Подготовил и решил опубликовать несколько рекомендаций по внедрению СУИБ. Держите!
1. Поймите зачем вам СУИБ и собираетесь ли вы выходить на сертификацию. Ведь ISO 27001 можно просто использовать в качестве «лучших практик» для совершенствования ИБ…
2. Внедрять СУИБ для сертификации долго и дорого. Обычно это занимает 1.5-2 года. 1 год – это реальный, но скорее оптимистичный срок.
3. Вот первые шаги по внедрению СУИБ:
• Закупите и внимательно изучите ISO 27001, ISO 27002, ISO 27003, ISO 27005, ISO 27006, ISO 27007. На будущее закупите 19011 и 22301. Да, вы можете пользоваться своими собственными копиями, но на сертификации вас спросят про легальность их происхождения…
• Оцените текущее состояние СУИБ (GAP-анализ). Лучше это сделать самостоятельно «на коленке», тратиться на консалтинг пока не стоит. Основные задачи тут две: самостоятельно разобраться с требованиями стандарта и выявить проблемные области.
• Издайте приказ о внедрении СУИБ и назначении ответственного. Кстати, было бы не плохо сразу назначить ответственного за непрерывность, потом пригодится.
• Создайте Комитет по ИБ и проведите первое заседание. На нем презентуйте стандарт, подход к СУИБ и объясните бизнесу зачем все это надо. Необходимо заручиться поддержкой бизнеса, иначе «не взлетит».
• Разработайте и утвердите верхнеуровневую Политику – Декларацию ИБ. Идеальный вариант – одностраничный документ.
• Разберитесь с процессом управления документами, подготовьте шаблоны, поймите кто будет согласовывать документы и поймите их требования. Документов придется разрабатывать много… Подготовьте следующие шаблоны, они очень пригодятся:
i. Шаблон протокола Комитета по ИБ
ii. Шаблон презентации для Комитета по ИБ
iii. Шаблон Политики/Стандарта/Положения/Руководства (требования)
iv. Шаблон Процесса/Процедуры/Регламента (процедура)
v. Шаблон Плана Аудита ИБ
vi. Шаблон отчета по Аудиту ИБ
vii. Шаблон Приказа о…
• Разработайте Устав проекта и План. Даже если это будут просто черновики и верхнеуровневые наброски, то это все равно поможет оценить трудозатраты, длительность и необходимые ресурсы. Вообще, подходить к внедрению СУИБ с точки зрения «лучших практик» управления проектами – это очень хорошая идея: есть конкретный ожидаемый результат, много заинтересованных лиц и участников проекта, большие трудозатраты и все такое… Кстати, заодно задумайтесь о мотивации проектной команды и ожидаемом поощрении/бонусах.
• Разработайте большую Политику/Мануал/Руководство СУИБ, в котором распишите цели и принципы ИБ, роли и ответственность, основные процессы и требования. Я рекомендую сделать следующие приложения к документу (ну, или отдельные документы):
i. Область действия СУИБ (scope)
ii. Перечень заинтересованных сторон и их ожидания
iii. Перечень нормативных требований и «лучшие практики»
iv. Перечень документов СУИБ (для начала ориентировочный)
4. Четко поймите, что для сертификации Процессы и Записи (свидетельства выполнения процессов) важнее документов с требованиями. Записи надо собирать и хранить…
5. Стандартный и удобный период цикла PDCA – один год. Но я бы рекомендовал некоторые процессы СУИБ, например, «измерение ИБ», «оценка ИБ руководством» и «управление рисками» проходить 2 раза за год. Кстати, риски могут считаться и чаще, если это принято на корпоративном уровне, но по моему опыту 2 раза в год – это оптимально (не слишком затратно и видна динамика).
6. Заседания Комитета по ИБ рекомендую проводить ежемесячно и кратко. У нас получается от 20 до 60 минут на совещание, это не сильно напрягает участников.
7. Управление рисками – важнейший и в тоже время сложнейший процесс СУИБ, на аудите его будет проверять особенно тщательно. Есть высокий риск при внедрении СУИБ «заиграться» и потратить слишком много времени на его внедрение (а точнее на выбор методологии и проведение оценки). Если вы не являетесь профессионалом в вопросе оценки рисков (составление моделей угроз для российских регуляторов методом копи-паст, тут, конечно, не в счет), то не усложняйте и используйте ISO 27005 и простые эксельки.
8. Вот еще мысль на будущее: «Если вы не работаете с KRI (ключевые индикаторы риска), то вы не управляете рисками…»
9. Из сложных вопросов внедрения СУИБ я бы выделил только следующие:
• Управление непрерывностью
• Управление рисками
10. А вот эти процессы любят усложнять (для начала не стоит):
• Измерения ИБ (метрики)
• Управления рисками
• Управление инцидентами
• Управление изменениями
• Управление непрерывностью
11. Не надо делать сложных и красивых процедур с их автоматизацией, лучше простые, но рабочие и развивающиеся.
12. А вот эти блоки обычно или забывают или делают очень поверхностно, что создает проблемы на аудите:
• Документирование перечня заинтересованных сторон, их требований и ожиданий.
• Определение целей ИБ и конкретных метрик. «Как вы поймете, что работаете хорошо?». Напомню, что цели ИБ должны быть выровнены с целями бизнеса.
• Документирование области действия СУИБ (scope).
• Определение и контроль требований ИБ, предъявляемых к поставщикам.
• Процесс работы с несоответствиями (NCR) и поиск корневых причин несоответствий (втч позитивных).
• Учет рисков со стороны поставщиков и рисков при изменениях в общем реестре рисков ИБ.
• Контроль версионности документов и записей.
• Процедура увольнения, возвращение активов и отзыв прав доступа.
• Документирование перечня законодательных и нормативных требований к СУИБ, регулярный пересмотр и обновление.
• Разработка SoA (кстати, про SoA я недавно уже писал большую заметку, посмотрите ее - http://80na20.blogspot.com/2019/02/soa.html )
• Соблюдение требований по обработке и защите ПДн.
• Проверка восстановления резервных копий.
• Проверка BCP / DRP.
• Наличие свидельств проведения тренингов повышения осведомленности и обучения сотрудников обучения.
• Наличие программы и планов повышения осведомленности и обучения сотрудников.
• Наличие программы и планов внутренних аудитов.
• Правила и процедуры уничтожения документов и оборудования.
• Проверка компетенции сотрудников, требования по компетенциями и планы по обучению.
• Документирование требований и процедур физической безопасности.
13. Некоторые записи, например, Реестр информационных активов, Реестр рисков ИБ, SoA и некоторые другие удобно делать в Excel. Тут рекомендую создать отдельный лист с таблицей контроля версионности.
14. Обратите внимание чтобы шаблоны и, соответственно, итоговые документы содержали следующие атрибуты:
• Дата и номер документа
• Версия
• Кем согласован / утвержден
• Пометка от конфиденциальности документа
• Номера страниц
15. Желательно в документах уровня Требования и Процедуры указывать область действия документа, назначение, роли и ответственность, порядок и периодичность пересмотра. Метрики для процедур указывать не рекомендую, усложните и запутаетесь.
16. Как писать Политики/Стандарты/Положения? Открывает ISO 27002, читаем, пересказываем своими словами с учетом контекста организации. Для вдохновения еще можем смотреть NIST, SANS и примеры документов из Интернета.
17. Как писать Процедуры/Регламенты? Читаем для вдохновения ISO 27002, COBIT, ITIL, NIST, затем думаем и рисуем черновик схемы процесса, проверяем его на адекватность (еще раз: лучше упрощать) и документируем по шагам.
18. Как вести Записи? В простом, удобном и наглядном шаблоне. Тут тоже упрощайте.
19. Вообще, при разработке документов старайтесь не копи-пастить, а именно писать их с нуля по структуре выбранного шаблона. Так документы будут проще и понятнее, они будут в одном стиле и работать с ними будет удобнее…
20. Если разрабатываете документы на английском языке, то обратите внимание на модальные глаголы Shall (требования), Should (рекомендации) и прочие. Подробнее про их использование прописано в ISO 27000 Приложение А.
21. Пригодится вести хронологию СУИБ (какие ключевые события и когда происходили), я это делаю в Excel.
22. В реестре активов не забудьте указать их владельцев. Рекомендую сразу там же определить требования по доступности активов (пригодится для BCM).
23. Проводите честный внутренний аудит ИБ, документируйте несоответствия и устраняйте их. Или хотя бы планируйте исправление.
24. Типовые ошибки при внедрении СУИБ:
• Отсутствие поддержки руководства.
• Отсутствие поддержки со стороны смежных и вовлеченных подразделений.
• Слишком оптимистичные планы.
• Сложные процедуры согласования и утверждения документов.
• Слишком сложные процедуры (слишком много ролей и размытые зоны ответственности, большое количество записей и их сложность, высокие трудозатраты, наличие сложных метрик, высокие надежды на автоматизацию (если уровень зрелости низкий, то не надо усложнять и гнаться за ней).
• Пренебрежение записями (не собираются, не хранятся).
• Слабое планирование, отсутствие четких приоритетов, «залипание» на отдельных процедурах и требованиях, забывание про важные.
• Отсутствие конкретных целей и слишком большое количество метрик.
• Отсутствие системы мотивации команды проекта.
• Слабая система коммуникации и координации на проекте.
• Излишние надежды на консультантов.
25. Вообще, с консалтингом надо быть аккуратным и стараться внедрять СУИБ собственными силами. Есть ощущение, что зачастую бюджет лучше потратить на обучение команды, закупку шаблонов и тулкитов, и, конечно, заложить бюджет на мотивацию персонала. Стоит задуматься о том, чтобы усилить штат сильными экспертами, а также недорогими специалистами начального уровня, которые будут занимать рутинными задачами (оформление, правка и обновление документов, ведение записей и все такое).
26. Если вы берете консалтинг, то должны четко понимать, что вы от него хотите: экспертизу и шаблоны и/или разгрузку своих специалистов от рутинных задач.
27. У консультантов есть несколько проблемы: они плохо знаю ваш бизнес (контекст), они склонны усложнять (вы же им заплатили деньги -получите тонны бумаги и огромные эксельки), и они настойчиво предлагают различные средства автоматизации, которые вам могут быть пока не нужны.
28. Не стоит ожидать управляемых, измеряемых и автоматизированных процессов, если эти процессы вообще не были внедрены в вашей компании. Это особенно будет заметно на процессах управления рисками, управление инцидентами, управление непрерывностью и оценке эффективности ИБ (измерения).
29. Как проверить опыт и экспертизу консультантов? Попросите примеры или просто шаблоны следующих документов (вас должны насторожить отсутствие этих примеров, их излишняя сложность и навязчивая необходимость высокой зрелости/автоматизации):
• План проекта (с расчетом трудозатрат команды);
• Методика оценки рисков;
• SoA;
• Список заинтересованных сторон и их ожиданий;
• Пример целей и метрик ИБ;
• Описание области действия (scope);
• BCP / DRP.
30. Принципы для успешного внедрения СУИБ:
• СУИБ – командная работа
• Упрощайте! Усложнять будет потом при совершенствовании СУИБ…
• Рано думать об автоматизации, если процессы не внедрены.
• Сфокусируйтесь на текстовой части стандарта, а не на Приложении А.
• Процедуры первичны! СУИБ – это менеджмент, а не технические средства.
• Основная задача – запустить процесс постоянного и осознанного улучшения ИБ.
• Повышайте осведомленность сотрудников о ИБ, СУИБ и проекте. Регулярно и доступно объясняете зачем это все надо…
31. Внедренные другие системы менеджмента (например, СМК) могут как помочь проекту (ряд менеджерских процессов уже могут быть внедрены), так и затормозить проект (придется выравнивать и подстраивать свои процессы).
32. Даже если вы не доведете проект до конца, то вы, так или иначе, усилите ИБ своей компании, да и просто получите хороший и нужный опыт…
На этом пока все, в следующий раз выложу рекомендации по подготовке и прохождению сертификационного аудита.
Стройте СУИБ!
Стройте СУИБ!