презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
1. Построение системы управления
информационной безопасностью на основе
международных стандартов ISO 27xxx
Чучаев Сергей Викторович
к.т.н., эксперт по сертификации СМИБ на соответствие ISO 27001,
член МОО «Ассоциация руководителей служб информационной безопасности»
1
2. Кто владеет информацией - владеет
миром
(Френсис Бэкон)
а также:
Натан Ротшильд,
Уинстон Черчилль, ….
2
3. Что такое информационная
безопасность?
ИНФОРМАЦИЯ
Доступность
Информационная безопасность (information
security): сохранение конфиденциальности,
целостности и доступности информации.
Примечание — Также сюда могут быть включены
другие свойства, такие как подлинность,
подотчётность, неотказуемость и достоверность.
ISO/IEC 27000:2014, п.2.33
Информационная безопасность организации; ИБ организации: Состояние
защищенности интересов организации в условиях угроз в информационной
сфере.
Примечание — Защищенность достигается обеспечением совокупности свойств
информационной безопасности — конфиденциальностью, целостностью, доступностью
информационных активов и инфраструктуры организации. Приоритетность свойств
информационной безопасности определяется значимостью информационных активов
для интересов (целей) организации.
ГОСТ Р 53114-2008, п. 3.2.1
3
4. Как происходит нарушение
безопасности
ISO/IEC 13335-1:2006. Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий
Легенда:
S – защитные меры (контроль)
V – уязвимости
T – угрозы
R – риск
RR – остаточный риск
4
Риск информационной безопасности ассоциируется с вероятностью того, что
имеющиеся угрозы будут материализоваться с использованием уязвимостей
некоторого информационного актива или группы таких активов, принося вред
организации.
7. Цели внедрения системы управления
информационной безопасностью
Выполнение
(соблюдение –
compliance) внешних
требований
Минимизация
финансовых потерь
Оптимизация бизнес-
процессов
Повышение имиджа
(маркетинговый ход)
7
8. Основы для построения СМИБ
ISO 270xx – серия международных стандартов,
определяющих порядок внедрения, развития и
поддержки системы менеджмента информационной
безопасности
CobiT – представляет собой пакет открытых
документов в области управления IT, аудита и IT-
безопасности
ITIL, ISO 200xx – библиотека документов, описывающая
процессы идентификации, планирования, разработки
и поддержки ИТ сервисов в организации
NIST SP 800 Series – серия из более чем 100 документов
по ИТ безопасности
8
9. Некоторые факты об ISO 27001
• ISO 27001 обеспечивает методологию управления
информационной безопасностью в организации.
• ISO 27001 может быть реализован в любой организации,
независимо от вида собственности или размера.
• ISO 27001 создавался на протяжении двух десятилетий (первая
версия BSI 7799-2 вышла в 1998 году) с участием лучших
мировых экспертов в области информационной безопасности.
• ISO 27001 предназначен для целей сертификации, т.е.
независимый орган по сертификации может подтвердить, что
организация внедрила СМИБ в соответствии с требованиями
ISO 27001.
• ISO 27001 является наиболее популярным стандартом
информационной безопасности во всем мире, и многие
компании сертифицированы на соответствие требованиям ISO
27001 (на конец 2012 года было выдано 19577 сертификатов)
9
10. 27001
27002 27000
27004
27011
Отраслевое применение
Телекоммуникации
Финансовые сервисы
Межсекторное
взаимодействие
27003
27005
Управление
рисками
31000
Guide 73
27006
Сертификация
27007
27008
19011
Руководящие указания
по аудиту СМИБ
17021
Руководство по ИБ
Измерения
Свод правил
Требования
Руководство по внедрению
27001+20000-1
Термины и
определения
Требования к органам,
Обеспечивающим аудит и
сертификацию СМИБ
Руководящие указания для
аудиторов по оценке
органов управления
Руководство по аудиту
систем менеджмента
Требования к органам
по сертификации
Словарь
Принципы и
руководство
27016 Организационная экономика
27018
Облачные сервисы
17000
Словарь и основные принципы
31010
Оценка рисков
Отраслевое
применение ISO 27001
27010
27009
27013
27014
27015
Энергетические
сервисные программы27019
27017
ПДн в публичных
облачных сервисах
27x расширение:
27032
27033
27034 и т.д.
Оценка соответствия
Семейство стандартов
ISO/IEC 27k
10
11. Мифы о ISO 270xx
1. Внедрение стандарта приведет к ненужному увеличению
документооборота.
Документация является важной частью реализации требований
ISO 27001, но документация не является самоцелью.
Какие цели может преследовать документирование
деятельности:
• Подтверждение соответствия, т.е. обеспечение
документального подтверждения того, что требования и
установленные цели в действительности выполнены;
• Распространение и сохранения опыта, накопленного
организации (управление знаниями);
• Передача информации как внутри, так и вовне
организации.
Руководство ИТ подразделения Персонал
11
12. Мифы о ISO 270xx
2. Информационная безопасность – это деятельность отдела ИТ
2.1. В понятие безопасность входит не только управление ИТ, но
и управление человеческими ресурсами, физическая
безопасность и т.д
2.2. ИТ подразделение не должен выступать в роли проводника
при построении СУИБ.
- это противоречит принципам независимости.
- у ИТ другие цели и задачи (обеспечить непрерывность
предоставления услуг)
Руководство ИТ подразделения Персонал
12
13. 13
Генеральный
директор
ЗГД по
безопасности
Служба ИБ Служба ИТ
Функциональное
взаимодействие
Организационная
подчиненность
Определение требований,
контроль, предложения по
совершенствованию
Принятие решений,
выделение ресурсов
Реализация
мероприятий по
программно-аппаратной
защите
ЗОНЫ ОТВЕТСТВЕННОСТИ
ЗГД по ИТ
Мифы о ISO 270xx
Пример организационной структуры
14. Мифы о ISO 270xx
3. "Стандарт требует ..."
«Стандарт требует ежеквартальную смену паролей»,
«Стандарт требует проведение проверки персонала на
полиграфе»…
ISO 27001 устанавливает требования к процессу создания,
внедрения, поддержания функционирования и непрерывного
улучшения системы менеджмента информационной
безопасности.
Все остальное – это лучшие практики, описанные в
различного рода документах (NIST SP 800 series, ISO 27002 и
т.д.) и их конкретное применение зависит от организации
Руководство ИТ подразделения Персонал
14
15. Мифы о ISO 270xx
4. Единственная польза от стандарта – это получение
сертификата
Использование сертификата для участия в тендерных
процедурах, либо как средства подтверждения для
существующих и потенциальных потребителей способности
организации защитить их информацию
Руководство ИТ подразделения Персонал
15
16. Почему внедрение ИБ может быть
полезно ИТ
Внедрение ИБ
Экономьте свое
время
Разговаривайте с
руководством на
языке бизнеса
Защитите себя
Стройте свою
карьеру
16
17. Процесс внедрения СМИБ
Получение
одобрения
руководства для
запуска проекта
Установление
проекта (не
обязательный шаг)
Определение
требований
Перечень требований:
законодательных,
регуляторных, и
контрактных (4.1, 4.2)
План проекта
17
18. Процесс внедрения СМИБ
Определение
области
распространения,
целей и
ответственности
Внедрение
поддерживающих
процедур
Разработка
процесса оценки и
обработки риска
Методология оценки
риска
Политика
информационной
безопасности, область
распространения
Цели в области
информационной
безопасности
Процедуры управления
документами,
внутреннего аудита и
т.д.
Критерии принятия
риска
18
19. Процесс внедрения СМИБ
Проведение оценки
и обработки рисков
Разработка профиля
безопасности
Принятие
остаточного риска и
разработка плана
внедрения
управляющих мер
План обработки риска
Таблица оценки рисков
(6.1.2),
Таблица обработки
рисков (6.1.3)
Отчет об оценке и
обработке рисков (6.1.3)
Заявление о
применимости
управляющих мер
(6.1.3)
Принятие остаточных
рисков
19
20. Процесс внедрения СМИБ
Внедрение всех
необходимых мер
управления
Подготовка
программы
обучения и
информирования
персонала в области
ИБ
«Выполнение»
СМИБ
Различные записи,
требуемые
документами СМИБ
Записи
подтверждающие
внедрении
Записи об обучении
20
22. Управление рисками
Управление рисками ИБ представляет
собой непрерывный процесс,
обеспечивающий выявление, оценку и
минимизацию рисков от реализации
угроз информационной безопасности,
направленных на активы организации.
Управление рисками ИБ позволяет:
• получить актуальное представление
об уровне обеспечения
информационной безопасности
организации в текущий момент,
• определить наиболее уязвимые места
в обеспечении защиты информации
организации,
• определить стоимостное обоснование
затрат на обеспечение ИБ,
• минимизировать издержки на
обеспечение ИБ.
22
23. Оценка риска
“Старая методология” (ISO 27001:2005)
Идентификация активов
Идентификация требований бизнеса и законодательства
Оценивание идентифицированных активов с учетом
идентифицированных требований бизнеса и
законодательства, а также последствий нарушения их
конфиденциальности, целостности и доступности
Идентификация значимых угроз и уязвимостей
идентифицированных активов
Оценка вероятности реализации угроз и уязвимостей.
1
2
3
4
5
23
24. Оценка риска
Актив
Цен-
ность
Риск Угроза
Уязви-
мость
Риск
Владе-
лец
Персональ-
ные данные
работников
4
Похищение данных
злоумышленниками
Н Н 4
ОКПопадание в открытый доступ из-за
ошибки оператора
С В 7
Искажение данных вирусом С С 6
Ценность
актива
Уровень угроз
Низкая Средняя Высокая
Уровень уязвимостей
Н С В Н С В Н С В
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
24
25. Оценка риска
Воздейст-
вие на
бизнес
Вероятность инцидента
Очень
низкая
Низкая Средняя Высокое
Очень
высокое
Очень
низкое 0 1 2 3 4
Низкое
1 2 3 4 5
Среднее
2 3 4 5 6
Высокое
3 4 5 6 7
Очень
высокое 4 5 6 7 8
25
26. Оценка риска
“Новая методология” (ISO 27001:2013)
ISO 27001:2013 не устанавливает каких либо требований к
методике оценке рисков, давая организациям право
использовать любую методологию. Например, указанных в ISO
31010:2009, приложение А.
Методология «Актив-уязвимость-угроза-риск», установленная
в ISO 27001:2005 также может использоваться и дает
возможность сохранить преемственность с предыдущими
наработками
Актив
Цен-
ность Риск Угроза
Уязви-
мость
Риск …
Владе-
лец
риска
Персональ-
ные данные
работников
4
Похищение данных
злоумышленниками (личное дело)
Н Н 4 … ОК
Попадание в открытый доступ из-за
ошибки оператора
С В 7 … ОК
Искажение данных вирусом С С 6 … ИТ
26
28. Меры управления
А.5 Политика в области безопасности А.12 Менеджмент компьютеров и сетей
А.6 Организация системы безопасности А.13 Безопасность коммуникаций
А7 Безопасность и персонал А.14 Приобретение, разработка и
обслуживание информационных систем
А.8 Классификация активов и управление А.15 Взаимоотношения с поставщиками
А.9 Управление доступом к системе А.16 Менеджмент инцидентов
А.10 Криптография А.17 Обеспечение непрерывности
бизнеса
А.11 Физическая и внешняя безопасность А.18 Соответствие законодательству
Версия ISO 27001 Классов Мер управления Статус приложения
2005 11 133 обязательное
2013 14 113 нормативное
ISO 27001:2013. Приложение А
29. Примеры мер управления
A.6 Организация системы информационной безопасности
A.6.1 Внутренняя организация
Задача: создать управленческую инфраструктуру, которая бы инициировала
и управляла внедрением и функционированием системы информационной
безопасности в рамках организации
A.6.1.1 Роли и
ответственность в
системе
информационной
безопасности
Должна быть определена и назначена вся
необходимая для системы
информационной безопасности
ответственность.
Не по теме, но заставляет задуматься:
У Вас определены права и ответственность системных администраторов в
части регистрации пользователей, установки ПО, обновлений, доступа к
сетевому оборудованию и т.д.?
29
30. Примеры мер управления
A.8 Управление активами
A.8.1 Управление активами
Задача: идентифицировать активы организации и определить
соответствующую ответственность, связанную с их защитой.
A.8.1.4 Возврат актива Все сотрудники и сторонние пользователи
должны вернуть все активы организации в
ее распоряжение по окончании действия
трудовых соглашений
У Вас ведётся учет ноутбуков, передаваемых сотрудникам?
У Вас ведётся учет USB-flash накопителей, передаваемых сотрудникам?
Существует процедура выдачи и возврата («движение материальных
активов»)?
30
31. Примеры мер управления
A.8 Управление активами
A.8.2 Классификация информации
Задача: гарантировать, что информация имеет уровень защиты,
соответствующий ее значимости для организации.
A.8.2.3 Управление активами Должны быть разработаны и внедрены
процедуры для управления активами в
соответствии с принятой в организации
классификацией информации.
Обработка конфиденциальной информации на компьютерах (например,
разработка конфиденциальных документов) соответствует требованиям?
31
32. Примеры мер управления
A.8 Управление активами
A.8.3 Управление носителями информации
Задача: предотвратить несанкционированное раскрытие, изменение,
удаление или порчу информации, хранящейся на определенном носителе.
A.8.3.1 Управление съемными
носителями
Должны быть внедрены процедуры
управления сменными носителями в
соответствии с принятой в организации
классификацией информации.
Вы знаете кто и какую информацию переписывает на сменные носители?
Вы знаете какие сменные носители подключаются к компьютерам?
32
33. Примеры мер управления
A.9 Управление доступом
A.9.2 Управление доступом пользователей
Задача: гарантировать доступ только авторизованных пользователей и
предотвратить несанкционированный доступ к системам и услугам.
A.9.2.1 Регистрация
пользователей и
отмена регистрации
Должен быть внедрен надлежащим
образом оформленный процесс
регистрации и отмены регистрации
пользователей, обеспечивающий
возможность назначения прав доступа.
Как Вы регистрируете права доступа? По телефонному звонку? По
электронному письму в «свободной форме»?
33
34. Примеры мер управления
A.9 Управление доступом
A.9.2 Управление доступом пользователей
Задача: гарантировать доступ только авторизованных пользователей и
предотвратить несанкционированный доступ к системам и услугам.
A.9.2.3 Управление
привилегированными
правами
Назначение и использование
привилегированных прав доступа должно
быть ограниченным и управляемым.
Ваши системные администраторы имеют доступ ко всем информационным
системам по учетной записи AD?
Ваши системные администраторы исполняют работу не связанную с
необходимостью привилегированного доступа (пишут служебную записку в
Word, читают «свежую прессу» в интернете) под учетной записью
«Администратор»?
34
35. Примеры мер управления
A.9 Управление доступом
A.9.2 Управление доступом пользователей
Задача: гарантировать доступ только авторизованных пользователей и
предотвратить несанкционированный доступ к системам и услугам.
A.9.2.6 Удаление или
изменение прав
пользователя
Права доступа всех сотрудников и
сторонних исполнителей к информации и
устройствам обработки информации
должны удаляться по окончании действия
Как Вы удаляете уволившегося пользователя? Откуда Вы берете информацию
об увольнениях?
Как Вы изменяете права доступа сотрудников при переходе из одного
подразделение в другое?
35
36. Примеры мер управления
A.9 Управление доступом
A.9.3 Обязанности пользователя
Задача: сделать пользователей ответственными за сохранение их
информации для аутентификации.
A.9.3.1 Использование
секретной
информации для
аутентификации
Пользователям должно быть установлено
требование следовать правилам
организации в использовании секретной
информации для аутентификации
Ваши пользователи хранят пароли на клейких листочках на мониторе?
У Вас настроены групповые политики, устанавливающие сложность и длину
паролей?
У Вас запрещено передавать свой пароль другим пользователям и
администраторам?
36
37. Примеры мер управления
A.9 Управление доступом
A.9.4 Управление доступом к системе и приложениям
Задача: предотвратить несанкционированный доступ к системам и
приложениям.
A.9.4.2 Безопасные
процедуры входа в
систему
Там, где это требуется политикой
управления доступом, доступ к системам и
приложениям должен осуществляться в
соответствии с безопасной процедурой
входа в систему.
Все ли информационные системы требуют идентификации и аутентификации?
Не используются ли «общие» учетные записи для входа в систему?
37
38. Примеры мер управления
A.11 Физическая безопасность и защита от природных угроз
A.11.1 Охраняемая территория
Задача: предотвратить несанкционированный физический доступ,
повреждение и воздействие на информацию и средства для обработки
информации организации.
A.11.1.1 Физический периметр
безопасности
Периметры безопасности должны быть
определены и использоваться для защиты
мест нахождения ценной или особо важной
информации и средств для обработки
информации.
Ограничен ли доступ в серверную?
Ограничен ли доступ в бухгалтерию?
Ограничен ли доступ в ОК (часть ОК, где обрабатывается ПДн)?
38
39. Примеры мер управления
A.11 Физическая безопасность и защита от природных угроз
A.11.2 Оборудование
Задача: предотвратить потерю, повреждение, кражу или компрометацию
активов и нарушение деятельности организации.
A.11.2.5 Вынос активов Оборудование, информация или
программное обеспечение не должны быть
выноситься за пределы территории без
предварительного разрешения.
Установлены правила выноса ноутбуков? Кто и как проверяет на «выходе»?
Установлены ли правила хранения дисков с ПО?
39
40. Примеры мер управления
A.11 Физическая безопасность и защита от природных угроз
A.11.2 Оборудование
Задача: предотвратить потерю, повреждение, кражу или компрометацию
активов и нарушение деятельности организации.
A.11.2.6 Безопасность
оборудования и
активов вне
территории
Меры обеспечения безопасности должны
применяться к активам вне территории,
принимая во внимание различные риски
работы вне помещения организации.
Выдавая пользователю ноутбук для деловой поездки, ему объясняют правила
обращения с ним?
По исследованиям InfoWatch на первых местах среди «ошибок сотрудников ведущих к
потерям информации»:
1. Потеря съемных носителей;
2. Потеря мобильных устройств (в т.ч. в результате кражи).
40
41. Примеры мер управления
A.11 Физическая безопасность и защита от природных угроз
A.11.2 Оборудование
Задача: предотвратить потерю, повреждение, кражу или компрометацию
активов и нарушение деятельности организации.
A.11.2.7 Безопасное
списание или
повторное
использование
оборудования
Все единицы оборудования, содержащие
носители данных, должны быть проверены,
чтобы гарантировать, что любые ценные
данные и имеющее лицензию программное
обеспечение удалены или надлежащим
образом переписаны до списания или
повторного использования.
На сданном после поездки ноутбуке стираются данные?
При передаче компьютера новому сотруднику (в т.ч. при использование HDD в
виде запчастей) стираются ли данные предыдущего сотрудника? Степень
надежности? Кто определяет какой компьютер может пойти какому
пользователю («старый» компьютер директора -> ведущему специалисту)?
41
42. Примеры мер управления
A.11 Физическая безопасность и защита от природных угроз
A.11.2 Оборудование
Задача: предотвратить потерю, повреждение, кражу или компрометацию
активов и нарушение деятельности организации.
A.11.2.8 Оставленное без
присмотра
пользовательское
оборудование
Пользователи должны гарантировать, что
у оставленного без присмотра
оборудования имеется соответствующая
защита.
Установлено ли групповыми политиками включение заставки при отсутствии
активности? Выход из режима заставки требует ввода пароля?
42
43. Примеры мер управления
A.12 Безопасный ввод в эксплуатацию
A.12.1 Эксплуатационные процедуры и обязанности
Задача: гарантировать надлежащую и безопасную эксплуатацию средств
обработки информации
A.12.1.2 Управление
изменениями
Изменения в организации, бизнес-
процессах, средствах для обработки
информации и системах, которые влияют
на информационную безопасность,
должны быть управляемыми.
Участвует ли сотрудник, отвечающий за безопасность в согласовании закупки
и внедрения нового сервера, ПО и т.д.? У него есть соответствующие навыки и
квалификация или он подписывает «по формальному признаку»?
43
44. Примеры мер управления
A.12 Безопасный ввод в эксплуатацию
A.12.4 Регистрация и мониторинг
Задача: фиксировать события, чтобы обеспечивать доказательства
A.12.4.3 Регистрация действий
администраторов и
операторов
Должны быть зарегистрированы действия
системных администраторов и операторов,
логи должны быть защищены и регулярно
просматриваться.
Ведётся ли регистрация действий администраторов?
Администраторы имеют доступ к журналам?
Установлены права и ответственность на доступ к журналам?
44
45. Примеры мер управления
A.13 Сетевая безопасность
A.13.2 Передача информации
Задача: обеспечить безопасность информации, передаваемой внутри
организации и за ее пределы
A.13.2.3 Передача
электронных
сообщений
Информация, передаваемая электронными
сообщениями, должна быть
соответственным образом защищена.
Информация о бенефициарах в головную компанию передается в защищенном
виде? (например, зашифрована с помощью средств криптографии)
45
46. Примеры мер управления
A.14 Приобретение, разработка и обслуживание систем
A.14.1 Требования по безопасности информационных систем
Задача: гарантировать, что информационная безопасность является
неотъемлемой частью информационных систем в течение всего их
жизненного цикла. Это также относится и к требованиям для
информационных систем, которые предоставляют сервисы в общедоступных
сетях.
A.14.1.1 Анализ и
спецификация
требований по
информационной
безопасности
Требования, связанные с информационной
безопасностью должны быть включены в
требования для новых информационных
систем или расширения к существующим
информационным системам
Включаются? Кто их разрабатывает? Имеет ли сотрудник соответствующие
навыки и опыт? Установлены ли требованиям к навыкам и опыту в его ДИ?
46
47. Примеры мер управления
A.15 Отношения с поставщиками
A.15.1 Информационная безопасность в отношениях с поставщиками
Задача: гарантировать защиту активов организации, которые доступны
поставщикам
A.15.1.1 Политика
информационной
безопасности в
отношениях с
поставщиками
Требования по информационной
безопасности для снижения рисков,
связанных с доступом поставщиков к
активам организации, должны быть
согласованы с поставщиками и
документированы
Установлены требования по ИБ для обслуживания сторонними поставщиками
информационных систем предприятия (например, 1С:Бухгалтерия)? Эти
требования согласованы с поставщиками, доведены до них?
47
48. Примеры мер управления
A.16 Управление инцидентами в сфере информационной безопасности
A.16.1 Управление инцидентами информационной безопасности и улучшения
Задача: избегать нарушений законодательных, нормативных и иных
обязательных требований или договорных обязательств, имеющих
отношение к информационной безопасности, а также любых требований по
безопасности
A.16.1.7 Сбор
свидетельств
Организация должна определить и применять
процедуры для идентификации, сбора,
получения и сохранения информации, которая
может служить в качестве свидетельств
Собирается ли информация о событиях ИБ? Установлены процедуры сбора,
хранения и т.д.?
48
49. Примеры мер управления
A.18 Соответствие
A.18.1 Соответствие законодательным и договорными требованиям
Задача: гарантировать последовательный и результативный подход к
управлению инцидентами информационной безопасности, включая
информирование о событиях, связанных с безопасностью, и уязвимостях
A.18.1.2 Права интеллекту-
альной собственности
Соответствующие процедуры должны
быть внедрены, чтобы гарантировать
соответствие законодательным,
нормативным и договорным требованиям,
связанным с правами на
интеллектуальную собственность и
использованием программных продуктов,
являющихся чей-то собственностью
Кто исследует реальные потребности пользователей в части ПО?
49
50. Примеры мер управления
A.18 Соответствие
A.18.2 Анализ информационной безопасности
Задача: гарантировать последовательный и результативный подход к
управлению инцидентами информационной безопасности, включая
информирование о событиях, связанных с безопасностью, и уязвимостях
A.18.1.2 Независимый
анализ
информационной
безопасности
Подход организации к управлению
информационной безопасностью и его
реализация (т. е. целевые задачи, средства
управления, политики, процессы и процедуры
по информационной безопасности) должны
анализироваться независимым образом в
запланированные интервалы времени или в
тех случаях, когда происходят существенные
изменения.
Кто проводит проверку результативности внедренных мер безопасности?
50
Двести лет назад Наполеон проигрывал англичанам Битву при Ватерлоо. По легенде, за сражением внимательно наблюдали Натан и Якоб Ротшильды. Кроме финансовых забот, Ротшильды могли позволить себе лишь одно хобби - почтовых голубей. После битвы голуби были немедленно выпущены с шифрованными инструкциями, привязанными к лапкам. Но Ротшильды не хотели рисковать и, едва убедившись, что Наполеон проигрывает сражение, Натан, загоняя дорогих лошадей, сам мчится в Лондон.Утром Натан Ротшильд явился на Лондонскую биржу. Он был единственным в Лондоне, кто знал о поражении Наполеона. Сокрушаясь по поводу успехов Наполеона, он немедленно приступил к массовой продаже своих акций. Все остальные биржевики сразу же последовали его примеру, так как решили, что сражение проиграли англичане. Английские, австрийские и прусские ценные бумаги дешевели с каждой минутой и: оптом скупались агентами Ротшильда. О том, что Наполеон проиграл битву, на бирже узнали лишь через день. Многие держатели ценных бумаг покончили с собой, а Натан заработал 40 миллионов фунтов стерлингов. Реальная информация, полученная раньше других, позволила Ротшильдам вести беспроигрышную игру на бирже.
В семейство 27К входят стандарты, которые:
a) устанавливают требования к самим СОИБ и к органам, проводящим их сертификацию;
b) обеспечивают прямую поддержку, всестороннее консультирование и/или интерпретацию в рамках всего процесса создания, внедрения, сопровождения и развития СОИБ;
c) содержат руководящие указания по использованию СОИБ в рамках определённой сферы их
назначения, и
d) касаются оценки соответствия СОИБ предъявляемым требованиям.
Стандарт не требует множества документов.
Разные источники трактуют требования от 9 до 16 обязательных документов
Управление информационной безопасностью построено на так называемом превентивном принципе, т.е. предупреждающей защите от потенциальных угроз.
Оценка необходимости/возможности внедрения мер защиты происходит с помощью системы управления рисками.
Оценка риска является основой построения СМИБ
Осознанное и объективное принятие риска
Возможно, будут существовать определенные риски, для которых либо организация не сможет подобрать механизмов контроля, либо стоимость реализации механизма контроля превышает потенциальные потери в случае осуществления риска. В таких случаях, может быть принято решение о том, чтобы принять риск и смириться с последствиями его осуществления. Организация должна документировать эти решения таким образом, чтобы руководство было осведомлено о своем положении в отношении риска и могло осознанно принять риск.
Все ключевые владельцы бизнеса должны быть поставлены в известность и согласиться с принятием риска. Поэтому, важно, при принятии риска, проконсультироваться с людьми, рассматривающими проблему с разных сторон, и собрать как можно более достоверную информацию. Различные мнения могут быть получены от людей из других отраслей, не работающих в организации, или, возможно, внутри организации от людей из других функциональных подразделений или географических мест. Более широкое консультирование поможет избежать возможного предубеждения при принятии решения или группового мышления, при котором все участники группы, принимающей решение, ослеплены определенными фактами или элементами риска.
Уменьшение риска
Для всех тех рисков, для которых был выбран вариант, связанный с уменьшением риска, должны быть реализованы соответствующие механизмы контроля для уменьшения рисков до уровня, который был определен как приемлемый или, по крайней мере, как можно ближе к этому уровню. При определении уровня контроля, важно рассматривать требования безопасности, связанные с рисками (т.е. угрозы и уязвимости, требования законодательства и бизнес требования), и все прочие результаты оценки рисков. Механизмы контроля могут уменьшать оцененные риски многими различными способами, например:
уменьшение вероятности использования уязвимости;
уменьшение возможного ущерба в случае осуществления риска, путемобнаружения нежелательных событий, реагирования и восстановления после них.
Передача риска
Передача риска может быть выбрана в случае, если для компании сложно уменьшить риск до приемлемого уровня или контролировать его, либо передача этого риска третьей стороне экономически более оправдана.
Существует несколько механизмов передачи риска другой организации, например, использование страхования. Страховщики, могут определить размер страховой премии, после предоставления им всей относящейся к делу страховой информации (при страховании, компенсация убытков предоставляется в том случае, если осуществляется риск, который укладывается в рамки страхового покрытия).
Другой возможностью является использование третьих сторон или партнеров по аутсорсингу для управления критичными бизнес активами и процессами при условии, что они надлежащим образом оснащены для выполнения этой работы. В этом случае, необходимо позаботиться о получении гарантий того, что все требования безопасности, цели и механизмы контроля включены в соответствующие договора для обеспечения достаточного уровня безопасности.
Избежание риска
Избежание риска означает любые действия, при которых изменяются бизнес активности или способы ведения бизнеса для того, чтобы избежать осуществления риска. Например, избежание риска может быть достигнуто путем:
отказа от определенных бизнес активностей (например, не использования возможностей, предоставляемых электронной коммерцией, или не использования Интернет для осуществления некоторых бизнес активностей);
перемещение активов из зоны риска (например, отказ от хранения конфиденциальных файлов в Интранет сети организации или перемещение активов из зон, недостаточно защищенных физически); или принятия решения о том, чтобы не обрабатывать конкретную конфиденциальную информацию, например, совместно с третьей стороной в случае, если адекватный уровень защиты не может быть гарантирован.
Факторы, влияющие на принятие решения:
Возможные последствия (расходы)
Ожидаемая частота
Готовность к принятию рисков
Простота реализации механизма контроля
Доступные активы
Существующие деловые/технологические приоритеты
Политика организации и руководства
ISO 27001 содержит в своем составе механизмы обработки рисков, внедрение которых позволяет повысить уровень информационной безопасности.