скачать книгу бесплатно
– решающие факторы успеха СУИБ.
Оперативные этапы СУИБ обеспечивают следующие мероприятия:
– оценка рисков ИБ;
– обработка рисков ИБ;
– выбор и внедрение мер защиты;
– контроль и сопровождение СУИБ;
– постоянное улучшение.
Общие положения
Организация должна предпринимать следующие шаги по внедрению, контролю, сопровождению и улучшению ее СУИБ:
– определение информационных активов и связанных с ними требований ИБ;
– оценка и обработка рисков ИБ;
– выбор и внедрение соответствующих мер защиты для управления неприемлемыми рисками;
– контроль, сопровождение и повышение эффективности мер защиты, связанных с информационными активами организации.
Для гарантии того, что СУИБ эффективно защищает информационные активы организации на постоянной основе, необходимо постоянно повторять все шаги, чтобы выявлять изменения рисков или стратегии организации или бизнес-целей.
Требования ИБ
В пределах общей стратегии и бизнес-целей организации, ее размера и географического распространения требования ИБ могут быть определены в результате понимания:
– информационных активов и их ценности;
– бизнес-потребностей в работе с информацией;
– правовых, нормативных и договорных требований.
Проведение методической оценки рисков, связанных с информационными активами организации, включает в себя анализ:
– угроз активам;
– уязвимостей активов;
– вероятности материализации угрозы;
– возможного влияния инцидента ИБ на активы.
Расходы на соответствующие меры защиты должны быть пропорциональны предполагаемому бизнес-влиянию от материализации риска.
Оценка рисков ИБ
Управление рисками ИБ требует соответствующего метода оценки и обработки риска, который может включать оценку затрат и преимуществ, правовых требований, проблем заинтересованных сторон, и других входных и переменных данных.
Оценки риска должны идентифицировать, измерить и установить приоритеты для рисков с учетом критерия принятия риска и целей организации. Результаты помогут выработать и принять соответствующие управленческие решения для действия и установления приоритетов по управлению рисками ИБ и внедрению мер защиты, выбранных для защиты от этих рисков.
Оценка риска должна включать систематический подход к оценке масштаба рисков (анализ риска) и процесс сравнения оцененных рисков с критерием риска для определения серьезности рисков (оценивание риска).
Оценки риска должны осуществляться периодически, чтобы вносить изменения в требования ИБ и ситуации риска, например, в активы, угрозы, уязвимости, влияния, оценивание риска, и в случае значительных изменений. Эти оценки риска должны осуществляться методично, чтобы обеспечить сопоставимые и воспроизводимые результаты.
Оценка риска ИБ должна четко определять сферу применения, чтобы быть эффективной, и содержать взаимодействия с оценками риска в других сферах, по возможности.
Стандарт ISO/IEC 27005 представляет руководство по управлению рисками ИБ, включая рекомендации по оценке, обработке, принятию, оповещению, мониторингу и анализу риска.
Обработка рисков ИБ
Перед рассмотрением обработки риска организации следует установить критерий для определения, можно принять риски или нет. Риски можно принять, если риск низкий или цена обработки не рентабельна для организации. Такие решения должны быть записаны.
Для каждого риска, определенного оценкой риска, следует принять решение о его обработке. Возможные варианты обработки риска включают:
– применение соответствующих мер защиты для снижения рисков;
– осознанное и объективное принятие рисков в строгом соответствии с политикой организации и критерием принятия риска;
– предотвращение рисков путем исключения действий, приводящих к появлению рисков;
– обмен связанными рисками с другими сторонами, например, страховщиками или поставщиками.
Соответствующие меры защиты от тех рисков, для которых принято решение об их применении с целью обработки рисков, дожны быть выбраны и внедрены.
Выбор и внедрение мер защиты
После определения требований к ИБ, определения и оценки рисков ИБ для информационных активов и принятия решений по обработке рисков ИБ должны быть выбраны и внедрены соответствующие меры защиты для снижения рисков.
Меры и средства ИБ должны гарантировать снижение рисков до приемлемого уровня с учетом:
– требований и ограничений национального и международного законодательства и нормативов;
– целей организации;
– операционных требований и ограничений;
– цены их внедрения и функционирования для снижения рисков, пропорциональной требованиям и ограничениям организации;
– их внедрения для контроля, оценки и улучшения результативности и эффективности мер и средств ИБ для поддержки целей организации;
– необходимости сбалансировать инвестиции на внедрение и функционирование мер защиты от вероятных потерь в результате инцидентов ИБ.
Меры защиты, изложенные в ISO/IEC 27002, общепризнаны как лучшие методы, применимые к большинству организаций и легко приспосабливаемые для организаций разной величины и структуры. Другие стандарты семейства стандартов СУИБ рекомендуют выбор и применение мер защиты, изложенных в стандарте ISO/IEC 27002, для СУИБ.
Меры и средства ИБ при разработке ИС следует рассматривать на стадии формирования системных и проектных требований и технического задания. Невыполнение этого может привести к дополнительным затратам и менее эффективным решениям и, может быть, в худшем случае, к невозможности достичь адекватной безопасности.
Меры защиты следует выбирать из стандарта ISO/IEC 27002 или других перечней, или создавать новые при особой необходимости. Следует осознавать, что некоторые меры защиты могут не подойти для каждой ИС или среды или быть неприемлемыми для всех организаций.
Иногда требуется время для внедрения набора мер защиты и в течение этого времени риск может быть выше приемлемого уровня долгое время. Критерий риска должен предусматривать приемлемость риска на короткое время, пока меры защиты внедряются. Заинтересованные стороны должны быть информированы об уровнях риска, которые оцениваются и прогнозируются в разные моменты времени, по мере последовательного внедрения средств защиты.
Надо понимать, что существующих мер защиты может быть недостаточно для достижения полноценной ИБ. Следует предпринять дополнительные управленческие действия для контроля, оценки и улучшения результативности и эффективности мер и средств ИБ для поддержки целей организации.
Выбор мер и средств ИБ должен быть задокументирован в Положении о применимости для соблюдения требований ИБ.
Контроль и сопровождение СУИБ
Организация должна контролировать и сопровождать СУИБ путем мониторинга и оценки деятельности на предмет соответствия политикам и целям организации и предоставления руководству результатов для анализа. Этот анализ СУИБ позволит наглядно показать, что СУИБ содержит специальные меры защиты, способные обрабатывать риски в сфере применения СУИБ. Кроме того, на основе записей этих контролируемых сфер СУИБ предоставляет данные проверки и корректирующих, профилактических и улучшающих действий.
Постоянное улучшение
Целью постоянного улучшения СУИБ является увеличение вероятностей достижения целей ИБ. Постоянное улучшение следует сфокусировать на поиске возможностей для улучшения и предоположении, что управленческая деятельность не так хороша, как могла бы быть.
Действия по улучшению содержат следующее:
– анализ и оценка существующей ситуации для определения сфер улучшения;
– формирование целей улучшения;
– поиск возможных решений для достижения целей;
– оценка этих решений и осуществление выбора;
– реализация выбранного решения;
– измерение, проверка, анализ и оценка результатов реализации для определения того, что цели достигнуты;
– формализованные изменения.
Результаты следует пересматривать, при необходимости, для определения дальнейших возможностей улучшения. В этом случае, улучшение является непрерывным действием, т.е. действия часто повторяются. Отзывы клиентов и других заинтересованных сторон, аудиты и анализ СУИБ могут также использоваться для определения возможностей улучшения.
3.6. Решающие факторы успеха СУИБ
Для успешной реализации СУИБ, позволяющей организации достичь своих бизнес-целей, имеет значение большое количество факторов. Примеры решающих факторов успеха включают в себя следующие:
– политика ИБ, цели и деятельность, ориентированная на цели;
– подход и структура для разработки, внедрения, контроля, сопровождения и улучшения ИБ, соответствующие корпоративной культуре;
– видимая поддержка и обязательства со стороны всех уровней управления, особенно высшего руководства:
– понимание требований защиты информационных активов, достигаемое применением управления рисками ИБ (см. ISO/IEC 27005);
– эффективное информирование, обучение и образовательная программа по ИБ, доводящая до сведения всех сотрудников и других причастных сторон их обязательства по ИБ, сформулированные в политиках ИБ, стандартах и т. д., а также их мотивирование к соответствующим действиям;
– эффективный процесс управления инцидентами ИБ:
– эффективный подход к управлению непрерывностью бизнеса;
– система измерения, используемая для оценки управления ИБ, и предложения по улучшению, взятые из отзывов.
СУИБ увеличивает вероятность того, что организация будет последовательно достигать решающих факторов успеха, необходимых для защиты ее информационных активов.
3.7. Преимущества внедрения стандартов семейства СУИБ
Преимущества реализации СУИБ проистекают, прежде всего, из сокращения рисков ИБ (т.е. снижения вероятности инцидентов ИБ и/или вызванного ими влияния). В частности, преимущества, полученные от принятия семейства стандартов СУИБ, содержат:
– структурированную базу для поддержания процесса определения, внедрения, функционирования и сопровождения комплексной, рентабельной, значимой, интегрированной и ориентированной СУИБ для удовлетворения разных потребностей организации;
– помощь руководству для стабильного управляющего и операционного подхода к управлению ИБ ответственным образом в контексте государственного и корпоративного управления рисками, включая обучение и тренинг владельцев систем и бизнеса по комплексному управлению ИБ;
– продвижение общепринятых лучших методов ИБ в необязывающей форме, предоставляющей организациям свободу принятия и улучшения мер защиты, соответствующих их особенностям и поддерживающих в случаях внутренних и внешних изменений;
– предоставление общего языка и концептуальной базы для ИБ, что облегчает взаимопонимание бизнес-партнеров с похожими СУИБ, особенно, если они требуют сертификат соответствия ISO/IEC 27001 от аккредитованного органа сертификации;
– повышение доверия заинтересованных сторон к организации;
– удовлетворение социальных нужд и ожиданий;
– более эффективное экономическое управление инвестициями в ИБ.
На этом рассмотрение стандарта ISO/IEC 27000 заканчиваем.
Сертификация СУИБ
Для подтверждения соответствия существующей в организации СУИБ требованиям стандарта, а также ее адекватности существующим бизнес рискам необходима процедура добровольной сертификации. Хотя без этого можно и обойтись, в большинстве случаев сертификация полностью оправдывает вложенные средства и время.
Во-первых, официальная регистрация СУИБ организации в реестре авторитетных органов, таких как служба аккредитации Великобритании (UKAS), укрепляет репутацию фирмы, повышает интерес со стороны потенциальных клиентов, инвесторов и кредиторов.
Во-вторых, в результате успешной сертификации расширяется сфера деятельности компании за счет получения возможности участия в тендерах и развития бизнеса на международном уровне. В наиболее чувствительных к уровню ИБ областях, такой, например, как финансы, наличие сертификата соответствия ISO/IEC 27001 начинает выступать как обязательное требование для осуществления деятельности.
Также очень важно, что процедура сертификации оказывает серьезное мотивирующее и мобилизующее воздействие на персонал компании: повышается уровень осведомленности сотрудников, эффективнее выявляются и устраняются недостатки и несоответствия в СУИБ, что в перспективе означает для организации снижение среднестатистического ущерба от инцидентов ИБ, а также сокращение накладных расходов на эксплуатацию информационных систем. Вполне возможно, наличие сертификата позволит застраховать информационные риски организации на более выгодных условиях.
Следует подчеркнуть, что все перечисленные преимущества организация получает только в том случае, если речь идет о системе сертификации, имеющей международное признание, в рамках которой обеспечивается надлежащее качество проведения работ и достоверность результатов.
Подготовка к сертификации
Подготовка организации к сертификации по ISO/IEC 27001 – процесс довольно длительный и трудоемкий. В общем случае, он включает в себя 6 последовательных этапов, которые выполняются организацией, как правило, при помощи внешних консультантов.
1. Предварительный аудит СУИБ, в ходе которого оценивается текущее состояние, осуществляется инвентаризация и документирование всех основных составляющих СУИБ, определяются область и границы сертификации и выполняется еще целый ряд необходимых подготовительных действий. По результатам аудита разрабатывается детальный план мероприятий по подготовке к сертификации.
2. Оценка информационных рисков, основной целью которой является определение применимости описанных в стандарте механизмов контроля в данной конкретной организации, подготовка декларации о применимости и плана обработки рисков.
3. Анализ расхождений с требованиями стандарта, в результате которого оценивается текущее состояние механизмов контроля в организации и идентифицируются расхождения с декларацией о применимости.
