Внедрение СУИБ - шаг за шагом
9 декабря 2008 ИБИнформационная безопасность
#6, декабрь, 2008 г.
Виктор Гудков, ведущий системный аналитик отдела информационной безопасности компании Открытые Технологии.
Преимущества организации, в которой есть система управления информационной безопасностью, сертифицированная на соответствие требованиям международного стандарта ISO/IEC 27001:2005 (далее по тексту — ISO 27001), весьма значительны и включают такие аспекты, как исключение неприемлемых рисков, связанных с эксплуатацией ИТ-систем, оптимизацию затрат на обеспечение ИБ за счет более эффективного использования имеющихся средств, повышение осознанности и управляемости процессов обеспечения ИБ.
Ожидаемые результаты внедрения СУИБ
Так что же приобретет организация, в которой ведется проект внедрения и сертификации СУИБ?
Ответ первый, по-военному короткий и четкий и часто наиболее соответствующий ожиданиям высшего руководства, -сертификат соответствия.
Ответ второй, формальный, -будет разработана документация СУИБ, соответствующая разделам 4-8 стандарта ISO 27001. В ходе разработки частных политик и процедур будут использоваться Приложение "А" и стандарт ISO/IEC 27002 (17799):2005, в качестве методологии управления рисками — стандарт BS 7799-3:2006. Далее будет заключен договор на проведение обучения внутренних аудиторов и сертификацию, по результатам которой компания получит сертификат.
Ответ третий, развернутый, — будет определена область действия СУИБ; разработаны высокоуровневые политики ИБ и СУИБ с целями и подходами организации в области управления ИБ, процессная модель менеджмента ИБ; проведен анализ негативных последствий воздействий на ИТ-си-стемы, выбрана методика, оценены и обработаны риски. Результаты будут утверждены высшим руководством, на их основе и в соответствии с лучшими практиками разработаны регламенты и процедуры, закуплено и введено в эксплуатацию необходимое ПО и оборудование. Кроме того, будут разработаны положение о применимости и ролевая модель СУИБ, проведено обучение внутренних аудиторов, начнется эксплуатация СУИБ и регулярные внутренние аудиты, оценка ее эффективности, на основании которой будут предприниматься необходимые корректирующие и предупреждающие действия. СУИБ пройдет предсертификационный аудит и после устранения замечаний — сертификационный, и через месяц-полтора будет получен сертификат соответствия.
Зрелость процессов
Что будет с построенной СУИБ через год-полтора, когда придет пора подтверждать сертификат, — зависит от самой организации и подхода к управлению, принятого в ней в целом.
Основные проблемы, проявляющиеся как в ходе построения, так и эксплуатации СУИБ, соответствующей требованиям ISO 27001, связаны с тем, что этот стандарт требует высокой зрелости процессов в регламентируемой области.
Зрелость процессов управления и эксплуатационных процессов ИТ и ИБ удобно оценивать по модели, предлагаемой стандартом СоbiТ. Модель содержит шесть уровней зрелости — от 0 (полного отсутствия процесса и даже осознания необходимости такого процесса в организации) до 5 (документированного, оптимизированного, основанного на лучших практиках, с обученными участниками процесса, непрерывным улучшением самого процесса на основе оценок качества его работы, со сквозной автоматизацией).
Тем не менее было бы совершенно неправильно говорить, что, например, все процессы успешной организации "Б" должны иметь уровень не ниже четвертого. Невысокая зрелость процессов не означает, что они плохие. Это всего лишь значит, что организации удобны именно такие процессы. Все попытки быстрого искусственного повышения зрелости, за исключением, наверное, организаций с военной дисциплиной, будут наталкиваться на противодействие со стороны рядовых сотрудников и даже руководителей, так как требуют от них помимо исполнения основных обязанностей дополнительной бюрократии, что влечет за собой замедление работы.
Обобщенная оценка зрелости СУИБ, соответствующей требованиям ISO 27001, соответствует положению между 4 и 5 по шкале зрелости СоbiТ, что означает полное соответствие четвертому уровню при наличии некоторых элементов пятого.
Совместимость организации и СУИБ
Для многих организаций с небольшим ИТ- и еще меньшим ИБ-подразделением в области менеджмента ИБ гораздо ближе второй уровень, когда "... одни и те же процедуры исполняются одинаково разными людьми, решающими одну и ту же задачу. Отсутствует формальное обучение исполнению стандартных процедур. Организация полагается на компетенцию отдельных специалистов, поэтому вероятны ошибки" (СоbiТ 4.1, Figure 13-Generic Maturity Model).
Внедрение СУИБ с целью сертификации в такой организации может пойти по двум путям: глобальный консалтинг и мучительное повышение зрелости организации прямо по ходу ведения проекта (случай редкий, так как он противоречит интересам как спонсора проекта со стороны заказчика, так и интегратора или консалтинговой компании, осуществляющей внедрение, а также ведет к выходу проекта за сроки и бюджет) либо формальная подготовка необходимой документации (а она получится объемом 250-400 страниц), обучение ответам на вопросы аудиторов с последующим откладыванием получившейся стопки документов в сторону... до следующего аудита. Безусловно, некоторые сдвиги в осознании необходимости управления обеспечением ИБ в организации произойдут, но их будет мало по сравнению с потраченными усилиями.
В организации с более высоким уровнем зрелости, например 3+ (третий с элементами четвертого и местами пятого), внедрение СУИБ пройдет гораздо легче, так как организация уже осознает необходимость качественного управления своей деятельностью, в ней существуют и реально работают соответствующие процессы. Основные усилия по построению СУИБ будут направлены на подтверждение соответствия существующих практик обеспечения ИБ требованиям стандарта и создание тех элементов СУИБ, которых не хватает организации. Созданная документация будет использоваться в повседневной жизни и улучшаться по мере необходимости.
Организации, достигшей пятого уровня, внедрение СУИБ не нужно. Ей необходим небольшой объем консалтинговых услуг по подготовке к сертификации, которая пройдет легко и незаметно для организации. Возможно, аудитор почерпнет для себя нечто новое в практике управления ИБ.
Как внедрить СУИБ
Как внедрять СУИБ и подтверждать соответствие требованиям стандарта ISO 27001 в организации с миллиардными оборотами, но невысокой зрелостью процессов в области обеспечения ИБ?
Чтобы организация извлекла из проекта максимум выгоды, необходимо построить СУИБ в соответствии с требованиями и подходами, приведенными в стандарте, но с уровнем зрелости, который позволит организации воспринять ее не как чужеродный объект. Такая система, естественно, не сможет сразу пройти сертификацию, но ее работа будет приносить реальную пользу, помогать решать насущные проблемы обеспечения ИБ и в то же время способствовать повышению зрелости процессов управления обеспечением ИБ и организацией в целом. Неотъемлемой частью такой СУИБ является программа повышения зрелости, в которой как минимум зафиксировано исходное состояние организации на момент внедрения, определены критерии достаточной для сертификации зрелости СУИБ, сроки проведения сертификации и промежуточные контрольные точки, а как максимум — установлены долгосрочные цели развития и совершенствования СУИБ.
Решиться на такой путь внедрения СУИБ непросто — ведь деньги и время специалистов придется расходовать уже сейчас, а получение ряда формальных выгод откладывается на существенно более поздний срок. Но любая дорога начинается с первого шага, и главное — сделать его в правильном направлении и быть последовательным и настойчивым в этом движении.
Предыдущая новость:
CNews FORUM 2008: рост в условиях кризиса
Следующая новость:
Как уберечь информацию от утечки из информационных систем