10 Сентября, 2011

Обобщенная схема СУИБ

Andrey Prozorov
Недавно систематизировал основные элементы СУИБ (по ISO 27001) в виде одной схемы-картинки. Стандартная "разбивка" на текстовые требования п.4-п.8 ISO 27001 и 133 контроля в 11 группах (приложение А стандарта и ISO 27002) меня не устраивала по ряду причин:
  1. Не все процессы СУИБ определены в стандарте в явном виде.
  2. Не видна взаимосвязь между отдельными процессами и блоками требований.
  3. Не определен итоговый перечень документов или хотя бы перечень комплектов документов.
  4. В явном виде не определены "основные" (должны быть обязательно внедрены и отлично функционировать) и "второстепенные" (могут быть внедрены лишь формально) требования и рекомендации стандарта.
  5. Не удобно и тяжело выявлять соответствие / аналогичные требования в других стандартах и лучших практиках, например PCI DSS, СТО БР ИББС, ITIL, Сobit. 
Вот настоящая структура стандарта, все требования сгруппированы, но не очень удобно:



При разработке своей схемы я постарался придерживаться следующих идей/принципов:
  1. Отобразить на схеме важность и степень влияния отдельных элементов СУИБ друг на друга.Именно по этому получилось 4 уровня, соответствующих всем принципам построения логических пирамид. 
    1. Уровень "Стратегическое управление" содержит области ответственности высшего менеджмента организации.
    2. Уровень "Операционное управление" содержит те процессы управления СУИБ, которые должны функционировать в соответствии с ISO 27001. Данные процессы должны контролировать все области и процессы СУИБ. То что данные процессы построены и работают подтверждается при аудитах ИБ наличием накопленных записей процесса (протоколы, журналы, отчеты и пр.).
    3. Уровень "Операционное обеспечение" содержит процессы в основном из ISO 27002, и они предназначены скорее для регулярных операций в жизненном цикле организации. Данные процессы должны контролироваться процессами управления (уровень 2).
    4. Уровень "Требования" содержит те области ИБ, в которых скорее должны быть реализованы отдельные механизмы (требования) защиты, чем процессы. В рамках документационного обеспечения СУИБ на этом уровне будут в основном "политики" и "стандарты".
  2. Сгруппировать требования СУИБ в отдельные области/процессы, под которые можно разрабатывать самостоятельные комплекты документов.Стоит отметить, что для разных организаций они могут быть различными по составу. Так, например, п.4.7. "Криптография" у кого-то может быть реализована только как "Политика использования средств криптографической защиты", а у кого-то это может быть целый комплект документов про УЦ и ЭЦП. Аналогично, у некоторых организаций с высоким уровнем зрелости п.3.1 "Управление ИТ-инфраструктурой" будет состоять из большего числа ITSM-процессов, построенных, например по ITIL V3, в то время, как у других это будут лишь пара документов, описывающих основные договоренности между подразделениями ИТ и ИБ.
  3. Не перегружать схему. Правило "7+-2"
Некоторые моменты взяты из ITIL и Cobit, т.к. там они описаны лучше чем в стандартах серии ISO 27k, поэтому не удивляйтесь, увидев местами иную терминологию, нежели в ISO 27001.
Для некоторых элементов я сделал небольшие комментарии, в основном это те моменты, которые необходимо помнить и понимать, для данной группы.

Схема далее, изучайте и пользуйтесь. Чуть позже я напишу для каждого элемента схемы какие требования стандарта он содержит (ссылки), а также рекомендуемый перечень документов СУИБ для реализации их (требований).

[Обновление от 20.09.2011]
Внес правки в схему. Все же решил перенести "управление персоналом" в "операционное обеспечение", даже не смотря на то, что данный блок сильно отличается от остальных в данной области и другие свои аргументы. Кстати, схема получилась еще более сбалансированной, 3 уровня имеют по 7 областей.