В мире информационных технологий приоритетным становится вопрос обеспечения целостности, надежности и конфиденциальности информации. Поэтому признание необходимости наличия в организации системы менеджмента информационной безопасности (СМИБ) является стратегическим решением.
Был разработан для создания, внедрения, поддержания функционирования и непрерывного улучшения СМИБ на предприятии.Также благодаря применению данного Стандарта внешним партнерам становится очевидной способность организации соответствовать собственным требованиям по информационной безопасности. В этой статье пойдет речь об основных требованиях Стандарта и обсуждение его структуры.
Ваш бизнес выйдет на новый уровень качества, если получить легитимный Сертификат ISO с помощью опытных специалистов.
Основные задачи Стандарта ISO 27001
Прежде, чем переходить к описанию структуры Стандарта, оговорим его основные задачи и рассмотрим историю появления Стандарта в России.
Задачи Стандарта:
- установление единых требований для всех организаций к созданию, внедрению и улучшения СМИБ;
- обеспечение взаимодействия высшего руководства и сотрудников;
- сохранение конфиденциальности, целостности и доступности информации.
При этом требования, установленные Стандартом, являются общими и предназначены для применения любыми организациями, независимо от их типа, размера или характера.
История Стандарта:
- В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 - Part 1.
- В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая - требования к системам менеджмента информационной безопасности.
- В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была передана в Международную Организацию по Сертификации.
- Этот документ был утвержден в 2000 г. в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
- В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 «Спецификация системы управления информационной безопасностью». Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
- В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-ой серии и получил новый номер - ISO/IEC 27002:2005.
- 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования». В настоящее время сертификация организаций проводится по этой версии Стандарта.
Структура Стандарта
Одним из преимуществ данного Стандарта является схожесть его структуры с ИСО 9001, так каксодержит идентичные заголовки подразделов, идентичный текст, общие термины и основные определения. Это обстоятельство позволяет сэкономить время и деньги, так как часть документации уже была разработана при сертификации по ИСО 9001.
Если говорить о структуре Стандарта, то представляет собой перечень требований к СМИБ, обязательных для сертификации и состоит из следующих разделов:
| Основные разделы | Приложение А |
|---|---|
| 0. Введение | A.5 Политики информационной безопасности |
| 1. Область применения | A.6 Организация информационной безопасности |
| 2. Нормативные ссылки | A.7 Безопасность человеческих ресурсов (персонала) |
| 3. Термины и определения | A.8 Управление активами |
| 4. Контекст организации | A.9 Управление доступом |
| 5. Лидерство | A.10 Криптография |
| 6. Планирование | A.11 Физическая безопасность и защита от окружающей среды |
| 7. Поддержка | A.12 Безопасность операций |
| 8. Операции (Эксплуатация) | A.13 Безопасность коммуникаций |
| 9. Оценка (Измерение) результативности | A.14 Приобретение, разработка и обслуживание информационных систем |
| 10. Совершенствование (Улучшение) | A.15 Взаимоотношения с поставщиками |
| A.16 Менеджмент инцидентов | |
| A.17 Обеспечение непрерывности бизнеса | |
| A.18 Соответствие законодательству |
Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить направления, которые невозможно применить на предприятии.
При внедрении Стандарта на предприятии для прохождения дальнейшей сертификации стоит помнить, что не допускается исключений требований, установленных в разделах 4 - 10. Об этих разделах и пойдет речь дальше.
Начнем с раздела 4 - Контекст организации
Контекст организации
В этом разделе Стандарт требует от организации определить внешние и внутренние проблемы, которые значимы с точки зрения ее целей, и которые влияют на способность ее СМИБ достигать ожидаемых результатов. При этом следует учитывать законодательные и нормативные требования и договорные обязательства в отношении информационной безопасности. Также организация должна определить и документально зафиксировать границы и применимость СМИБ, чтобы установить ее область действия.
Лидерство
Высшее руководство должно демонстрировать лидерство и обязательства в отношении системы менеджмента информационной безопасности посредством, например, гарантии того, что информационная политика безопасности и цели в сфере информационной безопасности установлены и согласуются со стратегией организации. Также высшее руководство должно гарантировать обеспечение всеми необходимыми ресурсами для СМИБ. Другими словами, для работников должно быть очевидным вовлеченность руководства в вопросы информационной безопасности.
Должна быть документально зафиксирована и доведена до сведения работников политика в области информационной безопасности. Этот документ напоминает политику в области качества ISO 9001. Он также должен соответствовать назначению организации и включать цели в области информационной безопасности. Хорошо, если это будут реальные цели, вроде сохранения конфиденциальности и целостности информации.
Также от руководства ожидается распределение функций и обязанностей, связанных с информационной безопасностью среди работников.
Планирование
В этом разделе мы подходим к первому этапу управленческого принципа PDCA (Plan - Do - Check - Act) - планируй, выполняй, проверяй, действуй.
Планируя систему менеджмента информационной безопасности, организация должнапринять во внимание проблемы, упомянутые в разделе 4, а также определить риски и потенциальные возможности, которые необходимо принять во внимание, чтобы гарантировать, что СМИБ может достигать ожидаемых результатов, предотвратить нежелательные эффекты и достигать непрерывного совершенствования.
При планировании, каким образом достигнуть своих целей в области информационной безопасности, организация должна определить:
- что будет сделано;
- какие ресурсы потребуются;
- кто будет ответственным;
- когда цели будут достигнуты;
- как результаты будут оцениваться.
Кроме того, организация должна сохранять данные по целям в области информационной безопасности как документированную информацию.
Обеспечение
Организация должна определить и обеспечить ресурсы, необходимые для разработки, внедрения, поддержания функционирования и непрерывного улучшения СМИБ, это включает в себя как персонал, так и документацию. В отношении персонала от организации ожидается подбор квалифицированных и компетентных работников в области информационной безопасности. Квалификация работников должна подтверждаться удостоверениями, дипломами и т.п. Возможно привлечение по контракту сторонних специалистов, либо обучение своих работников. Что касается документации, она должна включать:
- документированную информацию, требуемую Стандартом;
- документированную информацию, признанную организацией необходимой для обеспечения результативности системы менеджмента информационной безопасности.
Документированной информацией, требуемой СМИБ и Стандартом, необходимо управлять, чтобы гарантировать, что она:
- доступна и пригодна для применения там, где и когда она необходима, и
- надлежащим образом защищена (например, от потери конфиденциальности,неправильного использования или потери целостности).
Функционирование
В данном разделе говорится о втором этапе управленческого принципа PDCA - необходимости организации управлять процессамидля обеспечения соответствия требованиям, и выполнять действия, определенные в разделе Планирование. Также говорится, что организация должна выполнять оценку рисков информационной безопасности через запланированные интервалы времени или когда предложены или произошли существенные изменения. Организация должна сохранять результаты оценки рисков информационной безопасности как документированную информацию.
Оценка результатов деятельности
Третий этап - проверка. Организация должна оценивать функционирование и результативность СМИБ. Например, в ней должен проводиться внутренний аудит, чтобы получать информацию о том,
- соответствует ли система менеджмента информационной безопасности
- собственным требованиям организации к ее системе менеджмента информационной безопасности;
- требованиям Стандарта;
- что система менеджмента информационной безопасности результативно внедрена и функционирует.
Разумеется, что объем и сроки проведения аудитов должны планироваться заранее. Все результаты необходимо документировать и сохранять.
Улучшение
Суть этого раздела в том, чтобы определить порядок действий при выявлении несоответствия. Организации необходимо исправлять несоответствие, последствия и провести анализ ситуации, чтобы в будущем подобное не происходило. Все несоответствия и корректирующие действия должны документироваться.
На этом заканчиваются основные разделы Стандарта. В Приложении А приводятся более конкретные требования, которым должна соответствовать организация. Например, в плане контроля доступа, пользования мобильных устройств и носителей информации.
Выгоды от внедрения и сертификации ISO 27001
- повышение статуса организации и соответственно доверия партнеров;
- повышение стабильности функционирования организации;
- повышениеуровня защиты от угроз информационной безопасности;
- обеспечениенеобходимого уровня конфиденциальности информации заинтересованных сторон;
- расширение возможностей участия организации в крупных контрактах.
Экономическими преимуществами являются:
- независимое подтверждение сертификационным органом наличия в организации высокого уровня информационной безопасности, контролируемого компетентным персоналом;
- доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
- демонстрация определенного высокого уровнясистем менеджмента для обеспечения должного уровня обслуживания клиентов и партнеров организации;
- демонстрация проведения регулярных аудитов систем менеджмента, оценки результативности и постоянных улучшений.
Сертификация
Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех этапов:
- 1-ый этап- изучение аудитором ключевых документов СМИБ на соответствие требованиям Стандарта- может выполняться как на территории организации, так и путем передачи этих документов внешнему аудитору;
- 2-ой этап- детальный аудит, включая тестирование внедренных мер, и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
- 3-ий этап - выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.
Итог
Как можно увидеть, применение данного стандарта на предприятии позволить качественно повысить уровень информационной безопасности, что в условиях современных реалий дорогого стоит. Требований Стандарт содержит немало, но самое главное требование - делать то, что написано! Без реального применения требований стандарта он превращается в пустой набор бумажек.
Действует Редакция от 27.12.2006
| Наименование документ | "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст) |
| Вид документа | приказ, стандарт, гост, исо |
| Принявший орган | ростехрегулирование |
| Номер документа | ИСО/МЭК 27001-2006 |
| Дата принятия | 01.01.1970 |
| Дата редакции | 27.12.2006 |
| Дата регистрации в Минюсте | 01.01.1970 |
| Статус | действует |
| Публикация |
|
| Навигатор | Примечания |
"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)
8. Улучшение системы менеджмента информационной безопасности
8.1. Постоянное улучшение
Организация должна постоянно повышать результативность СМИБ посредством уточнения политики ИБ, целей ИБ, использования результатов аудитов, анализа контролируемых событий, корректирующих и предупреждающих действий, а также использования руководством результатов анализа СМИБ (см. раздел 7).
8.2. Корректирующие действия
Организация должна проводить мероприятия по устранению причин несоответствий требованиям СМИБ с целью предупредить их повторное возникновение. Документированная процедура корректирующего действия должна устанавливать требования по:
a) выявлению несоответствий;
b) определению причин несоответствий;
C) оцениванию необходимости действий во избежание повторения несоответствий;
d) определению и реализации необходимых корректирующих действий;
e) ведению записей результатов предпринятых действий (см. 4.3.3);
f) анализу предпринятого корректирующего действия.
8.3. Предупреждающие действия
Организация должна определять действия, необходимые для устранения причин потенциальных несоответствий требованиям СМИБ, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать последствиям потенциальных проблем. Документированная процедура предпринятого предупреждающего действия должна устанавливать требования по:
a) выявлению потенциальных несоответствий и их причин;
b) оцениванию необходимости действия с целью предупредить появление несоответствий;
c) определению и реализации необходимого предупреждающего действия;
d) записи результатов предпринятого действия (см. 4.3.3);
e) анализу результатов предпринятого действия.
Организация должна определить изменения в оценках рисков и установить требования к предупреждающим действиям, при этом обращая особое внимание на существенно измененные количественные показатели рисков.
Приоритеты в отношении реализации предупреждающих действий должны быть определены на основе результатов оценки риска.
Примечание - Обычно затраты на проведение мероприятий по предотвращению несоответствий более экономичны, чем на корректирующие действия.
Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.
Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».
Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);
Целостность – обеспечение точности и полноты информации, а также методов ее обработки;
Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).
Представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт :2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности.
Стандарт ISO 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.
Рис. Система управления СУИБ
- Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:
- Сделать большинство информационных активов наиболее понятными для менеджмента компании
- Выявлять основные угрозы безопасности для существующих бизнес-процессов
- Рассчитывать риски и принимать решения на основе бизнес-целей компании
- Обеспечить эффективное управление системой в критичных ситуациях
- Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
- Четко определить личную ответственность
- Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
- Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000
- Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
- Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
- Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту
Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.
Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.
Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001), то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем, что предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации
По стандарту ISO 27001:2005 проводится официальная сертификация системы управления информационной безопасностью.
Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.
Этапы разработки и внедрения системы управления ИБ
Можно выделить следующие основные этапы разработки системы управления ИБ:
- Инвентаризация активов.
- Категорирование активов.
- Оценка защищенности информационной системы.
- Оценка информационных рисков.
- Обработка информационных рисков (в том числе определение конкретных мер для защиты ценных активов).
- Внедрение выбранных мер обработки рисков.
- Контроль выполнения и эффективности выбранных мер.
- Роль руководства компании в системе управления ИБ
Одним из основных условий эффективного функционирования системы управления ИБ является вовлеченность руководства компании в процесс управления ИБ. Все сотрудники должны понимать, что, во-первых, вся деятельность по обеспечению ИБ инициирована руководством и обязательна для выполнения, во-вторых, руководство компании лично контролирует функционирование системы управления ИБ, в-третьих, само руководство выполняет те же правила по обеспечению ИБ, что и все сотрудники компании.
Инвентаризация активов компании
Прежде всего, необходимо определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:
- информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
- программное обеспечение;
- материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
- сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);
- сотрудники компании, их квалификация и опыт;
- нематериальные ресурсы (репутация и имидж компании).
Инвентаризация заключается в составлении перечня ценных активов компании.
Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов.
Оценку критичности активов можно выполнять в денежных единица и в уровнях.
Принципы оценки критичности каждого указанного актива:
- информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия;
- программное обеспечение, материальные ресурсы и сервисы оцениваются с точки зрения их доступности или работоспособности.
- сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию.
- репутация компании оценивается в связи с информационными ресурсами.
Оценка информационных рисков
Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.
Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым. Т.е. компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Уклонение от рисков - это полное устранение источника риска.
Передача рисков - перенесение ответственности за риск на третьи лица (например, поставщику оборудования или страховой компании) без устранения источника риска.
Снижение рисков - это выбор и внедрение мер по снижению вероятности нанесения ущерба.
В процессе обработки рисков сначала требуется определить, какие риски требуют дальнейшей обработки, а какие можно принять.
По результатам оценки и обработки рисков разрабатывается Положение о применимости. Наличие этого документа обязательно для прохождения сертификации.
В Приложении А к стандарту ISO 27001 перечислены все требования к обеспечению безопасности, которые должны выполняться в компании. Следовательно, Положение о применимости является итоговым решением относительно снижения информационных рисков компании.
Документированные процедурыСтандарт требует, чтобы все меры по снижению рисков были документально зафиксированы. Т.е. для эффективного управления ИБ необходимо наличие процедур, которые будут поддерживаться определенными документами (инструкциями, политиками, регламентами), выполняться определенными людьми. И каждая процедура должна быть отражена в соответствующем документе. Документированные процедуры являются обязательным элементом системы управления ИБ. Следовательно, в рамках системы управления необходимо разработать базу нормативных документов, описывающих все процедуры в области ИБ.
Основными документами по управлению ИБ являются
- Политика управления информационной безопасностью
- Политика информационной безопасности.
- Методики и инструкции,
- Процедуры обеспечения ИБ и управления ею.
- Регламент обеспечения физической безопасности.
Обучение сотрудников компании
Обучение сотрудников можно выполнять в форме очных и заочных курсов с последующим тестированием, целесообразно организовать обучение сотрудников с помощью системы дистанционного обучения, в рамках которой могут быть представлены различные курсы (как для пользователей, так и для специалистов), игровые методики обучения, тестирование.
Основная сложность может заключаться в проверке эффективности процедур системы управления ИБ. Т.е. для каждой процедуры необходимо разработать критерии, по которым будет проверяться ее эффективность, и, кроме этого, такие критерии требуется разработать для всей системы управления в целом.
Критериями оценки эффективности системы управления ИБ могут быть, например, изменение количества инцидентов ИБ, квалификация пользователей в области ИБ и пр.
Внедрение процедур системы управления ИБ
Внедрение процедур, как правило, заключается в информировании соответствующих сотрудников о правилах и сроках выполнения процедуры, регулярный контроль выполнения процедуры, а также оценка ее эффективности, внесение корректирующих и превентивных действий, то есть внедрение всего цикла PDCA-модели для каждой процедуры.
Дополнительно:
- скачать
- ISO / IEC 27003:2010 -
Действующий
Принятие модели PDCA также отражает принципы, установленные в Директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей . Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.
1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности,
2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.
| Таблица 1 | |
Настоящий стандарт согласован со стандартами "Системы менеджмента качества. Требования" и "Системы управления окружающей средой. Требования и руководство по применению" в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.
Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).
Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Примечание - Термин "бизнес", в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации.
Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в ,
Согласно требованиям стандарта ГОСТ Р ИСО/МЭК 27001-2006. "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования" , организация должна осуществить следующее:
содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ;
принимает во внимание требования бизнеса, нормативно-правовые требования, а также договорные обязательства по обеспечению безопасности;
согласуется со стратегическим содержанием менеджмента рисков организации, в рамках которого будет разрабатываться и поддерживаться СМИБ;
устанавливает критерии оценки рисков;
утверждается руководством организации.
Определить политику СМИБ на основе характеристик бизнеса организации, ее размещения, активов и технологий, которая:
ГОСТ Р ИСО/МЭК 27002
Цель : Обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с требованиями бизнеса и соответствующими законами и нормами.
Высшее руководство должно установить четкое направление политики в соответствии с целями бизнеса и демонстрировать поддержку и обязательства в отношении обеспечения информационной безопасности посредством разработки и поддержки политики информационной безопасности в рамках организации.
При необходимости следует предусмотреть наличие контактного лица, занимающегося вопросами информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности или группами специалистов, включая соответствующие органы, чтобы находиться в курсе отраслевых тенденций, осуществлять мониторинг стандартов и методов оценки, и обеспечивать адекватные точки контакта при обработке инцидентов информационной безопасности. Следует поощрять многопрофильный подход к обеспечению информационной безопасности.
Должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций.
Политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности. Документ, в котором излагается политика, должен содержать положения относительно:
соответствие законодательным требованиям и договорным обязательствам;
требования по обеспечению осведомленности, обучения и тренинга в отношении безопасности;
менеджмент непрерывности бизнеса;
ответственность за нарушения политики информационной безопасности;
определения общих и конкретных обязанностей сотрудников в рамках менеджмента информационной безопасности, включая информирование об инцидентах безопасности;
ссылок на документы, дополняющие политику информационной безопасности, например более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.
определения информационной безопасности, ее общих целей и сферы действия, а также упоминания значения безопасности как инструмента, обеспечивающего возможность совместного использования информации;
изложения намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;
подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска;
краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия, например:
Данная политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в актуальной, доступной и понятной форме.
Политика информационной безопасности может составлять часть документа по общей политике. Если политика информационной безопасности распространяется за пределами организации, следует принимать меры в отношении неразглашения чувствительной информации. Дополнительную информацию можно найти в ИСО/МЭК 13335-1.
ГОСТ Р ИСО/МЭК 27003
Стандарт "ГОСТ Р ИСО/МЭК 27003 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности" рекомендует:
В качестве исходных данных взять:
Приоритеты организации для разработки СМИБ - обобщенные цели и перечень требований;
Составление описания случая применения СМИБ для данного предприятия и плана проекта для утверждения руководством - первоначальное утверждение руководством проекта СМИБ;
Объединение всех областей действия и границ для получения области действия и границ - область действия и границы СМИБ;
Разработку политики СМИБ и получение одобрения руководства - политика СМИБ;
Определение требований к информационной безопасности для процесса СМИБ;
Определение активов в рамках области действия СМИБ;
Проведение оценки информационной безопасности;
Результаты оценки риска и выбора целей и средств управления;
Разработка конечной структуры организации для информационной безопасности;
Разработка основы для документирования СМИБ;
Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями информационной безопасности в отношении использования СМИБ.
Политика информационной безопасности документирует стратегическую позицию организации в отношении информационной безопасности во всей организации.
Политика строится на основе информации и знания. Моменты, признанные руководством важными во время ранее проведенного анализа, должны быть сделаны наглядными, им должно быть уделено особое внимание в политике, чтобы обеспечить стимуляцию и мотивацию в организации. Также важно отметить, что происходит, если не следовать выбранной политике, и подчеркнуть влияния законов и регулирующих положений на рассматриваемую организацию.
Примеры политики информационной безопасности можно взять из справочной литературы, сети Интернет, в сообществах по интересам и отраслевых объединениях. Формулировки и подсказки можно найти в годовых отчетах, других документах по политике или документах, сохраняемых руководством.
Относительно фактического объема документации по политике могут существовать различные интерпретации и требования. Эта документация должна быть в достаточной степени суммирована, чтобы работники организации понимали значение политики. Кроме того, она должна достаточно четко показывать, каких целей необходимо достичь, чтобы установить набор правил и целей организации.
Объем и структура политики информационной безопасности должны подкреплять документы, которые используются на следующем этапе процесса, для введения системы управления информационной безопасностью.
Для больших организаций со сложной структурой (например, с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.
Предлагаемая политика (с номером версии и датой) должна быть подвергнута перекрестной проверке и учреждена в организации оперативным руководителем. После учреждения в группе управления или аналогичном органе оперативный руководитель утверждает политику информационной безопасности. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.
Выходные данные представляют собой документ, описывающий и документирующий утвержденную руководством политику СМИБ. Этот документ должен быть повторно утвержден в следующей фазе проекта, поскольку зависит от результатов оценки риска.
ГОСТ Р ИСО/МЭК 27003-2012. Приложение D. Структура политики
В данном приложении содержатся дополнительные рекомендации по структуре политики, включая политику информационной безопасности.
Политика - это общие намерения и указания, официально выраженные руководством. Содержание политики управляет действиями и решениями, касающимися предмета политики. Организация может иметь несколько политик, по одной для каждой сферы деятельности, важной для организации. Некоторые политики независимы одна от другой, в то время как другие политики находятся в иерархическом соотношении. В области безопасности политики, как правило, иерархически организованы. Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику информационной безопасности и политику системы менеджмента информационной безопасности. В свою очередь, политика информационной безопасности может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам информационной безопасности. Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика информационной безопасности подкрепляется политиками, касающимися контроля доступа, политики «чистого стола» и «чистого экрана», использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.
Согласно стандарту ISO/I ЕС 27001 требуется, чтобы организации имели политику СМИБ и политику информационной безопасности. Однако это не подразумевает каких-либо конкретных соотношений между этими политиками. Эти политики могут разрабатываться как равноправные политики: политика СМИБ может подчиняться политике информационной безопасности, или, наоборот, политика информационной безопасности может подчиняться политике СМИБ.
цели и задачи организации;
стратегии, адаптированные для достижения этих целей;
структуру и процессы, адаптированные организацией;
цели и задачи, связанные с предметом политики;
требования связанных политик более высокого уровня.
Политики могут иметь следующую структуру:
Краткое изложение политики - общее описание из одного-двух предложений.
Введение - краткое объяснение предмета политики.
Область действия - описывает части или действия организации, находящиеся под влиянием политики. При необходимости в пункте «Область действия» перечисляются другие политики, подкрепляемые данной политикой.
Цели - описание назначения политики.
Принципы - описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем - правила выполнения процессов.
Сферы ответственности - кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.
Ключевые результаты - описание результатов, получаемых предприятием, если цели достигнуты.
Связанные политики - описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.
Пример политики информационной безопасности
Далее приведен пример политики информационной безопасности , показывающий ее структуру и пример содержания.
Политика информационной безопасности (Пример)
Краткое изложение политики
Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.
Введение
Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.
Информационная безопасность - это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.
Область действия
Данная политика подкрепляет общую политику безопасности организации.
Данная политика применяется ко всем сотрудникам организации.
Цели информационной безопасности
Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.
Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.
Сохранение целостности материалов бухгалтерского учета.
Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.
Принципы информационной безопасности
Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.