Начиная с октября 2005 года на российском рынке информационной безопасности все большую известность при построении корпоративной системы управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Это происходит по нескольким причинам: c одной стороны большинство российских компаний становятся более зрелыми и компетентными участниками, как внутреннего торгового рынка, так и внешних рынков. К определяющим факторам таких изменений можно отнести процедуру постепенного вхождения России во Всемирную торговую организацию (ВТО) и желанием крупных компаний выйти на фондовые рынки, реализовав процедуру первоначального публичного предложения (размещения) своих акций на международных биржах.

С другой стороны, выросший уровень сервиса большинства консалтинговых компаний, которые предлагают свои услуги в области построения корпоративной системы управления информационной безопасностью на базе ISO/IEC 27001:2005 с последующей сертификацией.

И, несомненно, те позитивные изменения, которые происходят в законодательстве Российской федерации в области информационной безопасности за последние несколько лет:

• В 2002 году Правительством РФ была утверждена “Программа комплексной стандартизации в области защиты информации на 2002 – 2010 годы”, предусматривающая разработку 38 ГОСТ Р.
• Федеральная служба по техническому и экспортному контролю, лицензирующая деятельность по защите информации и сертификацией средств защиты информации, вводит в действие комплексный стандарт ГОСТ ИСО/МЭК 15408-2002 “Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий”, который был разработан на базе международного стандарта ISO/IEC 15408 “The common criteria for information technology security evaluation”.
• 28 июня 2006 года Государственной Думой был принят законопроект «Об информации, информационных технологиях и о защите информации» и т.д.

За последний 2006 год выполнен огромный объем работ по оказанию консалтинговых услуг по разработке системы управления информационной безопасностью компаний в соответствии с требованиями международного стандарта ISO/IEC 27001:2005, как в крупных организациях, так и в небольших компаниях, где число сотрудников не превышает пятидесяти человек.

Выполнение подобных проектов позволило консалтинговым компаниям не только реализовать необходимые проекты, но и способствовало расширению представления о том, как должна строиться полноценная СУИБ, а также помогло усовершенствовать методики реализации процедур аудита, разработки и внедрения СУИБ, и анализа рисков.

В данной статье мы рассмотрим и постараемся дать ответы на следующие наиболее актуальные вопросы, возникающие как у менеджеров компаний, так и у технических специалистов в процессе ознакомления со стандартом ISO/IEC 27001:2005 и в процессе построения СУИБ на его основе:

1. Стандарт ISO/IEC 27001:2005 в общей системе государственных стандартов и технических регламентов РФ.
2. История формирования стандарта ISO/IEC 27001:2005.
3. Какие конкурентные преимущества дает внедрение СУИБ и сертификация на соответствие стандарту ISO/IEC 27001:2005?
4. Основные мероприятия, выполняемые при организации СУИБ и регламентируемые ISO/IEC 27001:2005.
5. Основные этапы работ по созданию СУИБ.
6. Требования к консалтинговым компаниям.
7. Цель, задачи и регламент аудиторской проверки.
8. Создание и (или) внедрение СУИБ в компании.
9. Процедура сертификации СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2005.

Стандарт ISO/IEC 27001:2005 в общей системе государственных стандартов и технических регламентов РФ

За последние два-три года все более заметными становятся изменения в области формирования и совершенствования законодательства, и, что немаловажно, положительная тенденция в отношении принятия основных положений международных стандартов в качестве основы для разработки государственных:

• в сфере информационных технологий были приняты или планируются к принятию ГОСТы на базе следующих международных стандартов: ISO/IEC 7501-1:1997, ISO/IEC 7501-2:1997, ISO/IEC 7501-3:1997, ISO/IEC TR 19760:2003;
• в сфере информационно-коммуникационных технологий в образовании были приняты или планируются к принятию ГОСТы на базе международных стандартов: ISO/IEC 18056:2005, ISO/IEC 8825-4:2002/Amd.1:2004, ISO/IEC 8825-5:2004;
• в сфере информационной безопасности были приняты или планируются к принятию ГОСТы на базе следующих международных стандартов: ISO/IEC 17799:2005, ISO/IEC 27001:2005 и т.д.

Федеральным агентством по техническому регулированию и метрологии были разработаны следующие государственные стандарты РФ, в которых есть ссылки на международный стандарт ISO/IEC 27001:2005:

• ГОСТ Р ИСО/МЭК 27001 “Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования”. Стандарт утвержден Федеральным агентством по техническому регулированию и метрологии 31.12.2006 года.
• Стандарт Банка России СТО БР ИББС-1.0-2006 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации”. Необходимо отметить, что стандарт ЦБ России комплексный и в его основу были положены: группа стандартов ISO/IEC (например, такие как ISO/IEC 17799-1:2005, ISO/IEC 18028-1:2006, ISO/IEC 18043, ISO/IEC TR 18044-2004 и т.д.); стандарт COBIT; методологии анализа и управления рисками OCTAVE и CRAMM; ГОСТы и т.д.

История формирования стандарта ISO/IEC 27001:2005

С исторической точки зрения стандарт ISO/IEC 27001:2005 берет свое начало из Британского государственного стандарта BS 7799, который был разработан в 1995 году Британским институтом стандартов и ведущими британскими организациями, и компаниями.

В 1999 году первая часть стандарта BS 7799 была передана в Международную организацию по стандартизации (ISO – The International Organization for Standardization) и в последствие в 2000 году впервые утверждена в качестве международного стандарта как ISO/IEC 17799:2000 (BS 7799-1:2000). Следующей его версией стал стандарт ISO/IEC 17799:2005.

В России экспертами в области управления информационной безопасностью стандарт ISO/IEC 17799 начал активно применяться на практике начиная с периода 2001-2002 года.

 В том же 1999 году выходит в свет вторая часть стандарта BS 7799 – BS 7799-2:1999 Information Security management – Specification for ISMS (ISMS – Information Security Management System).

В 2002 году стандарт совершенствуется и на его смену приходит новая редакция – BS 7799-2:2002. На его основе 14 октября 2005-го года принимается стандарт ISO/IEC 27001:2005.

В 2007 году ожидается развитие серии стандартов 27000 и выход стандарта ISO/IEC 27002, который сменит ISO/IEC 17799:2005.

Необходимо отметить, что с практической точки зрения стандарт ISO/IEC 27001:2005 не просто выдвигает требования к разработке, внедрению и совершенствованию СУИБ (ISMS), но и является сертификационным стандартом, что, несомненно, делает его более привлекательным как для специалистов по информационной безопасности, так и для бизнеса в целом.

Но нельзя также забывать и о том, что при разработке и внедрении корпоративной СУИБ целесообразно использовать другие государственные или отраслевые стандарты, например, такой как ГОСТ Р ИСО/МЭК 17799 “Информационные технологии. Методы и средства обеспечения защиты. Свод практических рекомендаций для менеджмента защиты информации”, принятый в конце сентября 2006 года или его международный аналог ISO/IEC 17799:2005.

Какие конкурентные преимущества дает внедрение СУИБ и сертификация на соответствие стандарту ISO/IEC 27001:2005?

Для бизнеса, в целом, можно выделить следующие преимущества:

• Повышение управляемости и надежности бизнеса компании.
• Повышение защищенности ключевых бизнес-процессов компании.
• Повышение доверия к компании, как к партнеру, так и к клиенту.
• Соответствие компании требованиям ISO/IEC 27001:2005 подчеркивает чистоту и прозрачность бизнеса компании.
• Наличие СУИБ и сертификата, выданного BSI Management Systems², упрощает процедуру выхода компании на внешние рынки.
• Международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках.
• Повышение доходности и капитализации бизнеса в целом.

Для структурных подразделений компании, таких как подразделения информационных технологий и службы безопасности это:

• Систематизация процессов обеспечения информационной безопасности (ИБ).
• Расстановка приоритетов компании в сфере ИБ.
• Управление информационной безопасностью компании в рамках единой корпоративной политики.
• Своевременное выявление и управление рисками.
• Снижение рисков от внешних и внутренних угроз.
• Оптимизация управленческих процессов.
• Повышение эффективности функционирования СУИБ и защищенности информационных систем.
• Работа в рамках СУИБ не только повышает общую корпоративную культуру сотрудников, но и выводит управление бизнесом в целом на новый уровень.

Основные мероприятия, выполняемые при организации СУИБ и регламентируемые ISO/IEC 27001:2005

Выполнение требований ISO/IEC 27001:2005 позволяет компаниям формализовать и структурировать процессы управления информационной безопасностью (ИБ) по следующим направлениям:

• Разработка политики безопасности компании.
• Организация информационной безопасности.
• Организация управления внутренними активами и ресурсами компании, которые влияют на процессы в компании и составляют основу ее ключевых бизнес-процессов.
• Защита персонала и снижение внутренних угроз компании.
• Физическая безопасность и безопасность окружающей среды.
• Управление средствами связи и эксплуатацией оборудования.
• Управление и контроль доступа.
• Разработка и обслуживание аппаратно-программных систем.
• Управление непрерывностью бизнес-процессов в компании.
• Соответствие требованиям стандарта и соблюдение правовых норм по безопасности.

Цели и комплексы мероприятий стандарта ISO/IEC 27001:2005 по каждому из направлений работ были заимствованы из стандарта ISO/IEC 17799:2005 (разделы 5-15) и перечислены в его Приложении А (Annex A – Control objectives and controls).

Основные этапы работ по созданию СУИБ

Процесс построения корпоративной СУИБ – это сложный, многоэтапный, циклический и организационно-технологический процесс.

Исходя из опыта реализации проектов разработки СУИБ специалистами компании «Концептуальные системы», внедрение данного стандарта целесообразно осуществлять в несколько последовательных этапов:

Далее мы подробно рассмотрим каждый из этапов.

Требования к консалтинговым компаниям

Наиболее ответственный этап – выбор консалтинговой компании, который определяет успех не только в получении сертификата BSI, но и успех дальнейшего развития бизнеса компании-заказчика в будущем.

Для консалтинговой компании, которая будет выполнять аудит у заказчика необходимо выполнение следующих базовых требований:

• Наличие у консалтинговой компании опыта аудита и реализации проектов.
• Наличие высокого партнерского статуса, который определяется опытом и качеством выполненных проектов, возможными отзывами клиентов и деловых партнеров.
• Наличие собственных комплексных методик аудита, построения СУИБ, анализа и управления рисками и т.д., которые бы включали в себя не только директивы ISO в области ИБ, но и были бы расширены за счет использования других стандартов и методик.
• Наличие в консалтинговой компании специалистов, прошедших подготовку на специализированных курсах по проведению аудита компании-заказчика на соответствие СУИБ требованиям стандарта ISO/IEC 27001:2005.
• Наличие команды сертифицированных специалистов по различным направлениям информационных технологий, входящих в группу аудиторов или аналитиков.

Хорошим тоном считается, когда консалтинговая компания пользуется поддержкой сертифицирующей компании, например BSI Management Systems.

Цель, задачи и регламент аудиторской проверки

Началом разработки СУИБ является – аудит компании на соответствие положениям ISO/IEC 27001:2005.

Многие руководители компаний считают этот этап необязательным и, как правило, аргумент прост: “Зачем нам аудит, когда и так очевидно, что у нас все плохо?!”

Но на самом деле аудит необходим как минимум по двум причинам:

1. Как правило, в компании, несмотря на столь пессимистичный вывод, существуют разного рода положения, инструкции и иные организационно-распорядительные документы, которые регламентируют работу структурных подразделений компании, и аудит консалтинговой компании позволяет выявить и систематизировать такие документы в соответствии с требованиями ISO/IEC 27001:2005.
2. Как следствие первой причины – определить направления работ по созданию системы управления информационной безопасностью компании.

Основная цель аудита – объективно оценить состояние существующей системы управления информационной безопасностью компании, ее адекватность поставленным целям и задачам бизнеса, а также разработать рекомендации по построению, внедрению или совершенствованию СУИБ.

Основными задачами, которые решаются во время выполнения аудиторских работ консалтинговой компанией, являются:

• Анализ структуры организации.
• Анализ защищаемой области деятельности компании и организационно-распорядительных документов.
• Анализ структуры и функциональных особенностей, используемых информационных технологий автоматизированной системы сбора, обработки, передачи и хранения информации.
• Проверка выполнения требований ISO/IEC 27001:2005 к СУИБ.
• Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению для создания, построения или совершенствования СУИБ.

В большинстве случаев решение данных задач выполняется в четыре основных этапа:

Этап 1. Планирование мероприятий по аудиту. На данном этапе специалистами аудиторской компании осуществляется сбор организационно-распорядительных документов, отраслевых стандартов, недокументированных проектных решений и других рабочих материалов, касающихся вопросов создания системы управления информационной безопасностью и информационных систем компании, способствующих использованию механизмов и средств обеспечения информационной безопасности. Разработка, согласование и утверждение планов мероприятий по аудиту.

Этап 2. Проверка на соответствие ISO/IEC 27001:2005. Этот этап включает: определение области деятельности и ключевые бизнес-процессы компании, которые необходимо защитить в первую очередь; проведение анкетирования и интервьюирования сотрудников компании (разных уровней), анализ организационно-распорядительных и нормативных документов и анализ информационной безопасности на соответствие ISO/IEC 27001:2005.

Этап 3. Оценка рисков информационной безопасности (ИБ). Аналитический и инструментальный анализ корпоративной локальной вычислительной сети и информационных ресурсов компании. Проведение консультаций со специалистами организации, оценка соответствия фактического уровня безопасности информации и анализ рисков.

Этап 4. Систематизация результатов обследования и формирование отчетности. Предоставление итогового отчета руководству компании.

Создание и (или) внедрение СУИБ в компании

После выполнения аудиторских работ компания-заказчик приступает совместно с консалтинговой компанией к разработке, внедрению или совершенствованию системы управления информационной безопасностью.

Основная цель работ по разработке и внедрению системы управления информационной безопасностью (СУИБ) – оценить текущее состояние информационной безопасности компании, разработать и внедрить экономически эффективную СУИБ компании в соответствии с требованиями международного стандарта ISO/IEC 27001:2005.

При этом предполагается решение следующих основных задач:

• Анализ структуры компании, функциональных особенностей построения бизнес-процессов и используемых в них информационных технологий. Определение защищаемой области деятельности компании.
• Идентификация, систематизация и определение ценности активов компании.
• Анализ рисков ИБ, определение возможных путей их реализации (несанкционированных воздействий на подсистемы и бизнес-процессы компании), категорирование рисков по степени критичности. Оценка возможного ущерба от реализации угроз. Расчет эффективности внедрения комплексных мероприятий по снижению рисков.
• Разработка Политики информационной безопасности компании.
• Разработка Процедуры по снижению рисков.
• Разработка Положения о применимости контролей – комплексов мероприятий информационной безопасности в соответствие с Приложением А стандарта ISO/IEC 27001:2005.
• Разработка и внедрение СУИБ.
• Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению режима информационной безопасности организации.
• Анализ и оценка результатов внедрения СУИБ.

Рассмотрим основные этапы работ по построению и внедрению Системы Управления Информационной Безопасностью (СУИБ) компании:

Этап 1. Планирование и подготовка планов мероприятий. На данном этапе специалистами компании «КОНЦЕПТУАЛЬНЫЕ СИСТЕМЫ» осуществляется сбор организационно-распорядительных документов и других рабочих материалов, касающихся вопросов построения и функционирования информационных систем компании, планируемых к использованию механизмов и средств обеспечения информационной безопасности, а также осуществляется разработка, согласование и утверждение планов мероприятий по этапам работ и утверждение их у руководства компании.

Этап 2. Проверка на соответствие ISO/IEC 27001:2005. Проведение интервьюирования и анкетирование менеджеров и сотрудников различных подразделений компании. Анализ СУИБ компании на соответствие требованиям стандарта ISO/IEC 27001:2005.

Этап 3. Анализ нормативных и организационно-распорядительных документов (ОРД). Анализ ОРД осуществляется исходя из организационной структуры компании. После чего уточняется или выполняется определение защищаемой области деятельности (ОД) и разрабатывается эскиз политики информационной безопасности (ИБ) компании.

Этап 4. Анализ и оценка рисков ИБ. Разработка методики по анализу и управлению рисками компании. Аналитический и инструментальный анализ локальной вычислительной сети и информационных ресурсов компании, с целью выявления угроз и уязвимостей защищаемых активов ОД. Инвентаризация активов. Проведение консультаций со специалистами организации и оценка соответствия фактического уровня безопасности. Расчет рисков, определение текущего и допустимого уровня риска для каждого конкретного актива. Ранжирование рисков, выбор комплексов мероприятий (контролей) по их снижению и расчет теоретической эффективности внедрения.

Этап 5. Разработка и реализация планов мероприятий. Разработка Положения о применимости контролей в соответствии с ISO/IEC 27001:2005. Разработка Плана обработки и устранения рисков. Подготовка отчетов для руководителя компании.

Этап 6. Разработка нормативных и организационно-распорядительных документов (ОРД). Разработка и утверждение окончательной Политики информационной безопасности и соответствующих ей положений (подполитик). Разработка стандартов, процедур и инструкций, обеспечивающих нормальное и стабильное функционирование и эксплуатацию СУИБ компании.

Этап 7. Реализация и оценка эффективности внедрения комплексных мероприятий по снижению рисков ИБ, в соответствии с утвержденным руководителем Планом обработки и устранения рисков.

Этап 8. Обучение персонала. Разработка планов мероприятий и внедрение программ по обучению и повышению компетенции сотрудников компании с целью эффективного донесения принципов информационной безопасности для всех руководителей и сотрудников, и в первую очередь для тех из них, структурные подразделения которых учувствуют в обеспечении ключевых бизнес-процессов.

Этап 9. Формирование отчетности. Систематизация результатов обследования и подготовка отчетности. Представление результатов работ для руководителя и топ-менеджеров компании. Подготовка документов на лицензирование на соответствие ISO/IEC 27001:2005 и передача их в сертифицирующую организацию.

Этап 10. Анализ и оценка результатов внедрения СУИБ. Анализ и оценка результатов внедрения СУИБ осуществляется на основании методики оценки надежности функционирования СУИБ компании. Разработка рекомендаций по совершенствованию системы управления информационной безопасностью компании.

Стоит подчеркнуть, что этап повторного аудита после создания корпоративной СУИБ не является обязательным, но вполне целесообразным перед сертификацией с целью уточнения выполнения требований стандарта и рекомендаций консалтинговой компании.

Процедура сертификации СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2005

Последний этап формирования СУИБ – сертификация на соответствие требованиям международного стандарта ISO/IEC 27001:2005.

Существует несколько уполномоченных организаций, которые имеют право выдачи сертификатов соответствия, такие как BSI Management Systems, ,Japan Quality Assurance Organization (JQA), DNV Certification US (подразделение Det Norske Veritas) и т.д.

В частности процедура сертификации в BSI по ISO/IEC 27001:2005 достаточно проста.

После трех-шести месяцев эксплуатации СУИБ компания заказчик подает заявку на сертификацию в BSI Management Systems.

После утверждения заявки BSI присылает аудиторов для изучения документации с целью выявления слабых мест в системе управления, и если таковых не обнаружено, проводит сертификационный аудит в организации, представляя график проведения аудита и сметы.

При успешном завершении аудита BSI Management Systems выдает сертификат сроком на 3 года.

Журнал «Защита информации. Инсайд», Санкт-Петербург, 2007, №1.