понедельник, 13 июня 2011 г.

Сертификация по ISO 27001 \ Введение

Решил перевести еще одну полезную книгу по ИБ. Это книга Sigurjon Thor Arnason и Keith D. Willett "How to Achieve 27001 Certification" - "Как подготовиться к сертификации по стандарту ISO 27001". Хотя этой книге уже около 3 лет, она остается одной из лучших по теме внедрения стандартов ISO 27002 и 27001, практического подхода к реализации системы менеджмента информационной безопасности (так что будет весьма полезной и при внедрении Стандарта Банка России СТО БР ИББС-1.0), управления соответствием внешним требованиям.

Коллеги Tiger-66 и А.В. Горбунов любезно поделились переводом почти четверти книги, чем существенно облегчили задачу. За это им большое спасибо! :-)

В этой главе рассмотрены следующие вопросы:
  • Введение
  • Стандарты безопасности ISO
  • Сертификация по стандарту ISO
  • Зачем сертифицироваться по ISO 27001?
  • Цели
  • Структура и последовательность
  • Комментарии


Аудиторией этой книги являются руководители подразделений безопасности (CSO – Chief Security Officer), специалисты по безопасности, а также все те, кто заинтересован в упорядоченном подходе к разработке, внедрению и управлению программой информационной безопасности. Те, кто на практике ежедневно выполняет операции по обеспечению безопасности, могут найти для себя пользу в четком соотнесении этих операций с целями компании. Руководители, отвечающие за вопросы безопасности, разрабатывают оперативные планы, устанавливают целевые показатели, соотнося их с мероприятиями по управлению бизнес-рисками. В свою очередь, высшее руководство обладает возможностью в процессе стратегического управления учесть бизнес-риски и определить политику, соотнося эти риски с ценностями бизнеса и движущими бизнес факторами (бизнес-драйверами). Эти три функции, относящиеся к безопасности (стратегическое управление, оперативное управление и операционная деятельность), работают совместно для достижения оптимальных показателей безопасности, что обеспечивает, в конечном итоге, достижение бизнес-целей.

Современные вызовы бизнесу включают в себя потребность идентифицировать и управлять рисками в условиях постоянно меняющихся технических возможностей, усложнения технических средств, сложности обеспечения соответствия внешним требованиям (compliance). ISO 27001 предлагает упорядоченный подход, который предполагает управление риском посредством установления законодательных, обязательных и иных требований и обеспечения их выполнения, в т.ч. проведения проверок на соответствие этим требованиям. Сертификация по ISO 27001 является подтверждением того, что в компании хорошо поставлена система управления безопасностью, и служит доказательством должного внимания управлению рисками, в т.ч. рисками, связанными с информацией и информационными технологиями.

Существует много различных определений информационной безопасности. Для целей сертификации по ISO 27001 и управления соответствием, информационная безопасность – это то, что обеспечивает защиту информации и информационных технологий, обеспечивая конфиденциальность, целостность и доступность. Иногда вместо термина «информационная безопасность» (information security) используют сокращенный термин «infosec» (ИБ) или заменяют похожим по значению термином «информационные гарантии» (IA – information assurance). Все эти термины выходят за пределы просто данных. Данные размещаются как на электронных, так и на бумажных носителях. Электронные и бумажные носители находятся в компьютерах и в шкафах внутри зданий. Данные могут передаваться по сети в пределах компании или через общедоступные сети (Интернет), храниться в сотовых телефонах, мобильных компьютерах, в папках, содержащих бумажные документы, а также на магнитных лентах на внешних площадках. Риски для данных (информации) включают в себя риски, связанные с персоналом, процедурами, принятыми в компании, физическими объектами (например, зданиями, офисными посещениями, дата-центрами), контролем доступа, коммуникациями, управлением операциями, мобильными компьютерами, заявками на технические и программные средства, а также многим другим. Эффективная информационная безопасность учитывает все эти аспекты.

Основным принципом, лежащим в основе безопасности, является обеспечение выполнения миссии компании, т.е. того, ради чего компания существует. Угрозы миссии могут быть постоянными: например, субъекты или события, которые могут привести к раскрытию критичной информации, изменению информации, нарушению операционной среды или невозможности использования информации в те моменты, когда это необходимо. Безопасность необходима для того, чтобы гарантировать конфиденциальность, целостность и доступность ключевых функций бизнеса, информации, информационных технологий, ресурсов компании, инфраструктуры, а также взаимоотношений с партнерами, производителями и потребителями, т.е., короче говоря, безопасность снижает риски невыполнения миссии. Областью бизнеса, подверженной рискам, является не только техническая среда компании, эта область охватывает гораздо больше, чем просто информация или информационные технологии, и вся она должна учитываться информационной безопасностью.

Сегодня акцент в области информационной безопасности смещается в сторону управления соответствием внешним требованиям (compliance management). Управление соответствием включает в себя обеспечение соответствия законодательным требованиям, требованиям регуляторов, а также обязательствам компании по заключенным ей договорам, обязательствам в иных областях, требующих выполнения правильных действий определенной частью персонала и автоматизированных систем, выполняющих бизнес-функции компании. Стандарты по безопасности представляют собой еще один набор требований, который компания может принять в качестве обязательного для себя, чтобы обеспечить функционирование безопасности в соответствии с лучшими практиками. В главе 6 «Управление соответствием» показано, как разработать программу управления соответствием на основе стандартов безопасности Международной организации по стандартизации (ISO – International Standards Organization).


В этой книге используются стандарты безопасности ISO для определения существенных бизнес-рисков и управления ими посредством разработки и выполнения надлежащим образом оформленной программы управления информационной безопасностью. Эта книга представляет собой практический взгляд на стандарты ISO 27002:2005 «Свод правил по менеджменту информационной безопасности» (ISO 27002) и ISO 27001:2005 «Системы менеджмента информационной безопасности – Требования» (ISO 27001). Вы познакомитесь с руководящими принципами и инструментами, позволяющими применять ISO 27001 и ISO 27002 для разработки и управления тем, что ISO 27001 называет системой менеджмента информационной безопасности (СМИБ – ISMS – information security management system), а также с методологией, предназначенной для определения внутренних требований безопасности (например, ISO 27002), как части более общей программы по управлению соответствием. Глава 1 «Введение в стандарты безопасности ISO» содержит более детальное представление семейства стандартов ISO 27000, а также их взаимосвязей.
ПРИМЕЧАНИЕ. Эта книга не является заменой стандартов ISO, но может служить дополнением, которое позволяет глубже понять их суть. Приобрести стандарты вы можете на сайте www.iso.org или у других поставщиков.
Применение стандартов безопасности ISO предоставляет широко признанную основу для построения программы безопасности, учитывающей на специфику компании (или СМИБ – в терминах ISO). Как правило, отраслевые стандарты основываются на опыте других компаний, и акцентируют внимание на согласованности и полноте. «Чтобы видеть дальше других, я стоял на плечах гигантов» - действительно, для руководства и специалистов по безопасности стандарты ISO могут быть именно такими «плечами гигантов», стоя на которых, можно видеть горизонт и прогресс в разработке и управлении качественной программой безопасности.

Карта местности – это не сама местность; местность – это ваша компания, ваша бизнес-среда, ваша операционная среда. Стандарты ISO снабжают вас исходным материалом для создания карты безопасности вашей компании, ее операционной и бизнес-среды в той части, где применима информационная безопасность. ISO 27002 обеспечивает независящий от аспектов технической реализации взгляд на создание и управление средствами информационной безопасности. В тексте книги используется материал из ISO 27002 для создания структуры (framework) управления безопасностью, в рамках которой разрабатывается программа безопасности компании, оценивается состояние этой программы, проводится анализ недостатков/несоответствий (GAP-анализ) и планируется их устранение для повышения уровня соответствия требованиям ISO 27002. В книге мы ограничиваемся рамками ISO, однако нужно понимать, что ни один стандарт не охватывает всего. Расширьте границы структуры управления безопасности, чтобы она учитывала специфику вашей компании и текущие обстоятельства. Структура и инструменты, основанные на стандартах ISO, позволяют утверждать, что компания, как минимум, работает с учетом требований ISO 27002, вероятно соответствует требованиям этого стандарта, а возможно не только ему (в зависимости от используемой компанией структуры управления безопасностью).

ISO 27001 содержит требования к СМИБ и описывает процесс их выполнения. Компания может получить сертификат соответствия ISO 27001. Этот документ показывает, что компания придерживается формализованной системы управления, в рамках которой разработана, внедрена, управляется и поддерживается СМИБ. Материалы этой книги представляют собой инструкцию для руководства высшего и среднего уровня, а также специалистов по безопасности, позволяющую им понять, что является хорошей системой менеджмента информационной безопасности, как ее спланировать и внедрить, как подготовиться к аудиту для сертификации по ISO 27001. В главе 2 «Система менеджмента информационной безопасности» подробно рассмотрены эти вопросы.

В ISO 27002 содержится подробное описание того, что нужно делать и зачем (руководящие указания), но не как это нужно делать (процедуры) или какие механизмы использовать (стандарты). В ISO 27001 содержится описание создания системы менеджмента информационной безопасности. Интерпретация многих аспектов этих стандартов зависит от специфики компании. Однако в качестве отправной точки можно использовать интерпретацию ISO 27002, данную в Таблице 3.1 главы 3 «Основные концепции и инструменты системы менеджмента информационной безопасности». Эта интерпретация основана на вымышленном примере и не является всеобъемлющей, однако она может помочь правильно определить интерпретацию, которая лучше всего соответствует потребностям вашей компании.


ISO разрабатывает новую серию стандартов безопасности, первым из которых является ISO 27001 «Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования». ISO 27001 заменил вторую часть британского стандарта BS 7799. Первая часть стандарта BS 7799 была преобразована в ISO 17799 «Информационные технологии – Методы защиты – Свод правил по менеджменту информационной безопасности», теперь известный как ISO 27002. В рамках данной серии был разработан и ряд других стандартов, в частности, ISO 27003:2010, представляющий собой руководящие указания по внедрению СМИБ, ISO 27004:2009 – метрики и измерения и ISO 27005:2008 – управление рисками. Более подробно об этом смотрите на сайте www.iso.org.

Сертификация по этим стандартам ISO предусмотрена только для ISO 27001, т.е. компания может быть сертифицирована только на соответствие ISO 27001. Этот стандарт описывает, как построить систему, которую ISO называет СМИБ. СМИБ – это процесс создания и поддержания системы менеджмента для информационной безопасности. ISO 27001 ссылается на конкретные требования из ISO 27002 и определяет, как следует применять механизмы обеспечения безопасности, указанные в ISO 27002, однако компания не может быть сертифицирована по ISO 27002. В силу использования ISO 27002 и строгого следования этому стандарту, компания может заявлять о своем соответствии ISO 27002, но без официального подтверждения этого заявления с помощью сертификата соответствия. В главе 5 «Аудит и Сертификация» более подробно рассказано о подготовке к сертификации и ее проведении.

Зачем сертифицироваться по ISO 27001?

Не существует законодательных или иных обязательных для компании требований по сертификации, поэтому возникает вопрос: к чему все эти хлопоты? Наилучший ответ – чтобы подтвердить, что инвестиции в безопасность соответствуют целям бизнеса и представляют ценность для бизнеса. Эта ценность находит отражение в управлении рисками, достижении высокого уровня соответствия законодательным и иным обязательным требованиям, а также в управлении уязвимостями и угрозами. Стандарты безопасности ISO предоставляют упорядоченный подход к информационной безопасности, управлению бизнес-рисками и соответствием. Сертификация дает независимое подтверждение того, что компания эффективно реализовала эти требования и доказала наличие должного внимания со стороны руководства высшего и среднего уровня, учет руководством потребностей компании в информационной безопасности.

Ценность сертификации для бизнеса также заключается в упорядоченном подходе, который предполагает разработку процессов управления безопасностью, методологий, инструментов и шаблонов, которые можно многократно использовать во всей компании и для всех операций – планирования безопасности, внедрения, функционирования, мониторинга, отслеживания, подготовки отчетности. Средства отслеживания и отчетности, основанные на отраслевых стандартах, таких как стандарты ISO, упрощает проведение аудита, что ведет к снижению затрат на аудиты и повышению вероятности успешного прохождения аудита.


Книга содержит все необходимое, чтобы повысить осведомленность и обеспечить понимание читателем следующего:
  • Основы для создания структуры менеджмента безопасности (SMF – security management framework) и разработки СМИБ
  • Средства СМИБ и управления соответствием, основанные на:
    • ISO 27002
    • ISO 27001
  • Процесс применения этих средств при:
    • Планировании СМИБ
    • Внедрении СМИБ
  • Сертификация по ISO 27001:
    • Планирование сертификации
    • Проведение сертификации
В книге дано определение, что такое структура менеджмента безопасности (SMF), почему она необходима, определены различные способы использования SMF в разработке и поддержании СМИБ. В стандартах по безопасности имеется множество вариантов, которые можно взять за основу SMF. Читателю будет предоставлена возможность изучить их для того, чтобы оценить и выбрать те стандарты, которые наилучшим образом подходят его компании. Эта книга ориентирована на стандарты ISO 27001 и ISO 27002, которые послужили основой для приведенного в ней примера SMF. Набор средств, основанных на SMF, дает ресурсы, которые могут многократно использоваться во всей компании. Стандартный набор средств способствует согласованности в оценках и отслеживании результатов. Кроме того, применение этих средств позволяет планировать и внедрять СМИБ. Набор инструментов, основанных на положениях стандартов безопасности ISO, помогает получить сертификацию по ISO 27001.


Материал в книге излагается в следующей последовательности:
  • Введение и обзор стандартов безопасности ISO, семейства стандартов ISO 27000
  • СМИБ
  • Структура менеджмента безопасности (SMF)
  • Определение отправной точки для разработки СМИБ
  • Разработка СМИБ
  • Аудит и сертификация
  • Управление соответствием
ISO разрабатывает новый набор стандартов, посвященный безопасности – семейство ISO 27000. Введение в это семейство сфокусировано на стандартах ISO 27001 и ISO 27002. ISO 27001 посвящен СМИБ, которая позволяет упорядоченно подойти к разработке, внедрению, управлению и поддержке программы по безопасности. В СМИБ используется цикл, включающий в себя разработку, анализ и пересмотр. Этот цикл известен как модель PDCA (Plan-Do-Check-Act, Цикл Деминга). Первые выполнения этого цикла будут несколько отличаться от последующих. Первый проход этого цикла стартует, что называется, «с нуля», и систематизирует существующие практики в рамках упорядоченной и надлежащим образом оформленной СМИБ. После выполнения первого прохода, организовывается постоянное повторение цикла PDCA для поддержания надлежащего функционирования СМИБ. В главе 4 «Внедрение системы менеджмента информационной безопасности – цикл PDCA» детально рассмотрен процесс PDCA, как непрерывный цикл управления для обеспечения информационной безопасности.

Использование стандартов безопасности ISO – прекрасный шаг вперед, позволяющий внедрить эффективные методы управления бизнес-рисками. Некоторые компании могут счесть целесообразным получение официального подтверждения соблюдения ими лучших практик посредством сертификации. Материал данной книги дает представление о том, как подготовиться и пройти сертификацию по стандарту ISO 27001. Помимо этого, для отдельных отраслей существует потребность при управлении соответствием учитывать требования, более жесткие, чем предусмотрены в стандартах ISO, которые могут быть определены в законодательстве, требованиях регуляторов или в заключенных компанией договорах. Методология управления соответствием показывает, как можно эффективно использовать те же самые инструменты и процессы СМИБ в программе управления соответствием. По сути, СМИБ становится частным случаем более широкого процесса управления соответствием.

Внедрение набора инструментов управления соответствием обеспечивает согласованность, повторяемость и полноту. Для больших компаний такие инструменты обеспечивают общий язык и общее понимание, что очень важно для предотвращения разногласий в компании. Кроме того, применение этих инструментов и шаблонов обеспечивает сопоставимость результатов, т.е. результаты, полученные разными людьми можно сравнивать между собой, а аналитик может сформировать общую картину на основе множества различных исходных данных.

Последовательность изложения материала следующая: цель, процесс, структура, инструменты и применение каждого из них для определения и управления бизнес-рисками. Цель является движущей силой, которая позволяет нам обеспечить безопасность. Процесс – это то, как реализовать СМИБ. Структура – это фундамент, который поддерживает взаимосвязанность и полноту действий по определению границ, планированию, оценке, внедрению СМИБ, отслеживанию и отчетности. Инструменты помогают определить СМИБ (состояние «как должно быть»), оценить текущее состояние («как есть»), выполнить GAP-анализ (установить отличия между «как есть» и «как должно быть»), разработать план перехода (процесс изменения от «как есть» к «как должно быть»), установить приоритеты мероприятий по устранению недостатков, отслеживать выполнение мероприятий, внедрить СМИБ, сформировать отчет и, что самое главное, сделать все это в строгом соответствии с целями бизнеса и бизнес-драйверами.


«Успех в игре меняет правила игры. Если продолжить играть по старым правилам, можно превратить успех в неудачу». В этом заключается главный принцип инноваций. Бизнес пока еще плохо понимает важность безопасности и не уделяет ей должного внимания. Специалисты по безопасности сегодня делают далеко не все, что могло бы оправдать инвестиции в безопасность и ожидания бизнеса, дать измеримые результаты, а также доказать ценность для бизнеса. В результате, с точки зрения высшего руководства, безопасность – это то, что «хорошо бы иметь», но она является далеко не первым приоритетом для бизнеса. Однако игра меняется. Выходят новые законы, которые переводят безопасность из категории «хорошо бы иметь» в то, что должно быть обязательно, т.к. это уже требования закона. В качестве примера можно привести принятый в США закон Сарбейнса-Оксли (SOX – Sarbanes-Oxley), или принятые в Европе рекомендации Basel II. Наличие формализованной методологии определения и реализации СМИБ весьма существенно с точки зрения соблюдения интересов акционеров и соответствия требованиям, а также подтверждения выполнения всего этого.

Более того, принципы и требования законов в отношении должной осмотрительности и ответственности за доверие (fiduciary responsibility) обязывают высшее руководство уделять внимание безопасности и доказывать реальное проявление должной осмотрительности. Если этих причин недостаточно, то еще есть принципы обеспечения выполнения миссии в условиях новой глобальной экономики – это уже просто здорово. Наряду с обеспечением качества, эффективности безопасности, чтобы обеспечить соответствие и выполнение миссии, специалисты по безопасности также должны соотносить свою деятельность по обеспечению безопасности с целями бизнеса и доказывать ценность безопасности для бизнеса. Мы должны повторять «Если мы не можем обосновать что-то в терминах бизнеса компании, мы не должны этого делать». Книга дает руководство для определения программы управления безопасностью (СМИБ) с учетом целей бизнеса, позволяет планировать, внедрять, отслеживать и отчитываться о ценности безопасности для бизнеса.

На данном этапе читателю рекомендуется ознакомиться с терминологией, использованной в этой книге, чтобы в дальнейшем одинаково с авторами понимать термины.

Содержание • Следующий раздел >>>

6 комментариев:

Stas комментирует...

Отлично!
Спасибо большое!

tiger-66 комментирует...

Дмитрий, супер )

Анонимный комментирует...

Было бы отлично выложить книгу по частям, например в pdf.

eagle комментирует...

Буду как и CISSP переводить частями и публиковать в блоге. Когда все будет готово, сделаю и выложу PDF :)

marty комментирует...

Спасибо! Ждем продолжения.

Анонимный комментирует...

А выложите плиз перевод CISSP в PDF.