Имя материала: Национальная платежная система. Бизнес-энциклопедия

Автор: А.С. Воронин

8.3. модельные реыения и стандарты обеспечения информационной безопасности

 

общая структура

Основу доверия в среде участников НПС формирует использование общепризнанных лучших практик, нашедших отражение в соответствующих нормах и стандартах организации и реализации деятельности

Соответствие участника системы тем или иным признанным стандартам и (или) лучшим практикам, подтвержденным независимой оценкой (аудитом), формирует основание для уверенности в нем его партнеров и клиентов и доверие к системе в целом Например, когда финансовый институт присоединяется к некоторому сообществу (вступает в платежную систему), он тем самым подтверждает свою готовность и берет на себя обязательство следовать правилам этого сообщества (платежной системы), определяющим технические, юридические и финансовые аспекты его функционирования в системе . Такое признание правил системы является основой для взаимного доверия между неизвестными друг другу сторонами и иными участниками при организации ими безналичных расчетов для своих клиентов

Из всего многообразия доступных решений должны быть выбраны те, что обеспечивают совместимость в операционной среде организации и условия эффективного корпоративного контроля и управления Для российских финансовых организаций это может представлять собой множество взаимодополняющих решений, охватывающих как корпоративный менеджмент, так и операционную среду . На рисунке 8 . 5 представлена общая структура данного подхода .

Следование рекомендациям COSO и рекомендациям банковских регуляторов в среде корпоративного менеджмента обеспечивает условия реализации принципов обеспечения информационной безопасности организации

Использование адаптированных к национальным условиям практик и методологии обеспечения информационной безопасности финансовой организации, закрепленных в документах по стандартизации Банка России «СТО/РС БР ИББС» (стандарт (рекомендации) в области стандартизации Банка России информационная безопасность организаций банковской системы), обеспечивает основное содержание практических шагов Требования данных документов Банка России не претендуют на всеобъемлющий охват и при необходимости могут быть дополнены соответствующими дополнительными мерами и средствами контроля и управления безопасности из иных источников

В качестве таких источников рекомендуется использовать международные стандарты ISO/IEC комплексов 270ХХ и 2910Х, а также национальные нормы органов регулирования в области безопасности и защиты информации О стан-

 

дартах 270ХХ отмечалось ранее и более подробно будет изложено далее . Стандарты комплекса 2910Х начали формироваться в 2008 г . в ответ на все более широкое и глубокое проникновение информатики в общественные связи и частную жизнь, а также увеличение объемов трансграничных операций с данной информацией . Требования стандартов комплекса 2910Х отражают лучшие приемы и сложившиеся практики обеспечения так называемой privacy&security в современном электронном мире

Рис. 8.5. Структура практик и стандартов обеспечения информационной безопасности для НПС

Включение PCI DSS в структуру стандартов рис . 8 . 5 отражает ситуацию де-факто . Комплекс документов, именуемый как PCI DSS, изданный уполномоченным органом международных платежных систем, является обязательным к реализации стандартом для участников этих платежных систем Требования PCI DSS имеют более техническую направленность . Для объектов национальной платежной системы, сопоставимых с объектами регулирования PCI DSS, могут быть использованы те же требования или аналогичные им

МОДЕЛЬ COSO

Структура, получившая широкую известность под аббревиатурой COSO (The Committee of Sponsoring Organizations (of the Treadway Commission)) была создана для финансирования работ независимой национальной (американской) комиссии, образованной для выработки мер противодействия мошенничеству с финансовой отчетностью

Целью деятельности комиссии являлось изучение факторов, которые могут приводить к мошенничеству с финансовой отчетностью, и выработка соответствующих рекомендаций для частных компаний и их независимых аудиторов, для инспекторов Комиссии США по ценным бумагам и биржевым операциям (SEC) и других инспекторов и образовательных учреждений .

Спонсорами (членами COSO) выступили пять профессиональных ассоциаций, располагавшихся в США: Американская ассоциация бухгалтеров, Американский институт дипломированных общественных бухгалтеров, Международная ассоциация финансовых руководителей, Институт внутренних аудиторов и Национальная ассоциация бухгалтеров (ныне известен как Институт бухгалтеров-управленцев). Первый отчет комиссии был опубликован в 1987 г .

К настоящему времени основные направления деятельности комиссии COSO отражены в документах, посвященных следующим вопросам:

анализ фактов мошенничества в финансовой отчетности;

внутренний контроль;

■          менеджмент риска в организации

Документы комиссии по вопросам организации внутреннего контроля и риск-менеджмента в компаниях наиболее востребованы практикой в сфере корпоративного управления и контроля (аудита). Процессы глобализации финансовых, сырьевых, товарных рынков послужили дополнительным стимулом поиска универсальных методологических (модельных) платформ функционирования организаций (моделей деятельности организаций).

Модель системы внутреннего контроля COSO уже де-факто стала эталоном организации внутрикорпоративной деятельности

В то же время первое поколение модельной формы требований документов COSO оставляли не охваченными сложные для регулирования ниши, чем со временем смогли воспользоваться недобросовестные управленцы Это в свою очередь послужило толчком для развития методологии COSO и перевода ее на обновленную платформу — платформу риск-менеджмента . В 2001 году рабочий орган COSO инициировал проект по разработке концептуальных основ управления риском для использования руководством компаний при оценке своей системы управления рисками и ее дальнейшем совершенствовании

Суть обновленного подхода проста: руководство организации самостоятельно определяет и оценивает факторы и источники рисков целям своей деятельности и принимает необходимые меры Проверяющая сторона рассматривает эти материалы и выносит свой вердикт Следует заметить, что эта же методология используется и для управления рисками информационной безопасности

Одним из самых важных вопросов, решаемых высшим руководством организаций, как отмечается в материалах COSO, является определение величины риска, который организация готова принять и принимает в процессе своей деятельности по созданию добавленной стоимости (материалы комиссии, финансируемой COSO, обращены к коммерческим структурам, в этой связи в ее материалах делается акцент на прибыль (добавленную стоимость)).

Основная предпосылка при управлении рисками деятельности организации заключается в том, что каждая организация существует, чтобы создавать добавленную стоимость для сторон, заинтересованных в ее деятельности . При этом все организации сталкиваются с неопределенностью, и задачей руководства является принятие решения об уровне неопределенности, с которым организация готова смириться, стремясь увеличить стоимость для заинтересованных сторон В этой связи неопределенность, с одной стороны, таит в себе риск (потери), а с другой — может открыть новые возможности, поэтому принятые в условиях неопределенности решения могут привести как к снижению, так и к увеличению стоимости

Управление риском, как отмечается в материалах COSO, позволяет руководству эффективно действовать в условиях неопределенности и связанных с ней рисков и использовать возможности, увеличивая потенциал для роста стоимости компании

В соответствии с методологией COSO управление риском организации включает в себя следующие ключевые задачи:

■          определение уровня риска, на который готова идти организация в соответствии со своей стратегией развития;

■          совершенствование процесса принятия решений по реагированию на возникающие риски;

■          сокращение числа непредвиденных событий и убытков в хозяйственной деятельности;

■          определение и управление всей совокупностью рисков в хозяйственной деятельности;

■          использование благоприятных возможностей;

■          рациональное использование капитала

Влияние событий в сфере неопределенности может быть положительным, отрицательным или одновременно и тем и другим События, влияние которых является отрицательным, методологией COSO предлагается относить к риску, который мешает созданию или ведет к снижению стоимости События, влияние которых является положительным, могут компенсировать отрицательное влияние рисков, а также положительно влиять на достижение результата

По COSO управление рисками организации:

■          представляет собой непрерывный процесс, охватывающий всю организацию;

осуществляется сотрудниками на всех уровнях организации;

используется при разработке и формировании стратегии;

^ применяется во всей организации, на каждом ее уровне и в каждом подразделении и включает анализ портфеля рисков на уровне организации;

^ нацелен на определение событий, которые могут влиять на организацию и управление рисками таким образом, чтобы они не превышали порог готовности организации идти на риск;

^ дает руководству и совету директоров организации разумную гарантию достижения целей;

■          связан с достижением целей по одной или нескольким пересекающимся категориям

Существует прямая взаимосвязь между целями или тем, чего организация стремится достичь, и компонентами процесса управления рисками организации, представляющими собой действия, необходимые для их достижения . Данная взаимосвязь иллюстрируется в материалах COSO трехмерной матрицей (кубом), представленной на рис . 8 . 6 .

Внутренняя среде

Постановка целей

Определение событий

Оценка рисков

Реагирование на риски

 

га

 

со а. О

 

со а.

3

 

 

і           со

CD       3"

Р          =

о          S

со

со S а. s

■& о: х а.

CD

у о

Средства контроля

Информация и коммуникации

Мониторинг

 

Рис. 8.6. Связь между целями организации и компонентами процесса управления рисками организации

Данный рисунок отражает пересмотренный подход руководств Комитета COSO (называемый еще COSO II), который является более детализированным по сравнению с материалами, лежащими в основе первого поколения руководства Комитета COSO, датируемого началом 1990-х гг . Для реализации данного подхода на практике организация должна разработать (принять) удовлетворяющую ее целям понятийную базу, установить цели, задачи, объемы, распределить ответственность, а также утвердить методологию управления операционными рисками

По методологии Комитета COSO восемь взаимосвязанных компонентов системы управления рисками организации (см . рис . 8 . 6) имеют следующее назначение

■          Внутренняя среда Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации и как они на него реагируют Внутренняя среда включает философию управления рисками и уровень риска, на который готова идти организация, честность и этические ценности, а также ту среду, в которой они существуют

■          Постановка целей Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение Процесс управления рисками предоставляет «разумную» гарантию (если более точно, то некие свидетельства как основание для уверенности) того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и эти цели соответствуют задачам организации и ее готовности идти на риск

■          Определение событий Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски (потери) или возможности (благоприятное стечение обстоятельств, «улыбнулась удача» и т п ) Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей

^ Оценка рисков . Риски анализируются с учетом возможности (правдоподобности) их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять Риски оцениваются с точки зрения присущего (характерного) и остаточного риска

■          Реагирование на риск Руководство выбирает метод реагирования на риск — уход от риска, принятие, снижение или перенос (перераспределение) риска, разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и готовностью организации рисковать

■          Средства контроля Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно

■          Информация и коммуникации Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности . Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали ■ Мониторинг Весь процесс управления рисками организации отслеживается и по необходимости корректируется и совершенствуется Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок Система внутреннего контроля организации позиционируется как составная часть процесса управления риском организации Управление риском на уровне организации рассматривается как более широкий, чем внутренний контроль, процесс . Он включает и развивает систему внутреннего контроля, преобразуя ее в более эффективную форму, акцентированную на риск В свою очередь менеджмент риска рассматривается как часть системы общекорпоративного менеджмента

международные стандарты менеджмента управления информационной безопасностью комплекса iso/iec 270хх

Весь комплекс стандартов, представленный на рис . 8 . 7, направлен на обеспечение осуществления эффективного управления информационной безопасностью в организации . Каждый из стандартов, входящих в комплекс стандартов СМИБ, направлен на рассмотрение определенного вопроса в рамках управления информационной безопасности в организации . Далее представлено краткое описание стандартов, входящих в рассматриваемый комплекс

ISO/IEC 27000 «СМИБ — Обзор и терминология» (Information security management systems — Overview and vocabulary). Данный стандарт был разработан с целью обеспечить единый и понятный базис для всех стандартов, имеющих отношение к СМИБ В него включен систематизированный перечень терминов и определений, используемых в комплексе стандартов СМИБ Стандарт является ключевым документом в рассматриваемом комплексе стандартов СМИБ, поскольку содержит изложение основных вопросов, связанных с информационной безопасностью, а также точные формулировки принципов, терминов и определений

ISO/IEC 27001 «СМИБ — Требования» (Information security management systems — Requirements) Данный стандарт является центральным в семействе стандартов СМИБ Он определяет требования по созданию, реализации, использованию, мониторингу, пересмотру, поддержке и усовершенствованию документированной СМИБ в контексте рисков для бизнеса организации, по реализации мер и средств контроля и управления, «настроенных» в соответствии с потребностями отдельных организаций или их подразделений

ISO/IEC 27002 «Свод практик по информационной безопасности» (Code of practice for information security management). Данный стандарт содержит полное руководство по реализации мер и средств контроля и управления информационной безопасности и напрямую поддерживает ISO/IEC 27001. Ряд вопросов, затронутых в данном стандарте, связаны со стандартами ISO/IEC 27003 и ISO/IEC 27005.

ISO/IEC 27003 «Руководство по реализации СМИБ» (Information security management systems implementation guidance)  Данный стандарт представляет ру-

 

Подпись:

І,

а і         і

5 СО    І

=Г О     і

О CD    1

О.         І

27001 СМИБ — Требования

27006

Требования для организаций по проведению аудита и сертификации СМИБ

 

27002 Свод практик по информационной безопасности

27004 Измерения

27016 Экономика СМИБ

ДД А к

27003 Руководство по реализации СМИБ

27005 Управление рисками информационной безопасности

27007 Руководства по аудиту СМИБ

3 ю О

 

 

4

27008

Руководства для аудиторов по аудиту средств контроля СМИБ

27013

Руководство по совместному использованию стандартов ИСО/МЭК 20000-1 и ИСО/МЭК 27001

27014

Корпоративное управление информационной безопасностью

27011

Руководства по управлению информационной безопасностью для телекоммуникаций

27015

Руководство по управлению информационной безопасностью для финансового сектора и сектора страхования

 

-Є-

 

CD з

27010

Управление информационной безопасностью для межотраслевого взаимодействия и взаимодействия между организациями

27799

Информатика в здравоохранении — управление безопасностью в здравоохранении и использованием стандарта ISO/IEC 27002

 

Рис. 8.7. Структура семейства стандартов СМИБ

ководство по реализации СМИБ и напрямую поддерживает ISO/IEC 27001 Он также включает основные положения, модели и руководящие материалы по информационной безопасности для обеспечения независимого руководства для организации в части выбора мер и средств контроля и управления из соответствующего раздела ISO/IEC 27002 и улучшения уже реализованных мер и средств контроля и управления безопасности с учетом меняющихся условий

ISO/IEC 27004 «Измерения» (Information security management measurements). Данный стандарт дает возможность эффективно выполнять измерения уровня эффективности реализованных мер и средств контроля и управления и процессов, описанных в ISO/IEC 27001 Для обеспечения эффективности данный стандарт рассматривает ряд измерений, включая правомерность применения в конкретном случае, эффективность затрат, эффективность и уровень реализации мер и средств контроля В дополнение к этому, используя требования данного стандарта, можно получить сведения и понять, в каких случаях применение положений стандарта ISO/IEC 27001 было адекватно потребностям организации и способствовало достижению ее постоянного улучшения, а в каких случаях необходимы изменения

ISO/IEC 27005 «Менеджмент рисков информационной безопасности» (Information security risk management). Данный стандарт представляет руководство по менеджменту рисков информационной безопасности и затрагивает принципы менеджмента риска информационной безопасности, методы оценки риска информационной безопасности, обработки и принятия риска, обмена сведениями о рисках, мониторинга и пересмотра риска, предоставляя информацию по применению ISO/IEC 27001

ISO/IEC 27006 «Требования для организаций, осуществляющих аудит и сертификацию СМИБ» (Requirements for bodies providing audit and certification of information security management systems). Данный стандарт определяет требования для организаций, осуществляющих аудит и сертификации СМИБ Стандарт организован как дополнение (надстройка) к универсальным требованиям для органов, осуществляющих аудит и сертификацию систем менеджмента организаций, содержащимся в стандарте ISO/IEC 17021

ISO/IEC 27007 «Руководство для аудита СМИБ» (Guidelines for information security management systems auditing). Данный стандарт представляет руководство по проведению аудитов СМИБ Стандарт обеспечивает специфичное руководство, необходимое аудиторам СМИБ Он обеспечивает поддержку реализации требований ISO/IEC 27006 и требований универсального руководства по аудиту систем менеджмента, представленного в ISO 19011

ISO/IEC 27008 «Руководство для аудиторов по аудиту средств контроля СМИБ» (Guidance for Auditors on ISMS Controls). Данный технический отчет представляет руководство по проверке свидетельств работы и качества реализации мер и средств контроля и управления СМИБ Данный стандарт поддерживает задачи планирования и осуществления оценивания мер и средств контроля и управления СМИБ, других процессов обеспечения уверенности в эффективности СМИБ, процессов менеджмента риска информационной безопасности и управления информационной безопасностью в рамках организации

ISO/IEC 27010 «Менеджмент информационной безопасности для межотраслевого взаимодействия и взаимодействия между организациями» (Information security management guidelines for inter-sector communications). Данный стандарт представляет руководство по менеджменту информационной безопасности при взаимодействии и сотрудничестве между организациями государственного и (или) частного сектора

ISO/IEC 27011 «Руководство по менеджменту информационной безопасности для телекоммуникаций» (Information security management guidelines for telecommunications). Данный стандарт устанавливает основные принципы и представляет руководство по инициации, реализации, поддержке и совершенствованию менеджмента информационной безопасности для телекоммуникационных компаний, основанное на ISO/IEC 27002

ISO/IEC 27013 «Руководство по совместному использованию стандартов ИСО/МЭК 20000-1 и ИСО/МЭК 27001» (Guidance on the integrated implementation of20000-1 and 27001). Данный стандарт представляет руководство по совместному использованию систем менеджмента информационной безопасности и систем менеджмента услуг ИТ в рамках одной и той же организации

ISO/IEC 27014 «Корпоративное управление информационной безопасностью» (Information security governance framework). Данный стандарт представляет руководство по разработке и использованию структуры управления информационной безопасностью для оказания содействия организации в вопросах управления и контроля процессов СМИБ в соответствии с ISO/IEC 27001 Стандарт может применяться в организациях всех типов и размеров Стандарт представляет руководящие принципы для руководителей организации в отношении результативности, эффективности и допустимого использования информационной безопасности в организации

ISO/IEC 27015 «Руководство по менеджменту информационной безопасности для финансового сектора» (Information security management guidelines for financial services). Данный стандарт представляет руководство по поддержке реализации менеджмента информационной безопасности в секторе финансовых услуг

ISO/IEC 27016 «Экономика СМИБ» (Information security management — Organizational economics). Данный технический отчет содержит руководство по предоставлению экономических подходов руководству организации по эффективному выделению или ограничению ресурсов в рамках менеджмента безопасности информационных активов

ISO/IEC 27799 «Информатика в здравоохранении — управление безопасностью в здравоохранении с использованием стандарта ISO/IEC 27002» (Health informatics — Information security management in health using ISO/IEC 27002). Данный стандарт определяет руководство по поддержке интерпретации и реализации информатики в здравоохранении в соответствии с ISO/IEC 27002 Рассматриваемый стандарт определяет набор детализированных мер и средств контроля и управления и представляет руководство по использованию лучших практик в области информационной безопасности в здравоохранении

В группе стандартов ISO/IEC 270XX отдельным блоком выделен ряд стандартов, рассматривающих вопросы информационной безопасности, связанные с использованием определенных технологий, таких как:

■          готовность информационных технологий к обеспечению непрерывности бизнеса (ISO/IEC 27031);

■          безопасность сетей (ISO/IEC 27033);

^ безопасность приложений (ISO/IEC 27034);

■          менеджмент инцидентов информационной безопасности (ISO/IEC 27035);

■          вопросы информационной безопасности при взаимодействии с поставщиками (ISO/IEC 27036);

■          вопросы, связанные со свидетельствами, представленными в цифровой форме (ISO/IEC 27037);

■          вопросы информационной безопасности при работе с электронными документами (ISO/IEC 27038).

ISO/IEC 27031 «Руководство по обеспечению готовности информационных и коммуникационных технологий к процессу обеспечения непрерывности бизнеса» (Guidelines for ICTreadiness for business continuity). Данный стандарт описывает концепции и основные принципы, применяемые для обеспечения готовности информационных и коммуникационных технологий для бизнес-сообщества к процессу непрерывности бизнеса

ISO/IEC 27033 «Безопасность сетей» (NetworkSecurity). Данный стандарт состоит из шести частей, каждая из которых представляет детальное руководство по определенным аспектам безопасности менеджмента, эксплуатации и использования сетей и их взаимодействий

ISO/IEC 27034 «Безопасность приложений» (Application Security). Данный стандарт состоит из пяти частей, каждая из которых представляет процессно-ориентированное руководство для разработчиков программного обеспечения и средств обеспечения безопасности, аудиторов и менеджеров организации по определению, разработке (при необходимости), реализации, управлению, поддержке и исключению приложений из рассмотрения в качестве объектов информационной безопасности

ISO/IEC 27035 «Менеджмент инцидентов информационной безопасности» (Information security incident management). Данный стандарт представляет руководство по менеджменту инцидентов информационной безопасности для менеджеров информационной безопасности и менеджеров информационных систем, сервисов и сетей Стандарт подходит для использования в организациях любых размеров

ISO/IEC 27036 «Информационная безопасность при взаимодействии с поставщиками» (Guidelines for security of outsourcing). Данный стандарт представляет руководство по оценке рисков безопасности, возникающих при приобретении

или использовании услуг аутсорсинга в соответствии с мерами и средствами контроля и управления из ISO/IEC 27001 и ISO/IEC 27002 в части аутсорсинга .

ISO/IEC 27037 «Руководство по идентификации, сбору и (или) получению и хранению юридически значимых свидетельств, представленных в цифровой форме» (Guidelines for identification, collection and/or acquisition and preservation of digital evidence). Данный стандарт представляет детальное руководство, описывающее процесс признания, идентификации, сбора и (или) сохранности цифровых данных, которые могут содержать информацию, потенциально выступающую в качестве доказательств

Назначение и практику использования стандартов семейства ISO/IEC 270XX иллюстрирует рис . 8 . 8 .

Орган аккредитации

 

Подпись: Орган сертификации
Подпись: ISO/IEC 27006 (ISO/IEC 17021)

-|. Руководства Требо-С^, по реагу-

ISO/IEC 27002, 27003, 27004, 27005, 27010, 27011, 27013, 27014, 27015, 27016

Заявление о соответствии стандарту ISO/IEC 27001 предполагает, что: ■ СМИБ организации (на практике, как правило, это функциональный объект (подразделение) в организации, определенный в так называемых границах СМИБ) отвечает требованиям, изложенным в ISO/IEC 27001; ^ подготовлен документ «Положение о применимости» (см . п . 4 . 2 .1 j) ГОСТ Р ИСО/МЭК 27001-2006), содержащий обоснование и комментарии, подготовленные на основе оценки и обработки рисков ИБ, об использовании или неиспользовании в границах СМИБ стандартизированных (более 120) мер и средств контроля и управления (в оригинале controls), представленных в приложении А к стандарту ISO/IEC 27001. Более подробно данные стандартизированные меры и средства контроля и управления рассмотрены в ISO/IEC 27002;

■          основой оценки соответствия стандарту ISO/IEC 27001 являлась методика оценки соответствия, действующая в соответствующей системе оценки и сертификации СМИБ по критериям ISO/IEC 27001;

■          результат соответствия стандарту ISO/IEC 27001 оформлен в соответствии с требованиями, действующими в соответствующей системе оценки и сертификации СМИБ по критериям ISO/IEC 27001;

■          процесс оценки соответствия ISO/IEC 27001 осуществлялся в соответствии с требованиями к процессу аудита, действующими в соответствующей системе оценки и сертификации СМИБ по критериям ISO/IEC 27001 Для унификации и поддержки данных процедур разработан международный стандарт ISO/IEC 27007, требования которого предназначены установить единые процедуры аудита СМИБ Для этих же целей дополнительно к международному стандарту ISO/IEC 27007 подготовлен стандарт ISO/IEC 27008;

^ аудитор (аудиторская группа) являлись лицами, аккредитованными в соответствующей системе аккредитации персонала, и компетентен для оценки и сертификации СМИБ по критериям ISO/IEC 27001 Для унификации и поддержки данных процедур в 2006 г был принят международный стандарт ISO/IEC 27006, установивший единые минимально достаточные требования по аккредитации аудиторов (аудиторских групп) и персонала органов сертификации СМИБ Как нетрудно заметить, все основные процедурные и методические аспекты лежат в плоскости компетенции учредителей соответствующих систем оценки соответствия и сертификации На практике заявления о соответствии стандарту ISO/IEC 27001 имеют преимущественно утилитарную цель: демонстрации партнерам по бизнесу, клиентам и иным заинтересованным сторонам, что система контроля информационных рисков компании имеется и она обладает надлежащей функциональностью Естественно, что «на слово» верить можно, но лучше иметь документальное подтверждение — сертификат соответствия Именно поэтому стандарт ISO/IEC 27001 еще называют сертификационным стандартом .

Учитывая, что все бремя обеспечения компетентности оценщиков и качества аудита СМИБ ложится на систему оценки соответствия и систему аккредитации в соответствующей области деятельности, важнейшим фактором, влияющим на доверие к сертификату СМИБ, является принадлежность его к системе оценки и аккредитации Например, биржи и финансовые рынки доверяют далеко не всем системам аккредитации и оценки соответствия в области СМИБ

В случае необходимости независимого признаваемого подтверждения соответствия своей СМИБ ISO/IEC 27001 компании, включая российские, обращаются к специализированным органам сертификации, имеющим признанную потребителями аккредитацию . Одним из таких признаваемых органов по понятным причинам является UKAS (United Kingdom Accreditation Service), а также иные органы

На практике подготовка к сертификации СМИБ компании включает следующие этапы:

■          определение области действия (границ) «стандартной» СМИБ . Эта фаза в зависимости от размера компании может занять срок от одной недели до полугода;

^ проведение анализа рисков в границах СМИБ;

■          выявление и анализ несоответствий применяемых в организации мер и средств контроля и управления, относительно представленных в приложении А к стандарту ISO/IEC 27001;

^ разработка недостающих процедур и документации СМИБ;

■          внедрение процедур СМИБ;

■          опытная эксплуатация СМИБ;

■          обучение персонала компании в объеме, необходимом для последующего сопровождения и развития СМИБ

Соответствие СМИБ требованиям ISO/IEC 27001 с последующей сертификацией, осуществляющейся в признанных на международном уровне системах сертификации, сопряжено со значительными усилиями организации по приведению ее СМИБ в соответствие с требованиями стандарта Например, в состав документов внутренней нормативной базы может потребоваться включение (с сопутствующей разработкой недостающих) следующих положений:

а)         политики СМИБ (корпоративной политики ИБ), а также процедур и со-

ответствующих внутренних нормативных актов по поддержке политики СМИБ

(корпоративной политики ИБ) в актуальном состоянии;

б)         частных политик для подсистем, технологий и подразделений и соответ-

ствующих процедур и внутренних нормативных актов по их поддержке в акту-

альном состоянии, включая (но не ограничиваясь этим):

■          документы и требования по маркировке и обработке информации,

■          документы по анализу и оценке рисков ИБ Критериям принятия рисков,

■          политику обеспечения ИБ на основных технологических и производственных участках,

^ политику (матрицы (роли) управления доступом,

■          политику мониторинга и реагирования на инциденты,

■          антивирусную политику,

■          политику использования Интернета,

^ политику использования электронной почты в деятельности подразделения,

■          политику лицензионного программного обеспечения,

■          политику использования сети и протоколов проводной и беспроводной передачи данных,

■          основные требования по физической безопасности,

■          политику для жизненного цикла данных и т д ;

в)         планов обеспечения безопасности, включая:

■          план обучения информационной безопасности,

■          план осведомленности по информационной безопасности,

■          план совершенствования эффективности СМИБ,

■          план тестирования систем,

■          план тестирования при приемке,

■          план управления в чрезвычайных ситуациях,

■          план мероприятий по достижению соответствия нормативным и регулирующим требованиям и т д ;

г)          корпоративных стандартов и нормативных актов для элементарных опера-

ционных задач, включая:

^ инструкции ИБ (дополнение действующих инструкций) административному и обслуживающему персоналу,

■          инструкции ИБ (дополнение действующих инструкций) пользователей систем и сетей,

^ приведение в соответствие внутренних нормативных актов по жизненному циклу систем,

■          приведение в соответствие внутренних нормативных актов по конфиденциальности и политики обслуживания потребителей,

■          настроечные стандарты для конфигурации каждой из эксплуатируемых в подразделениях системы,

■          настроечные стандарты, процедуры и политики обработки данных средствами телекоммуникаций,

■          настроечные стандарты для конфигурации ключевых устройств каждой из эксплуатируемых в организации сетей и т д

В каждом конкретном случае номенклатура необходимых документов внутренней нормативной базы СМИБ будет различаться

Для каждого из выпушенных организацией документов внутренней нормативной базы СМИБ должны поддерживаться данные об их исполнении (в западных стандартах такие данные проходят под термином records) Все это вместе должно быть представлено аудитору СМИБ (нормы и свидетельства их исполнения)

 

ДОКУмЕНТЫ ПО СТАНДАРТИЗАЦИИ БАНКА РОССИИ

«СТО/РС БР ИББС»

В комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» входят следующие стандарты (СТО) и рекомендации по стандартизации (РС):

СТО БР ИББС-1 0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации Общие положения»;

СТО БР ИББС-1.1 «Обеспечение информационной безопасности . Аудит информационной безопасности»;

СТО БР ИББС-1 2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации . Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС 1 0-20хх»;

РС БР ИББС-2 0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1 0»;

РС БР ИББС-2 1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1 0»;

РС БР ИББС-2 2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации . Методика оценки рисков нарушения информационной безопасности»;

РС БР ИББС-2 . 3 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации»;

РС БР ИББС-2 4 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации»

Стандарт Банка России СТО БР ИББС-1. 0 распространяется на организации банковской системы Российской Федерации (БС РФ) и устанавливает требования по обеспечению ИБ в организациях БС РФ Данный стандарт устанавливает требования к системе обеспечения информационной безопасности (СОИБ), СМИБ и системе информационной безопасности (СИБ) организаций БС РФ Общую взаимосвязь СОИБ, СМИБ и СИБ организации БС РФ иллюстрирует рис . 8 . 9 .

Стандарт Банка России СТО БР ИББС-1 1 распространяется на организации БС РФ, а также на организации, проводящие аудит ИБ организаций БС РФ, и устанавливает требования к проведению внешнего аудита ИБ организаций БС РФ

Основными целями аудита ИБ организаций БС РФ являются:

■          повышение доверия к организациям БС РФ;

■          оценка соответствия ИБ организаций БС РФ критериям аудита ИБ, установленным требованиями стандарта Банка России СТО БР ИББС-1. 0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации . Общие положения» .

Рис. 8.9. Система обеспечения информационной безопасности организации БС РФ

В данном стандарте устанавливаются основные принципы и требования к проведению аудита ИБ организации БС РФ, а также общие требования проведения самооценки ИБ . В поддержку стандарта СТО БР ИББС-1.1 в части проведения самооценки ИБ организаций БС РФ используются рекомендации в области стандартизации Банка России РС БР ИББС — 2 .1.

Стандарт Банка России СТО БР ИББС-1 2 устанавливает способы определения степени выполнения требований стандарта Банка России СТО БР ИББС-1 0, а также итогового уровня соответствия ИБ требованиям стандарта Банка России СТО БР ИББС-1 0 при проведении внутренней и (или) внешней оценки и (или) самооценки ИБ

Данная методика оценки соответствия ИБ распространяется на организации БС РФ, а также на организации, проводящие оценку уровня обеспечения ИБ организации БС РФ в соответствии с требованиями стандарта Банка России

СТО БР ИББС-1 0

Целью методики оценки соответствия является установление подходов и способов оценки, используемых для определения уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1 0 по направлениям оценки:

■          текущий уровень ИБ организации;

■          менеджмент ИБ организации;

■          уровень осознания ИБ организации

Для отображения результатов оценивания соответствия используется круговая диаграмма, представленная на рис 8 10, секторы которой соответствуют так называемым групповым показателям оценки соответствия

Групповые показатели (секторы на рис . 8 .10) с 1-го по 10-й используются для отображения оценки текущего уровня ИБ организации, с 11-го по 27-й — для отображения оценки процессов менеджмента ИБ организации, с 28-го по 34-й — для отображения оценки уровня осознания ИБ организации

Каждый групповой показатель включает частные показатели, к которым применяются соответствующие оценочные шкалы, представленные в разделе 6 Методики оценки соответствия СТО БР ИББС-1. 2 . По решению оценщика может быть выбрана любая из трех шкал оценки для частных показателей ИБ Методики оценки соответствия СТО БР ИББС-1. 2, отражающих как характер соответствующих свидетельств оценки ИБ, так и возможные цели оценки

В том случае, если оценивается как степень документированности, так и степень выполнения, рекомендуется использовать следующий общий подход («универсальная шкала»).

 

Оценка частного показателя иБ

Критерий выставления оценки частного показателя иБ

0

Требования частного показателя иБ не установлены во внутренних нормативных документах проверяемой организации и не выполняются

0

Требования частного показателя иБ частично установлены в нормативных документах проверяемой организации, но не выполняются

0,25

Требования частного показателя иБ полностью установлены в нормативных документах проверяемой организации, но не выполняются

Окончание

Оценка частного показателя ИБ

Критерий выставления оценки частного показателя ИБ

0,25

Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме

0,25

Требования частного показателя ИБ частично установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме

0,5

Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме

0,5

Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации, но выполняются в полном объеме

0,75

Требования частного показателя ИБ частично установлены во внутренних нормативных документах проверяемой организации, но выполняются в полном объеме

1

Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой организации и выполняются в полном объеме

При проведении оценки частных показателей, для которых оценивается только степень документированности, рекомендуется использовать следующий общий подход («документарная шкала»).

 

Оценка частного показателя ИБ

Критерий выставления оценки частного показателя ИБ

0

Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации

0,5

Требования частного показателя ИБ частично установлены в нормативных документах проверяемой организации

1

Требования частного показателя ИБ полностью установлены в нормативных документах проверяемой организации

При проведении оценки частных показателей, для которых оценивается только степень выполнения, рекомендуется использовать следующий общий подход («реализационная шкала»)

 

Оценка частного показателя ИБ

Критерий выставления оценки частного показателя ИБ

0

Требования частного показателя ИБ не выполняются

 

8.3. модельные решения и стандарты обеспечения информационной безопасности ^ 257

Окончание

Оценка частного показателя ИБ

Критерий выставления оценки частного показателя ИБ

0,5

Требования частного показателя ИБ выполняются в неполном объеме

1

Требования частного показателя ИБ выполняются в полном объеме

Полученные свидетельства оценки ИБ и источники их получения должны быть документально закреплены путем составления листов для сбора свидетельств оценки Примером такого документа может являться следующая форма

 

Обозначение

частного показателя ИБ

Источники свидетельств и свидетельства самооценки ИБ (документы, результаты опроса или наблюдений)

Кем предоставлены свидетельства самооценки ИБ

Подпись сотрудника (руководителя)

Дата