Основные задачи Стандарта ISO 27001
История Стандарта:
Структура Стандарта
Контекст организации
Лидерство
Планирование
Обеспечение
Функционирование
Оценка результатов деятельности
Улучшение
Выгоды от внедрения и сертификации ISO 27001
Сертификация
Итог
В мире информационных технологий приоритетным становится вопрос обеспечения целостности, надежности и конфиденциальности информации. Поэтому признание необходимости наличия в организации системы менеджмента информационной безопасности (СМИБ) является стратегическим решением.
Стандарт ИСО 27001 был разработан для создания, внедрения, поддержания функционирования и непрерывного улучшения СМИБ на предприятии.Также благодаря применению данного Стандарта внешним партнерам становится очевидной способность организации соответствовать собственным требованиям по информационной безопасности. В этой статье пойдет речь об основных требованиях Стандарта и обсуждение его структуры.
Основные задачи Стандарта ISO 27001
Прежде, чем переходить к описанию структуры Стандарта, оговорим его основные задачи и рассмотрим историю появления Стандарта в России.
Задачи Стандарта:
- установление единых требований для всех организаций к созданию, внедрению и улучшения СМИБ;
- обеспечение взаимодействия высшего руководства и сотрудников;
- сохранение конфиденциальности, целостности и доступности информации.
При этом требования, установленные Стандартом, являются общими и предназначены для применения любыми организациями, независимо от их типа, размера или характера.
История Стандарта:
- В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 - Part 1.
- В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности.
- В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была передана в Международную Организацию по Сертификации.
- Этот документ был утвержден в 2000 г. в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
- В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 «Спецификация системы управления информационной безопасностью». Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
- В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-ой серии и получил новый номер - ISO/IEC 27002:2005.
- 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования». В настоящее время сертификация организаций проводится по этой версии Стандарта.
Структура Стандарта
Одним из преимуществ данного Стандарта является схожесть его структуры с ИСО 9001, так каксодержит идентичные заголовки подразделов, идентичный текст, общие термины и основные определения. Это обстоятельство позволяет сэкономить время и деньги, так как часть документации уже была разработана при сертификации по ИСО 9001.
Если говорить о структуре Стандарта, то ИСО 27001 представляет собой перечень требований к СМИБ, обязательных для сертификации и состоит из следующих разделов:
| Основные разделы | Приложение А |
|---|---|
| 0. Введение | A.5 Политики информационной безопасности |
| 1. Область применения | A.6 Организация информационной безопасности |
| 2. Нормативные ссылки | A.7 Безопасность человеческих ресурсов (персонала) |
| 3. Термины и определения | A.8 Управление активами |
| 4. Контекст организации | A.9 Управление доступом |
| 5. Лидерство | A.10 Криптография |
| 6. Планирование | A.11 Физическая безопасность и защита от окружающей среды |
| 7. Поддержка | A.12 Безопасность операций |
| 8. Операции (Эксплуатация) | A.13 Безопасность коммуникаций |
| 9. Оценка (Измерение) результативности | A.14 Приобретение, разработка и обслуживание информационных систем |
| 10. Совершенствование (Улучшение) | A.15 Взаимоотношения с поставщиками |
| A.16 Менеджмент инцидентов | |
| A.17 Обеспечение непрерывности бизнеса | |
| A.18 Соответствие законодательству |
Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить направления, которые невозможно применить на предприятии.
При внедрении Стандарта на предприятии для прохождения дальнейшей сертификации стоит помнить, что не допускается исключений требований, установленных в разделах 4 – 10. Об этих разделах и пойдет речь дальше.
Начнем с раздела 4 – Контекст организации
Контекст организации
В этом разделе Стандарт требует от организации определить внешние и внутренние проблемы, которые значимы с точки зрения ее целей, и которые влияют на способность ее СМИБ достигать ожидаемых результатов. При этом следует учитывать законодательные и нормативные требования и договорные обязательства в отношении информационной безопасности. Также организация должна определить и документально зафиксировать границы и применимость СМИБ, чтобы установить ее область действия.
Лидерство
Высшее руководство должно демонстрировать лидерство и обязательства в отношении системы менеджмента информационной безопасности посредством, например, гарантии того, что информационная политика безопасности и цели в сфере информационной безопасности установлены и согласуются со стратегией организации. Также высшее руководство должно гарантировать обеспечение всеми необходимыми ресурсами для СМИБ. Другими словами, для работников должно быть очевидным вовлеченность руководства в вопросы информационной безопасности.
Должна быть документально зафиксирована и доведена до сведения работников политика в области информационной безопасности. Этот документ напоминает политику в области качества ISO 9001. Он также должен соответствовать назначению организации и включать цели в области информационной безопасности. Хорошо, если это будут реальные цели, вроде сохранения конфиденциальности и целостности информации.
Также от руководства ожидается распределение функций и обязанностей, связанных с информационной безопасностью среди работников.
Планирование
В этом разделе мы подходим к первому этапу управленческого принципа PDCA (Plan – Do – Check – Act) - планируй, выполняй, проверяй, действуй.
Планируя систему менеджмента информационной безопасности, организация должнапринять во внимание проблемы, упомянутые в разделе 4, а также определить риски и потенциальные возможности, которые необходимо принять во внимание, чтобы гарантировать, что СМИБ может достигать ожидаемых результатов, предотвратить нежелательные эффекты и достигать непрерывного совершенствования.
При планировании, каким образом достигнуть своих целей в области информационной безопасности, организация должна определить:
- что будет сделано;
- какие ресурсы потребуются;
- кто будет ответственным;
- когда цели будут достигнуты;
- как результаты будут оцениваться.
Кроме того, организация должна сохранять данные по целям в области информационной безопасности как документированную информацию.
Обеспечение
Организация должна определить и обеспечить ресурсы, необходимые для разработки, внедрения, поддержания функционирования и непрерывного улучшения СМИБ, это включает в себя как персонал, так и документацию. В отношении персонала от организации ожидается подбор квалифицированных и компетентных работников в области информационной безопасности. Квалификация работников должна подтверждаться удостоверениями, дипломами и т.п. Возможно привлечение по контракту сторонних специалистов, либо обучение своих работников. Что касается документации, она должна включать:
- документированную информацию, требуемую Стандартом;
- документированную информацию, признанную организацией необходимой для обеспечения результативности системы менеджмента информационной безопасности.
Документированной информацией, требуемой СМИБ и Стандартом, необходимо управлять, чтобы гарантировать, что она:
- доступна и пригодна для применения там, где и когда она необходима, и
- надлежащим образом защищена (например, от потери конфиденциальности,неправильного использования или потери целостности).
Функционирование
В данном разделе говорится о втором этапе управленческого принципа PDCA - необходимости организации управлять процессамидля обеспечения соответствия требованиям, и выполнять действия, определенные в разделе Планирование. Также говорится, что организация должна выполнять оценку рисков информационной безопасности через запланированные интервалы времени или когда предложены или произошли существенные изменения. Организация должна сохранять результаты оценки рисков информационной безопасности как документированную информацию.
Оценка результатов деятельности
Третий этап – проверка. Организация должна оценивать функционирование и результативность СМИБ. Например, в ней должен проводиться внутренний аудит, чтобы получать информацию о том,
- соответствует ли система менеджмента информационной безопасности
- собственным требованиям организации к ее системе менеджмента информационной безопасности;
- требованиям Стандарта;
- что система менеджмента информационной безопасности результативно внедрена и функционирует.
Разумеется, что объем и сроки проведения аудитов должны планироваться заранее. Все результаты необходимо документировать и сохранять.
Улучшение
Суть этого раздела в том, чтобы определить порядок действий при выявлении несоответствия. Организации необходимо исправлять несоответствие, последствия и провести анализ ситуации, чтобы в будущем подобное не происходило. Все несоответствия и корректирующие действия должны документироваться.
На этом заканчиваются основные разделы Стандарта. В Приложении А приводятся более конкретные требования, которым должна соответствовать организация. Например, в плане контроля доступа, пользования мобильных устройств и носителей информации.
Выгоды от внедрения и сертификации ISO 27001
- повышение статуса организации и соответственно доверия партнеров;
- повышение стабильности функционирования организации;
- повышениеуровня защиты от угроз информационной безопасности;
- обеспечениенеобходимого уровня конфиденциальности информации заинтересованных сторон;
- расширение возможностей участия организации в крупных контрактах.
Экономическими преимуществами являются:
- независимое подтверждение сертификационным органом наличия в организации высокого уровня информационной безопасности, контролируемого компетентным персоналом;
- доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
- демонстрация определенного высокого уровнясистем менеджмента для обеспечения должного уровня обслуживания клиентов и партнеров организации;
- демонстрация проведения регулярных аудитов систем менеджмента, оценки результативности и постоянных улучшений.
Сертификация
Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех этапов:
- 1-ый этап- изучение аудитором ключевых документов СМИБ на соответствие требованиям Стандарта- может выполняться как на территории организации, так и путем передачи этих документов внешнему аудитору;
- 2-ой этап- детальный аудит, включая тестирование внедренных мер, и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
- 3-ий этап - выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.
Итог
Как можно увидеть, применение данного стандарта на предприятии позволить качественно повысить уровень информационной безопасности, что в условиях современных реалий дорогого стоит. Требований Стандарт содержит немало, но самое главное требование – делать то, что написано! Без реального применения требований стандарта он превращается в пустой набор бумажек.
