В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения СМИБ.
Цель стандарта
Цель СМИБ — выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Основные понятия
Информационная безопасность — сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.
Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
Целостность — обеспечение точности и полноты информации, а также методов её обработки.
Доступность — обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).
Само понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ИСО 27001 — система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:
на каком направлении информационной безопасности требуется сосредоточить внимание;
сколько времени и средств можно потратить на данное техническое решение для защиты информации.
Краткая история развития серии стандартов по информационной безопасности
Развитие до ИСО 27001:2013
Развитие до ИСО 27002:2013
Первым стандартом по информационной безопасности, является принятый на государственном уровне в 1995 году и разработанный Британским институтом стандартов BS 7799 — Part 1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации, а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005. В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью). Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».[1]
Основные принципы и подходы стандарта ISO/IEC 27001:2013
Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах и процессном подходе. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001, то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.[2] Также основными принципами стандарта ISO 27001 являются:
Конфиденциальность информации
Целостность информации
Доступность информации
Структура Стандарта ISO/IEC 27001:2005
Предисловие
Введение
Область приложения
Нормативные ссылки
Термины и определения
Система менеджмента защиты информации
Ответственность руководства
Внутренние аудиты СМИБ
Анализ СМИБ со стороны руководства
Улучшение СМИБ
Приложение А (обязательное) цели управления и средства управления
Приложение В (информационное) принципы OECD и этот международный стандарт
Приложение С (информационное) соответствие между ISO 9001:2000, ISO 14001:2004 и этим международным стандартом
Библиография
ISO/IEC 27001:2013
В 2013 году Международной организацией по сертификации была разработана и принята новая версия стандарта ISO/IEC 27001:2013. Изменения коснулись как структуры стандарта, так и требований.
Изменения в структуре стандарта ISO/IEC 27001:2013
Структура основных требований стандарта ISO/IEC 27001:2013 приведена в соответствии с Директивами ISO/IEC (то есть все стандарты международной организации будут иметь идентичную структуру разделов). На русский язык данная версия стандарта ещё не переведена, но английский вариант текстового содержания нового стандарта таков:
Introduction
Scope
Normative references
Terms and definitions
Context of organization
Leadership
Planning
Support
Operation
Performance evaluation
Improvement
Также произошли изменения в структуре Приложения «А» стандарта. Появились три новых раздела:
«A.10 Криптография»,
«A.13 Безопасность коммуникаций»,
«A.15 Взаимоотношения с поставщиками».
Раздел «А.10 Криптография» не является новым, его требования повторяют отдельные пункты раздела А.12 старой версии стандарта. Разделы «A.13 Безопасность коммуникаций» и «A.15 Взаимоотношения с поставщиками» собрали отдельные пункты по разделам Приложения «А» версии 2005, а также включили некоторые новые требования.
Изменения в требованиях стандарта ISO/IEC 27001:2013
Изменения в основной части новой версии стандарта ISO/IEC 27001:2013:
четко сформулированы требования к целям системы менеджмента информационной безопасности.
упрощены требования к текстовому описанию рисков
исключена обязательность выпуска «Положения о принятии остаточных рисков» со стороны высшего руководства.
установлена четкая связка «Положения о применимости — SoA».
введено понятие и требование по определению «Владельца риска» вместо «Владельца актива».
четко сформулированы и дополнены требования по мониторингу СМИБ.
упрощены требования к управлению документацией и записями системы менеджмента информационной безопасности.
четко определены требования по коммуникациям в рамках системы менеджмента информационной безопасности.
Наиболее существенным изменением в основной части является требование по определению «Владельцев рисков».
Новые требования в рамках Приложения «А» ISO/IEC 27001:2013:
A.6.1.4 Information security in project management
A.12.6.2 Restrictions on software installation
A.14.2.1 Secure development policy
A.14.2.5 System development procedures
A.14.2.6 Secure development environment
A.14.2.8 System security testing
A.15.1.1 Information security policy for supplier relationships
A.15.1.3 Information and communication technology supply chain
A.16.1.4 Assessment and decision of information security events
A.17.1.2 Implementing information security continuity
A.17.2.1 Availability of information processing facilities
В приложении «А» количество требований (контролей) уменьшилось со 133 до 113. Приложение «А» ISO/IEC 27001 содержит перечень целей и средств управления, которые совпадают с аналогичными целями и средствами управления в ISO 27002, но не столь детализированы. Приложение «B» содержит таблицу, в которой показано соответствие процедур СМИБ и этапов PDCA принципам Организации по экономическому сотрудничеству и развитию (OECD). Если компания уже внедрила ISO 9001 или ISO 14001, то ей понадобится Приложение «С», которое содержит таблицу соответствия требований стандартов ISO 9001, 14001 и 27001.[3]
ISO/IEC 27001:2022
В октябре 2022 года была опубликована обновлённая версия стандарта — ISO/IEC 27001:2022[4], пришедшая на смену версии 2013 года. Основное обновление связано с актуализацией средств управления информационной безопасностью и их синхронизацией с пересмотренным стандартом ISO/IEC 27002:2022. Новый список контролей (мер управления), приведённый в Приложении A ISO/IEC 27001:2022, идентичен перечню, предложенному в ISO/IEC 27002:2022. Он основан на более простой таксономии и современных подходах к управлению безопасностью.
Изменения в структуре стандарта
Существенным изменением является переход на гармонизированную структуру, принятую во всех современных стандартах систем менеджмента ISO. Это позволило усилить акцент на процессный подход в управлении информационной безопасностью, сделав процессы, их взаимодействие и целевые показатели контроля более прозрачными и управляемыми.[5]
Также были внесены уточнения в ряде пунктов основного текста стандарта:
Пункт 5.3 был дополнен требованием обеспечения осведомлённости внутри организации о ролях, обязанностях и полномочиях в сфере информационной безопасности.
Пункт 7.4 был переработан с целью уточнения требований к внутренней и внешней коммуникации по вопросам СУИБ. Добавлены рекомендации по выбору форм и способов коммуникации.
Пункты 9.2 и 9.3, касающиеся внутреннего аудита и анализа со стороны руководства соответственно, были структурированы в виде подпунктов: 9.2.1 и 9.2.2, а также 9.3.1, 9.3.2 и 9.3.3.
Изменения в требованиях стандарта
В Приложении A структура доменов контроля была пересмотрена. Вместо прежних 14 групп, средства управления теперь сгруппированы по 4 темам:
A.5 — Организационные меры управления (37 контролей)
A.6 — Управление персоналом (8 контролей)
A.7 — Физические меры управления (14 контролей)
A.8 — Технические меры управления (34 контроля)
Общее количество средств управления сократилось с 114 до 93. При этом были добавлены 11 новых контролей, включая:
A.5.7 — Анализ угроз
A.5.23 — Информационная безопасность при использовании облачных сервисов
A.5.30 — Готовность ИКТ к обеспечению непрерывности бизнеса
A.7.4 — Мониторинг физической безопасности
A.8.9 — Управление конфигурацией
A.8.10 — Удаление информации
A.8.11 — Маскирование данных
A.8.12 — Предотвращение утечки данных
A.8.16 — Мониторинг активности
A.8.23 — Веб-фильтрация
A.8.28 — Безопасная разработка программного обеспечения
Обновления отражают актуальные вызовы в области информационной безопасности, включая управление облачными сервисами, обеспечение киберустойчивости и защиту от утечек данных.[6]
Сертификация
СМИБ может быть сертифицирована на соответствие стандарту ISO/IEC 27001 рядом аккредитованных регистраторов по всему миру.[7] Сертификация по любому из признанных национальных вариантов ISO/IEC 27001 (например, JIS Q 27001, японская версия, IAF MLA[8]) аккредитованным органом по сертификации функционально эквивалентна сертификации по самому ISO/IEC 27001.
В некоторых странах органы, проверяющие соответствие систем менеджмента установленным стандартам, называются «органами по сертификации»[9], в других - «регистрационными органами», «органами по оценке и регистрации», «органами по сертификации/регистрации», а иногда и «регистраторами».
Сертификация ISO/IEC 27001, как и другие сертификации систем менеджмента ISO, обычно включает в себя трехэтапный процесс внешнего аудита, определенный стандартами ISO/IEC 17021[10] и ISO/IEC 27006[11]:
стадия 1 — изучение аудитором ключевых документов системы менеджмента информационной безопасности — положение о применимости (SoA), план обработки рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору;
стадия 2 — детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
стадия 3 — выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.
Процедура сертификации системы менеджмента по любому из международных стандартов или их комбинации подразделяется на 4 этапа:
Основные этапы и процедура сертификации систем менеджмента
Подготовка к сертификации
Прежде чем организация сможет пройти сертификационный аудит на соответствие ISO/IEC 27001, необходимо тщательно подготовиться. Этот этап определяет, насколько успешно пройдет сама сертификация, и помогает избежать неожиданных проблем. Подготовка включает несколько ключевых направлений работы.
Первым шагом является анализ текущего состояния системы управления информационной безопасностью. Для этого проводится gap-анализ, в ходе которого сравниваются существующие процессы, политики и документы с требованиями стандарта. Это позволяет выявить слабые места, например, отсутствие регулярного пересмотра рисков или неполный учет информационных активов. Дополнительно оценивается зрелость СУИБ, например, по циклу PDCA (Plan-Do-Check-Act), чтобы понять, насколько процессы отлажены и соответствуют лучшим практикам.
Далее разрабатывается ключевая документация: политика ИБ, заявление о применимости (SoA) и план обработки рисков (RTP). Документы должны быть практичными, а не формальными. Также создаются регламенты по управлению инцидентами и доступом.
Одновременно выбирается сертифицирующий орган с учетом его аккредитации, отраслевого опыта и стоимости услуг. После заключения договора можно приступать к основному аудиту.
1 этап. Предварительный аудит
Предварительный обзор СУИБ. Он включает в себя проверку наличия и полноты ключевой документации, такой как политика информационной безопасности организации, заявление о применимости (SoA) и план обработки рисков (RTP). Аудитор проведет краткую встречу с некоторыми сотрудниками, чтобы проверить, находятся ли их знания требований стандарта на приемлемом уровне. Они решат, готова ли организация к аудиту на этапе 2. Они также обсудят любые проблемы или конкретные ситуации до начала аудита 2-го этапа и определят план аудита, включая темы и то, кто и в какой день необходим.
2 этап. Сертификационный аудит
Более подробный и формальный аудит соответствия, независимая проверка СУИБ на соответствие требованиям, указанным в ISO/IEC 27001. Аудиторы будут искать доказательства, подтверждающие, что система управления была должным образом разработана и внедрена, а также фактически функционирует (например, подтверждая, что комитет по безопасности или аналогичный орган управления регулярно проводит заседания для надзора за СУИБ). Сертификационные аудиты обычно проводятся ведущими аудиторами ISO/IEC 27001. Прохождение этого этапа приводит к тому, что СУИБ получает сертификат соответствия ISO/IEC 27001.
Выдача сертификата и надзор.
После успешного прохождения сертификационного аудита организация получает сертификат соответствия ISO/IEC 27001, подтверждающий, что ее система управления информационной безопасностью соответствует международным требованиям. Однако на этом работа не заканчивается — для поддержания сертификата необходимо регулярно подтверждать соответствие стандарту.
Сертификат выдается на три года, но уже в первый год проводится надзорный аудит, обычно через 9–12 месяцев после основного. Его цель — проверить, продолжает ли компания соблюдать требования ISO/IEC 27001, и выявить возможные отклонения.[11]
Через три года проводится ресертификационный аудит, который по глубине проверки аналогичен первоначальному. Его успешное прохождение продлевает действие сертификата на новый срок.
