• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

Метка: ISO 27001

image_pdfimage_print

Два способа обеспечить соответствие организации требованиям информационной безопасности. Опыт GlobalTrust

Проблема обеспечения соответствия в области ИБ

Нормативная база РФ в области защиты информации развивается и в ширь и в глубь, а вместе с ней постоянно ужесточается административная и уголовная ответственность за нарушение установленных требований. Чтобы прочувствовать всю серьезность данного вопроса можно, например, ознакомиться с КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных, предусматривающей миллионные штрафы для юридических лиц и сотни тысяч рублей для граждан и должностных лиц.

И это только одна из множества карательных статей. Еще серьезней обстоят дела в области регулирования безопасности объектов критической инфраструктуры, государственных информационных систем, платежных и банковских систем.

Если крупные бизнесы еще обладают достаточными ресурсами для реализации программ управления соответствием, то средний и малый бизнес порой оказывается совершенно беспомощным , неожиданно для себя сталкиваясь лицом к лицу с непреодолимыми нормативными требованиями в области ИБ. Будь то плановая или внеплановая проверка со стороны регулятора (Роскомнадзора, ФСТЭК, ФСБ, ЦБ РФ, Минфры), участие в тендере крупных заказчиков, заключении контрактов и т.д. Что делать бизнесу в такой ситуации?

Обширный многолетний опыт компании GlobalTrust в приведении организаций в соответствие с нормативными требованиями подсказывает два основных пути (две стратегии) решения данной проблемы.

Стратегия №1. Комплексный подход к обеспечению соответствия

Первая стратегия предполагает основательный подход к обеспечению соответствия требованиям ИБ, при котором организация обращается к специализированным компаниям, лицензиатам ФСТЭК России, для проведения комплекса мероприятий, призванных разом закрыть все узкие места.

Эти мероприятия начинаются с обследования организации, в ходе которого проводится интервьюирование и анкетирование должностных лиц, анализ внутренней регламентирующей документации, процессов, договоров, изучение состава и структуры корпоративной сети организации, инвентаризации и классификация активов, анализ угроз и многое другое.

По результатам обследования формируется внутренняя нормативная база организации в области ИБ, включающая в себя большой массив взаимосвязанных документов, разработанных с учетом существующих особенностей, возможностей и приоритетов организации.

Также производится проработка технических решений по системе защиты информации в формате техно-рабочего проекта с учетом принятых национальных стандартов в области проектирования защищенных систем. Затем осуществляется поставка, внедрение и сопровождение необходимых средств защиты информации и механизмов контроля.

Достоинства комплексного подхода к обеспечению соответствия

С соответствующими перечнями организационно-технических мероприятий можно ознакомиться, например, на сайте GlobalTrust в разделе Услуги. Такой основательный подход к обеспечению соответствия требованиям ИБ способен дать отличные результаты, при условии, что никто никуда не торопиться, а организация-заказчик способна и готова выделить достаточное количество финансовых средств и прочих ресурсов для решения данной задачи.

Ограничения комплексного подхода к обеспечению соответствия

Но во многих случаях ситуация такова, что нормативных требований много, они выглядят сложными и запутанными, а времени и средств на обеспечение соответствия этим требованиям у организации мало, т.к. на носу проверка регулятора, либо крупный тендер, либо заключение контракта с требовательным к ИБ заказчиком, либо просто надо закрыть данную проблему, отделавшись, при этом, малой кровью. Что делать в этом случае?

Стратегия №2. Начинаем с типовых документов

Существует более экономичная и быстрая стратегия обеспечения соответствия нормативным требованиям в области ИБ, позволяющая (на первых порах) пропустить наиболее трудоемкие этапы, связанные с проведением комплексного обследования организации и технического проектирования системы защиты информации). Основывается она на том соображении, что, поскольку нормативные требования и соответствующие проверки их выполнения носят сугубо формальный характер, то и процесс обеспечения соответствия им также должен носить формальный характер. Другими словами, на любое предписание регулятора в организации должны существовать внутренние документы, охватывающие данное предписания и закрывающие соответствующие вопросы (хотя бы на бумаге).

Это, конечно, не означает, что за этими документами ничего не стоит (не будем впадать в крайности), но в 99% проверяется именно наличие необходимой документации и прочих документальных свидетельств выполнения требований. Никто никогда не захочет разбираться в том, каким образом организация выполняет те или иные требования ИБ, если соответствующие процедуры, методы и средства не документированы (ну, разве что за большие деньги).

Таким образом, второй способ обеспечить соответствие требованиям ИБ заключается в использовании, разработанных в GlobalTrust, типовых организационно-распорядительных документов. Существуют наборы документов для операторов персональных данных, для финансовых организаций, для управления рисками ИБ, а также универсальные комплекты, охватывающие самый широкий круг требований по защите информации.

Достоинства подхода к обеспечению соответствия, основанного на использовании типовых документов

Эти документы с минимальными корректировками и дооформлением подойдут практически любой организации сразу и без существенных изменений, позволив обеспечить «бумажное соответствие» с минимально возможными затратами и в минимально возможный срок. После этого, организация сможет уже не торопясь и в меру своих реальных потребностей перейти к реализации процессов и мер, регламентируемых этими документами.

Ограничения подхода к обеспечению соответствия, основанного на использовании типовых документов

Есть здесь одно но. Приобретать комплекты документов за деньги, конечно, не хочется, т.к. существует общее представление о том, что в интернете можно найти все необходимое бесплатно, либо попросить у друзей. Другое дело приобретать за огромные деньги коммерческое ПО, но к этому уже все привыкли и за ценой никто не постоит, а вот с документацией ситуация иная.

Типовые документы — это комплексная услуга

Это так и выглядит, но только если смотреть на типовые документы как на продукт. Если это просто бумажка, которой вы собираетесь прикрыть причинное место, то разницы где вы ее возьмете особой нет. Но дело в том, что прикрыться просто так не получится. Эти бумажки надо правильно оформить, правильно позиционировать, адаптировать к особенностям организации, согласовать со всеми заинтересованными лицами, быть готовым отвечать на вопросы по содержанию этих бумажек и их взаимосвязям, устранить замечания проверяющих, доработать под свои реальные нужды, а затем еще и поддерживать в актуальном состоянии. Ведь за каждым организационно-распорядительным документом (политикой, положением, регламентом и т.п.) стоит набор весьма значимых для организации процессов, процедур, контролей и защитных мер.

Весь этот комплекс мероприятий по обеспечению соответствия требованиям ИБ (в их бумажной части) уже заложен GlobalTrust в стоимость комплектов типовых документов, включая гарантии соответствия требованиям нормативной базы и устранения возможных несоответствий, актуализацию документов и консультирование по их оформлению, доработке и адаптации, консультационную поддержку согласования и внедрения документов.

Выбор подхода к обеспечению соответствия: классика или agile

Развивая аналогию с ПО, где существует классическая (долгая) схема разработки и более легкая и востребованная на практике agile-стратегия, в области обеспечения соответствия требованиям ИБ организация может выбрать классическую схему – комплексный проект, либо agile-подход – типовые документы по ИБ с их последующей доработкой и внедрением.

Александр Астахов, GlobalTrust

ISO/IEC 27001:2022 и ISO/IEC 27002:2022: Ключевые обновления и идеи

Международный стандарт на системы менеджмента информационной безопасности ISO 27001 и сопутствующий ему стандарт ISO 27002 были обновлены в 2022 году. В этой статье рассказывается о наиболее заметных изменениях этих стандартов.

Изменения ISO/IEC 27001:2022

ISO 27001:2022 существенно не отличается от ISO 27001:2013, но есть некоторые заметные изменения. Однако большинство из них относятся к Приложению SL, структуре высокого уровня, общей для всех новых стандартов систем менеджмента ISO, а не к информационной безопасности:

  • Контекст и область действия. Теперь вы должны определить «релевантные» требования заинтересованных сторон и определить, какие требования будут удовлетворяться посредством СМИБ, которая теперь должна явно включать в себя «необходимые процессы и их взаимодействие».
  • Планирование. Цели информационной безопасности теперь должны контролироваться и «быть доступными в виде документированной информации». Появился новый подраздел, посвященный планированию изменений в СМИБ. Здесь не указаны какие-либо процессы, которые должны быть включены, поэтому вам следует определить, как вы можете продемонстрировать, что изменения в СМИБ действительно были запланированы.
  • Поддержка. Требования по определению того, кто будет коммуницировать, и процессы осуществления коммуникации были заменены требованием определить, «каким образом следует коммуницировать».
  • Операции. Требование планировать способы достижения целей информационной безопасности было заменено требованием установить критерии для процессов реализации действий, определенных в разделе 6, и управлять этими процессами в соответствии с этими критериями. От организаций теперь требуется контролировать «предоставляемые из-вне процессы, продукты или услуги», имеющие отношение к СМИБ.
  • Приложение. Приложение А было пересмотрено для приведения его в соответствие с ISO 27002:2022. Механизмы контроля согласно Приложению А обсуждаются в разделе ниже.

Каковы изменения контроля в Приложении А?

Некоторые механизмы контроля Приложения А были объединены, а также было добавлено 11 новых:

  • Несмотря на то, что никакие контроли не были удалены, в ISO 27001:2022 перечислено только 93 контроля, а не 114 как в ISO 27001:2013. Это связано с большим количеством объединенных контролей (24 вместо 56).
  • Эти контроли сгруппированы в 4 «темы», а не в 14 областей контроля, как раньше. Они включают в себя:
    • Кадровые (8 контролей)
    • Организационные (37 контролей)
    • Технологические (34 контроля)
    • Физические (14 контролей)
  • Совершенно новые контроли:
    • Разведка угроз
    • Информационная безопасность при использовании Облачных сервисов
    • Готовность ИКТ к обеспечению непрерывности бизнеса
    • Мониторинг физической безопасности
    • Управление конфигурацией
    • Удаление информации
    • Маскирование данных
    • Предотвращение утечки данных
    • Мониторинг активности
    • Веб-фильтрация
    • Безопасное кодирование
  • В ISO 27002 контроли также имеют пять типов «атрибутов», чтобы их было легче классифицировать:
    • Тип контроля (превентивный, детектирующий, корректирующий)
    • Свойства информационной безопасности (конфиденциальность, целостность, доступность)
    • Концепции кибербезопасности (идентификация, защита, обнаружение, реагирование, восстановление)
    • Операционные возможности (стратегическое управление, управление активами и т. д.)
    • Домены безопасности (стратегическое управление и экосистема, защита, оборона, устойчивость)

Что изменилось в ISO 27002?

Фраза «свод правил» (“code of practice”) была исключена из названия обновленного стандарта ISO 27002. Это лучше отражает его цель как эталонного набора мер по обеспечению информационной безопасности.

Сам стандарт значительно длиннее предыдущей версии, а элементы управления были переупорядочены и обновлены, как описано в разделе выше.

Как обновление ISO 27001 повлияет на вашу организацию?

Если вы находились на стадии внедрения предыдущей версии стандарта, не паникуйте. Органы по сертификации, скорее всего, предложат сертификацию по стандарту ISO 27001:2022 всего через шесть месяцев после его публикации. Кроме того, стандарт ISO 27001:2013 будет сохранен еще на три года, так что ваша работа по внедрению стандарта 27001:2013 не пропадет. Однако вы можете использовать новые контроли согласно Приложению А из ISO 27001:2022 в качестве альтернативного набора контролей.

Если вы уже сертифицированы по стандарту ISO 27001:2013, помните, что у вас будет время («Переходный период») для полного перехода на новые требования. Однако лучший момент для этого — перед следующим внутренним аудитом , независимо от того, прошли ли вы сертификацию давным давно или только находитесь в процессе сертификации.

Внутренний аудит ISO 27001 включает детальную оценку СМИБ вашей организации, чтобы убедиться в ее соответствии критериям стандарта. Это позволит вам оценить, правильно ли вы отразили в СМИБ изменения, не подвергая риску статус вашей сертификации. Рекомендуется проведение внутреннего аудита как минимум за три месяца до проведения внешней оценки. Это позволит выявить любые потенциальные несоответствия и исправить их до прихода внешнего оценщика.