:::::: № 1 январь-февраль 2007 г. :::::: - Журнал «Защита информации. Инсайд»

		№ 1 январь-февраль 2007 г. Тема номера: РАЗВИТИЕ СТАНДАРТА ISO 17799 В РОССИИ
		ПРАКТИЧЕСКИЕ АСПЕКТЫ ПРИМЕНЕНИЯ МЕЖДУНАРОДНОГО СТАНДАРТА БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ISO 27001:2005 Н. Куканова, аналитик по информационной безопасности Digital Security

Введение

В настоящее время более трех тысяч компаний по всему миру прошли сертификацию по международному стандарту ISO 27001, определяющему основные требования к разработке и функционированию системы управления информационной безопасностью (ИБ). В России сертификация по ISO 27001 только набирает обороты (на данный момент сертификат на соответствие требованиям стандарта получен четырьмя российскими организациями). Однако компании, выполняющие консалтинг в области построения системы управления ИБ, отмечают возрастающий интерес российских бизнес-структур к стандарту ISO 27001. Естественно, всем, кто задумался о получении такого сертификата, в первую очередь, важно понимать, какую выгоду они получат от прохождения сертификации, а также какие действия им необходимо будет выполнить для построения своей системы управления ИБ.

Получение сертификата на соответствие системы управления ИБ требованиям ISO 27001 позволяет самой компании, а также ее партнерам убедиться в том, что система управления ИБ внедрена в общую систему управления бизнес-процессами компании, что она работает правильно и эффективно. Это особенно важно в том случае, если компания работает с большими объемами ценной информации или если компания обрабатывает или хранит ценную информацию своих клиентов. Эффективная система управления ИБ во-первых, обеспечивает необходимый уровень защиты всех информационных активов компании (то есть существенно снижается риск нанесения ущерба компании из-за нарушения ИБ), и, во-вторых, гарантирует, что меры и средства защиты информации являются адекватными и пропорциональными возможному ущербу компании.

Цель настоящей статьи – описать этапы разработки и внедрения системы управления ИБ в компании, а также обратить особое внимание читателей на то, какие могут возникать проблемы и как избежать сложностей в данном процессе.

Этапы разработки и внедрения системы управления ИБ

Для начала отметим, что подготовка к сертификации, как правило, делится на два основных этапа:

разработку системы управления (и всех необходимых процедур);
внедрение системы управления.

Для выполнения первого этапа рекомендуется приглашать консультантов. Второй этап (внедрение) выполняется самой компанией (специалисты компании должны ознакомиться с необходимыми процедурами, наладить их четкое выполнение, проверять и контролировать их эффективность и пр.).

Можно выделить следующие основные этапы разработки системы управления ИБ:

инвентаризация активов;
категорирование активов;
оценка защищенности информационной системы;
оценка информационных рисков;
обработка информационных рисков (в том числе определение конкретных мер для защиты ценных активов);
внедрение выбранных мер обработки рисков;
контроль выполнения и эффективности выбранных мер.

Роль руководства компании в системе управления ИБ

Одним из основных условий эффективного функционирования системы управления ИБ является вовлеченность руководства компании в процесс управления ИБ. Все сотрудники должны понимать, что, во-первых, вся деятельность по обеспечению ИБ инициирована руководством и обязательна для выполнения, во-вторых, руководство компании лично контролирует функционирование системы управления ИБ, в-третьих, само руководство выполняет те же правила по обеспечению ИБ, что и все сотрудники компании.

Выбор области сертификации

Систему управления ИБ, как правило, целесообразно разрабатывать для всей компании в целом. Другими словами, процедуры системы управления в большинстве случаев необходимы для выполнения во всей компании. Однако внедрить систему управления сразу во все бизнес-процессы часто непросто, поэтому лучше, если ее внедрение будет осуществляться последовательно. Таким образом, внедрив систему управления в каком-то одном бизнес-процессе компании, мы можем получить сертификат на нее в рамках данного бизнес-процесса, а затем расширять область сертификации (scope) по мере внедрения в остальные процессы компании. Следовательно, при подготовке к сертификации требуется определить область сертификации (описать, в какой конкретно подсистеме компании будет внедрена система управления). Аудиторы сертификационных органов проверяют выполнение всех процедур системы управления только в рамках выбранной области сертификации.

Важно иметь в виду, что описание области сертификации необходимо выполнить максимально подробно, то есть требуется точно определить все активы, входящие в область сертификации.

Инвентаризация активов компании

Прежде всего, следует определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:

информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
программное обеспечение;
материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);
сотрудники компании, их квалификация и опыт;
нематериальные ресурсы (репутация и имидж компании).

Следует определить, нарушение информационной безопасности каких активов может нанести ущерб компании. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при анализе информационных рисков.

Инвентаризация заключается в составлении перечня ценных активов компании. Как правило, данный процесс выполняют владельцы активов.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья