ISO 27001, ISMS, CISSP – основни понятия и допирателни
CISSP is a registered mark of the International Information Systems Security Certification Consortium in the United States and other countries.
Международният стандарт за управленски системи ISO 27001 осигурява модел, който да се следва за изграждане на действаща система за управление на информационната сигурност (ISMS, Information Security Management System). Моделът е събрал методите, подходите и дефинициите, за които международни експерти в областта са в консенсус, че са „state of the art”. ISO 27001 е група стандарти за ISMS, които са създадени да подпомогнат организации от всякакъв тип и размер да внедрят и управляват ISMS. Групата стандарти се състои от следните международни стандарти под общото заглавие Information technology — Security techniques:
– ISO/IEC 27000:2009, Information security management systems — Overview and vocabulary
– ISO/IEC 27001:2005, Information security management systems — Requirements
– ISO/IEC 27002:2005, Code of practice for information security management
– ISO/IEC 27003, Information security management system implementation guidance
– ISO/IEC 27004, Information security management — Measurement
– ISO/IEC 27005:2008, Information security risk management
– ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems
– ISO/IEC 27007, Guidelines for information security management systems auditing
– ISO/IEC 27011, Information security management guidelines for telecommunications organizations based
Първият документ ISO/IEC 27000:2009(E) осигурява разбиране на базовите понятия и речника на стандарта. Той дава общ преглед на ISMS стандартите, въведение в ISMS, кратко описание на Plan-Do-Check-Act (PDCA) процесът за внедряване и термини и дефиниции, използвани в ISMS стандартите. В него са налични 46 дефиниции, включително на: „актив”, „риск”, „заплаха”, „уязвимост” и др., чието разбиране е основоположно за по-нататъшното внедряване на системата.
Информацията, с която една организацията разполага и оперира, е обект на заплахи, грешки и природни бедствия. За нея е вътрешно присъщо да е уязвима в процеса на използването си. Терминът „информационна сигурност” като цяло се основава на приемането, че информацията е актив, който изисква защита. Позволяването на информацията в нейната цялост и коректност да бъде достъпна за хора и организации, оторизирани да я използват, е катализатор за ефективността на бизнеса.
Координираните действия по ефективно дефиниране, достигане, поддръжка и подобряване на сигурността на информационните активи са основни елементи на information security management system, ISMS. Те водят организацията към внедряване на подходящи контроли и справяне с неприемливи рискове, което допринася за съответствието на организацията с правовите норми в дадена страна и поддържането на нейния имидж.
Какво е ISMS?
ISMS (Information Security Management System) осигурява модел за установяване, внедряване, функциониране, наблюдение, преглед и подобрение на защитата на информационните активи за постигане на целите на бизнеса. Моделът се основава на дългогодишни добри практики. ISMS използва като основа за внедряване оценката на организацията на рисковете за сигурността и дефинирането на приемливи нива на риск, разработени за ефективното му третиране.
Следните основни принципи допринасят за успешното внедряване на ISMS:
– осъзнаване на необходимостта от сигурност на информацията;
– задаване на отговорност за сигурността на информацията;
– съответствие с мениджърската ангажираност и интереса на акционерите;
– поддържане на ценностите на обществото;
– определяне на риска и избор на подходящи контроли за достигане на приемливи нива на риск;
– инкорпориране на сигурността като основен елемент от информационната мрежа и системи;
– активно следене и предотвратяване на инцидентите за информационната сигурност;
– осигуряване на цялостен и задълбочен подход за управление на информационната сигурност;
– постоянно преразглеждане на информационната сигурност и предприемане на подобрения, където е приложимо.
Процесният подход към ISMS, представен в стандарта, е базиран на управленските принципи на всички стандарти ISO, които най-общо могат да се представят като: Plan – Do – Check – Act (PDCA) процес:
a) Plan – поставяне на целите и планиране – на база на анализа на ситуацията в компанията се поставят цели и се развива план за тяхното постигане.
b) Do – внедряване на плана и извършване на планираните действия;
c) Check – измерване на резултатите – мониторинг на степента, в която са постигнати планираните резулати от поставените цели;
d) Act – корекция и подобряване на дейностите – промяна на използваните дейности за постигане на по-добри резултати.
Още преди да стартира внедряването на стандарта, за организациите е важно да си изяснят:
– какви ще са границите на защитата, какъв е размерът на проекта спрямо размера на информационните активи;
– периметърът на информационните активи – всички системи, необходими за приемане, складиране, манипулация и изпращане на информация и всички информационни единици в тези граници;
– какви са отношенията/връзките между тези системи, информационните активи и целите и задачите на организацията;
– кои са системите и активите, които са критични за постигане на целите/задачите на организацията;
– кои са потенциалните заплахи за критичните системи и активи и на техните слаби места и уязвимости.
Определянето на заплахите и уязвимостите (risk assessment) e своеобразен опит да се предскаже бъдещето. Процесът изисква набирането на информация от много източници и осмисляне на многобройни варианти, от които да се обобщят всички възможни заплахи и да се осигурят решения за превенцията им.
Колко време приблизително отнема за внедряването на ISMS в голяма организация при наличие на специалист, изцяло ангажиран във внедряването:
– разбиране на изискванията: 1 месец;
– планиране: 1 месец;
– подготовка на корпоративната политика: 1 месец;
– подготовка на на Statement of Applicability: 2 месеца;
– подготовка на процедури и контроли: 4-6 месеца;
– подготовка на инструкции за функциониране на организацията и ежедневна работа: 5-9 месеца.
Общо време: 15-19 месеца
Допирателната между домейните на CISSP и ISO 27001:
Темите и обхватът на всеки един домейн са:
Domain 1 –Information Security Management
– Concepts & Objectives of security C-I-A triad
– Management tools (such as data classification, security awareness training, risk assessment and risk analysis)
– Risk Management is the identification, measurement, control and minimization of loss associated with uncertain events or risks
Domain 2 -Security Architecture & Models
– Define security models by C-I-A
– Identify security issues and controls associated with architectures and designs
– Principles, structures and standards used to design implement, monitor and secure operating systems, equipment, networks, applications
Domain 3 -Access Control Systems & Methodology
– Outlines information security options
– Builds on Domain 1 precepts, with emphasis on various administrative, physical and technical/logical controls
Domain 4 -Applications & Systems Development
– Security concepts that apply during software development, operation, change control and maintenance processes
– Security applied as a system level attribute
– Security Goals & Threats:
– Knowledge of malicious codes and how they can be introduced in the computing environment
– Tools and techniques to prevent, detect, and correct malicious code attacks
Domain 5 -Operations Security
– Operations Security identifies controls
– Over hardware, media
– and operators/administrators with access privileges to these resources
– Process of safeguarding information assets
– Recovery actions in the event of a security incident
Domain 6 –Cryptography
– Cryptography as
– principles
– means
– and methods
– of disguising information to ensure its confidentiality, integrity, and authenticity
Domain 7 –Physical Security
– Protection techniques for the entire facility
– from the outer perimeter
– to the inside office space
– including data center or server room
Domain 8 -Telecommunications & Network Security
– Describes telecommunications and network security elements as related to transmission of information in LAN, WAN, and remote access
– Defines firewalls, gateways and protocols as associated with Internet, intranet and extranet
– Identifies communication security management and techniques to prevent, detect, and correct errors to ensure information protection over networks
Domain 9 –Business Continuity Planning
– Business Continuity Planning (BCP): addresses the capability to process critical business systems in the event of disruption to normal business data processing operations
– Preparation, testing, maintenance of actions to address BCP
– Program Management
– Vulnerability Assessment
– Plan Development & Maintenance
– Plan Testing
– Prevention
– Disaster Recovery Planning
– Recovery Planning Process
Domain 10 -Law, Investigations, Ethics
– addresses
– computer laws and regulations
– investigative measures
– techniques used to determine existence of a crime,
– methods to gather evidences
Това е и структурата на курса, която New Horizons Bulgaria стартира през ноември 2010 – Training for CISSP certification с водещ Борис Гончаров.
За повече информация потърсете нашите консултанти на тел.: +359 2 421 0040/44, или ни пишете на email: office@newhorizons.bg.
Използвани източници:
– ISO/IEC 27000:2009, Information security management systems – Overview and vocabulary
– Борис Гончаров, IT/IS Manager, G4S Security Services Bulgaria JSC