вторник, 28 июня 2011 г.

Сертификация по ISO 27001 \ Глава 2. Система менеджмента информационной безопасности

В предыдущей главе было рассказано о стандартах безопасности ISO их взаимосвязях друг с другом. ISO 27001 служит руководством по созданию системы менеджмента информационной безопасности (СМИБ) и ссылается на средства управления, описанные в ISO 27002, что позволяет создать и поддерживать СМИБ. Эта глава определяет СМИБ и знакомит с ней читателя. Это необходимо для дальнейшего обсуждения основных концепций и инструментов, необходимых для эффективного построения СМИБ.

В этой Главе рассмотрены следующие вопросы:
  • Введение в СМИБ
  • Введение в структуру менеджмента безопасности
  • Процесс создания СМИБ: «Как должно быть» (To-Be) или PDCA
  • «Как должно быть» (To-Be)
  • «Как есть» (As-Is)
  • План перехода
  • Эксплуатация и сопровождение

ISO определяет СМИБ как «часть общей системы менеджмента, основанную на оценке бизнес-рисков и предназначенную для создания, внедрения, эксплуатации, мониторинга, сопровождения и совершенствования информационной безопасности». В соответствии с подходом ISO, «общая система менеджмента» компании включает в себя намного больше, чем просто безопасность, ISO предлагает несколько стандартов по системам менеджмента. Семейство ISO 9000 представляет собой серию стандартов, относящихся к системам менеджмента качества. Семейство ISO 14000 является набором стандартов по системам экологического менеджмента. ISO 27000 – это семейство стандартов на системы менеджмента безопасности. Поэтому ISO вводит термины, которые могут быть применимы ко всем системам менеджмента, и использует их, чтобы определить действия, необходимые для создания, поддержки и улучшения менеджмента информационной безопасности.

Есть и другие названия для СМИБ, например, программа менеджмента безопасности (SMP - Security Management Program), программа обеспечения безопасности информации (IAP – Information Assurance Program) и много других. Термины SMP и IAP встречались в практике автора, но они не используются ISO. Эти термины упомянуты для того, чтобы сделать более ясным смысл понятия СМИБ. Дело в том, что у многих вызывает затруднение понимание использования ISO термина система. В термине СМИБ ISO понимает слово «система», как процесс и методологию. Многие же понимают под словом «система» какое-либо устройство или приложение. Чтобы пройти сертификацию по ISO 27001, используйте термин СМИБ в том смысле¸ в котором его использует ISO, либо используйте другие термины, но убедитесь, что они имеют тот же смысл. В дальнейшем в этой книге термин СМИБ будет использоваться в соответствии с определением ISO. Если в тексте вы встретите термин программа безопасности (security program) просто замените его на СМИБ – в рамках данной книги они равнозначны.


Используете ли вы термин СМИБ или какой-то другой, процесс, инструментарий, шаблоны, документы и практики для создания эффективной СМИБ будут одними и теми же. Нужно учитывать, что то, что подходит одной компании, может быть неприемлемо для другой, поэтому необходимо адаптировать программу безопасности (или СМИБ) к особенностям компании. Начать это следует с разработки структуры менеджмента безопасности (СМБ – Security Management Framework, SMF), ориентированной на конкретную компанию.

СМБ дает схему, позволяющую определять, обсуждать, планировать, внедрять, отслеживать и отчитываться по проблемам безопасности, важным для компании. Хорошая СМБ основывается на отраслевом стандарте, что обеспечивает полноту, согласованность и использование лучших отраслевых практик. Компания может добавлять или убирать что-то из стандарта, чтобы определить наилучшее соответствие СМБ потребностям компании и учесть ее специфику. Существует множество стандартов, из которых компания может выбрать нужный. Среди таких стандартов можно отметить стандарты ISO, специальные публикации NIST (Национального института стандартов и технологий США), стандарты FISP (Федеральные стандарты обработки информации), серию стандартов 8500.х Министерства обороны США, включая Руководство по техническому обеспечению безопасности (Security Technical Implementation Guide – STIG), документы ENISA (Европейское агентство по безопасности сетей и информации), комплекс стандартов Банка России БР ИББС и многих других.

Эта книга ориентируется на стандарты безопасности ISO, являющиеся набором международных стандартов, применимых к средам коммерческих компаний. Разработка СМБ может учитывать также многие другие требования, которым должна соответствовать компания, например, закон Сарбейнса-Оксли (SOX) или Закон о преемственности страхования и отчетности в области здравоохранения (Health Insurance Portability and Accountability Act – HIPAA). Многие требования таких документов покрываются требованиями стандартов ISO. Поэтому СМБ, основанная на стандартах ISO, по умолчанию обеспечит выполнение, как минимум, некоторых требований, которым должна соответствовать компания. Например, создание рабочей группы по безопасности (SWG – Security Working Group), членами которой являются представители различных подразделений компании, удовлетворяет не только требованию ISO 27001, но и аналогичному требованию HIPAA. Использование единой СМБ и определение ее связей с другими требованиями, которым должна соответствовать компания, позволяет обеспечить соответствие многим требованиям за один раз. Об этой возможности мы поговорим подробнее в следующих разделах.


Сторонники подходов ISO используют для создания СМИБ модель PDCA. ISO применяет эту модель во многих своих стандартах по менеджменту и ISO 27001 не является исключением. Кроме того, следование модели PDCA при организации процесса менеджмента позволяет использовать те же приемы и в дальнейшем – для менеджмента качества, экологического менеджмента, менеджмента безопасности, а также в других областях менеджмента, что снижает затраты. Поэтому PDCA является отличным выбором, полностью отвечающим задачам по созданию и поддержке СМИБ. Иными словами, этапы PDCA определяют, как установить политику, цели, процессы и процедуры, соответствующие обрабатываемым рискам (этап планирования – Plan), внедрить и использовать (этап выполнения – Do), оценивать и, там где это возможно, измерять результаты процесса с точки зрения политики (этап проверки – Check), выполнять корректирующие и превентивные действия (этап улучшения – Act). Дополнительными концепциями, не входящими в состав стандартов ISO, которые могут быть полезны при создании СМИБ, являются:
  • состояние «как должно быть» (to-be)
  • состояние «как есть» (as-is)
  • план перехода (transition plan)
В контексте управления бизнес-рисками, состояние «как должно быть» определяет желаемое состояние. Оно затрагивает вовлеченность руководства, организационные структуры, область действия, политики, стандарты, процедуры и многое другое. Комбинация ISO 27001 и ISO 27002 определяет разумное состояние «как должно быть» для многих компаний, то есть отношение компании к безопасности должно соответствовать системе менеджмента и средствам управления, определяемым этими стандартами. Разработку СМБ можно начать с ISO 27002, добавляя требования других стандартов безопасности, что позволит создать СМБ, отвечающую потребностям компании. Такая СМБ затем станет основой для определения состояния «как должно быть» для конкретной компании.

В контексте менеджмента рисков, состояние «как есть» – это некий моментальный снимок текущего состояния безопасности. Для получения такого «снимка» используется набор инструментов, основанных на СМБ. GAP-анализ – это сравнение состояний «как есть» и «как должно быть». Процесс GAP-анализа и отчеты по его результатам также основываются на СМБ. Знание различий между текущим состоянием и желаемым состоянием дает необходимую информацию для разработки плана перехода из состояния «как есть» в состояние «как должно быть». Следующие разделы рассматривают эти вопросы более подробно в контексте СМИБ и управления бизнес-рисками.
ПРИМЕЧАНИЕ. Представленное выше введение в понятия «как есть», «как должно быть» и «план перехода» было направлено на знакомство читателя с этими понятиями в общих чертах. Повторю, ISO эти термины не применяет. Глава 6 книги подробно описывает управление соответствием (compliance management) в рамках которого состояния «как должно быть», «как есть» и «план перехода» являются составными частями абстрактного подхода к оценке соответствия (compliance assessment) (это часть управления соответствием). Как будет рассказано в Главе 6 «Управление соответствием», создание и поддержка СМИБ – это отдельный элемент более общего процесса управления соответствием. Основная задача этой книги – познакомить читателя со стандартами безопасности ISO, их практическим применением, а также с подготовкой к успешному прохождению сертификации на соответствие ISO 27001. Вторая, но не менее важная задача книги, – познакомить читателя с общей практикой управления соответствием, в рамках которой получение сертификата по ISO 27001, является всего лишь одним из аспектов. Комбинируя эти концепции и учитывая их взаимосвязи, читатель будет способен создавать инструменты управления соответствием, которые после их применения для получения сертификата ISO 27001, могут использоваться в дальнейшем для других систем менеджмента, основанных на бизнес-рисках, снижая тем самым итоговые затраты.

Этот этап определяет цели обеспечения безопасности в терминах управления бизнес-рисками и дает основу для построения СМИБ. Бизнес-цели (business objectives) определяют содержание СМИБ. Для сертификации по ISO 27001 необходимо выполнить требования, содержащиеся с разделах 4-8 стандарта ISO 27001. Определение СМБ дает необходимые указания для определения СМИБ. В Главе 3 «Основные концепции и инструменты для СМИБ» вопросы СМБ рассмотрены более детально.

Этап определения «как должно быть» позволяет получить СМБ, учитывающую особенности конкретной компании и содержащую перечень требований по безопасности, основанных на отраслевых стандартах и учитывающих бизнес-риски этой компании. Первым, для чего используется эта структура, является определение правильной интерпретации руководящих указаний с целью создания общего переченя терминов и их определений, а также обеспечения единого понимания концепций, необходимых для поддержки СМИБ.

Определение состояния «как должно быть» выполняется на этапе планирования (Plan) модели PDCA. Этап планирования (определение «как должно быть») определяет цели создания СМИБ. Разрабатывать политику или процедуры на этом этапе слишком рано, это нужно делать на этапе выполнения (Do) (или как пункт плана перехода).


На этом этапе определяется текущее состояние безопасности в компании в сравнении с определенным «как должно быть» состоянием СМИБ. Определение «как есть» включает в себя процессы исследования, анализа (GAP-анализа) и подготовки отчета о результатах. В Главе 3 эти вопросы рассмотрены подробно, в ней дается базовый набор шаблонов и опросных листов, которые потребуются при выполнении этих задач.

На данном этапе готовится опросный лист, учитывающий специфику СМБ. Также готовятся краткое описание проекта, бланки для записи результатов, аналитические инструменты для изучения результатов и нахождения в них важных сведений, на основе которых в конечном итоге формируется отчет, отражающий текущее состояние («мгновенный снимок») компании в области безопасности. Термин «мгновенный снимок» указывает на то, что состояние безопасности не статично, что оно может быстро изменяться. Поэтому любые результаты анализа состояния безопасности привязаны к конкретной дате и сохраняют свою актуальность в течение ограниченного промежутка времени, в рамках которого компания может использовать их для принятия решений.

Деятельность по определению состояния «как есть» относится к этапам планирования и проверки модели PDCA: начальное планирование СМИБ производится на этапе планирования, а последующий мониторинг и анализ – на этапе проверки. Существует возможность использования одних и тех же инструментов на обоих этих этапах. К тому же это позволяет упростить сравнение результатов, полученных на стадии первоначального планирования и последующего анализа функционирования.


План перехода содержит конкретные шаги по переходу из состояния «как есть» в состояние «как должно быть». Реальный процесс перехода может потребовать более одного бюджетного цикла, в зависимости от объема работы, необходимой для обеспечения соответствия СМИБ установленным целям. Принимая во внимание продолжительность и возможную высокую стоимость этой работы, компания должна расставить приоритеты, т.е. соответствующим образом распределить ресурсы, направив их, в первую очередь, на обработку наиболее существенных для компании рисков. В Главе 4 «Внедрение СМИБ – цикл PDCA» подробно рассказывается о разработке плана перехода для построения СМИБ, соответствующей требованиям ISO 27001.

В ходе разработки плана перехода формируется отчет об анализе необходимых исправлений и документ, содержащий собственно план перехода, в котором определены действия, которые должны быть выполнены для перехода от состояния «как есть» к состоянию «как должно быть». В зависимости от степени детализации, план перехода может содержать как формальные заявления о целях (например, формальное описание проекта), так и модель затрат с декомпозицией работ и план проекта с промежуточными этапами, сроками и результатами. План перехода может также предполагать создание соглашений об уровне сервиса (SLA – Service Level Agreement) для внешних поставщиков или внутренних функций. Такие соглашения представляют собой формальный перечень функциональных целей для определенного сервиса (например, время работоспособности системы должно составлять не менее 98% от общего рабочего времени в месяц).

Создание плана перехода организуется на этапах выполнения (Do) и улучшения (Act) модели PDCA. Переход от первоначального состояния «как есть» («мгновенного снимка») осуществляется на этапе выполнения, а на этапе улучшения (Act) выполняется анализ и пересмотр, для которого также составляется план перехода.


Эксплуатация и сопровождение (O&M – Operations and Maintenance) обеспечивают непрерывную поддержку СМИБ, выполняя, в частности, регулярный пересмотр целевого состояния («как должно быть»). Пересмотр состояния «как должно быть» может быть вызван выпуском обновленных (измененных) стандартов ISO 27001 и ISO 27002, изменениями в законодательстве или иных нормативных документах, заключением компанией новых договоров, а также изменениями бизнес-среды, приводящими к появлению новых уязвимых областей, которые могут стать препятствием для реализации миссии компании.

На этапе эксплуатации и сопровождения производятся измерения и оценка показателей (метрик), которые сравниваются с SLA. Также на этом этапе формируются различные отчеты, относящиеся к функционированию безопасности, включая отчеты по анализу журналов регистрации событий, отчеты по инцидентам, отчеты по анализу их причин и т.д. Эксплуатация и сопровождение выполняются на этапах проверки (Check) и улучшения (Act) модели PDCA.

<<< Предыдущий раздел • Содержание • Следующий раздел >>>

8 комментариев:

Alexey Volkov комментирует...

Дмитрий, а Вы согласовали перевод и публикацию с правообладателем? Ибо по ГК перевод авторского текста не отменяет авторских прав оригинала и не дает дополнительных прав его переводящему, тем более прав на открытое опубликование :)

eagle комментирует...

Хороший вопрос, Алексей ;) Нет, не согласовывал. Готов убрать любые переводы из этого блога по первой просьбе правообладателя.

Alexey Volkov комментирует...

ЖжОте аки мой любимый торрент-трекер :)

Stas комментирует...

Спасибо за главу! А когда будут следующие?)

eagle комментирует...

Пока следующая глава в процессе перевода. Там приведен большой пример СМБ (страниц на 40), выкладывать его частями не хочется...

Unknown комментирует...

Ждем дальнейшего перевода) очень полезно

Анонимный комментирует...

А продолжение будет?

273 комментирует...


Получить отказное письмо на продукцию, не подлежащую обязательной сертификации, могут только юридические лица либо ИП