Куканова Наталья (nataliya.kukanova@dsec.ru)
аналитик по информационной безопасности
Digital Security (опубликовано в журнале "CNews")

Руководители, как правило, понимают, какие преимущества получит компания после сертификации системы управления информационной безопасностью. Это и позитивное отношение бизнес-партнеров, и прозрачность управления и обеспечения информационной безопасности, а также эффективное управление информационными рисками. Однако существует масса сложностей, с которыми могут столкнуться и сталкиваются компании в процессе подготовки системы управления информационной безопасностью к сертификации.

Сертификация системы управления информационной безопасностью на соответствие международному стандарту ISO/IEC 27001 в России и странах СНГ постепенно перестает быть чем-то необычным. Если не так давно многие еще не знали, из чего складывается система управления информационной безопасности и как наладить ее функционирование, то теперь основные вещи стали известны и понятны.

Итак, система управления информационной безопасностью в соответствии со стандартом ISO 27001 — это часть общей системы управления компании, основанной на подходе анализа бизнес-рисков, которая необходима для разработки, внедрения, мониторинга, пересмотра и совершенствования мер по обеспечению информационной безопасности. Система управления включает организационную структуру, политики, планируемые действия, обязанности и ответственность, практики, процедуры, процессы и ресурсы. Таким образом, система управления информационной безопасностью — это некий механизм, свод правил, по которым должны функционировать все процессы управления безопасностью.

Следовательно, для внедрения системы управления информационной безопасностью требуется определить необходимые процедуры, описать правила их функционирования и внедрить в жизнь информационной системы компании. Эти, казалось бы, нехитрые действия на практике вызывают много проблем и вопросов.

Этапы разработки и внедрения системы управления информационной безопасностью

Процесс разработки и внедрения системы управления информационной безопасностью включает в себя следующие этапы.Первый — принятие решения на уровне руководства компании о создании системы управления. На этом этапе следует определить, будет компания своими силами разрабатывать систему управления и готовить ее к сертификации или приглашать консультантов. (Однако, как показывает практика, даже в случае приглашения консультантов, сотрудникам компании необходимо будет принимать активное участие этом в процессе).

Второй этап — выделение ресурсов для создания системы управления (в первую очередь речь идет о выделении сотрудников, которые будут ответственны за различные этапы работ) и выбор консультантов, если было принято соответствующее решение.

На третьем этапе — разработки системы управления — следует выполнить следующие шаги:

• провести инвентаризацию активов компании (выполняется консультантами совместно с сотрудниками компании);
• выполнить категорирование активов (выполняется сотрудниками компании с помощью консультантов);
• выполнить технологический аудит защищенности информационной системы с выявлением угроз и уязвимостей информационной системы (выполняется консультантами или сотрудниками компании);
• оценить информационные риски компании (выполняется консультантами или сотрудниками компании);
• разработать план управления информационными рисками (выполняется консультантами или сотрудниками компании);
• разработать базы нормативных документов по информационной безопасности (выполняется консультантами или сотрудниками компании).

И наконец, в рамках внедрения системы управления требуется добиться полного выполнения всех документов по информационной безопасности, наладить процесс на основе PDCA-модели, организовать ведение записей и оценку эффективности процессов системы управления (выполняется сотрудниками компании с помощью консультантов).

Определение необходимых процедур системы управления ИБ

Система управления разрабатывается на основе международных стандартов по управлению информационной безопасностью ISO 27001 и ISO 17799, которые представляют собой набор процедур по управлению и обеспечению безопасности информационных ресурсов. Однако перечисленные процедуры не являются обязательными для выполнения во всех компаниях, так как следование всем процедурам может быть экономически нецелесообразно и неэффективно. Таким образом, прежде всего, следует определить, какие процедуры целесообразно выполнять в конкретной компании. Естественно, что для этого следует понять, какие из активов требуют защиты и в какой степени. Эту задачу решают с помощью анализа информационных рисков, в процессе которого определяются все ценные активы компании, их критичность, а также угрозы и уязвимости, действующие на информационные активы.

В процессе анализа информационных рисков можно столкнуться, например, с такими сложностями. Во-первых, необходимость выбора наиболее актуального алгоритма оценки рисков. Подобных алгоритмов не так много, и все они, в той или иной степени, основаны на методиках оценки материальных рисков (используемых, например, в автостраховании или страховании жилья). Как правило, выбор наиболее подходящего алгоритма осуществляют специалисты по информационной безопасности или консультанты, помогающие готовить систему управления безопасностью к сертификации.

Во-вторых, категорирование информационных активов компании. Основной сложностью в этом процессе является то, что специалисты компании, как правило, затрудняются определить стоимость информации. Т.е. специалистам по информационной безопасности, как правило, требуется объяснить специалистам, работающим с информацией, что от них требуется, а также разработать методики и критерии категорирования информации. Заметим, что определение стоимости активов действительно очень сложный процесс. Однако для оценки информационных рисков достаточно оценить стоимость активов приблизительно, т.е. проранжировать ресурсы относительно друг друга. Для этого можно, например, использовать шкалу из трех-пяти уровней. Кроме этого, сотрудникам, оценивающим стоимость активов, следует подробно описать, что от них требуется. Например, сотруднику будет гораздо понятнее фраза «определите ущерб, который понесет компания от одного часа отсутствия доступа к данному информационному активу», чем «определите ущерб по доступности данного информационного актива».

В-третьих, определение вероятности реализации угроз и уязвимостей. При определении угроз и уязвимостей информационной системы, как правило, значительных трудностей не возникает (возможно, кроме определения границ множества угроз и уязвимостей, которое, как известно, бесконечно). Однако определить вероятность реализации угроз и уязвимостей — гораздо более сложная задача. Для ее упрощения можно использовать трехуровневую шкалу для вероятности, т.к. определить уровень вероятности реализации (низкий, средний или высокий) гораздо проще, чем определить вероятность реализации в процентах. Кроме этого, вероятность уязвимости можно разбить на параметры, ее составляющие, тогда оценка будет куда проще. Например, вероятность реализации уязвимости оценивается, в том числе, на основе простоты реализации уязвимости и доступности ресурса, на котором существует данная уязвимость.

На основе результатов анализа информационных рисков определяется перечень активов, требующих защиты, а также необходимый уровень их защищенности. Следовательно, мы можем определить, какие из процедур, изложенных в ISO 17799, являются неприменимыми для нашей компании, а какие неактуальны по результатам анализа информационных рисков. Таким образом, мы получим перечень процедур, необходимых для обеспечения безопасности наших ценных активов. Данный перечень следует отразить в Положении о применимости. Это документ, в котором перечислены все процедуры из ISO 17799 с пометкой, выполняются ли они в компании, и если не выполняются, то объясняется почему.

После определения перечня процедур следует для каждой процедуры описать правила ее выполнения, периодичность и пр. Естественно, что такие правила следует отразить в соответствующих документах (документирование процедур — одно из основных требований стандарта ISO 27001). Наверное, нет смысла перечислять все возможные документы по информационной безопасности. Необходимо отметить только то, что основным и ведущим документом является «Политика безопасности», в которой перечислены все процедуры, определена ответственность сотрудников за обеспечение информационной безопасности, а также позиция руководства.

Разграничение ответственности за обеспечение безопасности

Все процедуры обеспечения безопасности должны быть адресными, т.е. для каждой процедуры должен быть определен список сотрудников, ее выполняющих, а также перечень информационных ресурсов, для которых требуется ее выполнение. Естественно, что соответствующие сотрудники должны быть ознакомлены с документами. Кроме этого, для подтверждения выполнения документов требуется регулярно выполнять проверки действий сотрудников компании.

Оценка эффективности процедур системы управления информационной безопасностью необходима для того, чтобы определить, выполняется ли процедура на практике должным образом и какие улучшения требуется внедрить в выполнение процедуры. Оценка эффективности, как правило, выполняется по результатам проверок. Проверки могут представлять собой как различные опросы сотрудников, так и проверки настроек и конфигурации информационных ресурсов, а также просто наблюдение за защищаемым объектом (как правило, актуально для физической безопасности).

По результатам оценки эффективности выявляется, требуется ли внедрять корректирующее действия для совершенствования процедуры или выполнение процедуры находится на необходимом уровне.

Процессный подход управления информационной безопасностью

Разработать правила управления и обеспечения безопасности и добиться их выполнения в компании — первостепенная, но не единственная задача системы управления. Гораздо важнее «настроить» цикличность всех процессов управления безопасностью, т.е. необходимо, чтобы все процедуры системы управления (и, как следствие, сама система управления) последовательно проходили основные этапы — планирование, внедрение, оценка эффективности, совершенствование. Таким образом, система управления будет работать на основе PDCA-модели, что будет означать соответствие стандарту ISO 27001 и, что важнее, непрерывные контролируемость и совершенствование системы управления.

Позиция руководства компании

При разработке и внедрении системы управления информационной безопасностью не стоит забывать об одном из важнейших условий ее эффективного функционирования — вовлеченности руководства компании в этот процесс. Учитывая тот факт, что обеспечение безопасности является второстепенной деятельностью для сотрудников компании, а также что для функционирования некоторых процедур системы управления им приходится выполнять сложные задачи (например, определение стоимости информационных ресурсов), естественно, что требуется обеспечить грамотную мотивацию сотрудников. Как правило, сотрудники заметно охотнее подходят к выполнению процедур системы управления информационной безопасностью, если это исходит от руководства компании. Роль руководства компании заключается как в постановке задачи обеспечения и управления безопасностью сотрудникам и контроле над ее исполнением, так и в выполнении всех правил обеспечения безопасности.

Естественно, что готовность системы управления к сертификации определяется индивидуально для каждой компании, однако, в большинстве случаев, можно сказать, что, не пройдя хотя бы один круг PDCA-модели, о сертификации говорить рано. Для успешного прохождения сертификации аудиторам сертификационных органов необходимо предоставить все документы системы управления безопасностью, а также доказательства того, что процедуры выполняются точно в соответствии с документами. Т.е. к моменту сертификации необходимо накопить некоторое количество записей, доказывающих эффективную работу вашей системы управления. Кроме этого, аудиторы будут самостоятельно выполнять проверки сотрудников компании и настроек информационных ресурсов, т.е. все, что декларируется в документах и отражается в записях, должно быть действительно выполнено в компании.

Таким образом, подготовка системы управления информационной безопасностью к сертификации для успешного ее прохождения — достаточно трудоемкая задача. И главная проблема заключается в том, что систему управления необходимо постоянно поддерживать, «воспитывать», а не по принципу — установил, настроил, и всё само работает. Весь круг заинтересованных лиц (а это часто все сотрудники компании) должны знать и четко выполнять все требуемые действия, быть вовлеченными в процесс. А процессы системы управления — все без исключения — должны регулярно контролироваться и проверяться. Тогда и только тогда система управления будет достаточно «взрослой», чтобы противостоять любым изменениям и оставаться надежной, работоспособной и эффективной.

наверх