Опубликован: 03.08.2009 | Уровень: специалист | Доступ: платный | ВУЗ: Санкт-Петербургский государственный политехнический университет
Лекция 2:

Современные стандарты в области информационной безопасности, использующие концепцию управление рисками

< Лекция 1 || Лекция 2: 123 || Лекция 3 >

ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования"

Разработчики стандарта отмечают, что он был подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). СМИБ (англ. -information security management system; ISMS) определяется как часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Стандарт предполагает использование процессного подхода для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. Он основан на модели "Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рис. 2.3 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам.

На этапе разработки системы менеджмента информационной безопасности организация должна осуществить следующее:

  • определить область и границы действия СМИБ;
  • определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
  • определить подход к оценке риска в организации;
  • идентифицировать риски;
  • проанализировать и оценить риски;
  • определить и оценить различные варианты обработки рисков;
  • выбрать цели и меры управления для обработки рисков;
  • получить утверждение руководством предполагаемых остаточных рисков;
  • получить разрешение руководства на внедрение и эксплуатацию СМИБ;
  • подготовить Положение о применимости.
Этапы построения и использования СМИБ

Рис. 2.3. Этапы построения и использования СМИБ

Этап "внедрение и функционирование системы менеджмента информационной безопасности" предполагает, что организация должна выполнить следующее:

  • разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ;
  • реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;
  • внедрить выбранные меры управления;
  • определить способ измерения результативности выбранных мер управления;
  • реализовать программы по обучению и повышению квалификации сотрудников;
  • управлять работой СМИБ;
  • управлять ресурсами СМИБ;
  • внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ.

Третий этап "Проведение мониторинга и анализа системы менеджмента информационной безопасности" требует:

  • выполнять процедуры мониторинга и анализа;
  • проводить регулярный анализ результативности СМИБ;
  • измерять результативность мер управления для проверки соответствия требованиям ИБ;
  • пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения;
  • проводить внутренние аудиты СМИБ через установленные периоды времени;
  • регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования;
  • обновлять планы ИБ с учетом результатов анализа и мониторинга;
  • регистрировать действия и события, способные повлиять на результативность или функционирование СМИБ.

И наконец, этап "Поддержка и улучшение системы менеджмента информационной безопасности" предполагает, что организация должна регулярно проводить следующие мероприятия:

  • выявлять возможности улучшения СМИБ;
  • предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;
  • передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
  • обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.

Далее в стандарте приводятся требования к документации, которая в частности должна включать положения политики СМИБ и описание области функционирования, описание методики и отчет об оценке рисков, план обработки рисков, документирование связанных процедур. Также должен быть определен процесс управления документами СМИБ, включающий актуализацию, использование, хранение и уничтожение.

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи и записи о выполнении процессов. В качестве примеров называются журналы регистрации посетителей, отчеты о результатах аудита и т.п.

Стандарт определяет, что руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания СМИБ, а также организацию подготовки персонала.

Как уже ранее отмечалось, организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие оценить ее функциональность и соответствие стандарту. А руководство должно проводить анализ системы менеджмента информационной безопасности.

Также должны проводиться работы по улучшению системы менеджмента информационной безопасности: повышению ее результативности и уровня соответствия текущего состояния системы и предъявляемым к ней требованиям.

В приложении к стандарту перечисляются рекомендуемые меры управления, взятые из ранее рассмотренного стандарта ISO/IEC 17799:2005.

< Лекция 1 || Лекция 2: 123 || Лекция 3 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Татьяна Гусельникова
Татьяна Гусельникова
Денис Овчинников
Денис Овчинников
Россия
Павел Артамонов
Павел Артамонов
Россия, Москва, Московский университет связи и информатики, 2016