Rambler's Top100
Статьи ИКС № 9 2007
А. МЕДВЕДЕВ  16 сентября 2007

«Овчинка и выделка» сертификации СУИБ

Первым российским оператором, получившим сертификат соответствия стандарту ISO/IEC27001:2005, стал «Межрегиональный ТранзитТелеком» (МТТ). Почему компания решила пройти непростой путь сертификации и что получила в итоге помимо красивого документа?

После получения МТТ лицензии на предоставление международной связи встал вопрос взаимодействия с зарубежными операторами. Убедить партнеров в качестве сетевых сервисов, защищенности сети и эффективности системы ИБ, а также в соответствии этих показателей мировым стандартам можно было лишь одним способом - подтвердить соответствие СУИБ стандарту ISO/IEC27001:2005, пройдя аудит и получив независимую оценку международного органа по сертификации. В роли последнего выступил British Standards Institute (BSI).

Следует подчеркнуть, что подготовка к сертификации велась по наиболее «классическому» сценарию - одновременно с построением СУИБ, отвечающей за управление процессами обеспечения СИБ, т.е. все процессы и требования стандарта закладывались в СУИБ изначально.

 
Краеугольные камни здания СУИБ

Отправная точка в создании СУИБ - выбор области, на которую распространялись бы требования стандарта. Затем необходимо определить наиболее важный для организации сегмент бизнесдеятельности, требующий максимальной защиты. При этом надо понимать, что чем больше будет ключевой сегмент, тем более дорогостоящим - как с финансовой точки зрения, так и трудозатрат - окажется процесс создания СУИБ.

Областью сертификации руководство МТТ выбрало сегмент автоматизированной системы расчетов (биллинг) как один из критичных участков (другой столь же критичный - транзитная сеть) предоставления операторских сервисов. Ценность этого «производственного участка» для телекоммуникационных компаний - в его информационных ресурсах, которыми оперирует система расчетов и которые требуют гарантий конфиденциальности, целостности и доступности конечных данных, используемых для выставления счетов за услуги.

Итак, область выбрана, работы по внедрению СУИБ согласованы с руководством - можно приступать к формированию, документированию и внедрению процессов системы управления ИБ. Консультантом при создании СУИБ стала компания «Инфосистемы Джет».

Важнейшим документом, без которого нечего и думать о соответствии требованиям стандарта, является описание бизнес-процессов области деятельности, поскольку СУИБ создается для обеспечения безопасности бизнеспроцессов и их непрерывного функционирования. В СУИБ должны быть четко определены требования к жизненному циклу документации, описывающие процесс работы с документацией, обеспечивающие стандартизацию, контроль движения, доведения до сотрудников, отзыва и хранения документов. Другое требование стандарта - разработка и документирование плана обеспечения непрерывности бизнеса организации.

Для процессов, внедрения которых требует стандарт, необходимо создать замкнутый и непрерывный «цикл улучшения». Непрерывность, своевременная реакция на инциденты и отклонения в работе процессов контролируются внутренними аудиторскими проверками и проверочными аудитами внешнего органа по сертификации. Внутренний аудит направлен на выявление несоответствий и полностью документируется. Для эффективного устранения несоответствий в работе СУИБ используется процедура управления корректирующими и предупреждающими действиями.

Важно помнить, что формализованы и взаимосвязаны должны быть все процессы. Эффективность их функционирования по обеспечению ИБ подтверждается независимой проверкой аккредитованным органом по сертификации. Его положительное заключение - не только свидетельство «правильной» СУИБ и надежности СИБ, но и показатель качества и профессионализма сотрудников ИБ-подразделений.

 

Управление процессами - ключ к защите сети

Стандарт ISO/IEC27001:2005 был выпущен BSI в 2005 г. с целью унифицировать процедуры эффективного управления безопасностью. Основанный на лучших мировых практиках, он предъявляет требования к процессам, обеспечивающим функционирование системы управления ИБ, их постоянный мониторинг и улучшение. Стандарт четко определяет ключевые процессы, которыми необходимо управлять при обеспечении ИБ в организации. У ISO/IEC27001:2005 много общего с другим нормативом - ISO/IEC9001:2000 (область действия - системы управления качеством), и если в организации уже внедрены процессы последнего, то объем работ значительно сокращается. Общие процессы, внедрение которых обязательно для обоих стандартов, приведены в табл. 1.

Обязательное требование ISO/IEC 27001:2005 - создание политики информационной безопасности для организации. Обозначены и требования, определяемые политикой. Являясь стандартом управления информационной безопасностью, ISO/IEC 27001:2005 предъявляет требования и к механизмам контроля. Последние (их 133) пронумерованы и обязательны к применению для успешного прохождения сертификационного аудита. Правила использования механизмов должны быть документированы для каждой области деятельности (процедура «применимость механизмов контроля» - неотъемлемое приложение к сертификату соответствия), причем важно указать процесс, обеспечивающий этот контроль.

Кстати, зачастую в процессе создания документа о применимости механизмов контроля в системе безопасности обнаруживаются «черные дыры». Кроме того, этот документ применяется и для анализа рисков, а механизмы - в качестве контрмер - для снижения уровня риска. Аудиторы используют его как основу для проведения проверок и опросов сотрудников.

 

Анализ рисков

В основе и СУИБ, и ISO/IEC27001:2005 лежит анализ рисков. Это самый сложный и самый трудозатратный процесс. Условно он делится на несколько этапов. Первый - идентификация активов, обеспечивающих бизнес-процессы области деятельности, и их оценка по степени критичности, а также выявление угроз, характерных для этих активов. Второй - разработка методологии (или использование существующих методов анализа, в том числе автоматизированных) анализа рисков. Третий этап - планирование обработки рисков, когда документально определяются необходимые контрмеры для приведения уровня рисков к приемлемому для организации (документ утверждается гендиректором).

План обработки рисков - это перечень работ, выполняемых в определенный промежуток времени (пересмотр плана должен осуществляться с заданной периодичностью). Анализ рисков позволяет обосновать необходимость внедрения механизмов контроля, формализацию процессов для руководства. Именно здесь сформулированы требования к обеспечению безопасности бизнеса в реальных условиях существования организации.

Входные данные для анализа рисков - инциденты ИБ, обработка которых должна вестись практически в масштабе реального времени, поэтому стандарт требует документирования процесса реагирования на инциденты ИБ и их регистрации. Кроме того, важно показывать руководству, что анализ рисков строится не на абстрактных фактах, а на реальных событиях ИБ, характерных для организации. Такой подход позволяет максимально приблизить анализ рисков к реалиям бизнеса.

 

Оценка эффективности СУИБ

Любая система должна оцениваться с точки зрения эффективности, следовательно, необходимо определить критерии ее оценки. Стандарт ISO/IEC27001:2005 требует постоянного улучшения процессов обеспечения СУИБ, а значит, должен быть разработан и утвержден процесс мониторинга эффективности. В соответствии с критериями, которые согласовываются и утверждаются руководством, производится оценка эффективности функционирования СУИБ. Это позволяет выявлять слабые места и упущения в существующей системе и своевременно принимать меры к их локализации. Документированные в МТТ процессы стандарта ISO/IEC27001:2005, а также эффект от их внедрения и использования представлены в табл. 2.

Кроме того, при использовании механизмов контроля, обеспечение которых осуществляется техническими системами, необходимо проводить расчет возврата инвестиций (ROI) для этих систем. На основании ROI и анализа инцидентов ИБ принимаются решения о пересмотре политики безопасности для технических систем и оценка их эффективности для обеспечения ИБ бизнес-процессов.

Обязательное требование стандарта - вовлечение руководства в организацию и принятие решений с целью более эффективного обеспечения функционирования процессов СУИБ. Руководству с заданной периодичностью представляются данные о событиях ИБ для их анализа. Исходной информацией для него служат инциденты, результаты внутренних и внешних аудитов, итоги выполнения плана обработки рисков и выходные данные мониторинга эффективности. Такие отчеты позволяют оценить состояние дел в области ИБ, своевременно скорректировать меры или указать важнейшие направления для обеспечения надлежащего уровня безопасности бизнеспроцессов.

Для повышения эффективности процессов необходимо вовлечь в обеспечение ИБ организации всех сотрудников, занятых в данной области. Основная проблема, на которую обращают внимание аудиторы при проведении сертификационных проверок, - неосведомленность персонала о документах и процессах СУИБ. Ведь если сотрудники ничего об этом не знают, то и обеспечить функционирование процессов СУИБ в организации невозможно.

Получение сертификата МТТ предваряли следующие процедуры:

  • внутренний аудит на соответствие стандарту 27001:2005, выявление несоответствий стандарту (исполнители - специалисты МТТ и «Инфосистемы Джет»);
  • составление плана работ по устранению несоответствий и документированию процессов обеспечения СУИБ и их внедрение, в том числе обучение сотрудников, внутренние аудиты, проверка понимания и выполнения процессов сотрудниками (исполнители - МТТ и «Инфосистемы Джет»);
  • предсертификационный аудит BSI, по результатам которого BSI представляет предварительный отчет о состоянии ИБ, где указаны найденные несоответствия стандарту (исполнители - аудиторы BSI);
  • устранение несоответствий, обнаруженных в ходе предсертификационного аудита BSI (исполнители - МТТ и «Инфосистемы Джет»);
  • окончательный сертификационный аудит (исполнители - аудиторы BSI).
  • Положительное заключение о выдаче сертификата по результатам проверочного аудита поступило в декабре 2006 г. Сертификационный аудит подтвердил должный уровень соответствия стандарту ISO/IEC27001:2005, сертификат соответствия получен в феврале 2007 г

 

Сертификат не вечен

Срок действия сертификата на соответствие стандарту ISO/IEC27001:2005 - три года. На протяжении всего срока его действия орган по сертификации, выдавший положительное заключение о соответствии стандарту состояния СУИБ в организации, проводит ежегодные внешние аудиторские проверки. Цель аудита - постоянный контроль процесса обеспечения ИБ; косвенный результат - получение достоверной информации о состоянии ИБ в организации из независимого источника.

Через три года после получения первоначального положительного заключения о соответствии СУИБ требованиям стандарта проводится ресертификационный аудит, по результатам которого выдается заключение о соответствии или несоответствии системы ИБ требованиям. В случае положительного заключения выдается новый сертификат, и цикл процесса повторяется.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!