Шахалов Игорь Юрьевич
К вопросу об интегрировании систем менеджмента качества и информационной безопасности
Аннотация: рассмотрены международные стандарты ИСО 27001 и ИСО 9001. Проведен анализ сходств и различий системы менеджмента качества и системы менеджмента информационной безопасности. Показана возможность интегрирования системы менеджмента качества и системы менеджмента информационной безопасности. Приведены основные этапы построения и внедрения интегрированной системы менеджмента информационной безопасности. Показаны преимущества интегрированного подхода.
Ключевые слова: системы менеджмента информационная безопасность, интегрированные системы менеджмента, СМИБ, СМК, ИСО 27001.
Райкова
Наталья Олеговна
Введение
В современном мире с появлением распространенных и удобных технических устройств обозначилась довольно остро проблема защиты информации. Наряду с выпуском качественной продукции или оказанием услуг предприятиям и организациям важно сохранять нужную информацию в тайне от конкурентов, чтобы оставаться на выгодных позициях на рынке. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки.
Таким образом, лидерами на рынке становятся организации, придерживающиеся лучших мировых практик, содержащих требования, руководства по внедрению систем управления бизнес-процессами организации. Лучшими стандартами по разработке, внедрению, мониторингу и улучшению таких систем являются документы Международной Организации по стандартизации (ISO). Особое внимание необходимо уделить стандартам серий ISO 900x и ISO 2700x, в которых собраны лучшие практики по внедрению системы менеджмента качества (СМК) и системы менеджмента информационной безопасности (СМИБ) [1, 2].
Система менеджмента качества, внедренная в соответствии с требованиями стандарта ISO 9001, давно признана неотъемлемым атрибутом успешной компании, производящей высококачественную продукцию или оказывающей услуги высокого класса. Сегодня наличие сертификата соответствия является одновременно эффективным маркетинговым решением и механизмом контроля процессов производства [3]. Аудит СМК является развитым направлением бизнеса.
Ежедневно усиливается зависимость успешной деятельности компании от корпоративной системы защиты информации. Это объясняется увеличением объема жизненно важных данных, обрабатываемых в корпоративной информационной системе. Информационные системы усложняются, растет и число уязвимостей, обнаруживаемых в них. Аудит СМИБ позволяет оценить текущее состояние безопасности функционирования корпоративной информационной системы,
оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы компании [4-6].
Так как стандарт ISO 9001 давно занял лидирующее положение по количеству сертификатов в мире, а стандарт ISO 27001 показывает тенденцию к возрастанию сертификации системы менеджмента информационной безопасности, целесообразно рассмотреть возможное взаимодействие и интеграцию СМК и СМИБ.
Интегрированиестандартов
На первый взгляд, менеджмент качества и информационная безопасность - совершенно различные области. Однако на практике они тесно связанны и образуют одно целое (Рисунок 1). Удовлетворение потребностей клиентов, составляющее объективную цель качества, с каждым годом все больше зависит от доступности информационных технологий и от безопасности данных, для поддержания которых и используется стандарт ISO 27001. С другой стороны, стандарт ISO 9001 точно соответствует корпоративным целям организации, помогая обеспечивать менеджмент информационной безопасности. Благодаря комплексному подходу ISO 27001 может быть эффективно интегрирован в существующие СМК или осуществляться вместе с СМК.
сти (ISO 27001) и управления ИТ-услугами (ISO 20000) имеют аналогичную структуру и процессный подход. Это дает синергию, которая окупается: на практике интегрированная система менеджмента на текущую эксплуатацию экономит от 20 до 30 процентов от общего объема расходов на оптимизацию системы, проверок и ревизий [7-9].
Стандарты информационной безопасности и управления качеством направлены на постоянное совершенствование в соответствии с моделью Plan-Do-Check-Act (PDCA, «планирование — осуществление — проверка — действие»), известной как «цикл Деминга» (см. рис. 2) [10,11]. Кроме того, они похожи по своей структуре, как показано в таблице соответствия в приложении С стандарта ISO 27001. В обоих стандартах определены понятия процессного подхода, области действия, требования к системе и документации, а также административная ответственность. В обоих случаях структура заканчивается внутренним аудитом, анализом со стороны руководства и улучшением системы. В этом обе системы взаимодействуют. Например, ISO 9001 требует управления несоответствующей продукцией. Аналогично, в стандарте ISO 27001 существует требование по управлению инцидентами для устранения сбоев.
Рис. 1. Сферы взаимодействия и схожести СМК и СМИБ
Рис. 2. Цикл Деминга
Более 27 200 организаций самых различных отраслей в более чем 100 странах мира сертифицированы на соответствие ISO 9001:2008 по управлению качеством. В зависимости от рынка и требований законодательства, многие организации все чаще вынуждены иметь дело с ИБ. В этой связи, интеграция системы управления предлагает реальные возможности. Комплексный подход также интересен для компаний, которые не использовали любой процесс управления до сих пор. Стандарты ИСО качества (ISO 9001), охраны окружающей среды (ISO 14000), информационной безопасно-
Различия между стандартами полезно дополняют друг друга, что решительно способствует повышению делового успеха. Например, ISO 9001 требует определения корпоративных целей, ориентированности на клиента и измеримости, в какой степени цели и задачи выполнены. Это три вопроса, которые не находятся в центре интересов ISO 27001. В свою очередь, этот стандарт придает первостепенное значение управлению рисками для поддержания непрерывности бизнеса и предлагает подробную помощь в реализации СМИБ. По сравнению
с этим, ISO 9001 является в большей степени теоретическим стандартом.
ISO 27001 - стандарт не только для ИТ
Многие считают, что стандарт ISO 27001 предназначен только для ИТ-процессов, однако на самом деле это не так. Основополагающим пунктом по внедрению СМ И Б стандарта ISO 27001 служит определение активов [12].
■ 'lilltpHiimiir-J. » iJilllF.lEL^OIU.IC.
г т^цдкпиниж ц нетувк^тнслщс tEp.tna.
» ■irreiiKinfundu «GcTMHiiociv
* КЯДРОМК:
■ JI!l'|'l'L>4_l]Jil"HIIL,k
» D|KtttcCcU H «patitU.
» jimii 14: ii |vju7JIIIM.
Рис. 3. Виды активов
Под активом понимается все, что представляет для компании ценность (Рисунок 3). То есть активом могут быть: человеческие ресурсы, инфраструктура, инструменты, оборудование, средства коммуникации, службы и любые другие активы, включая услуги по поставке закупаемой продукции. Исходя из процессов, компания определяет, какие у нее есть активы и какие активы задействованы в критичных процессах, производит оценку ценности активов. И уже только после этого производится оценка рисков по всем ценным активам. Таким образом, СМИБ предназначена не только для цифровой информации, которая обрабатывается в автоматизированной системе. Например, некоторые из наиболее критичных процессов связанны
! Подготовка
планов мероприятии
2 Проверка H:i соответствие
ISO IEC
с хранением печатных копий информации, что также учтено в ISO 27001. СМИБ охватывает все способы, с помощью которых может храниться важная информация в вашей компании: начиная от того, как ваши электронные письма защищены, заканчивая тем, где в здании хранятся личные дела сотрудников.
Поэтому огромное заблуждение считать, что раз стандарт направлен на построение системы менеджмента информационной безопасности, то это может относиться только к данным, хранящимся в компьютере. Даже в наш цифровой век все еще много информации отражено на бумажных носителях, которые тоже должны быть надежно защищены.
ISO 9001 не может удовлетворять потребностям компании в ИБ, поскольку он узко направлен на качество продукции. Поэтому очень важно внедрять в компании ISO 27001. На первый взгляд специалисту может показаться, что оба стандарта очень общие, и не имеют конкретики. Однако это не так: в стандарте ISO 27001 описан практически каждый шаг по внедрению и контролю функционирования СМИБ (Рисунок 4).
Основные этапы построения системы менеджмента информационной безопасности
Основные этапы построения СМИБ проиллюстрированы на рисунке 4 [1]. Рассмотрим их подробнее.
Этап 1. Подготовка планов мероприятий. На данном этапе специалисты осуществляют сбор организационно-распорядительных документов (ОРД) и других рабочих материалов,
3 А тип нормальных ii ОРД
4 Анализ ii оценм рисков 11Б
? внедрение
5 РязраОогхя и <> РаэряОопв комплексных & 00\*ieiitii:
радиация п ланов ■—> норма товнш н —> мероприятии —> CfftpJOTHW*
мероприятия пн>ПБ ОРД поенпжению
рисковЩ
Формирование 10 AiUtuin оценка результатов инОрснЕшС'ММБ
OPICTBJCTU
Рис. 4. Этапы построения СМИБ
касающихся построения и функционирования информационных систем компании, планируемых к использованию механизмов и средств обеспечения ИБ. Кроме того, составляются, согласуются и утверждаются у руководства компании планы мероприятий по этапам работ.
Этап 2. Проверка на соответствие ISO/ IEC 27001:2005. Интервьюирование и анкетирование менеджеров и сотрудников подразделений. Анализ СМИБ компании на соответствие требованиям стандарта ISO/IEC 27001:2005.
Этап 3. Анализ нормативных и организационно-распорядительных документов, опирающихся на организационную структуру компании. По его результатам определяется защищаемая область действия (ОД) и разрабатывается эскиз политики ИБ компании.
Этап 4. Анализ и оценка рисков ИБ. Разработка методики по управлению рисками компании и их анализу. Анализ информационных ресурсов компании, в первую очередь ЛВС, с целью выявления угроз и уязвимостей защищаемых активов ОД. Инвентаризация активов. Проведение консультаций для специалистов компании и оценка соответствия фактического и необходимого уровня безопасности. Расчет рисков, определение текущего и допустимого уровня риска для каждого конкретного актива. Ранжирование рисков, выбор комплексов мероприятий по их снижению и расчет теоретической эффективности внедрения [13].
Этап 5. Разработка и реализация планов мероприятий по ИБ. Разработка положения о применимости контролей в соответствии с ISO/IEC 27001:2005. Разработка плана учета и устранения рисков. Подготовка отчетов для руководителя компании.
Этап 6. Разработка нормативных и ОРД. Разработка и утверждение окончательной политики И Б и соответствующих ей положений (частных политик). Разработка стандартов, процедур и инструкций, обеспечивающих нормальное функционирование и эксплуатацию СМИБ компании.
Этап 7. Внедрение комплексных мероприятий по снижению рисков ИБ и оценка их эффективности в соответствии с утвержденным руководством планом обработки и устранения рисков.
Этап 8. Обучение персонала. Разработка планов мероприятий и внедрение программ по обучению и повышению компетенции сотрудников компании с целью эффективного донесения принципов ИБ до всех сотрудников и
в первую очередь тех, кто работает в структурных подразделениях, обеспечивающих ключевые бизнес-процессы.
Этап 9. Формирование отчетности. Систематизация результатов обследования и подготовка отчетности. Представление результатов работ для руководителей компании. Подготовка документов к лицензированию на соответствие ISO/IEC 27001:2005 и передача их в сертифицирующую организацию.
Этап 10. Анализ и оценка результатов внедрения СМИБ на основании методики, оценивающей надежность функционирования СМИБ компании. Разработка рекомендаций по совершенствованию системы управления ИБ компании.
Анализируя каждый этап внедрения СМИБ, можно сказать, что ISO 27001 имеет четкую структуру и требования, которые позволят выстроить работающую систему, в которой будет взаимодействие на всех нужных уровнях. Но нельзя забывать, что основное отличие СМИБ и СМК в том, что первая система сосредоточена на информационной безопасности.
Важность информационной безопасности в современном мире
Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности [14].
Руководители компаний должны осознать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими. В этом им может помочь внедрение СМИБ, которая по своей структуре имеет потенциал к развитию, прозрачность управления, гибкость к любым изменениям. Наряду с элементами управления для компьютеров и компьютерных сетей стандарт ISO 27001 уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, нормативным требованиям, в то же время отдельные технические вопросы детализированы в других стандартах серии
ИСО 27000 [1, 13, 15-17]. Преимуществ внедрения в компанию СМИБ очень много, часть из них представлена на рис. 5.
Глбкшль Масш пОДр>ч;ь1[ч.-ть
1I[LMPCHJ!H
Снижение ¡juvum
HiKiinimi n II11 \ 11 Ч'Г 1111 111 пуднТ
Пртртшалъ уирдоктл
' Ji|m| ill p.Ki u:
ажщтня№ цн^ст
llkim |"|(VIL I
Рис. 5. Преимущества внедрения системы менеджмента информационной безопасности
Следует указать на преимущества ISO
27001:
Демонстрация компетентности безопасности. ISO 27001 представляет собой практическое руководство для организации, которое помогает сформулировать требования безопасности для обеспечения требуемого уровня защищенности и выполнения конкретных целей безопасности. Особенно важно организациям быть компетентными в четырех областях управления безопасностью, включая: определение и оценку активов компании, оценку рисков и определения критериев приема риска, управление и принятие этих пунктов, и постоянное улучшение общей программы безопасности организации.
Обеспечение уверенности клиентов. ISO 27001 обеспечивает независимое доказательство того, что программы корпоративного управления поддерживаются лучшими, передовыми, международными практиками. Сертификация на соответствие ISO 27001 обеспечивает спокойствие корпорациям, стремящимся продемонстрировать добросовестность клиентам, акционерам и потенциальным партнерам, а главное, показать, что в компании успешно реализована надежная система менеджмента информационной безопасности. Для многих серьезно регулируемых отраслей, таких как финансы или Интернет-услуги, выбор поставщика может
быть ограничен теми организациями, которые уже сертифицированы по ISO 27001.
Более эффективное использование ресурсов. Благодаря использованию процессного подхода возможна оптимизация процессов, происходящих в компании. Что влечет за собой уменьшение использования ресурсов, например, времени.
Постоянное улучшение. СМИБ использует PCDA модель, что позволяет регулярно проверять состояние всей системы, проводить анализ и совершенствовать систему управления
[7].
1. Имидж, бренд. Сертификация на соответствие ISO 27001 открывает перед компанией широкие возможности: выход на международный уровень, новые партнерства, большее количество клиентов, новые контракты, успех в тендерах. Наличие СМИБ в компании - это показатель высокого уровня развития.
2. Гибкость СМИБ. Независимо от изменений процессов, новых технологий, основа структуры СМИБ остается действенной. СМИБ достаточно легко подстраивается под нововведения, путем модернизации существующих и внедрения новых контрмер.
3. Масштабируемость внедрения стандарта. Так как ISO 27001 предполагает определение области действия, это позволяет сертифицировать лишь часть процессов. Можно начать внедрять СМИБ в наиболее значимую для компании ОД, а уже позже расширять.
4. Аудит. Многие российские компании воспринимают аудиторские работы как катастрофу. ISO 27001 показывает международный подход к проведению аудитов: прежде всего заинтересованность компании в том, чтобы действительно соответствовать стандартам, а не делать сертификацию кое-как, лишь «для галочки».
5. Регулярные внутренние или внешние аудиты позволяют исправлять нарушения, совершенствовать СМИБ, значительно снизить риски. В первую очередь, это нужно компании для собственного спокойствия, что у них все в порядке и риски убытков минимизированы. А уже второстепенно - сертификат соответствия, который подтверждает для партнеров или клиентов, что этой компании можно доверять.
6. Прозрачность управления. Использование стандарта ISO 27001 дает достаточно четкие инструкции по созданию управления, а
также требования к документации, которая должна быть в компании. Проблема многих компаний в том, что существующие документы для определенных отделов просто не читаются, ибо разобраться, что и кому предназначается, зачастую невозможно из-за запутанности системы документации. Иерархичность уровней документации, от политики информационной безопасности до описания определенных процедур, делает использование существующих правил, регламентов и прочего намного легче. Также внедрение СМ И Б предполагает обучение персонала: проведение семинаров, рассылок, вывешивание предупреждающих плакатов, что значительно повышает осведомленность об ИБ среди обычных служащих.
Вывод
В заключение следует отметить, что в современном бизнесе неотъемлемость базовой системы менеджмента качества, выстроенной в соответствии с требованиями стандарта ISO 9001, и завоевывающей позиции системы менеджмента информационной безопасности очевидна.
Сегодня лидером рынка станут компании, которые отслеживают не только показатели качества продукции и услуг, но и уровни конфиденциальности, целостности и доступности информации о них. Также немаловажным фактором успеха является прогнозирование и оценка рисков, что требует грамотного подхода и использования лучших международных практик. Совместное внедрение и сертификация систем менеджмента качества и информационной безопасности поможет решить широкий спектр задач для любой отрасли промышленности или торговли, что в свою очередь приведет к качественному повышению уровня оказываемых услуг.
Литература
1. Дорофеев А. В., Шахалов И. Ю. Основы управления информационной безопасностью современной организации // Правовая информатика. 2013. № 3. С. 4-14.
2. Чашкин В. Н. Управление информационной безопасностью как элемент системы управления информационно-технологической деятельностью организации // Безопасность информационных технологий. 2009. № 1. С. 123-124.
3. Горячев В. В. Новый ГОСТ на СМК. Основные отличия от ГОСТ РВ 15.002-2003 //
Методы менеджмента качества. 2013. № 7. С. 18-23.
4. Доценко С. П., Пшенецкий С. П. Подход к построению модели систем менеджмента информационной безопасности // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета. 2009. № 53. С. 47-56.
5. Каменев А. В., Заворитько Е. В. Модель системы менеджмента информационной безопасности на предприятии (в организации) // Интеллект. Инновации. Инвестиции. 2013. № 1. С. 111-114.
6. Соловьев А. М. Нормативно-методическая база в области обеспечения информационной безопасности // Экономика, статистика и информатика. Вестник УМО. 2012. № 1. С. 174-181.
7. Козин И. Ф., Лившиц И. И. Информационная безопасность. Интеграция международных стандартов в систему информационной безопасности России // Информатизация и связь. 2010. № 1. С. 50-55.
8. Колодин В. С. Сертификация интегрированных систем менеджмента // Вестник Иркутского государственного технического университета. 2010. Т. 41. № 1. С. 44-48.
9. Меркушова Н. И., Науменко Ю. А., Мерку-шова Ю. А. Интегрированные системы менеджмента: предпосылки создания на российских предприятиях // Молодой ученый.
2013. № 12 (59). С. 327-331.
10. Воропаева В. Я., Щербов И. Л., Хаустова Е. Д. Управление информационной безопасностью информационно-телекоммуникационных систем на базе модели «Р1ап-Do-Check-Act» // Науков1 пращ Донецько-го нацюнального техшчного ушверситету. Сер1я: "Обчислювальна техшка та автоматизащя". 2013. № 2 (25). С. 104-110.
11. Дорофеев А. В., Марков А. С. Менеджмент информационной безопасности: основные концепции // Вопросы кибербезопасности.
2014. № 1 (2). С. 67-73.
12. Шпер В. Л. О стандарте 18О/1ЕС 27001 // Методы менеджмента качества. 2008. № 3. С. 60-61.
13. Марков А. С., Цирлов В. Л. Управление рисками - нормативный вакуум информационной безопасности // Открытые системы. СУБД. 2007. № 8. С. 63-67.
14. Матвеев В. А., Цирлов В. Л. Состояние и перспективы развития индустрии информационной безопасности Российской Федера-
ции в 2014 г. // Вопросы кибербезопасности. 2013. № 1(1). С. 61-64.
15. Барабанов А. В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2013. № 1(1). С. 37-41.
16. Марков А. С., Цирлов В. Л. Руководящие указания по кибербезопасности в контексте
ISO 27032 // Вопросы кибербезопасности. 2014. № 1(2). С. 28-35. 17. Храмцовская Н. Что нужно знать руководителю об информационной безопасности // Кадровик. 2009. № 4. С. 061-072.