четверг, 23 июня 2011 г.

Сертификация по ISO 27001 \ Глава 1. Введение в стандарты безопасности ISO

Эта глава предполагает, что читатель хотя бы в общих чертах знаком с предметом информационной безопасности, знает, что это такое и как применяется в компаниях. Предполагается, что читателем движет желание упорядочить свои подходы к обеспечению информационной безопасности, чтобы улучшить процессы планирования, реализации и поддержания информационной безопасности, создать высокоэффективную программу информационной безопасности, которая могла бы быть сертифицирована по стандарту ISO 27001. В начале этой главы приведен обзор стандартов безопасности, она уделяет особое внимание существующим и разрабатываемым стандартам Международной Организации по Стандартизации (ISO – International Standards Organization).

Материал этой главы дает основы для понимания систем менеджмента информационной безопасности (СМИБ), без которых невозможно пройти сертификацию по ISO 27001.

В этой Главе рассмотрены следующие вопросы:
  • Краеугольные камни информационной безопасности
  • История стандартов ISO по информационной безопасности
  • Формирование и нумерация стандартов информационной безопасности
  • Международные стандарты управления безопасностью
  • Другие предложенные стандарты информационной безопасности
  • Введение в стандарт ISO 27001
  • Введение в стандарт ISO 27002
  • Взаимосвязь между ISO 27001 и 27002
  • Взаимосвязь с другими стандартами
  • Перекрестные ссылки между PDCA и стандартами безопасности
  • Стандарты, которые помогут на этапе планирования (PLAN)
  • Стандарты, которые помогут на этапе выполнения (DO)
  • Стандарты, которые помогут на этапе проверки (CHECK)
  • Стандарты, которые помогут на этапе улучшения (ACT)

Традиционные активы компании, как правило, имеют материальную форму, являясь какой-либо формой собственности, оборудованием, зданием, мебелью, денежными средствами или иными оборотными средствами, например, золотом. Вопросы безопасности раньше решались преимущественно физическими мерами, в частности, с помощью организации охраны, установки стен, хранилищ или сейфов. В настоящее время компании, помимо материальных активов, имеют виртуальные активы, такие как интеллектуальная собственность, хранящаяся на в электронном виде (например, текстовые файлы, электронные таблицы и базы данных). Более того, оборотные средства компании чаще всего хранятся в виде битов на жестких дисках и транзакций, осуществляемых путем передачи этих битов по проводным или беспроводным сетям. Значительная часть активов компании имеет электронную форму, поэтому возникает необходимость защищать эти активы с помощью различных средств управления информационной безопасностью (information security control). Традиционный взгляд на информационную безопасность включает в себя три «краеугольных камня»: конфиденциальность, целостность и доступность, известные также как «модель CIA» (Confidentiality-Integrity-Availability). Обеспечение конфиденциальности, целостности и доступности являются целями безопасности. Обеспечение конфиденциальности гарантирует, что только уполномоченный персонал может получить доступ к информации или, наоборот, гарантирует, что информация не будет раскрыта неуполномоченным лицам или иным объектам (например, автоматизированной системе или службе). Обеспечение целостности – это обеспечение защиты от несанкционированного изменения или повреждения информации, или обеспечение сохранности информации в том виде, в котором она была создана автором. Потеря целостности означает несанкционированное изменение или повреждение информации. Доступность обеспечивает возможность использования информации тогда, когда это необходимо. Потеря доступности выражается в нарушении доступа к информации, невозможности ее использования или невозможности использования информационной технологии. Эти три «краеугольных камня» показаны на Рисунке 1-1. Более подробно ознакомиться с ними можно в документе FIPS PUB 199.


Рисунок 1-1 Краеугольные камни информационной безопасности

Каким образом компания может управлять информационной безопасностью и этими тремя компонентами? Одним из вариантов является внедрение Системы менеджмента информационной безопасности (СМИБ) и использование стандартов ISO в качестве руководства по разработке эффективной СМИБ. Модель PDCA дает методологию внедрения СМИБ. Стандарт ISO 27002 (бывший стандарт ISO 17999) дает основу для создания эффективной СМИБ, а ISO 27001 является руководством по реализации СМИБ с помощью процессов, построенных по модели PDCA.


Министерство торговли и промышленности Великобритании (DTI) организовало рабочую группу для разработки свода лучших практик по обеспечению безопасности. В 1989 году DTI опубликовало стандарт User Code of Practice. Этот стандарт представлял собой перечень средств управления безопасностью, которые в то время считались адекватными, нормальными и хорошими, применимыми как к технологиям, так и средам того времени.

Рисунок 1-2 показывает историю разработки стандартов ISO 27001 и ISO 17999 (ISO 27002). Документ DTI был опубликован как руководящий документ британской системы стандартов (BS), а позже – как британский стандарт BS 7799:1995, Часть 1. Первая часть включала в себя перечень средств управления (control), которые представляли собой набор лучших практик в области обеспечения информационной безопасности. Вторая часть стандарта была выпущена под названием BS 7799:1998, Часть 2. Она представляла собой инструмент для измерения и мониторинга функционирования мер и средств безопасности, описанных в первой части, а также давала возможность проведения оценки в целях сертификации. В процессе последовательных пересмотров, первая часть была опубликована как BS 7799:1999, Часть 1, а затем как стандарт ISO 17999:2000. Новая версия второй части стандарта была выпущена как BS 7799:2002, Часть 2. После этого стандарт ISO 17999 был вновь пересмотрен и выпущен как ISO 17999:2005, а затем его название было изменено на ISO 27002:2005. В июле 2007 года стандарт BS 7799, Часть 2 был выпущен ISO как стандарт ISO 27001:2005.

В следующем разделе рассказывается о формировании серии стандартов ISO 27000.


Рисунок 1-2 Разработка стандартов ISO 27001 и ISO 27002


ISO и Международная Электротехническая Комиссия (МЭК, IEC) совместно разрабатывают международные стандарты и руководства. Одной из их общих целей является выпуск стандартов по менеджменту безопасности. Работа по формированию стандартов осуществляется на коллективной основе, в ней принимают участие Рабочая группа 1 (WG1), Рабочая группа 2 (WG2) и Рабочая группа 3 (WG3). Все эти рабочие группы входят в состав Подкомитета 27 (SC27), который, в свою очередь, входит в Совместный Технический Комитет 1 (JTC1). Рабочая группа 1 работает над созданием стандартов управления безопасностью, включая разработку новых стандартов информационной безопасности и стандартов СМИБ. Цель этой рабочей группы – обеспечить наличие ориентиров, которые будут указывать требования к будущему набору международных стандартов и руководств по созданию, внедрению, эксплуатации, мониторингу и поддержке СМИБ. В рамках этой цели в ISO/IEC решили изменить нумерацию для международных стандартов по информационной безопасности на новую – 27000.


В Таблице 1-1 представлен список и краткое описание некоторых стандартов безопасности, которые были опубликованы в рамках серии 27000.


Таблица 1-1 Семейство стандартов ISO 27000

Стандарт ISO 27001 детально обсуждается в этой книге, это новый международный стандарт безопасности, основанный на BS 7799, Часть 2. Компании, которые уже были сертифицированы по BS 7799, Часть 2, должны обновить свои сертификаты в соответствии с последней версией стандарта ISO 27001. ISO 27002 – это просто новое название стандарта ISO 17799. ISO/IEC 27003 содержит руководство по внедрению, основанное на приложении B к стандарту BS 7799, Часть 2. Модель PDCA, описанная в BS 7799, Часть 2 (и ISO 27001), применяется не только при внедрении стандартов информационной безопасности, но и других стандартов управления, в т.ч. ISO 9001 и ISO 14001. ISO 27004 учитывает вопросы формирования системы показателей для измерения результативности СМИБ. ISO 27005 посвящен управлению рисками, он похож на BS 7799, Часть 3 – «Руководство по управлению рисками информационной безопасности». Среди других стандартов серии 27000, можно отметить ISO 27006, который содержит требования, предъявляемые к органам, обеспечивающих аудит и сертификацию СМИБ, и ISO 27007 – руководство по аудиту СМИБ.


ISO рассматривает ряд других стандартов, которые будут включены в планы по созданию серии международных стандартов по управлению информационной безопасностью, включая стандарты, определяющие:
  • Руководство по мониторингу и пересмотру СМИБ
  • Внутренний аудит СМИБ
  • Непрерывное улучшение СМИБ
Другие предложенные руководства ориентированы на специфические отрасли, такие как здравоохранение, телекоммуникации, финансы и страхование. Поскольку безопасность – это не цель, а процесс, разработка и совершенствование стандартов будут продолжаться на постоянной основе. Как было отмечено ранее, эта книга посвящена стандартам ISO, поэтому перспективы на будущее показаны только в отношении стандартов от ISO/IEC. Однако другие национальные и международные органы также имеют стандарты, которые могут помочь при создании, внедрении, эксплуатации, мониторинге и поддержке эффективной СМИБ. Например, к таким стандартам можно отнести стандарты, разработанные Национальным институтом стандартов и технологий США (NIST), а также множество других стандартов, посвященных защите, разработанных США и другими странами.


ISO 27001 описывает общую модель внедрения и функционирования СМИБ, а также действий по мониторингу и улучшению СМИБ. ISO намеревается гармонизировать различные стандарты по системам менеджмента, такие как ISO/IEC 9001:2000, который посвящен менеджменту качества, и ISO/IEC 14001:2004, предназначенный для систем экологического менеджмента. Цель ISO состоит в том, чтобы обеспечить согласованность и интеграцию СМИБ с другими системами менеджмента в компании. Сходство стандартов позволяет использовать схожий инструментарий и функционал для внедрения, управления, пересмотра, проверки и сертификации. Подразумевается, что если компания внедрила другие стандарты менеджмента, она может использовать единую систему аудита и управления, которая применима к менеджменту качества, экологическому менеджменту, менеджменту безопасности и т.д.

Стандарт ISO 27001 описывает СМИБ, как всеобъемлющую систему менеджмента, основанную на подходе бизнес-рисков, предназначенную для создания, внедрения, эксплуатации, мониторинга и поддержки СМИБ. СМИБ должна учитывать все аспекты организационной структуры, политики, планируемые действия, обязанности, практики, процедуры, процессы и ресурсы. Эта книга является дополнительным материалом к стандарту, она не заменяет его. Поэтому авторы рекомендуют компании получить полный набор стандартов, необходимых для достижения целей, которые компания поставила перед собой.

Внедрив СМИБ, высшее руководство получает средства мониторинга и управления безопасностью, что снижает остаточные бизнес-риски. После внедрения СМИБ, компания может официально обеспечивать безопасность информации и продолжать выполнять требования клиентов, законодательства, регуляторов и акционеров. Если целью является сертификация, проанализируйте положения разделов 4 – 8 стандарта ISO 27001, т.к. эти разделы являются обязательными для сертификации. Приложение А ISO 27001 содержит перечень целей и средств управления, которые совпадают с аналогичными целями и средствами управления в ISO 27002, но не столь детализированы. Приложение B содержит таблицу, в которой показано соответствие процедур СМИБ и этапов PDCA принципам Организации по экономическому сотрудничеству и развитию (OECD). Если компания уже внедрила ISO 9001 или ISO 14001, то ей понадобится приложение С, которое содержит таблицу соответствия требований стандартов ISO 9001, 14001 и 27001.

На Рисунке 1-3 показана модель PDCA, используемая для внедрения СМИБ. Эту модель иногда называют «циклом СМИБ». Используйте эту модель для разработки, поддержки и постоянного улучшения СМИБ. Целью внедрения СМИБ является получение всеобъемлющей системы менеджмента, разработанной с учетом бизнес-рисков, для внедрения, эксплуатации, мониторинга, поддержки и улучшения информационной безопасности. Разделы с 4 по 8 стандарта ISO 27001 обязательны для прочтения, т.к. они описывают, как компания должна построить и внедрить свою СМИБ. В этих разделах содержатся основные требования к СМИБ, включая создание, управление, мониторинг и поддержку СМИБ.


Рисунок 1-3 Модель PDCA


Стандарт ISO 27002 «Свод правил по менеджменту информационной безопасности» является общепризнанным международным стандартом информационной безопасности, он дает детальное описание средств управления безопасностью, обеспечивающих защиту информации и информационных технологий. ISO 27002 не определяет, как нужно применять эти средства управления. Он дает направление для создания системы менеджмента, которое позволяет выбрать средства управления, организовать их работу с использованием лучших практик. Выбор процедур для реального внедрения средств управления остается за компанией, он будет зависеть от ее физической и технической среды.

Что такое информационная безопасность и почему она важна? Информационная безопасность – это защита активов организации (например, информации) от несанкционированного раскрытия и несанкционированного (или случайного) изменения, она обеспечивает готовность информации к использованию в любой момент, когда она нужна. Законодательство и другие обязательные требования учитывают вопросы защиты персональных данных, обеспечения точности финансовых отчетов (например, закон Сарбейнса-Оксли) и, как правило, содержат требования по обеспечению безопасности соответствующей информации. Традиционными активами компании являются материальные активы, такие как оборудование, здания, оборотные активы (например, акции, облигации, валюта или золото). Традиционными ценностями компании также являются нематериальные показатели вроде репутации. Однако таким материальным активам, как знания, интеллектуальная собственность и информация обычно уделялось меньше внимания. В настоящее время зависимость компаний от информации значительно возросла, что увеличило и ценность этой информации для компаний, а также ценность самих компаний, которые владеют информацией (например, интеллектуальной собственностью). Все это обуславливает значительно возросшую потребность в защите этой информации. Кроме того, угрозы, связанные с традиционными материальными активами, были ограничены физическим контактом, например, чтобы украсть золото, требовался физический доступ к нему. Кроме того, вору нужно было пронести это золото из хранилища по зданию, он должен был пройти через охрану, после чего ему, скрываясь, нужно было покинуть город или даже страну.

В отличие от материальных активов, информационные активы хранятся в постоянно доступном виде, в форме электронных документов, баз данных и т.п. Доступ к информационным активам компании осуществляется множеством способов, включая использование компьютеров и компьютерных сетей. Если к сети компании подключены сети ее партнеров, появляется еще больше возможностей доступа к ее информационным активам. Если сеть компании подключена к Интернету, она потенциально доступна всему миру. Возможность получения доступа к ее информации из другой страны также легка, как и получение доступа из соседнего здания. Доступность и простота передачи данных делают бессмысленными все ограничения, использующиеся для защиты материальных активов.

Также нужно учитывать, что кража и использование интеллектуальной собственности могут происходить с территории страны, законодательство которой не признает такие действия преступными, с такой страной может не быть заключенных соглашений о выдаче преступников. Более того, кражи интеллектуальной собственности могут поощряться государством, либо осуществляться по его прямому указанию. Это может быть направлено на получение конкурентных преимуществ таким государством на мировом рынке. Основная проблема заключается в том, что существует огромное множество различных мотивов, средств и методов кражи информационных активов компании. Поэтому компания должна серьезно отнестись к защите своих информационных активов и внедрить СМИБ, чтобы остаться в бизнесе и сохранить свои конкурентные преимущества. Для реализации эффективной СМИБ, компания может выбрать стандарты ISO и руководствоваться ими. ISO 27002 включает в себя 12 разделов, учитывающих следующие средства управления безопасностью (security control):
  • Оценка и обработка рисков
  • Политика безопасности
  • Организация информационной безопасности
  • Управление активами
  • Безопасность персонала
  • Физическая безопасность и безопасность окружения
  • Управление коммуникациями и функционированием
  • Управление доступом
  • Приобретение, разработка и поддержка информационных систем
  • Управление инцидентами информационной безопасности
  • Управление непрерывностью бизнеса
  • Соответствие
Эти 12 разделов охватывают около 39 ключевых элементов и 133 средства управления (control). Используйте ISO 27002 при написании политик и процедур, а также для определения целей их разделов. Затем используйте детальные требования для каждого средства управления, чтобы детализировать пункты политик и процедур для обеспечения возможности их реального выполнения и достижения поставленных целей.


Стандарт ISO 27001 представляет систему менеджмента информационной безопасности. ISO 27002 представляет руководящие принципы по реализации средств управления. ISO 27002 отвечает на вопрос «что нужно делать» (он содержит перечень полезных средств управления), а ISO 27001 отвечает на вопрос «как это делать» (он содержит процедуры создания и поддержки СМИБ). ISO 27001 – это не набор процедур, соответствующих каждому пункту требований ISO 27002. Скорее это процесс управления, обеспечивающий понимание безопасности, создающий организационную инфраструктуру, позволяющий спланировать, внедрить и поддерживать средства управления безопасностью. Компания не может получить сертификат соответствия ISO 27002, она может сертифицировать только свою СМИБ, требования к которой установлены в ISO 27001.

Приложение A стандарта ISO 27001 в том же порядке перечисляет средства управления, приведенные в ISO 27002, однако при этом дается только краткое описание этих средств управления. Оба стандарта вместе с рекомендациями этой книги позволяют подготовиться к успешному прохождению сертификации на соответствие ISO 27001.


ISO выпустила несколько стандартов для систем менеджмента: ISO 9000 – для менеджмента качества, ISO 14000 – для экологического менеджмента, ISO 27000 – для менеджмента безопасности. ISO 27001 содержит описание взаимосвязи СМИБ с другими стандартами на системы менеджмента. ISO 27001 гармонизирован с другими стандартами на системы менеджмента, что позволяет обеспечить согласованное и целостное внедрение и функционирование корпоративной системы менеджмента. Стандарты информационной безопасности используют модель PDCA для внедрения, мониторинга и улучшения СМИБ. Другие стандарты менеджмента также используют эту модель. Среди общих черт всех этих стандартов менеджмента можно отметить следующие:
  • Все основано на приверженности (поддержке) руководства
  • Определение ответственности
  • Управление документами
  • Управление записями (record management)
  • Обучение
  • Анализ со стороны руководства
  • Внутренний аудит
  • Корректирующие и превентивные действия
  • Использование общей модели PDCA при внедрении и функционировании
  • Процессы аудита
  • Схема оценки уполномоченными лицами, основанная на требованиях международного стандарта ISO 19011:2002 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента»
  • Основаны на требованиях, изложенных в сопутствующих стандартах
  • Орган по сертификации несет ответственность за проверку компетенции аудитора
Если компания использует несколько стандартов на системы менеджмента, она может расширить свою СМИБ, чтобы она охватывала все стандарты менеджмента. Распространение СМИБ на несколько стандартов менеджмента и другие важные вопросы соответствия называется Программой управления соответствием (CMP – Compliance Management Program) (см. главу 6). Использование единой системы менеджмента дает ряд преимуществ, в частности все инвестиции вкладываются только в одну систему менеджмента, аудит и сертификация проводятся также в отношении одной системы менеджмента. Все это снижает затраты компании.


Любой перечень международных, национальных стандартов и других лучших практик, помогающих реализовать эффективное управление безопасностью, будет неполным. Тем не менее, в этом разделе перечислены некоторые из наиболее распространенных стандартов, имеющих отношение к модели PDCA. В основном это стандарты ISO, NIST и BSI.

  • ISO/IEC 27001:2005, Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования
  • CobiT, Цели контроля для информационных и смежных технологий
  • ISO/IEC 27002:2005, Информационные технологии – Методы защиты – Свод правил по менеджменту информационной безопасности
  • FIPS PUB 199, Публикация Федерального стандарта обработки информации – Стандарт для Федеральной информации и информационных систем
  • NIST SP 800-60, Руководство по соответствию типов информационных систем категориям безопасности
  • NIST SP 800-30, Руководство по управлению рисками
  • ISO TR 13335-4:2000, Информационные технологии – Руководство по менеджменту безопасности информационных технологий – Методы и средства обеспечения безопасности (в настоящее время документ вошел в состав ISO/IEC 27005:2011)
  • NIST SP 800-18, Руководство по разработке планов обеспечения безопасности информационных систем (это руководство по разработке и документированию средств управления безопасностью ИТ)
  • NIST SP 800-53A, Руководство по оценке средств управления безопасностью в Федеральных информационных системах
  • BS 7799-3:2006, Руководство по управлению рисками информационной безопасности
  • ISO/IEC TR 13335-3:1998, Информационные технологии – Руководство по менеджменту безопасности информационных технологий – Методы менеджмента безопасности информационных технологий
  • ISO/IEC 27001:2005, Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования
  • ISO/IEC 27002:2005, Информационные технологии – Методы защиты – Свод правил по менеджменту информационной безопасности
  • NIST SP 800-53, Рекомендованные средства управления безопасностью для Федеральных информационных систем (фактически, это другой стандарт СМИБ, содержащий удобную таблицу, показывающую связь описанных в нем средств управления с аналогичными средствами управления, описанными в других стандартах, таких как ISO 27002:2005)
  • NIST SP 800-55, Руководство по показателям эффективности для информационной безопасности (по сути, документ является просто огромным списком различных вещей, относящихся к безопасности, которые могут быть измерены)
  • FIPS 200, Минимальные требования безопасности для Федеральной информации и информационных систем
  • ISO TR 13335-4:2000, Информационные технологии – Руководство по менеджменту безопасности информационных технологий – Методы и средства обеспечения безопасности (в настоящее время документ вошел в состав ISO/IEC 27005:2011)
  • NIST SP 800-61, Руководство по обработке инцидентов компьютерной безопасности
  • NIST SP 800-37, Руководство по сертификации и аккредитации безопасности Федеральных информационных систем
  • NIST SP 800-53, Рекомендованные средства управления безопасностью для Федеральных информационных систем (фактически, это другой стандарт СМИБ, содержащий удобную таблицу, показывающую связь описанных в нем средств управления с аналогичными средствами управления, описанными в других стандартах, таких как ISO 27002:2005)
  • NIST SP 800-26, Инструкция по проведению аудита безопасности Федеральных информационных систем Правительственным подразделением аудита
  • ISO/IEC 27001:2005, Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования
  • ISO/IEC 27002:2005, Информационные технологии – Методы защиты – Свод правил по менеджменту информационной безопасности
  • NIST SP 800-37, Руководство по сертификации и аккредитации безопасности Федеральных информационных систем
  • ISO 19011:2002, Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента (схема оценки уполномоченными лицами, основанная на общепринятом международном стандарте).

3 комментария:

Viktor комментирует...

Добрый день.

Не могу оставить без благодарности Вашу работу по переводам стандартов. Это огромный и очень нужный труд.
Про то, что блог сам по себе интересен и полезен и говорить нечего.

Думаю, что в этом вопросе меня поддержат все специалисты ИБ стран СНГ.

Давидич Виктор (davydych.blogspot.com)

eagle комментирует...

Виктор, спасибо! :)

Вадим Поляков комментирует...

А разве общего сертификата не достаточно? От этого сертификат соответствия ИСО 9001