Менеджмент информационной безопасности. Законодательная база российской федерации
Действующий
Принятие модели PDCA также отражает принципы, установленные в Директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей . Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.
1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности,
2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.
Таблица 1 | |
Настоящий стандарт согласован со стандартами "Системы менеджмента качества. Требования" и "Системы управления окружающей средой. Требования и руководство по применению" в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.
Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).
Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Примечание - Термин "бизнес", в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации.
Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в ,
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
"Система менеджмента информационной безопасности"
менеджмент международный стандарт
В ведение
Система менеджмента информационной безопасности -- это совокупность процессов, которые работают в компании для обеспеченияконфиденциальности,целостностиидоступностиинформационных активов. В первой части реферата рассматривается процесс внедрения системы менеджмента в организацию, а также приведены основные аспекты выгоды от реализации системы менеджмента информационной безопасности.
Рис.1. Цикл управления
Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование (Рис.1). Этот стандарт будет рассмотрен подробнее во второй части.
С истема менеджмента информационной безопасности
Системой менеджмента информационной безопасности (СМИБ) называют ту часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. Процессы СМИБ созданы в соответствии с требованиям стандарта ISO/IEC 27001:2005, в основе которого лежит цикл
Работа системы основана на подходах современной теории рисков менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.
Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.
Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:
· Управление внутренней организацией информационной безопасности.
· Обеспечение информационной безопасности при взаимодействии с третьими сторонами.
· Управление реестром информационных активов и правила их классификации.
· Управление безопасностью оборудования.
· Обеспечение физической безопасности.
· Обеспечение информационной безопасности персонала.
· Планирование и принятие информационных систем.
· Резервное копирование.
· Обеспечение безопасности сети.
Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность -- это результат устойчивого функционирования процессов, связанных с информационными технологиями.
При построении СМИБ в компаниях специалисты проводят следующие работы:
· организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;
· определяют область деятельности (ОД) СМИБ;
· обследуют организацию в ОД СМИБ:
o в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;
o в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;
o в части ИТ инфраструктуры;
o в части ИБ инфраструктуры.
· разрабатывают и согласовывают аналитический отчет, содержащий перечень основных бизнес-процессов и оценку последствий реализации угроз ИБ в их отношении, перечень процессов менеджмента, ИТ-систем, подсистем информационной безопасности (ПИБ), оценку степени выполнения организацией всех требований ISO 27001 и оценку зрелости процессов организации;
· выбирают исходный и целевой уровень зрелости СМИБ, разрабатывают и утверждают Программу повышения зрелости СМИБ; разрабатывают высокоуровневую документацию в области ИБ:
o Концепцию обеспечения ИБ,
o Политики ИБ и СМИБ;
· выбирают и адаптируют методику оценки рисков, применимую в организации;
· выбирают, поставляют и развертывают ПО, используемое для автоматизации процессов СМИБ, организуют обучение специалистов компании;
· проводят оценку и обработку рисков, в ходе которой для их снижения выбираются меры Приложения «А» стандарта 27001 и формулируются требования к их реализации в организации, предварительно выбирают технические средства обеспечения ИБ;
· разрабатывают эскизные проекты ПИБ, производят оценку стоимости обработки рисков;
· организуют утверждение оценки рисков высшим руководством организации и разрабатывают Положения о применимости; разрабатывают организационные меры обеспечения ИБ;
· разрабатывают и реализуют технические проекты по внедрению технических подсистем информационной безопасности, поддерживающих выполнение выбранных мер, включая поставку оборудования, пуско-наладочные работы, разработку эксплуатационной документации и обучение пользователей;
· предоставляют консультации в ходе эксплуатации построенной СМИБ;
· организуют обучение внутренних аудиторов и проведение внутренних аудитов СМИБ.
Результатом данных работ является функционирующая СМИБ. Выгода от реализации СМИБ в компании достигаются за счет:
· эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;
· предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;
· повышения культуры ИБ в организации;
· повышения зрелости в области управления обеспечением ИБ;
· оптимизации расходования средств на обеспечение ИБ.
ISO/IEC 27001-- международный стандарт по информационной безопасности
Этот стандарт разработан совместно Международной Организацией по Стандартизации (ISO) и Международной электротехнической комиссией (IEC). Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания СМИБ. ISO 27001 устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные ресурсы. В международном стандарте используется понятие «защиты информации» и трактуется как обеспечение конфиденциальности, целостности и доступности информации. Основой стандарта является система управления рисками, связанными с информацией. Этот стандарт также можно использовать для оценки соответствия заинтересованными внутренними и внешними сторонами.
Для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшении системы менеджмента защиты информации (СМЗИ) стандарт принимает процессный подход. Он заключается в применении системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением.
Международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA), который еще называют циклом Шухарта-Деминга. Этот цикл применяется для структуризации всех процессов СМЗИ. На Рисунке 2 показано, как СМЗИ берет в качестве входных данных требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям.
Планирование - это фаза создания СМЗИ, создания перечня активов, оценки рисков и выбора мер.
Рисунок 2. Модель PDCA, примененная к процессам СМЗИ
Осуществление - это этап реализации и внедрения соответствующих мер.
Проверка - фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.
Действие - выполнение превентивных и корректирующих действий.
В ыводы
ISO 27001 описывает общую модель внедрения и функционирования СМИБ, а также действий по мониторингу и улучшению СМИБ. ISO намеревается гармонизировать различные стандарты по системам менеджмента, такие как ISO/IEC 9001:2000, который посвящен менеджменту качества, и ISO/IEC 14001:2004, предназначенный для систем экологического менеджмента. Цель ISO состоит в том, чтобы обеспечить согласованность и интеграцию СМИБ с другими системами менеджмента в компании. Сходство стандартов позволяет использовать схожий инструментарий и функционал для внедрения, управления, пересмотра, проверки и сертификации. Подразумевается, что если компания внедрила другие стандарты менеджмента, она может использовать единую систему аудита и управления, которая применима к менеджменту качества, экологическому менеджменту, менеджменту безопасности и т.д. Внедрив СМИБ, высшее руководство получает средства мониторинга и управления безопасностью, что снижает остаточные бизнес-риски. После внедрения СМИБ, компания может официально обеспечивать безопасность информации и продолжать выполнять требования клиентов, законодательства, регуляторов и акционеров.
Стоит отметить, что в законодательстве РФ существует документ ГОСТ Р ИСО/МЭК 27001-2006, который представляет собой переведенную версию международного стандарта ISO27001.
С писок литературы
1.Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил.
2.Международный стандартISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (дата обращения: 23.05.12)
3.Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27003 - "Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента Информационной Безопасности"(http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (дата обращения: 23.05.12)
4.Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. -- 320 с.: ил.
5.Статья свободной энциклопедии»Википедия», «Система менеджмента
информационной безопасности» (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (дата обращения: 23.05.12)
6.Sigurjon Thor Arnasonи Keith D. Willett "How to Achieve 27001 Certification" («Какподготовитьсяксертификациипостандарту ISO 27001»)
Размещено на Allbest.ru
Подобные документы
Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.
курсовая работа , добавлен 03.02.2011
Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа , добавлен 03.02.2011
Основные этапы создания системы менеджмента на предприятии пищевой промышленности. HACCP как основа любой системы менеджмента безопасности пищевого продукта. Система менеджмента безопасности пищевых продуктов. Опасные факторы и предупреждающие действия.
реферат , добавлен 14.10.2014
Современные системы менеджмента и их интегрирование. Интегрированные системы менеджмента качества. Характеристика ОАО "275 АРЗ" и его системы менеджмента. Разработка системы управления охраной труда. Методы оценки интегрированной системы безопасности.
дипломная работа , добавлен 31.07.2011
Внедрение системы менеджмента качества. Сертификация систем менеджмента качества (ISO 9000), экологического менеджмента (ISO 14 000), системы управления охраной труда и техникой безопасности организаций (OHSAS 18 001:2007) на примере ОАО "Лента".
реферат , добавлен 06.10.2008
Разработка стандарта организации интегрированной системы менеджмента, устанавливающего единый порядок осуществления процесса управления документацией. Этапы создания системы менеджмента качества ОАО "ЗСМК". Размещение электронных версий документов.
дипломная работа , добавлен 01.06.2014
Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.
курсовая работа , добавлен 30.12.2011
Понятие системы управленческой информации и ее место в общей системе менеджмента. Виды информационных систем и их содержание. Понятие менеджмента как информационной системы. Функции системы управления финансами. Системы совершения сделок и операций.
реферат , добавлен 06.01.2015
Понятия в области охраны здоровья и безопасности труда. Международные стандарты ISO о системах менеджмента качества, системах экологического менеджмента, системах менеджмента профессиональной безопасности и здоровья. Адаптация стандарта OHSAS 18001-2007.
курсовая работа , добавлен 21.12.2014
Характеристика информационного менеджмента; субъектов информационно-правовых отношений; правового режима получения, передачи, хранения и использования информации. Особенности и юридические аспекты информационного обмена и информационной безопасности.
September 12th, 2011
Управление ИБ по Стандарту ISO 27001. Требования по документированию
Счастье есть. Управление информационной безопасностью возможно построить на основе стандарта ISO 27001. О том, как это сделать, рассказывает заместитель руководителя по методологической работе направления "Аудит информационных систем" департамента аудиторских и консультационных услуг финансовым институтам ФБК Михаил Винников:
Сегодня я расскажу о процессе вроде бы не имеющем отношения к ИБ, скорее - к документообороту, но на самом деле - процессе важном, экономящем эксплуатанту кучу времени и нервов - о том, какие требования предъявляются к документированию процессов ИБ, или - как правильно и с минимальными затратами сил описать СМИБ и поддерживать эти описания в актуальном состоянии. Естественно, ориентируясь на ISO 27001.
Уровень информационной безопасности (далее - ИБ), адекватный потребностям организации, требует ясного изложения основных правил, принципов и задач, адекватной реализации их в повторяемые и контролируемые защитные меры, воплощения мер на практике силами сотрудников организации при обеспечении оперативного отражения текущей ситуации для принятия соответствующих управляющих действий.
Наилучший способ реализации этого - облечь идеи, практические мысли и результаты деятельности по обеспечению ИБ в документальную форму, что позволит, во-первых, определить структуру взаимодействия правил и реализующих их практических действий, а во-вторых, довести до каждого работника на соответствующем уровне делового процесса правила и требования по обеспечению ИБ, которыми он должен руководствоваться при выполнении своих должностных обязанностей, а также определить порядок контроля их соблюдения.
Исходя из изложенного выше, получаем новую «ветку» в схеме системы менеджмента ИБ (СМИБ) по Стандарту ИСО 27001 (далее - Стандарт):
«СМИБ» - «разрабатывает» - «требования по документированию».
Коды в названиях задач, как уже упоминалось в начале наших публикаций, указывают на номер раздела Стандарта ИСО 27001.
Как организовать систему документального обеспечения СМИБ?
Каждый тип документа можно дополнительно охарактеризовать следующими вопросами-атрибутами, влияющими на его жизненный цикл:
- для кого он предназначен (кто его будет читать);
- кто его согласовывает и утверждает;
- как часто он может меняться.
С другой стороны, формально документы можно разделить на программные (справочные) и оперативные (содержащие результаты деятельности). В терминах Стандарта, такие документы разделяются, соответственно, на собственно документы и записи.
Согласно Стандарта, документация СМИБ должна включать в себя информацию о:
- документированных положениях политики СМИБ, ее целей и области функционирования, политике ИБ;
- процедурах и мерах управления, используемых СМИБ;
- методологии оценки рисков ИБ;
- результатах оценки рисков и планы их обработки;
- процедурах оценки результатов функционирования СМОИБ;
- свидетельства функционирования СМИБ.
В каком формате необходимо представить эту информацию?
При разработке системы документов, обеспечивающих СМИБ, возникает коллизия между трудоемкостью (потребностью в ресурсах) первоначального создания документов и дальнейшего поддержания их в актуальном состоянии. С одной стороны, есть желание, чтобы число типов (номенклатура) и количество самих документов было как можно меньше (малым количеством легче управлять, быстрее можно закончить подготовку всего пакета и т.п.). С другой стороны, если СМИБ «живет» и все время развивается, документы периодически, а на некоторых периодах развития - достаточно часто, приходится корректировать и дорабатывать. Если документы по обеспечению ИБ включены в общий «бюрократический» цикл организации: «разработка-согласование-утверждени е», то чем более высокий уровень утверждения и согласования документов, тем дольше будет цикл ввода в действие новых версий документов, тем труднее поддерживать их в актуальном состоянии.
Предположим, организация разработала Политику информационной безопасности, включив в нее положения по правилам действий по отдельным направлениям ИБ (называемые частными политиками ИБ). Ввиду того, что с Политикой ИБ должны быть ознакомлены все сотрудники организации, документ старались сделать не очень объемным и подробным, а положения частных политик описали кратко, в виде тезисов.
Что получилось в результате?
Документ все равно получился тяжеловесным - более десятка страниц, что очень много. Получившиеся частные политики из-за неконкретности практически ничего не объясняют, поэтому применять их невозможно. Документ трудно сопровождать - для того чтобы внести и утвердить корректировку в раздел, например, безопасного использования Интернет при принятии решения об использовании, скажем, системы обнаружения вторжений (IDS), нужно ждать очередного собрания директоров и т.п. Т.е. документ получился нерабочим.
Политика ИБ должна быть проста для понимания и умещаться, в идеале, на одну-две страницы, ведь она как стратегический документ утверждается на самом высоком уровне управленческой иерархии, и знакомиться с ней должны все сотрудники организации. Разделение общей и частных политик на отдельные документы позволяет дорабатывать, расширять и корректировать частные политики эффективнее, утверждение соответствующего документа пройдет существенно быстрее, при этом, БЕЗ ИЗМЕНЕНИЯ общей политики ИБ.
Точно также получается, если в частной политике отражать использование какой-либо конкретной технологии или системы, ее конфигурацию. Смена системы или ее перенастройка влечет изменение документа, подписываемого на уровне директора. Не правильно! Проще в частной политике указать на подчиненные документы (третьего и четвертого уровня), приведя в приложении к частной политике формат и перечень информации, необходимой для обеспечения управления.
Надеюсь, я убедил Вас в мысли, что система документов ИБ должна быть построена по иерархической схеме с максимально общими и абстрактными документами на высшем уровне иерархии, и повышение «конкретности» по мере приближения к практической части.
Что рекомендуют нам стандарты?
Стандарт ISO 13335-1 предусматривает 4 уровня политик (правил) информационной безопасности:
- корпоративная политика безопасности;
- политика информационной безопасности;
- корпоративная политика безопасности информационных и коммуникационных технологий;
- политика безопасности [отдельных] систем информационных и коммуникационных технологий.
Рекомендации в области стандартизации Банка России РС БР ИББС 2.0-2007 предлагают следующую интерпретацию положений упомянутого выше стандарта:
Какие документы могут быть отнесены к каждому из уровней?
Уровни документов | Типы документов |
Первый уровень | Политика СМИБ, Политика информационной безопасности, Концепция информационной безопасности |
Второй уровень | Частные политики информационной безопасности (обеспечение физической безопасности, предоставление доступа, использование Интернет и электронной почты, ИБ в технологических процессах и т.п.) |
Третий уровень | Инструкции, положения, порядки, руководства, методические пособия и программы обучения, требования к конфигурации и т.п. |
Четвертый уровень | Записи в системных журналах ОС, СУБД и ИС; реестры информационных активов; заявки и выполненные наряды по предоставлению доступа; записи в журналах обучения и инструктажа по ИБ, протоколы испытаний, акты, обязательства о неразглашении конфиденциальной информации и т.п. |
Документы, отнесенные к разным уровням иерархии, имеют разный по длительности жизненный цикл.
Уровни документов | Как часто меняются? |
Первый уровень | редко (изменения стратегического уровня) |
Второй уровень | не часто (при изменениях на уровне тактических решений) |
Третий уровень | относительно часто |
Четвертый уровень | непрерывно |
Высокоуровневые документы должны быть максимально обобщающими и абстрактными и изменяться при изменениях стратегического уровня - смене стратегии бизнеса, принятие новых стандартов, кардинальная смена информационной системы и т.п. Подчиненные по иерархии документы (третий уровень) могут меняться существенно чаще - при внедрении новых продуктов, технологий обеспечения ИБ, формировании дополнительных учебных курсов или разработке порядков резервного копирования информации. На четвертом уровне записи формируются непрерывно и со временем, скорее всего, будет уточняться их формат.
Документы, находящиеся на разных уровнях иерархии, требуют утверждения на разных уровнях управления.
Высокоуровневые документы - политики СМИБ и ИБ, определяющие стратегические подходы к обеспечению ИБ, утверждаются на уровне собственников или совета директоров.
Частные политики, определяющие правила информационной безопасности в отдельных сферах, могут утверждаться на уровне исполнительного директора или курирующего руководителя, но при этом должны иметь широкий круг согласования в подразделениях, которых эти сферы деятельности затрагивают.
Положения, инструкции и прочие практические документы являются рабочими документами подразделений, эксплуатирующих инфраструктуру обеспечения ИБ, они их создают, корректируют и изменяют. В отдельных случаях, некоторые документы третьего могут требовать утверждения на уровне руководства организации (например, положения о подразделениях и т.п.).
Свидетельства функционирования ИБ при необходимости аутентифицируются подписью исполнителя.
Чтобы не запутаться в версиях документов, правильно распространять документы среди сотрудников, для кого они предназначены, всей этой кипой документов надо УПРАВЛЯТЬ.
Процедура управления документами должна обеспечивать:
- утверждение документов на соответствующем уровне управляющей структуры организации;
- пересмотр и модернизацию, при необходимости, документов;
- обеспечение идентификации внесенных изменений и текущего статуса версий документов;
- доступ к рабочим версиям документов в местах их использования;
- наличие порядка идентификации документов и предоставления доступа к ним;
- доступ к документам авторизованных лиц, а также то, что их жизненный цикл (передача, хранение и уничтожение) проводится в соответствии с уровнем классификации их конфиденциальности;
- идентификацию документов, созданных вне организации;
- контроль за распространением документов;
- предотвращение использования устаревших документов;
- соответствующую идентификацию устаревших документов в случае, если они сохраняются для какой-либо цели.
Процедуру управления документами ИБ желательно описать в виде отдельного документа, содержащего, в том числе, перечень и назначение всех документов, период и/или условия пересмотра, кто является владельцем каждого из документов, кто какой документ согласовывает и утверждает, для кого каждый тип документов предназначен и т.п.
Все правила создания, изменения, согласования и утверждения документов должны соответствовать принятым в организации правилам документооборота.
Следует отметить, что процедура пересмотра документов не обязательно подразумевает внесение изменений в документы. Полезно предусмотреть для некоторых типов документов процедуру подтверждения их актуальности, проводимую через большие, но регулярные промежутки времени. Из рекомендаций Банка России о периоде в три года для проведения самооценки или аудита соответствия требованиям стандарта СТО БР ИББС-1.0, можно предположить, что такой же период для пересмотра/подтверждения политики ИБ можно признать разумным (в смысле, НЕ РЕЖЕ!). Для остальных документов, возможно, процедуру пересмотра надо проводить несколько чаще.
Свидетельства функционирования СМИБ так же должны формироваться в виде документов, существующих в обычной бумажной форме или электронной. К свидетельствам функционирования СМИБ можно отнести различные заявки и наряды по предоставлению доступа, записи журналов операционных систем, СУБД и прикладных программ, результаты функционирования систем предотвращения вторжения и отчеты по результатам теста на проникновение, акты проверки конфигурации рабочих мест и серверов и т.п. Данный класс документов обозначаются в Стандарте как «записи». Процедура управления записями должна обеспечивать их контроль и защиту от модификации, т.к. при определенных условиях они могут являться материалами для проведения расследования инцидентов ИБ и качество хранения данных материалов определяет, будут ли признаны данные материалы легитимными или наоборот не заслуживающими доверия. К записям также можно отнести результаты мониторинга СМИБ, расследования инцидентов ИБ, отчеты о результатах функционирования СМИБ и т.п.
Процедуры управления записями должны:
- обеспечивать четкость, простоту, идентифицируемость и восстанавливаемость документальных свидетельств;
- использовать меры управления, обеспечивающие идентификацию, хранение, защиту конфиденциальности и целостности, поиск, определение сроков хранения и порядка уничтожения.
В качестве примера, приведем небольшой «вертикальный» фрагмент перечня типов документов, составляющих систему документирования СМИБ, например, обеспечения ИБ при доступе к сети Интернет:
Уровень | Документы |
Первый уровень | > Политика информационной безопасности организации > Концепция обеспечения информационной безопасности |
Второй уровень | > Частная политика информационной безопасности организации при работе с ресурсами сети Интернет > Термины, используемые в документах ИБ (глоссарий) |
Третий уровень | > Порядок предоставления доступа пользователей к ресурсам сети Интернет > Описание профилей доступа (набора разрешений и запретов) к ресурсам сети Интернет > Схема компьютерной сети, подключенной к сети Интернет > Карточка настройки прокси-сервера > Карточка настройки межсетевого экрана между сегментами внутренней сети и демилитаризованной зоной (DMZ ) > Карточка настройки рабочей станции [для обеспечения доступа к Интернет] > Памятка пользователя о порядке использования ресурсов сети Интернет > Описание и квалификационные требования функциональной роли «администратор систем доступа в Интернет» > Должностная инструкция сотрудника, исполняющего функциональную роль «администратор систем доступа в Интернет» |
Четвертый уровень | > Заявка-наряд на подключение пользователя к использованию ресурсов сети Интернет > Перечень пользователей, подключенных к сети Интернет с указание профиля доступа > Журнал прокси-сервера о доступе пользователей к ресурсам сети Интернет > Журнал системы обнаружения вторжений (IDS ) в сегменте сети, расположенном в DMZ > Отчет о вторжениях в DMZ , обнаруженных IDS > Акт проведения проверки конфигурации межсетевого экрана |
Приведенный список является далеко не исчерпывающим даже для выбранного направления и зависит от конкретных технологий и сервисов, получаемых или предоставляемых организацией с использованием сети Интернет, а также подходов для обеспечения информационной безопасности.
Приведем несколько общих рекомендаций по созданию документов СМИБ.
> В виде отдельного документа следует разработать документ под названием «Глоссарий», общий, по крайней мере, для документов первых двух уровней, использовать его при разработке документов и указать его в документах в виде ссылки.
> Для проведения стандартизации форм документов можно в приложениях к документам высокого уровня указывать формы подчиненных документов, особенно тех, которые являются свидетельствами выполнения (отчетами, формами запросов и т.п.). С одной стороны, это несколько усложняет процедуру первоначальной разработки документа. С другой стороны, если все связанные документы разрабатываются как элементы процедуры, вы сразу получаете готовую к использованию технологию.
> Частой ошибкой при подготовке документов высокого уровня (политик и частных политик, положений и т.п.) является внесение непосредственно в текст документов конкретных фамилий, названий систем и т.п. Соответственно, смена исполнителя так же приводит к запуску длительного цикла согласования «новой» версии документа. Подобные «переменные» величины лучше изначально переносить в приложения, подчиненные документы или записи (документы четвертого уровня).
> При создании «практических» документов при описании выполнения той или иной функции желательно указывать не должность, а функциональную роль, например «администратор антивирусной системы» или «оператор системы резервного копирования», а в отдельном документе вести реестр сотрудников, выполняющих ту или иную роль. Это удлинит жизненный цикл документа, без необходимости его коррекции и обеспечит гибкость его применения, т.к. можно вести отдельный реестр «компетенций» и оперативно подменять исполнителей при возникновении такой необходимости.
> Каждый документ должен содержать признак своего владельца (ответственного сотрудника), область действия и условия пересмотра.
> Документы и записи СМИБ могут существовать как в «твердой» (бумажной), так и в электронной форме. Для предоставления аудиторам или проверяющим копий экземпляров документов, находящихся в электронной форме, должны существовать соответствующие процедуры и определены их ответственные исполнители.
К сказанному выше можно добавить, что если разработку документов высокого уровня (политик, положений и т.п.) можно поручить внешним консультантам, то документы и записи нижних уровней должны формировать и поддерживать в актуальном состоянии сотрудники организации, максимально вовлеченные в процесс функционирования СМИБ и составляющих ее процедур.
В следующей публикации обсудим участие руководства организации в системе менеджмента информационной безопасности.
Согласно требованиям стандарта ГОСТ Р ИСО/МЭК 27001-2006. "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования" , организация должна осуществить следующее:
содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ;
принимает во внимание требования бизнеса, нормативно-правовые требования, а также договорные обязательства по обеспечению безопасности;
согласуется со стратегическим содержанием менеджмента рисков организации, в рамках которого будет разрабатываться и поддерживаться СМИБ;
устанавливает критерии оценки рисков;
утверждается руководством организации.
Определить политику СМИБ на основе характеристик бизнеса организации, ее размещения, активов и технологий, которая:
ГОСТ Р ИСО/МЭК 27002
Цель : Обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с требованиями бизнеса и соответствующими законами и нормами.
Высшее руководство должно установить четкое направление политики в соответствии с целями бизнеса и демонстрировать поддержку и обязательства в отношении обеспечения информационной безопасности посредством разработки и поддержки политики информационной безопасности в рамках организации.
При необходимости следует предусмотреть наличие контактного лица, занимающегося вопросами информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности или группами специалистов, включая соответствующие органы, чтобы находиться в курсе отраслевых тенденций, осуществлять мониторинг стандартов и методов оценки, и обеспечивать адекватные точки контакта при обработке инцидентов информационной безопасности. Следует поощрять многопрофильный подход к обеспечению информационной безопасности.
Должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций.
Политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности. Документ, в котором излагается политика, должен содержать положения относительно:
соответствие законодательным требованиям и договорным обязательствам;
требования по обеспечению осведомленности, обучения и тренинга в отношении безопасности;
менеджмент непрерывности бизнеса;
ответственность за нарушения политики информационной безопасности;
определения общих и конкретных обязанностей сотрудников в рамках менеджмента информационной безопасности, включая информирование об инцидентах безопасности;
ссылок на документы, дополняющие политику информационной безопасности, например более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.
определения информационной безопасности, ее общих целей и сферы действия, а также упоминания значения безопасности как инструмента, обеспечивающего возможность совместного использования информации;
изложения намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;
подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска;
краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия, например:
Данная политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в актуальной, доступной и понятной форме.
Политика информационной безопасности может составлять часть документа по общей политике. Если политика информационной безопасности распространяется за пределами организации, следует принимать меры в отношении неразглашения чувствительной информации. Дополнительную информацию можно найти в ИСО/МЭК 13335-1.
ГОСТ Р ИСО/МЭК 27003
Стандарт "ГОСТ Р ИСО/МЭК 27003 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности" рекомендует:
В качестве исходных данных взять:
Приоритеты организации для разработки СМИБ - обобщенные цели и перечень требований;
Составление описания случая применения СМИБ для данного предприятия и плана проекта для утверждения руководством - первоначальное утверждение руководством проекта СМИБ;
Объединение всех областей действия и границ для получения области действия и границ - область действия и границы СМИБ;
Разработку политики СМИБ и получение одобрения руководства - политика СМИБ;
Определение требований к информационной безопасности для процесса СМИБ;
Определение активов в рамках области действия СМИБ;
Проведение оценки информационной безопасности;
Результаты оценки риска и выбора целей и средств управления;
Разработка конечной структуры организации для информационной безопасности;
Разработка основы для документирования СМИБ;
Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями информационной безопасности в отношении использования СМИБ.
Политика информационной безопасности документирует стратегическую позицию организации в отношении информационной безопасности во всей организации.
Политика строится на основе информации и знания. Моменты, признанные руководством важными во время ранее проведенного анализа, должны быть сделаны наглядными, им должно быть уделено особое внимание в политике, чтобы обеспечить стимуляцию и мотивацию в организации. Также важно отметить, что происходит, если не следовать выбранной политике, и подчеркнуть влияния законов и регулирующих положений на рассматриваемую организацию.
Примеры политики информационной безопасности можно взять из справочной литературы, сети Интернет, в сообществах по интересам и отраслевых объединениях. Формулировки и подсказки можно найти в годовых отчетах, других документах по политике или документах, сохраняемых руководством.
Относительно фактического объема документации по политике могут существовать различные интерпретации и требования. Эта документация должна быть в достаточной степени суммирована, чтобы работники организации понимали значение политики. Кроме того, она должна достаточно четко показывать, каких целей необходимо достичь, чтобы установить набор правил и целей организации.
Объем и структура политики информационной безопасности должны подкреплять документы, которые используются на следующем этапе процесса, для введения системы управления информационной безопасностью.
Для больших организаций со сложной структурой (например, с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.
Предлагаемая политика (с номером версии и датой) должна быть подвергнута перекрестной проверке и учреждена в организации оперативным руководителем. После учреждения в группе управления или аналогичном органе оперативный руководитель утверждает политику информационной безопасности. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.
Выходные данные представляют собой документ, описывающий и документирующий утвержденную руководством политику СМИБ. Этот документ должен быть повторно утвержден в следующей фазе проекта, поскольку зависит от результатов оценки риска.
ГОСТ Р ИСО/МЭК 27003-2012. Приложение D. Структура политики
В данном приложении содержатся дополнительные рекомендации по структуре политики, включая политику информационной безопасности.
Политика - это общие намерения и указания, официально выраженные руководством. Содержание политики управляет действиями и решениями, касающимися предмета политики. Организация может иметь несколько политик, по одной для каждой сферы деятельности, важной для организации. Некоторые политики независимы одна от другой, в то время как другие политики находятся в иерархическом соотношении. В области безопасности политики, как правило, иерархически организованы. Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику информационной безопасности и политику системы менеджмента информационной безопасности. В свою очередь, политика информационной безопасности может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам информационной безопасности. Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика информационной безопасности подкрепляется политиками, касающимися контроля доступа, политики «чистого стола» и «чистого экрана», использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.
Согласно стандарту ISO/I ЕС 27001 требуется, чтобы организации имели политику СМИБ и политику информационной безопасности. Однако это не подразумевает каких-либо конкретных соотношений между этими политиками. Эти политики могут разрабатываться как равноправные политики: политика СМИБ может подчиняться политике информационной безопасности, или, наоборот, политика информационной безопасности может подчиняться политике СМИБ.
цели и задачи организации;
стратегии, адаптированные для достижения этих целей;
структуру и процессы, адаптированные организацией;
цели и задачи, связанные с предметом политики;
требования связанных политик более высокого уровня.
Политики могут иметь следующую структуру:
Краткое изложение политики - общее описание из одного-двух предложений.
Введение - краткое объяснение предмета политики.
Область действия - описывает части или действия организации, находящиеся под влиянием политики. При необходимости в пункте «Область действия» перечисляются другие политики, подкрепляемые данной политикой.
Цели - описание назначения политики.
Принципы - описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем - правила выполнения процессов.
Сферы ответственности - кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.
Ключевые результаты - описание результатов, получаемых предприятием, если цели достигнуты.
Связанные политики - описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.
Пример политики информационной безопасности
Далее приведен пример политики информационной безопасности , показывающий ее структуру и пример содержания.
Политика информационной безопасности (Пример)
Краткое изложение политики
Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.
Введение
Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.
Информационная безопасность - это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.
Область действия
Данная политика подкрепляет общую политику безопасности организации.
Данная политика применяется ко всем сотрудникам организации.
Цели информационной безопасности
Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.
Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.
Сохранение целостности материалов бухгалтерского учета.
Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.
Принципы информационной безопасности
Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.
Право, неловко. Мы сообщали о скором выходе стандарта ISO 45001, который должен заменить нынешний стандарт управления охраной труда OHSAS 18001, говорили, что ждать его надо в конце 2016 года… Уж полночь близится, а Германа все нет. Пора признать — ISO 45001 задерживается. Правда, по уважительным причинам. У экспертного сообщества возникло слишком много вопросов к нему. […]
Двойственная статья намечается. Международная организация по стандартизации четко выразила свою позицию по поводу использования маркировки ее стандартов на продукции — ISO говорит «нельзя». Однако предприниматели хотят все-таки хотят делать это. Как им быть? Почему нет, собственно? Предыстория вопроса такова. Как вы понимаете, стандарты ISO не имеют непосредственного отношения к продукции, выпускаемой сертифицированными по ним предприятиями. […]
Добьем тему. В прошлой статье мы с вами начали разговор о восьми принципах СМК. Принципах, на которых строится любая система менеджмента качества. Наша цель в том, чтобы перевести эти принципы с языка бизнес-тренеров на человеческий язык. Чтобы из них можно было извлечь реальную пользу. Про ориентацию на потребителя — говорили. Говорили, как производить не «что-то […]
Про менеджмент качества говорят многие. Но говорят почему-то так, что ничего в итоге непонятно. А значит, менеджмент качества остается словами. Слишком умными словами. Давайте переведем их на нормальный язык и поймем, чем принципы менеджмента качества реально помогают улучшить деятельность компании. Обойдемся без долгих прелюдий. Всего у актуальных сейчас систем менеджмента качества, самой популярной из которых […]
Проектный менеджмент… Уверен, найдется немало людей, которые слишком долго общались со всевозможными бизнес-консультантами — и теперь от одного подобного словосочетания начинают испытывать легкую тошноту. Что делать? Давайте просто выбросим бизнес-консультантов из головы и изложим дело человеческим языком. Проектный менеджмент — это не обязательно человек в белой рубашке, который рисует сложные диаграммы и блок-схемы маркером на […]