Вы находитесь на странице: 1из 388

Введение в системы менеджмента

информационной безопасности (СМИБ).


Требования международного стандарта
ISO/IEC 27001:2013
Про курс
Про курс

«Введение в системы менеджмента


информационной безопасности (СМИБ).
Требования международного стандарта
ISO/IEC 27001:2013»

Цель курса:
Донести до слушателей основные идеи и
принципы управления информационной
безопасностью в соответствии с ГОСТ Р
ИСО/МЭК 27001-2013, а также с другими
стандартами и
«лучшими практиками», применяемыми в
Украине и мире.
Содержание курса

1)Все про ГОСТ 27001


(зачем нужен, история появления,
взаимосвязь ISO и ГОСТ, содержание
требований, содержание контролей, версия
2013 года, особенности внедрения и
сертификации и пр.)
2)Общие понятия и модели управления ИБ
(Контекст и заинтересованные лица,
Управление рисками, Комплексная ИБ,
Процессный подход, Руководство ИБ
(Governance), Мониторинг и анализ ИБ,
Эффективность и результативность,
Измерение ИБ, Постоянное
совершенствование)
Особенности курса

1. Курс уникальный, авторский. Короче и


насыщеннее, например, курсов BSI (2+2+3 дня)
2. Многие обсуждаемые вопросы являются
универсальными,
3. Ориентир на практические аспекты управления
ИБ (адаптированные к реалиям), понимание
общих подходов, а не на «зубрежку» текста
стандартов
4. В основном теория, но практические задания и
обсуждения будут
5. Не рассматриваем специфику защиты сведений,
составляющих государственную тайну
Цель курса

• Дать базовое понимание ISO 27001 и СУИБ


• Описать общие подходы по внедрению и
эксплуатации СУИБ
• Разъяснить практические аспекты внедрения
отдельных защитных мер
• С фокусом на запросы аудитории
Вопросы можно
и нужно
задавать в
любое время
Social-
Engineering

Cloud
Computing? Network

Client-Side Operating
Attacks System

Web
Applications
Комплексная и эффективная модель
безопасности имеет множество отдельных
компонентов
Обеспечить правильное понимание и учет рисков
Обеспечить соответствие требованиям
законодательства и регуляторов
Интегрировать обязанности по безопасности в
деятельность компании
Создать модель зрелости для обеспечения
постоянного улучшения
Использовать безопасность как бизнес-
преимущество, чтобы привлечь больше клиентов
 ISO/IEC 27001. Основан на стандарте BS7799 Part II, связанном с
организацией, внедрением, контролем и совершенствованием
Системы управления информационной безопасностью.
 ISO/IEC 27002. Свод правил по управлению защитой информации
(предыдущее название – ISO 17799), основан на стандарте BS 7799
Part I.
 ISO/IEC 27004. Стандарт для измерений в области управления
информационной безопасностью.
 ISO/IEC 27005. Предназначен для реализации надлежащей
информационной безопасности на основе ориентированного на
риски подхода.
 ISO/IEC 27006. Руководство по процессу сертификации /
регистрации.
 ISO/IEC 27799. Руководство по защите персональных данных о
здоровье.
Управление ИБ. Часть 1.
Введение
• Стандарт ISO/IEC 27001:2013 – все
слышали, мало кто видел
• Сложность темы ИБ находит отражение в
стандарте. Полное внедрение ISO 27001,
с использованием всех рекомендаций -
потребует годы для средней
организации.
• Как создать с нуля сбалансированную СУИБ,
как выбрать только реально необходимые
защитные меры и как правильно внедрить
процессы ИБ?
Зачем изучать27001?

1. Дает понимание комплексной ИБ и процессного


подхода
2. Позволяет разрабатывать качественные
документы по ИБ
3. Все чаще является обязательным требованием
для специалистов по ИБ при трудоустройстве
4. Все чаще и чаще упоминается в руководящих
документах по ИБ …
История изменений ISO27001

• 1995 год: разработан BS 7799-1


• 1998 год: разработан BS7799-2
• 1999 год: пересмотр и гармонизация BS7799-1 и 2 с ISO 9001
• 2000 год: BS7799-1 принят в качестве ISO 17799-2000
• 2002 год: пересмотр BS7799-2 (в частности, добавили PDCA)
• 2005 год: пересмотр BS7799-2 и принятие в качестве ISO 27001:2005
• 2005 год: пересмотр ISO 17799, стал ISO17799:2005
• 2007 год: переименование ISO 17799 в ISO27001:2007
• 2013 год: пересмотр ISO 27001 и 27002
• 2019 год – пересмотр ISO 27001 (новая версия)
Общая информация про ISO27001

Стандарт ISO 27001 был опубликован в октябре 2005 г. (на замену


стандарту BS7799-2).

Стандарт ISO 27001 формально определяет систему управления


информационной безопасностью (СУИБ), предназначенную для
обеспечения прямого контроля за безопасностью информации.

Целью данного стандарта является «обеспечение модели для


разработки, внедрения, эксплуатации, мониторинга, анализа,
поддержания и усовершенствования СУИБ»

Большинство организаций имеют средства для контроля за


информационной безопасностью, однако без СУИБ такие средства имеют
тенденцию к проявлению неорганизованности и несогласованности.
Где искать стандарты?

• ISO:
– iso.org/iso/home.html

• ГОСТы:
– gost.ru/wps/portal/pages.CatalogOfStandarts
– gostexpert.ru
– gostinfo.ru/PRI (здесь можно посмотреть текст документов)
– http://files.stroyinf.ru/cgi-bin/ecat/ecat.fcgi
(здесь можно распечатать)
Information technology. Service management
Стандарты ISO27k

• 3 «базовых»,
• 3 «полезных
рекомендаций»
• Всего более 50
СУИБ – общая схема

Планирование и мониторинг целей

Аудиты
Корректирующие

Комплекс
Измерения, метрики защитных
имеры

мер

Управление рисками

Политики и процедуры СУИБ

Требования ИСО 27001


СУИБ – защитные меры согласно ISO 27001

114 защитных мер


ИБ в управлении персоналом Физическая безопасность

Управление доступом Организация ИБ

Управление активами ИБ при разработке ПО

Управление сетевой Антивирусная защита ПО


безопасностью
Резервное копирование
ИБ при работе с поставщиками
Криптография
Управление инцидентами
Логи и мониторинг

Соответствие требованиям Управление непрерывностью


регуляторов бизнеса
ISO 27k (Базовые)
• ISO/IEC 27000:2014
Information technology — Security techniques —
Information security management systems — Overview
and vocabulary

• ISO/IEC 27001:2013
Information technology — Security techniques —
Information security management systems —
Requirements

• ISO/IEC 27002:2013
Information technology — Security techniques — Code
of practice for information security controls
ISO 27k (Рекомендации)

• ISO/IEC 27003:2010 «Information technology.


Security techniques. Information security
management system implementation guidance»
• ISO/IEC 27004:2009 «Information technology.
Security techniques. Information security
management. Measurement»
• ISO/IEC 27005:2011 «Information technology.
Security techniques. Information security risk
management»
ISO 27k (Аудит)

• ISO/IEC 27006:2011 «Information technology. Security


techniques. Requirements for bodies providing audit and
certification of information security management systems»
• ISO/IEC 27007:2011 «Information technology. Security
techniques. Guidelines for information security management
systems auditing»
• ISO/IEC TR 27008:2011 «Information technology. Security
techniques. Guidelines for auditors on information security
controls»
• ISO/IEC WD 27009 «The Use and Application of ISO/IEC 27001
for Sector/Service-Specific Third-Party Accredited
Certifications»
Многие стандарты ISO
переведены и
используются в качестве
национальных стандартов
Когда необходим ИСО 27001?

• Требование заказчика
• Обязательное условие для участия в тендере
• Заказчик хочет быть уверен в сохранности своих данных

• Желание организации
• Необходимо повысить защищенность от рисков
• Уменьшить количество и стоимость инцидентов
• Создать позитивный бизнес-образ, безопасный и
современный
Распределение по странам (9001)

[1]
Распределение по странам (27001)

[1]
Какие выгоды от внедрения СМИБ?

Для бизнеса:
1. Снижение рисков ИБ, обеспечение
непрерывности деятельности
2. Надежда на экономию средств за счет
применения риск-ориентированного подхода
3. Повышение уровня доверия клиентов и
партнеров
4. Маркетинговое преимущество, особенно при
выходе на международный рынок
5. Статус, репутация и бренд
6. Упрощение выполнения других требований
(compliance: SOX, ПДн, ISO 20000, PCI DSS и пр.)
7. Надежда на рост стоимости акций

Какие выгоды от внедрения СМИБ?

Для ИТ и ИБ - подразделений:
1. Переход от «обеспечения» к «управлению» ИБ,
укрепление взаимодействия с бизнес-подразделениями
2. Повышение общего уровня ИБ
3. Повышение прозрачности кросс-функционального
взаимодействия, четкое распределение ответственности
4. Надежда на повышение
результативности/эффективности процессов
5. Упрощение обоснования бюджетов и, обычно, их рост
6. Возможность обосновать оптимизацию численности
сотрудников (увеличение штата или аутсорсинг)
7. Упрощение согласования других инициатив ИТ и ИБ

Какие выгоды от внедрения СМИБ?

Для рядовых сотрудников:


1. Повышение удовлетворенности от работы за счет
стабильного функционирования всех
автоматизированных систем и сервисов
2. Снижение рисков потери и несанкционированного
изменения информации;
3. Удобство и быстрота решения возникающих запросов
(запросы на изменение и поддержку), связанных с
использованием средств обработки информации
4. Повышение уровня личной «грамотности» в вопросах
информационной безопасности
5. Чувство сопричастности

Переходим к
изучению стандарта (базовые
понятия)
Организации любого типа и величины:
• Собирают, обрабатывают, хранят и передают
большое количество информации
• Понимают, что информация и относящиеся к ней
процессы, системы, сети и персонал являются
важными ресурсами для решения задач, стоящих
перед организацией
• Сталкиваются с рядом рисков, которые могут
оказывать воздействие на функционирование
активов организации
• Ослабляют риски, осуществляя управление ИБ
Термины ИБ
Информация

• Информация – это актив, который,


как и любой другой важный для бизнеса актив,
представляет большую ценность для
организации и, следовательно, нуждается в
должной защите
• Информация - сведения о лицах, предметах,
фактах, событиях, явлениях и процессах
независимо от формы их представления

• Существует в разных формах – бумага, видео,


звук
Про информацию

• Информация – это актив, который, наряду с


другими важными деловыми активами важен для
бизнеса организации и, следовательно, должен
быть соответственно защищен.
• Информация может храниться в различных
формах, включая такие как цифровая форма,
материальная форма (например, на бумаге), а
также в нематериальном виде в форме знаний
служащих.
• Независимо от того, в какой форме представлена
информация и каким способом передается, она
должна быть должным образом защищена.
Информация

• Основа для любой организации (ваши примеры)


• Уровни доступа к информации – внутренняя,
конфиденциальная, секретная

• Способы работы с информацией


• Создание, сохранение, копирование
• Обработка, преобразование, передача
• Уничтожение? Использование ненадлежащим способом?
• Утеряна? Повреждена?
• Организации сталкиваются с информационными
рисками
• Кража информации
• Вторжение и уничтожение системных ресурсов
• Подмена информации
• Повреждение носителей информации
Информационная безопасность

• Информационная Безопасность (ИБ) - свойство


информации сохранять конфиденциальность,
целостность и доступность.

Пример - БД

Примеры с фокусом на
один из аттрибутов CIA
Базовые термины

Информационная Безопасность – свойство


информации сохранять конфиденциальность,
целостность и доступность.
Кроме того, данное понятие может включать в себя
также и свойство сохранять аутентичность,
подотчетность, неотказуемость и надежность.
СВОЙСТВА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ДОСТУПНОСТЬ И ЦЕЛОСТНОСТЬ
до 90% проблем
Мой любимый «трудный»
вопрос по ИБ:
Уничтожение информации - это
нарушение конфиденциальности,
целостности или доступности
(КЦД)?
Проблема в точности термина

• Целостность (integrity): свойство сохранять


• правильность и полноту активов.

• Доступность (availability): свойство объекта


находиться в состоянии готовности и
возможности использования по запросу
авторизованного логического объекта.
Другие стандарты и практики

[1]
Польза «широкого взгляда»

• Взгляд с разных позиций, например:


• COBIT – организационный фреймворк
• ISO27001 - системный подход
• NIST 800 – технические моменты
• ITIL - для сервисныx организаций
ISO 27001:2013 – что нового

• Более структурированный, уменьшено


кол-во контролей 133->114
• Термины перенесены в 27000 – вышла
версия в 2016 (платная!)
• Гармонизация с другими стандартами (а
9001 в свою очередь ввели понятие
рисков)
• + владелец рисков
• - записи
•-
превентивные
меры
Источник картинок: ISO27001Academy
ISO 27001:2013 – что нового

В целом, более удобный и читабельный


стандарт

Хороший обзор «что нового» в ISO


27001:2013
Источник ISO27001Academy
Проект по внедрению
СУИБ
Еще про термин «целостность»
ISACA:
• Integrity - The guarding against improper
information modification or destruction, and
includes ensuring information non-repudiation
and authenticity
NIST:
• Integrity - Guarding against improper information
modification or destruction, and includes
ensuring information non-repudiation and
authenticity.
И еще
• Integrity - The property that sensitive data has not
been modified or deleted in an unauthorized and
undetected manner.
Базовые термины

СУИБ (СМИБ / ISMS) – часть общей системы


менеджмента, основанная на подходе
бизнес- рисков по созданию, внедрению,
функционированию, мониторингу, анализу,
поддержке и улучшению информационной
безопасности.
Система менеджмента – система,
включающая в себя политики, процедуры,
рекомендации и связанные с ними ресурсы
для достижения целей организации
Структура

Обязательное Рекомендуемое
1. Введение
2. Область применения
3. Нормативные ссылки
Приложение А.
4. Термины и определения
Цели и меры
управления
4. СУИБ
5. Ответственность руководства («контроли»)
6. Внутренние аудиты СУИБ
7. Анализ СУИБ со стороны руководства
8. Улучшение СУИБ
Основная часть
Проект по внедрению СУИБ

• Проект – это целенаправленная, ограниченная


во времени деятельность, осуществляемая для
удовлетворения конкретных потребностей при
наличии внешних и внутренних ограничений и
использовании ограниченных ресурсов
• Нет проекта, нет СМИБ
• Что получим без проекта?
Аттрибуты проекта

Проект предполагает:
• конкретную цель, уникальность,
разовость, ограниченность
во времени и ресурсах
• команду проекта, бюджет,
ответственность, критерии успешности
• Механизмы управления проектами – отслеживание
статуса, коммуникацию, управление изменениями и
т.п.
Требования ISO 27001

Стандарт ISO требует от руководства организации:

Систематически рассматривать риски для информационной


безопасности организации, принимая во внимание угрозы, уязвимые
места и возможные последствия;

Разработать и внедрить комплексную и координированную систему


средств контроля информационной безопасности и/или прочих мер
работы с рисками (например, избежание рисков или их передача) для
устранения таких рисков, которые считаются недопустимыми;

Принять всеохватывающую процедуру управления для постоянного


осуществления контроля за тем, чтобы меры безопасности организации
продолжали соответствовать ее текущим потребностям.
Преимущества внедрения

Стандарт ISO 27001 помогает минимизировать


риски вашего бизнеса.

Увеличение доверия клиентов благодаря


более высокому уровню информационной
безопасности и защиты данных.

Защита от прямых финансовых потерь и


затрат на исправление недостатков.

Защита репутации и бренда компании.

Обеспечивает полную «проверку здоровья»


вашей организации.
Процесс сертификации ISO 27001

На следующем этапе выбираются наиболее


подходящие средства контроля для управления
рисками в соответствии с требованиями стандарта
ISO 27001 .

Обоснование каждого решения записывается в


Положении о применимости (Statement of
Applicability, SOA).

После этого средства контроля внедряются и


исполняются надлежащим образом.

После этого можно начинать сам процесс


сертификации с участием подходящей
аккредитированной стороны.
Процесс сертификации ISO 27001

Установление области СУИБ, определение ее применения,


средств и мест, которые необходимо включить в нее.

Проведение оценки рисков для определения


уровня/профиля рисков, определение наилучшего метода
для работы с ними.

Это включает проверку наличия и полноты основной


документации, такой как положений о политике
информационной безопасности организации.
Процесс сертификации ISO 27001

Область
применения

6 2
Постоянное
совершенств
ование
Оценка рисков
Поддержка и консультации компании
аутсорсера

Поддержка и 1 – Область применения


Консультации
компании 2 – Оценка рисков
5 3
3 – Управление рисками
Управление
Сертификация
рисками 4 – Внедрение средств контроля
4 5 – Сертификация
Внедрение
средств
6 – Постоянное совершенствование
контроля
Определение ИБ

Информация –
данные наделенные смыслом и целью.

Информация занимает позицию наравне с другими критическими


ресурсами организации, и требует должного внимания, осторожности,
благоразумия, защиты и т.д.

Информационная безопасность становится критическим фактором для


выживания бизнеса, причем для адекватной защиты информации эта
проблема должна рассматриваться на уровне Правления компании,
наравне с критическими бизнес функциями организации.
Суть информационной безопасности

Доступность

Важная информация доступна,


когда она необходима

Конфиденциальность Целостность
Только уполномоченные лица
Информация достоверная и
получают доступ к
целостная
информации

Информация
Суть информационной безопасности
(продолжение)

Управление,
• Политики, стандарты, процедуры, процессы, риски,
осведомленность, непрерывность
Информационная безопасность
• Действия уволенного сотрудника, ограбление, рейдерские
атаки, человеческие ошибки

Технологии
• Системы, оборудование, архитектура
IT безопасность
• Вирусы, DDOS, системные ошибки, сбой оборудования

Информационная безопасность – это


процесс управления (а не
технические средства), который, в
свою очередь, является одним из
важнейших элементов
корпоративного управления.
Методика и этапы внедрения
системы управления ИБ (СУИБ)
ИБ
Методика и этапы внедрения СУИБ

1.3 Изучение
1.2 Изучение политик и
Этап 1 Анализ 1.1 Сбор информации,
стандартов, требований
действующих практик и 1.4 Оценка
изучение структуры процессов к
текущего состояния бизнеса и процессов
к обеспечению
обеспечению
соответствия СУИБ
информационной требованиям 27001
ИБ предприятия
безопасности
информационной
безопасности

2.1 Обязательства 2.2 Назначение


руководства по ответственных лиц за 2.4 Определить
Этап 2 Мероприятия 2.3 Определить сферу и
управлению внедрение и политику
пределы информационной
по организации ИБ информационной функционирование использования СУИБ
СУИБ безопасности
безопасностью

Этап 3 3.1 Описание бизнес


3.2 Определение и 3.3 Определение 3.5 Согласование и
Инвентаризация и процессов и функций,
согласование влияния на бизнес и 3.4 Описание бизнес составление Реестра
определение
классификация используемых активов
владельцев бизнес оценка критичности активов информационных
активов бизнес активов активов
активов в БП (бизнес актив)

4.3 Оценка уровней 4.5 Определения


Этап 4 Оценка и 4.1 Определение 4.2 Оценка вероятности
информационных
4.4 Выбор мер защиты
подходов обработки
Обработка рисков уязвимостей и угроз реализации угроз
рисков
для снижения рисков
рисков

51 Составление Плана
5.3 Составление
Этап 5 Дорожная обработки рисков и 5.2 Составление Плана
рекомендаций по
5.3 Реализация планов
карта Положения о внедрения СУИБ внедрения СУИБ
внедрению СУИБ
применимости

Этап 6 Внедрение
6.1 Разработка
мероприятий по 6.2 Разработка
документации по документации по
мониторингу проведению
проверке процесса
внутреннего аудита
эффективности СУИБ
оценки рисков
СУИБ
Анализ текущего состояния ИБ
Цели:
Основной целью этого этапа является изучение структуры бизнеса и процессов предприятия,
определение требований информационной безопасности и специфики бизнес процессов.
Получить экспертную оценку действующих процессов управления и организации ИБ,
определить степень соответствия ISO27001.
Этапы и методика
• Изучение видов деятельности предприятия
Сбор информации, изучение структуры • Изучение организационной структуры предприятия
бизнеса и процессов предприятия • Изучение структуры бизнес процессов предприятия

• Изучение требований бизнеса к ИБ


Изучение политик и стандартов, требований • Изучение требований политик и стандартов ИБ
к обеспечению информационной
безопасности
• Изучение процессов и процедур ИБ
Изучение действующих практик и процессов • Изучение требований ИБ к допустимому использованию активов
к обеспечению информационной
безопасности
• Выявление основных мер безопасности
Оценка соответствия СУИБ требованиям • Оценка соответствия ИБ внутренним политикам и процедурам
• Оценка соответствия внедренных процессов управления ИБ стандартам ISO27001\27002
27001
Соответствие законодат ельст ву
П р оцен т
Об есп ечен ие н еп р ер ы в н ост и
в ы п ол н ен ия
б изн еса
т р еб ов а н ий
М е н е д ж м е н т и н ци ден т ов ин ф ор ма цион н ой
разделов
безопасности П р и об р ет ен и е, разработка и об сл уж ив а н ие
и н ф о р м а ц и о н н ы х систем
Уп р а в л ен и е дост уп ом к системе
М е н е д ж м е н т к омп ьют ер ов и сетей
Разделы Кл а ссиф ик а ция активов и
Ф и зическ а я и в н еш н я я
ста н д а рт уп равлен ие Орган изация сист емы
безопасность
а безопасности П ол ит ик а в области
Безопасность и п ер сон а л
безопасности О с н о в н ы е п р оцессы
уп р а в л ен ия
0% 20% 40% 60% 80%
Мероприятия по организации ИБ
Цели:
Основной целью этого этапа является установление обязательства руководства по управлению
информационной безопасностью, назначение ответственных лиц за внедрение и
функционирование СУИБ, определить сферу и пределы использования СУИБ, определить политику
информационной безопасности

Этапы и методика
На этом этапе проводятся организационные работы и проводится следующие действия
• Создание Комитета по обеспечению информационной безопасности (или Риск комитет)
• Создание Концепция управления информационной безопасностью;
• Создание Руководства по определению ролей и ответственных за организацию
информационной безопасности;
• Создание Политики информационной безопасности
Инвентаризация и классификация активов
Цели:
Основной целью этого этапа является описание бизнес процессов и функций, выявление
информационных активов, которые используются бизнесом для выполнения процесса (бизнес
активы), и дальнейшее их описание: инвентаризация аппаратных, программных,
инфраструктурных ресурсов и объектов.
Этапы и методика
Объекты серверная, ЦОД, архив

Согласование и составление Реестра


находятся на Инженерная инфраструктура
информационных активов электропитание, охлаждение

поддерживаются
Оборудование сервер, маршрутизатор,хаб

размещены на
Описание бизнес активов: инвентаризация ПО\Базы данных
SQL, Oracle, ПО ERP SAP
аппаратных, программных, инфр. ресурсов
используют IT сервисы сеть, AD, удаленный доступ

Бизнес
зависят от
активы ERP, клиент банк, e-mail,

Определение и согласование владельцев бизнес


Необходимы для выполнения БП
активов

Описание бизнес процессов, определение


используемых активов в процесса (бизнес актив)
Определение влияния на бизнес и оценка
критичности активов
Цели:
Определение влияния на бизнес и оценка критичности дает понимание того, какой
информационный актив является критическим для бизнеса, максимально возможный ущерб, в
случае нарушения его работ, а так же степень зависимости бизнеса от информационного актива.
Этапы и методика

Определение • Финансовый ущерб РейтингОценкиУщерба


возможного • Операционный ущерб Конфиденциальность
ущерба для Рейтингоценкиущерба
• Ущерб, связанный с потребителем Ref. Типущерба A-критический,B-высокий,C-средний,D-низкий,E-малый
бизнеса
• Ущерб, связанный с сотрудниками A B C D E
Критичность информационного
Финансовые

Потеряпродаж,заказови
20%+ 11%to20% 6%to 10% 1%to 5% Меньше1% актива за тремя свойствами
F1
контрактов
X информации (конфиденциальность,
Потериматериальных активов $20m+ $1mto$20m $100Kto $1m $10Kto $100K Меньше$10K
целостность, доступность)
F2 (например, мошенничество, определяется на основании влияния
Оценка • Конфиденциальность кражаденег) X на бизнес в случае инцидентов ИБ
критичности • Целостность Взыскание/ юридическая $20m+ $1mto$20m $100Kto $1m $10Kto $100K Меньше$10K
по таким критериям:
актива ответственность(например,
• Доступность F3 нарушениянормативно-правовыхили • финансовый ущерб
договорныхобязательств)
X • операционный ущерб
Непредвиденныерасходы Меньше$10K
• ущерб, связанный с потребителем
$20m+ $1mto$20m $100Kto $1m $10Kto $100K

F4 (например,возмещение
расходов)
X • ущерб, связанный с сотрудниками
Снижениестоимостиакции 25%+ 11%to25% 6%to 10% 1%to 5% Меньше1%
F5 (например,внезапнаяпотеря
Общая • Критичный стоимостиакций) X
классификация • Средний Операционные
Критична Серйозна Значнавтрата Умеренная Минимальная
актива • Малый Потеряконтролянад управлением втрата втрата контролю потеря потеря
O1 (например, нарушениямипринятия
решений) X
Оценка и Обработка рисков

Цели:
Идентификация угроз и уязвимостей критических информационных активов, выявление,
анализ и уменьшение рисков до приемлемого уровня для бизнеса.
Управление рисками включает в себя анализ рисков, оценку, обработку, принятие и мониторинг риска и
является основой для последующего создания Плана обработки рисков - плана действий
информационной безопасности предприятия.
Этапы и методика

Определение объемов и границ

Выявление рисков

Анализ рисков

Оценка рисков

Мониторинг
рисков
Избежание Уменьшение Передача Принятие
риска риска риска риска

Принятие остаточного риска


Дорожная карта
Цели:
Предоставить рекомендации по мерам безопасности для уменьшения или устранения рисков,
рекомендации относительно необходимых изменений СУИБ. Уменьшение рисков включает в себя:
приоритезацию рисков, оценку мероприятий по снижению рисков для информационного актива,
рассмотрение возможных затрат и выгод, выбор стратегии обработки рисков, разработка плана обработки
рисков и планирование необходимых изменений СУИБ.
Этапы и методика
Аудит
Используя результаты аудита, оценки рисков и оценки защищенности на Оценка
рисков
предыдущих этапах, разрабатываются рекомендации по таким направлениям:
• Построение/оптимизация процессов ИБ/ИТ и организационной структуры
Оценка
• Автоматизация процессов ИБ/ИТ
защище
• Создание/изменение документации и договоров нности
• Требования к знаниям и квалификации персонала
• Внедрение метрик (KPI, SPI) для оценки эффективности процессов ИБ\ИТ

После согласования рекомендаций с руководством, разрабатывается Дорожная карта


с указанием этапов и зависимостей по построению и оптимизации процессов ИБ/ИТ. Дорожная карта
Задание I квартал 2013 ІI к в а р т а л 2 0 1 3 ІІI к в а р т а л 2 0 1 3
ID Срок Ответственный
С о к р а щ е н и я : Д С - Д е р к а ч Сергей, Р С П - Р у к о в о д и т е л и с т р у к т у р н ы х п о д р а з д е л е н и й Січ. Лют. Бер. Квіт. Трав. Ч е р в . Лип. Серп. Вер.
57 5. В н е д р е н и е п р о ц е с с а У п р а в л е н и я и з м е н е н и я м и 180 дне й ААА, ДС
58 5.1 П р о в е де ни е аудита п р о ц е с с а п р и о бр е т е ни я , р а з р а бо тки и п о д д е р ж к и и н ф о р м а ц и о нны х активов Done ААА
59 5.2 Разработка п о ли т и к и руководств п о организации п р о ц е с с а у п р а в ле ни я и з м е н е ни я м и 60 дне й ААА
60 5.2.1 П о л и т и к а у п р а в л е н и я и з м е н е н и я м и
61 5.2.2 П о л о ж е н и е о К о м и т е т е у п р а в л е н и я и з м е н е н и я м и
62 5.2.3 Р у к о в о д с т в о п о у п р а в л е н и ю и з м е н е н и я м и
63 5.2.4 П о л и т и к а р а с п р е д е л е н и я р о л е й и о б я з а н н о с т е й в п р о ц е с с е у п р а в л е н и я и з м е н е н и я м и
64 5.2.5 П о л и т и к а п р и о б р е т е н и я , р а з р а б о т к и и п о д д е р ж к и п р и к л а д н о г о п р о г р а м м н о г о о б е с п е ч е н и я
65 5.3 У т в е р ж де ни е , в в е де ни е и р а с п р о с тр анени е с р е ди з а и нт е р е со в анны х л и ц 30 дне й ДС
66 5.4 Организация И Т и нф р а с т ру кт ур ы 90 дне й ИТ
67 5.4.1 П р и о б р е т е н и е с е т е в о г о и с е р в е р н о г о о б о р у д о в а н и я д л я р а з г р а н и ч е н и я с р е д р а з р а б о т к и и т е с т и р о в а н и я
68 5.4.2 С е г м е н т а ц и я с е т и
69 5.4.3 Р а з г р а н и ч е н и я с р е д ы р а з р а б о т к и , о п ы т н о й и п р о м ы ш л е н н о й э к с п л у а т а ц и и
70 5.5 Разработка п р о ц е д у р п о у п р а в л е ни ю и з м е н е н и я м и 90 дней ИТ
71 5.5.1 П р о ц е д у р а в н е д р е н и я и з м е н е н и й 90 дней ААА
72 5.5.2 П р о ц е д у р а в н е д р е н и я с р о ч н ы х и з м е н е н и й 90 дней ААА
73 5.5.3 П р о ц е д у р а о п ы т н о й э к с п л у а т а ц и и и з м е н е н и й 90 дней ААА
74 5.5.4 П р о ц е д у р а в н е д р е н и я р е л и з о в 90 дней ААА
75 5.5 У т в е р ж д е ни е и в н е д р е ни е п р о ц е ду р п о у п р а в л е ни ю и з м е н е ни я м и
76 6. О р г а н и з о в а т ь п р о ц е с с б е з о п а с н о й р а б о т ы с В н е ш н и м и с т о р о н а м и 60 дней ААА, ДС
77 6.1 Разработать П о ли т и ку взаимодействия с т р е т ь и ми с т о р о на ми 30 дней ААА
78 6.2 Разработать С о г л а ш е ни е о ко нф и де нц и а ль но с т и 30 дней ААА
79 6.3 Разработать Обязательства "Обязательства о не р а з г ла ш е ни и р а бо т ни ка м т р е т ь и х К о м п а н и й 30 дней ААА
80 6.4 У т в е р ж де ни е , в в е де ни е и р а с п р о с тр анени е с р е ди з а и нт е р е со в анны х л и ц 30 дней ДС
Рис.1 Пример дорожной карты
Внедрение процессов СУИБ

Использова-ние Управление
Управление Безопасность Устойчивость Управление Мониторинг
услуг третьих критически-ми
доступом платформ инфраструктуры изменениями
сторон
безопасности
ситуациями

Устойчивость Мониторинг
Управление Защита ОС событий Мероприятия
аппаратного Управление
доступом Управление безопасности обеспечения
обеспечения изменениями
пользователей взаимодействием беспрерыв-ности
Защита сетевых с поставщиками Управление ИТ процессов
компонентов Устойчивость инцидентами
Распределение програмного безопасности
обязанностей обеспечения Распределение
Защита базового среды Соответствие Мероприятия по
ПО техническим восстановле-нию
Разграниче-ние Управление требованиям после аварий
Защита Устойчи-вость
доступа услугами, которые
прикладного ПО центров
Планирование и предоставляются
обработки данных третьими Тестирова-ние на
Управление (серверных процесс ввода в проникнове-ние в Управление
эксплуата-цию сторонами
предоставлением Защита рабочих помещений систему кризисными
доступа станций ситуациями

Основные задания организации ИТ

Владение Классификация Операционные Соответствие


Управление Осведомлен-ность
информационными информационных Архитектура ИТ процедуры и зоны внутренним
конфигурацией пользователей
активами активов ответственности требованиям
Внедрение мероприятий по мониторингу
эффективности СУИБ
Цели:
Мониторинг и оценка эффективности системы управления информационной безопасностью - это
системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и
событиях происходящих в ней, устанавливающий уровень их соответствия определенным критериям.
Этапы и методика
Код I.IA2
Процесс Аутентификация для удаленного администрирования сетевых устройств и серверов

Риск финансовых и репутационных потерь при реализации угроз безопасности (вредные воздействия скоординированных
Риск злоумышленников, получение несанкционированного доступа к системам и сетям и т.д. и т.п.), которые эксплуатируют уязвимость, того
что при удаленном администрировании серверов и сетевых устройств не проводится идентификация оборудования.

В случае когда допускается удаленное администрирование серверов и сетевых устройств, все оборудование, с которого будет
Меры безопасности производиться удаленное администрирование, должно проходить идентификацию для проверки подлинности.

Требования Смотреть на Смотреть что

Удаленный доступ к системе, особенно системными


администраторами, вносит дополнительный риск
несанкционированного доступа. Следовательно, • Область удаленного администрирования.
необходимо ограничить удаленный доступ только с • Анализ рисков.
определенных устройств. Выполнение этого мероприятия • Узлы(в сети), откуда было выполнено удаленное • Политика для удаленного администрирования.
безопасности должно обеспечивать связь для администрирование. • Рассмотрены ли вопросы удаленного администрирования.
администрирования системы только из известных мест • Является ли узел физически защищенным.
или оборудования. Идентификатор (например MAC-
адрес или IP-адрес) можно использовать, чтобы указать,
разрешено ли этому оборудованию подключаться к сети.
Эти идентификаторы должны четко указать, к какой сети
разрешается подключить оборудование.

Выполнение
Дата тестирования
Кем выполняется тестирование
Отдел
Местонахождение доказательств
Оценка (эффективные, неэффективные)
Вывод
Планируй – Делай – Проверяй – Исправляй

• Политика ИБ PLAN
• Область деятельности
СМИБ (scope) ACT DO
• Идентификация и
оценка Рисков CHECK
• План по обработке
рисков (Risk treatment
plan)
Планируй – Делай – Проверяй – Исправляй

• Ресурсы и обучение и
PLAN
понимание
• Внедрение контролей
ACT DO
(обработка рисков)

CHECK
Планируй – Делай – Проверяй – Исправляй

• Аудиты PLAN
• Анализ инцидентов,
обучение на ошибках ACT DO
• Измерение
• Анализ со стороны CHECK
руководства
Планируй – Делай – Проверяй – Исправляй

• Корректировка PLAN

несоответствий
• Корректирующие и ACT DO

предупреждающие
действия CHECK
4.2.1 Разработка СМИБ

Организация должна осуществить следующее:


a) определить область и границы действия СМИБ
b) определить политику СМИБ
c) определить подход к оценке риска
d) идентифицировать риски
e) проанализировать и оценить риски
f) определить и оценить различные варианты обработки
рисков
g) выбрать цели и меры управления для обработки рисков
h) получить утверждение руководством предполагаемых
остаточных рисков
i) получить разрешение руководства на внедрение и
эксплуатацию СМИБ
j) подготовить Положение о применимости (SoA)
4.Контекст организации

Организация должна определить внешние и


внутренние аспекты, которые имеют отношение к
ее цели и влияют на ее способность к достижению
ожидаемых результатов от СУИБ.

+ Заинтересованные стороны
+ Область действия СУИБ
Общие фазы проекта по внедрению СУИБ
Факторы успешного запуска проекта

• Заинтересованность со стороны руководства


• Подготовленность со стороны инициаторов
(если инициатива не со стороны руководства)
• Понимание связи бизнеса и ИБ
• Умение представить выгоды внедрения
• Собственно, знания ИБ
Ложный успех

• Вот вам бюджет, разберитесь сами, нас не


беспокойте
• Не забываем про проектный подход
• Вовлеченность многих групп организации
обязательна, это невозможно без лидерства
руководства
• У нас есть набор шаблонов/готовых документов
СУИБ от другой организации
• Мы купим услугу сертификации
• Мы пригласим «хорошего» аудитора, сделаем
для него культурную программу
Сколько будет стоить (по деньгам, ресурсам, времени)?

Простого ответа нет. Необходимо:


• оценить – что необходимо руководству, работающая
СМИБ или просто сертификат (здоровье или
богатство, или и то и другое)?
• описать общие фазы проекта,
• объяснить вовлеченность групп сотрудников (ИТ, ИБ,
руководство и т.д.)
• предоставить самые общие рамки, основанные на
здравом смысле (например, для организации в 100
сотрудников, с офисом на одном этаже – 8-12 мес)
• более точный ответ – после аудита и анализа
рисков
Результат запуска проекта

Min
• Описаны предварительная область действия
(scope), цели проекта
• Выделен бюджет на проведение аудита
Max
• Бюджет на весь проект (предварительный)
• Организована команда проекта
• Поддержка руководтва реальна (как понять
реальность поддержи?)
Цель

Целью аудита на соответствие международным


стандартам безопасности по большому счету
является создание зрелой системы менеджмента
ИБ, интегрирующей в процессы обеспечения ИБ как
ИТ-подразделения, подразделения информационной
безопасности, внутреннего контроля, так и бизнес-
подразделения, включая их топ - менеджмент
Первичный аудит и
GAP анализ
Слайд из курса BSI про scope

И он ужасен…
Получение пакета необходимых документов

• Схема сети с указанием всех подключений к


сегменту критичных данных
• Стандарты и политики, принятые в компании:
• Стандарты межсетевого экранирования, содержащие
требования к настройке межсетевых экранов и маршрутизаторов
• Стандарты настройки систем (configuration standard)
• Политика хранения данных, определяющая необходимый для
поддержания бизнес-процессов период хранения данных и
требования к их уничтожению (retention and disposal policy)
Первичный аудит и GAP анализ - начало

• Команда аудиторов, задействование внешних


экспертов (принцип беспристрастности)
• Желательно привлечение технического
специалиста для проверки сети, технических
защитных мер
• План аудита, планирование встреч, в конце –
отчет
• Результат – набор замечаний, входной материал
для составления плана
Список ролей сотрудников, с которыми будут
проводиться интервью:

- администратор баз данных;


- сетевой администратор;
- серверный администратор;
- администратор firewall;
- разработчики программных приложений;
- представители отдела информационной
безопасности;
- специалисты бизнес - подразделений;
- специалисты физической безопасности (всего
несколько вопросов);
- специалисты отдела кадров (всего несколько
вопросов);
- представители ИТ-аудита;
Предварительный
план по СУИБ
Состав плана проекта
• Общие активности (управление проектом,
консультации)
• Планирование СМИБ
• Проведение аудита
• Разработка Области действия СМИБ (документ)
• Разработка Политики ИБ (документ)
• Разработка Целей ИБ
• Управление активами – общий список, приоритезация
• Управление рисками
• Разработка заявления о применимости СМИБ - SoA (документ)
Состав плана проекта

• Разработка СУИБ
• Детальный список защитных мер –
разработка и внедрение
• Разработка и внедрение метрик
• Разработка и внедрение общей
документации
(руководство пользователя и др.)
• Запуск СУИБ
• Тренинги
• Аудиты
• Анализ со стороны руководства
• Запуск защитных мер
• Сертификация СУИБ
Сложности с подпроектами

• Включать в общий бюджет?


• Риск перерасхода и затягивания
сроков
• Стоимость сопоставимая
со стоимостью проекта
СУИБ
• Сложность внедрения,
необходимость привлекать
разноплановых
специалистов
Практика – работа с планом
Задание – понять структуру, адаптировать для своей
организации
Организационные
аспекты СУИБ
Организация ИБ

• Закрепление ролей и
ответственностей в области ИБ
• Закрепить роль Менеджера ИБ:)
• Определить кто за что отвечает
Структура ИБ - пример
Определение
области
применения СУИБ
Область применения СУИБ

• Процессы и сервисы Организации


(оргчарт)
• Физическое расположение, офис
• Адрес, схема офиса, планы этажей и т.п.
• Сети и ИТ инфраструктура
• Описание сети, схема LAN, W-Fi network
и т.п.
• Ссылка на реестр активов
Определение
подходов к
управлению активами
Важное понятие - актив

Активы (asset): все, что имеет ценность


для организации

Виды активов:
• Основные (бизнес-процессы, бизнес
- деятельность и информация)
• Вспомогательные (АО и ПО, сеть
персонал, структура организации,
площадка…)
ОБЪЕКТЫ СИСТЕМЫ МЕНЕДЖМЕНТА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

АКТИВЫ – основные объекты


информационной безопасности

Актив (asset) –
все, что имеет ценность для организации

ISO/IEC 13335-1:2004

Информационный актив –
материальный или нематериальный объект, который:
• является информацией или
содержит информацию,
• имеет ценность для организации.
Управление активами

• Актив - все что имеет ценность для организации


и генерирует ее доход (другими словами это то,
что создает положительный финансовый поток,
либо сберегает средства).
• Первый шаг в предверии управления рисками –
управлять активами
• Необходимо определить, что важно для
организации
Что нужно защищать?
ОБЪЕКТЫ СИСТЕМЫ МЕНЕДЖМЕНТА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Информационные активы:
Простые активы
• Законодательная база
• Технологические регламенты
• Тендерные предложения
• Рабочие журналы
• Отчеты для руководства
• Электронные документы
• Документы на бумажном носителе

Сложные активы
• Компьютер службы сбыта с коммерческой
информацией по потребителям
• Сервер, обеспечивающий электронный
документооборот предприятия
• Архив (помещение) с документами на бумажных
носителях
• Генеральный директор, в голове у которого план
перспективной и оперативной деятельности
Управление активами

• Составить категории активов


• Определить владельцев активов
• Оценить ценность активов
Ценность активов и относящиеся к ним
обязательства делят на три категории:

Критичность (criticality) – характеристика актива,


которая связана с влиянием актива на работу компании.
Например, повреждение основной базы данных компании
приведет к тому, что компания лишится прибыли.
Стоимость (cost) – расходы, связанные с заменой
актива, который был украден или уничтожен. Примером
могут быть расходы на замену украденного ноутбука или
восстановление поврежденного взрывом здания.
Чувствительность (sensitivity) – последствия,
связанные с разглашением или неправильным
использованием конфиденциальной информации.
Пример списка активов ИТ компании
Пример определения ценности активов
Что учесть в Области действия?

• Основные процессы
• Обеспечивающие процессы
• Структурные подразделения (схема)
• Площадка (адрес) и схема расположения с
указанием границ
• Информационные активы
• ПО
• Технические активы
• Персонал (человеческие активы)
• ИТ-Сервисы
• …
Управление рисками

Варианты:
• Снижение (контроли)
• Принятие
• Избегание
• Перекладывание / страхование

(!) Какой уровень остаточных рисков


приемлем для компании?
Что писать в SoA?

• Все контроли в табличном виде


• Применим/не применим (+обоснование)
• Комментарий и ссылка на документы (политики,
процедуры и записи)
Требование стандарта не нашло
применение… Почему?

– Неприменимо (например, технология не


используется)
– Риск не выявлен, не обоснован, не актуален,
принят
– Наличие финансовых ограничений
– Технологические ограничения
– Социальные, культурные ограничения
– Фактор времени (еще не надо, уже не надо,
другие приоритеты);
– …
Общие требования

• Организация должна разработать, внедрить,


обеспечить функционирование, вести
мониторинг, анализировать, поддерживать и
непрерывно улучшать документированную СУИБ
применительно ко всей деловой деятельности
организации и рискам, с которыми она
сталкивается.
• С учетом целей настоящего стандарта
используемый процесс основан на применении
модели PDCA
Внедрение и функционирование СМИБ

Организация должна выполнить следующее:


a) разработать план обработки рисков
b) реализовать план обработки рисков
c) внедрить меры управления (контроли)
d) определить способ измерения результативности
выбранных мер управления или их групп и
использования этих измерений для оценки
результативности управления
e) реализовать программы по обучению и повышению
квалификации сотрудников
f) управлять работой СМИБ
g) управлять ресурсами СМИБ
h) внедрить процедуры и другие меры управления,
обеспечивающие быстрое обнаружение событий ИБ и
реагирование на инциденты, связанные с ИБ
Если совсем просто:

План по
Анализ
SoA обработке
рисков
рисков
Проведение мониторинга и анализа

Организация должна осуществлять следующее:


a) выполнять процедуры мониторинга и анализа в целях:
1)своевременно обнаруживать ошибки в результатах обработки
2) своевременно выявлять удавшиеся и неудавшиеся попытки
нарушения и инциденты ИБ
3)предоставлять руководству информацию для принятия решений о
ходе выполнения функций по обеспечению ИБ, осуществляемых как
ответственными лицами, так и информационными технологиями
4) способствовать обнаружению событий ИБ и, таким образом,
предотвращать инциденты ИБ путем применения средств индикации
5) определять, являются ли эффективными действия,
предпринимаемые для устранения нарушения безопасности

• проводить регулярный анализ
результативности СМИБ, (включая проверку ее
соответствия политике и целям СМИБ и анализ
мер управления безопасностью), с учетом
результатов аудиторских проверок ИБ, ее
инцидентов, результатов измерений
эффективности СМИБ, а также предложений и
другой информации от всех заинтересованных
сторон
• измерять результативность мер управления для
проверки соответствия требованиям ИБ
• Пересматривать оценки рисков через
установленные периоды времени
• регулярно проводить руководством организации
анализ СМИБ в целях подтверждения
адекватности ее функционирования и
определения направлений совершенствования
• Обновлять планы ИБ с учетом результатов
анализа и мониторинга
• регистрировать действия и события, способные
повлиять на результативность или
функционирование СМИБ
• Проводить внутренние аудиты СМИБ
через установленные периоды времени
Поддержка и улучшение СМИБ

Организация должна регулярно осуществлять следующее:


a) выявлять возможности улучшения СМИБ
b) предпринимать необходимые корректирующие и
предупреждающие действия, использовать на практике
опыт по обеспечению ИБ, полученный как в собственной
организации, так и в других организациях
c) передавать подробную информацию о действиях по
улучшению СМИБ всем заинтересованным сторонам,
при этом степень ее детализации должна
соответствовать обстоятельствам и, при необходимости,
согласовывать дальнейшие действия
d) обеспечивать внедрение улучшений СМИБ для
достижения запланированных целей
Требования к документации

Документация должна включать в себя записи


решений руководства, позволяющие обеспечивать
контроль выполнения решений руководства и
политик организации, а также обеспечивать
воспроизводимость документированных
результатов
Документация СМИБ

Документация СМИБ должна включать в себя следующее:


a) документированные положения политики СМИБ и целей
СМИБ
b) область функционирования СМИБ
c) процедуры и меры управления, поддерживающие СМИБ
d) описание методологии оценки риска
e) отчет по оценке рисков
f) план обработки рисков;
g) документированные процедуры, необходимые
организации для обеспечения эффективного
планирования, внедрения процессов в области ИБ и
управления этими процессами, а также описания путей
оценки результативности мер управления
h) учетные записи В ISO 27001-2013 термин «записи» не
используется. Общий термин –
i) положение о применимости «Документированная информация»
Управление документами

Для разработки, актуализации, использования, хранения и уничтожения


документов СМИБ, а также их защиты в организации должна существовать
документированная процедура, определяющая действия руководства по:
a) утверждению документов СМИБ перед их изданием
b) пересмотру и обновлению, при необходимости, документов, а также
повторному их утверждению
c) обеспечению идентификации внесенных изменений и текущего статуса
документов
d) обеспечению наличия версий соответствующих документов в местах их
использования
e) определению порядка просмотра документов и их идентификации
f) обеспечению доступа к документам авторизованным лицам, а также
передачи, хранения и уничтожения в соответствии с процедурами,
применимыми к степени их конфиденциальности
g) идентификации документов, созданных вне организации
h) обеспечению контроля за распространением документов
i) предотвращению непреднамеренного использования устаревших документов;
j) использованию соответствующей идентификации устаревших документов в
случае их дальнейшего хранения
Управление записями

Для предоставления свидетельств соответствия требованиям


и результативности функционирования СМИБ необходимо
вести и поддерживать в рабочем состоянии учетные записи.
Учетные записи необходимо контролировать и защищать.
СМИБ должна принимать во внимание все нормативно-
правовые требования и договорные обязательства,
имеющие отношение к ИБ. Записи должны быть четкими,
легко идентифицируемыми и восстанавливаемыми. Меры
управления, требуемые для идентификации, хранения,
защиты, поиска, определения сроков хранения и
уничтожения записей должны быть документированы и
реализованы.
Примерами записей являются: журнал регистрации
посетителей, отчеты о результатах аудитов, заполненные
формы авторизации доступа
Рекомендации по упр.документами

1. Держите в актуальном виде перечень


документов
2. Задумайтесь о внутреннем web-портале
3. Регулярно пересматривайте и обновляйте
(хотя бы 1 раз в год), должен быть
ответственный с соответствующей задачей
4. Ознакамливайте и обучайте персонал
(процедура)
5. Проставляйте грифы конфиденциальности в
колонтитулах
6. Установите шредеры рядом с принтерами
7. Минимум документов…
Пирамида документов ISO27001
Документация
Документация
Рекомендации по разработке

1. Понимайте назначение документа


2. Понимайте пользователей документа
3. Используйте шаблоны
4. Делайте удобные и короткие
документы
5. Старайтесь без необходимости не
дублировать содержание других
документов
6. Аккуратнее с ссылками на другие
документы
Понимайте зачем нужен документ!

1. Требование регуляторов, аудиторов


2. Чтобы можно было в дальнейшем
применять дисциплинарные взыскания
(при необходимости)
3. Для повышения уровня ИБ (чтобы
требования выполнялись)
4. Чтобы эффективно/результативно
работали (процедуры, инструкции,
памятки)
5. Показать работу…
Ответственность руководства
5.1. Обязательства руководства
Руководство организации должно предоставлять доказательства выполнения
своих обязательств в отношении разработки, внедрения, обеспечения
функционирования, мониторинга, анализа, поддержки и улучшения СМИБ путем
осуществления следующих мер:
a) разработки политики СМИБ
b) обеспечения разработки целей и планов СМИБ
c) определения функций и ответственности в области ИБ
d) доведения до всех сотрудников организации информации о важности
достижения целей информационной безопасности и соответствия ее
требованиям политики организации, об их ответственности перед законом, а
также о необходимости непрерывного совершенствования в реализации мер
ИБ
e) выделения необходимых и достаточных ресурсов для разработки, внедрения,
обеспечения функционирования, мониторинга, анализа, поддержки и
улучшения СМИБ
f) установления критериев принятия рисков и уровней их приемлемости
g) обеспечения проведения внутренних аудитов СМИБ
h) проведения анализа СМИБ со стороны руководства
Лидерство

Вместо п. «Ответственность руководства»

• Высшее руководство должно


продемонстрировать лидерство и
приверженность по отношению к СУИБ
• Высшее руководство должно разработать
политику ИБ
• Высшее руководство должно обеспечить, чтобы
ответственность и полномочия ролей, имеющих
отношение к ИБ, были определены и
делегированы.
Управление ресурсами

5.2.1. Обеспечение ресурсами


Организация должна определить и предоставить
ресурсы, необходимые для:
a) разработки, внедрения, обеспечения функционирования,
мониторинга, анализа, улучшения и поддержки СМИБ
b) поддержки требований бизнеса процедурами
информационной безопасности
c) выявления и обеспечения выполнения требований
соответствующих законов, нормативных актов, а также
договорных обязательств в области информационной
безопасности
d) поддержания адекватной безопасности путем
правильного применения всех реализованных мер
управления
e) проведения, при необходимости, анализа и принятия
соответствующих мер по его результатам
f) повышения, при необходимости, результативности СМИБ
Подготовка, осведомленность и квалификация
персонала

Организация должна обеспечить необходимую квалификацию


персонала, на который возложены обязанности выполнения задач
в рамках СМИБ путем:
a) определения требуемого уровня знаний и навыков для
персонала, который выполняет работу, влияющую на СМИБ
b) организации обучения персонала или принятия других мер
(например, наем компетентного персонала) для
удовлетворения указанных потребностей
c) оценки результативности предпринятых действий;
d) ведения записей об образовании, подготовке, навыках, опыте
и квалификации сотрудников
Организация должна также обеспечить понимание всеми
соответствующими сотрудниками значимости и важности
деятельности в области информационной безопасности, и их роли
в достижении целей СМИБ
Поддержка

Организация должна определить и предоставить


ресурсы, необходимые для разработки, внедрения,
поддержки и постоянного улучшения СУИБ

+ Компетенции, Осведомленность, Коммуникации,


Документированная информация
Зачем нужно обучение ИБ?

1. Доведение целей, ожиданий и приоритетов


руководства
2. Разъяснение положений политик (положений) ИБ
3. Отработка процедур, «репетиция»
4. Повышение осведомленности об угрозах
5. Повышение осведомленности о возможных
ошибках
6. Мотивация
7. Ответы на вопросы
8. Получение обратной связи
9. …
1. Потеря съемных носителей
2. Потеря мобильных устройств
(в т.ч. в результате кражи)
3. Небрежное обращение с бумажными
документами
4. Ошибочная пересылка электронных сообщений
5. Ошибочная пересылка почтовых отправлений и
факсов
6. Ошибочное предоставление прав доступа, выкладывание
закрытой информации в общий доступ
7. Небрежная утилизация бумажных документов
8. Небрежная утилизация оборудования
9. Передача оборудования, содержащего информацию
ограниченного доступа, на техническое
обслуживание
третьим лицам
10. Нарушение политики безопасности по просьбе других
сотрудников и прочих лиц (социальная инженерия)
Сотрудники могут
инсценировать некоторые
ошибки, чтобы избежать
ответственности…
Внутренние аудиты СУИБ

Организация должна в соответствии с утвержденным


графиком проводить внутренние аудиты СУИБ,
позволяющие установить, что цели управления, меры
управления, процессы и процедуры СУИБ:
a) соответствуют требованиям настоящего стандарта
и соответствующим законам или нормативным
документам
b) соответствуют установленным требованиям ИБ
c) результативно внедряются и поддерживаются
d) функционируют должным образом
Анализ СУИБ со стороны руководства

7.1. Общие положения


Руководство должно в соответствии с утвержденным
графиком периодически (не менее одного раза в год)
проводить анализ СМИБ организации в целях обеспечения
ее постоянной пригодности, адекватности и
результативности.
Результаты анализа должны содержать предложения по
изменению СМИБ и оценку их реализации в интересах
обеспечения выполнения требований политики и целей
информационной безопасности
Входные данные для анализа СМИБ

a)результаты предыдущих аудитов и анализа СМИБ;


b)результаты взаимодействия с заинтересованными
сторонами;
c) методы, средства или процедуры, которые могут быть
использованы в организации для совершенствования
функционирования и повышения результативности СМИБ;
d)правовое обоснование предупреждающих и
корректирующих действий;
e)уязвимости или угрозы, которые не были адекватно учтены в
процессе предыдущей оценки рисков;
f) результаты количественной оценки результативности СМИБ;
g) последующие действия, вытекающие из предыдущего
анализа со стороны руководства;
h) любые изменения, которые могли бы повлиять на СМИБ;
i) рекомендации по улучшению.
Выходные данные анализа СМИБ

Выходные данные анализа СМИБ со стороны руководства должны


включать в себя все решения и действия, направленные:
a)на повышение результативности СМИБ
b) на обновление планов оценки и обработки рисков
c)на модификацию процедур и мер управления и контроля, влияющих на
ИБ, с целью обеспечить реагирование на внутренние или внешние
события, которые могут оказать воздействие на СМИБ, включая
изменения:
1)в бизнес-требованиях
2)в требованиях безопасности
3)в бизнес-процессах, влияющих на существующие бизнес-
требования
4)в законах и нормативных документах
5)в договорных обязательствах
6)в уровнях риска и/или критериев принятия риска
d) на потребности в ресурсах
e)на совершенствование способов оценки результативности мер
управления
Улучшение СМИБ

8.1. Постоянное улучшение


Организация должна постоянно повышать
результативностьСМИБ посредством уточнения
политики ИБ, целей ИБ, использования результатов
аудитов, анализа контролируемых событий,
корректирующих и предупреждающих действий, а
также использования руководством результатов
анализа СМИБ
Корректирующие действия
Организация должна проводить мероприятия по устранению
причин несоответствий требованиям СМИБ с целью предупредить
их повторное возникновение. Документированная процедура
корректирующего действия должна устанавливать требования
по:
a) выявлению несоответствий
b) определению причин несоответствий
c) оцениванию необходимости действий во избежание
повторения несоответствий
d) определению и реализации необходимых корректирующих
действий
e) ведению записей результатов предпринятых действий
f) анализу предпринятого корректирующего действия
Предупреждающие действия
Организация должна определять действия, необходимые для устранения
причин потенциальных несоответствий требованиям СМИБ, с целью
предотвратить их повторное появление. Предпринимаемые
предупреждающие действия должны соответствовать последствиям
потенциальных проблем. Документированная процедура предпринятого
предупреждающего действия должна устанавливать требования по:
a) выявлению потенциальных несоответствий и их причин
b) оцениванию необходимости действия с целью предупредить
появление несоответствий
c) определению и реализации необходимого предупреждающего
действия
d) записи результатов предпринятого действия
e) анализу результатов предпринятого действия
Организация должна определить изменения в оценках рисков и
установить требования к предупреждающим действиям, при этом
обращая особое внимание на существенно измененные количественные
показатели рисков.
Приоритеты в отношении реализации предупреждающих действий
должны быть определены на основе результатов оценки риска.

В ISO 27001-2013 вопрос предупреждающих действий (мер) не


рассматривается
Обычно затраты на проведение мероприятий
по предотвращению несоответствий более
экономичны, чем на корректирующие
действия.
ISO 27001-2013: Что нового?

1. Текстовая часть стала значительнее короче, стало меньше


обязательных требований, но воспринимается теперь тяжелее
2. Появилось новое понятие - «Interested parties» («заинтересованные
лица»). Странно, что не используется термин «stakeholders»
3. Вместо п.5 «Приверженство руководства» стал пункт «Лидерство»
4. Довольно удобно выделен пункт "Support" (п.7). В нем сделан акцент
на предоставление ресурсов, наличие компетенций, повышение
осведомленности и управление. коммуникациями. Кстати, аналога
последнему (Communication) в прошлой версии не было.
5. Упрощен подход к оценке рисков и управлению документами.
Появилось новое понятие – «Владелец риска»
6. Пропало упоминание превентивных действий, вместо них
предлагается использовать немного другой подход, основанный на
оценке "Nonconformity" (несоответствие).
7. Пропало упоминание цикла PDCA (можно использовать другие
модели)

В целом правки скорее носят


«косметический характер»
Приложение А
Цели и меры управления

ISO 27001-2013 (rus)


А.5 Политики ИБ
А.6 Организация ИБ
A.7 Правила безопасности, связанные с персоналом
А.8 Управление активами
А9 Контроль доступа
А10 Криптография
А11 Физическая безопасность и защита от воздействия окружающей
среды
А.12 Безопасность при обработке информации /
операционная безопасность
А.13 Безопасность связи
А.14 Приобретение, разработка и поддержка
систем
А.15 Взаимоотношения с поставщиками
А.16 Управление инцидентами информационной безопасности
А.17 Аспекты информационной безопасности при управлении
непрерывностью бизнеса
A.18 Соответствие требованиям
Control objectives and controls (AnnexA)

ISO 27001-2005 ISO 27001-2013


5.Security policy 5 Information security policies
6. Organization of information security 6.Organization of information security
7.Asset management 7. Human resource security
8.Human resources security 8. Asset management
9.Physical and environmental security 9. Access control
10.Communications and operations 10. Cryptography
management 11. Physical and environmental security
11. Access control 12. Operations security
12.Information systems acquisition, 13. Communications security
development and maintenance 14.System acquisition, development and
13.Information security incident maintenance
management 15. Supplier relationships
14. Business continuity management 16. Information security incident
15. Compliance management
17.Information security aspects of
business continuity management
18. Compliance
Группы по ISO 27001-2013

А.5 Политики ИБ A.8. Контроль доступа


А.5.1 Наставления менеджмента для 1.Требования бизнеса по управлению
информационной безопасности (2) доступом (2)
А.6 Организация ИБ 2.Управление доступом
1.Внутренняя организация (5) пользователей (6)
2.Мобильные устройства и 3. Ответственность пользователя (1)
дистанционная работа (2) 4.Управление доступом к системе и
A.7. Правила безопасности, связанные приложениям (5)
с персоналом A.9. Криптография
1. Перед наймом на работу (2) 1.Криптографические средства
2. Во время работы (3) защиты (2)
А.7.3 Увольнение или изменение A.11. Физическая безопасность и защита
должности (1) от воздействия окружающей среды
А.8 Управление активами 1. Зоны безопасности (6)
А.8.1 Ответственность за активы (4) 2. Оборудование (9)
2. Классификация информации (3)
3. Обращение с носителями …
информации (3)
Сколько ИТ-контролей?

1. Орг.меры, процессы и документы - 59 (52%)


Это: 5.1.1-5.1.2, 6.1.1-6.1.5, 8.1.1-8.1.4, 8.2.1-8.2.3, 8.3.1, 9.1.1-9.1.2, 9.2.1-
9.2.6, 9.3.1, 10.1.1-10.1.2, 11.2.9, 12.1.1-12.1.3, 12.5.1, 12.6.2, 12.7.1, 13.2.1,
14.1.1, 14.2.1-14.2.2, 14.2.4-14.2.5, 14.2.7, 14.2.9, 14.3.1, 15.1.1, 15.1.3,
15.2.1-15.2.2, 16.1.1-16.1.7, 17.1.1-17.1.3, 18.2.1-18.2.3
2. ИТ-контроли - 25 (22%)
Это: 6.2.1-6.2.2, 9.4.1-9.4.5, 12.1.4, 12.2.1, 12.3.1, 12.4.1-12.4.4, 12.6.1,
13.1.1-13.1.3, 13.2.3, 14.1.2-14.1.3, 14.2.3, 14.2.6, 14.2.8, 17.2.1
3. Физическая безопасность - 16 (14%)
Это: 8.3.2-8.3.3, 11.1.1-11.1.6, 11.2.1-11.2.8
4.Юридическая поддержка - 9 (8%).
Это: 7.1.2, 13.2.2, 13.2.4, 15.1.2, 18.1.1-18.1.5
5. Работа с персоналом - 5 (4%)
Это: 7.1.1, 7.2.1-7.2.3, 7.3.1
Цели и меры управления (контроли)

• Универсальны, но могут подходить не ко всем


ситуациям
• Могут не учитывать специфику каждого
конкретного предприятия и технологические
ограничения
• Следует рассматривать в качестве рекомендаций,
«лучших практик»
А.5. Политика безопасности

Цель: обеспечить участие высшего


руководства организации в решении
вопросов, связанных с обеспечением
информационной безопасности в
соответствии с целями деятельности
организации (бизнеса), законами и
нормативными актами
А.5.1.1. Документирование Политика информационной безопасности
политики должна быть руководством утверждена,
информационной издана и доведена до сведения
безопасности всех сотрудников организации, а
также сторонних организаций

А.5.1.2. Анализ политики Политика информационной безопасности


информационной организации должна быть
безопасности подвергнута анализу и пересмотру
через заданные
промежутки времени или при
появлении существенных изменений
характеристик целей безопасности
А.6. Организация информационной безопасности

• А.6.1. Внутренняя организация


Цель: обеспечение управления информационной
безопасностью в организации
• А.6.2. Обеспечение безопасности при наличии
доступа сторонних организаций к информационным
системам
Цель: поддерживать безопасность информации и
средств обработки информации организации при
наличии доступа к ним сторонних организаций в
процессах обработки и передачи этой информации
А.6.1.1. Обязанности Руководство организации должно постоянно
руководства по поддерживать заданный уровень
обеспечению информационной безопасности путем
информационной внедрения системы менеджмента, а также
безопасности путем распределения обязанностей и
ответственности персонала за ее обеспечение
А.6.1.2. Координация Действия по обеспечению информационной
вопросов безопасности должны координироваться
обеспечения ИБ представителями различных подразделений
организации, имеющими соответствующие
функции и должностные обязанности
А.6.1.3. Распределение Обязанности персонала по обеспечению
обязанностей по информационной безопасности должны быть четко
обеспечению ИБ определены
А.6.1.4. Процедура Руководство должно определить и внедрить
получения разрешения процедуры получения разрешения на
на использование использование новых средств обработки
средств обработки информации
информации
А.6.1.5. Соглашения о Руководство организации должно определять
соблюдении условия конфиденциальности или вырабатывать
конфиденциальности соглашения о неразглашении информации в
соответствии с целями защиты информации и
регулярно их пересматривать
А.6.1.6. Взаимодействие Руководство организации должно поддерживать
с компетентными взаимодействие с соответствующими
органами компетентными органами
А.6.1.7. Взаимодействие Руководство организации должно поддерживать
с ассоциациями и соответствующее взаимодействие с
профессиональными профессиональными группами, ассоциациями и
группами участвовать (организовывать) в конференциях
(форумах) специалистов в области ИБ
А.6.1.8. Независимая Порядок организации и управления ИБ и ее
проверка реализация (например, изменение целей и мер
(аудит) управления, политики, процессов и процедур
информационной обеспечения ИБ) должны быть подвергнуты
безопасности независимой проверке (аудиту) через определенные
промежутки времени или при появлении
существенных изменений в способах реализации мер
безопасности
А.6.2.1. Определение Перед предоставлением доступа сторонним
рисков, организациям к информации исредствам ее
связанных со обработки в процессе деятельности
сторонними организации необходимо определять
организациями возможные риски для информации и средствее обработки и
реализовывать соответствующие
им меры безопасности
А.6.2.2. Рассмотрение Перед предоставлением клиентам права
вопросов доступа к информации или активаморганизации необходимо
безопасности при определить и внедрить меры
работе с клиентами безопасности
А.6.2.3. Рассмотрение Соглашения со сторонними организациями
требований должны содержать все требования
безопасности в безопасности, включающие в себя правила доступа к
соглашениях со процессам обработки,передачи
сторонними информации или к управлению информацией или
организациями средствами обработки информации организации, а также
и в случае приобретения дополнительных программных
продуктов или
организации сервисного обслуживания средств обработки
информации
А.7. Управление активами

• А.7.1. Ответственность за защиту активов


организации
Цель: обеспечивать соответствующую защиту
активов организации

• А.7.2. Классификация информации


Цель: обеспечить уверенность в том, что
информация защищена на надлежащем уровне
А.7.1.1. Инвентаризация Опись всех важных активов организации должна
активов быть составлена и актуализирована
А.7.1.2. Владение Вся информация и активы, связанные со
активами средствами обработки информации, должны иметь
назначенного во владение представителя
организации
А.7.1.3. Приемлемое Правила безопасного использования информации
использование и активов, связанных со средствами обработки
активов информации, должны быть определены,
документированы и реализованы
А.7.2.1. Основные Информация должна быть классифицирована
принципы исходя из правовых требований, ее
классификации конфиденциальности, а также ценности и
критичности для организации
А.7.2.2. Маркировка и Всоответствии с принятой ворганизации
обработка системой классификации должна быть разработана
информации и реализована совокупность процедур маркировки
и обработки информации
Вопрос к обсуждению: что
должно быть написано в
политике допустимого
использования (А.7.1.3)?
Что писать в Политике
допустимого использования?

Требования по работе со следующими информационными системами,


сервисами и средствами обработки и храненияинформации:
– корпоративная электронная почта
– сеть интернет (включая облачные хранилища, торрент-трекеры,
персональную электронную почту, соц.сети, блоги и пр.)
– внешние носители
– корпоративные рабочие станции
– корпоративные мобильные устройства
– персональные мобильные устройства
– сервисы мгновенных сообщений и аналоги
(в том числе системы аудио и видео связи)
– удаленный доступ к корпоративной сети
– копировально-множительная техника
– файловые хранилища
А.8. Правила безопасности, связанные с персоналом

• А.8.1. Перед трудоустройством


Цель: обеспечить уверенность в том, что сотрудники, подрядчики и пользователи
сторонней организации осознают свою ответственность и способны выполнять
предусмотренные для них функции и снижать риск от воровства, мошенничества
и нецелевого использования оборудования, а также от угроз безопасности
информации
• А.8.2. Работа по трудовому договору
Цель: обеспечить уверенность в том, что сотрудники, подрядчики и пользователи
сторонней организации осведомлены об угрозах и проблемах информационной
безопасности, об их ответственности и обязательствах, ознакомлены с правилами
и обучены процедурам для поддержания мер безопасности организации при
выполнении ими своих служебных обязанностей и для снижения риска
человеческого фактора для информационной безопасности
• А.8.3. Увольнение или изменение трудового договора
Цель: обеспечить уверенность в том, что сотрудники, подрядчики и пользователи
сторонней организации уведомлены об увольнении или изменении условий
трудового договора в соответствии с установленным порядком
А.8.1.1. Функции и Функции и обязанности персонала по обеспечению
обязанности безопасности сотрудников, подрядчиков и
персонала по пользователей сторонней организации должны быть
обеспечению определены и документированы в соответствии с
безопасности требованиями ИБ
А.8.1.2. Проверка при Проверка всех кандидатов на постоянную работу,
приеме на подрядчиков и пользователей сторонней
работу организации должна быть проведена в соответствии
с законами, инструкциями и правилами этики, с
учетом требований бизнеса, характера информации,
к которой будет осуществлен их доступ, и и
предполагаемых рисков
А.8.1.3. Условия Трудо - Сотрудники, подрядчики и пользователи сторон-
вого договора ней организации должны согласовать и подписать
условия своего трудового договора, в котором
установлены их ответственность и ответственность
организации относительно ИБ
А.8.2.1. Обязанности Руководство организации должно требовать,
руководства чтобы сотрудники, подрядчики и пользователи
сторонней организации были ознакомлены с
правилами и процедурами обеспечения мер
безопасности в соответствии с установленными
требованиями
А.8.2.2. Осведомленность, Все сотрудники организации и, при
обучение необходимости, подрядчики, и пользователи
и переподготовка сторонних организаций должны проходить
в области ИБ соответствующее обучение и переподготовку в
целях регулярного получения информации о
новых требованиях правил и процедур
организации безопасности, необходимых для
выполнения ими должностных функций
А.8.2.3. Дисциплинарная К сотрудникам, совершившим нарушение
практика требований безопасности, должна быть
применена
дисциплинарная практика, установленная в
организации
А.8.3.1. Ответственность по Ответственность по окончании действия
окончани трудового договора должна быть четко
и определена и установлена
действия
трудового
договора
А.8.3.2. Возврат Сотрудники, подрядчики и пользователи сторон-
активов ней организации обязаны вернуть все активы
организации, находящиеся в их пользовании
(владении), по истечении срока действия
трудового договора или соглашения (увольнение)
А.8.3.3 Аннулирование Права доступа к информации и средствам
прав доступа обработки информации сотрудников,
подрядчиков и пользователей сторонней
организации должны быть аннулированы или
уточнены по окончании действия трудового
договора (увольнение)
А.9. Физическая защита и защита от воздействия
окружающей среды

• А.9.1. Охраняемые зоны


Цель: предотвращать несанкционированные
физический доступ, повреждение
и воздействия на помещения и информацию
организации

• А.9.2. Безопасность оборудования


Цель: предотвращать потерю, повреждение,
хищение или компрометацию
активов и прекращение деятельности
организации
А.9.1.1. Периметр охраняемой Для защиты зон, где имеются информация и средстваобработки
зоны информации, должны быть использованы периметры охраняемых зон
(барьеры, такие как стены, проходные, оборудованные средствами
контроля входа по идентификационным карточкам, или, где
предусмотрен, контроль сотрудника регистрационной стойки)
А.9.1.2. Контроль доступа в Охраняемая зона должна быть защищена соответствующими средствами
охраняемую зону контроля входа, предполагающими обеспечить уверенность в том,что
только авторизованный персонал может получить доступ взону
А.9.1.3. Обеспечение Требования к обеспечению физической безопасностизданий,
безопасности зданий, производственных помещений и оборудования должны быть
производственных разработаны и реализованы
помещений и
оборудования
А.9.1.4. Защита от внешних Требования к обеспечению физической защитызданий,
угроз и угроз со производственных помещений и оборудования от нанесения ущерба в
стороны окружающей результате пожара, наводнения, землетрясения, взрыва, общественных
среды беспорядков и других природных и антропогенных факторов должны
быть разработаны и реализованы
А.9.1.5. Выполнение работ в Требования по физической защите и рекомендации по выполнению работ
охраняемых зонах в охраняемых зонах должны быть разработаны и реализованы в
инструкциях
А.9.1.6. Зоны общественного Места доступа, такие как зоны приема, отгрузки материальных ценностей
доступа приема и и другие места, где неавторизованные лица могут проникнуть в
отгрузки материальных помещения, должны быть под контролем и, по возможности, должны
ценностей быть изолированы от средств обработки информации во избежание
несанкционированного доступа
А.9.2.1. Размещение и Оборудование должно быть размещено и защищено так, чтобы
защита уменьшить риски от воздействия окружающей среды и возможности несанкционированного
оборудования доступа
А.9.2.2. Вспомогательные Оборудование необходимо защищать от перебоев в подаче
услуги электроэнергии и других сбоев, связанных с отказами в обеспечении вспомогательных услуг

А.9.2.3. Безопасность Силовые и телекоммуникационные кабельные сети, по которым


кабельной сети передаются данные или поддерживаются информационные услуги, необходимо защищать от
перехвата информации или повреждения
А.9.2.4. Техническое Должно проводиться надлежащее регулярное техническое
обслуживание обслуживание оборудования для обеспечения его непрерывной работоспособности и
оборудования сохранности
А.9.2.5. Обеспечение При обеспечении безопасности оборудования, используемого вне места
безопасности его постоянной эксплуатации, должны быть учтены различные риски, связанные с работой вне
оборудования,
используемого вне помещений организации
помещений
организации
А.9.2.6. Безопасная Всекомпоненты оборудования, содержащие носители данных, должны
утилизацияили быть проверены с целью удостовериться в том, что любые
повторное конфиденциальные данные и лицензионное программное обеспечение были удалены или скопированы
использование безопасным образом до их утилизации
(списания)
оборудования
А.9.2.7. Вынос имущества с Оборудование, информацию или программное обеспечение допускается
территории выносить из помещения организации только на основании соответствующего
организации разрешения
А.10. Управление средствами коммуникаций и их
функционированием

• А.10.1. Эксплуатация средств и ответственность


Цель: обеспечить надлежащее и безопасное функционирование средств
обработки информации
• А.10.2. Управление поставкой услуг лицами и/или сторонними организациями
Цель: реализовать и поддерживать требуемый уровень информационной
безопасности и оказания услуг в соответствии с договорами об оказании услуг
сторонними организациями (внешними лицами и/или организациями)
• А.10.3. Планирование производительности и загрузки систем
Цель: свести к минимуму риск сбоев в работе систем
• А.10.4. Защита от вредоносного кода и мобильного кода
Цель: защищать целостность программного обеспечения и массивов информации
• А.10.5. Резервирование
Цель: поддерживать целостность и доступность информации и средств обработки
информации
•…
• …
• А.10.6. Управление безопасностью сети
Цель: обеспечить защиту информации в сетях и защиту
поддерживающей инфраструктуры
• А.10.7. Обращение с носителями информации
Цель: предотвратить несанкционированное разглашение,
модификацию, удаление или уничтожение активов и
прерывание бизнес-процессов
• А.10.8. Обмен информацией
Цель: поддерживать безопасность информации и программного
обеспечения при обмене внутри организации и со сторонними
организациями
• А.10.9. Услуги электронной торговли
Цель: обеспечить безопасность услуг электронной торговли и их
безопасное использование
• А.10.10. Мониторинг
Цель: обнаруживать несанкционированные действия, связанные
с обработкой информации
А.10.1.1. Документирование Операционные процедуры должны
операционны документироваться, поддерживаться и быть
х процедур доступными для всех авторизованных
эксплуатации пользователей
А.10.1.2. Управление Изменения в конфигурациях средств обработки
изменениями информации и системах должны быть
контролируемыми
А.10.1.3. Разграничение Обязанности в области ответственности должны
обязанностей быть разграничены в целях снижения
возможностей несанкционированной или
непреднамеренной модификации, или
нецелевого использования активов организации
А.10.1.4. Разграничение Средства разработки, тестирования и
средств эксплуатации должны быть разграничены в целях
разработки, снижения риска несанкционированного доступа
тестирования и или изменения операционной системы
эксплуатации
А.10.2.1. Оказание услуг Должна быть обеспечена уверенность в том, что
меры управления информационной безопасностью, включенные в
договор об оказании услуг сторон-
ней организации, реализованы, функционируют и поддерживаются
сторонней организацией
А.10.2.2. Мониторинг и Необходимо регулярно проводить мониторинг,
анализ услуг, аудит и анализ услуг, отчетов и актов, обеспечиваемых
оказываемых
сторонними лицами сторонней организацией
и/или
организациями

А.10.2.3. Изменения при Изменения при оказании услуг по обеспечению


оказании сторонними безопасности, включая внедрение и совершенствование существующих
организациями требований, процедур и мер обеспечения
услуг по информационной безопасности, должны быть управляемыми с учетом оценки
обеспечению критичности систем и процессов бизнеса,а
безопасности также результатов переоценки рисков

А.10.3.1. Управление Необходимо осуществлять прогнозирование, мониторинг и

производительнос тью корректировку потребности мощности системы для обеспечения


требуемой ее производительности

А.10.3.2. Приемка систем Должны быть определены критерии принятия новыхи


модернизованных информационных систем, новых версий
программного обеспечения, а также проведенотестирование систем в процессе их
разработки и приемки
А.10.4.1. Меры защиты Должны быть реализованы меры по
от обнаружению, предотвращению проникновения
вредоносног и восстановлению после проникновения
о вредоносного кода, а также должны быть
кода установлены процедуры обеспечения
соответствующего оповещения пользователей
А.10.4.2. Меры защиты Там, где разрешено использование мобильного
от кода, конфигурация системы должна
мобильного обеспечивать уверенность в том, что
кода авторизованный мобильный код функционирует
в соответствии с четко определенной политикой
безопасности, а исполнение операции с
использованием неавторизованного мобильного
кода будет предотвращено
А.10.5.1. Резервирование Резервные копии информации и программного
информации обеспечения должны создаваться, проверяться и
тестироваться на регулярной основе в
соответствии с принятыми требованиями
резервирования
А.10.6.1. Средства Сети должны быть адекватно управляемыми и
контроля сети контролируемыми в целях защиты от угроз и поддержания безопасности
систем и приложений, использующих сеть,
включая информацию, передаваемую по сетям
А.10.6.2. Безопасность Меры обеспечения безопасности, уровни обслуживания для
сетевых всех сетевых услуг и требования управления должны быть определены и
включены в любой договор о сетевых услугах независимо от того,
сервисов
предоставляются ли эти услуги своими
силами или сторонней организацией
А.10.7.1. Управление Для управления съемными носителями информации
съемными должны существовать соответствующие процедуры
носителями
информации
А.10.7.2. Утилизация Носители информации, когда в них больше нет
носителей необходимости, должны быть надежно и безопасно
информации утилизированы с помощью формализованных процедур
А.10.7.3. Процедуры Для обеспечения защиты информации от
обработки несанкционированного раскрытия или неправильного использования
информации необходимо установить процедуры
обработки и хранения информации
А.10.7.4. Безопасность Системная документация должна быть защищена от
системной несанкционированного доступа
документации
А.10.8.1. Политики и Должны существовать формализованные
процедуры процедуры, требования и меры контроля, обеспечивающие
обмена защиту обмена информацией
информацией при использовании связи всех типов
А.10.8.2. Соглашения по Между организацией и сторонними
обмену организациями должны быть заключены
информацией соглашения по обмену информацией и
программным обеспечением
А.10.8.3. Защита Носители информации должны быть защищены от
физических несанкционированного доступа, неправильного
носителей использования или повреждения во время их
информации при транспортировки за пределами территории
организации
транспортировке
А.10.8.4. Электронный Информация, используемая в электронном
обмен обмене сообщениями, должна быть защищена
сообщениями надлежащим образом
А.10.8.5. Системы бизнес- Требования и процедуры должны быть
информации разработаны и внедрены для защиты
информации, связанной с взаимодействием систем
бизнес-информации
А.10.9.1. Электронная Информация, используемая в электронной
торговля торговле, проходящая по общедоступным сетям,
должна быть защищена от мошенничества,
оспаривания контрактов, а также от
несанкционированного разглашения и
модификации
А.10.9.2. Трансакции в Информация, используемая в трансакциях в
режиме режиме реального времени (on-line), должна
реальног быть защищена для предотвращения неполной
о передачи, неправильной маршрутизации,
времени несанкционированного изменения сообщений,
(on-line) несанкционированного разглашения,
несанкционированного копирования или
повторного воспроизведения сообщений
А.10.9.3. Общедоступная Информация, предоставляемая через
информация общедоступную систему, должна быть защищена
от несанкционированной модификации
А.10.10.1. Ведение журналов Должны быть обеспечены ведение и хранение в
аудита течение определенного периода времени журналов аудита,
регистрирующих действия пользователей,
нештатные ситуации и события информационной
безопасности, в целях помощи в будущих
расследованиях и проведении мониторинга контроля доступа
А.10.10.2. Мониторинг Должны быть установлены процедуры, позволяющие
использования средств вести мониторинг и регулярный анализ результатов
обработки мониторинга использования средств обработки
информации информации
А.10.10.3. Защита информации Средства регистрации и информация журналов
журналов регистрации должны быть защищены от вмешательства
регистрации и несанкционированного доступа
А.10.10.4. Журналы регистрации Действия системного администратора и системного
действий оператора должны быть регистрируемыми
администратора и
оператора
А.10.10.5. Регистрация Неисправности должны быть зарегистрированы,
неисправностей проанализированы и устранены
А.10.10.6. Синхронизация часов Часы всех соответствующих систем обработки
информации в пределах организации или охраняемой
зоны должны быть синхронизированы с помощью
единого источника точного времени
А.11. Контроль доступа

• А.11.1. Бизнес-требования к контролю доступа


Цель: контролировать доступ к информации
• А.11.2. Управление доступом пользователей
Цель: предотвратить несанкционированный доступ пользователей к
информационным системам и обеспечить авторизованный доступ пользователей к
этим системам
• А.11.3 Ответственность пользователей
Цель: предотвращать несанкционированный доступ пользователей, а также
компрометацию или кражу информации и средств обработки информации
• А.11.4. Контроль сетевого доступа
Цель: предотвратить несанкционированный доступ к сетевым сервисам
• А.11.5. Контроль доступа к операционной системе
Цель: предотвратить несанкционированный доступ к операционным системам
• А.11.6. Контроль доступа к прикладным системам и информации
Цель: предотвратить несанкционированный доступ к прикладным системам и
информации
• А.11.7. Работа с переносными устройствами и работа в дистанционном режиме
Цель: обеспечить информационную безопасность при использовании переносных
устройств и средств, необходимых для работы в дистанционном режиме
А.11.1.1. Политика Политика контроля доступа должна быть
контрол установлена и документирована с учетом
я потребностей бизнеса и безопасности
доступа информации
А.11.2.1. Регистрация Должна быть установлена формализованная
пользователей процедура регистрации и снятия срегистрации
пользователей для предоставления и отмены
доступа ко всем информационным системам и
услугам
А.11.2.2. Управление Предоставление и использование привилегий
привилегиями должно быть ограниченным и контролируемым
А.11.2.3. Управление Предоставление паролей должно быть
паролями контролируемым посредством
пользователей формализованного процесса управления
А.11.2.4. Пересмотр прав Руководство должно периодически осуществлять
доступа пересмотр прав доступа пользователей,
пользователей используя формализованный процесс
А.11.3.1. Использование Пользователи должны соблюдать правила
паролей безопасности при выборе и использовании
паролей
А.11.3.2. Оборудование, Пользователи должны обеспечивать
оставленное соответствующую защиту оборудования,
пользователем оставленного без присмотра
без присмотра

А.11.3.3. Правила "чистого Должны быть приняты правила "чистого стола"


стола" и "чистого для документов на бумажных носителях и
экрана" сменных носителей данных, а также правила
"чистого экрана" для средств обработки
информации
А.11.4.1. Политика в отношении Пользователям следует предоставлять доступ к тем услугам, по
использования сетевых отношению к которым они специально были авторизованы
услуг
А.11.4.2. Аутентификация Для контроля доступа удаленных пользователей должны быть
пользователей для применены соответствующие методы аутентификации
внешних соединений
А.11.4.3. Идентификация Автоматическая идентификация оборудования должна
оборудования в сетях рассматриваться как средство аутентификации соединений,
осуществляемых с определенных мест и с определенным
оборудованием
А.11.4.4. Защита диагностических Физический и логический доступ к портам конфигурациии
и конфигурационных диагностики должен быть контролируемым
портов при удаленном
доступе
А.11.4.5. Принцип разделения в Всетях должны быть применены принципы разделения групп
сетях информационных услуг, пользователей и информационных систем
А.11.4.6. Контроль сетевых Подключение пользователей к совместно используемым
соединений сетям, особенно к тем, которые выходят за территорию
организации, необходимо ограничивать в соответствии с политикой
контроля доступа и требованиями бизнес-
приложений
А.11.4.7. Контроль маршрутизации Должны быть внедрены средства управления и контроля
в сети маршрутизации в сети с целью исключить нарушения правил
контроля доступа для бизнес-приложений, вызываемые
соединениями и потоками информации
А.11.5.1. Безопасные Контроль доступа к операционным системамдолжен
процедуры быть обеспечен безопасной процедурой
регистрации регистрации
А.11.5.2. Идентификация Все пользователи должны иметь уникальные
и идентификаторы (ID) только для персонального
аутентификация использования, а для подтверждения заявленной личности
пользователя должны быть выбраны
пользователя
подходящие методы аутентификации
А.11.5.3. Система Системы управления паролями должны быть
управления интерактивными и обеспечивать высокое качество паролей
паролями
А.11.5.4. Использование Использование системных утилит, которые могут
системных преодолеть средства контроля операционных систем
утилит и приложений, необходимо ограничивать и строго
контролировать
А.11.5.5. Периоды Необходимо обеспечить завершение сеансов связи
бездействия в после определенного периода бездействия
сеансах связи
А.11.5.6. Ограничение Ограничение времени соединения должно быть
времени использовано для обеспечения дополнительной безопасности
соединения
А.11.6.1. Ограничения Доступ к информации и функциям прикладных
доступа к систем пользователей и обслуживающего
информации персонала должен быть предоставлен только в
соответствии с определенными политиками
контроля доступа
А.11.6.2. Изоляция систем, Системы, обрабатывающие важную
обрабатывающих информацию, должны иметь выделенную
важную изолированную) вычислительную среду
информацию
А.11.7.1. Работа с Необходимо иметь в наличии
переносным формализованную политику для защиты от
и рисков при использовании переносных
устройствами устройств
А.11.7.2. Работа в Для работы в дистанционном режиме
дистанционно необходимо разработать и реализовать
м режиме политику, оперативные планы и процедуры
А.12. Разработка, внедрение и
обслуживание информационных систем
• А.12.1. Требования к безопасности информационных систем
Цель: обеспечить уверенность в том, что безопасность является
неотъемлемым свойством внедряемых информационных систем, и
обеспечить выполнение требований безопасности при разработке и
эксплуатации систем
• А.12.2. Правильная обработка данных в приложениях
Цель: предотвратить ошибки, потерю, несанкционированную модификацию
или неправильное использование информации в приложениях
• А.12.3. Криптографические средства защиты
Цель: защищать конфиденциальность, аутентичность или целостность
информации криптографическими средствами
• А.12.4. Безопасность системных файлов
Цель: обеспечить безопасность системных файлов
• А.12.5. Безопасность в процессах разработки и поддержки
Цель: поддерживать безопасность программного обеспечения прикладных
систем и содержащейся в них информации
• А.12.6. Менеджмент технических уязвимостей
Цель: снизить риски, являющиеся результатом использования
опубликованных технических уязвимостей
А.12.1.1. Анализ и Вформулировках требований бизнеса дляновых
детализация информационных систем или совершенствования
требований существующих должны быть детализированы
безопасности требования безопасности
А.12.2.1. Проверка Входные данные для приложений должны быть
достоверности подвергнуты процедуре подтверждения сцелью
входных данных установления их достоверности
А.12.2.2. Контроль Для обнаружения искажений (ошибок или
обработки преднамеренных действий) при обработке
данных в информации в требования к функциям
приложениях приложений должны быть включены требования
по выполнению контрольных проверок
А.12.2.3. Целостность Должны быть определены требования для
сообщений обеспечения аутентичности и защитыцелостности сообщений
в приложениях, а также реализованы
соответствующие средства контроля
А.12.2.4. Подтверждение Данные, выводимые из приложения, необходимо
достоверности подвергать проверке на корректность, чтобы
выходных обеспечить уверенность в том, чтообработка
данных информации выполнена правильно
А.12.3.1. Политика Должны быть разработаны и внедрены правила
использования использования криптографических средств
криптографических защиты информации
средств защиты
А.12.3.2. Управление Для реализации организацией
ключами криптографических методов защиты должна быть
использована система управления ключами
А.12.4.1. Контроль Необходимо обеспечить контроль за процессом
программного внедрения программного обеспечения в
обеспечения, промышленную эксплуатацию
находящегося в
промышленной
эксплуатации
А.12.4.2. Защита данных Данные тестирования следует тщательно
тестирования отбирать, защищать и контролировать
системы
А.12.4.3. Контроль доступа к Доступ к исходным кодам долженбыть
исходным кодам ограничен
А.12.5.1. Процедуры контроля Внесение изменений должно быть проверено с
изменений использованием соответствующих формализованных
процедур контроля изменений
А.12.5.2. Технический анализ При внесении изменений в операционные системы
прикладных систем необходимо провести анализ и тестирование критичных
после внесения бизнес-приложений с целью
изменений в удостовериться в отсутствии негативного влияния на
операционные системы работу и безопасность организации
А.12.5.3. Ограничения на Необходимо избегать модификаций пакетов
внесение изменений в программ, а все требуемые изменения должны подлежать
пакеты программ строгому контролю
А.12.5.4. Утечка информации Возможности для утечки информации должны быть
предотвращены
А.12.5.5. Разработка программного Разработка программного обеспеяения с
обеспечения с привлечением привлечением сторонних организаций должна
сторонних производиться под контролем и при мониторинге организации
организаций

А.12.6.1. Управление Необходимо получать своевременную информацию о


техническими технических уязвимостях используемых
информационных систем, оценивать опасность таких уязвимостей и
уязвимостями
принимать соответствующие меры по
устранению связанного с ними риска
А.13. Управление инцидентами
информационной безопасности

• А.13.1. Оповещение о нарушениях и недостатках


информационной безопасности
Цель: обеспечить оперативность оповещения о
событиях информационной безопасности и
нарушениях, связанных с информационными
системами, а также своевременность корректирующих
действий

• А.13.2. Управление инцидентами информационной


безопасности и его усовершенствование
Цель: обеспечить оперативность оповещения о
событиях информационной безопасности и
нарушениях, связанных с информационными
системами, а также своевременность корректирующих
действий
А.13.1.1. Оповещение о Ослучаях нарушения информационнойбезопасности
случаях нарушения следует сообщать по соответствующим каналам
информационной управления незамедлительно, насколько это возможно
безопасности
А.13.1.2. Оповещение о Всесотрудники, подрядчики и пользователи сторонних
недостатках организаций, пользующиеся информационными
системами и услугами, должны незамедлительно сообщать
безопасности о любых замеченных или предполагаемых нарушениях
безопасности в системах или услугах

А.13.1.1. Оповещение о Ослучаях нарушения информационнойбезопасности


случаях нарушения следует сообщать о соответствующим каналам управления незамедлительно, насколько это
информационной
безопасности возможно

А.13.2.2. Извлечение уроков Должны быть определены механизмы, позволяющиевести


из инцидентов мониторинг и регистрацию инцидентов информационной безопасности по типам,
информационной
объемам и стоимостям
безопасности

А.13.2.3. Сбор доказательств Наслучай, если инцидент информационной безопасности


может привести к судебному разбирательству (гражданскому или
уголовному) против лица или организации, информация должна быть
собрана,
сохранена и представлена согласно правилам оформления доказательств, изложенным в
соответствующих документах
А.14. Управление непрерывностью бизнеса

А.14.1. Вопросы информационной безопасности управления


непрерывностью бизнеса
Цель: на случай, если инцидент информационной безопасности может
привести к судебному разбирательству (гражданскому или уголовному)
против лица или организации, информация должна быть собрана,
сохранена и представлена согласно правилам оформления
доказательств, изложенным в соответствующих документах

• По ISO 27002-2013:
Цель: противодействовать прерываниям видов деятельности в
рамках бизнеса организации и защищать важнейшие процессы
бизнеса от последствий значительных сбоев ИС или
чрезвычайных ситуаций и обеспечивать их своевременное
возобновление
Обеспечение непрерывности бизнеса

Фаза 1 Фаза 2 Фаза 3 Фаза 4


Анализ Разработка Тестирование Внедрение

• Начало разработки • Разработка стратегий сценария • Разработка тестового плана и • Разработка плана
• Разработка архитектуры плана сценариев осведомленности
• Пересмотр окружения клиента
• Разработка структуры • Разработка тестовой стратегии • Обеспечение коммуникаций и
последовательности вызовов обучение
• Создание графика разработки
• Обучение команд по
• Разработка структуры команды • Регулирование документов
• Отчет о работе планированию непрерывности
• Разработка процесса жизненного цикла бизнеса • Создание отчетов
• Разработка коммуникационного потока
• Подготовка испытания плана • Представление отчетов
• Разработка структуры управления
• Настройка организации ВСР руководству
непрерывностью бизнеса (ВСМ) • Финальная репетиция
• Разработка плана(ов)
• Определение политики ВСМ • Внедрение жизненного цикла
• Проведение тестирования
– План кризисного управления
последовательности вызовов • Проверка завершенности
• Трансформация бизнес-процессов
– План поддержки управления
в стратегии • Проведение испытания плана • Проверка соответствия
– Коммуникационный план
• Определение бизнес-процессов, • Копирование планов
важных для миссии – Аварийный план действий
• Проведение испытания плана
– Аварийный план для ИТ • Передача жизненных циклов
• Определение обязанностей командного центра
пользователя – План восстановления после аварии • Сообщение о BCM
• Оценка проверенных планов
• Определение критических точек – План возобновления бизнеса
• Запрос о выпуске
• Публикация главного плана
– План перемещения рабочей области
• Проведение оценки риска непрерывности бизнеса
нарушения бизнес-процессов, • Разработка стратегии жизненного
цикла • Оценка результатов испытаний
важных для миссии
• Разработка главного плана • Изменение проверенных планов
• Выбор альтернативных решений непрерывности бизнеса
• Отправка готовых планов
• Создание стратегии решения • Обеспечение осведомленности о
планировании непрерывности бизнеса • Составление календаря тестов
• Отправка отчета об оценке
• Отправка плана по сокращению
рисков
Жизненный цикл непрерывности бизнеса

ISO 27001 требует,


внедрения специальных мер по Аудит
обеспечению непрерывности • Оценка
• Дизайн решения
бизнеса:
Мониторинг
1. Обеспечение готовности
информационной • Организации
• Планов
безопасности на • Поставщиков Разработка
протяжении всего процесса • Соответствия
• Альтернативных сайтов
• Разработка защиты
• Внедрение системы
2. Непрерывность бизнеса • Команды
восстановления
и оценка рисков
3.Разработка и внедрение планов
непрерывности в том числе в сфере
ИБ
4. Система планирования
Внедрение + Тестирование
непрерывности бизнеса Обучение • Обеспечение
5. Тестирование, • Обучение команды соответствия
• Ключевые тесты
• Использование системы
сохранение и переоценка планов
непрерывности
бизнеса
А.14.1.1. Включение Должен быть разработан и поддержан управляемый процесс
информационной обеспечения непрерывности бизнеса во всей организации с учетом требований
безопасности в процесс информационной безопасности,
управления необходимых для обеспечения непрерывности бизнеса
организации
непрерывностью
бизнеса
А.14.1.2. Непрерывность бизнеса События, которые могут стать причиной прерывания бизнес-
и оценка риска процессов, должны быть связаны с оценками вероятности и степени воздействия
таких прерываний, а также с их
последствиями для информационной безопасности
А.14.1.3. Разработка и внедрение Должны быть разработаны и внедрены планы дляподдержки
планов непрерывности бизнеса, или восстановления работы и обеспечения доступности
включающих в себя информации на требуемом уровне и в требуемые сроки после
информационную прерывания или отказа критических бизнес- процессов
безопасность
А.14.1.4. Структура плана Должна быть создана единая структура планов
обеспечения непрерывности бизнеса, позволяющая обеспечить
непрерывности бизнеса непротиворечивость всех планов для последовательного выполнения всех
требований к информационной
безопасности и для расстановки приоритетов при тестировании и
обслуживании
А.14.1.5. Тестирование, Планы по обеспечению непрерывности бизнеса должны
поддержка и пересмотр планов по подлежать регулярному пересмотру и обновлению с целью
обеспечению обеспечить их актуальность и эффективность
непрерывности бизнеса
BS 25999-2 -> ISO 22301
BS 25999-1 -> ISO 22313
Если не планировать НБ
Этапы жизненного цикла МНБ

• Цели
• Область действия
(критичные виды
деятельности)
• Анализ угроз

• Персонал
• Площади
• Технологии
• Информация
• Запасы
• 3и стороны
Основная идея НБ

• Риски

• Время
восстановления
Документация

1. Политика
2. Анализ воздействия на бизнес (BIA)
3. Оценка риска
4. Стратегия
Документация (cont.)

5. Программа обеспечения компетентности


6. Программа обучения
7. Планы управления инцидентами
8. Планы обеспечения непрерывности
9. Планы восстановления
10. График и программа учений
11. Соглашения и договоры
Развитие инцидента во времени
RTO и RPO

RЗO (Recovery Point RTO (Recovery Time


Objective) – Целевая Objective) – Целевое
точка восстановления время
восстановления
Процесс восстановления
А.15. Соответствие требованиям

• А.15.1. Соответствие правовым требованиям


Цель: предотвращать любые нарушения норм уголовного и
гражданского права, требований, установленных нормативно-
правовыми актами, регулирующими органами или
договорными обязательствами, а также требований
безопасности
• А.15.2 Соответствие политикам и стандартам безопасности и
техническое соответствие требованиям безопасности
Цель: обеспечить соответствие систем организационным
политикам и стандартам безопасности
• А.15.3. Вопросы аудита информационных систем
Цель: повышение эффективности процесса аудита
информационных систем и снижение негативного влияния,
связанного с данным процессом
А.15.1.1. Определение Все применимые нормы, установленные законодательством и
применимых норм исполнительными органами власти, требования договорных обязательств и
порядок их выполнения следует четко определить, документировать и
поддерживать на актуальном
уровне для каждой информационной системы и организации
А.15.1.2. Права на Должны быть внедрены соответствующие процедуры для
интеллектуальную применения законодательных, регулирующих и контрактных требований к
используемым
собственность
материалам с учетом прав на интеллектуальную
собственность, а также прав на использование программных
продуктов, являющихся предметом частной собственности
А.15.1.3. Защита учетных Важные учетные записи организации должны быть защищены
записей от утраты, разрушения и фальсификации в соответствии с
организации требованиями, установленными законами, документами
органов исполнительной власти, контрактами и требованиями бизнеса
А.15.1.4. Защита данных и Защита данных и конфиденциальность персональной
конфиденциальность информации должны быть обеспечены в соответствии с
персональной требованиями законов, нормативных актов и, гдеэто
информации применимо, в соответствии с положениями контрактов

А.15.1.5. Предотвращение Должны быть применены меры контроля для


нецелевого предотвращения нецелевого использования средств
использования обработки информации
средств обработки
информации
А.15.1.6. Регулирование Средства криптографической защиты должны быть
использования использованы в соответствии с законами,
средств нормативными актами и соответствующими
криптографической соглашениями
защиты
А.15.2.1. Соответствие Руководители должны обеспечить, чтобы все
политикам и процедуры безопасности в их сфере ответственности были
стандартам выполнены правильно и соответствовали
безопасности политикам и стандартам безопасности
А.15.2.2. Проверка технического Информационные системы следует регулярно
соответствия проверять на соответствие требованиям стандартов
требованиям безопасности
безопасности
А.15.3.1. Меры управления Требования и процедуры аудита, включающие в себя
аудитом проверки операционных систем, необходимо
информационных тщательно планировать и согласовывать, чтобы
систем свести к минимуму риск прерывания бизнес- процессов
А.15.3.2. Защита Доступ к инструментальным средствам аудита
инструментальных информационных систем необходимо защищать для
средств аудита предотвращения любой возможности их неправильного
информационных использования или компрометации
систем
Поговорим про
внедрение
Как строить СУИБ?

Идем от
«поддержки
руководства»
и «лидерства»
Идем от
внедрения
отельных
процессов и
мер
Возможные этапы внедрения

1. Анализ текущего состояния ИБ (GAP-анализ)


2. Назначение основных ролей, создание Комитета по ИБ
3. Разработка плана проекта, определение необходимых задач
(процессы и документы)
4. Выбор и документирование области действия
5. Разработка и утверждение Политики ИБ
6. Определение подхода к управлению документами и записями
7. Выбор Методики оценки рисков, проведение оценки рисков,
утверждение Отчета, Соглашения о применимости контролей, Плана
обработки рисков,
8. Разработка необходимых документов, реализация мер, внедрение
процессов
9. Обучение персонала
10. Проведение внутреннего аудита
11. Проведение анализа со стороны руководства
12. Подготовка к сертификационному аудиту
Что влияет на длительность и трудозатраты
при внедрении СУИБ?

1. Поддержка руководством и заинтересованными


лицами
2. Текущий уровень ИБ (наличие контрмер)
3. Зрелость процессов
4. Соответствие и/или опыт внедрения других
стандартов управления
5. Наличие свободных ресурсов (люди, команда
проекта)
6. Квалификация руководителя проекта
7. Культура ИБ в компании
Аналитика про внедрение СУИБ

• Чаще всего внедряют ИТ-компании (23%) и


Телеком (14%)
Аналитика про размер компаний

• Размер Компаний:
>500 человек - 38%
200-500 - 12%
50-200 - 23%
<50 - 27%
Аналитика. Менеджер СУИБ

Специально выделенный менеджер СУИБ только у


12%, у других роль совмещенная:
Аналитика. Время внедрения

Среднее время внедрения


- до года - 60% компаний
- до 2х лет - 93% компаний
Аналитика. Консалтинг

54% привлекают
внешних
консультантов
Что можно заимствовать из СМК?

1. Поддержку руководства и общее понимание сотрудников


2. План управления проектом внедрения
3. Описание основных и вспомогательных бизнес-
процессов
4. Структуру Политики
5. Процесс обучения и повышения осведомленности
6. Процесс управление документами и записями
7. Процесс внутреннего аудита
8. Процесс мониторинга и анализа со стороны руководства
9. Подход к выбору корректирующих и предупреждающих
действий
10. Процесс управление некачественной продукцией (Аналог
будущего процесса реагирования на инциденты)
Кто может проводить сертификацию?

• BSI (British Standards Institution)


http://www.bsigroup.com , http://www.bsi-russia.ru )
• ТЮФ Рейнланд Групп (TÜV Rheinland
Group) http://www.tuv.com
• Бюро Веритас Сертификейшн (Bureau Veritas
Certification) http://www.bureau-veritas.ru
• BDO http://www.bdo.com
• …
Этапы Сертификации

Пред-сертификационный аудит
(необязательный)
Пред-
Аудит документации (Стадия I) регистрационные
этапы
Аудит внедрения (Стадия II)

Последующая оценка После-


регистрационные
Ре-сертификация (III года) этапы
Еще про сертификацию

• Выпускается сертификат соответствия вашей СУИБ


требованиям ISO 27001:2013, указывается область
действия
• Сертификат действителен в течении 3-х лет, за
исключением случаев приостановки действия, отзыва
или аннулирования. Потом ре-сертификация
• Орган по сертификации обязан проводить
инспекционные аудиты минимум 1 раз в год
• Орган по сертификации может быть вынужден
провести промежуточные аудиты (специальные
визиты) в случае выявления одного или более
значительных несоответствий
Стоимость Сертификации

• Разовая плата за обслуживание


(application fee)
• Плата за сертификационный аудит
(из расчета стоимости 1 человеко-дня аудитора)
• Ежегодная плата за обслуживание
(annual management fee)
• Плата за последующие оценки
(из расчета стоимости 1 чел/дня аудитора)
Полезные ссылки (eng)

• FREE ISO27k Toolkit


http://www.iso27001security.com/html/iso27k_toolkit.html

• http://www.iso27001security.com
• http://www.iso27001standard.com
• http://www.iso-17799.safemode.org
• http://www.17799.denialinfo.com
• http://www.27000.org
• http://www.17799-news.the-hamster.com
• http://www.17799central.com
• http://www.computersecuritynow.com/
• http://www.itgovernance.co.uk/iso27001.aspx
• http://www.27001-online.com
Слабые стороны 27001

• Не самый удачный перевод: есть


неточности и ошибки, переводы могут не
коррелировать друг с другом
• Недостаточно детализирован, нет
примеров
• Слабое описание процессов (перечень,
роли, входы/выходы и пр.)
• Устаревает…
Статья «Стандарты, которые полезно знать
специалистам по ИБ» - http://bit.ly/1kCc8SO
Если информации не хватает, то где искать?
Принципы

 Системные решения
 Подходы риск-менеджмента

Интеграция в общую систему
управления операционным риском

Корпоративная культура
Интегрированная система менеджмента

• ISO 9001:2015 базовый стандарт на систему


управления (система управления процессами)
• Система управления проектами (2014 – на
основе модели Organizational Project
Management Maturity Model)
• Система менеджмента информационной
безопасности (ISO 27001:2013)
• Система управления операционным риском (ISO
9001) Система корпоративного управления (IFC
standards)
Подходы риск-менеджмента

Внутренние аудиты Риски и сбои от сотрудников

«Молотилка» рисков

Риски информационной Результаты обратной


безопасности связи
Обработка рисков
ISO 27001:2013


Международный стандарт на систему
менеджмента информационной
безопасности

Выпущен ISO в 2013 году

Обеспечение «необходимой и достаточной
информационной безопасности»

Подходы риск-менеджмента
Логика системы
Политика системы
Что защищать?


Информационные активы
 Конфидецниальность
 Целостность
 Доступность

Базы данных, серверы, компьютеры и т.д.
Управление информационными активами
Процедура управления информационными рисками
Риски информационной безопасности
Ключевые процедуры

 Реестр информационных активов


 Профиль рисков информационной
безопасности
Стратегии управления рисками
Положение о применимости контролей

положение о применимости (statement of applicability): Документ,


описывающий цели и меры (средства) контроля, соответствующие и
применимые к СМИБ организации.
Контроли (смягчение рисков)

 Information Security Policy


 IT support procedure

Software development, implementation and
modification requests management

Asset Inventory Management Procedure

Procedures for protection of confidential information
(information of limited access)

Use of informational assets and recourses
Контроли (смягчение рисков)

 Instruction for personnel employment


 Physical Security Procedure
 Procedures for back-up

Software development
 Procedures for antivirus management
 Removable media management procedure
 Information Security implementation in the ‘Internet
Bank for private clients’ service provision
Концепция применения международных
стандартов
Результат


Система процессов

Систематическое управление рисками
информационной безопасности (есть перечень
стандартных мер)

Устойчивый, бесперебойный, развивающийся
бизнес
Compliance Assessment Results
Stan Section Findings
A.5 Information Security
Policies
A.5.1 Management direction for information
A.5.1.1 Policies for information security
Do Security policies exist?
Are all policies approved by management?
Are policies properly communicated to

A.5.1.2 Review of the policies for information


Are security policies subject to review?
Are the reviews conducted at regular
Are reviews conducted when

A.6 Organisation of Information


Security
A.6.1 Internal organization
A.6.1.1 Information security roles and
Are responsibilities for the protection of
individual assets, and for carrying out
specific security processes, clearly identified and
defined and communicated

A.6.1.2 Segregation of duties


Are duties and areas of responsibility
separated, in order to reduce opportunities for
unauthorized modification or misuse of

A.6.1.3 Contact with authorities


Is there a procedure documenting when,
and by whom, contact with relevant
authorities (law enforcement etc.) will be
Is there a process which details how and
when contact is required?
Is there a process for routine contact and
intelligence sharing?

A.6.1.4 Contact with special interest groups


Do relevant individuals within the
organisation maintain active membership in
relevant special interest groups?

A.6.1.5 Information security in project


Do all projects go through some form of
information security assessment?

A.6.2 Mobile devices and teleworking


A.6.2.1 Mobile device policy
Does a mobile device policy exist?
Does the policy have management
Does the policy document and address
additional risks from using mobile devices
(e.g. Theft of asset, use of open wireless

A.6.2 Teleworking
Is there a policy for teleworking?
Does this have management approval?
Is there a set process for remote workers
to get access?
Are teleworkers given the advice and
equipment to protect their assets?
A.7 Human Resources Security
A.7.1 Prior to employment
A.7.1.1 Screening

Are background verification checks carried


out on all new candidates for employment?
Are these checks approved by appropriate
management authority?

Are the checks compliant with relevant


laws, regulations and ethics?
Are the level of checks required supported
by business risk assessments?

A.7.1.2 Terms and conditions of employment


Are all employees, contractors and third
party users asked to sign confidentiality and non-
disclosure agreements?

Do employment / service contracts

A.7.2 During employment


A.7.2.1 Management responsibilities

Are managers (of all levels) engaged in


driving security within the business?
Does management behaviour and policy
drive, and encourage, all employees, contractors
and 3rd party users to apply security in accordance
with established

A.7.2.2 Information security awareness,


education and training
Do all employees, contractors and 3rd
party users undergo regular security awareness
training appropriate to their role and function within
the organisation?

A.7.2.3 Disciplinary process

Is there a formal disciplinary process which


allows the organisation to take action against
employees who have committed an
Is this communicated to all employees?

A.7.3 Termination and change of employment


Is there a documented process for
terminating or changing employment
Are any information security duties which
survive employment communicated to the employee
or contractor?
Is the organisation able to enforce
compliance with any duties that survive

A.8 Asset Management


A.8.1 Responsibility for assets
A.8.1.1 Inventory of assets

Is there an inventory of all assets


associated with information and
Is the inventory accurate and kept up to

A.8.1.2 Ownership of assets

All information assets must have a clearly


defined owner who is aware of their
A.8.1.3 Acceptable use of assets
Is there an acceptable use policy for each
class / type of information asset?
Are users made aware of this policy prior

A.8.1.4 Return of assets


Is there a process in place to ensure all
employees and external users return the
organisation's assets on termination of their
employment, contract or agreement?

A.8.2 Information classification


A.8.2.1 Classification of information
Is there a policy governing information
Is there a process by which all information
can be appropriately classified?

A.8.2.2 Labelling of information


Is there a process or procedure for
ensuring information classification is
appropriately marked on each asset?

A.8.2.3 Handling of assets


Is there a procedure for handling each
information classification?
Are users of information assets made
aware of this procedure?

A.8.3 Media handling


A.8.3.1 Management of removable media
Is there a policy governing removable
Is there a process covering how removable
media is managed?
Are the policy and process(es)
communicated to all employees using

A.8.3.2 Disposal of media


Is there a formal procedure governing how
removable media is disposed?

A.8.3.3 Physical media transfer


Is there a documented policy and process
detailing how physical media should be
Is media in transport protected against
unauthorised access, misuse or corruption?

A.9 Access Control


A.9.1 Business requirements for access control

A.9.1.1 Access control policy


Is there a documented access control
Is the policy based on business
Is the policy communicated appropriately?

A.9.1.2 Access to networks and network services

Are controls in place to ensure users only


have access to the network resources they have
been specially authorised to use and

A.9.2 User access management


A.9.2.1 User registration and de-registration
Is there a formal user access registration
process in place?

A.9.2.2 User access provisioning


Is there a formal user access provisioning
process in place to assign access rights for all user
types and services?

A.9.2.3 Management of privileged access rights


Are privileged access accounts separately
managed and controlled?

A.9.2.4 Management of secret authentication


information of users
Is there a formal management process in
place to control allocation of secret
authentication information?

A.9.2.5 Review of user access rights


Is there a process for asset owners to
review access rights to their assets on a
Is this review process verified?

A.9.2.6 Removal or adjustment of access rights


Is there a process to ensure user access
rights are removed on termination of employment
or contract, or adjusted upon

A.9.3 User responsibilities


A.9.3.1 Use of secret authentication information

Is there a policy document covering the


organisations practices in how secret
authentication information must be
Is this communicated to all users?

A.9.4 System and application access control


A.9.4.1 Information access restriction
Is access to information and application
system functions restricted in line with
the access control policy?

A.9.4. Secure log-on procedures


2
Where the access control policy requires
it,
is access controlled by a secure log-on

A.9.4. Password management system


3
Are password systems interactive?
Are complex passwords required?

A.9.4. Use of privileged utility programs


4
Are privilege utility programs restricted
and
monitored?

A.9.4. Access control to program source code


5
Is access to the source code of the Access
Control System protected?

A.10 Cryptography
A.10.1 Cryptographic controls
A.10.1 Policy on the use of cryptographic
.
Is there a policy on the use of

A.10.1 Key management


.
Is there a policy governing the whole
lifecycle of cryptographic keys?

Security
Is there a designated security perimeter?
Are sensitive or critical information areas
segregated and appropriately controlled?

A.11.1 Physical entry controls


.
Do secure areas have suitable entry
control
systems to ensure only authorised

A.11.1 Securing offices, rooms and facilities


.
Have offices, rooms and facilities been
designed and configured with security in
Do processes for maintaining the security
(e.g. Locking up, clear desks etc.) exist?

A.11.1 Protecting against external and


. environmental threats
4
Have physical protection measures to
prevent natural disasters, malicious
attack or accidents been designed in?

A11.1. Working in secure areas


Do secure areas exist?
Where they do exist, do secure areas
have
suitable policies and processes?
Are the policies and processes enforced
and monitored?

A.11.1 Delivery and loading areas


.
Are there separate delivery / loading
Is access to these areas controls?
Is access from loading areas isolated from
information processing facilities?
A11.2 Equipment
A11.2. Equipment siting and protection
Are environmental hazards identified and
considered when equipment locations are
Are the risks from unauthorised access
/passers-by considered when siting

A11.2. Supporting utilities


Is there a UPS system or back up
Have these been tested within an
appropriate timescale?

A11.2. Cabling security


Have risk assessments been conducted
over the location of power and
Are they located to protect from
interference, interception or damage?

A11.2. Equipment maintenance


Is there a rigorous equipment maintenance

A11.2. Removal of assets


Is there a process controlling how assets
are removed from site?
Is this process enforced?
Are spot checks carried out?

A11.2. Security of equipment and assets off-


Is there a policy covering security of assets
Is this policy widely communicated?

A11.2. Secure disposal or reuse of equipment


Is there a policy covering how information
assets may be reused?
Where data is wiped, is this properly
verified before reuse/disposal?

A11.2. Unattended user equipment


Does the organisation have a policy around
how unattended equipment should be
Are technical controls in place to secure
equipment that has been inadvertently left

A11.2. Clear desk and clear screen policy


Is there a clear desk / clear screen policy?
Is this well enforced?

A.12 Operations Security


A.12.1 Operational procedures and
A.12.1. Documented operating procedures
Are operating procedures well
Are the procedures made available to all
users who need them?

A12.1. Change management


Is there a controlled change management
process in place?

A.12.1. Capacity management


Is there a capacity management process in

A.12.1. Separation of development, testing and


4 operational environments
Does the organisation enforce segregation
of development, test and operational

A.12.2 Protection from malware


A.12.2. Controls against malware
Are processes to detect malware in place?
Are processes to prevent malware
Does the organisation have a process and
capacity to recover from a malware

A.12.3 Backup
A.12.3. Information backup
Is there an agreed backup policy?
Does the organisation's backup policy
comply with relevant legal frameworks?
Are backups made in accordance with the
Are backups tested?

A.12.4 Logging and monitoring


A.12.4. Event Logging
Are appropriate event logs maintained and
regularly reviewed?

A.12.4. Protection of log information


Are logging facilities protected against
tampering and unauthorised access?

A.12.4. Administrator and operator logs


Are sysadmin / sysop logs maintained,
protected and regularly reviewed?

A.12.4. Clock synchronisation


Are all clocks within the organisation
A.12.5 Control of operational software
A.12.5. Installation of software on operational
Is there a release management process in
place to control the installation of software onto
operational systems?

A.12.6 Technical vulnerability management


A.12.6. Management of technical vulnerabilities
Does the organisation have access to
updated and timely information on
Is there a process to risk assess and react
to any new vulnerabilities as they are

A.12.6. Restrictions on software installations


Are there processes in place to restrict how
users install software?

A.12.7 IInformation systems audit


A.12.7. Information systems audit controls
Are IS Systems subject to audit?
Does the audit process ensure business
disruption is minimised?

A.13 Communications Security


A.13.1 Network security management
A.13.1. Network controls
Is there a network management process in

A.13.1. Security of network services


Does the organisation implement a risk
management approach which identifies all
network services and service agreements?
contracts with service providers (in house
and outsourced)?
Are security related SLAs mandated?

A.13.1. Segregation in networks


Does the network topology enforce
segregation of networks for different

A.13.2 Information transfer


A.13.2. Information transfer policies and
Do organisational policies govern how
information is transferred?
Are procedures for how data should be
transferred made available to all
Are relevant technical controls in place to
prevent non-authorised forms of data

A.13.2. Agreements on information transfer


Do contracts with external parties and
agreements within the organisation detail the
requirements for securing business

A.13.2. Electronic messaging


Do security policies cover the use of
information transfer while using electronic

A.13.2. Confidentiality or nondisclosure


Do employees, contractors and agents sign
confidentiality or non disclosure
Are these agreements subject to regular
Are records of the agreements maintained?

A.14 System Acquisition,


Development and Maintenance

A.14.1 Security requirements of information


A.14.1. Information security requirements
1 analysis and specification
Are information security requirements
specified when new systems are
When systems are being enhanced or
upgraded, are security requirements

A.14.1. Securing application services on public


Do applications which send information
over public networks appropriately protect the
information against fraudulent activity, contract
dispute, unauthorised discloser and unauthorised
modification?

A.14.1. Protecting application services


Are controls in place to prevent incomplete
transmission, misrouting, unauthorised
message alteration, unauthorised disclosure,
unauthorised message

A.14.2 Security in development and support


A.14.2. Secure development policy
Does the organisation develop software or
If so, are there policies mandating the
implementation and assessment of security
A.14.2. System change control procedures
Is there a formal change control process?

A.14.2. Technical review of applications after


3 operating platform changes
Is there a process to ensure a technical
review is carried out when operating

A.14.2. Restrictions on changes to software


Is there a policy in place which mandates
when and how software packages can be

A.14.2. Secure system engineering principles


Does the organisation have documented
principles on how systems must be

A.14.2. Secure development environment


Has a secure development environment
been established?
Do all projects utilise the secure
development environment appropriately during
the system development lifecycle?

A.12.2. Outsourced development


Where development has been outsourced,
is this supervised?
Is externally developed code subject to a
security review before deployment?

A.12.2. System security testing


Where systems or applications are
developed, are they security tested as part of the
development process?
A.12.2. System acceptance testing
Is there an established process to accept
new systems / applications, or upgrades,

A.14.3 Test data


A.14.3. Protection of test data
Is there a process for selecting test data?
Is test data suitably protected?

A.15 Supplier Relationships


A.15.1 Information security in supplier
A.15.1. Information security policy for supplier
1 relationships
Is information security included in
contracts established with suppliers and
Is there an organisation-wide risk
management approach to supplier

A.15.1. Addressing security within supplier


Are suppliers provided with documented
security requirements?
Is supplier access to information assets &
infrastructure controlled and monitored?

A.15.1. Information and communication


3 technology supply chain
Do supplier agreements include
requirements to address information
security within the service & product

A.15.2 Supplier service delivery management


A.15.2. Monitoring and review of supplier
Are suppliers subject to regular review and

A.15.2. Managing changes to supplier services


Are changes to the provision of services
subject to a management process which
includes security & risk assessment?

A.16 Information Security Incident


Management
A.16.1 Management of information security
incidents and improvements
A.16.1. Responsibilities and procedures
Are management responsibilities clearly
identified and documented in the incident
management processes?

A.16.1. Reporting information security events


Is there a process for timely reporting of
information security events?
Is there a process for reviewing and acting
on reported information security events?

A.16.1. Reporting information security


Is there a process for reporting of identified
information security weaknesses?
Is this process widely communicated?
Is there a process for reviewing and
addressing reports in a timely manner?

A.16.1. Assessment of and decision on


4 information security events
Is there a process to ensure information
security events are properly assessed and

A.16.1. Response to information security


Is there an incident response process which
reflects the classification and severity of
information security incidents?

A.16.1. Learning from information security


Is there a process or framework which
allows the organisation to learn from information
security incidents and reduce the impact /
probability of future events?

A.16.1. Collection of evidence


Is there a forensic readiness policy?
In the event of an information security
incident is relevant data collected in a
manner which allows it to be used as

A.17 Business Continuity


Management
A.17.1 Information security continuity
A.17.1. Planning information security continuity
Is information security included in the
organisation's continuity plans?

A.17.1. Implementing information security


Does the organisation's information
security function have documented, implemented
and maintained processes to
maintain continuity of service during an
A.17.1. Verify, review and evaluate information
3 security continuity
Are continuity plans validated and verified
at regular intervals?

A.17.2 Redundancies
A.17.2. Availability of information processing
Do information processing facilities have
sufficient redundancy to meet the organisations
availability requirements?

A.18 Compliance
A.18.1 Compliance with legal and contractual
requirements
A.18.1. Identification of applicable legislation and
1 contractual requirements
Has the organisation identified and
documented all relevant legislative, regulatory
or contractual requirements
Is compliance documented?

A.18.1. Intellectual property rights


Does the organisation keep a record of all
intellectual property rights and use of
proprietary software products?
Does the organisation monitor for the use
of unlicensed software?

A.18.1. Protection of records


Are records protected from loss,
destruction, falsification and unauthorised access
or release in accordance with legislative,
regulatory, contractual and

A.18.1. Privacy and protection of personally


4 identifiable information
Is personal data identified and
appropriately classified?
Is personal data protected in accordance
with relevant legislation?

A.18.1. Regulation of cryptographic controls


Are cryptographic controls protected in
accordance with all relevant agreements,
legislation and regulations?

A.18.2 Information security reviews


A.18.2. Independent review of information
Is the organisations approach to managing
information security subject to regular
independent review?
Is the implementation of security controls
subject to regular independent review?

A.18.2. Compliance with security policies and


Does the organisation instruct managers to
regularly review compliance with policy and
procedures within their area of
Are records of these reviews maintained?

A.18.2. Technical compliance review


Does the organisation regularly conduct
technical compliance reviews of its
Известный дистрибутив для пентестинга BackTrack меняет
название на Kali Linux и переезжает с Ubuntu на Debian.
Kali Linux является передовым Linux дистрибутивом для
проведения тестирования на проникновение и аудита
безопасности.
Kali является полной повторной сборкой BackTrack
Linux, полностью придерживаясь стандартов
разработки Debian. Вся инфраструктура была
пересмотрена, все инструменты были
проанализированы и упакованы, также используется
Git.

Более 300 инструментов для проведения тестирования на


проникновение: После рассмотрения каждого
инструмента, который был включен в BackTrack, было
устранено большое количество инструментов, которые
либо не работают или дублируют другие инструменты, с
похожей функциональностью.

Kali Linux, как и его предшественник, является


полностью бесплатным и всегда будет таким. Вам
никогда, не придется платить за Kali Linux.
BlackArch
Управление рисками
В Мире:
– Управление рисками – важная идея в ИБ
– Много методических материалов и рекомендаций
– Организации могут сами выбирать допустимый уровень риска и
подход (принятие, снижение, передача и избегание риска)
– Управление рисками -‐ процесс
В СНГ:
– Рисковый подход набирает популярность
(но подход через «актуальные угрозы»)
– Практически нет методических материалов,
(типовые МУ «в разработке» или неудачны)
– ИБ-‐специалисты пренебрежительно относятся к
управлению рисками
– Анализ рисков – формальное требование, а
не механизм выбора мер защиты
– Как часто надо пересматривать модель угроз?
Известные схемы
Что посмотреть?

• ISO 27001 -‐> ISO 27005


• NIST SP 800-‐37 / NIST SP 800-‐39 / NIST SP
800-‐30
• NIST SP 800-‐53 (Security control: «Risk
Assessment»)
• ISO 31000 / ISO 31010
• COBIT 5 for Risk
• OCTAVE Method
Процессный подход
В Мире:
– Входы и Выходы процессов
– Связь процессов
– Ответственность (RACI-‐chart)
– Четкая последовательность шагов
– Документы и записи
– Что запускает процесс?

В СНГ:
– Необходимо «выискивать» процессы по тексту документов
– Упомянутых процессов становится все больше (например,
упр.инцидентами и событиями, упр.конфигурацией и другие)
– Практически отсутствуют рекомендации и примеры
– Процессный подход сложен для понимания (особенно после
привычки использования «объектно-‐ориентированного» подхода)
Процессный подход

• «Любой вид деятельности,


использующий ресурсы и управляемый
для того, чтобы обеспечить
возможность преобразования входов в
выход, можно счи тать процессом».
• Применение системы процессов в
рамках организации вместе с
идентификацией и взаимодействием
этих процессов, а также управлением
может быть определено как
«процессный подход»»
Если админ спит на
работе, это
хороший админ или
плохой?
Общие рекомендации при проведении
измерений

1. Определите цель измерения


Для чего будет использоваться информация и кем?
2. Четко сформулируйте объект оценки
3. Найдите баланс между ценностью информации и
стоимостью ее получения
4. Найдите баланс между точностью информации и
стоимостью ее получения

5. 2 основных параметра, которые полезно уметь оценивать:


ущерб и вероятность
«Повышение безопасности означает снижение частоты
определенных нежелательных событий
и уменьшение ущерба от них»
Ущерб от утечки информации

1. 2. 3.
Затраты на Репутационные
реагирование и Совершенствование
потерии
расследование системы защиты
упущеннаявыгода

4. 5. 6.
Ущерб от
Юр.преследование Компенсации
мошеннических
со стороны 3х лиц пострадавшим
действий

7. 8. Трудозатраты
Штрафидругие
персоналапри
санкции
проверках
регуляторов
регуляторов
До тех пор пока Вы не начнете
регулярно измерять ИБ, рано
переходить к оценке эффективности
ИБ
Инвесторов, заказчиков, высшее
руководство, внешних
регуляторов интересует:
• в какой степени система управления
ИТ/ ИБ решает поставленные задачи
(результативность / effectiveness)
• предусмотрены ли и как действуют
управленческие механизмы,
обеспечивающие должный уровень
контроля и изменения системы в
ответ на новые требования
(соответствие /
compliance)

ИТ/ИБ-‐менеджеров интересует
текущее состояние процессов с точки
зрения:
• содержания и результатов
деятельности, а также объёма
работ (продуктивность /
productivity)
• рациональности использования
ресурсов (рациональность /
efficiency)
Что посмотреть?

• ISO 27001 -‐> ISO 27004


• COBIT5 for IS, COBIT5 Enabling
Processes (см.метрики по
конкретным процессам)
• Книги ITIL / ISO 20000 (см.метрики по
конкретным процессам)
• NIST SP 800-‐53 A
Аудит ИБ

В Мире:
– Один из важнейших процессов
– Много рекомендаций, есть системы сертификации
специалистов (например, CISA, CIA)
– В принципе, проводить не сложно…

В СНГ:
– Редкий термин, обычно используется «внутренний
контроль», что не всегда корректно. Могут ошибочно
называть аудитом что-‐то другое…
– Сроки не определены
– Результат внутреннего аудита
может и не использоваться
68
Часто аудитом ИБ
называют нечто не
являющееся аудитом. Я
называю это
«заблуждением ИТ--
‐специалиста»
Аудит («он слышит», «слушающий»)

Потребность в услугах аудитора возникла в связи:


1) возможностью необъективной информации со
стороны ее составителей;
2) зависимостью последствий принимаемых решений
от качества информации;
3) необходимостью специальных знаний для проверки
информации;
4) отсутствия у пользователей доступа к информации
для оценки ее качества
Термины по ГОСТ 19011-‐2012

• Аудит – систематический, независимый и


документированный процесс получения
свидетельств аудита и объективного их
оценивания с целью установления степени
выполнения согласованных критериев
аудита.

• Критерии аудита – совокупность политик,


процедур или требований, используемых в
качестве эталона, в соотношении с которыми
сопоставляют свидетельства аудита,
полученные при проведении аудита.
• Свидетельства аудита – записи, изложение
фактов или другая информация, которые
связаны с критериями аудита и могут быть
проверены.
Еще термины

• Выводы (наблюдения) аудита – результаты


оценки собранных свидетельств аудита на
соответствие критериям аудита.
• Заключение по результатам аудита –
выходные данные аудита после
рассмотрения целей аудита и всех выводов
аудита.
• Область аудита (scope) – содержание и
границы аудита.
ОСНОВНЫЕ ТИПЫ АУДИТОВ

Внутренний
Этот тип аудита как правило включает проверки, проводимые
своими специалистами, консультантами или подрядчиками

Внешний
А) Аудит поставщика (второй стороной).
1. Сотрудники потребителя проверяют Вашу компанию;
2. Ваши сотрудники проверяют поставщиков продукции или услуг для
Вашей фирмы

Б) Аудит независимой организацией (третьей стороной).


Независимое подтверждение соответствия Органом по сертификации
(например требованиям ISO/TS 16949:2009) получило название
«сертификация»

307
Стороны аудита

• Внутренний аудит:
– Аудит первой стороны проводится самой
организацией или от ее имени. -‐> Декларация
соответствия
• Внешний аудит:
– Аудит второй стороны проводят стороны,
заинтересованные в деятельности
организации (например, потребители)
– Аудит третьей стороны проводят внешние
независимые органы (регулирующие или
надзорные органы, сертифицирующие
организации)
Принципы аудита

1. Целостность – основа профессионализма


2. Беспристрастность – обязательство
предоставлять правдивые и точные отчеты
3. Профессиональная осмотрительность –
прилежание и умение принимать правильные
решения при проведении аудита
4. Конфиденциальность – сохранность информации
5. Независимость – основа беспристрастности и
объективности заключений по результатам аудита
6. Подход, основанный на свидетельствах –
разумная основа для достижения надежных и
воспроизводимых заключений аудита в процессе
систематического аудита
Методы аудита

• Проведение интервью
• Заполнение опросных
листов
• Анализ документации
• Наблюдения за
выполняемой работой

• «Технический» аудит
Упрощенная схема

Источники информации

Сбор выборочных данных

Свидетельства аудита

Оценка по критериям

аудита Выводы аудита

Анализ

Заключения по результатам
аудита
Отчет по аудиту (1)

Отчет по аудиту должен содержать полные, точные, четко


сформулированные и понятные записи по аудиту, в
соответствии с процедурами аудита, должен включать в
себя или содержать ссылку на следующее:
• Цели аудита
• Область аудита
• Идентификация заказчика аудита
• Идентификация членов группы поаудиту и
представителей проверяемой организации, принимавших
участие
• Даты и места проведения аудита на месте
• Критерии аудита
• Выводы аудита
• Заключение по результатам аудита
• Заявление о степени соответствия критериям аудита
Отчет по аудиту (2)
При необходимости в отчет могут быть включены:
• План аудита, включая график
• Итоговое изложение процесса аудита, включая
неопределенности и/ или любые встретившиеся препятствия
при его проведении, которые могут уменьшить достоверность
заключений по результатам аудита
• Подтверждение достижения целей аудита
• Итоговая сводка, содержащая заключения по результатам
аудита и подтверждающая выводы (наблюдения) аудита
• Неразрешенные противоречия между группой по
аудиту и проверяемой организацией
• Возможности для улучшения, если это предусмотрено целями
аудита
• Выявленные сильные стороны и лучшие практики
• Согласованный план действий по результатам аудита, если
такой план имеется
• Заявление о конфиденциальном характере содержимого отчета
• Любые последствия для программы аудита или последующих
аудитов
• Перечень рассылки отчета по аудиту
Аудиты

• ISO 27001 (ISMS)


• PCI DSS
• ISO 20000 (ITSM), ISO 9000
(QMS)
Что посмотреть?

• ISO 19011-‐2018
• ISO/IEC 27006:2011 и ISO/IEC 27007:2011
• ITAF Information Technology Assurance
Framework (ISACA)
• NIST SP 800-‐53 A
ISO 19011-2018
Руководящие указания
по аудиту систем менеджмента
Функции международного стандарта ISO
19011:2018:
• Указания для проведения аудитов организаций различных областей всех размеров и типов
для аудиторских групп, а также отдельных аудиторов, включая принципы аудита.
• Управление программой аудита.
• Проведение аудитов системы менеджмента, а также комбинированных аудитов.
• Руководство по оценке компетентности лиц, участвующих в процессе аудита.

Основные отличия стандарта ISO 19011:2018 от стандарта ISO 19011:2011


заключаются в следующем:

• Обновлена терминология стандарта, которая теперь ориентирована больше на


отражение процесса, а не на объекте аудита.
• Принципы аудита и руководства по управлению программой аудита содержат подход,
основанный на оценке риска.
• Расширены общие требования к компетенции аудиторов, руководство по проведению
аудита, в частности раздел по планированию аудита, а также Приложение А в части
рекомендаций по аудиту новых концепций СМ (например, контекста, лидерства и
приверженности высшего руководства и пр.).
• Исключено приложение, содержащее требования к компетентности аудиторов
конкретных систем менеджмента.
Область применения

Настоящий международный стандарт применим ко всем


организациям, которые нуждаются в проведении внутреннего и внешнего
аудита систем менеджмента качества или в управлении программой
аудита
Возможно применение настоящего Международного
стандарта к любым типам аудитов, при условии, что будет уделено
соответствующее внимание компетентности лиц, участвующих в аудите
Новый стандарт рассматривает особенности
проведения аудитов в системах:
 качества;
 экологии;
 охраны труда;
 информационной безопасности и др.
ISO 19011

Cтандарт не устанавливает требования, а


предоставляет руководящие указания по
менеджменту программы аудита, по планированию
и проведению аудита системы менеджмента, а
также по компетентности и оцениванию аудитора и
команды по аудиту.
Пользователи настоящего стандарта могут, тем
не менее, применять эти руководящие указания
при разработке своих собственных требований,
связанных с аудитом.
ISO 19011

Стандарт не предоставляет конкретных


руководящих указаний по процессу
менеджмента риска организации, но
признает, что организации могут
фокусировать усилия при аудите на
вопросах, имеющих значения для системы
менеджмента.
Ключевые изменения ISO 19011-2018

 расширена область применения (все


системы менеджмента);

 более четкое описание разницы между


стандартами ISO 19011:2018 и ISO/IEC
17021:2011 «Оценка соответствия.
Требования к органам, проводящим аудит и
сертификацию систем менеджмента»;

 принята концепция риска для процесса


аудита;
Ключевые изменения ISO 19011

 приведены новые термины «Команда по


аудиту», «Наблюдатель»;

 приведены новые принципы аудита;

 установлены руководящие указания к


компетентности команды аудиторов и
отдельных аудиторов;
Ключевые изменения ISO 19011-2018

 приведены иллюстрирующие примеры


знаний и навыков аудиторов по конкретной
дисциплине;

 приведены руководящие указания по


применению методов аудита;

 приведены руководящие указания по


проведению выборочного исследования.
Содержание стандарта

1. Область применения Служебные разделы –


2. Нормативные ссылки не содержат в себе
3. Термины и определения требований

Требования к
4. Принципы аудита проведению внутренних
5. Менеджмент программы аудита аудитов.
6. Проведение аудита Должны быть отражены в
7. Компетентность и оценивание аудиторов ВНД «Проведение
аудита»

Библиография
ОБЛАСТЬ ПРИМЕНЕНИЯ ISO 19011

Что?

Принципы аудита
Управление программой аудита
Проведение аудитов Для кого?
Компетентность аудиторов

Организации, которым необходимо


проводить внутренние или внешние
аудиты
Другие виды аудитов
Понятие аудита

Аудит

Критерии Свидетельства
аудита аудита

328
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Аудит (audit) - систематический,


независимый и документированный процесс
получения свидетельства аудита и
объективного его оценивания для
определения степени выполнения критериев
аудита.
Задача выявить слабые стороны и устранить их!
Аудит не следует путать с деятельностью по «надзору и контролю»!
Цель внутреннего аудита
не выявить нарушения и ошибки для последующих выводов и наказания виновных,
а увидеть и оценить слабые стороны в работе и дать рекомендации, направленные на
повышение эффективности системы качества.
Аудит

Внутренний аудит
(первой стороной)
Внешний аудит
– проводятся самой
организацией или от
Аудит второй стороной
ее имени Аудит третьей
– проводятся сторонами,
для внутренних стороной –
заинтересованными в
целей проводятся
деятельности
внешними
организации
(потребителями или независимыми
Комбинированный другими лицами от их организациями
имени)
аудит
– одновременный
аудит нескольких
систем Совместный аудит
(СМК по МС ИСО 9001 – проводится
и СЭМ по МС ИСО несколькими
14001)
организациями
Варианты проведения аудита
Команда по аудиту - один или более
аудиторов, проводящих аудит при
поддержке, если это необходимо,
технических экспертов.

Технический эксперт - лицо, предоставляющее конкретные знания


или опыт команде по аудиту.
Технический эксперт не действует в качестве аудитора в команде
по аудиту.
Наблюдатель (observer) - лицо, сопровождающее
команду по аудиту, но не участвующее в аудите.
Наблюдатель не является частью команды по аудиту
и не влияет или не вмешивается в проведение аудита.

Наблюдателем может быть представитель


аудитируемого, регулирующего органа или другой
заинтересованной стороны, который присутствует при
аудите.
Принципы проведения аудита

Этичность
поведения

Подход,
основанный на Беспристрастнос
свидетель- ть
стве Принципы
проведения
аудита

Профес-
сиональная
Независи-мость
осмотри-
тельность
Управление программой аудита и
мероприятиями по аудиту

5.1 Управление программой аудита


Общие требования - структура этого раздела
переработана, но содержание касается тех же самых вопросов
проведения аудитов, относящихся к зонам риска:
Приоритет должен быть отдан распределению ресурсов
программы аудита для аудита тех зон в системе менеджмента,
которые являются наиболее значимыми. Они могут включать в себя
ключевые характеристики качества, безопасности, опасностей и рисков
для здоровья продукции и услуг, а так же значимые экологические
аспекты и контроль над ними
Менеджмент программы аудита
5.2 Установление целей программы аудита

5.3 Разработка программы аудита


5.3.1 Обязанности и ответственность лица, осуществляющего управление программой аудита
5.3.2 Компетентность лица, осуществляющего управление программой аудита
5.3.3 Установление объема программы аудита
5.3.4 Выявление и оценка рисков для программы аудита
5.3.5 Разработка процедур для программы аудита
5.3.6 Определение ресурсов, необходимых для реализации программы аудита

5.4 Реализация программы аудита


Компетентность
5.4.1 Общие положения аудиторов и их
5.4.2 Определение целей, области и критериев для конкретного аудита оценивание
5.4.3 Выбор методов проведения аудита (раздел 7)
5.4.4 Отбор членов команды по аудиту
5.4.5 Возложение ответственности за конкретный аудит на руководителя команды
по аудиту Проведение
5.4.6 Менеджмент итогов реализации программы аудита аудита
5.4.7 Ведение и сохранение записей по программе аудита (раздел 6)

5.5 Мониторинг программы аудита


Блок-схема
процесса управления
5.6 Анализ и улучшение программы аудита
программой аудита
Управление программой аудита

Распределение полномочий

планирование
по программе аудита (5.1)

Разработка программы
аудита (5.2, 5.3)
Цели и объем
Ответственные
Ресурсы
Процедуры
действие

Компетентность и
Внедрение программы аудита (5.4, 5.5) оценка

выполнение
План-график аудитов аудиторов (7)
Оценивание аудиторов
Формирование аудиторской группы
Руководство работами по аудиту Деятельность в
Ведение записей области
Улучшение аудита (6)
программы аудита
Мониторинг и анализ программы аудита (5.6)
Мониторинг и анализ

проверк
Определение потребностей в
корректирующих и предупреждающих
действиях

а
Идентификация возможностей
338 для улучшения
Цели программы аудита

Для определения целей необходимо рассмотреть


Цели
аудита

Приоритеты Коммерческие
руководства намерения
Требования Законодательные
системы требования,
менеджмента требования
регламентов
и контрактов
Необходимость Потребности
оценки
поставщика заинтересованных
сторон
Требования Риски
потребителей организации
ПРИМЕРЫ ЦЕЛЕЙ

а) обеспечение выполнения требований к


сертификации системы менеджмента на
соответствие стандарту;
б) проверка соответствия требованиям
контракта;
в) получение и поддержание уверенности в
возможностях поставщика;
г) содействие улучшению системы
менеджмента
ОТВЕТСТВЕННОСТЬ ЗА ПРОГРАММУ АУДИТА

Определять цели и объем


программы аудита

Вести записи по
Внедрять программу
программе аудита
аудита

Осуществлять мониторинг, Определять ответственность и


анализ и улучшение процедуры, обеспечивать
программы аудита ресурсами
Цели аудита

AS IS
-Существующая
ситуация Портфель проектов
- Проблемы
- Несоответствия
• Бюджет
• Минимизация затрат
• Единый консультант
– единое видение
TO BE
-Необходимая ситуация
- Таблица соответствий
контролям
ОБЪЕМ АУДИТА

а) область, цели и продолжительность каждого


осуществляемого аудита;
б) частота проводимых аудитов;
в) количество, важность, комплексность, степень сходства,
местоположение подразделений, подлежащих аудиту;
г) стандарты, законодательные, нормативные и контрактные
требования и другие критерии аудита;
д) потребности в аккредитации или
регистрации/сертификации;
е) заключения по результатам предыдущих аудитов или
анализ результатов предыдущих программ аудитов;
ж) любые проблемы, связанные с языком, культурой или
социальными вопросами;
и) мнения заинтересованных сторон;
к) существенные изменения в организации или ее
деятельности
РЕСУРСЫ ДЛЯ АУДИТА

При определении ресурсов для программы аудита


необходимо учитывать:
а) финансовые ресурсы для развития, внедрения,
управления и улучшения деятельности по аудиту;
б) методы проведения аудитов;
в) процессы по достижению и поддержанию
компетентности и улучшению деятельности
аудиторов;
г) наличие аудиторов и технических экспертов,
обладающих компетентностью, требуемой для
достижения конкретных целей программы аудита;
д) объем программы аудита;
е) время в пути аудиторов, обустройство и другие
потребности для проведения аудита.
ПРОВЕДЕНИЕ АУДИТА

Организация проведения аудита

Выполнение анализа документов

Подготовка к аудиту на месте

Проведение аудита на месте

Подготовка, утверждение и рассылка отчета (акта) по аудиту

Завершение аудита

Выполнение действий по результатам аудита


ПРОВЕДЕНИЕ АУДИТА

Источник информации
Сбор и
верификация
данных Сбор выборочных данных
и верификация
Работа с
выводами по Свидетельства аудита
аудиту Оценка по критериям аудита
Подготовка
заключения Выводы аудита
по результатам Анализ
аудита
Заключение по результатам аудита
АЛГОРИТМ АУДИТА

ТРЕБОВАНИЕ СТАНДАРТА

НЕТ
ДОКУМЕНТИРОВАНО?

ДА

НЕТ
СООТВЕТСТВУЕТ?

ДА

НЕТ
ВЫПОЛНЯЕТСЯ?

ДА
СООТВЕТСТВИЕ НЕСООТВЕТСТВИЕ
ПРОВЕДЕНИЕ АУДИТА. ДЕЙСТВИЯ ПО
РЕЗУЛЬТАТАМ АУДИТА

Корректирующие,
Заключение по Предупреждающие
Информирование
результатам действия
заказчика
аудита и
аудита
Улучшения
Оценка рисков программы аудитов

Риски могут быть связаны с:


 планированием;
 ресурсами,;
 выбором команды по аудиту;
 внедрением;
 записями и средствами управления ими;
 мониторингом, анализом и улучшением
программы аудита.
Состав исходных данных

• Информация об организационной структуре компании


• Организационно-распорядительная и нормативно-
методическая документация по вопросам
информационной безопасности
• Информация об ИТ-активах, влияющих на бизнес-
процессы компании
• Информация об аппаратном, общесистемном и
прикладном обеспечении хостов
• Информация о средствах защиты, установленных в
компании
• Информация о топологии автоматизированной системы
компании
Проведение аудита

Проведение аудита на месте


• Проведение предварительного совещания или вступительного
тренинга
• Выполнение анализа документов во время проведения аудита
• Обмен информацией во время проведения аудита
• Роль и обязанности сопровождающих лиц и наблюдателей
• Сбор и верификация информации
• Формирование выводов аудита
• Подготовка заключений по результатам аудита
• Проведение заключительного совещания - презентация
результатов аудита
Проведение аудита

Инициирование
аудита (6.2)

Подготовка деятельности
по аудиту (6.3)

Проведение деятельности
по аудиту (6.4)

Подготовка и
распространение отчета по
аудиту (6.5)

Завершение аудита (6.6)

Проведение последующих
действий после аудита (6.7)
Проведение аудита. Проведение
вступительного совещания

Подтверждение Представление членов


согласия всех команды по аудиту
Целями
сторон с вступительного
планом аудита совещания являются

Обеспечение уверенности в том, что все


запланированные действия могут быть осуществлены
Вступительное совещание следует
проводить с руководством аудитируемой
организации и, где это возможно, с теми, кто
отвечает за функционально выделенные
направления деятельности или процессы,
подвергаемые аудиту
В других случаях совещание может
быть официальным с составлением списка его
участников. Совещание следует проводить под
председательством руководителя команды по
аудиту
Проведение аудита

Организация
проведения аудита
• Установление
первоначального
контакта с Компанией
• Определение
возможности
проведения аудита
Проведение аудита

Подготовка к проведению аудита на месте


• Выполнение анализа документов при подготовке к
аудиту
• Подготовка плана аудита
• Распределение работ между членами группы по
аудиту
• Подготовка рабочих документов
Проведение аудита

Проведение аудита на месте


• Проведение предварительного совещания
• Выполнение анализа документов во время проведения
аудита
• Обмен информацией во время проведения аудита
• Роль и обязанности сопровождающих лиц и
наблюдателей
• Сбор и верификация информации
• Формирование выводов аудита
• Подготовка заключений по результатам аудита
• Проведение заключительного совещания
Проведение аудита

Подготовка и рассылка отчета по


аудиту
• Подготовка отчета по аудиту
• Рассылка отчета по аудиту
Проведение аудита

• Завершение аудита
• Действия по результатам
аудита
Проведение деятельности по аудиту
Проведение предварительного совещания

Выполнение анализа документов при проведении


аудита

Обмен информацией во время аудита

Распределение ролей и ответственности


сопровождающих и наблюдателей

Сбор и верификация информации

Формирование наблюдений аудита

Подготовка заключений аудита

Проведение заключительного совещания


Обзор процесса сбора и верификации
информации
Схема процесса сбора и
верификации информации

Источники информации

Сбор информации на основе подходящей выборки

Свидетельства аудита

Оценивание свидетельств аудита по отношению к критериям аудита

Результаты аудита

Анализ

Заключения по аудиту
ОБРАЗОВАНИЕ НАБЛЮДЕНИЙ АУДИТА

соответствие
КРИТЕРИИ критериям
АУДИТА аудита

несоответствие
НАБЛЮДЕНИЯ
критериям
АУДИТА
аудита
СВИДЕТЕЛЬСТВА
АУДИТА возможности
улучшения
ЗАКЛЮЧЕНИЕ
ПО РЕЗУЛЬТАТАМ
АУДИТА
Раздел 7. Компетентность и оценка
аудиторов

Компетенция - способность применять знания и


навыки для достижения намеченных результатов
Примечание: способность предполагает
соответствующее личное поведение во время процесса аудита
7.1 Общие положения

Оценка компетентности аудиторов должна быть


запланирована, проведена и задокументирована…
Процесс оценивания должен включать следующие этапы:
1. Установление требований к компетентности персонала,
участвующего в аудите (7.2)
2. Разработка критериев оценивания (7.3)
3. Выбор подходящего метода оценивания (7.4)
4. Проведение оценивания (7.5)
Раздел 7.3 Установление критериев
оценивания аудиторов

Критерии должны быть качественными (такими


как например, демонстрация личного
поведения, знаний и применения навыков во
время обучения или на рабочем месте) и
количественными (такими как количество лет
опыта и обучения, количество проведенных
аудитов, часов обучения по аудиту)
Компетентность и оценивание аудиторов

Доверие к процессу аудита и к способности достичь его


целей зависит от компетентности тех лиц, которые вовлечены
в планирование и проведение аудитов, включая аудиторов и
руководителей команд по аудиту.
Компетентность следует оценивать посредством
процесса, который рассматривает личное поведение и
способность применять знания и навыки, приобретенные
посредством:
– обучения;
– рабочего опыта;
– подготовки аудитора;
– опыта по аудиту.
ОЦЕНКА АУДИТОРА

Этапы оценки аудиторов:


- Начальная оценка

- Дальнейшая оценка

- Текущая оценка

Начальную и последующую оценки аудиторов и


руководителей групп по аудиту необходимо
планировать, осуществлять и регистрировать
Оценка компетентности аудиторов

a) определение компетентности персонала для


аудита, отвечающего потребностям программы
аудита;
b) установление критериев оценивания;
c) выбор соответствующего метода
оценивания;
d) проведение оценивания.
Установление критериев оценивания
аудитора

Следует, чтобы критерии были


• качественными (например, демонстрировали
личное поведение, знания или применение
навыков, при подготовке или на рабочем месте)
и
• количественными (например, стаж работы и
продолжительность учебы, количество
проведенных аудитов, количество часов
обучения по аудиту)
Аудитор должен быть:
 порядочным — правдивым, искренним, честным, сдержанным и
благоразумным;
 открытым — воспринимать альтернативные идеи или точки
зрения;
 дипломатичным — умеющим тактично взаимодействовать с
людьми;
 наблюдательным — активно знакомиться с окружением и
деятельностью;
 проницательным — интуитивно оценивать ситуации;
 разносторонним — быть готовым к различным ситуациям;
 упорным — настойчивым, ориентированным на достижение
целей;
 решительным — своевременно принимать решения на основе
логических соображений и анализа;
 самостоятельным — действовать и выполнять свои функции
независимо, в то же время результативно сотрудничать с
другими.
375
ОЦЕНКА АУДИТОРОВ (ISO 19011)

Повышение
компетентности
Не соответствует
критериям

Начальная
оценка (7.6.) Постоянная
оценка (7.6.)
Соответствует критериям

Не соответствует
Аудитор
критериям
Не выбрана

Формирование Поддержание и повышение


группы по аудиту (6.2.4) компетентности (7.5)

Аудит (6)
Метод оценки Цель Примеры
Анализ записей Проверка квалификации аудитора Анализ записей
(документов) (документов) об образовании,
обучении, производственном
опыте и опыте по аудиту
Положительная и Обратная связь обеспечивает Инспектирование
отрицательная данными о том, как воспринимается деятельности, вопросники,
обратная связь деятельность аудитора резюме, рекомендации, жалобы,
анализ деятельности, отзывы
коллег

Собеседование Оценка личных качеств и навыков по Личная беседа


умению взаимодействовать, уточнение
информации и знаний по тестам и
получение дополнительной информации
Наблюдение Оценка личных качеств и способности Ролевые игры, наблюдения в
применения знаний и навыков процессе аудита, деятельность на
рабочем месте
Тестирование Оценка личных качеств и их Устные и письменные экзамены,
применение психометрические тесты
Анализ деятельности Получение информации там, где прямое Анализ отчета по аудиту,
после аудита наблюдение невозможно или сравнение с результатами
неприемлемо внешнего аудита, обсуждение с
коллегами и с аудитором
Пример методики оценивания аудитора

Этапы оценивания:
1 Оценка степени квалификации
аудитора.

2 Оценка аудитора по результатам


каждого проведенного аудита.

3 Общая годовая оценка аудитора.


ПРЕДВАРИТЕЛЬНАЯ СТАДИЯ

1. Годовое планирование аудита.

2. Предварительный анализ документации.

3. Формирование плана конкретной проверки.

4. Подготовка рабочих документов аудитора.


ГОДОВОЕ ПЛАНИРОВАНИЕ АУДИТОВ
ПЛАН-ГРАФИК проведения внутренних аудитов
на 200______год.

-380-
Внеплановые аудиты
Внеплановый аудит
Решение о проведении внеплановых внутренних проверок
принимается ОПРК в случаях:
 введения новых документов и (или) процессов/процедур;
 существенных изменений СМК;
 поступления информации от потребителей или внешних
контролирующих организаций о несоответствии качества
продукции установленным требованиям;
 выявления значительных несоответствий в процессе аудита,
требующих повторной проверки в строго установленные сроки.
Аудит процесса «Методика черепахи»

МАТЕРИАЛЬНО- ПОДГОТОВКА
ТЕХНИЧЕСКОЕ ЗНАНИЕ
ОБЕСПЕЧЕНИЕ УМЕНИЕ (КЕМ?)

ТРЕБОВАНИЯ
ОБОРУДОВАНИЕ (ЧЕМ?)

ТРЕБОВАНИЯ

ВХОДНЫЕ ПРОЦЕСС ВЫХОДНЫЕ


Что должен Что должен получить
получить процесс? потребитель?

ОЦЕНКА
ФУНКЦИОНИРОВАНИЯ ПРАВИЛА
КЛЮЧЕВЫЕ ПУНКТЫ ИНСТРУКЦИИ
ПРОЦЕССА. УПРАВЛЕНИЕ ПРОЦЕДУРЫ
ОТКЛОНЕНИЯМИ И (КАК?)
ИЗМЕНЕНИЯМИ
(ПОКАЗАТЕЛИ)
Аудит процесса «Методика черепахи».
Показатели процесса (источники)

ПОКАЗАТЕЛИ ВХОДНЫЕ
ПОКАЗАТЕЛИ ВЫХОДНЫЕ
Измеряют соответствие
Измеряют соответствие
требованиям по отноше-
требованиям по отноше-
нию к входным данным
нию к выходным данным
процесса. Определяют
процесса. Иногда констати-
скорее всего источники
ровать уже поздно
отклонений

ПОКАЗАТЕЛИ ПРОЦЕССА
Дают информацию о функционировании процесса и его
деятельности на разных стадиях
Позволяют быстро среагировать на выявленные дисфункции
Анализируются в слабых местах для того, чтобы достигнуть
конечный результат
1 2 3
Аудит считается Документы, относящиеся Выводы и уроки из
завешенным, когда вся к аудиту, следует аудит следует
запланированная по аудиту сохранять или использовать в
деятельность осуществлена, уничтожать по согласию качестве основы для
или, если это не так, с участвующих сторон и в постоянного
согласия заказчика аудита соответствии с улучшения системы
(примером может быть процедурами программы менеджмента
неожиданная ситуация, аудита и применимыми организации,
препятствующая тому, чтобы требованиями подвергнутой аудиту
аудит был завершен в
соответствии с планом)
Общие проблемы рынка специалистов по ИБ

Невозможно управлять тем,


что нельзя измерить.

– Знания и видение проблем ИБ специфичны. Те и другие трудно показать,


стандартизовать и классифицировать по стоимости. Рынок не развит.
– Работа в области ИБ трудно поддаётся дискретному учёту. Эту работу не видно,
достойно оценить её обычно может только специалист. Клиент не видит, за что
именно он платит, наполняя фонд зарплаты службы ИБ.

– Стратегия карьерного роста специалиста по информационной безопасности неясна


не только его работодателю, но и самому специалисту.

Необходима единая, общепринятая шкала, мерило, через


призму которого преломлялись бы все оценки
для принятия правильных решений. Такой шкалой является
сертификация специалистов.
Спасибо за внимание!
Задавайте, пожалуйста, вопросы!
"Vendor Independent Security Consultants“
Алексей Гребенюк , QSA
Tel: +38 050 35 20 465
Email: ag@htb.com.ua