Применение и сбор требований системы менеджмента информационной безопасности, основанных на стандартах ISO 27001 и ISO 27002 - Информационная безопасность на предприятии

В данной главе будет произведен анализ требований менеджмента информационной безопасности на основе стандартов ISO 27001 и 27002 для российских предприятий. Перед выделением требований, хотелось бы проанализировать эти два стандарта.

Стандарт ISO 27001 включает в себя описание общей модели внедрения и функционирования системы менеджмента информационной безопасности. Цель данного стандарта заключается в обеспечении согласованности менеджмента ИБ вместе с другими системами управления в компании. Другими словами, это значит, что при внедрении других стандартов менеджмента, она может с легкостью применять единую систему аудита.

Система менеджмента информационной безопасности описана в данном стандарте с точки зрения создания, внедрения, эксплуатации, мониторинга и поддержки. При внедрении данной системы, компанию получает средства мониторинга и управления безопасностью, которые помогают снизить различные типы рисков.

В приложениях стандарта ISO 27001 содержаться цели и средства управления информационной безопасности. При внедрении системы менеджмента ИБ, стандарт ISO 27001 использует "цикл СМИБ".

В разделах четыре и восемь стандарта ISO 27001 содержатся основные требования создания СМИБ, который указан на рисунке семь.

Стандарт ISO 27002 "Свод правил по менеджменту информационной безопасности". "Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности". ISO 27002 не определяет, как нужно применять средства управления. Он предоставляет направление для создания системы менеджмента, которое позволяет выбрать средства управления.

В зависимости от технической и физической среды компании, руководство самостоятельно должно выбрать процедуры для внедрения.

Компания должна серьезно относиться к информационным активам, и внедрить СМИБ, основываясь на стандарте ISO 27002. Данный стандарт включает в себя двенадцать разделов, которые описывают средства управления безопасностью такие как:

    - "Политика безопасности; - Организация информационной безопасности; - Управление ресурсами; - Безопасность персонала; - Физическая безопасность и безопасность окружения; - Управление коммуникациями и операциями; - Управление доступом; - Приобретение, разработка и поддержка систем; - Управление инцидентами информационной безопасности; - Управление бесперебойной работой организации; - Соответствие нормативным требованиям".

Стандарт ISO 27001 представляет систему менеджмента информационной безопасности. Стандарт ISO 27002 представляет руководящие принципы по реализации ресурсов управления.

Перейдем к обсуждению системы менеджмента информационной безопасности. На эффективность данной системы может влиять огромное количество различных факторов. Одним из таких факторов может являться риск-менеджмент, которые включает в себя следующие основные понятия:

    - Организационная безопасность; - Физическая безопасность; - Безопасность персонала; - Управление активами; - Безопасность коммуникаций; - Безопасность функционирования; - Безопасность разработки и закупки информационных технологий; - Обеспечение непрерывности бизнеса.

Каждый из разделов включает в себя большое количество подразделов. В качестве примера приведем раздел: управление доступом. Он может включать в себя подразделы: доступ на уровне пользователей, доступ на уровне компонентов операционной системы. В свою очередь каждый из компонентов может обладать своими особенностями, что приводит к сложностям. Для избегания этого необходимо разработать структуру, которая поможет избавиться от проблем. Это можно сделать с помощью системы менеджмента безопасности.

СМБ представлена в виде схемы, которая описывает основные разделы безопасности, состоящая из разделов и подразделов. Специалисты тщательно разрабатывают и описывают систему менеджмента безопасности, так как в будущем она будет неоднократно применяться. Стоит выделить одну из функций данной системы. Она позволяет:

    - Отслеживать ход разработки; - Отслеживать ход внедрения; - Отслеживать эффективность политики, процедур и стандартов, которые принимаются для каждого из разделов безопасности.

Данные элементы также могут быть использованы компанией для контроля поставщиков услуг. При этом данные услуги могут быть разными и варьироваться от внутренних до услуг, переданных на аутсорсинг. СМБ позволяет выделить некие границы документации и инструментарий, который регулирует соответствие. Среди инструментария стоит выделить следующие элементы:

    - Опросники; - Аналитические инструменты; - Инструменты для создания отчетов; - Инструменты для отслеживания работ по устранению недостатков.

Формальное и грамотное построение системы менеджмента информационной безопасности позволить получить отдачу от инвестиций в обеспечение безопасности компании. Это может быть достигнуто путем снижения бизнес - рисков, а именно уменьшения штрафов, которые накладываются на компанию. Многие требования безопасности могут трактоваться по-разному, поэтому необходимо разработать некий документ, где будут предоставлены все требования, необходимые для реализации системы менеджмента информационной безопасности.

В России существует только один единый документ, который описывает цели и задачи обеспечения информационной безопасности Российской Федерации, утвержденный В. В. Путиным. Однако данный документ рассматривает общие черты предоставление ИБ, среди которых:

    - "Соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны. - Информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. - Развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов".

На основе данной доктрины сложно внедрить СМИБ на российское предприятие. В данном дипломе были предоставлены требования, которые необходимы для внедрения системы менеджмента информационной безопасности, основанные на стандартах ISO 27001 и ISO 27002. Проанализировав два стандарта, в данной работе было выделено двенадцать основных разделов СМБ, которые включают в себя подразделы:

    - Политика безопасности; - План менеджмента безопасности; - Управления активами; - Безопасность персонала; - Физическая безопасность; - Безопасность активов; - Управление эксплуатацией; - Управление доступом; - Обеспечение качества, принятых решений; - Управление инцидентами; - Непрерывность бизнеса; - Управление соответствием и аудитом.

Перейдем к описанию каждого из элементов.

Политика безопасности.

    - Политика безопасности информации. Ш Документация; Ш Знакомство с политикой; Ш Просмотр и пересмотр политики.

Наличие политики безопасности компании является обязательным требованием для обеспечения защиты информации. Под политикой компании подразумевается свод требований, которым должно соответствовать предприятие, поддерживающее миссию компании. Документация подразумевает создание руководством четких вопросов по управлению информационной безопасностью, а также правила их реализации. Все сотрудники должны быть ознакомлены с политикой компании. Россия не имеет типового документа по политике безопасности. В британском стандарте BS7799:1995 указаны пункты, которые необходимо включить в политику ИБ.

    - Вводный документ. Данный документ должен подтверждать заинтересованность высшего руководства по обеспечению информационной безопасности; - Организационный документ. Данный документ описывает подразделения, комиссии и группы, которые отвечают за ту или иную работу в информационной безопасности; - Классификационный документ. Данный документ описывае, имеющиеся на предприятии ресурсы и необходимый уровень их защиты; - Документ физической защиты информации; - Документ, описывающий правила разграничения доступа к информации на предприятии; - Документ описания и порядка внедрения различных информационных систем на предприятие.

В случае каких-либо изменений в структуре компании или по истечению какого-либо определенного времени, требуется тщательный пересмотр политики компании на соответствие и соблюдение всех указанных в ней рекомендаций.

План менеджмента безопасности.

    Ш Участие высшего и среднего руководства в обеспечении безопасности; Ш Согласованность информационной безопасности; Ш Определение ролей и обязанностей в менеджменте безопасности; Ш Процесс авторизации и аутентификации; Ш Конфиденциальность; Ш Внешние организации; Ш Аудит.

План менеджмента безопасности описывает требования к основным понятиям безопасности. Необходимо участие руководства, а именно стратегическое управление для успешной реализации программы. Определение бизнес - рисков компании и надзор за предотвращением таковых является функцией руководства. При внедрении безопасности необходима сплоченность всех департаментов компании в группе внедрения безопасности для бизнес-планирования и анализа. Четкое определение ролей и обязанностей по стратегическому управлению и обеспечению безопасности является следующим обязательным разделом. Установление единой политики на средства по обработки данными или организация управления учеными записями пользователей, которая применяется к физическому или к виртуальному доступу. Сотрудники компании должны иметь представления о своих обязанностях и возлагаемой на них ответственности. На основании этого, руководство имеет законные основания, не нарушая прав своих сотрудников, применять действия по обеспечению безопасности предприятия. Руководство должно быть подготовлено к чрезвычайным ситуациям и обладать политикой, при которой организация определяет к каким органам стоит обращаться в случае возникновения той или иной ситуации. Требуется провести независимый аудит сторонней организацией, несмотря на профессионализм специалистов. Это должно проходит каждый определенный промежуток времени, установленный компанией.

Упрощенный план менеджмента безопасности должен быть представлен в виде документа со следующими полями:

    - Фаза; - Менеджер проекта; - Поставщик; - Ответственный за систему; - Внешний или внутренний оценщик; - Внешняя или внутренняя структура безопасности.

Управление активами

    - Ответственность за активы; Ш Инвентаризация; Ш Определение владельца; Ш Политика использования; - Классификация информации; Ш Классификация; Ш Обращение с информацией.

Управление активами - профессиональное управление различными типами ценных бумаг (акциями, облигациями и т. д.) и другими активами (например, недвижимостью), целью которого является получение прибыли инвесторами. "Инвесторами в данном случае могут выступать как компании (страховые компании, пенсионные фонды, корпорации и т. д.), так и частные инвесторы (непосредственно или с помощью коллективного инвестирования)". Инвентаризация подразумевает под собой идентификацию всех активов компании с последующим указанием важности каждого из активов. Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т. е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов. Также стоит выделить некую методологию мониторинга активов, в случае возникновения рисков. За каждым активом должен быть закреплен владелец, который будет распределять права доступа к нему вместе с пользованием. Владельцы активов должны руководствоваться некой политикой, которой они должны следовать при управлении активами. Раздел "управление активами" включает в себя подраздел классификация информации, который указывает на требования для сохранения информации об активах. Требуется разработка классификации информации для эффективного управления рисками. Владелец активов сам производит классификацию и соблюдает данные требования для всей информации, чтобы произвести защиту активов. Также необходима инструкция по обращению с любой информацией, располагаемой в компании в зависимости от ее классификации.

Безопасность персонала

    - Соблюдение безопасности для сотрудников перед приемом на работу; Ш Роли и обязанности; Ш Проверка предоставленной информации; Ш Соблюдение законодательных требований; - Соблюдение безопасности для сотрудников во время их работы; Ш Осведомленность сотрудников; Ш Обучение и тренинги; Ш Наказания.

При внедрении системы безопасности на предприятие огромное внимание уделяется обеспечению безопасности людских ресурсов. Необходимо выделить роли и обязанности, связанные с безопасностью, а затем назначит кадровую службу, которая будет вести учет данных ролей. Перед приемом сотрудника на работу требуется тщательно проанализировать, предоставленную им информацию на наличие ошибок и возможной недосказанности. Заключение сотрудничества на основе договора, имеющего юридическую силу.

Данный раздел включает в себя подраздел, который описывает некоторые требования, необходимые для соблюдения безопасности сотрудника и компании во время работы. Каждый сотрудник должен знать свои обязанности и свою роль в соблюдении политики безопасности компании. Компания должна проводить тренинги по повышению работоспособности и осведомленности сотрудников относительно безопасности. Обучение сотрудников должно обеспечить знание ими требований безопасности, ответственности в соответствии с законодательством, мероприятий по управлению информационной безопасностью, а также знание правильного использования средств обработки информации, например процедур регистрации в системах, использования пакетов программ, прежде чем им будет предоставлен доступ к информации или услугам. Все пользователи должны быть обязаны сообщать определенным лицам об инцидентах и слабых местах в системе безопасности, сбоях в работе программного и аппаратного обеспечения. Необходимо определить и довести до сведения пользователей методы фиксации симптомов сбоев оборудования. Необходимо обеспечивать защиту персональных данных. Необходимо назначить ответственное лицо за обеспечение безопасности персональных данных. Нужно соблюдать "правило чистого рабочего стола", которое требует от пользователя регулярную чистку файлов, связанных с паролями на компьютере. Должны быть установлены санкции за нарушение политики менеджмента безопасности.

Физическая безопасность.

    - Расположение; - Политика входа и выхода; - Безопасность офисов; - Внешние угрозы; - Области с повышенной опасностью.

Обеспечение физической безопасности является главным аспектом безопасности, так как при несоблюдении этой политики можно пострадать физически. В зависимости от территории, в которой находится предприятие, требуется соблюдение политик безопасности. Для уменьшения затрат, требуется ограничить число входов и выходов каждого пользователя в систему. Следует скрывать различные помещения, требуемые специальной степени защиты. Необходимо прописать политики в случае природных катаклизм и технологических аварий, связанных с жизнью человека. Требуется описание политик для мест, которые требуют повышенной меры безопасности.

Безопасность активов.

    - Меры; - Сопровождение; - Использование активов; - Уничтожение актива;

Необходимо физическое ограничение доступа защищаемых помещений или технических средств, чтобы злоумышленник не смог увидеть или проникнуть к активам. При внедрении той или иной системы, например CRM, необходимо не только умение пользование данной системой, но и оказание услуг, системы консалтинга, которая внедрила эту систему. Нужно поддерживать и сопровождать внедренные системы. После обновления того или иного актива и передачи его другому лицу, нужно тщательно удалить всю информацию, связанную с этим активом. Примером может служить передача компьютера руководителя бухгалтеру. Установите стандарты и правила, по которым стоит удалять актив. Следует проводить мониторинг соблюдения введенных стандартов для качественного обеспечения безопасности предприятия.

Управление эксплуатацией.

    - Работоспособность; - Управление тестированием; - Управления логами (журналами событий).

Под понятием работоспособности системы я, на основе проведенных исследований, подразумеваю поддержание системы в рабочем состоянии, несмотря на внешние и внутренние воздействия, благодаря системам восстановления, системам защиты от несанкционированного доступа (НСД) и системам обслуживания.

Необходимо разработать документацию по работе с информационными технологиями на предприятии и выделить основные процедуры, такие как: включение системы, обслуживание, восстановление, пронос данных, шифрование. При нехватке каких-либо знаний в том или ином департаменте, необходимо временно перевести сотрудника в данный отдел для отсутствия прерывания бизнес - процесса компании. Для предотвращения попадания ненужных элементов в среду разработки, необходима аналогичная система, которая поможет ИТ - специалистам проводить тестирование различных элементов, без остановки рабочей системы. Примером такой системы может служить salesforce. com. В наличии данной системы имеется версия Production - рабочая система предприятия, а также sandbox - "песочница", предназначенная для тестирования отдельных объектов, полей, бизнес-правил предприятия. Утверждение политики ведения журналов поможет компании отслеживать изменения записей, относящихся к продажам, сотрудникам и другим ресурсам. Данное отслеживание может быть осуществлено с помощью уведомлений на электронную почту руководства.

Управление доступом.

    - Управление учетными записями; - Управление дополнительными возможностями пользователей; - Пересмотр возможностей пользователя; - Классификация информации.

Необходимо разработать процесс регистрации, аутентификации и входа пользователя в систему. Примером может служить система salesforce. com. При создании пользователя можно задать определенное бизнес - правило, которое будет отправлять уведомление на почту руководителю, который должен утвердить данный контакт или любое другое поле на предприятии. Каждый пользователь системы должен обладать своими привилегиями. Для этого необходимо разработать иерархию ролей компании в системе и предоставлять доступ к определенной информации пользователям, которые занимают ту или иную роль в компании. Предоставление привилегий проводится администраторами, таким образом, они должны каждый промежуток времени сверять настройки пользователя на наличие ошибок и в случае нахождения таковых, немедленно исправлять. При отсутствие данной процедуры пользователю может быть доступна ненужная ему информация о компании, которую он может по ошибке изменить. Необходимо классифицировать информацию, которая будет доступна каждому профилю пользователей.

Обеспечение качества принятых решений.

    - Безопасность информационных технологий; - Точность информации; - Безопасность файлов; - Управление уязвимостями;

Необходимо создать требования, необходимые для обеспечения безопасности ИТ. Данные требования создаются индивидуально, в зависимости от предоставляемых услуг компанией. Необходимо быть уверенным в предоставлении точной информации без "мусора", а также ее отправке. Для этого необходимы сторонние приложения, такие как антивирусные системы, через которые будет проходить поток информации, который будет сверяться и в случаи ошибки редактироваться. Необходимо правильное разделение полей доступа в базе данных предприятия, для безопасности файлов. Это подразумевает наличие отдельных сред, где каждая группа пользователей будет работать обособленно друг от друга. При соблюдении данных правил, ИТ специалисты смогут редактировать систему, не мешая менеджерам или операторам кол-центра выполнять свои обязанности, тем самым не нарушая общие правила бизнес-процесса. Управление уязвимостями, обозначает наличие документа для руководства, где будут описаны все уязвимости программных и аппаратных средств предприятия. ИТ-специалисты необходимы, принимать участие в разработке патчей для ликвидации возможных багов, уязвимостей компании.

Управление инцидентами.

    - Выявление; - Уведомление; - Действие.

Необходимо создание политики для обеспечения выявления инцидентов на предприятии. Например, автоматический мониторинг каждую единицу времени на определенных секторах. Для того, чтобы выявленный инцидент не смог нарушить бизнес-процессы, необходимо вовремя уведомить об этом сотрудников. Чаще всего для этого внедряется департамент Help Desk (техническая поддержка), которая занимается процессом уведомления. Также данный департамент занимается подразделом "дейтсвие" данной рекомендации. Техническая поддержка обязана не только уведомить весь персонал об инциденте, но и сделать все возможное для его ликвидации. В случае невозможности ликвидации, Help Desk должен обратиться в сторонние службы для оказания помощи.

Непрерывность бизнеса.

    - Управление непрерывностью бизнеса; - Оценка угроз; - Оценка рисков; - Сопровождение непрерывности бизнеса.

Необходимо использовать оценку угроз и рисков для четкого управления непрерывность бизнеса. Должна быть разработана политика восстановления бизнеса компании после того или иного инцидента. Необходимо спланировать возможные угрозы предприятия и оценить возможный ущерб. Необходимо определить основный актив компании и выделить вероятность риска, которая понесет за собой возможный ущерб. Подробная информация об оценке рисков описана в главе 2.3. Необходимо разработать план по восстановления работоспособности информационной системы компании для продолжения ведения бизнеса, с минимальными затратами. В программной среде salesforce. com эта функция реализуется с помощью неких событий-триггеров, которые являются генератором ошибок системы, не позволяющие привести к ошибке в системе предприятия.

Управление соответствием и аудитом.

    - Стандарты и кодекс - Защита данных; - Аудит безопасности; - Инструменты аудита.

Необходимо создание общих списка всех, относящихся к компании требований на основе кодекса и различных стандартов. Это необходимо для того, чтобы выделить какими ресурсами и программным обеспечением необходимо пользоваться для соблюдения законности. Необходимо создать политику защиты данных, в которой будет обговорены пределы выноса информации за пределы организации, а также количество и тип возможной выносимой информации. Должен проводиться аудит средств безопасности для обеспечения уверенности руководства в том, что компания хорошо защищена. Он, должен быть осуществлен каждый определенный промежуток времени, сторонней аудиторской компанией. Внутри компании необходимо наличие сотрудника, который будет отвечать за использование программного средства на наличие уязвимостей в системе, с последующей ее ликвидацией. Нужно ограничить доступ к данному программному средству от неуполномоченных лиц для предотвращения нанесения вреда компании.

Внедрение системы менеджмента информационной безопасности - процесс довольно трудоемкий. Однако при соблюдении данных рекомендаций процесс внедрения окажется быстрым, а защита предприятия довольно эффективная.

Похожие статьи




Применение и сбор требований системы менеджмента информационной безопасности, основанных на стандартах ISO 27001 и ISO 27002 - Информационная безопасность на предприятии

Предыдущая | Следующая