Постатейное объяснение стандарта ISO/IEC 27001:2013

 Введение

1. Процесс и процессный подход

2. Влияние процессного подхода

3. Цикл «Планируй, делай, проверяй, действуй»

4. Контекст организации

5. Руководство

6. Планирование

7. Поддержка

8. Операции

9. Оценка эффективности

10. Улучшение

Приложение A. Цели и средства управления информационной безопасностью

 Заключение

 ВВЕДЕНИЕ

Управление рисками информационной безопасности (ИБ) для развития организации – это серьезный шаг, требующий определенной подготовки. В нашем комментарии к основным частям стандарта Вы найдете последовательное объяснение каждого пункта ISO 27001 и Приложения A, чтобы облегчить Ваше понимание нормативного документа.

Системы информационной безопасности часто рассматриваются компаниями как простые контрольные списки или политики и процедуры, которые противоречат во многих отношениях тому, как работает бизнес. Придерживаясь этих убеждений, организации не позволяют должным образом создать систему менеджмента (управления) информационной безопасностью (СМИБ/СУИБ) и полностью реализовать ее потенциал как в отношении операционных и финансовых показателей, так и репутации компании в целом.

Независимо от того, является ли ISO 27001:2013 единственной системой или интегрированной, например, с ISO 9001 (система менеджмента качества), стандарт ISO 27001:2013 обеспечивает управление бизнесом или проектом таким образом, что независимо от размера и отрасли, компания должна управлять информационной безопасностью и устранять риски ИБ. Их отсутствие может принести множество преимуществ не только самой компании, но и клиентам, поставщикам и другим заинтересованным сторонам.

1. ПРОЦЕСС И ПРОЦЕССНЫЙ ПОДХОД

1.1 Термины и определения

Процесс: группа повторяемых и взаимосвязанных действий, выполняемых для преобразования серии входных данных в определенные выходные.

Процессный подход: управление группой процессов вместе, как системой, где идентифицируются взаимосвязи между процессами, а результаты предыдущего процесса рассматриваются как входные данные для следующего. Такой подход помогает обеспечить, чтобы результаты каждого отдельного процесса добавляли ценность для бизнеса и способствовали достижению конечных желаемых результатов.

Информационная безопасность: процессы, методологии и технологии, используемые для сохранения конфиденциальности, целостности и доступности информации.

Конфиденциальность: свойство информации, которая может быть доступна или раскрыта только уполномоченным лицам, организациям или процессам.

Целостность: свойство чего-то полного и структурированного.

Доступность: свойство чего-то, что доступно и может использоваться только уполномоченным лицом, организацией или процессом, когда это требуется.

Управление информационной безопасностью: координация процессов, охватывающих выявление ситуаций, которые могут подвергать информацию риску; внедрение мер контроля для устранения этих рисков и защиты интересов бизнеса и других заинтересованных сторон (например, клиентов, сотрудников и др.).

Риск: влияние неопределенности на желаемые результаты.

Оценка риска: процесс, который помогает идентифицировать, анализировать и оценивать риски.

План обработки риска: набор процедур, методологий и технологий, применяемых для снижения рисков.

Остаточный риск: значение риска после его обработки.

2. ВЛИЯНИЕ ПРОЦЕССНОГО ПОДХОДА

Соответствие стандарту ISO 27001:2013 является обязательным для сертификации, но одно только соблюдение не гарантирует способность организации защищать информацию. Необходимо создать надежную связь между требованиями, политиками, целями, производительностью и действиями. И именно поэтому процессный подход так полезен для внедрения СМИБ. Ведь, применив процессный подход к ИБ, компания может лучше понять, как каждый шаг способствует достижению основных целей защиты информации, позволяя быстро определять проблемные моменты при выполнении процесса.

Подробнее с процессом управления рисками Вы можете ознакомиться в статье: “Пошаговое управление рисками”.

3. ЦИКЛ «ПЛАНИРУЙ, ДЕЛАЙ, ПРОВЕРЯЙ, ДЕЙСТВУЙ»

План: определение политик, целей, задач, элементов управления, процессов и процедур, а также управление рисками, которые поддерживают обеспечение информационной безопасности в соответствии с основной деятельностью организации.

Исполнение: выполнение и использование запланированных процессов.

Проверка: мониторинг, измерение, оценка и анализ результатов в соответствии с политикой и целями информационной безопасности, чтобы можно было определить и осуществить корректирующие и/или улучшающие действия.

Действие: выполнение корректирующих мероприятий, направленных на улучшение результатов.

Этот цикл является всемирно признанной методологией системы управления и может использоваться в различных системах управления бизнесом, но его применение для ISO 27001:2013 является обязательным и очень полезным.

4. КОНТЕКСТ ОРГАНИЗАЦИИ

4.1 Понимание организации и ее контекста

В пункте 4.1 от организации требуется определение всех внутренних и внешних проблем, которые могут иметь отношение к ее деловым задачам и достижению целей СМИБ.

4.2 Понимание потребностей и ожиданий заинтересованных сторон

Стандарт требует от организации оценить, кто является заинтересованными сторонами с точки зрения ее СУИБ, каковы могут быть их потребности и ожидания, какие правовые и нормативные требования, а также договорные обязательства необходимо учитывать для соблюдения обязательств.

4.3 Определение области применения системы управления информационной безопасностью

Масштабы, границы и применимость СМИБ необходимо изучить и определить с учетом внутренних и внешних проблем, требований заинтересованных сторон, а также существующих интерфейсов и зависимостей между деятельностью Вашей компании и других. Область действия храниться как «документированная информация».

В статье и далее будет часто встречаться фраза «документированная информация». Потому мы подготовили материал о том, какие документы, в каком виде и объеме нужно иметь каждому бизнесу в соответствии со стандартом: “Документация под ISO 27001:2013. Сколько ее должно быть и какой?".

4.4 Система управления информационной безопасностью

Стандарт указывает на то, что СУИБ нужно создать, эксплуатировать, контролировать и постоянно совершенствовать.

5. РУКОВОДСТВО

5.1 Лидерство и приверженность

Высшее руководство и менеджеры среднего звена с соответствующими ролями в организации должны продемонстрировать подлинные усилия по привлечению людей к поддержке СМИБ. В пункте 5 представлены многие элементы обязательств высшего руководства с повышенными уровнями лидерства, вовлеченности и сотрудничества в работе СУИБ, обеспечивая такие аспекты, как:

- согласование политик и целей информационной безопасности друг с другом, а также со стратегическими политиками и общим направлением бизнеса

- интеграция ИБ с другими бизнес-системами, где это применимо

- обеспечение ресурсами для эффективной работы СМИБ

- понимание важности координации информационной безопасности и соответствия требованиям СУИБ

- достижение целей СУИБ

- определение обязанностей по информационной безопасности для людей в СМИБ и их правильной поддержки, обучения и руководства для эффективного выполнения их задач

- поддержка СУИБ в течение всего ее жизненного цикла с учетом подхода PCDA и постоянного улучшения

5.2 Политика

Высшее руководство несет ответственность за разработку политики ИБ, которая соответствует планам компании и обеспечивает основу для установления целей информационной безопасности, включая обязательство выполнять применимые требования и постоянное совершенствование СМИБ. Политику ИБ необходимо поддерживать как документированную информацию, распространять внутри структуры и предоставлять доступ всем заинтересованным сторонам.

5.3 Организационные роли, обязанности и полномочия

Текст нормативного документа гласит, что высшее руководство несет ответственность за обеспечение эффективного делегирования ролей, ответственности и полномочий. Еще необходимо возложить ответственность за обеспечение того, чтобы СУИБ отвечала условиям ISO 27001:2013, и чтобы о характеристиках СУИБ можно было точно сообщать высшему руководству.

Со схемой распределения обязанностей на основе матрицы RACI Вы можете ознакомиться здесь: “Простой способ распределения обязанностей по ИБ”.

6. ПЛАНИРОВАНИЕ

6.1 Действия по устранению рисков и возможностей

6.1.1 Общие положения

Этот пункт призван охватить «превентивные меры», изложенные в старом стандарте ISO 27001:2005. Компания должна планировать действия по управлению рисками и возможностями, относящимися к контексту организации (раздел 4.1), а также потребностям и ожиданиям заинтересованных сторон (раздел 4.2), чтобы гарантировать, что СУИБ может достичь запланированных результатов, предотвратить/смягчить нежелательные последствия и постоянно улучшаться. Эти действия должны учитывать их интеграцию с деятельностью СМИБ, а также то, как оценить эффективность.

С особенностями перехода с версии 2005 на актуальную Вы можете ознакомиться в статье: “Международная версия 2013 года. Как перейти?”.

6.1.2 Оценка риска информационной безопасности

Организации необходимо определить и применить процесс оценки рисков информационной безопасности с определенными критериями приемлемости рисков ИБ, а также критериями для проведения таких оценок, чтобы повторные оценки давали согласованные, достоверные и сопоставимые результаты. Процесс оценки риска должен включать их идентификацию, анализ и оценку и храниться в виде документированной информации.

6.1.3 Обработка риска информационной безопасности

Компания должна определить и применить процесс обработки риска ИБ, чтобы выбрать правильные варианты обработки риска и средства управления. Выбранные средства управления необходимо учитывать, но не нужно ограничиваться ими (базовые описаны в Приложении A). Основными результатами процесса обработки риска являются заявление о применимости и план обработки риска, который должен быть утвержден ответственными за риск. Процесс обработки риска информационной безопасности должен храниться как документированная информация.

6.2 Задачи информационной безопасности и планы их достижения

Цели ИБ устанавливаются и сообщаются на соответствующих уровнях и функциях, учитывая соответствие политике ИБ, возможности измерения и применимые требования ИБ, а также результаты оценки и обработки рисков. Цели обновляются, когда это необходимо. Их надлежит рассматривать с точки зрения того, что должно быть сделано, когда и какие ресурсы требуются для достижения целей, кто отвечает за них и как должны оцениваться результаты, чтобы обеспечить достижение целей. Обязательно, чтобы документированная информация содержала цели ИБ.

7. ПОДДЕРЖКА

7.1 Ресурсы

Текст нормативного документа гласит, что организация должна определить и предоставить ресурсы, необходимые СМИБ для достижения заявленных целей и обеспечения постоянного улучшения.

7.2 Компетентность

Компетентность людей, несущих ответственность за СУИБ и работающих под Вашим контролем, должна соответствовать условиям стандарта ISO 27001:2013, чтобы их работа не оказывала негативного влияния на СМИБ. Компетентность может быть продемонстрирована опытом, обучением и/или образованием в отношении предполагаемых задач. Когда знаний недостаточно, необходимо провести обучение, а также оценить его, чтобы обеспечить достижение требуемого уровня компетентности. Это еще один аспект, который должен храниться в качестве документированной информации для СУИБ.

7.3 Осведомленность

Осведомленность тесно связана с компетентностью в стандарте. Люди, которые работают под Вашим контролем, должны быть осведомлены о политике ИБ и ознакомлены с ее содержании. В особенности о том, что их личная деятельность означает для СМИБ и ее целей, и какие несоответствия могут иметь последствия для СУИБ.

7.4 Связь

Необходимо определить внутренние и внешние коммуникации, которые считаются относящимися к СМИБ, а также процессы, с помощью которых они осуществляются, с учетом того, кто и что должен сообщать, когда это следует делать и кому необходимо получать эти сообщения.

7.5 Документированная информация

7.5.1 Общие положения

«Документированная информация», о которой мы неоднократно упоминали в этом документе, теперь охватывает понятия «документы» и «записи», рассматриваемые в предыдущей редакции ISO 27001. Это изменение было разработано для облегчения администрирования документами и записями, требуемыми стандартом, а также теми, которые Вы считаете критически важными для СМИБ и его функционирования. Следует также отметить, что объем и охват документированной информации, который Вам требуется, будет различаться в зависимости от размера, видов деятельности, продуктов, услуг, сложности процессов и их взаимосвязи, а также компетенции людей.

7.5.2 Создание и обновление

Стандарт требует, чтобы документированная информация, созданная или обновленная в рамках СУИБ, была правильно идентифицирована и описана, учитывая содержание ее презентации и используемых носителей. Вся документированная информация должна пройти процедуры надлежащего рассмотрения и одобрения, чтобы гарантировать, что она соответствует цели.

7.5.3 Контроль документированной информации

Текст нормативного документа гласит, что документированная информация, необходимая для СМИБ, и сам стандарт, как внутреннего, так и внешнего происхождения, были доступны и пригодны для использования там, где и когда это необходимо, и разумно защищены от повреждения или потери целостности и идентичности. Для надлежащего контроля документированной информации организации необходимо рассмотреть вопрос обеспечения процессов, касающихся распространения, хранения, доступа, использования, поиска, контроля и удаления.

8. ПОДДЕРЖКА

8.1 Оперативное планирование и контроль

Для обеспечения надлежащего учета рисков и возможностей (пункт 6.1), достижения целей безопасности (пункт 6.2) и выполнения требований информационной безопасности, СУИБ должна планировать, внедрять и контролировать свои процессы, а также выявлять и контролировать любые несоответствия аутсорсинга, хранить документированную информацию, которая считается необходимой для обеспечения уверенности в том, что процесс выполняется и достигает своих результатов в соответствии с планом. Ориентируясь на обеспечение безопасности информации, СУИБ должна содержать мониторинг запланированных изменений и анализ воздействия неожиданных изменений, чтобы иметь возможность принимать меры для смягчения неблагоприятных последствий, если это необходимо.

8.2 Оценка риска информационной безопасности

Проводится через запланированные интервалы или в соответствии с критериями, определенными в пункте 6.1.2. Полученную информацию необходимо хранить как документированную.

8.3 Обработка риска информационной безопасности

Стандарт требует реализации планов обработки рисков, сохраняя полученную информацию в виде документированной информации.

9. ОЦЕНКА ЭФФЕКТИВНОСТИ

9.1 Мониторинг, измерение, анализ и оценка

Вы не только устанавливаете и оцениваете показатели эффективности в отношении результативности и работоспособности процессов, процедур и функций по защите информации, но и учитываете показатели эффективности СМИБ в отношении соответствия стандартным превентивным действиям в ответ на неблагоприятные тенденции и степень, в которой политика, цели и задачи ИБ достигаются. Установленные методы учитывают, что необходимо контролировать и измерять, как обеспечить точность результатов и с какой периодичностью проводить мониторинг, измерение, анализ, оценку данных и результатов СУИБ. При этом результаты деятельности надлежащим образом сохраняются в качестве доказательства соответствия и источника для облегчения последующих корректирующих действий.

9.2 Внутренний аудит

Внутренние проверки проводятся через запланированные промежутки времени с учетом актуальности процессов и результатов предыдущих аудитов, чтобы обеспечить эффективное внедрение и обслуживание, а также соответствие требованиям стандарта и любым требованиям, определенным самой организацией. Критерии и область для каждого аудита определяются в данном пункте. Аудитор должен быть независимым и не иметь конфликта интересов в отношении предмета проверки. Он (они) должен сообщать о результатах аудита соответствующему руководству и обеспечивать, чтобы несоответствия были предметом ответственности назначенных менеджеров, которые, в свою очередь, должны обеспечивать своевременное выполнение любых необходимых корректирующих мер. Аудитор также должен проверить эффективность предпринятых корректирующих действий.

9.3 Обзор руководства

Обзор правления существует для того, чтобы СМИБ можно было постоянно поддерживать для адекватного и эффективного поддержания ИБ. Обзор должен выполняться через запланированные промежутки времени стратегическим образом и на уровне высшего руководства, охватывая необходимые аспекты сразу или по частям так, чтобы максимально соответствовать потребностям бизнеса. Высшее руководство анализирует статус действий, определенных в предыдущих обзорах, существенные внутренние и внешние факторы, которые могут повлиять на СУИБ, производительность информационной безопасности и возможности для ее улучшения, чтобы можно было внести соответствующие корректировки и возможности по улучшению. Анализ со стороны руководства является наиболее важной функцией для обеспечения непрерывности СМИБ. При этом все детали и данные анализа со стороны руководства документируются и регистрируются.

10. УЛУЧШЕНИЕ

10.1 Несоответствие и корректирующие действия

Результаты анализа со стороны руководства, внутренних аудитов, а также оценки соответствия и эффективности используются для формирования основы для несоответствий и корректирующих действий. После выявления несоответствия инициируются корректирующие действия для смягчения его последствий и устранения коренных причин путем обновления процессов и процедур во избежание повторения. Эффективность предпринятых действий должна быть оценена и задокументирована вместе с первоначально сообщаемой информацией о несоответствии и достигнутых результатах.

Список того, что обязательно документируется в соответствии со стандартом, представлено в отдельном материале: “Документация под ISO 27001:2013. Сколько ее должно быть и какой?".

10.2 Постоянное улучшение

Постоянное совершенствование является ключевым аспектом СМИБ в усилиях по достижению и поддержанию пригодности, адекватности и эффективности ИБ в том, что касается планов организаций.

ПРИЛОЖЕНИЕ А. ЦЕЛИ И СРЕДСТВА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ.

А.5 Политики информационной безопасности

Элементы управления в этом разделе направлены на то, чтобы обеспечить руководство и поддержку СМИБ путем внедрения, связи и контролируемого анализа политик ИБ.

А.6 Организация информационной безопасности

Элементы управления этого раздела призваны обеспечить базовую основу для реализации и функционирования ИБ путем определения ее внутренней структуры (например, ролей, обязанностей и т.д.) и посредством рассмотрения организационных аспектов ИБ (например, управление проектом, использование мобильных устройств и др.).

А.7 Безопасность человеческих ресурсов

Элементы управления в этом разделе направлены на то, чтобы люди, находящиеся под контролем организации и способные повлиять на информационную безопасность, были пригодны для работы и знали свои обязанности. И чтобы любые изменения условий занятости не влияли на ИБ.

А.8 Управление активами

Эти элементы направлены на обеспечение идентификации активов ИБ (например, информации, устройств обработки, устройств хранения данных и т.д.), определения ответственности за их безопасность и того, что люди знают, как обращаться с ними в соответствии с предопределенными правилами.

А.9 Контроль доступа

Элементы управления в этом разделе направлены на ограничение доступа к информации и информационным активам с учетом потребностей бизнеса посредством формальных процессов предоставления или отзыва прав доступа. Эти элементы учитывают физический или логический доступ, а также доступ, сделанный людьми и информационными системами.

А.10 Криптография

Эти элементы призваны обеспечить основу для правильного использования криптографических решений для защиты конфиденциальности, подлинности и/или целостности информации.

А.11 Физическая безопасность

Элементы управления в этом разделе направлены на предотвращение несанкционированного доступа к физическим областям, а также на защиту оборудования и средств, которые в случае компрометации вследствие человеческого или естественного вмешательства могут повлиять на информационные активы или деловые операции.

А.12 Безопасность операций

Эти элементы необходимы для обеспечения безопасности работы средств обработки информации, в том числе операционных систем, и защиты от вредоносных программ и потери данных. Кроме того, элементы в этом разделе требуют средств для записи событий и генерации доказательств, периодической проверки уязвимостей и принятия мер предосторожности, чтобы предотвратить проверки активностей в отношении операций.

А.13 Безопасность связи

Элементы управления в этом разделе направлены на защиту сетевой инфраструктуры, служб и информации, которая передается по ним.

А.14 Приобретение системы, разработка и сопровождение

Данные элементы направлены на то, чтобы обеспечить защиту информации в жизненном цикле разработки системы.

А.15 Отношения с поставщиками

Элементы управления в этом разделе призваны гарантировать, что выполняемые поставщиками внешние операции также учитывают средства контроля ИБ и что они должным образом управляются.

А.16 Управление инцидентами информационной безопасности

Здесь перечислены элементы, призванные обеспечить основу для обеспечения надлежащей связи и обработки событий и инцидентов безопасности, чтобы их можно было своевременно разрешать и учитывать при необходимости сохраненные доказательства, а также для совершенствования процессов во избежания повтора.

А.17 Аспекты информационной безопасности управления непрерывностью бизнеса

Эти элементы направлены на обеспечение непрерывности управления ИБ в неблагоприятных ситуациях, а также на доступность информационных систем.

А.18 Податливость

Меры контроля в этом разделе призваны обеспечить основу для предотвращения правовых, нормативных и договорных нарушений и обеспечить независимое подтверждение того, что ИБ внедрена и эффективна в соответствии с определенными политиками, процедурами и требованиями ISO 27001.

 ЗАКЛЮЧЕНИЕ

ISO 27001:2013 предоставляет всем компаниям руководство по управлению рисками информационной безопасности, конечным назначением которого является сохранение конфиденциальности, целостности и доступности информации путем применения методологии управления рисками и обеспечения уверенности заинтересованных сторон в адекватном управлении этими рисками. Реализовав все пункты стандарта и по-настоящему поняв их влияние, Ваше дело может достичь многих преимуществ: репутационных, мотивационных и финансовых.

Учитывая все это, может ли Ваша организация позволить себе не иметь ISO 27001:2013?