ОБ ИНТЕГРАЦИИ СИСТЕМ МЕНЕДЖМЕНТЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И КАЧЕСТВА
Райкова Наталья Олеговна, Москва, МГТУ им.Н.Э.Баумана,
E-mail: [email protected]
Проанализированы стандарты ГОСТ ИСО/МЭК 27001 и ГОСТ ИСО 9001. На основе сходств и различий системы менеджмента качества и системы менеджмента информационной безопасности показывается возможность их интегрирования, а так же преимущества данного решения. Подробно рассматриваются достоинства и недостатки данных систем управления, статистика количества выданных сертификатов в мире по соответствующим стандартам и тенденции их распространения. Делается вывод о возможности и необходимости интегрирования данных систем управления.
Ключевые слова: система менеджмента качества, система менеджмента информационной безопасности.
THE INTEGRATION OF MANAGEMENT I OF INFORMATION SECURITY AND QUALITY |
Natalia Raikova. Moscow, Bauman MSTU, E-mail: [email protected]
The ISO/IEC 27001 and ISO 9001 are analyzed. The comparative analysis of these management systems is made. On the basis of similarities and differences of quality management system and information security management system is shown the possibility of their integration, as well as the advantages of this solution. The advantages and disadvantages of data management systems, statistics on the number of certificates issued in the world by the relevant standards and trends in their distribution is discussed. The conclusions about the opportunities and needs of integration data management systems are given.
Keywords: quality management system, information security management system.
Введение
В современном мире с появлением распространенных и удобных технических устройств, обозначилась довольно остро проблема защиты информации. Наряду с выпуском качественной продукции или оказанием услуг предприятиям, а так же организациям важно сохранять в тайне нужную информацию от конкурентов, чтобы оставаться на выгодных позициях на рынке. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки.
Таким образом, лидерами на рынке становятся организации, придерживающиеся лучших мировых практик, содержащих требования, руководства по внедрению систем управления бизнес процессами организации. Лучшими стандартами по разработке, внедрению, мониторингу и улучшению таких систем являются документы Международной Организации по стандартизации (ISO). Особое внимание необходимо уделить стандартам серий ISO 900x и ISO 2700x, в которых собраны лучшие практики по внедрению системы менеджмента качества и системы менеджмента информационной безопасности.
Система менеджмента качества, внедренная в соответствии с требованиями стандарта ISO 9001, давно признана неотъемлемым атрибутом успешной компании, производящей высококачественную продукцию или оказывающие услуги высокого класса. Сегодня наличие сертификата соответствия является одновременно эффективным маркетинговым решением и механизмом контроля процессов производства. Аудит СМК является развитым направлением бизнеса.
Ежедневно усиливается зависимость успешной деятельности компании от корпоративной системы защиты информации. Это объясняется увеличением объема жизненно важных данных, обрабатываемых в корпоративной информационной системе. Информационные системы усложняются, растет и число уязвимостей, обнаруживаемых в них. Аудит СМИБ позволяет оценить текущее состояние безопасности функционирования корпоративной информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы компании.
Стандарты по системе менеджмента качества
ISO 900x — серия международных стандартов, описывающих требования к системе менеджмента качества организаций и предприятий. Серия стандартов ISO 900x разработана Техническим комитетом 176 (ТК 176) Международной Организации по стандартизации.
В основе стандартов лежат идеи и положения теории всеобщего менеджмента качества (TQM) [5].
Серия стандартов ISO 900x затрагивает различные аспекты управления качеством и включает наиболее известный стандарт ISO 9001. Стандарты содержат руководства и инструментарий для компаний и организаций, которые хотят, чтобы их продукция и/или услуги постоянно отвечали требованиям заказчика, а качество постоянно улучшалось. Стандарт ISO 9001:2008 (российский аналог ГОСТ ИСО 9001:2011) устанавливает требования к системе менеджмента качества, а стандарт ISO 9000 содержит основные понятия и словарь, в свою очередь, стандарт ISO 9004 сосредоточен на том, как сделать систему управления качеством более эффективной и работоспособной. Стандарт ISO 9011 -это руководство по проведению внутреннего и внешнего аудитов систем менеджмента качества.
Стандарт ISO 9001:2008 устанавливает требования к системам менеджмента качества и является единственным стандартом, в соответствии с которым может быть проведена внешняя сертификация (хотя это не является обязательным требованием). Он может быть использован любой организацией, вне зависимости от сферы деятельности. ISO 9001:2008 внедрен более чем в 170 странах мира, количество организаций, внедривших стандарт превышает 1 миллион.
Основой стандарта является ряд принципов менеджмента качества, в том числе большое внимание уделено удовлетворенности потребителя, мотивации и вовлеченности высшего руководства, процессному подходу и постоянному совершен-
ствованию. Использование ISO 9001:2008 гарантирует, что потребители получат продукцию и услуги стабильно хорошего качества, что в свою очередь, принесет много преимуществ бизнесу.
Проверка работоспособности системы является важной частью стандарта ISO 9001:2008. Организации должны проводить внутренние аудиты для проверки работы системы менеджмента качества. Организация может принять решение пригласить независимый орган по сертификации для проверки, что не противоречит требованиям стандарта. В качестве альтернативы, она может предложить своим клиентам самим провести аудит системы качества (аудит второй стороны).
Стандарты по системе менеджмента информационной безопасности
ISO/IEC 2700x — серия международных стандартов, включающая стандарты по информационной безопасности (ИБ) опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Серия содержит лучшие практики и рекомендации в области ИБ для создания, развития и поддержания СМИБ. Серия ISO/IEC 2700х демонстрирует целую систему нормативных международных документов, отражающих западную модель управления ИБ, содержащую руководства, правила, меры безопасности [1-4].
Один из самых известных и практичных стандартов - ISO/IEC 27001:2005 «Информационные технологии - Методы и средства обеспечения безопасности - Системы менеджмента информационной безопасности - Требования» (российский аналог ГОСТ Р ИСО/МЭК 27001-2006) [5].
Стандарт определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».
Стандарт содержит руководство как по внедрению СМИБ, так и по получению сертификата третьей стороны, свидетельствующего, что средства управления безопасности существуют и функционируют в соответствии с требованиями этого стандарта. Стандарт описывает СМИБ как всеохватывающую систему менеджмента, построенную на принципах бизнес-рисков, для внедрения, эксплуатации, мониторинга и поддержки системы управления безопасностью [7].
Преимущество международных стандартов и статистика внедрения
Внедрение международных стандартов приносит технологические, экономические и социальные преимущества. Они помогают гармонизировать технические характеристики товаров и услуг, делают отрасль более эффективной и способствуют устранению барьеров в международной торговле. Соответствие международным стандартам помогает убедить потребителей, что продукты являются надежными, эффективными и безопасными для окружающей среды.
Сходства стандартов ISO 9001 и ISO 27001
Оба стандарта построены на принципе «процессного подхода» при разработке, внедрении и улучшении результативности СМИБ [7]. Под «процессным подходом» понимается система индификации и менеджмента применяемых оргинизацией процессов, а так же обеспечения их взаимодействия. Главное преимущество данного подхода состоит в непрерывном управления (на стыке процессов, их различных комбинациях и взаимодействии). Одной из методик внедрении «процессного подхода» к управлению является классический замкнутый цикл менеджмента Plan-
Do-Check-Act (PDCA, «планирование — осуществление — проверка— действие»), известный как «цикл Деминга», «цикл Деминга-Шухарта», который и заложен в основу модели организации процессов СМК стандарта ISO 9001:2008 и СМИБ стандарта ISO/IEC 27001:2005.
Кроме одинакового «процессного подхода», стандарты СМК и СМИБ соответствуют друг другу, и более того, имеют похожее строение в плане требований, что отраженно в приложении к стандарту ISO 27001. Стандарты ISO 27001 и ISO 9001 имеют схожую структуру регулирования системой качества и системой информационной безопасности. При этом можно сделать вывод, что стандарт ISO 27001 имеет более широкое применение.
Интегрирование стандартов менеджмента
На первый взгляд, менеджмент качества и информационная безопасность - совершенно различные области. Однако на практике они тесно связанны и образуют одно целое. Удовлетворение потребностей клиентов, составляющее объективную цель качества, с каждым годом всё больше зависит от доступности информационных технологий и от безопасности данных, для поддержания которых и используется стандарт ISO 27001. С другой стороны, стандарт ISO 9001 точно соответствует корпоративным целям организации, помогая обеспечивать менеджмент информационной безопасности. Благодаря комплексному подходу ISO 27001 может быть эффективно интегрирован в существующие СМК или осуществляться вместе с СМК.
Более 27 200 организаций самых различных отраслей в более чем 100 стран мира сертифицированы на соответствие ISO 9001:2008 по управлению качеством. В зависимости от рынка и требований законодательства, многие организации все чаще вынуждены иметь дело с ИБ. В этой связи, интеграция системы управления предлагает реальные возможности. Комплексный подход так же интересен для компаний, которые не использовали любой процесс управления до сих пор. Стандарты ИСО качества (ISO 9001), охраны окружающей среды (ISO 14000), информационной безопасности (ISO 27001) и управления ИТ-услугами (ISO 20000) имеют аналогичную структуру и процессный подход. Это дает синергию, которая окупается: на практике интегрированная система менеджмента на текущую эксплуатацию экономит около 20 до 30 процентов от общего объема расходов для оптимизации системы, проверок и ревизий.
Стандарты информационной безопасности и управления качеством направленны на постоянное совершенствование в соответствии с моделью PDCA. Кроме того, они похожи в своих структурах, как показано в таблице соответствия в приложении С стандарта ISO 27001. В обоих стандартах определены понятия процессного подхода, области действия, требования к системе и документации, а также административная ответственность. В обоих случаях структура заканчивается внутренним аудитом, анализом со стороны руководства и улучшением системы. В этом обе системы взаимодействуют. Например, ISO 9001 требует управление несоответствующей продукцией. Аналогично, в стандарте ISO 27001 существует требование по управлению инцидентами для устранения сбоев.
Различия между стандартами полезно дополняют друг друга, что решительно способствует повышению делового успеха. Например, ISO 9001 требует определения корпоративных целей, ориентированности на клиента и измеримости, в какой степени цели и задачи выполнены. Эти три вопроса, которые не находятся в центре интересов ISO 27001. В свою очередь, этот стандарт придает первостепенное значе-
ние управлению рисками для поддержания непрерывности бизнеса и предлагает подробную помощь в реализации СМИБ. По сравнению с этим, ISO 9001 является в большей степени теоретическим стандартом.
ISO 27001 - стандарт не только для ИТ
Многие считают, что стандарт ISO 27001 предназначен только для ИТ-процессов, когда на самом деле это не так. Основополагающим пунктом по внедрению СМИБ стандарта ISO 27001 служит определение активов.
Под активом понимается всё, что представляет для компании ценность. То есть активом могут быть: человеческие ресурсы, инфраструктура, инструменты, оборудование, средства коммуникации, службы и любые другие активы, включая услуги по поставке закупаемой продукции. Исходя из процессов, компания определяет: какие у неё есть активы, и какие активы задействованы в критичных процессах, производит оценку ценности активов. И уже только после этого производится оценка рисков по всем ценным активам. Таким образом, СМИБ предназначена не только для цифровой информации, которая обрабатывается в автоматизированной системе. СМИБ охватывает все способы, с помощью которых может храниться важная информация в вашей компании.
ISO 9001 не может удовлетворять потребностям компании в ИБ, имея узкую направленность на качество продукции. Поэтому очень важно внедрять в компании ISO 27001. На первый взгляд специалисту может показаться, что оба стандарта очень общие, и не имеют конкретики. Однако это не так, в стандарте ISO 27001 описан практически каждый шаг по внедрению и контролю функционирования СМИБ.
Важные моменты управления информационной безопасностью
Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности.
Руководители компаний должны осознать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими. В этом им может помочь внедрение СМИБ, которая по своей структуре имеет потенциал к развитию, прозрачность управления, гибкость к любым изменениям. Наряду с элементами управления для компьютеров и компьютерных сетей стандарт ISO 27001 уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, нормативным требованиям. Преимуществ внедрения в компанию СМИБ очень много. Вот некоторые из них.
1. Демонстрация компетентности безопасности. ISO 27001 представляет собой практическое руководство для организации, которое помогает сформулировать требования безопасности для обеспечения требуемого уровня защищенности и выполнения конкретных целей безопасности.
2. Обеспечение уверенности клиентов. ISO 27001 обеспечивает независимое доказательство того, что программы корпоративного управления поддерживаются лучшими, передовыми, международными практиками. Для многих се-
рьёзно регулируемых отраслей, таких как финансы или интернет-услуги, выбор поставщика может быть ограничен теми организациями, которые уже сертифицированы по ISO 27001.
3. Более эффективное использование ресурсов. Благодаря использованию процессного подхода возможна оптимизация процессов, происходящих в компании. Что влечёт за собой уменьшение использования ресурсов, например, времени.
4. Постоянное улучшение. СМИБ использует PCDA модель, что позволяет регулярно проверять состояние всей системы, проводить анализ и совершенствовать систему управления.
5. Имидж, бренд. Сертификация на соответствие ISO 27001 открывает перед компанией широкие возможности: выход на международный уровень, новые партнерства, большее количество клиентов, новые контракты, успех в тендерах. Наличие СМИБ в компании - это показатель высокого уровня развития.
6. Гибкость СМИБ. Независимо от изменений процессов, новых технологий, основа структуры СМИБ остается действенной. СМИБ достаточно легко подстраивается под нововведения, путем модернизации существующих и внедрения новых контрмер.
7. Масштабируемость внедрение стандарта. Так как ISO 27001 предполагает определение области действия, это позволяет сертифицировать лишь часть процессов. Можно начать внедрять СМИБ в наиболее значимую для компании ОД, а уже позже расширять.
8. Аудит. Многие Российские компании воспринимают аудиторские работы как катастрофу. ISO 27001 показывает международный подход к проведению аудитов: прежде всего заинтересованность компании в том, чтобы действительно соответствовать стандартам, а не делать сертификацию кое-как лишь для галочки.
9. Регулярные внутренние или внешние аудиты позволяют исправлять нарушения, совершенствовать СМИБ, значительно снизить риски. В первую очередь, это нужно компании для собственного спокойствия, что у них всё в порядке и риски убытков минимизированы. А уже второстепенно - сертификат соответствия, который подтверждает для партнеров или клиентов, что этой компании можно доверять.
10. Прозрачность управления. Использование стандарта ISO 27001 даёт достаточно чёткие инструкции по созданию управления, а так же требования к документации, которая должна быть в компании. Проблема многих компаний в том, что существующие документы для определенных отделов просто не читаются, ибо разобраться, что и кому предназначается зачастую невозможно из-за запутанности системы документации. Иерархичность уровней документации, от политики информационной безопасности до описания определенных процедур, делает использование существующих правил, регламентов и прочего, намного легче [6,7].
Заключение
В заключение следует отметить, что в современном бизнесе неотъемлемость базовой системы менеджмента качества, выстроенной в соответствии с требованиями стандарта ISO 9001, и завоевывающей позиции системы менеджмента информационной безопасности очевидна. Сегодня лидером рынка станут компании, которые отслеживают не только показатели качества продукции и услуг, но и уровни конфиденциальности, целостности и доступности информации о них. Также немаловажным фактором успеха является прогнозирование и оценка рисков, что требует грамотного подхода и использования лучших международных практик.
Совместное внедрение и сертификация систем менеджмента качества и информационной безопасности поможет решить широкий спектр задач для любой отрасли
промышленности или торговли, что в свою очередь приведет к качественному повышению уровня оказываемых услуг.
Литература
1. Барабанов А.В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2013. № 1(1). С.37-41.
2. Марков А.С., Фадин А.А. Организационно-технические проблемы защиты от целевых вредоносных программ типа Stuxnet // Вопросы кибербезопасности. 2013. № 1(1). С.28-36.
3. Матвеев В.А.,Цирлов В.Л. Состояние и перспективы развития индустрии информационной безопасности Российской Федерации в 2014 г. // Вопросы кибербезопасности. 2013. № 1(1). С.61-64.
4. Чобанян В.А., Шахалов И.Ю. Анализ и синтез требований к системам безопасности объектов критической информационной инфраструктуры // Вопросы кибербезопасности. 2013. № 1(1). С.17-27.
5. Шахалов И.Ю., Дорофеев А.В. Основы управления информационной безопасностью современной организации // Правовая информатика. 2013. № 3. С. 4-14.
6. The ISO Survey. URL: http://iso.org/iso/ru/home/standards/certification/iso-survey.htm.
7. Integrate ISO/IEC 27001 with ISO 9001. URL: http://standardsconsultants.com/900127001-integration.
Reference
1. Barabanov A.V. Standartizatsiya protsessa razrabotki bezopasnykh programmnykh sredstv, Voprosy kiberbezopasnosti, 2013. N 1(1), pp.37-41.
2. Markov A.S., Fadin A.A. Organizatsionno-tekhnicheskiye problemy zashchity ot tselevykh vredonosnykh programm tipa Stuxnet, Voprosy kiberbezopasnosti, 2013, N 1(1), pp.28-36.
3. Matveyev V.A., Tsirlov V.L. Sostoyaniye i perspektivy razvitiya industrii informatsionnoy bezopasnosti Rossiyskoy Federatsii v 2014 g., Voprosy kiberbezopasnosti, 2013, N 1(1), pp.61-64.
4. Chobanyan V.A., Shakhalov I.Yu. Analiz i sintez trebovaniy k sistemam bezopasnosti obyektov kriticheskoy informatsionnoy infrastruktury, Voprosy kiberbezopasnosti, 2013, N 1(1), pp.17-27.
5. Shakhalov I.Yu., Dorofeyev A.V. Osnovy upravleniya informatsionnoy bezopasnostyu sovremennoy organizatsii , Pravovaya informatika, 2013, N 3, pp. 4-14.
6. The ISO Survey. URL: http://iso.org/iso/ru/home/standards/certification/iso-survey.htm.
7. Integrate ISO/IEC 27001 with ISO 9001. URL: http://standardsconsultants.com/900127001-integration.