СУИБ: Рекомендации по внедрению

СУИБ: Рекомендации по внедрению
Подготовил и решил опубликовать несколько рекомендаций по внедрению СУИБ. Держите!

1. Поймите зачем вам СУИБ и собираетесь ли вы выходить на сертификацию. Ведь ISO 27001 можно просто использовать в качестве «лучших практик» для совершенствования ИБ…

2. Внедрять СУИБ для сертификации долго и дорого. Обычно это занимает 1.5-2 года. 1 год – это реальный, но скорее оптимистичный срок. 

3. Вот первые шаги по внедрению СУИБ:
Закупите и внимательно изучите ISO 27001, ISO 27002, ISO 27003, ISO 27005, ISO 27006, ISO 27007. На будущее закупите 19011 и 22301. Да, вы можете пользоваться своими собственными копиями, но на сертификации вас спросят про легальность их происхождения…
Оцените текущее состояние СУИБ (GAP-анализ). Лучше это сделать самостоятельно «на коленке», тратиться на консалтинг пока не стоит. Основные задачи тут две: самостоятельно разобраться с требованиями стандарта и выявить проблемные области.
Издайте приказ о внедрении СУИБ и назначении ответственного. Кстати, было бы не плохо сразу назначить ответственного за непрерывность, потом пригодится.
Создайте Комитет по ИБ и проведите первое заседание. На нем презентуйте стандарт, подход к СУИБ и объясните бизнесу зачем все это надо. Необходимо заручиться поддержкой бизнеса, иначе «не взлетит».
Разработайте и утвердите верхнеуровневую Политику – Декларацию ИБ. Идеальный вариант – одностраничный документ.

Разберитесь с процессом управления документами, подготовьте шаблоны, поймите кто будет согласовывать документы и поймите их требования. Документов придется разрабатывать много… Подготовьте следующие шаблоны, они очень пригодятся:
i. Шаблон протокола Комитета по ИБ
ii. Шаблон презентации для Комитета по ИБ
iii. Шаблон Политики/Стандарта/Положения/Руководства (требования)
iv. Шаблон Процесса/Процедуры/Регламента (процедура)
v. Шаблон Плана Аудита ИБ
vi. Шаблон отчета по Аудиту ИБ
vii. Шаблон Приказа о…

Разработайте Устав проекта и План. Даже если это будут просто черновики и верхнеуровневые наброски, то это все равно поможет оценить трудозатраты, длительность и необходимые ресурсы. Вообще, подходить к внедрению СУИБ с точки зрения «лучших практик» управления проектами – это очень хорошая идея: есть конкретный ожидаемый результат, много заинтересованных лиц и участников проекта, большие трудозатраты и все такое… Кстати, заодно задумайтесь о мотивации проектной команды и ожидаемом поощрении/бонусах.

Разработайте большую Политику/Мануал/Руководство СУИБ, в котором распишите цели и принципы ИБ, роли и ответственность, основные процессы и требования. Я рекомендую сделать следующие приложения к документу (ну, или отдельные документы):
i. Область действия СУИБ (scope)
ii. Перечень заинтересованных сторон и их ожидания
iii. Перечень нормативных требований и «лучшие практики»
iv. Перечень документов СУИБ (для начала ориентировочный)

4. Четко поймите, что для сертификации Процессы и Записи (свидетельства выполнения процессов) важнее документов с требованиями. Записи надо собирать и хранить…

5. Стандартный и удобный период цикла PDCA – один год. Но я бы рекомендовал некоторые процессы СУИБ, например, «измерение ИБ», «оценка ИБ руководством» и «управление рисками» проходить 2 раза за год. Кстати, риски могут считаться и чаще, если это принято на корпоративном уровне, но по моему опыту 2 раза в год – это оптимально (не слишком затратно и видна динамика).

6. Заседания Комитета по ИБ рекомендую проводить ежемесячно и кратко. У нас получается от 20 до 60 минут на совещание, это не сильно напрягает участников. 

7. Управление рисками – важнейший и в тоже время сложнейший процесс СУИБ, на аудите его будет проверять особенно тщательно. Есть высокий риск при внедрении СУИБ «заиграться» и потратить слишком много времени на его внедрение (а точнее на выбор методологии и проведение оценки). Если вы не являетесь профессионалом в вопросе оценки рисков (составление моделей угроз для российских регуляторов методом копи-паст, тут, конечно, не в счет), то не усложняйте и используйте ISO 27005 и простые эксельки.

8. Вот еще мысль на будущее: «Если вы не работаете с KRI (ключевые индикаторы риска), то вы не управляете рисками…»

9. Из сложных вопросов внедрения СУИБ я бы выделил только следующие:
Управление непрерывностью
Управление рисками

10. А вот эти процессы любят усложнять (для начала не стоит):
Измерения ИБ (метрики)
Управления рисками
Управление инцидентами
Управление изменениями
Управление непрерывностью

11. Не надо делать сложных и красивых процедур с их автоматизацией, лучше простые, но рабочие и развивающиеся.

12. А вот эти блоки обычно или забывают или делают очень поверхностно, что создает проблемы на аудите:
Документирование перечня заинтересованных сторон, их требований и ожиданий.
Определение целей ИБ и конкретных метрик. «Как вы поймете, что работаете хорошо?». Напомню, что цели ИБ должны быть выровнены с целями бизнеса.
Документирование области действия СУИБ (scope).
Определение и контроль требований ИБ, предъявляемых к поставщикам.
Процесс работы с несоответствиями (NCR) и поиск корневых причин несоответствий (втч позитивных).
Учет рисков со стороны поставщиков и рисков при изменениях в общем реестре рисков ИБ.
Контроль версионности документов и записей. 
Процедура увольнения, возвращение активов и отзыв прав доступа.
Документирование перечня законодательных и нормативных требований к СУИБ, регулярный пересмотр и обновление.
Разработка SoA (кстати, про SoA я недавно уже писал большую заметку, посмотрите ее -  http://80na20.blogspot.com/2019/02/soa.html )
Соблюдение требований по обработке и защите ПДн.
Проверка восстановления резервных копий.
Проверка BCP / DRP.
Наличие свидельств проведения тренингов повышения осведомленности и обучения сотрудников обучения.
Наличие программы и планов повышения осведомленности и обучения сотрудников.
Наличие программы и планов внутренних аудитов.
Правила и процедуры уничтожения документов и оборудования.
Проверка компетенции сотрудников, требования по компетенциями и планы по обучению.
Документирование требований и процедур физической безопасности.

13. Некоторые записи, например, Реестр информационных активов, Реестр рисков ИБ, SoA и некоторые другие удобно делать в Excel. Тут рекомендую создать отдельный лист с таблицей контроля версионности.

14. Обратите внимание чтобы шаблоны и, соответственно, итоговые документы содержали следующие атрибуты:
Дата и номер документа
Версия
Кем согласован / утвержден
Пометка от конфиденциальности документа
Номера страниц

15. Желательно в документах уровня Требования и Процедуры указывать область действия документа, назначение, роли и ответственность, порядок и периодичность пересмотра. Метрики для процедур указывать не рекомендую, усложните и запутаетесь.

16. Как писать Политики/Стандарты/Положения? Открывает ISO 27002, читаем, пересказываем своими словами с учетом контекста организации. Для вдохновения еще можем смотреть NIST, SANS и примеры документов из Интернета.

17. Как писать Процедуры/Регламенты? Читаем для вдохновения ISO 27002, COBIT, ITIL, NIST, затем думаем и рисуем черновик схемы процесса, проверяем его на адекватность (еще раз: лучше упрощать) и документируем по шагам. 

18. Как вести Записи? В простом, удобном и наглядном шаблоне. Тут тоже упрощайте.

19. Вообще, при разработке документов старайтесь не копи-пастить, а именно писать их с нуля по структуре выбранного шаблона. Так документы будут проще и понятнее, они будут в одном стиле и работать с ними будет удобнее…

20. Если разрабатываете документы на английском языке, то обратите внимание на модальные глаголы Shall (требования), Should (рекомендации) и прочие. Подробнее про их использование прописано в ISO 27000 Приложение А. 

21. Пригодится вести хронологию СУИБ (какие ключевые события и когда происходили), я это делаю в Excel.

22. В реестре активов не забудьте указать их владельцев. Рекомендую сразу там же определить требования по доступности активов (пригодится для BCM).

23. Проводите честный внутренний аудит ИБ, документируйте несоответствия и устраняйте их. Или хотя бы планируйте исправление.

24. Типовые ошибки при внедрении СУИБ:
Отсутствие поддержки руководства.
Отсутствие поддержки со стороны смежных и вовлеченных подразделений.
Слишком оптимистичные планы.
Сложные процедуры согласования и утверждения документов.
Слишком сложные процедуры (слишком много ролей и размытые зоны ответственности, большое количество записей и их сложность, высокие трудозатраты, наличие сложных метрик, высокие надежды на автоматизацию (если уровень зрелости низкий, то не надо усложнять и гнаться за ней).
Пренебрежение записями (не собираются, не хранятся).
Слабое планирование, отсутствие четких приоритетов, «залипание» на отдельных процедурах и требованиях, забывание про важные.
Отсутствие конкретных целей и слишком большое количество метрик.
Отсутствие системы мотивации команды проекта.
Слабая система коммуникации и координации на проекте.
Излишние надежды на консультантов.

25. Вообще, с консалтингом надо быть аккуратным и стараться внедрять СУИБ собственными силами. Есть ощущение, что зачастую бюджет лучше потратить на обучение команды, закупку шаблонов и тулкитов, и, конечно, заложить бюджет на мотивацию персонала. Стоит задуматься о том, чтобы усилить штат сильными экспертами, а также недорогими специалистами начального уровня, которые будут занимать рутинными задачами (оформление, правка и обновление документов, ведение записей и все такое).

26. Если вы берете консалтинг, то должны четко понимать, что вы от него хотите: экспертизу и шаблоны и/или разгрузку своих специалистов от рутинных задач.

27. У консультантов есть несколько проблемы: они плохо знаю ваш бизнес (контекст), они склонны усложнять (вы же им заплатили деньги -получите тонны бумаги и огромные эксельки), и они настойчиво предлагают различные средства автоматизации, которые вам могут быть пока не нужны.

28. Не стоит ожидать управляемых, измеряемых и автоматизированных процессов, если эти процессы вообще не были внедрены в вашей компании. Это особенно будет заметно на процессах управления рисками, управление инцидентами, управление непрерывностью и оценке эффективности ИБ (измерения).

29. Как проверить опыт и экспертизу консультантов? Попросите примеры или просто шаблоны следующих документов (вас должны насторожить отсутствие этих примеров, их излишняя сложность и навязчивая необходимость высокой зрелости/автоматизации):
План проекта (с расчетом трудозатрат команды);
Методика оценки рисков;
SoA;
Список заинтересованных сторон и их ожиданий;
Пример целей и метрик ИБ;
Описание области действия (scope);
BCP / DRP.

30. Принципы для успешного внедрения СУИБ:
СУИБ – командная работа
Упрощайте! Усложнять будет потом при совершенствовании СУИБ…
Рано думать об автоматизации, если процессы не внедрены.
Сфокусируйтесь на текстовой части стандарта, а не на Приложении А.
Процедуры первичны! СУИБ – это менеджмент, а не технические средства.
Основная задача – запустить процесс постоянного и осознанного улучшения ИБ.
Повышайте осведомленность сотрудников о ИБ, СУИБ и проекте. Регулярно и доступно объясняете зачем это все надо…

31. Внедренные другие системы менеджмента (например, СМК) могут как помочь проекту (ряд менеджерских процессов уже могут быть внедрены), так и затормозить проект (придется выравнивать и подстраивать свои процессы).

32. Даже если вы не доведете проект до конца, то вы, так или иначе, усилите ИБ своей компании, да и просто получите хороший и нужный опыт…

На этом пока все, в следующий раз выложу рекомендации по подготовке и прохождению сертификационного аудита.

Стройте СУИБ!
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

Andrey Prozorov

Информационная безопасность в России и мире