ISO 27001: какой путь лучше?
Внедрение технических средств защиты информации в корпоративную сеть – лишь одна из мер на пути к построению комплексной системы информационной безопасности. Установку антивирусов, межсетевых экранов, средств обнаружения вторжений и т. д. образно можно сравнить со строительством оборонительных башен и стен. Но если на башнях не разместить дозорных, не утвердить единых правил дежурств, несения караула, пропуска гостей через ворота, оповещения при нештатных ситуациях, то выстроенные сооружения останутся грудой камней при первой же атаке неприятеля.
Система управления информационной безопасностью (СУИБ) выполняет схожую функцию: она служит для объединения всех применяемых защитных и организационных мер в управляемый комплекс, соответствующий уровню актуальных угроз и позволяющий достигать цели – обеспечения информационной безопасности – на уровне всей компании.
Международный стандарт ISO/IEC 27001 описывает требования для создания, развития и поддержания системы управления информационной безопасностью и подробно разъясняет, какие преимущества она дает компании. Это и соблюдение законов и других нормативных актов, и соответствие требованиям корпоративного управления и непрерывности бизнес-процессов, и обеспечение конкурентных преимуществ в глазах клиентов (которым будет демонстрироваться, что защита их информации является первостепенной задачей для компании), и подтверждение наличия политики риск-менеджмента в области ИБ, и регулярная оценка, контроль эффективности, своевременные обновления, и, наконец, повышение компетентности персонала в области ИБ.
Последний пункт требует пояснения. Большое количество инцидентов ИБ связано с человеческим фактором, поэтому важно, чтобы персонал понимал необходимость соблюдения соответствующих правил. СУИБ включает в себя управление человеческими ресурсами, что позволяет поддерживать необходимый для бизнеса уровень осведомленности сотрудников.
Сертификация СУИБ по международному стандарту ISO/IEC 27001 подтверждает высокое качество предоставляемых услуг и обеспечивает выгоду как самой компании, так и другим заинтересованным сторонам – потребителям, собственникам и инвесторам. Но прежде чем говорить о плюсах, необходимо привести саму СУИБ в соответствие требованиям стандарта.
Десять шагов
Многим организациям процесс сертификации СУИБ на соответствие требованиям ISO/IEC 27001 кажется сложным и дорогостоящим. Но это совсем не так. Основываясь на собственном опыте реализации проектов, мы сформулировали 10 основных шагов к подготовке и сертификации СУИБ:
1. Выбираем процесс(ы) (область деятельности), который(е) будем сертифицировать.
2. Собираем команду; если необходимо, то привлекаем специалистов.
3. Проводим внутренний аудит с целью определить текущее состояние СУИБ компании.
4. Проводим идентификацию ресурсов, которые входят в выбранную область деятельности.
5. Определяем ценность ресурсов.
6. Считаем риски.
7. Готовим пакет документов: политики, стандарты, положения, процедуры и т. п.
8. Внедряем политики, стандарты, положения, процедуры и т. п.
9. Проводим внутренний аудит и оценку СУИБ с учетом проведенной работы по внедрению организационных и технических мер.
10. Подаем заявку на сертификационный аудит.
Как избежать ошибок при подготовке к сертификации
Процесс подготовки СУИБ к сертификации трудоемкий и зачастую не обходится без ошибок. В таблице 1 мы постараемся проанализировать причины основных заблуждений и дать советы, как их избежать.
Перечисленные типовые ошибки совершают почти все, кто решил получить сертификат ISO/IEC 27001. Так как же лучше поступить: строить и внедрять СУИБ самостоятельно или воспользоваться услугами аутсорсинговой компании? У каждого пути есть свои особенности.
Аутсорсинг или самостоятельное внедрение
Передавая процессы управления информационной безопасностью на аутсорсинг, организация получает следующие преимущества:
? Экономию времени и средств на внедрение этих процессов управления в организации. Процессы стартуют сразу после заключения соответствующего соглашения об уровне сервиса; для их реализации используется готовая методология и инструментарий.
? Более высокий уровень качества и эффективности процессов управления благодаря привлечению высококвалифицированных специалистов внешних организаций.
? Существенное сокращение операционных расходов на обеспечение ИБ, поскольку стоимость аутсорсинга, как правило, не превышает расходов на заработную плату одного специалиста соответствующей квалификации, которого организация может нанять для реализации процессов управления безопасностью.
? Значительную экономию на технических и программных средствах за счет использования имеющихся в распоряжении аутсорсера инструментов для проведения инвентаризации ресурсов, оценки рисков, оценки соответствия требованиям стандартов, разработки политик и регламентов, планирования внутреннего аудита, подготовки отчетности и т. п.
? Более высокую независимость и объективность внешних специалистов. Аутсорсинговые компании дорожат своей репутацией и нацелены на качественное выполнение условий договора (в отличие от заинтересованных в скорейшем завершении работ штатных сотрудников организации ).
Самостоятельное построение и внедрение системы управления информационной безопасностью требует значительных затрат на начальном этапе, но позволяет сократить расходы в дальнейшем, а также повысить компетентность персонала в области ИБ, а кроме того – обеспечивает независимость от внешних организаций.
На основании проведенного анализа основных преимуществ каждого из рассматриваемых способов можно сделать выбор того, что лучше именно для вашей компании. Выбор зависит от ваших пожеланий, возможностей и доступных ресурсов.
Делимся опытом
Теперь, когда мы рассказали об основных шагах и подстерегающих ошибках при подготовке и сертификации СУИБ, хотелось бы поделиться несколькими полезными советами, которые помогут достичь поставленной цели проще и быстрее.
Во-первых, необходимо составить чек-лист бизнес-процессов и выбрать для сертификации наиболее критичные с точки зрения ИБ. Как уже говорилось, не нужно пытаться сертифицировать все. Составление чек-листа позволит систематизировать процессы и, как следствие, сэкономить в среднем до шести месяцев работы и денежные средства, которые могли быть потрачены за это время.
Во-вторых, необходимо создать рабочую группу. Напоминаем: безопаснику нужна команда! Состав рабочей группы определяется в соответствии с выбранными для сертификации бизнес-процессами и задействованными в них подразделениями. Рабочая группа должна состоять как минимум из трех человек: это могут быть директор компании, специалист по информационной безопасности, директор по финансам и развитию, а также системный администратор и, например, секретарь (ответственный за работу с документами).
В-третьих, немаловажной частью подготовки к сертификации является написание документов. Любой документ должен содержать:
· цель создания;
· область действия, роли и обязанности задействованных сторон/лиц;
· ссылки на перекрестные документы;
· основная часть документа должна содержать суть политики (в том числе описание различных процедур);
· раздел о пересмотре документа с указанием частоты (не реже раза в год);
· историю изменений.
В-четвертых, документы по обеспечению информационной безопасности должны быть написаны максимально простым языком, чтобы их требования могли понимать и исполнять люди, далекие от защиты информации. Учитывайте, что аудитору придется изучить все ваши документы и проверить выполнение указанных в них требований. Чем проще и точнее будут описаны процессы защиты, тем проще будет вашей компании и аудитору.
Пару слов о самих аудиторах. Обычно они не задают сложных вопросов, а ограничиваются базовыми и понятными вещами: как обрабатывается корреспонденция, что делать, если человека нет на месте, кто выполняет обязанности отсутствующего начальника и т. д. Обратите внимание на порядок действий при нештатных ситуациях (часто рассматривают нештатные ситуации, связанные с ИТ, но почему-то забывают о пожарах, наводнениях или невозможности пройти в офис при очень большом количестве выпавшего снега).
Не стоит забывать о документах, не указанных в стандарте, например внутренних распорядительных документах компании: приказах, распоряжениях, протоколах, актах и др. Создание СУИБ должно начинаться с приказа о решении создать и внедрить СУИБ.
Необходимо, чтобы весь персонал понимал важность внедрения СУИБ: сотрудники должны действовать как единое целое. Поэтому руководству компании очень важно донести до подчиненных необходимость ответственно относиться к своим ролям. Если руководство не понимает важности проекта, что можно требовать от рядовых сотрудников?
И наконец, проверка временем. Пусть с момента построения и внедрения СУИБ пройдет не менее полугода – это хорошая возможность проверить ее работоспособность: провести внутренний аудит, внести необходимые корректировки и исправить недочеты. К тому же это проявление уважения к аудитору. Представьте, что он пришел и обнаружил недочеты в вашей СУИБ – ему ведь придется идти к вам снова, а вам придется снова платить за его визит.
В заключение хочется подчеркнуть: правильно распланированный процесс построения СУИБ пройдет намного легче и быстрее. Главное – чтобы все участники процесса понимали важность своих задач и несли ответственность за их выполнение.
Опубликовано 17.03.2015