков.

Инструкции следует разработать для каждой процедуры обеспечения ИБ. Примерный перечень может содержать следующие инструкции:

  1. Инструкция по обеспечению сохранности конфиденциальной информации (соглашение о конфиденциальности).
  2. Инструкция пользователя по обеспечению информационной безопасности.
  3. Инструкция системного администратора по обеспечению информационной безопасности.
  4. Инструкция администратора безопасности.
  5. Инструкция по управлению доступом пользователей к информационной системе.
  6. Инструкция по защите от вредоносного программного обеспечения.
  7. Инструкция по выполнению резервного копирования.
  8. Инструкция по обращению со съемными носителями информации.
  9. Инструкция по использованию мобильных компьютеров.
  10. Инструкция по использованию средств криптографической защиты информации.
  11. Инструкция по внесению изменений в информационную систему.
  12. Инструкция по управлению инцидентами информационной безопасности.
  13. План непрерывности ведения бизнеса.
  14. Регламент обеспечения физической безопасности.

Обучение сотрудников компании

В настоящей статье, наверное, нет смысла описывать все способы снижения информационных рисков, т.к., во-первых, они могут сильно различаться в зависимости от особенностей информационных систем, а, во-вторых, как правило, системные администраторы и администраторы безопасности знают, какие средства защиты требуется внедрить в их информационную систему.

Остановимся подробнее на одном из способов снижения рисков, на который стандарт обращает особое внимание и который часто вызывает сложности при реализации, - обучение пользователей информационной системы.

В настоящее время внутренний нарушитель уверено занимает лидирующие позиции среди основных угроз ИБ. Это связано, прежде всего, с тем, что внешний периметр в большинстве компаний защищен достаточно надежно. Кроме этого, сотрудники компании являются легитимными пользователями информационной системы, т.е. им необходимо иметь доступ к ценной информации компании для выполнения своих должностных обязанностей. Следовательно, средства защиты в гораздо меньшей степени обеспечивают безопасность информации от внутреннего нарушителя. Основными способами воздействия на сотрудников компании являются нормативные документы, устанавливающие ответственность сотрудника за выполняемые действия, и информирование сотрудников по вопросам ИБ. С целью повышения осведомленности сотрудников компании в области ИБ проводятся различные виды тренингов и обучения.

Обучение сотрудников можно выполнять в форме очных и заочных курсов с последующим тестированием. Однако в больших компаниях проведение курсов часто вызывает сложности, так как, во-первых, сложно организовать курсы для большого количества сотрудников, а, во-вторых, часто руководителям не хочется отрывать сотрудников от работы для участия в многочасовых семинарах. В таком случае, целесообразно организовать обучение сотрудников с помощью системы дистанционного обучения, в рамках которой могут быть представлены различные курсы (как для пользователей, так и для специалистов), игровые методики обучения, тестирование.

Управление ИБ

Управление ИБ заключается в четком выполнении всех процедур по управлению ИБ и по обеспечению ИБ, координация и регулирование процедур, контроль их правильного, а также эффективного выполнения.

Стандарт декларирует два основных принципа управления.

  1. Процессный подход к управлению безопасностью. Процессный подход рассматривает управление как процесс - набор взаимосвязанных непрерывных действий. Процессный подход акцентирует внимание на достижении поставленных целей, а также на ресурсах, затраченных для достижения целей.
  2. Применение PDCA-модели как основа для всех процедур управления ИБ. PDCA-модель (или модель Шухарта-Деминга) определяет четыре этапа, которые последовательно должны выполняться для каждого процесса.

2

Название этапа

Описание этапа

Планируй (создание СУИБ)

Определение Политики управления ИБ, целей, процессов и процедур, мер и способов обеспечения ИБ.

Выполняй (внедрение и функционирование СУИБ)

Внедрение и функционирование Политики управления ИБ, требований, процессов и процедур.

Проверяй (мониторинг и проверка СУИБ)

Оценка и (при необходимости) анализ функционирования процессов в соответствии с требованиями документов системы управления ИБ, а также предоставление отчетов о результатах проведения проверок руководству компании.

Действуй (поддержание и улучшение СУИБ)

Выполнение корректирующих и превентивных действий.

Таким образом, для каждой процедуры системы управления ИБ определяются правила выполнения, необходимые ресурсы, график выполнения, процедуры контроля, критерии оценки эффективности. При этом для каждой процедуры последовательно и непрерывно выполняются следующие этапы: планирование процедуры, внедрение процедуры, проверка правильности и эффективности выполнения процедуры, внесение необходимых изменений в ход выполнения процедуры. Далее через определенный период времени требуется заново пересматривать цели и задачи выполнения процедуры, т.е. заново приступать к выполнению первого этапа модели PDCA.

Основная сложность может заключаться в проверке эффективности процедур системы управления ИБ. Т.е. для каждой процедуры необходимо разработать критерии, по которым будет проверяться ее эффективность, и, кроме этого, такие критерии требуется разработать для всей системы управления в целом.

Критериями оценки эффективности системы управления ИБ могут быть, например, изменение количества инцидентов ИБ, квалификация пользователей в области ИБ  и пр.

Внедрение процедур системы управления ИБ

Внедрение процедур, как правило, заключается в информировании соответствующих сотрудников о правилах и сроках выполнения процедуры, регулярный контроль выполнения процедуры, а также оценка ее эффективности, внесение корректирующих и превентивных действий. Т.е., по сути, внедрение всего цикла PDCA-модели для каждой процедуры.

Как правило, консультанты по разработке и внедрению системы управления ИБ разрабатывают <План внедрения системы управления>, в котором описывают четкую последовательность действий при внедрении процедур, методы контроля и осуществления проверок выполнения процедуры.

Заключение

Систему управления ИБ можно считать внедренной и эффективно функционирующей на практике тогда, когда все ее процедуры хотя бы один раз пройдут этапы модели PDCA, когда будут найдены и решены проблемы, возникающие при внедрении процедур.

ИБ - достаточно трудоемкий процесс. Однако если к задаче обеспечения безопасности подойти комплексно и своевременно, а также выполнять все рекомендации международных стандартов в области управления ИБ - ISO/IEC 27001:2005 и ISO/IEC 17799:2005, то процесс обеспечения ИБ, а также управления безопасностью станет прозрачным, а защита от угроз безопасности эффективной.



Наталья Куканова (nataliya.kukanova@dsec.ru)
аналитик по информационной безопасности
Digital Security

"Защита информации. Инсайд." №1/2007

обсудить  |  все отзывы (0)

[70449; 12; 7.41]




  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach