Управление информационной безопасност ью
Скачать 2.74 Mb.
|
3.4. Сертификация СУИБ Для подтверждения соответствия существующей в организации СУИБ требованиям стандарта, а также ее адекватности существующим бизнес рискам используется процедура добровольной сертификации. Хотя без этого можно и обойтись, в большинстве случаев сертификация полностью оправдывает вложенные средства и время. Во-первых, официальная регистрация СУИБ организации в реестре авторитетных органов, таких как служба аккредитации Великобритании (UKAS), что укрепляет имидж компании, повышает интерес со стороны потенциальных клиентов, инвесторов, кредиторов и спонсоров. Во-вторых, в результате успешной сертификации расширяется сфера деятельности компании за счет получения возможности участия в тендерах и развития бизнеса на международном уровне. В наиболее чувствительных к уровню ИБ областях, такой, например, как финансы, наличие сертификата соответствия ISO/IEC 27001 начинает выступать как обязательное требование для осуществления деятельности. Некоторые украинские компании уже сталкиваются с этими ограничениями. Также очень важно, что процедура сертификации оказывает серьезное мотивирующее и мобилизующее воздействие на персонал компании: повышается уровень осведомленности сотрудников, эффективнее выявляются и устраняются недостатки и несоответствия в СУИБ, что в перспективе означает для организации снижение среднестатистического ущерба от инцидентов ИБ, а также сокращение накладных расходов на эксплуатацию информационных систем. Вполне возможно, наличие сертификата позволит застраховать информационные риски организации на более выгодных условиях. Следует подчеркнуть, что все перечисленные преимущества организация получает только в том случае, если речь идет о системе сертификации, имеющей международное признание, в рамках которой обеспечивается надлежащее качество проведения работ и достоверность результатов. Подготовка к сертификации Подготовка организации к сертификации по ISO/IEC 27001 - процесс довольно длительный и трудоемкий. В общем случае, он включает в себя 6 последовательных этапов, которые выполняются организацией, как правило, при помощи внешних консультантов. 1-й этап - предварительный аудит СУИБ, в ходе которого оценивается текущее состояние, осуществляется инвентаризация и документирование всех основных составляющих СУИБ, определяются область и границы сертификации и выполняется еще целый ряд необходимых подготовительных действий. По результатам аудита разрабатывается детальный план мероприятий по подготовке к сертификации. 2-й этап - оценка информационных рисков, основной целью которой является определение применимости описанных в стандарте механизмов контроля в данной конкретной организации, подготовка декларации о применимости и плана обработки рисков. 3-й этап - анализ расхождений с требованиями стандарта, в результате которого оценивается текущее состояние механизмов контроля в организации и идентифицируются расхождения с декларацией о применимости. 4-й этап - планирование и подготовка программы внедрения недостающих механизмов контроля, по каждому из которых разрабатывается соответствующая стратегия и план. 5-й этап - работы по внедрению недостающих механизмов контроля, которые включают в себя 3 основные составляющие: - подготовка и повышение осведомленности сотрудников: обучение и тренинги; - подготовка документации СУИБ: политики, стандарты, процедуры, регламенты, инструкции, планы; - подготовка свидетельств функционирования СУИБ: отчеты, протоколы, приказы, записи, журналы событий и т.п. 6-й этап - подготовка к сертификационному аудиту: анализируется состояние СУИБ, оценивается степень ее готовности к сертификации, уточняется область и границы сертификации, проводятся соответствующие переговоры с аудиторами органа по сертификации.  Точки преткновения В процессе внедрения СУИБ возникает много точек преткновения. Часть из них связаны с нарушением описанных выше фундаментальных принципов управления безопасностью. Серьезные затруднения для украинских организаций лежат в законодательной области. Использование в Украине ISO/IEC 27001-2005 как национального стандарта, в то время как уже введен в действие ISO/IEC 27001-2013, а также неотрегулированность системы сертификации средств защиты информации серьезно затрудняет выполнение одного из главных требований стандарта - соответствие действующему законодательству. Источником затруднений нередко служит неправильное определение области действия и границ СУИБ. Слишком широкая трактовка области действия СУИБ, например, включение в эту область всех бизнес-процессов организации, значительно снижает вероятность успешного завершения проекта по внедрению и сертификации СУИБ. Столь же важно правильно представлять, где проходят границы СУИБ и каким образом она связана с другими системами управления и процессами организации. Например, СУИБ и система управления непрерывностью бизнеса (СУНБ) организации тесно пересекаются. Последняя является одной из 14 определяемых стандартом областей контроля ИБ. Однако СУИБ включает в себя только ту часть СУНБ, которая связана с ИБ - это защита критичных бизнес процессов организации от крупных сбоев и аварий информационных систем. Другие аспекты СУНБ выходят за рамки СУИБ. Стандарт - гарантия безопасности Сегодня организация работы серьезной и эффективной компании, претендующей на успешное развитие, обязательно базируется на современных информационных технологиях. Поэтому обратить внимание на стандарты управления информационной безопасностью стоит компаниям любого масштаба. Как правило, вопросы управления информационной безопасностью тем актуальнее, чем крупнее компания, чем шире масштаб ее деятельности и претензии на развитие, и, как следствие, выше ее зависимость от информационных технологий. Использование семейства международных стандартов ISO/IEC 27k позволяет существенно упростить создание, эксплуатацию и развитие СУИБ. Требования нормативной базы и рыночные условия вынуждают организации применять международные стандарты при разработке планов и политик обеспечения ИБ и демонстрировать свою приверженность путем проведения аудитов и сертификаций ИБ. Соответствие требованиям стандарта представляет определенные гарантии наличия в организации базового уровня ИБ, что оказывает положительное влияние на имидж компании. Перечень органов сертификации СУИБ в Украине, акредитованных на соответствие требованиям ISO/IEC 17021:2011 «Требования к органам, проводящим аудит и сертификацию систем менеджмента»
Контрольные вопросы 1. Когда и где появился первый стандарт по управлению ИБ? 2. Какое обозначение и название имел первый стандарт по управлению ИБ? 3. Какое обозначение получил первый международный стандарт по управлению ИБ? 4. Когда и где появился первый стандарт по управлению рисками ИБ? 5. Когда и где появился первый стандарт по управлению инцидентами ИБ? 6. Когда и какой стандарт СУИБ был принят в Украине как национальный? 7. В каком году были опубликованы последние версии ISO/IEC 27001 и 27002? 8. В каком году была опубликована последния версия ISO/IEC 27000? 9. Когда и какая серия стандартов «ТО» была принята в Украине как национальная? 10. Когда, какой орган Украины и какие стандарты принял как отраслевые? 11. Что содержит в себе стандарт ISO/IEC 27000? 12. Из каких 4 этапов состоит операционный принцип СУИБ? 13. Кто придумал и трансформировал процессный подход к управлению? 14. Какие меры по внедрению и улучшению СУИБ нужно предпринимать? 15. При анализе каких факторов могут быть определены требования ИБ? 16. Для чего нужна сертификация СУИБ? 17. Что дает официальная регистрация СУИБ в реестре органов аккредитации? 18. За счет чего расширяется сфера деятельности компании в результате успешной сертификации? 19. Какие есть этапы сертификации СУИБ? 4. Требования к системе управления информационной безопасностью (стандарт ISO/IEC 27001:2013) В 1998 году появилась вторая часть британского национального стандарта – BS 7799-2 «СУИБ - Спецификация и руководство по применению», в 2002 году она была пересмотрена, а в конце 2005 года была принята в качестве международного стандарта ISO/IEC 27001 «ИТ - Методы и средства обеспечения безопасности - СУИБ - Требования». В Украине стандарт ISO/IEC 27001 в качестве национального введен в действие только с 1 июля 2012 года. 25 сентября 2013 года состоялось последнее обновление стандарта. Стандарт устанавливает требования к разработке, внедрению, поддержке и постоянному улучшению СУИБ в контексте организации. Стандарт также включает требования по оценке и обработке рисков ИБ в соответствии с потребностями организации. В стандарте представлена модель «Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)» (РDСА), которая может быть применена при структурировании всех процессов СУИБ. СУИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения ИБ, которые соответствуют этим требованиям и ожидаемым результатам. Контекст организации Организация должна определить внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от СУИБ. Организация должна определить: - заинтересованные стороны, которые имеют отношение к СУИБ; - требования этих заинтересованных сторон, имеющих отношение к ИБ. Организация для определения области применения СУИБ должна определить границы и возможность применения СУИБ. При определении этой области применения организация должна рассмотреть следующие вопросы: - внешние и внутренние аспекты; - требования заинтересованных сторон; - интерфейсы и зависимости между деятельностью, выполняемой организацией, и деятельностью, которую выполняют другие организации. Область применения должна быть доступна в виде документированной информации. Лидерство Высшее руководство должно продемонстрировать лидерство и приверженность по отношению к СУИБ путем: - обеспечения политики ИБ и целей ИБ, которые разработаны и совместимы со стратегическими задачами организации; - обеспечения интеграции требований СУИБ в процессы организации; - обеспечения того, чтобы ресурсы, необходимые для системы менеджмента информационной безопасности, были доступны; - информирования о важности достижения результативности УИБ и о соответствии требованиям СУИБ; - обеспечения того, что СУИБ позволяет достигать желаемых результатов; - поддержки и управления персоналом, способствующим повышению результативности СУИБ; - содействия постоянному улучшению; - поддержки других соответствующих ролей управления с целью демонстрации ими лидерских качеств в применении к сфере их ответственности. Высшее руководство должно разработать соответствующую целям организации политику ИБ, которая включает в себя: - цели ИБ или обеспечивает основу для постановки целей ИБ; - обязательства по удовлетворению применимых требований, относящихся к ИБ; - обязательства по постоянному улучшению СУИБ. Политика ИБ должна быть: - доступна в виде документированной информации; - доведена до сведения персонала организации; - доступна всем заинтересованным сторонам, в случае необходимости. Политика ИБ должна быть определена, утверждена руководством, опубликована и доведена до сотрудников организации и соответствующих внешних сторон. Через запланированные промежутки времени или в случае значительных изменений она должна быть пересмотрена с целью обеспечения ее постоянной пригодности, адекватности и эффективности. Высшее руководство должно создать в организации структуру УИБ с целью инициировать и управлять внедрением и обеспечением ИБ в организации. Для этого необходимо провести такие мероприятия: - все ответственности в поле ИБ должны быть определены и закреплены; - противоречивые обязанности и зоны ответственности должны быть разделены с целью снижения возможностей для несанкционированного, случайного изменения или неправильного использования активов организации; - поддерживать подходящие контакты с соответствующими органами; - поддерживать надлежащие контакты со специальными группами или другими форумами специалистов по безопасности, а также профессиональными ассоциациями. Высшее руководство должно распределить ответственность и делегировать полномочия для: - обеспечения того, чтобы СУИБ соответствовала требованиям стандарта; - постоянного информирования высшего руководства о результативности СУИБ. 1 этап. Планирование При планировании СУИБ организация должна учитывать все аспекты и требования и определить риски и возможности, которые должны быть направлены на: - обеспечение того, чтобы СУИБ позволила достичь желаемых результатов; - предотвращение или уменьшение нежелательных эффектов; - обеспечение непрерывного совершенствования. Организация должна планировать мероприятия по: - оценке и обработке рисков и своих возможностей; - интеграции и осуществлению работ в процессах СУИБ; - оценке результативности этих работ. Оценка рисков ИБ Организация должна определить и внедрить процесс оценки рисков ИБ, на основании которого: - установить и поддерживать критерии для рисков ИБ, которые включают в себя: • критерии принятия рисков; • критерии для проведения оценки рисков ИБ; - гарантировать, что повторная оценка рисков ИБ позволит получить логичные, обоснованные и сопоставимые результаты; - определить риски ИБ: • применить процесс оценки рисков ИБ для выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СУИБ; • определить владельцев рисков; - проанализировать риски ИБ: • определить потенциальные последствия, которые могут возникнуть в случае возникновения рисков; • определить реалистичную вероятность возникновения рисков; • определить уровни риска; - оценить риски ИБ: • сравнить результаты анализа рисков с критериями для рисков; • установить приоритеты по обработке рисков для проанализированных рисков. Организация должна сохранять документированную информацию о процессе оценки рисков ИБ. Обработка рисков ИБ Организация должна определить и внедрить процесс обработки рисков ИБ, на основании которого: - выбрать подходящий вариант по обработке рисков ИБ, принимая во внимание результаты оценки рисков; - определить все элементы управления, которые необходимы для реализации выбранного варианта по обработке рисков ИБ; - сравнить свои элементы управления с теми, которые приведены в Приложении А стандарта, и убедиться в том, что не были упущены необходимые элементы управления; - разработать положение о применимости (Statement of Applicability, SoA), которое содержит необходимые элементы управления и обоснования их включения (независимо от того, реализованы они или нет), а также обоснования исключений элементов управления из Приложения А стандарта; - сформулировать план по обработке рисков ИБ; - согласовать с владельцами рисков план по обработке рисков ИБ и получить (от владельцев рисков) согласие на принятие остаточных рисков ИБ. Организация должна сохранять документированную информацию о процессе обработки рисков ИБ. Цели ИБ и планирование их достижения Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях. Цели ИБ должны: - находиться в соответствии с политикой ИБ; - быть измеримыми (если это возможно); - принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков; - быть известны соответствующему персоналу организации; - обновляться по мере необходимости. Организация должна сохранять документированную информацию о целях ИБ. При планировании мер по достижению своих целей ИБ организация должна определить: - что будет сделано; - какие ресурсы потребуются; - кто будет нести ответственность; - когда меры будут реализованы; - как будут оцениваться результаты. Поддержка Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения, поддержки и постоянного улучшения СУИБ. Организация должна: - определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность ИБ; - обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта; - при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер; - сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций. Персонал, выполняющий работы в рамках организации, должен быть осведомлен: - о политике ИБ; - о вкладе в повышение результативности СУИБ, включая выгоды от улучшения состояния информационной безопасности; c) о последствиях в результате не выполнения требований СУИБ. Организация должна определить необходимые внутренние и внешние способы передачи информации, относящиеся к СУИБ, включая: - о чем передавать информацию; - когда передавать информацию; - с кем передавать информацию; - кто должен участвовать в передаче информации; - процессы, посредством которых должны осуществляется передача информации. Документированная информация СУИБ организации должна включать: - документированную информацию, требуемую настоящим стандартом; - документированную информацию, определенную организацией в качестве необходимой для обеспечения результативности СУИБ. Степень (детализация) документированной информации для СУИБ одной организации может отличаться от другой в зависимости от: 1) размера организации и ее вида деятельности, процессов, продуктов и услуг; 2) сложности процессов и их взаимодействия; 3) компетенции персонала. При создании и обновлении документированной информации организация должна обеспечить следующее: - идентификацию и описание (например: название, дата, автор или номер); - оформление (например: язык, версию ПО, рисунки) и тип носителя (например: электронный, бумажный); - рассмотрение и утверждение на предмет пригодности для применения и адекватности. Документированная информация, требуемая СУИБ, должна управляться с целью обеспечения: - доступности и пригодности для использования в местах, где она необходима; - адекватной защиты (например: от потери конфиденциальности, неправильного использования или потери целостности). Для управления документированной информацией организация должна рассмотреть следующие мероприятия (где применимо): - распространение информации, доступ, восстановление и использование; - хранение и сохранность, в том числе сохранение удобочитаемости; - контроль изменений (например: управление версиями); - архивирование и уничтожение. Документированная информация внешнего происхождения, определенная организацией в качестве необходимой для планирования и функционирования СУИБ (например: международные и национальные стандарты), должна быть определена соответствующим образом и должна управляться. |
Похожие:
 | «Аверс: Управление организацией дополнительного образования», предоставляемой в электронном виде, ООО цит «Аверс» Группы Компаний... |  | Название информационной системы «1С: Зарплата и управление персоналом 8 корп.» В рамках внедрения данной системы необходимо провести... |
| Заказчик, указанный в информационной карте (п 27. 4), намерен заключить с победителем запроса предложений договор, предмет которого... | | Информационное взаимодействие Системы «Парус» с Единой информационной системой в сфере закупок (далее – еис, оос, портал закупок... |
| Настоящий регламент описывает операции по планированию, учету и контролю контингента студентов при работе с модулем «Управление контингентом... | | Предмет открытого запроса котировок, указан в пункте 2 информационной карты документации (далее – информационной карты) |
| В целях развития и внедрения Территориальной информационной системы Томской области создать рабочую группу по внедрению и развитию... | | Территориальное управление Федерального агентства по управление государственным имуществом в Амурской области |
| Инструкции. Указанные электронные документы подаются одновременно в срок, указанный в информационной карте аукционной заявки (далее... | | В первой половине информационной кампании упор должен быть сделан на информацию о направлении и получении налогового уведомления.... |