(343)286-12-03
Новости
Статьи
5 шагов по внедрению СУИБ в соответствии со стандартом ISO 27001
Дата: 01.12.2017

В стандарте ISO 27001 содержится краткое описание шагов по созданию, сопровождению и совершенствованию СУИБ. Каждый шаг обеспечивает гибкий, основанный на оценке рисков подход к обеспечению информационной безопасности.

 

1. ОБЛАСТЬ ПРИМЕНЕНИЯ СУИБ

Прежде чем внедрять СУИБ необходимо определить область ее применения.

При определении области применения СУИБ следует учитывать:

  • информационные и физические активы. Под информационными и физическими активами понимаются - данные, серверы и рабочие станции, сетевое оборудование, программное обеспечение и т.д. Создание СУИБ стоит начинать с инвентаризации информационных и физических активов и оценки их важности. Инвентаризацию активов следует проводить с помощью программных систем инвентаризации или систем оценки защищенности, обладающих таким функционалом;
  • требования к применяемым информационным технологиям: любые бизнес-требования, которые обуславливают необходимость использования той или иной информационной технологии, прикладного программного обеспечения и т.д.;
  • контактные обязательства. Сюда входят государственные нормативные правовые акты, договоры с третьими сторонами, которые оказывают влияние на особенности использования информационных и физических активов.  

 

2. ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ

После определения области применения СУИБ следует провести оценку и обработку рисков ИБ для защищаемых информационных и физических активов. В ISO 27005 содержатся рекомендации по управлению рисками ИБ.

При оценке рисков ИБ следует:

  • определить актуальные угрозы ИБ;
  • определить актуальные уязвимости, используя которые могут быть реализованы угрозы ИБ;
  • определить вероятности реализации угроз ИБ и негативные последствия от их реализации;
  • определить уровни рисков ИБ и их приемлемость для организации;
  • определить защитные меры для компенсации рисков ИБ;
  • определение уровней остаточных рисков ИБ в случае реализации защитных мер для их компенсации.

В конечном итоге оценка рисков ИБ проводится для принятия взвешенных управленческих решений по их обработке.

Оценка рисков ИБ - это итеративный процесс, но результаты первичной оценки играют важное значение при принятии решения об очередности внедрения в рамках СУИБ защитных мер.

Следующий шаг - это определение того, каким образом реагировать на идентифицированные риски реализации угроз ИБ. Существует три возможных сценария – принятие риска, снижение риска, избежание риска или передача риска, например, страховщику.

Необходимо принять решение какая стратегия будет реализована в отношении каждой актуальной угрозы ИБ. Внедряемые в рамках СУИБ защитные меры должны эффективно компенсировать неприемлемые риски ИБ.

В связи с большим объемом работы по управлению рисками ИБ стоит задуматься об автоматизации данного процесса. Для автоматизации процессов оценки и обработки рисков ИБ возможно использование систем класса Security GRC. Прочитать о системах данного класса широко представленных на российском рынке можно, например, в обзоре от 21 сентября 2017 г. по данной ссылке https://www.anti-malware.ru/compare/russian_sgrc_2017

 

3. ВНЕДРЕНИЕ ЗАЩИТНЫХ МЕР

Следующим шагом следующим за оценкой и принятием конкретных решений по обработке рисков ИБ является внедрение защитных мер.

Защитные меры, входящие в состав СУИБ, делятся на два класса: организационные (процессы управления и обеспечения ИБ, документационное обеспечения ИБ) и технические (межсетевые экраны, системы обнаружения и предотвращения вторжений, антивирусы и т.д.). 

Требования к процессам управления ИБ устанавливаются в стандарте ISO 27001. Требования к защитным мерам технического характера и процессам обеспечения ИБ устанавливаются в стандарте ISO 27002. Однако, данный набор может быть скорректирован по результатам проведенной оценки и обработки рисков ИБ.

Текущая версия стандарта 27002 состоит из следующих доменов:

  • Политики ИБ;
  • Организация ИБ;
  • Безопасность, связанная с персоналом;
  • Управление активами;
  • Контроль доступа;
  • Криптография;
  • Физическая защита и защита от внешних воздействий;
  • Обеспечение ИБ при эксплуатации;
  • Безопасность обмена информацией;
  • Приобретение, разработка и обслуживание информационных систем;
  • Отношения с поставщиками;
  • Управление инцидентами ИБ;
  • Аспекты ИБ в менеджменте непрерывности бизнеса;
  • Соответствие требованиям.

 

 4. ПРОВЕДЕНИЕ ВНУТРЕННЕГО АУДИТА

На следующем этапе создания СУИБ необходимо разработать и реализовать программу проведения внутреннего аудита.

В п. 9.2 стандарта ISO 27001 определены некоторые аспекты программы внутреннего аудита. При проведении внутреннего аудита необходимо определить, как будут оцениваться внедренные защитные меры, а также критерии аудита.

Для автоматизации процесса внутреннего аудита СУИБ также с успехом могу использоваться системы класса Security GRC.

 

5. ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОГО УЛУЧШЕНИЯ СУИБ

Заключительным этапом создания СУИБ в соответствии с ISO 27001 является внедрение механизма обратной связи для непрерывного улучшения всей системы. Наиболее распространенным подходом для достижения этого требования является принятие модели зрелости для всех элементов СУИБ.

Оценить зрелость СУИБ можно, например, по данной представленной четырехуровневой шкале:

0 - ИБ никто не занимается, руководство не осознает важности задач обеспечения ИБ

1 - ИБ рассматривается руководством как чисто «техническая» проблема, отсутствует единая политика ИБ

2 - ИБ рассматривается руководством как комплекс организационных и технических мероприятий, направленных на выполнение требований регулирующих органов, выделен ответственный за обеспечение ИБ

3 - ИБ является частью корпоративной культуры организации, финансирование ведется в рамках отдельного бюджета