Принципы создания системы управления информационной безопасностью (ISMS). Место системы ISMS в общей концепции управления качеством (ISO 9000) и управления ИТ-услугами Михаил Пышкин, CISM Руководитель направления информационной безопасности Компания КРОК Согласно отчету Gartner Group к 2006 году ISO17799 станет самым распространенным стандартом для построения и анализа систем информационной безопасности организаций. Стандарт BS 7799-2 – путь к ISO Стандарт находится на согласовании в комитете ISO под рабочим названием: ISO/IEC FCD 24743 "Information security management systems requirements specification". ISO/IEC FCD 24743 “Техническое задание на разработку системы управления информационной безопасностью» http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=38853&scopelist=PROGRAMME Information Security Management System Система управления информационной безопасностью Это часть общей системы управления, основанной на анализе бизнес рисков, в функции которой входит: устанавливать, осуществлять, управлять, контролировать, рассматривать, поддерживать и улучшать информационную безопасность. То, что проверено – измерено, что измерено – управляется. Стандарты управления системами • • • • • • • ISO 17799 – Информационная безопасность ISO 9001 - Качество ISO 14001 – Окружающая среда OHSAS 18001 - Медицина TL 9000 - Телекоммуникации TS 16949 - Автомобильный AS 9100 - Аэрокосмонавтика Система качества КРОК Сертификат качества ГОСТ Р ИСО 9001 подтверждает соответствие процессов разработки, сопровождения и обслуживания автоматизированных систем и средств информационных технологий международным стандартам качества. Служба Качества КРОК гарантирует постоянное соответствие качества проводимых работ международным нормам, а также требованиям заказчика. Основы философии СМК Документируй то, что делаешь, и делай, как задокументировал Главной целью ставь степень удовлетворенности заказчика Планируй; делай, что запланировал; контролируй результат; улучшай Возможность анализа неудачи Возможность повторения удачи Понятие качества получает конкретный смысл Качество становится измеряемым Возможность предвидеть проблемы Непрерывный контроль соответствия плану Сужение диапазона разброса результатов PDCA – Plan Do Check Act – цикл Деминга Структура документации системы качества Документы первого уровня Политика в области качества и Руководство по качеству Документы второго уровня Стандарты и руководящие документы Компании, регламентирующие функциональную деятельность подразделений и служб Документы третьего уровня Методики и рабочие инструкции, содержащие требования, правила и процедуры по выполнению работ и обеспечению их качества Взаимосвязь документированных процедур Периодически выполняемые процедуры СТП «Внутренний аудит СК» Постоянно выполняемые процедуры СТП «Постоянно действующая комиссия по качеству» Бизнес-процессы Постоянно выполняемые процедуры СТП «Управление документацией и данными» СТП «Процесс решения проблем» Техническое обслуживание СТП «Техническое обслуживание» СТП «Управление персоналом» Корректирующие процедуры СТП «Корректирующие действия» СТП «Предупреждаю-щие действия» Ответственность руководства Задачи высшего руководства: • • • • • Сформулировать Политику и цели качества: Политика в области качества должна соответствовать целям организации; Планировать СМК (цели в области качества должны быть измеримыми и соответствовать Политике в области качества); Донести до всех сотрудников компании важность качественного решения задач и удовлетворения всех требований потребителя; Обеспечивать доступность ресурсов; Проводить периодический анализ СМК на пригодность, адекватность и эффективность, используя результаты аудитов и обратную связь с потребителями. Роль постоянно действующей комиссии по качеству (ПДКК) ПДКК, в состав которой входит ответственный за информационную безопасность, проводит следующие работы в части ISMS: • Регулярные встречи и вовлечение руководства; • Назначение ответственных; • Руководит внутренними проверками ISMS и привлечением внешних аудиторов; • Выполняет регулярный анализ отчетов по инцидентам; • Проводит при необходимости пересмотр документов ISMS; • Решает вопросы корректирующих и предупреждающих мер; • Руководит программой обучения и тестирования знаний сотрудников; • Выполняет анализ эффективности ISMS. Будущий международный ITSM стандарт - BS15000 British Standards Institution (BSi) • 1998 - Code of Practice [ PD0005 ] • 2000 - Self-assessment Workbook [ PD0015 ] - Specification [ BS15000 ] • 2001 - Early adopters Æ Feedback • 2002 - Rewrite as Part 1 & 2 - Rewrite PD0015/PD0005 • 2003 - Formal certification scheme • 2006 - ISO Standard Процессы BS15000 Service Delivery Processes Security Management Availability & Contingency Management Service Level Management Capacity Management Service Reporting Control Processes Financial Management Configuration Management Release Processes Change Management Resolution Processes Release Management Incident Management Problem Management Relationship Processes Business Relationship Management Supplier Management Процессы ITIL Взаимосвязь процессов ITIL Процедура внедрения ISMS Заказать стандарт Пройти обучение Организовать проектную группу Определить охват ISMS Выбрать консультанта Разработать Политику ISMS Произвести инвентаризацию ресурсов Произвести оценку ресурсов Оценить риски, определить уровень приемлемого риска Выбрать, документировать и внедрить средства контроля рисков Документирование ISMS, Аудит и анализ ISMS Сертификация ISMS Постоянное совершенствование Основные блоки ISMS Жизненный цикл ISMS – модель PDCA Scope • Policy • Risk Assessment (RA) • Risk Treatment Plan (RTP) • Statement of Applicability (SOA) • •ISMS Improvements •Preventive Action •Corrective Action Operate Controls • Awareness Training • Manage Resources • Prompt Detection and Response to Incidents • •Management Review •Internal ISMS Audit Инструментарий внедрения ISMS • • • • • • • • • Callio Secura 17799 RiskWatch 17799 NetIQ VigilEnt Policy Center … HP Service Desk Documentum Microsoft SharePoint Portal Incident Tracker …. Факторы, необходимые для успеха • Цели безопасности и обеспечение ее должны основываться на производственных целях и требованиях; функции управления безопасностью должно взять на себя руководство организации; • Явная поддержка и приверженность к поддержанию режима безопасности высшего руководства; • Понимание рисков нарушения безопасности (как угроз, так и слабостей), которым подвергаются ресурсы организации; а также уровня их защищенности в организации, который должен основываться на ценности и важности этих ресурсов; • Ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации; • Предоставление исчерпывающего пособия по политике и стандартам информационной безопасности всем сотрудникам и подрядчикам. ISO/IEC 17799:2000 Современные реалии Guidelines for UK Government websites • "If your website is managed by an Internet Service Provider (ISP)/hosting service, you should ensure as far that the ISP/host has procedures, eg, ISO17799, in place to comply with your corporate website security.” • "It is recommended that the application and maintenance of those procedures is checked on a regular basis by qualified security consultants such as those accredited". Элемент Политики ISMS известной международной компании: • Компании группы обеспечивают, что внешние организации, с которыми они взаимодействуют, используют необходимые методы контроля. Удовлетворительным уровнем контроля безопасности ИТ считается организация контроля в соответствии с Британским стандартом 7799 или местным эквивалентом. INTERNATIONAL REGISTER OF ISMS (BS 7799) ACCREDITED CERTIFICATES - 1201 1 Принципы создания системы управления информационной безопасностью (ISMS). Место системы ISMS в общей концепции управления качеством (ISO 9000) и управления ИТ-услугами Михаил Пышкин, CISM Руководитель направления информационной безопасности Компания КРОК [email protected] +7(095) 974-2274