Георгий Беляков, инженер по ИБ и облачным решениям Linxdatacenter
Как обеспечить информационную безопасность компании на должном уровне с помощью стандарта ISO 27001: ИБ-стратегия, горизонт планирования и оценка эффективности.
Согласно стандарту
Для приведения ИБ-составляющей бизнеса к надлежащему уровню эффективности существуют специальные стандарты. Они позволяют разрабатывать, внедрять и контролировать работу систем управления ИБ в масштабах компании любого размера и профиля.
Общепринятым международным стандартом по ИБ является ISO 27001. Он носит всеобъемлющий характер и охватывает процессы по защите любых ИТ-систем.
Стандарт фокусируется на менеджменте и организации работы по ИБ, в нем описаны базовые процессы и виды контроля, принимаемые на основании результата оценки рисков. Компании сами выбирают, какие виды контроля и какая техническая реализация ИБ-решения ей подходят в зависимости от действующих потребностей.
Идеология стандарта – движение от процесса к технологии. Чем выше конкретный ИБ-риск, тем больше технических и кадровых ресурсов нужно выделять на его смягчение.
Выгоды сертификации и с чего начать
Соответствие требованиям стандарта помогает выявлять и устранять пробелы и уязвимости в системе безопасности, исключать дорогостоящие ИБ-инциденты и исключить ненужные трудовые и финансовые затраты.
Сертификация в силу своего независимого характера укрепляет репутацию компании в глазах клиентов, партнеров и других заинтересованных сторон.
Работа по адаптации стандарта начинается с проведения подробной оценки рисков системы управления ИБ. Далее происходит сопоставление текущей стратегии контроля ИБ с принципами ISO 27001.
Цель анализа – определение слабых мест для каждой системы в зависимости от уровня критичности для бизнеса. После этого важно выбрать меры безопасности, которые помогут смягчить угрозы. Все риски, средства контроля и методы смягчения должны быть четко определены в политике безопасности.
После определения областей применения и выбора средств контроля следует установить четкие ориентиры и ожидания. Показатели результативности и эффективности помогают предприятиям оставаться сосредоточенными на достижении конечных целей.
ISO на практике: цикл PDCA
Как показывает практика, в ходе разработки ИБ-решений постоянно возникает множество проблем – корректировка бюджета, изменения курса валюты для покупки софта и оборудования, смена структуры кадров, которые участвуют в реализации ИБ-стратегии.
Любые изменения в этих компонентах затрудняют планирование ИБ-деятельности на долгий срок. Чтобы избежать обесценивания проделанной работы и зафиксировать осязаемый результат на запланированных горизонтах времени – применяют ISO 27001.
Стандарт раскрывает систему менеджмента в ИБ с точки зрения управления без погружения в технические детали. Для этого в стандарте предусматривается реализация цикла PDCA – Plan, Do, Check, Act, то есть этапы планирования, действия, проверки и реагирования.
Ключевой элемент – стадия планирования и оценки рисков, от ее качественного выполнения зависит 50% успеха.
Любая ИБ-стратегия состоит из разовых и регулярных задач. На первом этапе требуется четко определить перечень разовых (проектных) задач, а также составить список регулярных, которые продиктованы требованиями регуляторов и потребностями ежедневной практики компании.
На втором – ISO 27001 (Do) реализуется управление работой системы согласно проведенной классификации задач. На третьем (Check) происходит проверка и мониторинг работы, в ходе четвертого этапа (Act) оценивается эффективность проделанного комплекса мероприятий.
Результаты последней стадии позволяют проводить апгрейд существующей ИБ-системы и перезапускать процедуру ее совершенствования по тем же основным этапам, выводя эффективность на новый уровень.
Дробление сроков
В ИБ всегда было принято планировать с горизонтом в один год, но в свете стремительных темпов появления новых угроз это становится нецелесообразным.
Чтобы обеспечить гибкость выполнения плановых мероприятий по ИБ в сочетании с обработкой потока возникающих задач, необходимо «дробить» глобальные планы-графики на локальные. Все разовые и регулярные мероприятия из годового плана переносятся в квартальный, также туда добавляются все незапланированные активности.
Мелкие задачи оперативного характера – взаимодействия с поставщиками, получением счетов, согласованием договоров и т.д. – в такой план включать нецелесообразно. Их надо учитывать в любом удобном планере в формате канбан-доски – с горизонтом в неделю и с ранжированием по важности.
Так получится вовремя выполнять запланированные базовые ИБ-активности, не упуская ничего критически важного, и отрабатывать текущую повестку без переутверждения квартальных или годовых планов. Такое распараллеливание задач повышает общее качество работы ИБ-решения. Даже если не хватит времени на выполнение всех запланированных задач, наиболее важные будут выполнены.
Оценка эффективности
Самое сложное – определить объективные показатели эффективности принимаемых мер по обеспечению ИБ. Например, раньше часто ориентировались на процент выполненных ИБ-задач от общего их количества. Так называемая «реализуемость планов по отработке рисков». Также могли оценивать ИБ-эффективность по оснащенности компании средствами защиты.
Другой критерий – оценка затрат на ИБ. Это расчет потраченных на безопасность средств, времени и кадров, и определение экономического эффекта мероприятий. В последнее время принятым стандартом была оценка по количеству нейтрализованных инцидентов.
Однако данные подходы не являются эффективными, потому что всегда есть вероятность невыявленного инцидента.
Бывает и так, что пропущенный инцидент в прошлом не нанес серьезный ущерб в моменте (несанкционированное копирование данных или подключение с целью просмотра данных и т.д.), и масштабы вреда еще не проявились в полном объеме.
Более эффективный подход к оценке эффективности ИБ-политик – соотношение реального ущерба от выявленных инцидентов к потенциальному их объему, если бы ИБ-решение не сработало.
Постоянное совершенствование
Информационная безопасность – не пункт назначения, а бесконечный процесс движения к идеалу. ISO 27001 в этом плане можно назвать маршрутным листом этого путешествия. Он обеспечивает не только защиту данных, но и оптимизацию всех связанных с ИБ процессов.
Стандарт развивается – недавно вышел ряд обновлений. Также он всегда был открыт для применения к ИБ всех современных методик планирования и контроля исполнения, таких как Agile Security Action Plan и лучшие практики Scrum.
Комплексный подход к методикам управления ИБ, а также короткие горизонты планирования дадут лучший результат и позволят не растягивать на год выполнение поставленных задач. В современном мире за это время они почти гарантированно успеют устареть.
Закажите консультацию специалиста