• Стандартная безопасность: зачем вам ИБ по ISO 27001

    Дата публикации - 13 апреля 2022

    Георгий Беляков, инженер по ИБ и облачным решениям Linxdatacenter  

    Как обеспечить информационную безопасность компании на должном уровне с помощью стандарта ISO 27001: ИБ-стратегия, горизонт планирования и оценка эффективности. 

    Согласно стандарту  

    Для приведения ИБ-составляющей бизнеса к надлежащему уровню эффективности существуют специальные стандарты. Они позволяют разрабатывать, внедрять и контролировать работу систем управления ИБ в масштабах компании любого размера и профиля.  

    Общепринятым международным стандартом по ИБ является ISO 27001. Он носит всеобъемлющий характер и охватывает процессы по защите любых ИТ-систем. 

    Стандарт фокусируется на менеджменте и организации работы по ИБ, в нем описаны базовые процессы и виды контроля, принимаемые на основании результата оценки рисков. Компании сами выбирают, какие виды контроля и какая техническая реализация ИБ-решения ей подходят в зависимости от действующих потребностей.  

    Идеология стандарта – движение от процесса к технологии. Чем выше конкретный ИБ-риск, тем больше технических и кадровых ресурсов нужно выделять на его смягчение.  

    Выгоды сертификации и с чего начать  

    Соответствие требованиям стандарта помогает выявлять и устранять пробелы и уязвимости в системе безопасности, исключать дорогостоящие ИБ-инциденты и исключить ненужные трудовые и финансовые затраты.  

    Сертификация в силу своего независимого характера укрепляет репутацию компании в глазах клиентов, партнеров и других заинтересованных сторон. 

    Работа по адаптации стандарта начинается с проведения подробной оценки рисков системы управления ИБ. Далее происходит сопоставление текущей стратегии контроля ИБ с принципами ISO 27001.  

    Цель анализа – определение слабых мест для каждой системы в зависимости от уровня критичности для бизнеса. После этого важно выбрать меры безопасности, которые помогут смягчить угрозы. Все риски, средства контроля и методы смягчения должны быть четко определены в политике безопасности.  

    После определения областей применения и выбора средств контроля следует установить четкие ориентиры и ожидания. Показатели результативности и эффективности помогают предприятиям оставаться сосредоточенными на достижении конечных целей. 

    ISO на практике: цикл PDCA  

    Как показывает практика, в ходе разработки ИБ-решений постоянно возникает множество проблем – корректировка бюджета, изменения курса валюты для покупки софта и оборудования, смена структуры кадров, которые участвуют в реализации ИБ-стратегии.  

    Любые изменения в этих компонентах затрудняют планирование ИБ-деятельности на долгий срок. Чтобы избежать обесценивания проделанной работы и зафиксировать осязаемый результат на запланированных горизонтах времени – применяют ISO 27001.  

    Стандарт раскрывает систему менеджмента в ИБ с точки зрения управления без погружения в технические детали. Для этого в стандарте предусматривается реализация цикла PDCA – Plan, Do, Check, Act, то есть этапы планирования, действия, проверки и реагирования.  

    Ключевой элемент – стадия планирования и оценки рисков, от ее качественного выполнения зависит 50% успеха.  

    Любая ИБ-стратегия состоит из разовых и регулярных задач. На первом этапе требуется четко определить перечень разовых (проектных) задач, а также составить список регулярных, которые продиктованы требованиями регуляторов и потребностями ежедневной практики компании.  

    На втором – ISO 27001 (Do) реализуется управление работой системы согласно проведенной классификации задач. На третьем (Check) происходит проверка и мониторинг работы, в ходе четвертого этапа (Act) оценивается эффективность проделанного комплекса мероприятий.  

    Результаты последней стадии позволяют проводить апгрейд существующей ИБ-системы и перезапускать процедуру ее совершенствования по тем же основным этапам, выводя эффективность на новый уровень.  

    Дробление сроков  

    В ИБ всегда было принято планировать с горизонтом в один год, но в свете стремительных темпов появления новых угроз это становится нецелесообразным.  

    Чтобы обеспечить гибкость выполнения плановых мероприятий по ИБ в сочетании с обработкой потока возникающих задач, необходимо «дробить» глобальные планы-графики на локальные. Все разовые и регулярные мероприятия из годового плана переносятся в квартальный, также туда добавляются все незапланированные активности.  

    Мелкие задачи оперативного характера – взаимодействия с поставщиками, получением счетов, согласованием договоров и т.д. – в такой план включать нецелесообразно. Их надо учитывать в любом удобном планере в формате канбан-доски – с горизонтом в неделю и с ранжированием по важности.  

    Так получится вовремя выполнять запланированные базовые ИБ-активности, не упуская ничего критически важного, и отрабатывать текущую повестку без переутверждения квартальных или годовых планов. Такое распараллеливание задач повышает общее качество работы ИБ-решения. Даже если не хватит времени на выполнение всех запланированных задач, наиболее важные будут выполнены. 

    Оценка эффективности  

    Самое сложное – определить объективные показатели эффективности принимаемых мер по обеспечению ИБ. Например, раньше часто ориентировались на процент выполненных ИБ-задач от общего их количества. Так называемая «реализуемость планов по отработке рисков». Также могли оценивать ИБ-эффективность по оснащенности компании средствами защиты.  

    Другой критерий – оценка затрат на ИБ. Это расчет потраченных на безопасность средств, времени и кадров, и определение экономического эффекта мероприятий. В последнее время принятым стандартом была оценка по количеству нейтрализованных инцидентов.  

    Однако данные подходы не являются эффективными, потому что всегда есть вероятность невыявленного инцидента. 

    Бывает и так, что пропущенный инцидент в прошлом не нанес серьезный ущерб в моменте (несанкционированное копирование данных или подключение с целью просмотра данных и т.д.), и масштабы вреда еще не проявились в полном объеме.   

    Более эффективный подход к оценке эффективности ИБ-политик – соотношение реального ущерба от выявленных инцидентов к потенциальному их объему, если бы ИБ-решение не сработало.  

    Постоянное совершенствование  

    Информационная безопасность – не пункт назначения, а бесконечный процесс движения к идеалу. ISO 27001 в этом плане можно назвать маршрутным листом этого путешествия. Он обеспечивает не только защиту данных, но и оптимизацию всех связанных с ИБ процессов.  

    Стандарт развивается – недавно вышел ряд обновлений. Также он всегда был открыт для применения к ИБ всех современных методик планирования и контроля исполнения, таких как Agile Security Action Plan и лучшие практики Scrum. 

    Комплексный подход к методикам управления ИБ, а также короткие горизонты планирования дадут лучший результат и позволят не растягивать на год выполнение поставленных задач. В современном мире за это время они почти гарантированно успеют устареть. 

    Эта статья на портале ИКС

    Поделиться

    Последние новости

    13.05.2022
    Новым генеральным директором Linxdatacenter назначен Андрей Перекрест

    В компании Linxdatacenter сменился генеральный директор. С 13 мая 2022 года компанию возглавит Андрей Перекрест – многолетний руководитель московского ЦОДа Linxdatacenter.

    Подробнее
    21.04.2022
    Linxdatacenter входит в топ-10 рейтинга IaaS Enterprise 2022

    Компания Linxdatacenter вошла в топ-10 рейтинга крупнейших поставщиков услуг IaaS в России по версии CNews.Market. Места в рейтинге распределяются по балльной системе. Чем выше итоговая сумма, тем выше место в рейтинге.

    Подробнее
    22.03.2022
    Компания Linxdatacenter получила аккредитацию Минцифры России

    Linxdatacenter получила государственную аккредитацию Министерства цифрового развития России в реестре организаций, осуществляющих деятельность в области ИТ. Новый статус позволит компании эффективно работать на рынке облачных сервисов для госсектора. 

    Подробнее
    11.03.2022
    Linxdatacenter запускает сервис защиты приложений и инфраструктуры Linx Protect

    Компания Linxdatacenter сообщает о запуске нового продукта Linx Protect. Он обеспечивает многоуровневую защиту интернет-ресурсов и веб-приложений от кибератак при минимальном участии ИТ-специалистов заказчиков и отсутствии капитальных затрат.  

    Подробнее
    Все новости