Международная версия 2013 года. Как перейти?

Компаниям, уже сертифицированным по редакции 2005 г. международного стандарта ISO/IEC 27001, был дан период для «обновления» своей системы управления информационной безопасностью СУИБ (ISMS) до версии 2013 – 25 сентября 2015 г. Если Вы не использовали эту возможность, Ваша имеющаяся рабочая СУИБ (СМИБ) будет отличной основой для новой системы.

Самый простой способ обновить систему до версии 2013 года состоит из 12 шагов:

1. Перечисление всех заинтересованных сторон

Вам необходимо идентифицировать все заинтересованные стороны: лица и организации, способные повлиять на Вашу ИБ или на которые она способна оказать влияние (клиенты, партнеры, поставщики и акционеры, семьи сотрудников, государственные учреждения, местное сообщество, СМИ). Затем Вы определяете все их условия, договоренности и ожидания, а также устанавливаете документы, отражающие требования выбранных заинтересованных сторон.

2. Определение интерфейсов в области ISMS

По редакции 2013 года, в рамках определения области применения СМИБ определяются средства взаимодействия организации и третьих лиц. Для Ваших офисов это, например, стены и двери; для ИТ-систем: маршрутизаторы и брандмауэры — конечные элементы, которыми Вы управляете в своей сети. Еще определяются границы СУИБ, особенно если есть несколько офисов/филиалов или наоборот, в здании только определенные этажи (офисы) попадают под СМИБ.

3. Согласование целей ISMS со стратегией компании

Редакция 2013 требует определения целей ИБ совместимых со стратегическими направлениями деятельности компании, т.е. изучения того, как СУИБ поможет Вашему бизнесу достигать стратегических целей. Например, если Вы являетесь банковской структурой с предоставлением онлайн-услуг (мобильное приложение и/или интернет-банкинг) и частью стратегии Вашей компании является предоставление более надежного сервиса, чем у конкурентов, то ISO/IEC 27001 способен помочь достичь цели, поскольку ИБ не только помогает повысить доступность систем, но и обеспечивает целостность и конфиденциальность данных.

4. Изменение политик информационной безопасности

Их названия теперь не регламентируются и Вы можете изменить их. Кроме того, они больше не обязаны включать такие правила, как согласование со стратегическим управлением рисками, а также критерии оценки риска, поэтому Вы можете удалить их из своих политик, а включить различные обязанности в области ИБ. Например, ответственные за СМИБ на оперативном уровне и уровне совета директоров, за измерения и отчетность.

5. Внесение изменений в процесс оценки рисков

В редакции 2013 года есть несколько изменений:

- Вам нужно определить ответственное лицо для каждого из них: те же лица, что и ответственные за активы, или лица, которые имеют достаточно полномочий для менеджмента рисков (руководители отделов)

- Нет нужды использовать методологию, основанную на идентификации активов, угроз и уязвимостей. Можно идентифицировать свои риски другим более простым способом. Например, вместо того, чтобы отдельно определять Ваш ПК как актив, вредоносный код как угрозу и отсутствие возможности обновления базы данных антивирусного программного обеспечения как уязвимость, можете идентифицировать этот риск как «ПК может быть атакован вредоносным кодом». Но и сохранить свою методологию активов-угроз-уязвимости такой, какая она есть не запрещено

- Необходимо определить все аутсорсинговые процессы и решить, как их контролировать путем включения услуг Ваших поставщиков и партнеров в качестве активов при оценке рисков и выявление всех связанных с ними опасностей

6. Определение статуса средств управления в заявлении о применимости (SoA)

В SoA должно быть определено (приведено) обоснование применения всех средств менеджмента. Пример обоснования применения: требования законодательства. Эти обоснования еще и повод для ограничения применения требований стандарта (Приложение А ISO/IEC 27001) в отношении некоторых средств управления.

7. Получение одобрения от лиц, ответственных за риски

В соответствии с последней версией Вы утверждаете план обработки рисков и остаточные опасности для ИБ у ответственных за них.

8. Планирование коммуникации на систематической основе

Вы определяете, кто с кем будет общаться, что будет сообщено и когда. Это касается как внутренних, так и внешних вопросов. Вы должны охватить все элементы Вашей ISMS с помощью коммуникации (например: оценка рисков, обработка, контроль, измерение, корректирующие действия, внутренний аудит), лучший способ спланировать это общение – определить его в каждом отчете отдельно.

9. Принятие решений о том, что делать с Вашими процедурами управления

Требования к превентивным действиям отсутствуют (они стали частью процесса оценки риска), поэтому необходимо решить, удалять ли этот процесс. Также больше нет правил по документированию остальных процедур менеджмента (контроль документов, внутренний аудит и корректирующие действия), поэтому разрешено удалить процедуры как отчеты, но Вы все равно должны поддерживать их физически. Небольшие организации, желающие уменьшить количество отчетов, смогут работать без этих документированных процессов, тогда как для средних и крупных компаний, лучше сохранить их, особенно если они уже имеются.

10. Написание новых направлений политик и процедур

Обязательные документы:

- принципы проектирования защищенных систем описывают как включить методы защиты во все уровни архитектуры (бизнес, данные, приложения и технологии)

- политика безопасности поставщиков — информация о том, как положения о защите включаются в контракты, как осуществляется мониторинг поставщиков, соблюдают ли они свои обязанности по обеспечению защиты, как вносятся изменения

- процедура управления инцидентами, описывающая, как реагировать на различные типы инцидентов, кто за что отвечает, кто будет проинформирован

- процедура обеспечения непрерывности бизнеса определяет, как будет восстановлена бизнес-часть Вашей организации и ИТ-инфраструктура в случае сбоя

11. Реорганизация управления

Приложение А изменилось незначительно – 14 разделов вместо 11 и 114 элементов управления вместо 133. При этом большая часть старых элементов управления осталась и появилось несколько новых: “Информационная безопасность в управлении проектами”, “Политика безопасного развития”, “Оценка и принятие решений о событиях информационной безопасности”, “Наличие средств обработки информации” и др. Единственным документом, который существенно реорганизовался, является заявление о применимости, что в свою очередь может привести к внесению изменений и в другую документацию СУИБ.

12. Измерение и отчетность

Правила стали намного строже в редакции 2013:

- цели устанавливаются измеримым образом - например, «мы хотим уменьшить количество инцидентов на 30% за три года»

- все действия по устранению рисков и возможностей оцениваются. Это лучше всего достигается с помощью:

a. плана обработки рисков, документирующего как осуществлять контроль по обработке с помощью дополнительного столбца по оценке реализации контроля

b. заявления о применимости – указав цель рядом с каждым контролем, а затем измеряя, достиг ли этот контроль своей цели

c. в каждой политике и процедуре ISMS Вы прописываете, по каким критериям оценивается каждый отчет

- определяется, что будет контролироваться и измеряться, когда это будет сделано, кто будет делать измерение и кто будет оценивать результаты. Кроме того, обязанности по предоставлению отчетности о работе СМИБ четко распределяются путем их описания в отдельном отчете или включения в политику информационной безопасности.

Наши эксперты имеют большой опыт в части доработки СМИБ до новой версии, высокую скорость выполнения этой задачи и наработанную базу документов, успешно прошедших проверку международными аудиторами.

Позвоните нам, и мы поможем Вам на любом этапе перехода на ISO 27001:2013.