Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной безопасности ISO/IEC 27001 (ISO 27001). ISO 27001 устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы.
Понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации.
Основа стандарта ИСО 27001 – система управление рисками, связанными с информацией.
Система управления рисками позволяет получать ответы на следующие вопросы: - На каком направлении информационной безопасности требуется сосредоточить внимание? - Сколько времени и средств можно потратить на данное техническое решение для защиты информации?
Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:
Стадия 1 изучение аудитором ключевых документов Системы Менеджмента Информационной Безопасности — Положение о применимости (SoA), План Обработки Рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору.
Стадия 2 детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт.
Стадия 3 выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.
Внедрение стандарта
Алгоритм внедрения системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO/IEC 27001
Разработан в соответствии с немецкой методикой ИТ-Груншутц и практиками реализации на просторах СНГ. Автор: Александр Дмитриев
Первый этап. Управленческий
Осознать цели и выгоды внедрения СМИБ
Получить поддержку руководства на внедрение и ввод в эксплуатацию системы менеджмента информационной безопасности (СМИБ)
Распределить ответственность по СМИБ
Второй этап. Организационный
Создать группу по внедрению и поддержке СМИБ
Обучить группу по внедрению и поддержке СМИБ
Определить область действия СМИБ
Третий этап. Первоначальный анализ СМИБ
Провести анализ существующей СМИБ
Определить перечень работ по доработке существующей СМИБ
Четвертый этап. Определение политики и целей СМИБ
Определить политику СМИБ
Определить цели СМИБ по каждому процессу СМИБ
Пятый этап. Сравнение текущей ситуации со стандартом
Провести обучение ответственных за СМИБ требованиям стандарта
Проработать требования стандарта
Сравнить требования стандарта с существующим положением дел
Шестой этап. Планирование внедрения СМИБ
Определить перечень мероприятий для достижения требований стандарта
Разработать руководство по информационной безопасности
Седьмой этап. Внедрение системы управления рисками
Разработать процедуру по идентификации рисков
Идентифицировать и ранжировать активы
Каталог «Модули» методики ИТ-Грундшутц
Определить ответственных за активы
Оценить активы
Идентифицировать угрозы и уязвимости активов
Каталог «Угрозы» методики ИТ-Грундшутц
Рассчитать и ранжировать риски
Разработать план по снижению рисков
Каталог «Меры защиты» методики ИТ-Грундшутц
Определить неприменимые контроли (направления) безопасности из приложения А
Разработать положение о применимости контролей
Восьмой этап. Разработка документации СМИБ
Определить перечень документов (процедур, записей, инструкций) для разработки
Разработка процедур и других документов
управленческие процедуры (стандарт на разработку документов, управление документацией, записями; корректирующие и предупреждающие мероприятия; внутренний аудит; управление персоналом и др.)
технические процедуры (приобретение, развитие и поддержка информационных систем; управление доступом; регистрация и анализ инцидентов; резервное копирование; управление съемными носителями и др.)
записи управленческие (отчеты о внутренних аудитах; анализ СМИБ со стороны высшего руководства; отчет об анализе рисков; отчет о работе комитета по информационной безопасности; отчет о состоянии корректирующих и предупреждающих действий; договора; личные дела сотрудников и др.)
записи технические (реестр активов; план предприятия; план физического размещения активов; план компьютерной сети; журнал регистрации резервного копирования; журнал регистрации факта технического контроля после изменений в операционной системе; логи информационных систем; логи системного администратора; журнал регистрации инцидентов; журнал регистрации тестов по непрерывности бизнеса и др.)
инструкции, положения (правила работы с ПК, правила работы с информационной системой, правила обращения с паролями, инструкция по восстановлению данных из резервных копий, политика удаленного доступа, правила работы с переносным оборудованием и др.)
Разработка и введение в действие документов СМИБ
Девятый этап. Обучение персонала
Обучение руководителей подразделений требованиям ИБ
Обучение всего персонала требованиям ИБ
Десятый этап. Разработка и принятие мер по обеспечению работы СМИБ
Внедрение средств защиты
административных
учебных
технических
Одиннадцатый этап. Внутренний аудит СМИБ
Подбор команды внутреннего аудита СМИБ
Планирование внутреннего аудита СМИБ
Проведение внутреннего аудита СМИБ
Двенадцатый этап. Анализ СМИБ со стороны высшего руководства
Проведение анализа СМИБ со стороны высшего руководства
Тринадцатый этап. Официальный запуск СМИБ
Приказ о введении в действие СМИБ
Четырнадцатый этап. Оповещение заинтересованных сторон
Информирование клиентов, партнеров, СМИ о запуске СМИБ