ISO 27001:2013 – ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Обеспечение конфиденциальности, целостности и доступности информации

Что такое информационная безопасность? Для торговцев продуктами безопасности, понимание информационной безопасности ограничено тем, что они продают. Для многих директоров и менеджеров информационная безопасность - это то, что они не понимают и с чем должны справляться ИТ-менеджеры. Для большинства пользователей ИТ-оборудования информационная безопасность означает ограничение их деятельности.

Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».
Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);
Целостность – обеспечение точности и полноты информации, а также методов ее обработки;
Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

ISO 27001:2013 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ISO 17799:2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности. Стандарт ISO 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

Система управления СУИБ (Система управления информационной безопасностью) на основе стандарта ISO 27001 позволяет:
• Сделать большинство информационных активов наиболее понятными для менеджмента компании
• Выявлять основные угрозы безопасности для существующих бизнес-процессов
• Рассчитывать риски и принимать решения на основе бизнес-целей компании
• Обеспечить эффективное управление системой в критичных ситуациях
• Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
• Четко определить личную ответственность
• Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
• Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001
• Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
• Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
• Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям. Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001 и ISO 14001 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001.

Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001, то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем, что предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации.

По стандарту ISO 27001:2013 проводится официальная сертификация системы управления информационной безопасностью.
Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.

Этапы разработки и внедрения системы управления ИБ
Можно выделить следующие основные этапы разработки системы управления ИБ:
• Инвентаризация активов.
• Категорирование активов.
• Оценка защищенности информационной системы.
• Оценка информационных рисков.
• Обработка информационных рисков (в том числе определение конкретных мер для защиты ценных активов). Внедрение выбранных мер обработки рисков.
• Контроль выполнения и эффективности выбранных мер.
• Роль руководства компании в системе управления ИБ

Одним из основных условий эффективного функционирования системы управления ИБ является вовлеченность руководства компании в процесс управления ИБ. Все сотрудники должны понимать, что, во-первых, вся деятельность по обеспечению ИБ инициирована руководством и обязательна для выполнения, во-вторых, руководство компании лично контролирует функционирование системы управления ИБ, в-третьих, само руководство выполняет те же правила по обеспечению ИБ, что и все сотрудники компании.

Инвентаризация активов компании
Прежде всего, необходимо определить, что является ценным активом компании с точки зрения информационной безопасности.
Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:
• информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
• программное обеспечение;
• материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
• сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);
• сотрудники компании, их квалификация и опыт;
• нематериальные ресурсы (репутация и имидж компании).
Инвентаризация заключается в составлении перечня ценных активов компании. Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов.
Оценку критичности активов можно выполнять в денежных единица и в уровнях.

Принципы оценки критичности каждого указанного актива:
• информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия;
• программное обеспечение, материальные ресурсы и сервисы оцениваются с точки зрения их доступности или работоспособности.
• сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию.
• репутация компании оценивается в связи с информационными ресурсами.

Оценка информационных рисков
Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.

Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым. Т.е. компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Уклонение от рисков - это полное устранение источника риска.

Передача рисков - перенесение ответственности за риск на третьи лица (например, поставщику оборудования или страховой компании) без устранения источника риска.

Снижение рисков - это выбор и внедрение мер по снижению вероятности нанесения ущерба.
В процессе обработки рисков сначала требуется определить, какие риски требуют дальнейшей обработки, а какие можно принять.
По результатам оценки и обработки рисков разрабатывается Положение о применимости. Наличие этого документа обязательно для прохождения сертификации.

Документированные процедуры
Стандарт требует, чтобы все меры по снижению рисков были документально зафиксированы. Т.е. для эффективного управления ИБ необходимо наличие процедур, которые будут поддерживаться определенными документами (инструкциями, политиками, регламентами), выполняться определенными людьми. И каждая процедура должна быть отражена в соответствующем документе.

Документированные процедуры являются обязательным элементом системы управления ИБ. Следовательно, в рамках системы управления необходимо разработать базу нормативных документов, описывающих все процедуры в области ИБ.

Основными документами по управлению ИБ являются
• Политика управления информационной безопасностью
• Политика информационной безопасности.
• Методики и инструкции,
• Процедуры обеспечения ИБ и управления ею.
• Регламент обеспечения физической безопасности.

Обучение сотрудников компании
Обучение сотрудников можно выполнять в форме очных и заочных курсов с последующим тестированием, целесообразно организовать обучение сотрудников с помощью системы дистанционного обучения, в рамках которой могут быть представлены различные курсы (как для пользователей, так и для специалистов), игровые методики обучения, тестирование.
Основная сложность может заключаться в проверке эффективности процедур системы управления ИБ. Т.е. для каждой процедуры необходимо разработать критерии, по которым будет проверяться ее эффективность, и, кроме этого, такие критерии требуется разработать для всей системы управления в целом.

Критериями оценки эффективности системы управления ИБ могут быть, например, изменение количества инцидентов ИБ, квалификация пользователей в области ИБ и пр.

Внедрение процедур системы управления ИБ
Внедрение процедур, как правило, заключается в информировании соответствующих сотрудников о правилах и сроках выполнения процедуры, регулярный контроль выполнения процедуры, а также оценка ее эффективности, внесение корректирующих и превентивных действий, то есть внедрение всего цикла PDCA-модели для каждой процедуры.

Для оформления запроса по ценовому предложению заполните форму


{spoiler title=Общая информация opened=0}
Группа стандартов ISO 27000 занимается обеспечением информационной безопасности организации.
На сегодняшний день есть 17 утвержденных и опубликованных стандартов группы ISO 27000.
Есть 4 вида групп стандартов:
• Стандарты для обзора и введения в терминологию;
• Стандарты, которые определяют обязательные требования к СУИБ (система управления информационной безопасностью);
• Стандарты, определяющие требования и рекомендации для аудита СУИБ;
• Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.
Стандарты для обзора и введения в терминологию:
ISO/IEC 27000:2009
– Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь.
Данный стандарт обеспечивает определение основной терминологии, которая используется в стандартах по информационной безопасности. В каждом стандарте есть и дополнительные термины. В данный момент разрабатывается новая версия стандарта ISO 27000.
Стандарты, которые определяют обязательные требования к СУИБ:
ISO/IEC 27001:2013
– Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
Это основной стандарт группы. Он определяет требования к разработке, внедрению, поддержке и улучшению систем менеджмента информационной безопасности. В данный момент разрабатывается новая версия стандарта ISO 27001.
Стандарты, определяющие требования и рекомендации для аудита СУИБ:
ISO/IEC 27006:2011 – Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности.
Этот стандарт расширяет требований стандарта ISO 17021 специально для органов, проводящих аудит и сертификацию СУИБ
ISO/IEC 27007:2011 – Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности. Стандарт ISO 27007 предлагает рекомендации по проведению аудитов СУИБ со стороны сертификационных организаций. Он полезен для аудиторов этих организаций.
ISO/IEC TR 27008:2011 – Информационные технологии. Методы обеспечения безопасности - Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности.
Данный стандарт, как и ISO 27007 является дополнительным стандартом к ISO 19011:2011 специально для СУИБ. Он специализирован для аудита средств управления информационной безопасностью в организации
Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ:
ISO/IEC 27002:2013 – Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности.
Самый популярный стандарт группы после ISO 27001. Он дает отличные указания для разработки, внедрения, поддержки и совершенствовании СУИБ. Он является библией для консультантов.
ISO/IEC 27003:2010 – Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности.
Стандарт дает указания и методику для процессов разработки и внедрения СУИБ.
ISO/IEC 27004:2009 – Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности.
Стандарт является руководством для выбора, проектирования, управления и улучшения средств и методов измерения эффективности и результативности системы
ISO/IEC 27005:2011 – Информационные технологии. Методы защиты. Менеджмент рисков информационной безопасности.
Этот стандарт является одним из самых важных в группе. Несмотря на то, что он только указательный, а не обязательный стандарт, его назначение состоит в том, что управление рисками - один из самых важных процессов для информационной безопасности.
ISO/IEC 27011:2010 – Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций на основе ISO / IEC 27002.
Это специализированное руководство по СУИБ в телекоммуникационных организациях.
ISO/IEC 27031:2011 – Информационные технологии - Методы обеспечения защиты – Руководство для готовности информационных и коммуникационных технологий по обеспечению непрерывности бизнеса.
Новый, интересный стандарт - руководство по обеспечению непрерывности бизнеса в ИКТ ISO/IEC 27033-1:2009 - Информационные технологии - Методы обеспечения защиты – Сетевая безопасность – Част 1 – Обзор и понятия
Первый из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры
ISO/IEC 27033-3:2010 - Информационные технологии - Методы обеспечения защиты – Сетевая безопасность – Част 3 – Сетевые сценарии - Угрозы, методы проектирования и управления вопросами
Другой стандарт из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры - с практическим значением ISO/IEC 27034-1:2011 - Информационные технологии - Методы обеспечения защиты – Безопасность приложений – Част 1: Обзор и понятия
Первый из другой группы специализированных стандартов в области обеспечения информационной безопасности прикладного программного обеспечения.
ISO/IEC 27035:2011 - Информационные технологии - Методы обеспечения защиты – Управление инцидентами по информационной безопасности.
Один из ценных стандартов в группе с практической стоимостью в области управления инцидентами по информационной безопасностью.
ISO 27799:2008 - Информатика в здравоохранении. Менеджмент безопасности информации по стандарту ISO/IEC 27002
Это специализированное руководство по СУИБ в здравоохранении.
ISO/IEC 24762:2008 - Информационные технологии - Методы обеспечения защиты – Рекомендации по услугами для аварийного восстановления информационных и коммуникационных технологий.
Тоже интересный стандарт с точки зрения практических рекомендаций по обеспечению аварийного восстановления ИКТ
Группа стандартов ISO 27000 получила очень серьезное развитие в последние годы. В настоящее время в различных стадиях подготовки находятся еще 25 новых стандартов, которые обеспечат необходимую помощь при разработке, внедрении, поддержании и улучшении СУИБ. {/spoiler}

Этот международный стандарт устанавливает рекомендации и общие принципы для инициализации, осуществления, поддержания и улучшения управления безопасностью информации в учреждении. Цели, выделенные в этом международном стандарте, обеспечивают общее руководство управления безопасностью информации на общепринятых показателях.
Цели управления и контроля этого международного стандарта предназначены, чтобы выполнить и осуществить защиту информации в соответствии с идентифицированной оценкой риска.
ISO/IEC 17799 может служить практическим руководством для того, чтобы разработать организационные стандарты защиты и эффективные действия управления защитой, а так же поддержать взаимное доверие при контактах между организациями.
Вторая редакция 15.06.2005 г. «Информационная технология — Методы защиты — Практическое руководство для менеджмента информационной безопасности».