Стандарт BS ISO/IEC 27001:2005 описывает модель системы управления информационной безопасностью (СМИБ) и предлагает набор требований к организации ИБ на предприятии без привязки к способам реализации, которые выбираются исполнителями организации.

В стандарте предложено применение модели PDCA (Plan-Do-Check-Act) к жизненному циклу СМИБ, который включает разработку, внедрение, эксплуатацию, контроль, анализ, поддержку и совершенствование (Рисунок 1).

Plan (Планирование) - фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;

Do (Действие) - этап реализации и внедрения соответствующих мер;

Check (Проверка) - фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

Act (Улучшения) - выполнение превентивных и корректирующих действий.

Решение о создании (и последующей сертификации) СМИБ принимается высшим руководством организации. Это демонстрирует поддержку и подтверждение руководством ценности СМИБ для бизнеса. Руководство организации инициирует создание группы по планированию СМИБ.

Группа, ответственная за планирование СМИБ, должна включать:

· представителей высшего руководства организации;

· представителей бизнес-подразделений, охватываемых СМИБ;

· специалистов подразделений ИБ;

· сторонних консультантов (при необходимости).

Комитет по ИБ обеспечивает поддержку эксплуатации СМИБ и ее непрерывного совершенствования.

Рабочая группа должна руководствоваться нормативно-методической базой, как в отношении создания СМИБ, так и относящейся к сфере деятельности организации, и, конечно, общей системой государственных законов.

Нормативная база по созданию СМИБ:

· ISO/IEC 27000:2009 Словарь и определения.

· ISO/IEC 27001:2005 Общие требования к СМИБ.

· ISO/IEC 27002:2005 Практическое руководство по управлению информационной безопасностью.

· ISO/IEC 27003:2010 Практическое руководство по внедрению СМИБ.

· ISO/IEC 27004:2009 Метрики (Измерения) ИБ.

· ISO/IEC 27005:2011 Руководство по менеджменту рисков ИБ.

· ISO/IEC Guide 73:2002, Risk management - Vocabulary - Guidelines for use in standards.

· ISO/IEC 13335-1:2004, Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security managment.

· ISO/IEC TR 18044 Information technology - Security techniques - Information security incident management.

· ISO/IEC 19011:2002 Guidelines for quality and / or environmental management systems auditing.

· Серия методик Британского института стандартов по созданию СМИБ (ранее: документы серии PD 3000).

Процесс создания СМИБ состоит из 4 этапов:

1 этап. Планирование СМИБ.

Установление политики, целей, процессов и процедур, относящихся к управлению рисками и защите информации, в соответствии с общей политикой и целями организации.

a) Определение области применения и границ СМИБ:

· Описание вида деятельности и бизнес-целей организации;

· Указание границ систем, охватываемых СМИБ;

· Описание активов организации (виды информационных ресурсов, программно-технические средства, персонал и организационная структура);

· Описание бизнес-процессов, использующих защищаемую информацию.

Описание границ системы включает:

Описание существующей структуры организации (с возможными изменениями, которые могут возникнуть в связи с разработкой информационной системы).

Ресурсы информационной системы, подлежащие защите (вычислительная техника, информация, системное и прикладное ПО). Для их оценки должна быть выбрана система критериев и методика получения оценок по этим критериям (категорирования).

Технология обработки информации и решаемые задачи. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.

Схема информационной системы организации и поддерживающей инфраструктуры.

Как правило, на этом этапе составляется документ, в котором фиксируют границы информационной системы, перечисляют информационные ресурсы компании, подлежащие защите, приводят систему критериев и методики для оценки ценности информационных активов компании.

b) Определение политики в отношении СМИБ организации (расширенная версия ПБ).

· Цели, направления и принципы деятельности в отношении защиты информации;

· Описание стратегии (подходов) управления рисками в организации, структуризация контрмер по защите информации по видам (правовые, организационные, аппаратно-программные, инженерно-технические);

· Описание критериев значимости риска;

· Позиция руководства, определение периодичности проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядка обучения всех категорий пользователей информационной системы по вопросам ИБ.

c) Определение подхода к оценке рисков в организации.

Методология оценки риска выбирается в зависимости от СМИБ, установленных деловых требований защиты информации, законодательных и нормативных требований.

Выбор методологии оценки рисков зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер по защите информации. В частности различают базовые, а также повышенные или полные требования к режиму ИБ.

Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Такие требования применяются, как правило, к типовым проектным решениям. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как: вирусы, сбои оборудования, несанкционированный доступ и т. д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно. Зарубежные стандарты в этой области ISO 27002, BSI, NIST и др.

В случаях, когда нарушения режима ИБ ведут к тяжелым последствиям, предъявляются дополнительно повышенные требования.

Для формулирования дополнительных повышенных требований, необходимо:

Определить ценность ресурсов;

К стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;

Оценить вероятности угроз;

Определить уязвимости ресурсов;

Оценить потенциальный ущерб от воздействий злоумышленников.

Необходимо подобрать такую методику оценки рисков, которую можно было бы использовать с минимальными изменениями на постоянной основе. Есть два пути: использовать существующие на рынке методики и инструментарий для оценки рисков или создать свою методику, адаптированную к специфике компании и охватываемой СМИБ области деятельности.

Последний вариант наиболее предпочтителен, поскольку пока большинство существующих на рынке продуктов, реализующих ту или иную методику анализа рисков, не отвечают требованиям Стандарта. Типичными недостатками таких методик являются:

· стандартный набор угроз и уязвимостей, который зачастую невозможно изменить;

· принятие в качестве активов только программно-технических и информационных ресурсов - без рассмотрения человеческих ресурсов, сервисов и других важных ресурсов;

· общая сложность методики с точки зрения ее устойчивого и повторяющегося использования.

· Критерии принятия рисков и приемлемые уровни риска (должны базироваться на достижении стратегических, организационных и управленческих целей организации).

d) Выявление рисков.

· Идентификация активов и их владельцев

Информационные входные данные;

Информационные выходные данные;

Информационные записи;

Ресурсы: люди, инфраструктура, оборудование, программное обеспечение, инструменты, услуги.

· Идентификация угроз (в стандартах по оценке рисков зачастую предлагаются классы угроз, которые можно дополнять и расширять).

· Идентификация уязвимостей (также существуют списки наиболее распространенных уязвимостей, на которые можно опираться при анализе своей организации).

· Определение ценности активов (возможные последствия от потери конфиденциальности, целостности и доступности активов). Информация о ценности актива может быть получена от его владельца или же от лица, которому владелец делегировал все полномочия по данному активу, включая обеспечение его безопасности.

e) Оценка риска.

· Оценка ущерба, который может быть нанесен бизнесу от потери конфиденциальности, целостности и доступности активов.

· Оценка вероятности реализации угроз через существующие уязвимости с учетом имеющихся средств управления ИБ и оценки возможного наносимого ущерба;

· Определение уровня риска.

Применение критериев принятия риска (приемлемый/требующий обработки).

f) Обработка рисков (в соответствии с выбранной стратегией управления рисками).

Возможные действия:

Пассивные действия:

Принятие риска (решение о приемлемости полученного уровня риска);

Уклонение от риска (решение об изменении деятельности, вызывающей данный уровень риска – вынесение веб-сервера за границы локальной сети);

Активные действия:

Уменьшение риска (применением организационных и технических контрмер);

Передача риска (страхование (пожара, кражи, ошибок в ПО)).

Выбор возможных действий зависит от принятых критериев рисков (задается приемлемый уровень риска, уровни риска, которые могут быть понижены средствами управления ИБ, уровни риска, при которых рекомендуется отказаться или преобразовать вид деятельности, которая его вызывает, и риски, которые желательно передать другим сторонам).

g) Выбор целей и средств управления для обработки риска.

Цели и средства управления должны реализовывать стратегию управления рисками, учитывать критерии для принятия рисков и законодательные, нормативные и др. требования.

Стандарт ИСО 27001-2005 предлагает список целей и средств управления в качестве основы для построения плана обработки рисков (требований к СМИБ).

План обработки рисков содержит перечень первоочередных мероприятий по снижению уровней рисков с указанием:

· лиц, ответственных за реализацию данных мероприятий и средств;

· сроков реализации мероприятий и приоритетов их выполнения;

· ресурсов для реализации таких мероприятий;

· уровней остаточных рисков после внедрения мероприятий и средств управления.

Принятие плана обработки рисков и контроль за его выполнением осуществляет высшее руководство организации. Выполнение ключевых мероприятий плана является критерием, позволяющим принять решение о вводе СМИБ в эксплуатацию.

На данном этапе производится обоснование выбора различных контрмер по ЗИ, структурированных по нормативно-правовому, организационно-управленческому, технологическому и аппаратно-программному уровням обеспечения информационной безопасности. (Далее комплекс контрмер реализуется в соответствии с выбранной стратегией управления информационными рисками). При полном варианте анализа рисков, для каждого риска дополнительно оценивается эффективность контрмер.

h) Утверждение руководством предлагаемого остаточного риска.

i) Получение разрешения руководства на реализацию и ввод в эксплуатацию СМИБ.

j) Заявление о применимости (в соответствии с ИСО 27001-2005).

Датой ввода СМИБ в эксплуатацию является дата утверждения высшим руководством компании Положения о применимости средств управления, которое описывает цели и средства, выбранные организацией для управления рисками:

· средства управления и контроля, выбранные на этапе обработки рисков;

· уже существующие в организации средства управления и контроля;

· средства, обеспечивающие выполнение требований законодательства и требований регулирующих организаций;

· средства, обеспечивающие выполнение требований заказчиков;

· средства, обеспечивающие выполнение общекорпоративных требований;

· любые другие соответствующие средства управления и контроля.

2 этап. Реализация и эксплуатация СМИБ.

Для внедрения и эксплуатации политики ИБ, средств управления, процессов и процедур в области ИБ выполняются следующие действия:

a) Разработка плана обработки рисков (описание запланированных средств управления, ресурсов (программные, аппаратные, персонал), которые требуются для их реализации, поддержки, контроля, и обязанностей руководства по управлению рисками ИБ (разработка документов на этапе планирования, поддержка целей ИБ, определение ролей и ответственности, обеспечение необходимыми ресурсами для создания СМИБ, аудит и анализ).

b) Распределение финансирования, ролей и ответственности по реализации плана обработки рисков.

c) Внедрение запланированных средств управления.

d) Определение контрольных показателей эффективности (метрик) средств управления, методов их измерения, которые обеспечат сравнимые и воспроизводимые результаты.

e) Повышение квалификации, осведомленности персонала в области ИБ в соответствии с их трудовыми обязанностями.

f) Управление эксплуатацией СМИБ, управление ресурсами для поддержки в рабочем состоянии, контроля и улучшения СМИБ.

g) Внедрение процедур и других средств управления для быстрого обнаружения и реагирования на инциденты ИБ.

3 этап.Постоянный контроль и анализ функционирования СМИБ.

Этап предполагает проведение оценки или измерений ключевых показателей эффективности процессов, анализ результатов и предоставление отчетов руководству для анализа и включает:

а) Проведение постоянного контроля и анализа (позволяет быстро обнаруживать ошибки функционирования СМИБ, быстро выявлять и реагировать на инциденты безопасности, разграничить роли персонала и автоматизированных систем в СМИБ, предотвращать инциденты безопасности за счет анализа необычного поведения, определять результативность обработки инцидентов безопасности).

b) Проведение регулярного анализа результативности СМИБ (анализируются соответствие политике и целям СМИБ, аудиты, ключевые показатели эффективности, предложения и реакция заинтересованных сторон).

c) Измерение эффективности средств управления для проверки выполнения требований защиты

d) Периодическая переоценка рисков, анализ остаточных рисков и определение приемлемых уровней риска при каких-либо изменениях в организации (бизнес-целей и процессов, выявленных угроз, новых выявленных уязвимостей и т.д.)

e) Периодическое проведение внутренних аудитов СМИБ.

Аудит СМИБ – проверка соответствия выбранных контрмер целям и задачам бизнеса, декларированным в ПБ организации, по его результатам проводится оценка остаточных рисков и, в случае необходимости, их оптимизация.

f) Регулярный анализ области применения и тенденции СМИБ руководством.

g) Обновление планов управления рисками для учета результатов контроля и анализа.

h) Ведение журналов регистрации событий, оказавших негативное влияние на результативность или качество работы СМИБ.

4 этап. Поддержка и улучшение СМИБ.

По результатам внутреннего аудита СМИБ и анализа со стороны руководства разрабатываются и внедряются корректирующие и предупреждающие действия, направленные на постоянное улучшение СМИБ:

a) Совершенствование политики ИБ, целей защиты информации, проведение аудита, анализ наблюдаемых событий.

b) Разработка и реализация корректирующих и предупреждающих действий для устранения несоответствий СМИБ требованиям.

c) Контроль улучшений СМИБ.

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

Разработчики стандарта отмечают, что он был подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). СМИБ (англ. - information security management system; ISMS) определяется как часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Стандарт предполагает использование процессного подхода для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. Он основан на модели «Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)» (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рис. 4.4 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам.

Рис. 4.4.

На этапе «Разработка системы менеджмента информационной безопасности» организация должна осуществить следующее:

• - определить область и границы действия СМИБ;
• - определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
• - определить подход к оценке риска в организации;
• - идентифицировать риски;
• - проанализировать и оценить риски;
• - определить и оценить различные варианты обработки рисков;
• - выбрать цели и меры управления для обработки рисков;
• - получить утверждение руководством предполагаемых остаточных рисков;
• - получить разрешение руководства на внедрение и эксплуатацию СМИБ;
• - подготовить Положение о применимости.

Этап «Внедрение и функционирование системы менеджмента информационной безопасности» предполагает, что организация должна:

• - разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ;
• - реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;
• - внедрить выбранные меры управления;
• - определить способ измерения результативности выбранных мер управления;
• - реализовать программы по обучению и повышению квалификации сотрудников;
• - управлять работой СМИБ;
• - управлять ресурсами СМИБ;
• - внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ.

Третий этап «Проведение мониторинга и анализа системы менеджмента информационной безопасности» требует:

• - выполнять процедуры мониторинга и анализа;
• - проводить регулярный анализ результативности СМИБ;
• - измерять результативность мер управления для проверки соответствия требованиям ИБ;
• - пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения;
• - проводить внутренние аудиты СМИБ через установленные периоды времени;
• - регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности сс функционирования и определения направлений совершенствования;
• - обновлять планы ИБ с учетом результатов анализа и мониторинга;
• - регистрировать действия и события, способные повлиять па результативность или функционирование СМИБ.

И наконец, этап «Поддержка и улучшение системы менеджмента информационной безопасности» предполагает, что организация должна регулярно проводить следующие мероприятия:

• - выявлять возможности улучшения СМИБ;
• - предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;
• - передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
• - обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.

Далее в стандарте приводятся требования к документации, которая должна включать положения политики СМИБ и описание области функционирования, описание методики и отчет об оценке рисков, план обработки рисков, документирование связанных процедур. Также должен быть определен процесс управления документами СМИБ, включающий актуализацию, использование, хранение и уничтожение.

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи и записи о выполнении процессов. В качестве примеров называются журналы регистрации посетителей, отчеты о результатах аудита и т. гг

Стандарт определяет, что руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания СМИБ, а также организацию подготовки персонала.

Как уже ранее отмечалось, организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие оценить ее функциональность и соответствие стандарту. А руководство должно проводить анализ системы менеджмента информационной безопасности.

Также должны проводиться работы по улучшению системы менеджмента информационной безопасности: повышению ее результативности и уровня соответствия текущего состояния системы и предъявляемым к ней требованиям.

Разработчики стандарта отмечают, что он был подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). СМИБ (англ. -information security management system; ISMS ) определяется как часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Стандарт предполагает использование процессного подхода для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. Он основан на модели "Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рис. 2.3 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам.

На этапе разработки системы менеджмента информационной безопасности организация должна осуществить следующее:

• определить область и границы действия СМИБ;
• определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
• определить подход к оценке риска в организации;
• идентифицировать риски;
• проанализировать и оценить риски;
• определить и оценить различные варианты обработки рисков;
• выбрать цели и меры управления для обработки рисков;
• получить утверждение руководством предполагаемых остаточных рисков ;
• получить разрешение руководства на внедрение и эксплуатацию СМИБ;
• подготовить Положение о применимости.

Рис. 2.3.

Этап "внедрение и функционирование системы менеджмента информационной безопасности" предполагает, что организация должна выполнить следующее:

• разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ;
• реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;
• внедрить выбранные меры управления;
• определить способ измерения результативности выбранных мер управления;
• реализовать программы по обучению и повышению квалификации сотрудников;
• управлять работой СМИБ;
• управлять ресурсами СМИБ;
• внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ.

Третий этап "Проведение мониторинга и анализа системы менеджмента информационной безопасности" требует:

• выполнять процедуры мониторинга и анализа;
• проводить регулярный анализ результативности СМИБ;
• измерять результативность мер управления для проверки соответствия требованиям ИБ;
• пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения;
• проводить внутренние аудиты СМИБ через установленные периоды времени;
• регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования;
• обновлять планы ИБ с учетом результатов анализа и мониторинга;
• регистрировать действия и события, способные повлиять на результативность или функционирование СМИБ.

И наконец, этап "Поддержка и улучшение системы менеджмента информационной безопасности" предполагает, что организация должна регулярно проводить следующие мероприятия:

• выявлять возможности улучшения СМИБ;
• предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;
• передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
• обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.

Далее в стандарте приводятся требования к документации, которая в частности должна включать положения политики СМИБ и описание области функционирования, описание методики и отчет об оценке рисков, план обработки рисков, документирование связанных процедур. Также должен быть определен процесс управления документами СМИБ, включающий актуализацию, использование, хранение и уничтожение.

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи и записи о выполнении процессов. В качестве примеров называются журналы регистрации посетителей, отчеты о результатах аудита и т.п.

Стандарт определяет, что руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания СМИБ, а также организацию подготовки персонала.

Как уже ранее отмечалось, организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие оценить ее функциональность и соответствие стандарту. А руководство должно проводить анализ системы менеджмента информационной безопасности.

Также должны проводиться работы по улучшению системы менеджмента информационной безопасности: повышению ее результативности и уровня соответствия текущего состояния системы и предъявляемым к ней требованиям.

Шахалов Игорь Юрьевич

К вопросу об интегрировании систем менеджмента качества и информационной безопасности

Аннотация: рассмотрены международные стандарты ИСО 27001 и ИСО 9001. Проведен анализ сходств и различий системы менеджмента качества и системы менеджмента информационной безопасности. Показана возможность интегрирования системы менеджмента качества и системы менеджмента информационной безопасности. Приведены основные этапы построения и внедрения интегрированной системы менеджмента информационной безопасности. Показаны преимущества интегрированного подхода.

Ключевые слова: системы менеджмента информационная безопасность, интегрированные системы менеджмента, СМИБ, СМК, ИСО 27001.

Наталья Олеговна

Введение

В современном мире с появлением распространенных и удобных технических устройств обозначилась довольно остро проблема защиты информации. Наряду с выпуском качественной продукции или оказанием услуг предприятиям и организациям важно сохранять нужную информацию в тайне от конкурентов, чтобы оставаться на выгодных позициях на рынке. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки.

Таким образом, лидерами на рынке становятся организации, придерживающиеся лучших мировых практик, содержащих требования, руководства по внедрению систем управления бизнес-процессами организации. Лучшими стандартами по разработке, внедрению, мониторингу и улучшению таких систем являются документы Международной Организации по стандартизации (ISO). Особое внимание необходимо уделить стандартам серий ISO 900x и ISO 2700x, в которых собраны лучшие практики по внедрению системы менеджмента качества (СМК) и системы менеджмента информационной безопасности (СМИБ) .

Система менеджмента качества, внедренная в соответствии с требованиями стандарта ISO 9001, давно признана неотъемлемым атрибутом успешной компании, производящей высококачественную продукцию или оказывающей услуги высокого класса. Сегодня наличие сертификата соответствия является одновременно эффективным маркетинговым решением и механизмом контроля процессов производства . Аудит СМК является развитым направлением бизнеса.

Ежедневно усиливается зависимость успешной деятельности компании от корпоративной системы защиты информации. Это объясняется увеличением объема жизненно важных данных, обрабатываемых в корпоративной информационной системе. Информационные системы усложняются, растет и число уязвимостей, обнаруживаемых в них. Аудит СМИБ позволяет оценить текущее состояние безопасности функционирования корпоративной информационной системы,

оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы компании .

Так как стандарт ISO 9001 давно занял лидирующее положение по количеству сертификатов в мире, а стандарт ISO 27001 показывает тенденцию к возрастанию сертификации системы менеджмента информационной безопасности, целесообразно рассмотреть возможное взаимодействие и интеграцию СМК и СМИБ.

Интегрированиестандартов

На первый взгляд, менеджмент качества и информационная безопасность - совершенно различные области. Однако на практике они тесно связанны и образуют одно целое (Рисунок 1). Удовлетворение потребностей клиентов, составляющее объективную цель качества, с каждым годом все больше зависит от доступности информационных технологий и от безопасности данных, для поддержания которых и используется стандарт ISO 27001. С другой стороны, стандарт ISO 9001 точно соответствует корпоративным целям организации, помогая обеспечивать менеджмент информационной безопасности. Благодаря комплексному подходу ISO 27001 может быть эффективно интегрирован в существующие СМК или осуществляться вместе с СМК.

сти (ISO 27001) и управления ИТ-услугами (ISO 20000) имеют аналогичную структуру и процессный подход. Это дает синергию, которая окупается: на практике интегрированная система менеджмента на текущую эксплуатацию экономит от 20 до 30 процентов от общего объема расходов на оптимизацию системы, проверок и ревизий .

Стандарты информационной безопасности и управления качеством направлены на постоянное совершенствование в соответствии с моделью Plan-Do-Check-Act (PDCA, «планирование - осуществление - проверка - действие»), известной как «цикл Деминга» (см. рис. 2) . Кроме того, они похожи по своей структуре, как показано в таблице соответствия в приложении С стандарта ISO 27001. В обоих стандартах определены понятия процессного подхода, области действия, требования к системе и документации, а также административная ответственность. В обоих случаях структура заканчивается внутренним аудитом, анализом со стороны руководства и улучшением системы. В этом обе системы взаимодействуют. Например, ISO 9001 требует управления несоответствующей продукцией. Аналогично, в стандарте ISO 27001 существует требование по управлению инцидентами для устранения сбоев.

Рис. 1. Сферы взаимодействия и схожести СМК и СМИБ

Рис. 2. Цикл Деминга

Более 27 200 организаций самых различных отраслей в более чем 100 странах мира сертифицированы на соответствие ISO 9001:2008 по управлению качеством. В зависимости от рынка и требований законодательства, многие организации все чаще вынуждены иметь дело с ИБ. В этой связи, интеграция системы управления предлагает реальные возможности. Комплексный подход также интересен для компаний, которые не использовали любой процесс управления до сих пор. Стандарты ИСО качества (ISO 9001), охраны окружающей среды (ISO 14000), информационной безопасно-

Различия между стандартами полезно дополняют друг друга, что решительно способствует повышению делового успеха. Например, ISO 9001 требует определения корпоративных целей, ориентированности на клиента и измеримости, в какой степени цели и задачи выполнены. Это три вопроса, которые не находятся в центре интересов ISO 27001. В свою очередь, этот стандарт придает первостепенное значение управлению рисками для поддержания непрерывности бизнеса и предлагает подробную помощь в реализации СМИБ. По сравнению

с этим, ISO 9001 является в большей степени теоретическим стандартом.

ISO 27001 - стандарт не только для ИТ

Многие считают, что стандарт ISO 27001 предназначен только для ИТ-процессов, однако на самом деле это не так. Основополагающим пунктом по внедрению СМ И Б стандарта ISO 27001 служит определение активов .

■ "lilltpHiimiir-J. » iJilllF.lEL^OIU.IC.

г т^цдкпиниж ц нетувк^тнслщс tEp.tna.

» ■irreiiKinfundu «GcTMHiiociv

* КЯДРОМК:

■ JI!l"|"l"L>4_l]Jil"HIIL,k

» D|KtttcCcU H «patitU.

» jimii 14: ii |vju7JIIIM.

Рис. 3. Виды активов

Под активом понимается все, что представляет для компании ценность (Рисунок 3). То есть активом могут быть: человеческие ресурсы, инфраструктура, инструменты, оборудование, средства коммуникации, службы и любые другие активы, включая услуги по поставке закупаемой продукции. Исходя из процессов, компания определяет, какие у нее есть активы и какие активы задействованы в критичных процессах, производит оценку ценности активов. И уже только после этого производится оценка рисков по всем ценным активам. Таким образом, СМИБ предназначена не только для цифровой информации, которая обрабатывается в автоматизированной системе. Например, некоторые из наиболее критичных процессов связанны

Подготовка

планов мероприятии

2 Проверка H:i соответствие

с хранением печатных копий информации, что также учтено в ISO 27001. СМИБ охватывает все способы, с помощью которых может храниться важная информация в вашей компании: начиная от того, как ваши электронные письма защищены, заканчивая тем, где в здании хранятся личные дела сотрудников.

Поэтому огромное заблуждение считать, что раз стандарт направлен на построение системы менеджмента информационной безопасности, то это может относиться только к данным, хранящимся в компьютере. Даже в наш цифровой век все еще много информации отражено на бумажных носителях, которые тоже должны быть надежно защищены.

ISO 9001 не может удовлетворять потребностям компании в ИБ, поскольку он узко направлен на качество продукции. Поэтому очень важно внедрять в компании ISO 27001. На первый взгляд специалисту может показаться, что оба стандарта очень общие, и не имеют конкретики. Однако это не так: в стандарте ISO 27001 описан практически каждый шаг по внедрению и контролю функционирования СМИБ (Рисунок 4).

Основные этапы построения системы менеджмента информационной безопасности

Основные этапы построения СМИБ проиллюстрированы на рисунке 4 . Рассмотрим их подробнее.

Этап 1. Подготовка планов мероприятий. На данном этапе специалисты осуществляют сбор организационно-распорядительных документов (ОРД) и других рабочих материалов,

3 А тип нормальных ii ОРД

4 Анализ ii оценм рисков 11Б

Внедрение

5 РязраОогхя и <> РаэряОопв комплексных & 00\*ieiitii:

радиация п ланов ■-> норма товнш н -> мероприятии -> CfftpJOTHW*

мероприятия пн>ПБ ОРД поенпжению

Формирование 10 AiUtuin оценка результатов инОрснЕшС"ММБ

Рис. 4. Этапы построения СМИБ

касающихся построения и функционирования информационных систем компании, планируемых к использованию механизмов и средств обеспечения ИБ. Кроме того, составляются, согласуются и утверждаются у руководства компании планы мероприятий по этапам работ.

Этап 2. Проверка на соответствие ISO/ IEC 27001:2005. Интервьюирование и анкетирование менеджеров и сотрудников подразделений. Анализ СМИБ компании на соответствие требованиям стандарта ISO/IEC 27001:2005.

Этап 3. Анализ нормативных и организационно-распорядительных документов, опирающихся на организационную структуру компании. По его результатам определяется защищаемая область действия (ОД) и разрабатывается эскиз политики ИБ компании.

Этап 4. Анализ и оценка рисков ИБ. Разработка методики по управлению рисками компании и их анализу. Анализ информационных ресурсов компании, в первую очередь ЛВС, с целью выявления угроз и уязвимостей защищаемых активов ОД. Инвентаризация активов. Проведение консультаций для специалистов компании и оценка соответствия фактического и необходимого уровня безопасности. Расчет рисков, определение текущего и допустимого уровня риска для каждого конкретного актива. Ранжирование рисков, выбор комплексов мероприятий по их снижению и расчет теоретической эффективности внедрения .

Этап 5. Разработка и реализация планов мероприятий по ИБ. Разработка положения о применимости контролей в соответствии с ISO/IEC 27001:2005. Разработка плана учета и устранения рисков. Подготовка отчетов для руководителя компании.

Этап 6. Разработка нормативных и ОРД. Разработка и утверждение окончательной политики И Б и соответствующих ей положений (частных политик). Разработка стандартов, процедур и инструкций, обеспечивающих нормальное функционирование и эксплуатацию СМИБ компании.

Этап 7. Внедрение комплексных мероприятий по снижению рисков ИБ и оценка их эффективности в соответствии с утвержденным руководством планом обработки и устранения рисков.

Этап 8. Обучение персонала. Разработка планов мероприятий и внедрение программ по обучению и повышению компетенции сотрудников компании с целью эффективного донесения принципов ИБ до всех сотрудников и

в первую очередь тех, кто работает в структурных подразделениях, обеспечивающих ключевые бизнес-процессы.

Этап 9. Формирование отчетности. Систематизация результатов обследования и подготовка отчетности. Представление результатов работ для руководителей компании. Подготовка документов к лицензированию на соответствие ISO/IEC 27001:2005 и передача их в сертифицирующую организацию.

Этап 10. Анализ и оценка результатов внедрения СМИБ на основании методики, оценивающей надежность функционирования СМИБ компании. Разработка рекомендаций по совершенствованию системы управления ИБ компании.

Анализируя каждый этап внедрения СМИБ, можно сказать, что ISO 27001 имеет четкую структуру и требования, которые позволят выстроить работающую систему, в которой будет взаимодействие на всех нужных уровнях. Но нельзя забывать, что основное отличие СМИБ и СМК в том, что первая система сосредоточена на информационной безопасности.

Важность информационной безопасности в современном мире

Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности .

Руководители компаний должны осознать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими. В этом им может помочь внедрение СМИБ, которая по своей структуре имеет потенциал к развитию, прозрачность управления, гибкость к любым изменениям. Наряду с элементами управления для компьютеров и компьютерных сетей стандарт ISO 27001 уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, нормативным требованиям, в то же время отдельные технические вопросы детализированы в других стандартах серии

ИСО 27000 . Преимуществ внедрения в компанию СМИБ очень много, часть из них представлена на рис. 5.

Глбкшль Масш пОДр>ч;ь1[ч.-ть

Снижение ¡juvum

HiKiinimi n II11 \ 11 Ч"Г 1111 111 пуднТ

Пртртшалъ уирдоктл

" Ji|m| ill p.Ki u:

ажщтня№ цн^ст

Рис. 5. Преимущества внедрения системы менеджмента информационной безопасности

Следует указать на преимущества ISO

Демонстрация компетентности безопасности. ISO 27001 представляет собой практическое руководство для организации, которое помогает сформулировать требования безопасности для обеспечения требуемого уровня защищенности и выполнения конкретных целей безопасности. Особенно важно организациям быть компетентными в четырех областях управления безопасностью, включая: определение и оценку активов компании, оценку рисков и определения критериев приема риска, управление и принятие этих пунктов, и постоянное улучшение общей программы безопасности организации.

Обеспечение уверенности клиентов. ISO 27001 обеспечивает независимое доказательство того, что программы корпоративного управления поддерживаются лучшими, передовыми, международными практиками. Сертификация на соответствие ISO 27001 обеспечивает спокойствие корпорациям, стремящимся продемонстрировать добросовестность клиентам, акционерам и потенциальным партнерам, а главное, показать, что в компании успешно реализована надежная система менеджмента информационной безопасности. Для многих серьезно регулируемых отраслей, таких как финансы или Интернет-услуги, выбор поставщика может

быть ограничен теми организациями, которые уже сертифицированы по ISO 27001.

Более эффективное использование ресурсов. Благодаря использованию процессного подхода возможна оптимизация процессов, происходящих в компании. Что влечет за собой уменьшение использования ресурсов, например, времени.

Постоянное улучшение. СМИБ использует PCDA модель, что позволяет регулярно проверять состояние всей системы, проводить анализ и совершенствовать систему управления

1. Имидж, бренд. Сертификация на соответствие ISO 27001 открывает перед компанией широкие возможности: выход на международный уровень, новые партнерства, большее количество клиентов, новые контракты, успех в тендерах. Наличие СМИБ в компании - это показатель высокого уровня развития.

2. Гибкость СМИБ. Независимо от изменений процессов, новых технологий, основа структуры СМИБ остается действенной. СМИБ достаточно легко подстраивается под нововведения, путем модернизации существующих и внедрения новых контрмер.

3. Масштабируемость внедрения стандарта. Так как ISO 27001 предполагает определение области действия, это позволяет сертифицировать лишь часть процессов. Можно начать внедрять СМИБ в наиболее значимую для компании ОД, а уже позже расширять.

4. Аудит. Многие российские компании воспринимают аудиторские работы как катастрофу. ISO 27001 показывает международный подход к проведению аудитов: прежде всего заинтересованность компании в том, чтобы действительно соответствовать стандартам, а не делать сертификацию кое-как, лишь «для галочки».

5. Регулярные внутренние или внешние аудиты позволяют исправлять нарушения, совершенствовать СМИБ, значительно снизить риски. В первую очередь, это нужно компании для собственного спокойствия, что у них все в порядке и риски убытков минимизированы. А уже второстепенно - сертификат соответствия, который подтверждает для партнеров или клиентов, что этой компании можно доверять.

6. Прозрачность управления. Использование стандарта ISO 27001 дает достаточно четкие инструкции по созданию управления, а

также требования к документации, которая должна быть в компании. Проблема многих компаний в том, что существующие документы для определенных отделов просто не читаются, ибо разобраться, что и кому предназначается, зачастую невозможно из-за запутанности системы документации. Иерархичность уровней документации, от политики информационной безопасности до описания определенных процедур, делает использование существующих правил, регламентов и прочего намного легче. Также внедрение СМ И Б предполагает обучение персонала: проведение семинаров, рассылок, вывешивание предупреждающих плакатов, что значительно повышает осведомленность об ИБ среди обычных служащих.

В заключение следует отметить, что в современном бизнесе неотъемлемость базовой системы менеджмента качества, выстроенной в соответствии с требованиями стандарта ISO 9001, и завоевывающей позиции системы менеджмента информационной безопасности очевидна.

Сегодня лидером рынка станут компании, которые отслеживают не только показатели качества продукции и услуг, но и уровни конфиденциальности, целостности и доступности информации о них. Также немаловажным фактором успеха является прогнозирование и оценка рисков, что требует грамотного подхода и использования лучших международных практик. Совместное внедрение и сертификация систем менеджмента качества и информационной безопасности поможет решить широкий спектр задач для любой отрасли промышленности или торговли, что в свою очередь приведет к качественному повышению уровня оказываемых услуг.

Литература

1. Дорофеев А. В., Шахалов И. Ю. Основы управления информационной безопасностью современной организации // Правовая информатика. 2013. № 3. С. 4-14.

2. Чашкин В. Н. Управление информационной безопасностью как элемент системы управления информационно-технологической деятельностью организации // Безопасность информационных технологий. 2009. № 1. С. 123-124.

3. Горячев В. В. Новый ГОСТ на СМК. Основные отличия от ГОСТ РВ 15.002-2003 //

Методы менеджмента качества. 2013. № 7. С. 18-23.

4. Доценко С. П., Пшенецкий С. П. Подход к построению модели систем менеджмента информационной безопасности // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета. 2009. № 53. С. 47-56.

5. Каменев А. В., Заворитько Е. В. Модель системы менеджмента информационной безопасности на предприятии (в организации) // Интеллект. Инновации. Инвестиции. 2013. № 1. С. 111-114.

6. Соловьев А. М. Нормативно-методическая база в области обеспечения информационной безопасности // Экономика, статистика и информатика. Вестник УМО. 2012. № 1. С. 174-181.

7. Козин И. Ф., Лившиц И. И. Информационная безопасность. Интеграция международных стандартов в систему информационной безопасности России // Информатизация и связь. 2010. № 1. С. 50-55.

8. Колодин В. С. Сертификация интегрированных систем менеджмента // Вестник Иркутского государственного технического университета. 2010. Т. 41. № 1. С. 44-48.

9. Меркушова Н. И., Науменко Ю. А., Мерку-шова Ю. А. Интегрированные системы менеджмента: предпосылки создания на российских предприятиях // Молодой ученый.

2013. № 12 (59). С. 327-331.

10. Воропаева В. Я., Щербов И. Л., Хаустова Е. Д. Управление информационной безопасностью информационно-телекоммуникационных систем на базе модели «Р1ап-Do-Check-Act» // Науков1 пращ Донецько-го нацюнального техшчного ушверситету. Сер1я: "Обчислювальна техшка та автоматизащя". 2013. № 2 (25). С. 104-110.

11. Дорофеев А. В., Марков А. С. Менеджмент информационной безопасности: основные концепции // Вопросы кибербезопасности.

2014. № 1 (2). С. 67-73.

12. Шпер В. Л. О стандарте 18О/1ЕС 27001 // Методы менеджмента качества. 2008. № 3. С. 60-61.

13. Марков А. С., Цирлов В. Л. Управление рисками - нормативный вакуум информационной безопасности // Открытые системы. СУБД. 2007. № 8. С. 63-67.

14. Матвеев В. А., Цирлов В. Л. Состояние и перспективы развития индустрии информационной безопасности Российской Федера-

ции в 2014 г. // Вопросы кибербезопасности. 2013. № 1(1). С. 61-64.

15. Барабанов А. В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2013. № 1(1). С. 37-41.

16. Марков А. С., Цирлов В. Л. Руководящие указания по кибербезопасности в контексте

ISO 27032 // Вопросы кибербезопасности. 2014. № 1(2). С. 28-35. 17. Храмцовская Н. Что нужно знать руководителю об информационной безопасности // Кадровик. 2009. № 4. С. 061-072.

(СМИБ) - та часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

В случае построения в соответствии с требованиями ISO/IEC_27001 основывается на PDCA модели:

Plan (Планирование) - фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;

Do (Действие) - этап реализации и внедрения соответствующих мер;

Check (Проверка) - фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

Act (Улучшения) - выполнение превентивных и корректирующих действий;

Понятие информационной безопасности

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства , достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).

Целостность – обеспечение точности и полноты информации, а также методов ее обработки.

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

4 Система менеджмента информационной безопасности

4.1 Общие требования

Организация должна вводить, выполнять, использовать, контролировать, пересматривать, поддерживать и совершенствовать документированные положения СМИБ в рамках всей бизнес-деятельности организации, а также рисков, с которыми она сталкивается. Ради практической пользы данного Международного Стандарта используемый процесс основывается на модели PDCA, показанной на рис. 1.

4.2 Создание и менеджмент СМИБ

4.2.1 Создание СМИБ

Организация должна сделать следующее.

a) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, определить масштаб и границы СМИБ, включая детали и обоснования исключений каких-либо положений документа из проекта СМИБ (см.1.2).

b) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, разработать политику СМИБ которая:

1) включает систему постановки целей (задач) и устанавливает общее направление руководства и принципы действия относительно информационной безопасности;

2) принимает во внимание деловые и юридические или регулятивные требования, договорные обязательства по безопасности;

3) присоединена к стратегической среде управления риском, в которой имеет место создание и поддержка СМИБ;

4) устанавливает критерии, по которым будет оцениваться риск (см. 4.2.1 с)); и

5) утверждена руководством.

ПРИМЕЧАНИЕ: В целях этого Международного Стандарта, политикой СМИБ считается расширенный набор политик информационной безопасности. Эти политики могут быть описаны в одном документе.

c) Разработать концепцию оценки риска в организации.

1) Определить методологию оценки риска, которая подходит СМИБ, и установленной деловой информационной безопасности, юридическим и регулятивным требованиям.

2) Разрабатывать критерии принятия риска и определять приемлемые уровни риска (см. 5.1f).

Выбранная методология оценки риска должна гарантировать, что оценка риска приносит сравнимые и воспроизводимые результаты.

ПРИМЕЧАНИЕ: Существуют различные методологии оценки риска. Примеры методологий оценки риска рассмотрены в МОС/МЭК ТУ 13335-3, Информационные технологии – Рекомендации к менеджменту IT Безопасности – Методы менеджмента IT Безопасности.

d) Выявить риски.

1) Определить активы в рамках положений СМИБ, и владельцев2 (2 Термин «владелец » отождествляется с индивидом или субъектом, которая утверждена нести ответственность за контроль производства, развития, технического обслуживания, применения и безопасности активов. Термин «владелец» не означает, что персона действительно имеет какие-либо права собственности на актив) этих активов.

2) Выявить опасности для этих активов.

3) Выявить уязвимые места в системе защиты.

4) Выявить воздействия, которые разрушают конфиденциальность, целостность и доступность активов.

e) Проанализировать и оценить риски.

1) Оценить ущерб бизнесу организации, который может быть нанесён вследствие несостоятельности системы защиты, а также являться последствием нарушения конфиденциальности, целостности, или доступности активов.

2) Определить вероятность провала системы безопасности в свете преобладающих опасностей и уязвимостей, ударов, связанных с активами, и внедренных в настоящее время элементов управления.

3) Оценить уровни риска.

4) Определить приемлемость риска, или же требовать его сокращения, используя критерии допустимости риска, установленные в 4.2.1с)2).

f) Выявить и оценить инструменты для сокращения риска.

Возможные действия включают:

1) Применение подходящих элементов управления;

2) Сознательное и объективное принятие рисков, гарантирующее их безусловное соответствие требованиям политики организации и критериям допустимости риска (см. 4.2.1с)2));

3) Избежание риска; и

4) Передача соответствующих бизнес-рисков другой стороне, например, страховым компаниям, поставщикам.

g) Выбрать задачи и средства управления для сокращения рисков.

Задачи и средства управления должны быть выбраны и внедрены в соответствии с требованиями, установленными процессом оценкой риска и сокращения риска. Этот выбор должен учитывать как критерии допустимости риска (см. 4.2.1с)2)), так и юридические, регулятивные и договорные требования.

Задачи и средства управления из Приложения A должны быть выбраны как часть этого процесса, отвечающие установленным требованиям.

Т. к. в Приложении А перечислены не все задачи и средства управления, то могут быть выбраны дополнительные.

ПРИМЕЧАНИЕ: Приложение А содержит всесторонний список целей управления, которые были определены как наиболее значимые для организаций. Чтобы не пропустить ни один важный пункт из опций управления, пользующимся данным Международным Стандартом следует ориентироваться на Приложение А как на отправной пункт для контроля выборки.

h) Достигнуть утверждения управления предполагаемыми остаточными рисками.

4) содействовать обнаружению событий безопасности и таким образом, используя определённые показатели, предупреждать инциденты безопасности; и

5) определить эффективность действий, предпринятых для предотвращения нарушения безопасности.

b) Проводить регулярные проверки эффективности СМИБ (включая обсуждение политики СМИБ и её задач, проверку средств управления безопасностью), принимая во внимание результаты аудитов, инцидентов, результаты измерений эффективности, предложения и рекомендации всех заинтересованных сторон.

c) Оценить эффективность средств управления, чтобы выявить, удовлетворены ли требования безопасности .

d) Проверить оценку рисков по запланированным периодам и проверить остаточные риски и допустимые уровни рисков, принимая во внимания изменения в:

1) организации;

2) технологии;

3) бизнес-целях и процессах;

4) идентифицированных угрозах;

5) эффективности внедрённых средств управления; и

6) внешних событиях, таких как изменения в юридической и управленческой среде, изменённые договорные обязательства, смены социального климата.

e) Проводить внутренние аудиты СМИБ в запланированные периоды (см. 6)

ПРИМЕЧАНИЕ: Внутренние аудиты, иногда называемые первичными аудитами, проводятся от имени самой организации в её собственных целях.

f) На регулярной основе проводить проверку управления СМИБ, чтобы убедиться, что положение остается пригодным, а СМИБ совершенствуется.

g) Обновлять планы безопасности с учётом данных, полученных в результате мониторинга и проверки.

h) Записывать действия и события, которые могут оказать влияние на эффективность или производительность СМИБ (см. 4.3.3).

4.2.4 Поддержка и совершенствование СМИБ

Организация должна постоянно делать следующее.

a) Внедрять в СМИБ определённые исправления.

b) Предпринимать соответствующие корректирующие и превентивные меры в соответствии с 8.2 и 8.3. Применять знания, накопленные самой организацией и полученные из опыта других организаций.

c) Сообщать о своих действиях и совершенствованиях всем заинтересованным сторонам в степени детализации, соответствующей обстановке; и, соответственно, согласовывать свои действия.

d) Убедиться, что улучшения достигли намеченной цели.

4.3 Требования обеспечения документацией

4.3.1 Общие положения

Документация должна включать протоколы (записи) управленческих решений, убеждать в том, что необходимость действий обусловлена решениями и политикой менеджмента; и убеждать во воспроизводимости записанных результатов.

Важно уметь демонстрировать обратную связь выбранных средств управления с результатами процессов оценки риска и его сокращения, и далее с политикой СМИБ и ее целями.

В документацию СМИБ необходимо включить:

a) документированные формулировки политики и целей СМИБ (см. 4.2.1b));

b) положение СМИБ (см. 4.2.1а));

c) концепцию и средства управления в поддержку СМИБ;

d) описание методологии оценки риска (см. 4.2.1с));

e) отчет об оценке риска (см. 4.2.1с) – 4.2.1g));

f) план сокращения риска (см. 4.2.2b));

g) документированную концепцию, необходимую организации для обеспечения эффективности планирования, функционирования и управления процессами её информационной безопасности и описания способов измерения эффективности средств управления (см. 4.2.3с));

h) документы, требуемые данным Международным Стандартом (см. 4.3.3); и

i) Утверждение о Применимости.

ПРИМЕЧАНИЕ 1: В рамках данного Международного Стандарта термин «документированная концепция» означает, что концепция внедрена, документирована, выполняется и соблюдается.

ПРИМЕЧАНИЕ 2: Размер документации СМИБ в различных организациях может колебаться в зависимости от:

Размера организации и типа ее активов; и

Масштаба и сложности требований безопасности и управляемой системы.

ПРИМЕЧАНИЕ 3: Документы и отчёты могут предоставляться в любой форме.

4.3.2 Контроль документов

Документы, требуемые СМИБ, необходимо защищать и регулировать. Необходимо утвердить процедуру документации, необходимую для описания управленческих действий по:

a) установлению соответствия документов определённым нормам до их опубликования;

b) проверке и обновлению документов как необходимости, переутверждению документов;

c) обеспечению соответствия изменений текущему состоянию исправленных документов;

d) обеспечению доступности важных версий действующих документов;

e) обеспечению понятности и читабельности документов;

f) обеспечению доступности документов тем, кому они необходимы; а также их передачи, хранения и, наконец, уничтожения в соответствии с процедурами, применяемыми в зависимости от их классификации;

g) установлению подлинности документов из внешних источников;

h) контролированию распространения документов;

i) предупреждению непреднамеренного использования вышедших из употребления документов; и

j) применению к ним соответствующего способа идентификации, если они хранятся просто на всякий случай.

4.3.3 Контроль записей

Записи должны создаваться и храниться для того, чтобы обеспечить подтверждение соответствия требованиям и эффективное функционирование СМИБ. Записи необходимо защищать и проверять. СМИБ должна учитывать любые юридические и регулятивные требования и договорные обязательства. Записи должны быть понятны, легко идентифицируемы и восстановимы. Средства управления, необходимые для идентификации, хранения, защиты, восстановления, продолжительности хранения и уничтожения записей, должны быть документально утверждены и введены в действие .

В записи необходимо включать информацию о проведении мероприятий, описанных в 4.2, и обо всех происшествиях и значимых для безопасности инцидентах, относящихся к СМИБ.

Примерами записей являются гостевая книга, протоколы аудита и заполненные формы авторизации доступа.