Первого января 2022 года был введен в действие стандарт ГОСТ Р ИСО/МЭК 27001:2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» (аутентичный перевод ISO/IEC ISO 27001:2013). Данное событие осталось не особо замеченным уважаемой публикой, хотя любому специалисту по информационной безопасности, стремящемуся к уменьшению бардака в сфере ИБ в своей организации с помощью внедрения процессного подхода, стоит не только понимать, но и уметь применять данный ГОСТ. К тому же в отличие от предыдущей версии 2006 года новый стандарт очень качественно переведен на русский язык.
К сожалению, на неподготовленного читателя данный стандарт, как и любой другой подобный документ, нагнетает скуку своим сухим языком и не всегда очевидной терминологией. Поэтому в этой статье кратко рассмотрим ключевые понятия и концепции, лежащие в основе стандарта. По ходу изложения разберем основные отличия новой версии от предыдущей и узнаем, почему старая версия стандарта позволяла обмануть центры по сертификации, а с вводом новой версии такое провернуть уже невозможно.
Немного истории
Если вы уже давно в профессии, то этот раздел можно смело пропустить, а начинающим менеджерам по ИБ он может быть интересен.
В 1993 году Министерство торговли и промышленности Великобритании опубликовало документ, содержащий лучшие практики в области менеджмента ИБ (Code of Practice for Information Security Management), который был разработан в тесном сотрудничестве с ведущими британскими корпорациями и банками. Документ содержал описание более 127 мер информационной безопасности, которые были сгруппированы в 10 доменов. В 1995-м году данный документ приняли в качестве британского стандарта BS 7799. Четырьмя годами позже в 1999-м вышла вторая часть стандарта BS 7799-2, в которой уже была предложена концепция системы менеджмента информационной безопасности (СМИБ) на базе цикла Деминга-Шухарта (PDCA), а в 2006-м году появилась и третья часть BS 7799-3, посвященная ядру СМИБ – управлению рисками информационной безопасности. Таким образом британцы сформулировали перечень базовых организационных мер безопасности и дали инструментарий для их обоснованного выбора в конкретной организации.
В 2000-м году BS 7799-1 становится международным и получает код ISO/IEC 17799:2000, а с 2005 года под стандарты в области информационной безопасности уже выделяют целую серию ISO 27000, которая сейчас содержит уже 60 документов.
Ключевыми стандартами серии можно назвать ISO 27000, который содержит описание основных понятий, ISO 27001, содержащий требования к СМИБ (развитие BS 7799-2) и ISO 27002, описывающий меры безопасности (развитие BS 7799-1).
Мало кто знает, но ISO 27000 можно официально и бесплатно скачать с сайта ISO: https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip
Основные понятия
Ключевыми понятиями для понимания стандарта являются: актив, риск, мера безопасности и, конечно же, сама СМИБ.
Под активом в контексте информационной безопасности понимается информация в любой форме и средства ее обработки, то есть все то, что представляет ценность для организации и требует нашей неусыпной защиты.
Под риском официально понимается «следствие влияния неопределенности на достижение поставленных целей» (ГОСТ Р ИСО 31000-2019), но проще всего данное понятие определить через комбинацию вероятности события и его последствий, о чем, впрочем, также сказано в примечаниях к упомянутому определению.
«Мера безопасности» или более многословно - «мера обеспечения информационной безопасности» (из ГОСТ ИСО/МЭК 27001-2021) представляет собой нечто, что может влиять на риск. Меры могут быть организационными (назначение ответственных, принятие политики/процедуры/стандарта), техническими (установка межсетевого экрана, включение авторизации) и физическими (установка металлической двери в серверной).
Система менеджмента информационной безопасности (СМИБ) является совокупностью внутренних организационно-распорядительных документов и ресурсов, необходимых для защиты активов. СМИБ обеспечивает осознанное принятие решений в области ИБ через механизм управления рисками и не позволяет нам слепо следовать традиции, зафиксированной в народной пословице «Пока гром не грянет, мужик не перекрестится».
Еще важно понимать, что стоит за оценкой риской и аудитом, но об этом поговорим ниже.
Структура стандарта
ГОСТ Р ИСО/МЭК 27001-2021 состоит из двух частей – основной текст стандарта и приложение А. Основной текст стандарта состоит из разделов, которые легко сопоставляются с фазами цикла PDCA, а приложение А содержит структурированный по доменам перечень мер безопасности.
Цикл PDCA состоит из следующих фаз: планирования (Plan), исполнения (Do), проверки (Check) и корректировки (Act).
В ходе фазы планирования организация определяет:
Требования к СМИБ со стороны внешних и внутренних сторон, которые в итоге задают границы системы менеджмента.
Политику ИБ.
Роли и обязанности в области ИБ.
Процессы оценки и обработки рисков.
Задачи по ИБ.
Документы СМИБ.
Ресурсы, необходимые для функционирования СМИБ.
В ходе фазы исполнения организация обеспечивает:
Функционирование процессов ИБ.
Выполнение задач по ИБ.
Оценку рисков.
Обработку рисков.
В ходе фазы проверки организация осуществляет:
Мониторинг деятельности в области ИБ.
Проведение внутренних аудитов.
Контроль со стороны руководства.
В ходе фазы корректировки организация осуществляет:
Выполнение корректирующих действий по устранению выявленных на предыдущей фазе несоответствий.
Улучшение СМИБ.
В приложении А представлены меры безопасности, сгруппированные по следующим доменам:
Политики информационной безопасности.
Организация деятельности по информационной безопасности.
Безопасность, связанная с персоналом.
Менеджмент активов.
Управление доступом.
Криптография.
Физическая безопасность и защита от воздействия окружающей среды.
Безопасность при эксплуатации.
Безопасность системы связи.
Приобретение, разработка и поддержка систем.
Взаимоотношения с поставщиками.
Менеджмент инцидентов информационной безопасности.
Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации.
Соответствие требованиям.
В случае, если организация претендует на сертификацию своей СМИБ по требованиям стандарта, то ей необходимо будет доказать выполнение всех пунктов основного текста стандарта, а также подтвердить функционирование выбранных мер безопасности, в том числе соответствующих мерам из приложения А. Исключения каждой меры безопасности должно быть обосновано.
Отличия от предыдущей версии стандарта
Основные отличия ГОСТ Р ИСО/МЭК 27001:2021 от ГОСТ Р ИСО/МЭК 27001:2006 следующие:
Переработана структура стандарта.
Появились новые понятия.
Теперь для постоянного совершенствования СМИБ можно пользоваться не только циклом PDCA (хотя сам PDCA, как мы видели, определяет структуру стандарта).
Набор мер безопасности, как и их группировка, пересмотрены: раньше было 11 доменов и 133 меры безопасности, теперь 114 мер информационной безопасности и 14 доменов.
Для знатоков прошлой версии стандарта приведем таблицу, сопоставляющую разделы двух редакций:
Раздел ГОСТ Р ИСО/МЭК 27001:2021 | Раздел ГОСТ Р ИСО/МЭК 27001:2006 |
0. Введение | 0. Введение |
1 Область применения | 1. Область применения |
2 Нормативные ссылки | 2. Нормативные ссылки |
3 Термины и определения | 3 Термины и определения |
4 Контекст деятельности организации |
|
4.1 Понимание внутренних и внешних факторов деятельности организации | 8.3 Предупреждающие действия |
4.2 Понимание потребностей и ожиданий заинтересованных сторон | 5.2.1 c) выявления и обеспечения выполнения требований соответствующих законов, нормативных актов, а также договорных обязательств в области информационной безопасности; |
4.3 Определение области действия системы менеджмента информационной безопасности | 4.2.1 a) определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий, в том числе детали и обоснование любых исключений из области ее действия (см. 1.2); 4.2.3 f) регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования (см.7.1) |
4.4 Система менеджмента информационной безопасности | 4.1 Общие требования |
5 Руководство |
|
5.1 Лидерство и приверженность | 5.1 Обязательства руководства |
5.2 Политика | 4.2.1 b) определить политику СМИБ... |
5.3 Роли, обязанности и полномочия в организации | 5.1 с) определение функций и ответственности в области ИБ; |
6 Планирование |
|
6.1 Действия по рассмотрению рисков и возможностей |
|
6.1.1 Общие положения | 8.3 Предупреждающие действия |
6.1.2 Оценка рисков информационной безопасности | 4.2.1 c) определить подход к оценке риска в организации, для чего необходимо… 4.2.1 d) идентифицировать риски, для чего необходимо… 4.2.1 e) проанализировать и оценить риски, для чего необходимо… |
6.1.3 Обработка рисков информационной безопасности6 | 4.2.1 f) определить и оценить различные варианты обработки рисков. 4.2.1 g) выбрать цели и меры управления для обработки рисков. 4.2.1 h) получить утверждение руководством предполагаемых остаточных рисков; 4.2.1 j) подготовить Положение о применимости, которое включает в себя следующее… 4.2.2 a) разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ (см. раздел 5); |
6.2 Цели информационной безопасности и планы по их достижению | 5.1 b) обеспечения разработки целей и планов СМИБ; |
7 Обеспечение и поддержка |
|
7.1 Ресурсы | 4.2.2 g) управлять ресурсами СМИБ (см. 5.2); |
7.2 Квалификация | 5.2.2 Подготовка, осведомленность и квалификация персонала |
7.3 Осведомленность | 4.2.2 e) реализовать программы по обучению и повышению квалификации сотрудников 5.2.2 Подготовка, осведомленность и квалификация персонала |
7.4 Взаимодействие | 4.2.4 c) передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия; 5.1 d) доведения до всех сотрудников организации информации о важности достижения целей информационной безопасности и соответствия ее требованиям политики организации, об их ответственности перед законом, а также о необходимости непрерывного совершенствования в реализации мер ИБ; |
7.5 Документированная информация | 4.3 Требования к документации |
8 Функционирование |
|
8.1 Оперативное планирование и контроль | 4.2.2 f) управлять работой СМИБ; |
8.2 Оценка рисков информационной безопасности | 4.2.2 d) пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения.. |
8.3 Обработка рисков информационной безопасности | 4.2.2 b) реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей; 4.2.2 c) внедрить меры управления, выбранные согласно 4.2.1, перечисление д), для достижения целей управления; |
9 Оценивание исполнения |
|
9.1 Мониторинг, оценка защищенности, анализ и оценивание | 4.2.2 d) пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения.. 4.2.3 b) проводить регулярный анализ результативности СМИБ (включая проверку ее соответствия политике и целям СМИБ и анализ мер управления безопасностью) с учетом результатов аудиторских проверок ИБ, ее инцидентов, результатов измерений эффективности СМИБ, а также предложений и другой информации от всех заинтересованных сторон; 4.2.3 c) измерять результативность мер управления для проверки соответствия требованиям ИБ; |
9.2 Внутренний аудит | 4.2.3 e) проводить внутренние аудиты СМИБ через установленные периоды времени (см. раздел 6). |
9.3 Проверка со стороны руководства | 4.2.3 f) регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования (см. 7.1); 7. Анализ системы менеджмента информационной безопасности со стороны руководства |
10. Улучшение |
|
10.1 Несоответствие и корректирующие действия | 4.2.4 Поддержка и улучшение системы менеджмента информационной безопасности 8.2 Корректирующие действия |
10.2 Постоянное улучшение | 4.2.4 Поддержка и улучшение системы менеджмента информационной безопасности 8.1 Постоянное улучшение |
Новые понятия:
Контекст деятельности организации – среда, в которой работает организация.
Планы по достижению целей информационной безопасности – задачи, выполнение которых осуществляется организацией в ходе функционирования СМИБ.
Владелец риска – человек от бизнеса, отвечающий за актив и связанные с ним риски.
Документированная информация – документы, записи, все то, что обеспечивает функционирование СМИБ.
Манипуляции с областью действия СМИБ ушли в прошлое
ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 27001:2006 содержали в себе одну интересную уязвимость, которая позволяла компаниям, подающимся на сертификацию со своими системами менеджмента информационной безопасности серьезно сэкономить. Определение области действия СМИБ в соответствии с прошлыми версиями стандартов полностью лежало на совести заявителей и многие разумно выбирали небольшие процессы, такие как техническая поддержка, управление персоналом, подготовка бухгалтерской отчетности и т.п. и начинали строить СМИБ исключительно вокруг них, защищая, например, только данные в системе 1С:Кадры. В новой же редакции требуется явное определение внешних и внутренних сторон и выявление их требований, в соответствии с которыми уже и определяется область действия СМИБ. Таким образом, сейчас, забыть про требования регуляторов к защите ПДн, КИИ при построении СМИБ уже не получится.
Оценка рисков
Ключевым механизмом определения необходимости внедрения той или иной меры информационной безопасности является оценка рисков.
Оценка рисков (risk assessment) включает в себя идентификацию рисков (risk identification), анализ рисков (risk analysis) и оценивание рисков (risk evaluation). В ходе идентификации рисков составляется список рисков, как правило, связанных с конкретными активами, которые имеет смысл анализировать. В рамках анализа рисков изучается их природа, определяется вероятность, последствия и итоговое значение каждого риска, которое может быть выражено словом (например, «высокий»-«средний»-«низкий»), цветом (например, «красный»-«желтый»-«зеленый») или каким-либо числовым значением (например, в баллах, а иногда и в деньгах). После получения значения риска его сопоставляют с критериями принятия риска, осуществляя так называемое оценивание риска, что в свою очередь необходимо для принятия решения о дальнейших шагах по обработке рисков.
Внутренний аудит
Без грамотно организованного контроля менеджмент чего-либо невозможен. Важной составляющей фазы «Проверка» является внутренний аудит, в ходе которой специально обученный специалист проверяет с помощью доступных ему методов аудита то, что процессы СМИБ и внедренные меры безопасности, соответствуют таким критериям аудита, как:
Внутренние организационно-распорядительные документы в области ИБ.
Применимое законодательство (например, в области ПДн, КИИ).
ГОСТ Р ИСО/МЭК 27001:2021.
Аудитор должен быть беспристрастным, и ни в коем случае не должен быть задействован в проверке собственной работы.
Заключение
В качестве заключения можно отметить, что в области информационной безопасности ГОСТ Р ИСО/МЭК 27001:2021 является одним из самых практичных стандартов так как основан на простом и понятном подходе к структурированию деятельности организации - цикле PDCA. Формулировки требований и мер безопасности за более чем 20-летнее существование стандарта приведены в очень приличный и доступный вид.
Стоит отметить, что жизнь не стоит на месте и международные версии стандартов ISO 27001 и ISO 27002 обновляются в 2022-м году. ISO 27002 уже опубликован на сайте ISO, в течение года выйдет и новая редакция ISO 27001. Основные разделы (4-10) ISO 27001:2022 останутся без изменений, но будет обновлено приложение А: в нем появится 11 новых мер безопасности, а формулировки многих других будут улучшены, также будет изменен их принцип группировки, но это уже материал для отдельной статьи, если читателям будет интересно.
Если стандарт ГОСТ Р ИСО/МЭК 27001:2021 показался интересным, но 5 минут, потраченных на данную статью оказалось недостаточно и есть желание чуть глубже погрузиться в тему, то можно присоединиться к нашим бесплатным вебинарам, которые уже скоро пройдут.
