Управление информационной безопасностью. Стандарты СУИБ (СИ)

В 1998 году появилась вторая часть британского национального стандарта — BS 7799—2 «СУИБ. Спецификация и руководство по применению», в 2002 году она была пересмотрена, а в конце 2005 года была принята в качестве международного стандарта ISO/IEC 27001 «ИТ. Методы защиты. СУИБ. Требования». 25 сентября 2013 года состоялось последнее обновление стандарта.

Стандарт состоит из следующих разделов:

Предисловие

0. Введение

1. Сфера применения

2. Нормативные ссылки

3. Термины и определения

4. Контекст организации

5. Лидерство

6. Планирование

7. Поддержка

8. Эксплуатация

9. Оценка результативности

10. Улучшение

Этапам модели «РDСА» соответствуют следующие разделы стандарта:

— планирование;

— эксплуатация;

— оценка результативности;

— улучшение.

Стандарт был подготовлен для реализации требований по созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Принятие СУИБ является стратегическим решением для организации. Разработка и внедрение СУИБ организации зависит от потребностей и целей организации, требований по безопасности, существующих процессов организации, размера и структуры организации. Все эти факторы влияния, как известно, со временем меняются.

СУИБ обеспечивает конфиденциальность, целостность и доступность информации за счет применения процесса управления рисками и придает уверенность заинтересованным сторонам в том, что риски адекватно управляются.

Важно, чтобы СУИБ являлась частью и была интегрирована с процессами организации и общей структурой управления, а также ИБ была применена при разработке процессов, ИС и элементов управления. Как правило, внедрение СУИБ масштабируется в соответствии с потребностями организации.

1. Сфера применения

Стандарт устанавливает в контексте организации требования к созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Стандарт также включает требования по оценке и обработке рисков ИБ в соответствии с потребностями организации. Требования, изложенные в стандарте, носят общий характер и предназначены для применения всеми организациями, независимо от типа, размера или характера. Исключение любого из требований, указанных в следующих разделах, не является приемлемым, если организация заявляет о соответствии стандарту.

Разделы «2.Нормативные ссылки» и «3.Термины и определения» пропускаем.

4. Контекст организации

Организация должна определить внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от СУИБ.

Организация должна определить:

— заинтересованные стороны, имеющие отношение к СУИБ;

— требования этих заинтересованных сторон, имеющих отношение к ИБ.

Организация для определения сферы применения СУИБ должна определить границы и возможность применения СУИБ.

При определении сферы применения СУИБ организация должна рассмотреть вопросы, упомянутые выше:

— внешние и внутренние аспекты;

— требования заинтересованных сторон;

— взаимосвязи и зависимости между деятельностью, выполняемой организацией, и деятельностью, выполняемой другими организациями.

Сфера применения должна быть доступна в виде документированной информации.

5. Лидерство

Лидерство и обязательства

Высшее руководство должно продемонстрировать лидерство и обязательства в отношении СУИБ путем:

— обеспечения политики ИБ и целей ИБ, которые разработаны и совместимы со стратегическими задачами организации;

— обеспечения интеграции требований СУИБ в процессы организации;

— обеспечения того, чтобы ресурсы, необходимые для системы менеджмента информационной безопасности, были доступны;

— информирования о важности достижения результативности УИБ и о соответствии требованиям СУИБ;

— обеспечения того, что СУИБ позволяет достигать желаемых результатов;

— поддержки и управления персоналом, способствующим эффективности СУИБ;

— содействия постоянному улучшению;

— поддержки других соответствующих управленческих ролей для демонстрации их лидерства, насколько это применимо к сфере их ответственности.

Политика

Высшее руководство должно разработать соответствующую целям организации политику ИБ, которая должна:

— соответствовать целям ИБ;

— содержать цели ИБ или обеспечивать основу для достижения целей ИБ;

— включать обязательства по соблюдению требований ИБ;

— включать обязательства по постоянному улучшению СУИБ.

Политика ИБ должна быть:

— доведена до персонала организации;

— доступна как документированная информация;

— доступна всем заинтересованным сторонам.

Организационные роли, обязанности и полномочия

Высшее руководство должно быть уверенным, что обязанности и полномочия ролей, относящихся к ИБ, обозначены и сообщены.

Высшее руководство должно обозначить обязанности и полномочия для:

— обеспечения соответствия СУИБ требованиям этого стандарта;

— оповещения высшего руководства о результативности СУИБ.

6. Планирование (1-й этап «РDСА»)

Этап планирования СУИБ обеспечивают следующие мероприятия:

— определение целей ИБ и мер по их достижению;

— действия по обработке рисков и возможностей.

Определение целей ИБ и мер по их достижению

Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях.

Цели ИБ должны:

— соответствовать политике ИБ;

— быть измеримыми (если это возможно);

— принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков;

— быть известны соответствующему персоналу организации;

— обновляться по мере необходимости.

Организация должна сохранять документированную информацию о целях ИБ.

При планировании мер по достижению целей ИБ организация должна определить:

— что будет сделано;

— какие ресурсы потребуются;

— кто будет нести ответственность;

— когда меры будут реализованы;

— как будут оцениваться результаты.

Действия по обработке рисков и возможностей

При планировании СУИБ организация должна учитывать аспекты и требования, указанные в контексте организации, и определить риски и возможности, которые должны быть направлены на:

— обеспечение того, чтобы СУИБ позволило достигать желаемых результатов;

— предотвращение или уменьшение нежелательных эффектов;

— обеспечение непрерывного совершенствования.

Организация должна планировать:

— процессы оценки и обработки рисков;

— действия по осуществлению и интеграции работ в процессах СУИБ и оценке их результативности.

Оценка рисков ИБ

Организация должна определить и внедрить процесс оценки рисков ИБ, состоящий из разработки критериев, определения, анализа рисков и сравнения его результатов с критериями для рисков ИБ.

На основании процесса оценки рисков ИБ организации следует:

— установить и поддерживать критерии для рисков ИБ, которые состоят из критериев для проведения оценки и принятия рисков ИБ;

— определить риски ИБ:

• применить процесс оценки рисков ИБ для выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СУИБ (§);

• определить владельцев рисков;

— проанализировать риски ИБ:

• определить реалистичную вероятность возникновения рисков §;

• определить потенциальные последствия, которые могут возникнуть в случае возникновения рисков §;

• определить уровни риска;

— оценить риски ИБ:

• сравнить результаты анализа рисков с установленными критериями для рисков;

• установить приоритеты по обработке рисков для проанализированных рисков;

— гарантировать, что повторная оценка рисков ИБ позволит получить логичные, обоснованные и сопоставимые результаты.

Организация должна сохранять документированную информацию о процессе оценки рисков ИБ.

Обработка рисков ИБ

Организация должна определить и внедрить процесс обработки рисков ИБ, состоящий из выбора варианта обработки, его реализации и принятия остаточных рисков ИБ.

На основании процесса обработки рисков ИБ организации следует:

— выбрать подходящий вариант обработки рисков ИБ, принимая во внимание результаты оценки рисков;

— определить все элементы управления, которые необходимы для реализации выбранного варианта обработки рисков ИБ;

— сравнить определенные элементы управления с теми, которые приведены в Приложении А и убедиться в том, что не были упущены необходимые элементы;

— разработать Положение о Применимости (англ. Statement of Applicability, SoA), которое содержит необходимые элементы управления и обоснования их включения (независимо от того, реализованы они или нет), а также обоснования исключений элементов управления из Приложения А;

— сформулировать план по обработке рисков ИБ;

— согласовать с владельцами рисков план по обработке рисков ИБ и получить (от владельцев рисков) согласие на принятие остаточных рисков ИБ.

Организация должна сохранять документированную информацию о процессе обработки рисков ИБ.

7. Поддержка

Поддержка СУИБ определяется следующими составляющими:

— ресурсы;

— компетенции;

— осведомленность;

— коммуникации;

— документированная информация.

Ресурсы

Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения, сопровождения и постоянного улучшения СУИБ.

Компетенции

Организация должна:

— определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность ИБ;

— обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта;

— при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер;

— сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций.

Соответствующие меры могут включать, например, проведение тренинга, наставничество или переаттестацию действующих сотрудников; или наем / привлечение по контракту компетентных лиц.

Осведомленность

Персонал, выполняющий работы в рамках организации, должен быть осведомлен:

— о политике ИБ;

— о вкладе в повышение результативности СУИБ, включая выгоды от улучшения состояния ИБ;

— о последствиях в результате не выполнения требований СУИБ.

Коммуникации

Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся к СУИБ, включая:

— о чем сообщать;

— когда сообщать;

— кому сообщать;

— кто должен участвовать в коммуникациях;

— процессы осуществления коммуникаций.

Документированная информация

СУИБ организации должна включать документированную информацию:

— требуемую настоящим стандартом;

— определенную организацией в качестве необходимой для обеспечения результативности СУИБ.

Степень (детализация) документированной информации для СУИБ одной организации может отличаться от другой в зависимости от:

— размера организации и ее вида деятельности, процессов, продуктов и услуг;

— сложности процессов и их взаимодействия;

— компетенции персонала.

При создании и обновлении документированной информации организация должна обеспечить соответствующее:

— идентификацию и описание (например: название, дата, автор или ссылка);

— оформление (например: язык, версия ПО, рисунки) и тип носителя (например: электронный, бумажный);

— рассмотрение и утверждение на предмет пригодности для применения и адекватности.

Документированная информация СУИБ должна управляться для обеспечения:

— доступности и пригодности для использования;

— адекватной защиты (например: от потери конфиденциальности, неправильного использования или потери целостности).

Для управления документированной информацией организация должна рассмотреть следующие мероприятия (где применимо):

— распространение информации, доступ, восстановление и использование;

— хранение и сохранность, в том числе сохранение удобочитаемости;

— контроль изменений (например, управление версиями);

— архивирование и уничтожение.

Документированная информация внешнего происхождения, определенная организацией в качестве необходимой для планирования и функционирования СУИБ, должна соответствующим образом определяться и управляться.

Доступ предполагает принятия решения о доступе только на просмотр документированной информации или предоставлении полномочий для просмотра и внесения изменений в документированной информации и т. д.

8. Эксплуатация (2-й этап «РDСА»)

Этап эксплуатации СУИБ обеспечивают следующие мероприятия:

— оперативное планирование и контроль;

— оценка рисков ИБ;

— обработка рисков ИБ.

Оперативное планирование и контроль

Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований ИБ и реализации действий по обработке рисков и возможностей. Организация также должна выполнять планы по достижению целей ИБ.

Организация должна сохранять документированную информацию в объеме, необходимом для получения уверенности в том, что процессы осуществляются так, как запланировано.

Организация должна управлять планируемыми изменениями и рассматривать последствия случайных изменений, принимать меры по смягчению неблагоприятных последствий при необходимости.

Организация должна обеспечить, что переданные на аутсорсинг процессы определены и управляются.

Оценка рисков ИБ

Организация должна выполнять оценку рисков ИБ через запланированные интервалы времени, либо в случае предполагающихся или уже происходящих существенных изменений, с учетом установленных критериев.

Организация должна сохранять документированную информацию о результатах оценки рисков ИБ.

Обработка рисков ИБ

Организация должна реализовать план обработки рисков ИБ. Организация должна сохранять документированную информацию о результатах обработки рисков ИБ.

9. Оценка результативности (3-й этап «РDСА»)

Этап оценки результативности СУИБ обеспечивают следующие мероприятия:

— мониторинг, измерение, анализ и оценка;

— внутренний аудит;

— анализ со стороны руководства.

Мониторинг, измерение, анализ и оценка

Организация должна оценивать состояние ИБ и результативность СУИБ.

Организация должна определить:

— что необходимо отслеживать и измерять, в том числе процессы ИБ и элементы управления;

— методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях обеспечения достоверных результатов;

— когда должны проводиться действия по мониторингу и измерениям;

— кто должен осуществлять мониторинг и измерения;

— когда результаты мониторинга и измерений должны быть проанализированы и оценены;

— кто должен анализировать и оценивать эти результаты.

Организация должна сохранять соответствующую документированную информацию в качестве подтверждения результатов мониторинга и измерений.

Внутренний аудит

Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии СУИБ:

— на предмет соответствия собственным требованиям организации для своей СУИБ и требованиям настоящего стандарта;

— с целью оценки результативности внедрения и поддержки.

Перед проведением аудита организация должна определить программу, критерии и сферу применения для каждого аудита, а также аудиторов.

Программа аудита должна включать методы, распределение ответственности, требования к планированию и отчетности и учитывать важность процессов и результаты предыдущих аудитов.

Организация должна обеспечить:

— объективность и беспристрастность процесса аудита;

— направление результатов аудитов руководству соответствующего уровня;

— хранение документированной информации как свидетельства о программе аудита и результатах аудита.

Анализ со стороны руководства

Высшее руководство должно анализировать СУИБ организации через запланированные интервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности.

Анализ со стороны руководства должен включать следующее:

— статус действий по результатам предыдущих анализов со стороны руководства;

— изменения внешних и внутренних аспектов, которые имеют отношение к СУИБ;

— обратную связь о состоянии ИБ, включая:

• несоответствия и корректирующие действия;

• результаты мониторинга и измерений;

• результаты аудита;

• результат достижения целей ИБ;

— обратную связь от заинтересованных сторон;

— результаты оценки рисков и статус выполнения плана по обработке рисков;

— возможности для постоянного улучшения.

Выводы анализа со стороны руководства должны включать решения, связанные с реализацией возможностей постоянного улучшения, и любые необходимые изменения в СУИБ.

Организация должна сохранять документированную информацию в качестве свидетельства о результатах анализа со стороны руководства.

10. Улучшение (4-й этап «РDСА»)

Этап улучшения СУИБ обеспечивают следующие мероприятия:

— корректирующие действия;

— постоянное улучшение.

Корректирующие действия

При появлении несоответствия организация должна:

— реагировать на несоответствие и в зависимости от обстоятельств принять меры по его управлению и исправлению или проработать последствие;

— оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого:

• изучить несоответствие;

• определить причину несоответствия;

• определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения;

— реализовать любые необходимые корректирующие действия;

— проанализировать результативность выполненных корректирующих действий;

— при необходимости внести изменения в СУИБ.

Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Организация должна сохранять документированную информацию как свидетельства о:

— характере несоответствий;

— любых корректирующих действиях;

— результатах корректирующих действий.

Постоянное улучшение

Организация должна постоянно улучшать пригодность, адекватность и результативность СУИБ.