Концепция

В современных условиях при проектировании, создании, сопровождении и развитии информационных систем (ИС) необходимо уделять повышенное внимание решению проблемы обеспечения требуемого уровня информационной безопасности (ИБ). Современный бизнес не может существовать без мощных многофункциональных ИС и вынужден планировать значительные ресурсы для решения повседневных задач по обеспечению ИБ бизнес-процессов организации. В этом процессе высшее руководство (менеджмент) организации может принять в качестве «базовой методологии» различные стандарты, содержащие требования в части касающейся обеспечения ИБ. Для решения этой проблемы в системе сертификации ISO разработан международный стандарт ISO/IEC 27001:2013, который устанавливает требования к системе менеджмента информационной безопасности (СМИБ).

Значение стандартизации в области ИБ

Традиционно высокий рейтинг в мире стандартов ISO/IEC серии 27000 отмечается в ежегодных отчетах ISO, также подтверждается и стабильный рост сертификации в мире. На основании отчета «The ISO Survey of Management System Standard Certifications – 2012», опубликованного ISO в октябре 2013 г., следует, что в мире насчитывалось свыше 19 000 сертификатов, выданных органами по сертификации на соответствие требованиям ISO/IEC 27001:2005. Динамика прироста сертификатов по сравнению с предыдущим годом составляет 13% или более 2.000 сертификатов в год (см. рисунок.1).

Рисунок 1 - Динамика сертификации СМИБ ISO/IEC 27001

Постановка задачи высшего менеджмента

Определенно, высший менеджмент компании ставит вполне конкретные цели в аспекте обеспечения ИБ. Можно говорить в качестве примера «метрик» о системе KPI (ключевых показателях или индикаторах деятельности), применительно к основным процессам (финансовым, производственным, логистическим и пр.). Высший менеджмент ставит перед СМИБ определенные задачи и ожидает, что «система» (т.е. именно система менеджмента, а не отдельные специалисты и руководители) обеспечит решение поставленных задач – во-первых, результативно, а во-вторых – экономически эффективно для бизнеса.

  1. Проблемы корпоративного управления:
  • Отрывочная локальная информация (в любой организации задача создания эффективной системы внутреннего аудита является критичной в современных условиях);
  • Оценка реальной удовлетворенности клиентов (в ряде случаев рассматривается интегральная оценка удовлетворенности службы заказчика и конечных пользователей).

2. Замечание по качеству внешнего управляющего воздействия:

  • Нет достоверной «рыночной» оценки (например, не проводится анализ конкурентов, бенчмаркинг по сопоставимой продукции/услугам);
  • Персонал компании ждет сигнала к исполнению «сверху» (возможное внешнее управляющее воздействие демпфируется на уровне «локального» руководства территориального подразделения);

3. Развитие продуктовой линейки (в равной мере – для продукции и услуг):

  • Неопределенная политика продвижения продукции и услуг (особенно в территориально распределенных подразделениях крупной компании);
  • Сложность определения затрат по всей цепочке формирования добавочной стоимости и, как следствие, сложность определения прибыли по каждому конкретному продукту.

 Особое внимание требуется уделять взвешенному подходу в процессе определения основных сущностей СМИБ, начиная процесс с оценки требований бизнеса и формируя СМИБ через идентификацию, учет и защиту ценных для организации активов (см. рисунок 2). Последующие «артефакты» (например, «Политика ИБ», «Заявление о применимости» и пр). должны логично интегрироваться в единую целостную СМИБ.

Рисунок 2 - Взаимосвязь основных сущностей СМИБ ISO/IEC 27001

Новая структура стандарта 27001 версии 2013 года

Актуальность проблемы создания эффективных СМИБ непрерывно возрастает, что является закономерным следствием увеличения количества и серьезности угроз (внешних и внутренних), а также постоянным ростом сложности требований, в том числе требований бизнеса и соответствия комплексу требований «регуляторов». Новая версия стандарта ISO/IEC 27001:2013 полностью соответствует директиве ISO/IEC по структуре стандарта на систему менеджмента (Annex SL), и выпуск всех новых стандартов будет выполняться далее по единой структуре 10 разделов (например, ISO 22301 по управлению непрерывностью бизнеса или ISO 55001 – по управлению активами). Основные ключевые аспекты новой версии стандарта:

  • Введено понятие «контекста организации» (п. 4.1) – разделение на внутренний и внешний контекст. Далее в стандарте эта фаза цикла PDCA будет постоянно обрабатываться, что позволяет постоянно обеспечивать улучшение СМИБ;
  • Четкое разделение требования «оценки рисков ИБ» (п. 6.1.2) – установление владельца, определение критериев оценки, выполнения оценки и определения приоритета рисков;
  • Четкое разделение требования «обработки рисков ИБ» (п. 6.1.3) – выполнение обработки рисков – применительно к области распространения и формирование «Заявления о применимости», основанного на перечне мер ИБ из Приложения «А»;
  • Выделение в отдельный раздел 7 требований к компетентности, осведомленности, поддержке и коммуникациям. Особенно характерны требования 7.4 «Коммуникации», в которых определен интерфейс для СМИ в различных ситуациях;
  • Изменение структуры приложения «А» (стало 14 разделов (было 11), стало 114 средств информационной безопасности (было 133), примечательно, что были исключены достаточно сложно проверяемые требования (например, системная документация);
  • Новый раздел «А.15 Взаимодействие с поставщиками», также серьезно переработан раздел по обеспечению непрерывности бизнеса – теперь «А.17 Информационные аспекты обеспечения непрерывности бизнеса» и раздел законодательства – теперь «А.18 Обеспечение соответствия законодательству».

Краткое содержание основных разделов стандарта

В разделах 4-7 приведено содержание этапа «Планируй»:

  • В разделе 4 представлены требования, необходимые для установления контекста, потребностей и области применения СМИБ организации.
  • В разделе 5 обобщаются требования приверженности высшего руководства в СМИБ, а также определены требования к Политике ИБ, распределению ролей и ответственности.
  • В разделе 6 описаны требования к определению рисков и возможностей для улучшения, а также концептуальные требования к построению процессов оценки рисков ИБ и обработки рисков ИБ.
  • В разделе 7 описаны требования к СМИБ в части компетенций и осведомленности, а также порядок управления документацией и коммуникациями.

В разделе 8 приводится содержание этапа «Делай»

  • В нем определены требования к выполнению операционного планирования и контроля, а также процессов оценки рисков ИБ и обработки рисков ИБ.

В разделе 9 приводится содержание этапа «Проверяй»

  • Обобщены требования по измерению результативности процессов СМИБ (точнее: мониторинг, измерение, анализ и оценка), а также требования к проведению внутренних аудитов и анализа со стороны руководства.

В разделе 10 приведено содержание этапа «Действуй»

  • В этом разделе обобщены требования по выполнению корректирующих действий в отношении выявленных несоответствий и обеспечения постоянного улучшения СМИБ.

 Лившиц Илья Иосифович, кандидат технических наук, Livshitz_il@hotbox.ru

31.07.2014
comments powered by Disqus

Фотоальбом

Сайт создан в поддержку движения за качество, деловое совершенство и устойчивое развитие

Site had been created in support of the movement for quality, business excellence and sustainable development

ПАРТНЕРСТВО

Контакты

Адрес: г. Минск, ул. Новаторская, д.2А
 220053, Республика Беларусь
Телефон: (017)  269-68-70
 (017)  269-68-54
 (017)  269-69-54
 (017)  269-69-64
Факс: (017)  269-68-54
E-mail: consl@belgiss.org.by
 ntc@belgiss.by