Современные стандарты в области информационной безопасности, использующие концепцию управление рисками

ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования"

Разработчики стандарта отмечают, что он был подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). СМИБ (англ. -information security management system; ISMS) определяется как часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Стандарт предполагает использование процессного подхода для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. Он основан на модели "Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рис. 2.3 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам.

На этапе разработки системы менеджмента информационной безопасности организация должна осуществить следующее:

• определить область и границы действия СМИБ;
• определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
• определить подход к оценке риска в организации;
• идентифицировать риски;
• проанализировать и оценить риски;
• определить и оценить различные варианты обработки рисков;
• выбрать цели и меры управления для обработки рисков;
• получить утверждение руководством предполагаемых остаточных рисков;
• получить разрешение руководства на внедрение и эксплуатацию СМИБ;
• подготовить Положение о применимости.

Рис. 2.3. Этапы построения и использования СМИБ

Этап "внедрение и функционирование системы менеджмента информационной безопасности" предполагает, что организация должна выполнить следующее:

• разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ;
• реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;
• внедрить выбранные меры управления;
• определить способ измерения результативности выбранных мер управления;
• реализовать программы по обучению и повышению квалификации сотрудников;
• управлять работой СМИБ;
• управлять ресурсами СМИБ;
• внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ.

Третий этап "Проведение мониторинга и анализа системы менеджмента информационной безопасности" требует:

• выполнять процедуры мониторинга и анализа;
• проводить регулярный анализ результативности СМИБ;
• измерять результативность мер управления для проверки соответствия требованиям ИБ;
• пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения;
• проводить внутренние аудиты СМИБ через установленные периоды времени;
• регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования;
• обновлять планы ИБ с учетом результатов анализа и мониторинга;
• регистрировать действия и события, способные повлиять на результативность или функционирование СМИБ.

И наконец, этап "Поддержка и улучшение системы менеджмента информационной безопасности" предполагает, что организация должна регулярно проводить следующие мероприятия:

• выявлять возможности улучшения СМИБ;
• предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;
• передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
• обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.

Далее в стандарте приводятся требования к документации, которая в частности должна включать положения политики СМИБ и описание области функционирования, описание методики и отчет об оценке рисков, план обработки рисков, документирование связанных процедур. Также должен быть определен процесс управления документами СМИБ, включающий актуализацию, использование, хранение и уничтожение.

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи и записи о выполнении процессов. В качестве примеров называются журналы регистрации посетителей, отчеты о результатах аудита и т.п.

Стандарт определяет, что руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания СМИБ, а также организацию подготовки персонала.

Как уже ранее отмечалось, организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие оценить ее функциональность и соответствие стандарту. А руководство должно проводить анализ системы менеджмента информационной безопасности.

Также должны проводиться работы по улучшению системы менеджмента информационной безопасности: повышению ее результативности и уровня соответствия текущего состояния системы и предъявляемым к ней требованиям.

В приложении к стандарту перечисляются рекомендуемые меры управления, взятые из ранее рассмотренного стандарта ISO/IEC 17799:2005.