Сертификация по ISO 27001 \ Глава 3. Основные концепции и инструменты для СМИБ (часть 3)

В этой Главе рассмотрены следующие вопросы:

• Анализ полученных результатов
• Шаблоны отчетов
• Первоначальный взгляд на разработку СМИБ
• Организация стратегического управления
• Планирование на уровне менеджмента
• Структура эксплуатации
• Определение методологии постоянного анализа и улучшения
• Базовая СМБ – основа ISO 27002
• СМИБ – политика, стандарт и процедура разработки и контроля функционирования

3.4. Анализ полученных результатов

Теперь, когда вы собрали всю информацию, нужно подумать, что делать с ней. Проанализируйте на основании полученной информации соблюдение компанией обязательных требований, а также высокоуровневые риски компании. Подумайте, действительно ли в текущих условиях в компании будут эффективно работать ISO 27002 и ISO 27001, помогая управлять бизнес-рисками (скорее всего – да, но проявление должной осмотрительности и критическое мышление требуют убедиться в этом).

Проанализируйте СМБ, учитывая собранную информацию, сделайте соответствующие дополнения, изменения или исключения из СМБ. В результате вы получите четкое определение требований, основанных на бизнес-рисках компании. Сравните собранную информацию с требованиями СМБ, отметьте все расхождения в отчете по анализу недостатков (GAP-анализ). Затем продумайте рекомендации по устранению этих недостатков (gap closure), которые будут являться шагами перехода из состояния «как есть» (собранная информация о текущем состоянии безопасности) в состояние «как должно быть» (обязательные требования, собранные к данному моменту воедино в СМБ), запишите выводы в отчете по анализу устранения недостатков (remediation analysis report). Расставьте приоритеты мероприятий (проектов, задач и т.п.) по снижению рисков, направленных на достижение более высокого уровня соответствия обязательным требованиям. Детальная информация об этих мероприятиях будет, вероятно, распределена по множеству документов, включая таблицы ROI, планы проектов, формализованные определения целей проектов и ресурсов, необходимых для достижения этих целей, и т.д. Отмечайте в СМБ текущий статус мероприятий по повышению уровня соответствия, что позволит легко сопоставить результаты, недостатки, рекомендации по исправлению и реальные проекты по выполнению этих исправлений. В следующем разделе мы коснемся шаблонов отчетов, которые помогут вам в этом.

3.4.1. Шаблоны отчетов

Среди шаблонов отчетов, можно отметить отчеты по собранной информации, анализу недостатков, анализу исправлений, отслеживанию выполнения исправлений, разработке плана действий (с ответственными и сроками), а также другие подобные документы, необходимые для планирования, разработки, внедрения, отслеживания и поддержки эффективной программы менеджмента безопасности. В таблице 3-7 представлен пример такого отчета. Каждый столбец (Собранная информация, Анализ недостатков, Анализ исправлений и Состояние выполнения исправлений) может быть оформлен в виде отдельного документа, либо, по просьбе компании, все они могут быть объединены в рамках единого документа. Преимуществом использования СМБ является то, что каждый отчет будет использовать одни и те же категории, подкатегории и элементы, что позволит легко сравнивать детали между различными отчетами.

Категория / Элемент	Требование	Собранная информация	Анализ недостатков	Анализ исправлений	Состояние выполнения исправлений
Политика безопасности
Политика безопасности информации и информационных технологий
Документация	Руководство выпускает всеобъемлющую политику безопасности, которая включает в себя вопросы управления информационной безопасностью и четкие руководящие принципы по их реализации.	Описание результатов интервью по вопросам политики информационной безопасности	Описание расхождений между существующей политикой  и требуемой политикой (в соответствии с требованием)	Описание шагов для выполнения этого требования	Укажите детали плана проекта или менее формальных мероприятий по выполнению требования
Ознакомление	Ознакомьте с политикой все подразделения компании.
И т.д.

Таблица 3-7    Пример шаблона отчета


На данный момент у нас определены обязательные требования (например, ISO 27001 и ISO 27002), собраны сведения, позволяющие понять мотивацию бизнеса по выявлению и обработке рисков, определено текущее состояние безопасности в компании, проведен анализ расхождений между состояниями «как есть» и «как должно быть», составлен перечень действий, направленных на повышение уровня соответствия. Одним из таких действий должно быть формальное определение СМИБ. Более подробная информация об определении и разработке СМИБ представлена в следующих разделах.

3.5. Первоначальный взгляд на разработку СМИБ

Первоначальная разработка СМИБ дает основу для управления циклом PDCA. В этом разделе рассмотрены следующие аспекты разработки СМИБ:

• Организация стратегического управления
• Определение плана менеджмента
• Организация эксплуатации
• Выработка методологии для постоянного анализа и улучшения

Рисунок 3-1 показывает взаимосвязи между стратегическим управлением, менеджментом, эксплуатацией, анализом и улучшением. Каждый из этих элементов дает на выходе информацию, являющуся входящей информацией для следующего элемента, а анализ и улучшение дают на выходе обратную связь для первых трех. Обратите внимание, что стандарты ISO не используют термины стратегическое управление (governance), менеджмент (management), эксплуатация (operations), анализ и улучшение (review and improvement). Эти термины резюмируют многие из концепций ISO в общем виде, показывая вовлечение высшего руководства (стратегическое управление), руководителей среднего уровня (менеджмент), а также специалистов по безопасности, которые выполняют повседневные тактические задачи (эксплуатация).

Рисунок 3-1 Подход к разработке процесса СМИБ

В следующих разделах вопросы стратегического управления, менеджмента, эксплуатации, анализа и улучшения рассмотрены более подробно.

3.5.1. Организация стратегического управления

Стратегическое управление безопасностью (security governance) осуществляет уполномоченный орган (комитет), принимающий решения (decision making authority) по вопросам, связанным с потребностями бизнеса в области информационной безопасности и создания СМИБ. Другими названиями «стратегического управления безопасностью» являются «стратегическое управление рисками» (risk governance) и «менеджмент бизнес-рисков». Это основной драйвер для любых мероприятий по безопасности. Нужно определить состав участников комитета по стратегическому управлению (governance board) и процесс стратегического управления (governance process) в компании. В состав участников этого комитета входит высшее руководство, представители бизнес-направлений (для учета интересов бизнеса), юристы (для учета требований законодательства, регуляторов и обязательств по договорам), а также специалисты по безопасности (для учета всего объема обязательных требований, которым должна соответствовать компания, потребностей безопасности и лучших отраслевых практик).

Результатом процесса стратегического управления является перечень бизнес-требований, определение границ управления рисками, разработка политик и целей, являющихся драйверами процесса создания, внедрения и сопровождения СМИБ в целом. Стратегическое управление создает стратегию и обеспечивает соответствие стратегии целям бизнеса.

3.5.2. Планирование на уровне менеджмента

Руководство среднего уровня (менеджмент) разрабатывает тактические планы для реализации стратегии. Руководитель подразделения безопасности уточняет требования стратегического уровня, чтобы определить конкретные действия, необходимые для достижения стратегических целей. Руководство среднего уровня определяет планы реализации политики и контролирует их выполнение, инициирует разработку инструкций по реализации, в состав которых входят стандарты (что использовать для реализации политики) и процедуры (как реализовывать политику). Также, руководство среднего уровня отвечает за выбор надлежащих средств управления безопасностью, определение метрик, отслеживание внедрения средств управления безопасностью и их эффективности.

3.5.3. Структура эксплуатации

Структура эксплуатации (framework for operations) описывает и определяет, как эксплуатировать средства управления безопасностью и как отслеживать их эффективность. Подразделение эксплуатации управляет целевыми уровнями обслуживания или SLA (соглашениями об уровне обслуживания). Руководство среднего уровня (менеджмент) определяет метрики и цели, персонал эксплуатации измеряет и отчитывается об эффективности, сравнивая ее с целевым уровнем эффективности (performance goals).

3.5.4. Определение методологии постоянного анализа и улучшения

Общей целью ISO 27001 и СМИБ является методология постоянного анализа и улучшения системы менеджмента безопасности и состояния безопасности в компании в целом. Пересмотр и анализ имеющихся средств управления безопасностью, изменений бизнес-среды, изменений угроз, активов, важности ключевых бизнес-функций, появления новых угроз, а также постоянно изменяющихся интересов заинтересованных сторон, дает обратную связь для стратегического управления, менеджмента и эксплуатации.

3.5.5. Базовая СМБ – основа ISO 27002

Базовая СМБ (SMF Baseline) – это структура безопасности, определенная ранее. В столбцах TBD1 .. TBDn Таблицы 3-8 могут быть указаны любые категории, имеющие значение для компании. Многие инструменты и шаблоны, приведенные здесь, поясняют различные категории СМБ и ее использование бизнесом. Использование одной и той же СМБ способствует согласованности между множеством инструментов, шаблонов, интерпретаций, обсуждений, планирований, реализаций, а также упрощает контроль и отчетность. Основной целью использования общей СМБ является снижение сложности и повышение управляемости безопасности в компании. Для экономии места пример использования СМБ содержит только раздел Политика безопасности, однако в реальной работе следует использовать всю структуру.

Столбцы в таблице могут содержать множество детальных сведений. Это можно оформить в виде одного очень детального отчета или сделать несколько отдельных отчетов, содержащих различные части собранных сведений, планов и требований. Использование одной и той же структуры в различных документах упрощает сравнение, поскольку все пункты соответствуют одним и тем же категориям и элементам в структуре.

Категория / Подкатегория / Элемент	TBD1	TBD2	TBDn
Политика безопасности
Политика безопасности информации и информационных технологий
Документация
Ознакомление
Пересмотр политики
И т.д.

Таблица 3-8    Базовая СМБ

3.5.6. СМИБ – политика, стандарт и процедура разработки и контроля функционирования

Используя СМБ, специалист по безопасности может разработать план-матрицу для разработки политики, стандартов и процедур. Эта матрица позволяет отстлеживать соответствие каждого элемента политике безопасности, распределение задач по разработке документов, отслеживание текущего состояния разработки, первоначальную публикацию документов, их периодические пересмотры и изменения. В Таблице 3-9 показан пример элементов такой матрицы, содержащий только раздел «Политика безопасности». Реальная матрица должна содержать всю структуру. Если компании не нужно выделять политику, в качестве отдельной категории или элемента, структура позволяет зафиксировать это решение. Наличие записи о таком решении показывает, что компания проявила должную осмотрительность и сделала осознанное исключение. Это важно, чтобы такое исключение не сочли недосмотром в случае инцидента.

Категория / Подкатегория / Элемент	Требование	Политика	Стандарт	Процедура
Политика безопасности
Политика безопасности информации и информационных технологий
Документация	Руководство выпускает всеобъемлющую политику безопасности, которая включает в себя вопросы управления информационной безопасностью и четкие руководящие принципы по их реализации.	Название политики: Владелец: Первая публикация: Последний пересмотр:	Название стандарта: Владелец: Первая публикация: Последний пересмотр:	Название процедуры: Владелец: Первая публикация: Последний пересмотр:
Ознакомление	Ознакомьте с политикой все подразделения компании.	Учтено в <название политики>	Учтено в <название стандарта>	Учтено в <название процедуры>
И т.д.

Таблица 3-9    Пример пунктов плана разработки Политики, Стандарта и Процедуры

Приложение D «Примеры шаблонов политики, стандартов и процедур» содержит примеры шаблонов для политики, стандартов и процедур. Эти шаблоны предназначены для оценки текущего уровня менеджмента безопасности и его повышения. Для стратегического управления безопасностью может использоваться шаблон политики СМИБ, приведенный в Приложении E «Шаблоны политики СМИБ и политики обработки рисков». Также, участники комитета по стратегическому управлению безопасностью могут анализировать и утверждать детали заявления о применимости (SoA – statement of applicability). Этот шаблон можно найти в Приложении B «Пример Заявления о применимости». Специалистам по безопасности следует разработать и предоставить участникам комитета по стратегическому управлению безопасностью следующее:

• Первоначальный черновой вариант СМБ
• Ссылки на лучшие практики, подтверждающие, что СМБ удовлетворяет потребностям компании
• Рабочий черновой вариант политики СМИБ, содержащий необходимые разделы корпоративной политики безопасности
• Черновой вариант плана СМИБ, который включает в себя предварительное описание и детали:
• Рабочего процесса (work flow)
• Промежуточных этапов и их результатов
• Границ СМИБ
• Обоснование границ (scope justification)
• План управления рисками
• Методология оценки рисков
• Заявление о применимости (SoA)
• Выбор средств управления безопасностью
• Метрики и меры (measures)
• План взаимодействия (communications plan)
• Повышение осведомленности, тренинги и обучение
• Внутреннее ознакомление (internal dissemination)
• Обратная связь
• Рабочая группа по безопасности (SWG – Security working group)
• Оценка навыков персонала

Как специалист по безопасности, не рассчитывайте, что вы придете уже на первое совещание комитета по стратегическому управлению или SWG с уже готовым полноценным решением. Опыт показывает, что предоставление другим первоначального рабочего чернового варианта документов для комментариев, дополнений и изменений чрезвычайно ускоряет процесс разработки. Включите в состав предоставляемых черновых документов набор списков требований и задач, чтобы показать содержание работ и предоставить участникам метрики для оценки их выполнения. Целесообразно включить в состав предоставляемых документов следующие списки:

• Перечень исходных требований к СМИБ (ISMS inputs checklist)
• Например, ISO 27001 и ISO 27002
• Требования, которым должна соответствовать компания
• Бизнес-драйверы
• Результаты анализа рисков
• Перечень работ (activity checklist), оформленный подобно модели PDCA
• Планирование
• Определение границ СМИБ
• Определение политики СМИБ
• Определение политики информационной безопасности (вероятно, в рамках политики СМИБ)
• Определение подхода к оценке рисков
• Идентификация рисков
• Анализ рисков в контексте бизнес-целей и интересов заинтересованных сторон
• Перечень вариантов обработки рисков
• Выбор целей для средств управления безопасностью (control objectives)
• Разработка заявления о применимости (SoA)
• Определение метрик и измерений для отслеживания эффективности средств управления безопасностью
• Выполнение
• Определение и реализация плана обработки рисков
• Внедрение средств управления безопасностью, выбранных на этапе Планирования
• Реализация программы повышения осведомленности по безопасности
• Введение СМИБ в эксплуатацию
• Внедрение инфраструктуры реагирования на инциденты
• Определение, как измерять эффективность
• Проверка
• Мониторинг и анализ политики, стандартов, процедур и практик
• Анализ эффективности функционирования безопасности с использованием метрик и мер (объективное определение эффективности)
• Определение улучшений для СМИБ
• Улучшение
• Реализация улучшений СМИБ
• Инициирование цикла PDCA для применения улучшений
• Перечень результатов СМИБ (ISMS output checklist)
• Документы
• Политика СМИБ
• Политика информационной безопасности
• Процесс управления оценкой рисков
• Заявление о применимости (SoA)
• Процессы
• Управление непрерывностью бизнеса
• Реагирование на инциденты
• И т.д.
• Изменения в компании
• Перечень всех бизнес-подразделений и бизнес-функций, резюмирование необходимых действий для реализации эффективного управления рисками
• Взаимодействие
• Определение протокола взаимодействия для передачи указаний от уполномоченных лиц

Обратите внимание на последний пункт, касащийся определения протокола взаимодействия. Опыт показывает, что персонал, получая посторонние запросы от незнакомых людей с большой вероятностью просто проигнорирует их. Поэтому, если вы просите конкретного исполнителя назначить вам время для встречи по вопросам безопасности без предварительного уведомления, с большой вероятностью ваша просьба будет проигнорирована. И без того занятые люди не ищут себе дополнительной работы, большинство сотрудников имеет достаточно задач от своего непосредственного руководителя. Если сообщение о необходимости проведения встречи придет сотруднику от его непосредственного руководителя, который установит приоритет этой задачи, это почти всегда приведет к сотрудничеству и участию. Потраченное время на утверждение протокола взаимодействия и привлечение руководства – это не зря потраченное время.

<<< Предыдущий раздел • Содержание • Следующий раздел >>>