На протяжении нескольких лет международный стандарт управления информационной безопасностью ISO/IEC 27001 является стандартом де-факто в области управления информационной безопасностью. Зачастую компании, которые задумываются о построении систем управления ИБ, обращаются именно к нему, а не к отраслевым стандартам, например. Основная причина — развитая система международной сертификации именно по стандарту ISO/IEC 27001.
Соответствовать требованиям стандарта
Если пока отвлечься от содержательной стороны вопроса и сосредоточиться на том, что дает сам сертификат соответствия ISO/IEC 27001, то можно сказать: это в основном маркетинговый инструмент, который позволяет компаниям, имеющим сертификат соответствия, быстрее и легче выходить на международный рынок. Помимо этого, наличие сертификата (как подтверждение серьезного отношения к информационной безопасности и зрелости системы управления ею) повышает привлекательность компании для инвесторов, увеличивает стоимость компании при принятии решения о ее продаже. Почему зачастую стандарт ISO/IEC 27001 рассматривают как очередной, но при этом необязательный compliance по информационной безопасности, который дает неочевидные для многих компаний выгоды? Что может дать внедренная и зрелая система управления информационной безопасностью? Чтобы ответить на эти вопросы, надо обратиться к подходу, который лежит в основе стандарта. Это процессный подход.
Процессный подход к управлению информационной безопасностью
Он подразумевает управление взаимосвязью процессов. И именно такая короткая и простая формулировка таит в себе множество трудностей и подводных камней в реализации этого подхода.
Основные возможные проблемы при внедрении систем менеджмента, которые портят имидж всей идеи процессного подхода и приводят к тому, что часто организации после внедрения не замечают каких‑либо существенных изменений:
- разработка формальных процессов управления без учета специфики компании и ее бизнес-процессов;
- отсутствие реального внедрения процессов управления, когда компании ограничиваются только разработкой документов, описывающих процессы;
- отсутствие вовлеченности персонала;
- непонимание руководством и персоналом идеи процессного подхода и нежелание участвовать в ее воплощении.
Из-за таких проблем компания, внедряющая процессный подход, может в итоге столкнуться с тем, что, несмотря на формальные признаки внедрения, реальная ситуация в компании нисколько не улучшилась, скорее наоборот. На людей «навесили» новые обязанности, цель которых им не объяснили, неоптимальные процессы закрепили в регламентах, создали избыточную бюрократическую машину по производству записей системы (свидетельств функционирования процессов). Все это приводит к тому, что хорошая идея не приживается в компании, идет ее отторжение. Какие‑либо изменения в процессах сопряжены с проблемами настолько серьезными, что мало кто хочет с этим связываться. И именно поэтому стандарты в области систем управления, в том числе и ISO/IEC 27001, зачастую воспринимаются как необязательный compliance, который при плохой реализации может не нести никакой пользы, за исключением выгод от сертификации, а может создать только дополнительные проблемы. Как следствие, все выгоды от сертификации системы могут остаться незамеченными за сложностями, сопряженными с внедрением и поддержанием такой несовершенной системы.
Что может спасти ситуацию? Кропотливая работа по выстраиванию и внедрению процессов управления. Специалисты, выстраивающие процессы, должны «вжиться» в компанию, в которой они работают: понять все ее сильные и слабые стороны, все мельчайшие подробности ведения бизнес-процессов и культуры организации.
Часто, когда начинается разработка системы управления, сотрудники встречают такую идею с недоверием. Их преследует мысль: «А работали же мы как‑то раньше? И все получалось. Зачем нам все это?». Поэтому надо как можно раньше начать общаться с сотрудниками, выявить основные проблемы в их работе и попытаться учесть их при разработке процессов управления.
Ключевые процессы СУИБ
Давайте вернемся к системам управления информационной безопасности (СУИБ). Идеи, заложенные в стандарте ISO/IEC 27001 (помимо процессного подхода), направлены на предотвращение или существенное снижение возможных ущербов от реализации угроз информационной безопасности.
В соответствии с ISO/IEC 27001 СУИБ — это часть общей системы управления, основанная на оценке бизнес-рисков и предназначенная для разработки, реализации, эксплуатации, мониторинга, анализа, сопровождения и совершенствования информационной безопасности.
Из определения СУИБ видно, что ее ядром является процесс управления рисками информационной безопасности. Этот процесс направлен на прогнозирование реализации угроз информационной безопасности, планирование и внедрение по результатам такого прогноза мер обеспечения информационной безопасности. Тем самым повышается общий уровень информационной безопасности, и снижаются риски ИБ.
Вот основное, что надо помнить при разработке и внедрении данного процесса.
В компании должна быть разработана методика управления рисками ИБ. Она должна быть воспроизводимой, понятной участникам процесса и не слишком сложной. Зачастую под процесс управления рисками ИБ пытаются «притянуть» серьезную псевдоматематическую основу, предполагая, что таким образом можно будет получить более точные оценки, что называется, «вплоть до копеек». Однако в итоге это может привести к тому, что процесс управления рисками будет «неподъемным» и не сможет использоваться как инструмент предотвращения убытков.
С точки зрения содержания методика управления рисками в обязательном порядке должна определять порядок инвентаризации активов и оценки их ценности, порядок выявления уязвимостей активов и угроз, которые могут быть реализованы через выявленные уязвимости. Таким образом, описывается порядок формирования сценария «актив — уязвимость — угроза», для которого необходимо оценить вероятность реализации каждого из них. На основе этих данных определяется уровень риска информационной безопасности. Все риски, превышающие приемлемый уровень риска (который в обязательном порядке определяется руководством компании), должны подвергаться обработке.
Обработка рисков может включать в себя: снижение рисков до приемлемого уровня (за счет внедрения дополнительных контрмер по обеспечению ИБ), избежание риска (как правило, достигается за счет реинжиниринга бизнес-процессов), перевод риска на третью сторону (например, за счет страхования или аутсорсинга), принятие риска (применимо, например, если стоимость внедрения всех вышеперечисленных способов обработки рисков заметно превышает выявленный риск ИБ). Принимая решение по обработке рисков, необходимо спрогнозировать остаточный уровень риска, чтобы определить целесообразность конкретного мероприятия по обработке риска. Хорошая практика предусматривает дальнейший мониторинг рисков по результатам внедрения мер по обработке рисков. Это поможет определить, насколько эффективными оказались мероприятия по обработке и достигается ли предполагаемый остаточный уровень риска.
В процессе управления рисками ИБ должны участвовать владельцы бизнес-процессов — люди, которые далеки от информационной безопасности и не мыслят категориями обеспечения конфиденциальности, целостности и доступности. Самое важное в этой ситуации — «перевести» методику и сам процесс управления рисками с «технического» языка на «общечеловеческий». Это нужно прежде всего для того, чтобы получить достоверные результаты, на которых потом можно будет строить предположения о возможных угрозах ИБ и вероятностях их реализации. Важно задавать «правильные вопросы правильным людям». Не стоит, например, спрашивать у бухгалтера, какова, на его взгляд, вероятность реализации угрозы недоступности системы «1С» из‑за конкретных инфраструктурных уязвимостей корпоративной вычислительной сети. Скорее всего вы не получите никакого ответа, а в следующий раз и вовсе будет тяжело найти желающих поучаствовать в процессе управления рисками от бухгалтерии. Такие вопросы, безусловно, лучше задать техническим специалистам.
Руководство компании обязательно должно понимать, что это за процесс, для чего он необходим, какие выгоды он несет именно для него. Если вовлеченность руковоства будет достигнута, то по результатам анализа рисков будут приниматься адекватные текущей ситуации решения. На безопасность будет выделяться необходимое и достаточное количество ресурсов, что в итоге приведет к достижению оптимального уровня ИБ. Другой серьезный инструмент предотвращения убытков компании от реализации угроз иформационной безопасности — процесс, в чем‑то противоположный процессу управления рисками ИБ, а именно процесс управления инцидентами ИБ. К сожалению или к счастью, в мире не существует ничего идеального, и наличие даже самых совершенных мер по снижению рисков информационной безопасности не может полностью предотвратить возникновение в информационной среде событий, потенциально несущих угрозу бизнесу компании. Неготовность организации к обработке подобного рода ситуаций может существенно затруднить восстановление нормального функционирования организации и потенциально усилить нанесенный ущерб.
Процесс управления инцидентами ИБ направлен на то, чтобы эффективно обнаруживать подобные события, реагировать на них и разрешать их, а впоследствии определять причины их возникновения и применять меры, предотвращающие их в будущем. При разработке и внедрении данного процесса надо помнить следующее.
Процесс управления инцидентами ИБ — один из самых активно работающих процессов управления ИБ (возможная частота появления событий, связанных с ИБ, — от нескольких раз до нескольких десятков в день). Именно поэтому этот процесс должен быть максимально удобным для всех его участников.
Подразумевается работа совершенно разных подразделений компании — от бизнес-подразделений, которые могут сообщать об инцидентах ИБ, до профильных «технических» подразделений: департамента ИТ, подразделения информационной безопасности, подразделений физической безопасности и т. д., которые должны слаженно работать при разрешении и анализе причин инцидентов. И здесь точно так же, как и в управлении рисками ИБ, необходимо соблюсти все «тонкости перевода».
Для других процессов управления ИБ можно обойтись «бумажной» реализацией процесса. Но если говорить об управлении инцидентами ИБ, то автоматизация этого процесса практически жизненно необходима. Сотрудники могут заметить лишь малую долю инцидентов ИБ, а специальные системы сбора и корреляции событий ИБ сделают процесс по‑настоящему эффективным. Например, подобные системы могут обнаружить и вовремя сообщить о фактах: использования учетных записей уволенных сотрудников; использования административных привилегий пользователями, которым такой доступ не был предоставлен; аномальных активностей, направленных на отдельные серверы, рабочие станции; создания и удаления системных объектов, а также неудачных попыток доступа к ним и т. д. По этим примерам видно, что без автоматизации сбора событий ИБ не обойтись. Главное, необходимо выбрать систему, соответствующую инфраструктуре компании, корректно настроить и «встроить» ее использование в разрабатываемый процесс управления инцидентами ИБ.
Правильно выстроив процессы СУИБ, компания может существенно улучшить уровень информационной безопасности. В итоге она получает как проактивный инструмент прогнозирования возможных ущербов — процесс управления рисками ИБ, так и реактивный инструмент, который позволит снизить или предотвратить ущерб от возникновения непредвиденных ситуаций, связанных с ИБ.
Таким образом, процессный подход, заложенный в международных стандартах на системы управления, в том числе и ISO/IEC 27001, может дать существенные выгоды компаниям, их внедряющим, однако требует кропотливой, осознанной работы и не терпит шаблонных решений.
Только зарегистрированные пользователи могут оставлять комментарий.
