Все больше компаний не только всерьез задумываются о системах управления информационной безопасностью, но и хотят, чтобы внедряемая ими система соответствовала международным стандартам. На круглом столе компании КРОК и Ассоциации менеджеров "Мировые стандарты и российская практика построения эффективной системы информационной безопасности" своими взглядами на эти проблемы поделились западные эксперты-профессионалы.

Кто отвечает за риски?

По мнению Кейта Блэкмора, директора по сертификации систем управления информационной безопасностью BSI MS, построение системы управления информационной безопасностью (СУИБ) в большей степени регламентируется стандартом ISO/EIC 27001, а не ISO 17799. Внедрению такой системы посвящен четвертый раздел стандарта, в частности подраздел 4.2. Именно в этой области у многих компаний возникают максимальные проблемы, потому что практические реализация и внедрение системы управления информационной безопасностью в соответствии со стандартом как раз и требуют наибольших усилий. Подраздел 4.2 содержит четыре пункта - "Создание СУИБ", "Внедрение и эксплуатация СУИБ", "Контроль и мониторинг СУИБ" и "Сопровождение и усовершенствование СУИБ".

План по установке СУИБ - фактически ядро всего стандарта. "Это действительно ключевая статья, потому что правильное понимание и внедрение вашей системы управления информационной безопасностью целиком зависят от правильного использования данной статьи, - говорит Кейт Блэкмор. - Если система соответствует данной статье стандарта, то все будет развиваться правильно, сертификация, регистрация и проведение внутреннего аудита будут проходить достаточно легко. Если же система управления информационной безопасностью построена не в соответствии с данной подстатьей стандарта, если она неправильно истолкована или принципы стандарта не соблюдены, то, к сожалению, ситуация будет уже не столь благоприятна".

В первую очередь нужно четко прописать, что относится к области применения системы управления информационной безопасностью. Здесь все зависит от самой компании, потому что эта область применения порой крайне лимитирована. Например, это может быть только ИТ-департамент, или только HR-департамент, или же все предприятие в целом. Далее нужно четко определить политику, поставив цель - что конкретно мы должны отслеживать и каким образом на основании этого будем повышать эффективность работы нашей системы управления информационной безопасностью. "Заявление руководства компании о том, что мы не внедряем какую-то политику, - также политическое заявление, не менее важное, чем заявление о том, что мы будем внедрять эту политику", - считает Кейт Блэкмор.

После определения политики устанавливается систематический подход к оценке рисков. В соответствии с ISO/EIC 27001 здесь можно использовать любую методологию, лишь бы она устраивала компанию. "С точки зрения оценщика, как человек, который внедряет и проверяет действие этого стандарта, я должен сказать, что надо использовать самую простую методологию, - советует Блэкмор. - Здесь подход очень простой: чем проще будете вы, тем проще аудитору будет рассматривать вашу политику и все построение системы управления информационной безопасностью. А если вы будете использовать слишком сложную методологию, то, я могу вас уверить, сертифицированные аудиторы с большой радостью изучат все заковырки в вашем сложном методологическом подходе и обязательно захотят понять, как то или иное преимущество или недостаток в этом сложном подходе реализовано на вашем предприятии".

После того как определена методология систематического подхода к оценке рисков, необходимо определить и выделить сами риски. С практической точки зрения именно в этом подразделе при определении рисков нужно описать, какие ресурсы есть у компании, и определить "владельцев" этих ресурсов, тех, кто за них отвечает. Только эти специалисты могут реально помочь компании определить все угрозы, их воздействие на бизнес-процессы и на систему информационной безопасности, и определить наиболее уязвимые места системы.

Далее нужно оценить, какую опасность риски представляют для бизнес-процессов, какова вероятность реализации таких рисков, каковы уровни реализации таких рисков, насколько они реально могут быть опасны на разных уровнях, и какие действия необходимо предпринять для того, чтобы либо предотвратить, либо свести к минимуму вредоносные последствия от таких рисков.

После оценки рисков обозначаются принципы работы с рисками - то есть оцениваются те уровни контроля, которые на сегодняшний момент существуют в компании, определяется, какие риски приемлемы, каким образом можно принять те или иные риски, избежать их или перенести на какую-то "третью сторону". "Даже если вы и не соотносили это со стандартом, вы в любом случае применяли множество степеней и способов контроля, чтобы избежать тех рисков, которые помешали бы успешности вашей компании. В противном случае вашей компания просто уже не существовало бы", - поясняет Блэкмор. Цели и инструменты контроля безопасности для работы с рисками должны быть описаны в специальном приложении.

В соответствии с требованиями стандарта ISO/EIC 27001 необходимо также составить положение о применении инструментов контроля безопасности. Это уникальный для каждой компании документ, который в соответствии со стандартом и описывает работу СУИБ. В этом положении указывается, где и как применяются методы контроля безопасности, а если не применяются, то почему.

Отдельным пунктом в требованиях стандарта стоит получение одобрения руководства. "Все, что связано с рисками, управление рисками и сама система управления информационной безопасностью - в ведении высшего руководства компании, - подчеркивает Блэкмор. - Эта та самая обязанность, делегировать которую кому-то еще оно не может, потому что именно руководство отвечает за риски и методы работы с рисками".

Важно также следить, как реализуется контроль над рисками, - регулярно проводить обзор и проверять, как эта система работает. И, наконец, уже после успешного внедрения СУИБ следует внимательно изучить остаточные риски, которые остались на предприятии, и определить, являются ли они приемлемыми.

Меньше теории, больше ясности

По мнению Кристофера Гулда, директора компании KPMG, работающего в России над проектами, связанными с сертификацией и проверкой систем внутреннего контроля компаний в соответствии со стандартом BS 7799, главная проблема при внедрении стандартов - то, что на практике получается не совсем то, что изначально задумывалось при разработке. "Нередко разрабатывают огромное количество документов, достаточно комплексных и сложных, вместо того чтобы больше времени проводить, разговаривая с реальными менеджерами и пытаясь понять их требования", - говорит он. Именно тут многие терпят фиаско. Кристофер Гулд говорит, что сталкивался с компаниями, где департамент информационной безопасности пропагандировал внедрение стандарта только для того, чтобы показать, насколько он хорошо работает. "А на самом деле надо заручиться поддержкой руководства и получить задачи по внедрению стандарта именно от них", - уверен он.

В России, по мнению американского эксперта, существует две главные проблемы при стандартизации системы управления информационной безопасностью. Первая связана с политикой информационной безопасности. "В отношении этой политики я заметил, что в вашей стране существует тенденция писать огромные талмуды, наподобие романов Толстого, - рассказывает Кристофер Гулд. - Но несмотря на привычку к многословности документы, утверждаемые у руководства, не должны быть большими по объему". Он приводит пример, когда он на протяжении целой недели спорил с представителями компании, где проводилась стандартизация СУИБ, о том, как должен выглядеть документ в области информационной безопасности. "Когда я говорил, что он должен быть понятным всем, мне говорили: это секретный документ, и он ограничен в распространении", - рассказывает Кристофер Гулд.

Вторая проблема российских компаний связана с оценкой рисков. "Я встречался со сложными, комплексными количественными оценками, которые разрабатывались профессорами, - говорит Кристофер Гулд. - Но тем не менее их разработчики теряли связь с бизнесом, за формулами не видя реальных потребностей бизнеса". Другая сложность связана с определением "принадлежности" информационных активов. Кто является их владельцем? Зачастую, в условиях сложных взаимоотношений среди менеджеров компании, это определяется путем политических игр. Часто люди думают, что они потеряют власть, если в компании что-то внедряется в соответствии с классическими методами стандарта. Но если это делать правильно, то наоборот, авторитет службы безопасности только возрастет.