Rambler's Top100
 
Статьи ИКС № 1 2019
Станислав ПРИЩЕП  17 января 2019

Как избежать двойных стандартов в информационной безопасности

Стандартизация в сфере информационной безопасности становится все важнее: сложность информационных систем, объем и значимость содержащихся в них данных непрерывно растут, появляются все новые нормативные требования. Какой стандарт предпочесть?

Наиболее распространенным и общепризнанным в мире сборником рекомендаций в сфере защиты информации является стандарт ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements.

История ISO и ISO 27001

Стандарт ISO/IEC 27001 по праву считается наиболее концептуальным и комплексным. Его история началась в 80-х годах прошлого века, когда Центр компьютерной безопасности Департамента торговли и индустрии Великобритании опубликовал рекомендации DTI CCSC User’s Code of Practice. Документ был разработан на основе политики информационной безопасности компании Royal Dutch Shell (ныне Shell). Он представлял собой перечень ключевых мер информационной безопасности, которым необходимо было следовать при работе с корпоративными мэйнфреймами. В 1993 году документ был доработан и опубликован Британским институтом стандартов (British Standards Institute, BSI) под названием Code of Practice for Information Security Management. Результатом дальнейшей доработки документа BSI стал изданный в 1995 году британский национальный стандарт BS 7799:1995, содержавший актуализированный перечень рекомендуемых для применения в организациях мер защиты информации. Однако выбор оптимальных для конкретной организации мер защиты информации оставался за рамками стандарта. Для решения этой проблемы в 1998 году BSI разработал стандарт-дополнение – BS 7799 Part 2:1998. Именно его можно считать прямым предшественником стандарта ISO/IEC 27001.

Важным событием в дальнейшей истории развития стандартов BS 7799 стало их признание со стороны Международной организации по стандартизации (International Organization for Standardization, ISO) и Международной электротехнической комиссии (International Electrotechnical Commission, IEC). В 2000 году техническим комитетом, созданным под эгидой этих организаций, был принят стандарт ISO/IEC 17799:2000, являющийся развитием стандарта BS7799-1. В 2005 году аналогичную процедуру прошел стандарт BS 7799 Part 2:1998, который получил название ISO/IEC 27001. С этого момента все международные стандарты менеджмента информационной безопасности, выпускаемые под патронажем ISO/IEC, входят в серию 270xx. Так, в 2007 году обновленная версия стандарта ISO/IEC 17799:2000 получила наименование ISO/IEC 27002. А образовавшаяся разница во времени между выпуском стандартов ISO/IEC 27001 и ISO/IEC 27002 была устранена в 2013 году, когда обновленные версии обоих стандартов были изданы одновременно (рис. 1).

 
Рис. 1. Хронология развития стандарта ISO/IEC 27001

В настоящее время серия 27xxx содержит более 30 стандартов по различным направлениям системы менеджмента информационной безопасности (СМИБ), начиная с уровня стратегического управления и контроля СМИБ и заканчивая техническими рекомендациями по применению отдельных программно-технических и организационных мер защиты информации. Все эти стандарты можно разделить на несколько групп (рис. 2).

 
Рис. 2. Группировка стандартов серии 27xxx

Базовые стандарты ISO/IEC 27001 и ISO/IEC 27002 со временем были дополнены следующими документами:
  • стандартом ISO/IEC 27000, описывающим терминологию и общий подход всей серии стандартов;
  • стандартом ISO/IEC 27003 с указаниями по порядку внедрения СМИБ;
  • стандартами по отдельным процессам СМИБ: измерению эффективности, риск-менеджменту, аудиту;
  • стандартами по направлениям стратегического управления ИБ и экономике СМИБ;
  • стандартами по особенностям СМИБ в специфических областях деятельности: телекоммуникационных услугах, финансовых операциях, обработке персональных данных в облачных сервисах, топливно-энергетическом комплексе, сообществах информационного обмена, организациях здравоохранения;
  • детальными требованиями к мерам защиты информации, в том числе по управлению инцидентами, сетевой безопасности;
  • руководствами по интеграции СМИБ с системами ИТ-менеджмента (ISO 20000) и системами обеспечения непрерывности деятельности (в том числе ISO 22301);
  • руководством по обеспечению кибербезопасности в соответствии с общим подходом и практиками СМИБ;
  • стандартами ISO/IEC 27006 и ISO/IEC 27021, описывающим требования к экспертам и аудиторам СМИБ.
Стандарты серии постепенно переводятся на русский язык и издаются в национальной системе стандартизации ГОСТ, находящейся в ведении Росстандарта России. По состоянию на 2018 год переведены и изданы стандарты с индексами ГОСТ Р ИСО/МЭК 27000, 27001, 27002, 27003, 27004, 27005, 27006, 27007, 27011, 27013, 27031, 27033, 27034 и 27037. Стандарты серии ISO/IEC 27xxx и ГОСТ Р ИСО/МЭК 27xxx в совокупности образуют целостную систему знаний и лучших практик в сфере обеспечения информационной безопасности в организациях любого масштаба и области деятельности.

Подход ISO 27001 к обеспечению информационной безопасности

Подход к управлению информационной безопасностью в настоящее время определяется двумя взаимосвязанными стандартами: ISO/IEC 27001 и ISO/IEC 27002 (рис. 3). Основную роль здесь играет стандарт 27001, содержащий рекомендации по менеджменту ИБ в организации на основе широко используемого в корпоративной среде цикла управления качеством PDCA (Plan, Do, Check, Act). Стандарт ISO/IEC 27002 носит скорее справочный характер, описывая набор возможных мер защиты информации, из которых организация может выбрать необходимые именно ей.

 
Рис. 3. Управление информационной безопасностью

Стандарт ISO/IEC 27001 дает рекомендации по функционированию СМИБ как комплексной системы, направленной на защиту информационных активов организации от угроз и, следовательно, минимизацию рисков. С точки зрения бизнеса СМИБ представляет собой одну из множества систем организации, к которой предъявляются определенные требования и которая должна оправдать ожидания и вернуть вложенные в нее средства (рис. 4).

 
Рис. 4. Место СМИБ в бизнесе организации

В соответствии с рекомендациями стандарта, СМИБ включает в себя полный комплекс действий по обеспечению информационной безопасности, в том числе организацию деятельности и управление рисками, а также непосредственное применение мер защиты информации. Делать выбор тех или иных способов защиты информации следует на основе оценки рисков ИБ, т.е. размера возможного ущерба от реализации угроз конфиденциальности, целостности и доступности информации. И, конечно, исходя из необходимости выполнения нормативных обязательств перед государством, партнерами и другими заинтересованными сторонами.

Таким образом, предлагаемый подход позволяет применять стандарт для реализации СМИБ в организациях любого масштаба и уровня нормативной зарегулированности.

Отметим также, что ISO/IEC 27001 совместим с другими стандартами систем менеджмента качества, такими как ISO 9001, ISO 14000, ISO 31000, ISO/IEC 38500, ISO/IEC 20000, ISO/IEC 22301 и др. Это позволяет использовать единый подход и принципы, общую терминологию, реализовать интегрированные процессы по направлениям контроля качества выпускаемой продукции, охраны окружающей среды, стратегического управления и управления ИТ-сервисами, обеспечения непрерывности деятельности организации, и, наконец, информационной безопасности. Что, в свою очередь, дает возможность построить структурированную и прозрачную систему менеджмента организации и повысить общую эффективность соответствующих процессов.

Реализация стандарта в сочетании с локальными нормативными требованиями к защите информации

Сегодня можно выделить следующие основные области нормативного регулирования СМИБ:
  1. Персональные данные.
  2. Критическая информационная инфраструктура.
  3. Защита АСУ ТП.
  4. Государственные информационные системы.
  5. Кредитно-финансовые системы.
Основными регулирующими органами при этом выступают ФСТЭК России, ФСБ России и Банк России. Несмотря на то что регуляторы формируют собственные подходы к защите информации, в каждой новой редакции их документов все больше видна связь с принципами и подходами стандарта ISO/IEC 27001.

В банковской среде принятие решений в области информационной безопасности на основе оценки рисков успешно применяется уже давно. Такой подход продиктован международными соглашениями Базельского комитета, нормативными документами и рекомендациями Банка России. Одним из первых отечественных отраслевых стандартов, разработанных с использованием ISO/IEC 17799 и BS 7799-2-2002, можно назвать издаваемый с 2004 года стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», известный как СТО БР ИББС-1.0. В 2017 году ему на смену пришел ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», призванный объединить подходы к обеспечению информационной безопасности всей банковской системы. Этот ГОСТ, как и СТО БР ИББС, предполагает выбор и реализацию мер защиты информации исходя из оценки рисков ИБ как части операционных рисков кредитной организации.

В нормативных документах ФСТЭК России и ФСБ России также все шире используется гибкая риск-ориентированная модель управления информационной безопасностью. Начиная с трансформации Приказа ФСТЭК № 58 в Приказ ФСТЭК № 21 и перехода от руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» к приказам ФСТЭК № 17 и № 31, одним из обязательных требований к разработке документов стало использование модели угроз информационной безопасности, по сути представляющей собой сокращенный вариант отчета об оценке рисков ИБ.

Таким образом, в нормативных требованиях и рекомендациях национальных регуляторов задействуются те же принципы и подходы к организации деятельности по защите информации, что и в стандартах ISO и IEC. А базой для реализации нормативных требований в единой СМИБ может служить стандарт ISO/IEC 27001. Какие же преимущества дает его использование? Их можно разделить на две категории: плюсы от внедрения в организации стандарта и положительные результаты реализации на его базе нормативных требований по защите информации.

К первой категории можно отнести:
  • единый и согласованный подход к защите информации во всей организации;
  • экономическое обоснование затрат на ИБ;
  • эффективную организацию деятельности по защите информации и предотвращению инцидентов;
  • возможность международной сертификации СМИБ для получения конкурентных преимуществ, демонстрации зрелости компании и повышения доверия клиентов и партнеров.
Преимуществами использования стандарта ISO/IEC 27001 в качестве базы для защиты коммерческой тайны и выполнения нормативных требований по защите персональных данных, банковской тайны, критической информационной инфраструктуры, государственных информационных систем, АСУ ТП, национальной платежной системы можно назвать:
  • общую систему организационно-распорядительной документации по обеспечению информационной безопасности в организации, минимизирующую дублирование документов, повышающую качество и удобство их использования, анализ и пересмотр;
  • концентрацию компетенций и знаний по обеспечению информационной безопасности в единой организационно-управленческой структуре;
  • оптимизацию затрат на внедрение организационных и технических мер защиты информации за счет реализации унифицированного набора мер защиты информации в масштабе всей организации;
  • снижение затрат на модернизацию и развитие системы информационной безопасности организации в случае изменения нормативных требований за счет возможности узконаправленной корректировки мер защиты вместо их полного пересмотра.
Недостатки подхода, ограничения и трудности внедрения стандарта

У предлагаемого стандартом подхода есть и ограничения. Основной – низкая детализация требований и, соответственно, необходимость привлечения для их реализации опытных экспертов высокого уровня. Это плата за гибкость и адаптивность стандарта.

Другим важным ограничением внедрения стандарта может стать «тяжелый багаж» устаревших правил и подходов к обеспечению защиты информации. Во многих компаниях процессы менеджмента годами формировались по пути избыточной формализации, и часто руководство неохотно берется за кардинальную перестройку системы.

В этом случае залогом успешной реализации требований стандарта является осознание руководством важности целей и задач информационной безопасности. Без поддержки топ-менеджмента внедрение стандарта невозможно, так как в основе принятия ключевых решений в СМИБ лежит готовность идти на необходимые изменения и ограничения, выделять финансовые и кадровые ресурсы.

Пример реализации ISO/IEC 27001 в крупной международной компании

Указанные выше преимущества наиболее ярко проявляются в крупных компаниях, которые имеют сложные информационные системы и вынуждены выполнять множество нормативных требований по защите информации. Примером реализации стандарта в такой организации может служить проект в одном из заказчиков СТЭП ЛОДЖИК – российском филиале крупной международной кредитно-финансовой компании, подпадающей под требования сразу трех регуляторов: ФСБ, ФСТЭК и Банка России.

Руководством компании была поставлена задача: реализовать российские нормативные требования по защите информации на базе используемого головной компанией стандарта ISO/IEC 27001, минимизировав при этом зависимость собственной СМИБ от центрального офиса. Выполнение этой задачи осложняли следующие факторы:
  • распределение процессов, персонала и программно-технических средств между действующей СМИБ филиала, головной организации и других филиалов за границей;
  • крайне ограниченные сроки реализации проекта;
  • широкий набор соблюдаемых нормативных требований.
Решение задачи было разделено на несколько этапов:
  • обследование существующей СМИБ;
  • формирование политики ИБ;
  • регламентирование собственных процессов цикла PDCA на уровне филиала;
  • формирование частных политик и процедур реализации мер защиты информации, исходя из нормативных требований.
В ходе обследования были проинспектированы активы и установлены области действия нормативных требований, разработана программа обеспечения информационной безопасности филиала. Следующим этапом проекта стала разработка единой политики ИБ, отражающей общие требования руководства к защите информации. Затем были разработаны и внедрены процедуры, регламентирующие порядок реализации процессов PDCA как основы деятельности СМИБ. И в завершение разработаны организационные документы, определяющие требования к реализации мер защиты информации и обеспечивающие выполнение нормативов. При этом процессы оценки рисков, обоснования и пересмотра мер защиты были интегрированы в процесс модернизации и создания информационных систем и вынесены за рамки проекта внедрения СМИБ. Это позволило плавно и безболезненно провести минимизацию рисков информационной безопасности и при этом выполнить нормативные правовые требования по защите платежной информации и персональных данных.

Итогом проекта стал набор организационно-распорядительных документов по информационной безопасности филиала, внедрение которых позволило:
  • реализовать СМИБ филиала в соответствии с нормативными правовыми требованиями;
  • сохранить тесную интеграцию с общей СМИБ группы компаний;
  • улучшить понимание руководством проблем и задач информационной безопасности;
  • улучшить согласованность локальных и глобальных мер защиты информации;
  • повысить скорость и качество пересмотра организационных документов при изменении глобальных политик и нормативных требований.
Практика внедрения стандарта за рубежом

На сегодняшний день ISO/IEC 27001 – один из самых динамично развивающихся стандартов по информационной безопасности. Об этом говорит не только заложенный в серию стандартов объем полезных знаний, но и статистика. По данным последнего опубликованного отчета ISO , с 2012-го по 2017 год количество сертифицированных СМИБ выросло более чем в два раза – с 19 тыс. до 39 тыс. Наибольшее количество сертификаций прошло в Японии, Китае, Великобритании, Индии, США, Германии, Италии и других странах Европейского союза. Тенденция к росту популярности стандарта, вероятно, закрепится – в связи с необходимостью создания эффективной системы менеджмента информационной безопасности для выполнения требований General Data Protection Regulation (GDPR).

Однако Россия по количеству выданных сертификатов (на 2017 год – 78) пока находится только в третьем десятке стран Европы, даже при том, что при подсчете учитывались сертификаты, выданные как в международной, так и в национальной системе сертификации (т.е. аудиторами, аккредитованными национальным органом по сертификации (Росстандарт), а не только International Accreditation Forum (IAF)).

По статистике за 2017 год, наиболее популярной была сертификация в ИТ-отрасли и телекоммуникациях. Можно предположить, что преобладание сертифицированных ИТ- и сервисных организаций во многом связано с передачей крупными компаниями своих ИТ-процессов на аутсорсинг и распространением облачных и сервисных услуг. В числе компаний-аутсорсеров можно назвать Google, Microsoft, Amazon, IBM, Atos Origin, CSC, BNP Paribas Partners for Innovation и др. Кроме того, множество компаний непублично следуют рекомендациям 27001, не сертифицируя собственную СМИБ.

Постоянный рост числа приверженцев стандарта во всем мире не случаен и объясняется преимуществами его применения. Так, опрос, проведенный компанией IT Governance в организациях, которые внедрили ISO/IEC 27001, дал следующие результаты:
  • 98% респондентов заявили о повышении уровня информационной безопасности;
  • 67% отметили актуальность стандарта в своей отрасли бизнеса;
  • 56% респондентов отметили новые конкурентные преимущества;
  • у 56% организаций выросла способность выполнять нормативные правовые требования;
  • 77% используют стандарт одновременно с другими инструментами контроля в сфере информационной безопасности;
  • 71% получали от клиентов запросы подтверждения соответствия требованиям ISO/IEC 27001.
* * *

По мере развития технологий, роста объема информационных ресурсов и появления новых нормативных требований увеличиваются и затраты на обеспечение информационной безопасности. Все важнее становятся вопросы обоснования расходов на СМИБ и эффективности ее деятельности. В таких условиях необходимо избежать дублирования процессов защиты информации, исключить корпоративные «двойные стандарты», поднять защиту информации на качественно новый уровень и оправдать вложенные в обеспечение информационной безопасности средства. Решить эти задачи позволяет внедрение в организации стандарта информационной безопасности ISO/IEC 27001. Признанный специалистами по ИБ во всем мире и набирающий популярность в корпоративной среде, стандарт допускает возможность получения международного или национального сертификата соответствия, что дает дополнительные преимущества и служит залогом доверия со стороны клиентов и партнеров.

Станислав Прищеп, начальник отдела консалтинга и аудита, департамент информационной и сетевой безопасности, СТЭП ЛОДЖИК
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!