В сентябре 2013 года вышла новая версия самого известного стандарта по управлению информационной безопасностью - ISO/IEC 27001 Information technology - Security techniques - Information security management systems - RequirementsНаконец-то нашел время ознакомиться с новой версией документа и написать короткий обзор!
Документ состоит из повествовательной части, в которой описываются требования к построению системы управления информационной безопасностью, и приложения А, в котором содержатся основные цели информационной безопасности и меры, которые необходимо применять, чтобы этих целей достигнуть.
Более подробно цели и меры ИБ описаны в стандарте ISO 27002, который также обновился в сентябре 2013 года.
В качестве основы для СУИБ ISO 27001 предлагает использовать процесс управления рисками ИБ. Причем в версии 2013 года процесс управления рисками ИБ приведен в соответствии с серией стандартов по управлению рисками ISO 31000.
В новой версии стандарта построение СУИБ начинается с определения того, как ИБ может повлиять на достижения бизнес-целей организации, понимания потребностей заинтересованных сторон и внешних обязательств.
Появление подобной главы не может не радовать, но необходимо отметить, что в других стандартах и методологиях процесс целеполагания рассмотрен гораздо более подробно и гармонично (взять, к примеру, CobiT 5 или O-ISM3)
В качестве основной движущей силы СУИБ стандарт позиционирует лидерство (то, что ранее называлось приверженность руководства). Необходимость инициативы и приверженности высшего руководства организации обозначена более четко в новой версии стандарта. Причем высшее руководство должно разработать политику информационной безопасности и организационную структуру для СУИБ.
В главе, посвященной планированию, описан процесс управления рисками ИБ, состоящий из следующий стадий:
1. Оценка рисков ИБ:
1.1 Установление критериев принятия рисков и критериев для проведения оценки рисков ИБ.
1.2 Определение рисков и владельцев рисков.
1.3 Анализ рисков:
1.3.1 Определение последствий возникновения рисков
1.3.2 Определение вероятности возникновения рисков
1.3.3 Определение уровня рисков
1.4 Непосредственно оценить риски: сравнить с критериями и произвести приоритезацию
2. Обработка рисков ИБ:
2.1 Выбрать вариант по обработке риска.
2.2 Определить меры, которые необходимо использовать для реализации варианта обработки
2.3 Сравнить с каталогом целей и мер в Приложении А.
2.4 Разработать положение о применимости мер ИБ с обоснованием.
3.5 Разработать план по обработки рисков.
3.6 Согласовать с владельцами рисков план и получить согласие на принятие остаточных рисков.
Согласно стандарту, на стадии планирования организации также необходимо определить цели ИБ и меры для их достижения.
Основными факторами, необходимыми для поддержки СУИБ, согласно ISO 27001:2013, являются:
1. Ресурсы
2. Компетенция
3. Осведомленность
4. Коммуникации
5. Документирование
Причем документирование рассмотрено в стандарте более подробно.
Процесс оценки и обработки рисков должен производится регулярно в течение эксплуатации СУИБ, наряду с оперативным планированием и контролем.
В качестве основных способов для оценки результативности СУИБ являются:
1. Мониторинг, измерение, анализ и оценка.
2. Внутренний аудит.
3. Анализ со стороны руководства, базирующийся в том числе на результатах мониторинга и внутреннего аудита.
В конце повествовательной части даны требования по улучшению СУИБ при выявлении несоответствий, в том числе постулирована необходимость постоянного улучшения.
Каталог целей ИБ и мер по их достижению состоит из следующих доменов:
А.5 Политики ИБ
А.6 Организация ИБ
А.7 Безопасность, связанная с персоналом
А.8 Управление активами
А.9 Управление доступом
А.10 Криптография
А.11 Физическая безопасность и защита от окружающей среды
А.12 Безопасность при обработке информации
А.13 Безопасность связи
А.14 Приобретение, разработка и поддержка систем
А.15 Взаимоотношения с поставщиками
А.16 Управление инцидентами ИБ
А.17 ИБ при управлении непрерывностью бизнеса
А.18 Соответствие требованиям
Мне особенно понравились домены А.7 и А.15. Но, безусловно, необходимо отметить, что они более подробно рассмотрены в том же CobiT или лучших практиках CERT
На мой взгляд, про управление инцидентами ИБ необходимо было упомянуть и в основной части стандарта, т.к. этот процесс наряду с управлением рисками ИБ является основным в СУИБ.
Новая версия стандарта мне понравилась, видно развитие, хотя не такое сильное как в других методологиях, стандартах и лучших практиках.
Комментариев нет:
Отправить комментарий