Разработчики международных стандартов
ISO (Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ISO или IEC, участвуют в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности. Технические комитеты ISO и IEC сотрудничают в областях взаимных интересов. Другие международные организации, правительственные и не правительственные, совместно с ISO и IEC также принимают участие в этой работе. В области информационных технологий, ISO и IEC организован совместный технический комитет, ISO/IEC JTC 1. Основной задачей совместного технического комитета является подготовка Международных Стандартов. Проекты Международных Стандартов принятые совместным техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. Международные Стандарты проектируются в соответствии с правилами, установленными Директивами ISO/IEC, Часть 2.
«Информационная технология. Практические правила управления информационной безопасностью»
Данный стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности.
В соответствии со стандартом основное внимание при проектировании и создании эффективной системы безопасности организации уделяется комплексному подходу к управлению ИБ, которое должно осуществляться с применением технических и организационных мер, направленных на обеспечение конфиденциальности, целостности и доступности защищаемой информации. Нарушение любого из этих принципов может привести как к незначительным убыткам организации, так и к ее банкротству.
Термины и определения
Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации.
- Конфиденциальность - обеспечение доступа к информации только для авторизованных пользователей, имеющих право на доступ к ней.
- Целостность - защита точности и полноты информации и методов ее обработки.
- Доступность - обеспечение доступности информации.
С целью формирования комплексных требований к безопасности информации стандарт определяет три основных показателя:
оценка рисков, с которыми сталкивается организация (определение угрозы для ресурсов, их уязвимость и вероятность возникновения угроз, а также возможный ущерб);
соблюдение законодательных, нормативных и договорных требований, которые должны выполняться самой организацией, ее партнерами по бизнесу, подрядчиками и поставщиками услуг;
формирование комплекса принципов, целей и требований к обработке информации, разработанных организацией для поддержки своей деятельности.
Основные разделы стандарта ИСО 17799 следующие:
- политика безопасности;
- организационные меры по обеспечению безопасности (координация вопросов, связанных с информационной безопасностью, распределение ответственности за обеспечение безопасности и т.д.);
- классификация и управление ресурсами (инвентаризация ресурсов, классификация ресурсов и т.д.);
- безопасность персонала (безопасность при выборе и работе с персоналом, тренинги персонала по вопросам безопасности, реагирование на инциденты и неисправности и т.д.);
- физическая безопасность;
- управление коммуникациями и процессами (рабочие процедуры и ответственность, системное планирование, защита от злонамеренного программного обеспечения (вирусов, троянских коней), управление внутренними ресурсами, управление сетями, безопасность носителей данных, передача информации и программного обеспечения и т.д.);
- контроль доступа (требования для контроля доступа, управление доступом пользователя, ответственность пользователей, контроль и управление удаленного (сетевого) доступа, контроль доступа в операционную систему, контроль и управление доступом к приложениям, мониторинг доступа и использования систем, мобильные пользователи и т.д.);
- разработка и техническая поддержка вычислительных систем (требования по безопасности систем, безопасность приложений, криптография, безопасность системных файлов, безопасность процессов разработки и поддержки и т.д.);
- управление непрерывностью бизнеса (процесс управления непрерывного ведения бизнеса, непрерывность бизнеса и анализ воздействий, создание и внедрение плана не-прерывного ведения бизнеса, тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса и т.д.);
- соответствие системы основным требованиям (соответствие требованиям законодательства, анализ соответствия политики безопасности, анализ соответствия техническим требованиям, анализ соответствия требованиям системного аудита и т.д.).
В разделах стандарта приведены практические рекомендации по организации ИБ, которые, как правило, отражаются в политике безопасности организации или в отдельных инструкциях с учетом специфики самой организации.
Политика ИБ
Цель данного раздела: Обеспечение направления и поддержки информационной безопасности руководством.
Руководство организации должно четко сформулировать требования политики и проявить и поддержку требований информационной безопасности путем распространения политики информационной безопасности во всей организации.
Документ, содержащий описание политики информационной безопасности, должен быть одобрен руководством, опубликован и, согласно необходимости, распространен среди всех сотрудников. Этот документ должен выражать поддержку руководства компании и определять подход к управлению информационной безопасностью, который будет применяться в организации.
Как минимум, данный документ должен включать следующие сведения:
a) определение информационной безопасности, ее общие цели и область действия;
b) заявление о намерениях руководства, освещающее цели и принципы управления информационной безопасностью;
c) краткое описание принципов, стандартов и нормативных требований, имеющих определенное значение для организации, например:
1) соответствие требованиям законодательства и условиям контрактов;
2) требования к образовательной подготовке в области безопасности;
3) защита от вирусов и других злонамеренных программ;
4) поддержка непрерывности бизнеса;
5) последствия нарушения политики безопасности;
d) определение общих и частных обязанностей по управлению информационной безопасностью, в том числе предоставление сведений об инцидентах;
e) ссылки на документацию, которая может дополнять описание политики, например, более подробные описания политик и инструкций для конкретных информационных систем или правила безопасности, которые должны соблюдаться пользователями.
Политика ИБ должна периодически обновляться, поэтому необходимо назначить сотрудника, отвечающего за поддержку политики и ее обновление. Данная процедура должна гарантировать пересмотр политики в ответ на любые изменения, влияющие на основу исходной оценки рисков – например, крупные инциденты, связанные с безопасностью, новые уязвимости или изменения в организационной или технической инфраструктуре.
Необходимо создать график периодической переоценки следующих критериев:
a) эффективность политики, демонстрируемая на основе типов, количества и ущерба от зарегистрированных инцидентов;
b) стоимость и воздействие мер безопасности на эффективность деятельности организации;
c) воздействие технологических изменений.
С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации.
К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации.
Примерный список подобных решений может включать в себя следующие элементы:
решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
обеспечение базы для соблюдения законов и правил;
формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности.
Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных.
Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей.
Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.
Политика верхнего уровня должна четко очерчивать сферу своего влияния.
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.
Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:
вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
раздел, освещающий вопросы физической защиты ;
управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
раздел, описывающий правила разграничения доступа к производственной информации;
раздел, характеризующий порядок разработки и сопровождения систем;
раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.
К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем.
Примеры таких вопросов - доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.
Политика среднего уровня должна для каждого аспекта освещать следующие темы:
Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.
Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?
Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.
Роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.
Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.
Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.
Политика безопасности нижнего уровня относится к конкретным информационным сервисам. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:
кто имеет право доступа к объектам, поддерживаемым сервисом?
при каких условиях можно читать и модифицировать данные?
как организован удаленный доступ к сервису?
При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию.
Вопросы безопасности, связанные с персоналом
Цель: Снизить риск ошибок людей, кражи, мошенничества и неправомерного использования технических средств.
Обязанности, связанные с безопасностью, следует оговаривать на этапе приема на работу и включать в контракты. Во время работы сотрудников необходимо следить за выполнением этих обязанностей.
Включение безопасности в круг должностных обязанностей
Права и обязанности в отношении информационной безопасности, описанные в соответствии с политикой информационной безопасности организации , должны быть внесены в должностные обязанности. Сюда должны входить сведения об общих обязанностях по реализации и поддержке политики безопасности, а также о конкретных обязанностях по защите отдельных ресурсов и по выполнению конкретных операций, связанных с безопасностью.
2 Отбор персонала и политика приема на работу
При приеме на постоянную работу необходимо проводить проверку кандидатов. Эта проверка должна включать следующее:
a) наличие у кандидата удовлетворительных рекомендаций, например, одной деловой и одной личной;
b) проверка резюме кандидата (на предмет полноты и точности);
c) подтверждение наличия заявленного академического и профессионального образования;
d) независимая проверка личности (с помощью паспорта или заменяющего его документа).
Если работа (при начальном приеме или при продвижении по службе) предполагает доступ сотрудника к средствам обработки информации, в частности, к тем, которые обрабатывают конфиденциальную информацию, например, финансовую информацию или сведения с высокой степенью конфиденциальности, необходимо проверить также и кредитную историю сотрудника. Для сотрудников, работающих на руководящих должностях, такую проверку необходимо периодически повторять.
Подобную процедуру отбора следует проводить для подрядчиков и временных работников.
Если поиск таких работников осуществляется агентством по трудоустройству, в контракте с агентством должны быть четко сформулированы обязанности агентства по проверке кандидатов и процедуры уведомления, которые должны быть выполнены в том случае, если проверка не была проведена или если ее результаты подают почву для сомнений.
Руководство должно утвердить методы контроля новых и неопытных сотрудников, имеющих право доступа к конфиденциальным системам. Работа всего персонала должна периодически подвергаться оценке и одобрению руководством соответствующих отделений.
Руководители должны понимать, что на работу сотрудника могут влиять обстоятельства его личной жизни. Проблемы личного и финансового характера, изменения в поведении и стиле жизни, частые отлучки и признаки стресса или депрессии могут вести к мошенничеству, кражам, ошибкам и другим случаям нарушения безопасности.
3 Соглашения о конфиденциальности
Соглашения о конфиденциальности (или о неразглашении конфиденциальной информации) служат для уведомления о том, что информация является конфиденциальной или секретной.
Как правило, сотрудники подписывают подобное соглашение в составе исходного контракта при приеме на работу.
Временные работники и сторонние пользователи, на которых не распространяются существующие контракты (содержащие соглашение о конфиденциальности), должны подписать соглашение о конфиденциальности перед тем, как они получат доступ к средствам обработки информации.
4 Договор о приеме на работу
Договор о приеме на работу должен включать в себя сведения об ответственности сотрудника в области информационной безопасности. При необходимости эта ответственность должна распространяться и на определенный период по окончании срока работы. В договоре должны быть описаны меры, которые будут приняты в случае несоблюдения сотрудником требований к безопасности.
Необходимо установить и включить в договор о приеме на работу права и обязанности сотрудника, определяемые законодательством (например, законами об авторском праве и защите информации). Кроме того, необходимо включить сведения об обязанностях в отношении классификации данных работодателя и работе с ними. При необходимости в договоре о приеме на работу должно быть указано, что обязанности должны выполняться не только на территории организации и не только в обычные рабочие часы, например, в случае надомной работы .
5. Обучение пользователей
Пользователи должны быть обучены процедурам, связанным с безопасностью, и правильным методам работы со средствами обработки информации – это уменьшит вероятность нарушения безопасности.
Все сотрудники организации (а при необходимости и сторонние пользователи) должны пройти соответствующую подготовку в области политики и процедур, принятых в организации. Курс подготовки должен содержать сведения о требованиях к безопасности, ответственности перед законом и принятых в организации методах работы, а также инструкции по правильному использованию средств обработки информации, например, о процедуре входа в систему и работе с программным обеспечением.
6. Реакция на инциденты и сбои в работе
Цель: Уменьшение ущерба от инцидентов и сбоев в работе; отслеживание подобных инцидентов и получение опыта на их основе.
Информацию об инцидентах, связанных с нарушением безопасности, следует максимально быстро распространять среди руководства по соответствующим каналам.
Все сотрудники и подрядчики должны быть знакомы с процедурами уведомления о различных типах инцидентов (уязвимостях, атаках и сбоях), которые могут повлиять на безопасность ресурсов организации. В их обязанности должна входить максимально быстрая передача информации о выявленных или подозреваемых инцидентах соответствующим лицам. В организации необходимо принять систему дисциплинарных взысканий, применяемых к лицам, по вине которых произошло нарушение безопасности. Для принятия необходимых мер может потребоваться как можно скорее собрать улики сразу же после инцидента (см. раздел 12.1.7).
6.3.1 Уведомление об инцидентах
Информацию об инцидентах следует максимально быстро распространять среди руководства по соответствующим каналам.
Необходимо утвердить формальную процедуру уведомления, а также процедуру реакции на инциденты, включающую в себя действия, которые должны выполняться при поступлении сообщения об инциденте. Все сотрудники и подрядчики должны быть знакомы с процедурой уведомления об инцидентах, а в их обязанности должна входить максимально быстрая передача информации о таких инцидентах. Необходимо также реализовать процесс обратной связи, позволяющий сотрудникам, сообщившим об инциденте, узнать о результатах после принятия соответствующих мер. Описание возникших инцидентов можно включить в программу подготовки пользователей, чтобы проиллюстрировать, что может произойти, как нужно реагировать на подобные инциденты и как избежать их.
7. Уведомление недостатках в системе безопасности
Обязанности пользователей информационных сервисов должны включать уведомление о выявленных или подозреваемых уязвимостях или угрозах для систем и сервисов.
Пользователи должны максимально быстро сообщать об этом либо своему руководителю, либо непосредственно поставщику услуг. Пользователям следует сообщить, что они ни при каких условиях не должны пытаться убедиться в наличии подозреваемой уязвимости. Это поможет им самим доказать свою непричастность, поскольку проверка на наличие уязвимости может быть принята за попытку неправомерного использования системы.
Уведомление о сбоях в программном обеспечении
Необходимо принять процедуру уведомления о сбоях в программном обеспечении. В процедуру рекомендуется включить следующие действия:
a) необходимо дать описание симптомов проблемы и записать сообщения, появляющиеся на экране.
b) необходимо изолировать компьютер, если это возможно, и прекратить работу с ним.
Следует немедленно поставить в известность соответствующего сотрудника. При выполнении осмотра компьютера перед включением питания его следует отсоединить от сетей организации. Дискеты нельзя переносить на другие компьютеры.
c) о случившемся следует немедленно сообщить начальнику отдела информационной безопасности.
Пользователи не должны пытаться удалить вызывающую подозрение программу, не получив на это соответствующих санкций. Восстановление должно проводиться специалистами, имеющими соответствующую подготовку.
Дисциплинарные взыскания
Необходимо формально утвердить дисциплинарные взыскания для сотрудников, нарушивших процедуры и политику безопасности, принятую в организации; сохранение улик. Подобные взыскания могут оказать сдерживающий эффект на сотрудников, которые в ином случае могли бы пренебречь процедурами, связанными с безопасностью. Кроме того, наличие утвержденных взысканий поможет гарантировать справедливое обращение с сотрудниками, подозреваемыми в серьезном или неоднократном нарушении безопасности.
Физическая безопасность и защита территорий
Защищенные территории.
Безопасность оборудования.
Общие меры.
3.Обеспечение безопасности при эксплуатации
Правила работы и обязанности.
Планирование разработки и приемка системы.
Защита от злонамеренного программного обеспечения.
Служебные процедуры.
Управление вычислительными сетями.
Обращение с носителями и их безопасность.
Обмен информацией и программным обеспечением.
4. Контроль доступа
Требования к контролю доступа в организации.
Управление доступом пользователей.
Обязанности пользователей.
Контроль доступа к вычислительной сети.
Контроль доступа к операционным системам.
Контроль доступа к приложениям.
Мониторинг доступа и использования системы.
Мобильные компьютеры и средства удаленной работы.
5.Разработка и обслуживание систем
Требования к безопасности систем.
Безопасность в прикладных системах.
Криптографические средства.
Безопасность системных файлов.
Безопасность при разработке и поддержке.
6. Обеспечение непрерывности бизнеса
Аспекты обеспечения непрерывности бизнеса.
7.Соответствие требованиям
Соответствие требованиям законодательства.
Проверка политики безопасности и соответствие техническим требованиям.
Рекомендации по аудиту систем.
Системы менеджмента информационной безопасности. Требования.
ИСО 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. (2006)
ИСО 27001 является единственным пригодным для сертификации международным стандартом, определяющим требования к Системе Управления Информационной Безопасностью (СУИБ). Этот стандарт предназначен для обеспечения выбора адекватных и соразмерных средств защиты.
Система управления информационной безопасностью разработанная на основе стандарта ISO 27001 позволяет:
Сделать большинство информационных активов наиболее понятными для менеджмента компании
Выявлять основные угрозы безопасности для существующих бизнес-процессов
Рассчитывать риски и принимать решения на основе бизнес-целей компании
Обеспечить эффективное управление системой в критичных ситуациях
Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
Четко определить личную ответственность
Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000
Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту
Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.
Особенно полезен стандарт там, где защита информации приобретает очень важное значение, например в таких отраслях, как финансы, здравоохранение, госучреждения и ИТ.
Международный стандарт ИСО 27001 совмещен с ISO 9001и ISO 14001: для того, чтобы поддерживать согласованную и комплексную реализацию и работу со связанными стандартами менеджмента.
Для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения СМЗИ организации стандарт предлагает использовать процессный подход.
Где под процессом понимается любой вид деятельности использующий ресурсы и управляемый для того, чтобы преобразовать входов в выходы, причем выход одного процесса непосредственно образует вход следующего процесса.
Применение системы процессов в рамках организации, вместе с идентификацией и взаимодействием этих процессов, а также их управлением называется «процессный подход».
Для структуризации всех процессов СМЗИ, при создании системы менеджмента ИБ стандарт принимает модель «Plan-Do-Check-Act»(рис. 1).
Модель PDCA является циклической моделью, направленной на непрерывное совершенствование системы менеджмента информационной безопасности.
Начальное планирование и внедрение направлено на создание СМИБ и запуск последовательного выполнения этапов цикла PDCA, которое начинается с проверки текущего состояния СМИБ (этап проверки – Check), затем следует пересмотр СМИБ (этап улучшения – Act) и планирование ее обновления (этап планирования – Plan), после чего запланированные изменения внедряются в работу (этап выполнения – Do). Затем цикл повторяется.
Задачами первоначального планирования и внедрения являются:
Сбор информации о работе компании.
Вид деятельности
Миссия
Местонахождение офисов
И т.д.
Определение ключевых людей для процесса разработки СМИБ.
Определение драйверов (мотивов) к управлению рисками и потребностей создания СМИБ.
Получение высокоуровневого мгновенного снимка текущего состояния безопасности в компании, а также имеющихся возможностей и практик по выявлению и обработке бизнес-рисков.
Сбор подробной информации, которая поможет установить границы и содержание СМИБ.
Офисы, операции, бизнес-функции, информация, информационные технологии, инфраструктура и т.д.
Определение целей создания СМИБ (например, следование лучшим практикам, или сертификация по ISO 27001).
Описание содержания предполагаемой СМИБ.
Формирование временнόго плана-графика разработки СМИБ.
Описания процессов создания и дальнейшего сопровождения СМИБ.
Все перечисленные мероприятия входят в первый процесс создания СМИБ - Процесс оценки и определение текущего состояния, который состоит из двух больших этапов: сбор информации (background discovery) и определение уровня соответствия (compliance level discovery).
Сбор информации начинается с изучения общей информации о компании, ее целях, миссии, организации работы, опыте (general background), информации о роли безопасности в компании, а также об общем восприятия безопасности в корпоративной культуре. Сбор информации осуществляется посредством проведения опросов (questionnaire) и анкетирования (survey).
Определение уровня соответствия можно разделить на этапы:
Этап определения «как должно быть» который позволяет получить СМБ, учитывающую особенности конкретной компании и содержащую перечень требований по безопасности, основанных на отраслевых стандартах и учитывающих бизнес-риски этой компании.
Этап оценки «как есть». На этом этапе определяется текущее состояние безопасности в компании в сравнении с определенным «как должно быть» состоянием СМИБ. Определение «как есть» включает в себя процессы исследования, анализа (GAP-анализа) и подготовки отчета о результатах.
На данном этапе готовится опросный лист, учитывающий специфику СМБ. Также готовятся краткое описание проекта, бланки для записи результатов, аналитические инструменты для изучения результатов и нахождения в них важных сведений, на основе которых в конечном итоге формируется отчет, отражающий текущее состояние («мгновенный снимок») компании в области безопасности. Термин «мгновенный снимок» указывает на то, что состояние безопасности не статично, что оно может быстро изменяться. Поэтому любые результаты анализа состояния безопасности привязаны к конкретной дате и сохраняют свою актуальность в течение ограниченного промежутка времени, в рамках которого компания может использовать их для принятия решений.
После завершения первичных работ (сбора информации и оценки) составляется план перехода.
План перехода содержит конкретные шаги по переходу из состояния «как есть» в состояние «как должно быть». Реальный процесс перехода может потребовать более одного бюджетного цикла, в зависимости от объема работы, необходимой для обеспечения соответствия СМИБ установленным целям. Принимая во внимание продолжительность и возможную высокую стоимость этой работы, компания должна расставить приоритеты, т.е. соответствующим образом распределить ресурсы, направив их, в первую очередь, на обработку наиболее существенных для компании рисков.
Определение состояния «как должно быть» выполняется на этапе планирования (Plan) модели PDCA.
Деятельность по определению состояния «как есть» относится к этапам планирования и проверки модели PDCA: начальное планирование СМИБ производится на этапе планирования, а последующий мониторинг и анализ – на этапе проверки.
Создание плана перехода организуется на этапах выполнения (Do) и улучшения (Act) модели PDCA. Переход от первоначального состояния «как есть» («мгновенного снимка») осуществляется на этапе выполнения, а на этапе улучшения (Act) выполняется анализ и пересмотр, для которого также составляется план перехода.
Далее следует этап эксплуатации и сопровождения.
Эксплуатация и сопровождение (O&M – Operations and Maintenance) обеспечивают непрерывную поддержку СМИБ, выполняя, в частности, регулярный пересмотр целевого состояния («как должно быть»). Пересмотр состояния «как должно быть» может быть вызван выпуском обновленных (измененных) стандартов ISO 27001 и ISO 27002, изменениями в законодательстве или иных нормативных документах, заключением компанией новых договоров, а также изменениями бизнес-среды, приводящими к появлению новых уязвимых областей, которые могут стать препятствием для реализации миссии компании.
Кроме этого, на этапе эксплуатации и сопровождения производятся измерения и оценка показателей (метрик), на этом этапе формируются различные отчеты, относящиеся к функционированию безопасности, включая отчеты по анализу журналов регистрации событий, отчеты по инцидентам, отчеты по анализу их причин и т.д.
Эксплуатация и сопровождение выполняются на этапах проверки (Check) и улучшения (Act) модели PDCA.