Стандарты серии ИСО/МЭК 27000 — как инструмент руководителя предприятия для управления и контроля информационной безопасностью
Информационная безопасность (ИБ) — это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Как разобраться руководителю предприятия, какие конкретные цели нужно поставить для специалистов по ИБ, если ты не специалист в данном вопросе, и как это проконтролировать?
Можно изобретать велосипед, а можно использовать лучшие мировые и национальные практики, которые сформулированы в стандартах ИСО/МЭК серий 20000 и 27000.
Стандарт ИСО/МЭК 27001 является основополагающим стандартом серии ИСО/МЭК 27000 и устанавливает требования по реализации и совершенствованию системы управления информационной безопасности (СУИБ) в организации. В настоящее время серия 27000 содержит более 30 стандартов по различным направлениям СУИБ, начиная с уровня стратегического управления и контроля СУИБ и заканчивая техническими рекомендациями по применению отдельных программнотехнических и организационных мер защиты информации.
ИСО/МЭК 27001 продвигает целостный подход к информационной безопасности, который включает в себя проверку как людей, так и политик и технологий. Система управления информационной безопасностью, внедренная в соответствии с данным стандартом, является инструментом для управления рисками, обеспечения киберустойчивости и оптимизации бизнеспроцессов.
Язык стандарта прост и сложен одновременно. Стандарт состоит из трех частей.
Первая часть «Общие положения» содержит информацию о предназначении стандарта, его связи с другими стандартами по ИБ, а также термины и определения.
Вторая часть «Требования к СУИБ» является основной. Она выдвигает обязательные для выполнения требования к СУИБ и позволяет на их основе построить эффективную систему.
Эта часть стандарта описывает управленческие процессы. Среди них самым важным является процесс управления рисками. Управленческие процессы в регулярном режиме закрутят механизм отслеживания и оценки существующих и вновь появляющихся рисков. В результате реализации требований этой части стандарта мы можем выявить все риски и выделить из них наиболее серьезные для нашего бизнеса. Другими словами, мы четко определим, чего мы должны опасаться. Когда мы знаем, что нам угрожает, мы должны перебрать все направления безопасности, которые могут привести к возникновению на практике тех самых опасных рисков.
Третья часть стандарта — это Приложение А, которое содержит конкретные регулирующие меры (контроли) ИБ. Это некий чеклист, позволяющий понять все ли стандартные меры применены на предприятии.
Для удобства понимания и внедрения данных мер представляется целесообразным высшему руководству изучить ИСО/МЭК 27002, так как он в сжатом виде содержит свод норм и правил применения мер обеспечения ИБ.
Суть стандарта ИСО/МЭК 27002 заключается в том, что он не просто отражает вопросы безопасности информации, а рассматривает их с точки зрения экономической эффективности.
При формировании требований в сфере ИБ обязательно учитываются 3 группы факторов:
- анализ рисков предприятия (через него выявляется угроза оборотным активам организации с дальнейшими последствиями);
- юридические, законотворческие, направляющие и контрактные требования (им должны соответствовать предприятия, партнеры и производители услуг);
- нестандартный набор принципов, целей и условий (они должны быть разработаны самой организацией
в отношении обработки данных).
Последний из стандартов серии — это опубликованный в мае 2024 года ISO/IEC 27561:2024 «Модель и метод реализации защиты персональных данных в ходе проектирования».
Применение стандартов на практике поможет высшему руководству и службе безопасности систематизировать работу, оценить внутренние и внешние резервы, правильно определить, какие заинтересованные стороны могут оказать воздействие и степень этого воздействия на конечный продукт (услугу) и работу всего предприятия в целом. Основываясь на применении самых современных наработок и практик, а также анализа возможных мер обеспечения ИБ, должна строиться защита предприятия и изделий в том числе от влияния человеческого фактора преднамеренного или непреднамеренного, с использованием и не использованием технических средств, что в конечном итоге несомненно приведет к уменьшению инцидентов по ИБ и устойчивому развитию производства.
А. Г. Егорова, начальник департамента ОПКиИТ Ассоциации по сертификации «Русский Регистр»
Россия, 190121, Санкт-Петербург, пр. Римского-Корсакова, д. 101, офис 1
Тел: +7 812 670‑90-01. Факс: +7 812 670‑90-02. E-mail: rr@rusregister.ru, https://rusregister.ru