Проект

Общее

Профиль

Действия
История

Wiki » ISM »

Стандарты управления информационной безопасностью

Введение

Оценочные стандарты отвечают на вопрос «насколько защищена система». Стандарты управления отвечают на другой вопрос: «как выстроить процесс, который обеспечит и поддержит эту защиту на уровне всей организации».

Ключевое слово — процесс.
Безопасность нельзя купить раз и навсегда: новые угрозы появляются постоянно, инфраструктура меняется, сотрудники приходят и уходят.
Именно поэтому мировая практика пришла к идее системы управления — структурированного непрерывного процесса, а не набора технических мер.

Процесс — это совокупность последовательных, взаимосвязанных действий или этапов, направленных на достижение определенного результата.

Эта тема логически продолжает 3. Оценочные стандарты и служит нормативной основой для 6. Создание СУИБ — практического построения системы управления.

Эволюция стандартов: от BS 7799 к семейству ISO 27000

История стандартов управления ИБ начинается в Великобритании. В середине 1990-х Британский институт стандартов (BSI) при поддержке коммерческих организаций разработал стандарт BS 7799.
Задача была конкретной: дать государственным и коммерческим организациям практический инструмент для создания эффективных систем ИБ на основе современных методов управления.

Год Стандарт Суть изменений
1995 BS 7799 Первый стандарт управления ИБ, Великобритания
2000 ISO/IEC 17799:2000 Международное признание BS 7799
2005 ISO/IEC 27001:2005 Требования к СУИБ, первая сертифицируемая версия
2005 ISO/IEC 17799:2005 Расширенный свод практик (впоследствии стал ISO 27002)
2013 ISO/IEC 27001:2013 Пересмотр структуры, 114 контролей, актуализация угроз
2022 ISO/IEC 27001:2022 Актуальная редакция: 93 контроля, новые категории (облако, DevSecOps)

ISO/IEC 17799 и его вклад

ISO/IEC 17799 — это свод лучших практик в области управления ИБ, а не перечень жёстких требований. Его главная идея: помочь организации не только надёжно защитить информацию, но и организовать эффективную работу с ней.

Стандарт построен как «меню»: из 109 пунктов организация выбирает те, которые применимы в её конкретных условиях. Выбор обосновывается результатами оценки рисков.

Структура стандарта охватывает десять областей управления:

Область Что регулирует
Политика безопасности Документ верхнего уровня, определяющий цели и принципы
Организация защиты Роли, ответственность, взаимодействие подразделений
Классификация ресурсов Инвентаризация и категорирование информационных активов
Безопасность персонала Найм, обучение, увольнение; работа с инсайдерскими рисками
Физическая безопасность Защита помещений, оборудования, носителей информации
Администрирование систем Управление сетями, резервное копирование, журналирование
Управление доступом Аутентификация, авторизация, мониторинг доступа
Разработка и сопровождение ИС Требования безопасности к ИС на всех этапах жизненного цикла
Непрерывность бизнеса BCP, DRP, восстановление после катастроф
Соответствие требованиям Законодательство, контрактные обязательства, аудит
Фундаментальные элементы управления, которые стандарт выделяет как обязательные для любой организации:
  • политика информационной безопасности и распределение ответственности за неё;
  • обучение и повышение осведомлённости персонала;
  • учёт инцидентов безопасности и реагирование на них;
  • защита от вредоносного программного обеспечения;
  • обеспечение непрерывности работы;
  • контроль соответствия законодательным требованиям и защита персональных данных.

ISO/IEC 17799 впоследствии был переименован в ISO/IEC 27002 и стал сводом рекомендуемых практик (контролей) — в то время как ISO/IEC 27001 содержит обязательные требования к системе управления. Это разделение сохраняется и в актуальных редакциях.

ISO/IEC 27001: требования к СУИБ

ISO/IEC 27001 — международный стандарт, устанавливающий требования к системе управления информационной безопасностью (СУИБ). Это единственный стандарт семейства ISO 27000, по которому проводится официальная сертификация.

Стандарт применим к организациям любого типа и размера: коммерческим, некоммерческим, государственным.

Цель стандарта — помочь организации выбрать адекватные и соразмерные контроли безопасности, которые защищают информационные активы и дают уверенность заинтересованным сторонам.

Основа стандарта — управление рисками. Все решения о составе и приоритете защитных мер принимаются на основе оценки рисков, а не по принципу «установим всё доступное».

Цикл PDCA как основа управления

ISO 27001 строится на процессной модели PDCA, которая обеспечивает непрерывное совершенствование СУИБ.

Этап Название Ключевые действия
Plan Разработка СУИБ Определить область и политику; оценить риски; выбрать контроли; подготовить положение о применимости
Do Внедрение и функционирование Реализовать план обработки рисков; внедрить контроли; обучить персонал; запустить процессы реагирования на инциденты
Check Мониторинг и анализ Мониторинг и измерение эффективности контролей; внутренние аудиты; анализ со стороны руководства; пересмотр остаточных рисков
Act Поддержка и улучшение Корректирующие и предупреждающие действия; внедрение улучшений; информирование заинтересованных сторон

Четыре этапа создания СУИБ по ISO 27001

Этап 1. Разработка

Организация должна:
  • определить область и границы СУИБ;
  • сформировать политику СУИБ исходя из характеристик бизнеса, активов и технологий;
  • выбрать методологию оценки рисков;
  • провести идентификацию, анализ и оценку рисков;
  • выбрать контроли для обработки рисков;
  • получить утверждение остаточных рисков руководством;
  • подготовить положение о применимости (Statement of Applicability, SOA).

Этап 2. Внедрение и функционирование

Организация должна:
  • реализовать план обработки рисков с распределением ресурсов и ответственности; внедрить выбранные контроли;
  • определить метрики их результативности;
  • обучить персонал;
  • настроить процессы обнаружения событий ИБ и реагирования на инциденты.

Этап 3. Мониторинг и анализ

Организация должна:
  • регулярно измерять результативность контролей;
  • проводить внутренние аудиты СУИБ;
  • пересматривать оценки рисков при изменениях;
  • проводить анализ СУИБ со стороны руководства;
  • регистрировать все события, влияющие на функционирование СУИБ.

Этап 4. Поддержка и улучшение

Организация должна:
  • выявлять возможности улучшения;
  • предпринимать корректирующие и предупреждающие действия; использовать опыт других организаций;
  • обеспечивать внедрение улучшений для достижения целей СУИБ.

Документация СУИБ

Стандарт требует обязательного документирования ключевых элементов системы.

Документ Назначение
Политика СУИБ Цели и принципы управления ИБ, утверждённые руководством
Область действия СУИБ Чёткие границы: какие подразделения, процессы, активы охвачены
Оценка рисков Методология, реестр рисков, результаты оценки
План обработки рисков Конкретные меры, сроки, ответственные
Положение о применимости (SOA) Перечень всех контролей Приложения А с обоснованием применения или неприменения
Журналы и записи Свидетельства функционирования СУИБ: аудиты, инциденты, обучение

Положение о применимости (SOA) — ключевой документ для аудиторов при сертификации. Он показывает, какие из 93 контролей (в редакции 2022 года) применяются в организации и почему, а какие исключены и по какому основанию.

Приложение А: контроли безопасности

Приложение А стандарта содержит исчерпывающий перечень контролей безопасности.
В редакции ISO 27001:2022 — 93 контроля, сгруппированных в четыре темы.

Тема Количество контролей Примеры контролей
Организационные контроли 37 Политики ИБ, управление активами, реагирование на инциденты, непрерывность бизнеса
Контроли в отношении персонала 8 Проверка при найме, обучение, ответственность при увольнении
Физические контроли 14 Физическая безопасность периметра, защита оборудования, рабочий стол и экран
Технологические контроли 34 Управление доступом, криптография, защита от вредоносного ПО, логирование, DevSecOps

Выбор контролей из приложения А определяется результатами оценки рисков — организация не обязана внедрять все 93 контроля, но обязана обосновать исключение каждого из них в SOA.

Подробно о том, как результаты оценки рисков определяют выбор контролей, — в теме 5. Управление рисками ИБ.

Семейство стандартов ISO 27000

ISO 27001 — не изолированный стандарт, а центральный элемент семейства ISO 27000.

Стандарт Назначение
ISO/IEC 27000 Словарь и обзор семейства стандартов
ISO/IEC 27001 Требования к СУИБ — основа для сертификации
ISO/IEC 27002 Свод практик: детальное руководство по реализации контролей из Приложения А
ISO/IEC 27003 Руководство по внедрению СУИБ
ISO/IEC 27004 Мониторинг, измерение и оценка СУИБ
ISO/IEC 27005 Управление рисками ИБ
ISO/IEC 27007 Руководство по проведению аудитов систем менеджмента информационной безопасности
ISO/IEC 27006 Требования к органам сертификации
ISO/IEC 27017 Контроли ИБ для облачных сервисов
ISO/IEC 27018 Защита персональных данных в облаке
ISO/IEC 27701 Расширение к управлению конфиденциальностью (GDPR)

ISO/IEC 27005(управление рисками) подробно рассмотрен в теме 5. Управление рисками ИБ, а стандарты ISO/IEC 27001(Системы менеджмента) и ISO/IEC 27007(Руководство по аудиту) подробно разбираются в рамках курса Аудит ИБ

Сертификация по ISO 27001

Сертификация — добровольная процедура, подтверждающая, что СУИБ организации соответствует требованиям стандарта. Проводится аккредитованными органами по сертификации (в России — ФСТЭК, ФСБ и аккредитованные коммерческие органы; на международном уровне — органы, аккредитованные в рамках EA/IAF).

Как проходит сертификационный аудит

Аудит состоит из двух стадий.
На первой стадии аудиторы проверяют документацию:
политику СУИБ, SOA, оценку рисков, план обработки рисков.
На второй стадии — проводят выборочный контроль на месте:
интервью с сотрудниками, проверку фактической работы процессов, сверку реальной практики с документацией.

Сертификат выдаётся сроком на три года. Ежегодно проводятся надзорные аудиты, подтверждающие поддержание СУИБ в рабочем состоянии.

Зачем проходить сертификацию

Для бизнеса в целом:
  • подтверждение надёжности для партнёров, клиентов, инвесторов и регуляторов;
  • допуск к тендерам, где сертификат ISO 27001 является обязательным требованием (финансовый сектор, государственные закупки, работа с персональными данными);
  • возможность страхования киберрисков на более выгодных условиях;
  • международное признание — сертификат принимается в большинстве стран.
Для внутренних процессов:
  • систематизация и приоритизация усилий по ИБ;
  • измеримые метрики эффективности защиты;
  • повышение осведомлённости персонала;
  • выявление и устранение слабых мест до того, как ими воспользуются злоумышленники.

Практические шаги к сертификации — инвентаризация активов, оценка рисков, разработка SOA и документирование процедур — подробно рассмотрены в теме 6. Создание СУИБ.

Что дальше

Стандарты управления задают что должна делать организация. Следующий шаг — разобраться с тем, на основе чего принимаются решения о составе мер защиты.

Список литературы и стандартов

  • ISO/IEC 27001:2022 — Требования к системам управления информационной безопасностью
  • ISO/IEC 27002:2022 — Контроли информационной безопасности (свод практик)
  • ISO/IEC 27005:2022 — Руководство по управлению рисками ИБ
  • ISO/IEC 27000:2018 — Обзор и словарь семейства стандартов
  • ГОСТ Р ИСО/МЭК 27001-2021 — российская редакция стандарта
  • ГОСТ Р ИСО/МЭК 27002-2021 — российская редакция свода практик
  • ФСТЭК России — Реестр сертифицированных СЗИ
  • Whitman M., Mattord H. — Management of Information Security. 6th ed. Cengage, 2021

Обновлено С. Антошкин 16 дня назад · 13 изменени(я, ий)