Вопросы по информационной безопасности поднимаются достаточно давно и опасности, с которыми сталкивается организация в этой сфере, давно известны. Тем не менее, безопасность корпоративной информации часто игнорируется, а данные не обрабатываются с необходимой тщательностью и дальновидностью. Когда это сопряжено с последствиями кражи данных и тому подобного, не каждая организация разрабатывает необходимые меры в полном объеме. Многие уклоняются от усилий, которые нужны для эффективной защиты корпоративной информации. Есть подходы к решению этой проблемы.
Многим организациям не нужно внедрять полноценную систему управления информационной безопасностью, по крайней мере, не все элементы сразу.
Есть возможность приблизиться к этому пошаговому этапу. Например, компании, уже использующие систему управления качеством ISO 9001, могут начать с простого обновления своего реестра рисков с учетом рисков по ISO 27001.
Здесь важно отметить, что, хотя стандарт ISO 9001:2015 требует подхода, основанного на оценке риска, который выходит за рамки отдельных стандартов, по большей части вопрос о том, КАК его реализовать, остается за каждой организацией. Например, нет необходимости в отдельном процессе оценки риска, что, конечно, недостаточно, когда речь заходит об информационной безопасности.
С этой целью мы можем просто расширить оценку рисков СМК, включив в нее тему информационной безопасности. Большинство из этих аспектов могут быть реализованы с разумными усилиями теми, кто знаком с ISO 9001, так как это только первый шаг в направлении комплексной защиты информации.
Управление рисками и возможностями
Как и ISO 9001, ISO 27001 затрагивает соответствующие темы в главе 6.1 «Действия в отношении рисков и возможностей». По сути, существует три важных аспекта для обеспечения безопасности: обеспечение ожидаемого результата (ов) организации; предотвращение или уменьшение нежелательных эффектов и постоянное улучшение.
Что касается информационной безопасности, важны следующие ключевые вопросы: потеря конфиденциальности, целостности и доступности. Поэтому в главе 6.1.1 в норме перечислены следующие требования:
- Определите риски и возможности
- Запланируйте действия по рассмотрению выявленных рисков и возможностей
- Планируйте интеграцию и реализацию действий в процессах организации.
Последующие две главы стандарта требуют определения и применения процесса соответственно. В главе 6.1.2 это требуется для оценки риска информационной безопасности, когда процесс должен установить и поддерживать критерии для этого риска, включая принятие риска (a.1) и проведение оценки рисков информационной безопасности (a.2). Процесс должен обеспечить, чтобы «повторные оценки давали согласованные, действительные и сопоставимые результаты» (b.1). На первом этапе основное внимание должно быть уделено выявлению, анализу и оценке информации о рисках безопасности.
Затем в главе 6.1.3 требуется определение и применение процесса для устранения рисков информационной безопасности. Этот процесс разработан для обеспечения того, что:
- Выбраны соответствующие варианты для устранения информационных угроз безопасности; учтены результаты оценки рисков;
- Все меры / средства управления, необходимые для реализации выбранной опции, определены;
- Проведено сравнение выбранных мер / контролей с теми, которые содержатся в Приложении A
- Создано заявления о применимости со ссылкой на (не) включение мер контроля / мер из приложения A (d);
- Сформулирован план по обеспечению информационной безопасности
- План утвержден и принят владельцами рисков.
Какой подход выбрать?
Несмотря на то, что ISO 27001 требует двух отдельных процессов для оценки и обработки рисков информационной безопасности, вначале они могут быть сведены в один процесс, который расширяет оценку рисков СМК, чтобы включить аспекты информационной безопасности. Степень, в которой такой процесс будет отвечать отдельным требованиям, напрямую зависит от сложности информационной среды каждой организации. Но в любом случае, эффективность такого процесса должна проверяться во время внешнего предварительного аудита или во время регулярного аудита ISO 9001.
Каковы преимущества?
Любой процесс, в котором подробно рассматриваются риски информационной безопасности, является важным первым шагом на пути к всеобъемлющей Системе менеджмента информационной безопасности, например, в соответствии с ISO 27001. Внедряя такой процесс, организация способствует повышению осведомленности об информационной безопасности на всех уровнях.
Целевой анализ информационной безопасности предоставляет организации возможности для выявления потребностей в действиях и принятия соответствующих мер (на основе ISO 27001, Приложение A).
Добавление информационной безопасности к оценке рисков организации усиливает подход, основанный на оценке рисков, во всех отношениях.