Семейство стандартов ISO 27000: Основы информационной безопасности

Введение в серию ISO 27000: Обзор, терминология и роль СМИБ

Добро пожаловать в курс по семейству стандартов ISO 27000. В современном мире информация стала одним из самых ценных активов любой организации. Будь то база данных клиентов, финансовые отчеты или интеллектуальная собственность — потеря или утечка этих данных может стоить компании репутации и миллионов долларов.

В этой первой статье мы разберем фундамент информационной безопасности: что такое серия стандартов ISO 27000, зачем она нужна и что скрывается за аббревиатурой СМИБ.

Что такое семейство стандартов ISO 27000?

Серия ISO/IEC 27000 (часто называемая просто «семейство ISO 27000») — это группа международных стандартов, которые предоставляют рекомендации по управлению информационной безопасностью.

Эти стандарты разрабатываются совместно двумя организациями:

ISO (International Organization for Standardization) — Международная организация по стандартизации.

IEC (International Electrotechnical Commission) — Международная электротехническая комиссия.

Главная цель этого семейства — помочь организациям любого типа и размера защищать свои информационные активы.

!Визуализация семейства стандартов ISO 27000, покрывающего различные аспекты безопасности

Важно понимать, что это не один документ, а целая библиотека. Каждый стандарт в этой серии имеет свой номер и назначение, например: * ISO/IEC 27000 — Словарь и обзор. * ISO/IEC 27001 — Требования (самый главный стандарт). * ISO/IEC 27002 — Свод практик и мер контроля. * ISO/IEC 27005 — Управление рисками.

Ключевое понятие: СМИБ (ISMS)

Центральным элементом всей серии является понятие СМИБ — Система Менеджмента Информационной Безопасности (в английском варианте — ISMS, Information Security Management System).

Многие ошибочно полагают, что информационная безопасность — это только антивирусы, фаерволы и сложные пароли. Однако технологии — это лишь инструменты. СМИБ — это процесс управления.

> Система менеджмента информационной безопасности (СМИБ) — это часть общей системы управления организации, основанная на подходе бизнес-рисков, предназначенная для создания, внедрения, эксплуатации, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Простыми словами, СМИБ — это набор правил, процедур, людей и технологий, которые работают вместе, чтобы защитить информацию. Это не разовое действие («мы установили антивирус»), а постоянный цикл улучшений.

Почему важен системный подход?

Представьте себе банк с самой толстой стальной дверью в хранилище (технология). Но если охранник оставляет ключ под ковриком (человеческий фактор) или нет процедуры проверки личности инкассаторов (процесс), то стальная дверь бесполезна. СМИБ связывает все эти элементы воедино.

Триада информационной безопасности

В основе ISO 27000 лежит классическая модель безопасности, известная как Триада CIA (не путать с ЦРУ). В русском языке это триада КЦД:

Конфиденциальность (Confidentiality)

Информация доступна только тем, кто имеет на это право. Пример нарушения: Хакер украл базу паролей пользователей.

Целостность (Integrity)

Информация является точной, полной и не была изменена без авторизации. Пример нарушения: Вирус изменил цифры в финансовом отчете компании.

Доступность (Availability)

Авторизованные пользователи имеют доступ к информации и связанным с ней активам, когда это необходимо. Пример нарушения: Сайт интернет-магазина «упал» из-за DDoS-атаки в «Черную пятницу».

!Триада информационной безопасности (КЦД)

Любая мера безопасности, которую вы внедряете, направлена на защиту одного или нескольких из этих трех свойств.

Обзор ключевых стандартов серии

Хотя в семействе десятки документов, для начала работы вам необходимо знать разницу между двумя «гигантами»: ISO 27001 и ISO 27002.

ISO/IEC 27001: Требования

Это единственный стандарт, по которому организация может пройти официальную сертификацию. Он содержит слово «должен» (shall).

Он описывает каркас системы: как планировать безопасность, как распределять роли, как оценивать риски и как проводить внутренние аудиты. Он не говорит вам, какой длины должен быть пароль, но он требует, чтобы у вас был процесс управления паролями.

ISO/IEC 27002: Свод практик

Если 27001 говорит «что делать», то 27002 подсказывает «как это можно сделать». Это набор рекомендаций и лучших практик (controls).

В нем подробно описаны конкретные меры защиты, такие как: * Политика чистого стола и чистого экрана. * Управление сменными носителями. * Контроль доступа к исходному коду. * Физическая охрана периметра.

Таблица различий

| Характеристика | ISO/IEC 27001 | ISO/IEC 27002 | | :--- | :--- | :--- | | Назначение | Определяет требования к системе управления (СМИБ) | Предоставляет руководство по реализации мер защиты | | Сертификация | Возможна (компания получает сертификат) | Невозможна (это справочное руководство) | | Стиль изложения | Обязательный («Организация должна...») | Рекомендательный («Следовало бы...») | | Фокус | Менеджмент, риски, процессы | Технические и организационные детали |

Основные термины ISO 27000

Чтобы говорить на одном языке с аудиторами и специалистами по безопасности, важно понимать словарь серии (ISO 27000):

* Актив (Asset): Все, что имеет ценность для организации. Это может быть информация (база данных), физический объект (ноутбук), программное обеспечение или даже репутация. * Риск (Risk): Влияние неопределенности на цели. В контексте ИБ — это вероятность того, что угроза использует уязвимость актива и нанесет ущерб. * Угроза (Threat): Потенциальная причина нежелательного инцидента (например, пожар, хакер, нелояльный сотрудник). * Уязвимость (Vulnerability): Слабость актива или меры контроля, которую может использовать угроза (например, отсутствие патча безопасности, открытая дверь в серверную).

Зачем внедрять ISO 27000?

Внедрение стандартов требует времени и ресурсов. Зачем бизнесу это нужно?

Доверие клиентов и партнеров. Сертификат ISO 27001 — это знак качества, подтверждающий, что вы заботитесь о данных клиентов.

Соответствие законодательству. Многие законы (например, о персональных данных) требуют мер защиты, которые уже заложены в ISO.

Снижение убытков. Системный подход помогает предотвращать инциденты, а не только тушить пожары, когда они уже случились.

Конкурентное преимущество. В тендерах крупных корпораций наличие сертификата часто является обязательным условием.

Заключение

Семейство стандартов ISO 27000 — это не просто набор бюрократических правил. Это проверенная временем методология построения надежной системы защиты информации. В центре этой системы стоит СМИБ, которая объединяет людей, процессы и технологии для обеспечения конфиденциальности, целостности и доступности данных.

В следующей статье мы углубимся в структуру стандарта ISO/IEC 27001 и разберем, из каких конкретных этапов состоит построение СМИБ.

Стандарт ISO/IEC 27001: Структура и обязательные требования к организации

В предыдущей статье мы познакомились с понятием СМИБ (Система Менеджмента Информационной Безопасности) и узнали, что ISO/IEC 27001 — это главный стандарт, содержащий требования, по которым можно пройти сертификацию. Но что именно написано в этом документе? Нужно ли вам покупать определенное оборудование или нанимать хакеров?

На самом деле, ISO 27001 — это не техническая инструкция по настройке фаервола. Это управленческий стандарт. Он говорит о том, как организовать процессы.

В этой статье мы подробно разберем структуру стандарта, пройдемся по его обязательным разделам (с 4 по 10) и поймем, что конкретно должна сделать организация, чтобы соответствовать этим требованиям.

Структура высокого уровня (High Level Structure)

Если ваша компания уже сталкивалась с другими стандартами ISO, например, ISO 9001 (менеджмент качества), то структура ISO 27001 покажется вам знакомой. Это не случайно.

Все современные стандарты систем менеджмента ISO строятся по единому шаблону, который называется Annex SL или Структура высокого уровня. Это сделано для того, чтобы организации могли легко интегрировать разные стандарты (например, качество, экологию и безопасность) в единую бизнес-систему.

Стандарт состоит из вводных глав (0–3), которые носят справочный характер, и основных разделов (4–10), содержащих обязательные требования.

!Структура основных разделов стандарта ISO 27001

Давайте разберем каждый из этих «обязательных» разделов. Именно их будет проверять аудитор при сертификации.

Раздел 4: Контекст организации

Все начинается не с покупки антивируса, а с понимания того, кто вы и где находитесь. Этот раздел требует от организации ответить на фундаментальные вопросы.

4.1 Понимание организации и ее контекста

Вы должны определить внутренние и внешние факторы, влияющие на вашу безопасность. * Внешние факторы: законы страны, требования регуляторов, конкурентная среда, технологические тренды. * Внутренние факторы: корпоративная культура, имеющиеся ресурсы, структура управления.

4.2 Потребности заинтересованных сторон

Кто заинтересован в вашей безопасности? Это не только акционеры. Это клиенты (хотят сохранности данных), сотрудники (хотят стабильности), государство (хочет соблюдения законов) и партнеры. Вы должны составить список этих сторон и их требований.

4.3 Область действия СМИБ (Scope)

Это один из самых критичных пунктов. Вы должны четко очертить границы: что именно вы защищаете? * Входит ли в систему филиал в другом городе? * Включаем ли мы облачные сервисы? * Касается ли это только отдела разработки или всей бухгалтерии тоже?

> Нельзя защищать «всё и сразу». Четкое определение границ (Scope) — залог успешного внедрения.

Раздел 5: Лидерство

Без поддержки руководства любая система безопасности обречена на провал. Раздел 5 закрепляет ответственность топ-менеджмента.

Руководство обязано:

Демонстрировать лидерство и приверженность (выделять бюджет, ресурсы, поддерживать инициативы).

Утвердить Политику информационной безопасности — главный документ верхнего уровня, декларирующий цели компании в сфере ИБ.

Распределить роли и ответственность. Кто отвечает за резервное копирование? А кто за выдачу доступов? Это должно быть зафиксировано документально.

Раздел 6: Планирование

Это «мозг» вашей системы безопасности. Здесь происходит управление рисками.

6.1 Действия по обработке рисков

Организация должна: * Определить методику оценки рисков. * Выявить риски (что может пойти не так?). * Оценить их (какова вероятность и ущерб?). * Выбрать способ обработки риска (снизить, принять, избежать или передать).

Результатом этого этапа становится документ под названием Statement of Applicability (SoA) или Декларация о применимости. В нем вы перечисляете, какие меры защиты вы решили внедрить для снижения рисков.

6.2 Цели информационной безопасности

Безопасность ради безопасности не работает. У вас должны быть измеримые цели. Например: «Снизить количество инцидентов с фишингом на 20% за год» или «Обеспечить доступность серверов на уровне 99.9%».

Раздел 7: Поддержка (Support)

Чтобы планы стали реальностью, нужны ресурсы. Раздел 7 описывает необходимый фундамент.

* Ресурсы: Люди, бюджет, инфраструктура. * Компетентность: Ваши сотрудники должны обладать нужными навыками. Если навыков нет — нужно обучение. * Осведомленность (Awareness): Каждый сотрудник, от уборщицы до директора, должен знать о политике безопасности и понимать последствия ее нарушения. * Документированная информация: Стандарт требует вести документацию. Но не ради бюрократии, а для подтверждения того, что процессы работают.

Раздел 8: Функционирование (Operation)

Это этап «делания» (Do). Здесь вы реализуете то, что запланировали в разделе 6.

Вы должны:

Внедрить процессы, необходимые для выполнения требований безопасности.

Регулярно проводить оценку рисков (риски меняются, появляются новые угрозы).

Реализовывать план обработки рисков (внедрять конкретные меры защиты).

Раздел 9: Оценка эффективности

Как узнать, что ваша система работает? Нельзя просто верить на слово.

9.1 Мониторинг и измерение

Вы должны собирать метрики. Сколько было атак? Как быстро мы их отразили? Работают ли бэкапы?

9.2 Внутренний аудит

Это обязательное требование. Организация должна регулярно (обычно раз в год) проводить внутреннюю проверку самой себя. Аудиторы (свои сотрудники или приглашенные консультанты) проверяют, соответствует ли реальность написанным политикам.

9.3 Анализ со стороны руководства

Топ-менеджмент должен регулярно собираться, смотреть на отчеты по рискам, аудитам и инцидентам, и решать: «Адекватна ли наша система текущим угрозам?».

Раздел 10: Улучшение

Идеальных систем не бывает. Инциденты будут случаться. Главное — как вы на них реагируете.

* Несоответствия и корректирующие действия: Если произошел сбой или аудит выявил проблему, вы должны не просто «залатать дыру», а найти корневую причину и устранить ее, чтобы ситуация не повторилась. * Постоянное улучшение: СМИБ — это не проект с датой окончания. Это бесконечный процесс совершенствования.

Цикл PDCA в ISO 27001

Все вышеперечисленные разделы укладываются в классическую модель управления Деминга-Шухарта: Plan-Do-Check-Act (Планируй-Делай-Проверяй-Действуй).

!Соотнесение разделов стандарта ISO 27001 с циклом PDCA

Plan (Планируй): Разделы 4, 5, 6, 7. Мы понимаем контекст, оцениваем риски и готовим ресурсы.

Do (Делай): Раздел 8. Мы внедряем меры защиты и управляем процессами.

Check (Проверяй): Раздел 9. Мы проводим аудиты и мониторинг.

Act (Действуй): Раздел 10. Мы исправляем ошибки и улучшаем систему.

А где же пароли и антивирусы?

Вы могли заметить, что в разделах 4–10 почти нет конкретики про длину паролей или шифрование дисков.

Дело в том, что конкретные меры защиты (controls) вынесены в отдельное приложение — Приложение А (Annex A).

Приложение А — это список из 93 (в версии 2022 года) мер безопасности, сгруппированных по темам (организационные, технические, физические и т.д.).

Логика стандарта такова:

В разделе 6 (Планирование) вы находите риски.

Чтобы закрыть эти риски, вы идете в Приложение А и выбираете оттуда подходящие «лекарства» (меры защиты).

Вы не обязаны внедрять все меры из Приложения А, но вы должны обосновать, почему вы исключили те или иные пункты (в документе SoA).

Заключение

Структура ISO 27001 построена логично и последовательно. Она не навязывает конкретные технологии, а заставляет организацию построить работающий механизм управления рисками.

Главное, что нужно запомнить: * Основа стандарта — разделы 4–10 (требования к системе). * Инструментарий защиты — Приложение А (меры контроля). * Двигатель системы — цикл PDCA.

В следующей статье мы перейдем к самому сложному и интересному этапу внедрения — Управлению рисками. Мы разберем, как правильно идентифицировать угрозы и как не утонуть в таблицах с вероятностями.

Управление рисками информационной безопасности согласно ISO/IEC 27005

В предыдущих статьях мы разобрали фундамент серии ISO 27000 и структуру главного стандарта — ISO/IEC 27001. Мы выяснили, что сердце системы менеджмента информационной безопасности (СМИБ) — это риск-ориентированный подход. Стандарт ISO 27001 требует от нас управлять рисками, но он довольно скуп на детали того, как именно это делать.

Здесь на сцену выходит ISO/IEC 27005 «Руководство по управлению рисками информационной безопасности». Если ISO 27001 говорит «что делать», то ISO 27005 подробно объясняет «как».

В этой статье мы разберем процесс управления рисками от начала до конца: как находить уязвимости, как оценивать вероятность взлома и, самое главное, что делать с выявленными проблемами.

Что такое риск в информационной безопасности?

Прежде чем управлять рисками, нужно договориться о терминах. В быту мы часто путаем угрозы и риски. В контексте ISO это разные вещи.

Риск всегда складывается из взаимодействия трех элементов:

Актив (Asset): То, что имеет ценность (база данных, сервер, репутация).

Угроза (Threat): Потенциальная причина инцидента (хакер, пожар, вирус).

Уязвимость (Vulnerability): Слабость, позволяющая угрозе навредить активу (отсутствие антивируса, слабый пароль, деревянная дверь).

!Диаграмма Венна, показывающая, что риск возникает только там, где пересекаются актив, угроза и уязвимость

Если у вас есть угроза (хакер), но нет уязвимости (система идеально защищена) — риска нет. Если есть уязвимость (открытая дверь), но нет актива (комната пуста) — риска тоже нет.

Процесс управления рисками

ISO/IEC 27005 предлагает циклический процесс, который состоит из нескольких ключевых этапов. Это не разовая акция, а постоянная работа.

Этап 1: Установление контекста (Context Establishment)

Нельзя просто сесть и начать выписывать риски. Сначала нужно определить правила игры. На этом этапе организация решает: * Критерии оценки риска: Как мы будем измерять ущерб? В деньгах? В часах простоя? В репутационных потерях? * Критерии принятия риска (Risk Acceptance Criteria): Какой уровень риска мы считаем допустимым? Например, мы готовы потерять 100 долларов, но не готовы потерять 1 миллион.

Этап 2: Оценка рисков (Risk Assessment)

Это самая трудоемкая часть процесса. Она делится на три подэтапа.

#### 1. Идентификация рисков (Risk Identification) Вы должны составить список всего, что может пойти не так. Для этого нужно ответить на вопросы: * Какие у нас есть активы? (Ноутбуки, сервера, документы) * Какие угрозы для них актуальны? (Кража, залив водой, DDOS-атака) * Какие уязвимости существуют? (Нет шифрования, сервер в подвале, старое ПО)

#### 2. Анализ рисков (Risk Analysis) Теперь, когда у нас есть список сценариев (например, «Кража ноутбука бухгалтера»), нам нужно понять, насколько это серьезно. Для этого используется формула оценки величины риска.

В простейшем виде формула выглядит так:

Где: * (Risk) — величина риска. * (Likelihood) — вероятность возникновения события (как часто это может случиться). * (Impact) — влияние или ущерб (насколько больно будет бизнесу).

Например, вероятность пожара в серверной низкая (1 балл), но ущерб катастрофический (10 баллов). Риск = 10. Вероятность фишинга высокая (8 баллов), ущерб средний (3 балла). Риск = 24. В данной системе координат фишинг для нас опаснее пожара.

#### 3. Оценивание рисков (Risk Evaluation) На этом шаге мы сравниваем полученные цифры с нашими критериями из первого этапа. Мы ранжируем риски от самых критичных до незначительных и решаем, какие из них требуют немедленного вмешательства.

!Матрица рисков, помогающая визуально определить приоритетность угроз

Этап 3: Обработка рисков (Risk Treatment)

Мы нашли риски и оценили их. Что делать дальше? ISO 27005 предлагает четыре основные стратегии обработки риска. Их легко запомнить.

| Стратегия | Описание | Пример | | :--- | :--- | :--- | | Снижение (Modify / Mitigate) | Внедрение мер защиты для уменьшения вероятности или ущерба. Самый частый выбор. | Установить антивирус, внедрить двухфакторную аутентификацию. | | Сохранение (Retain / Accept) | Осознанное решение ничего не делать, так как стоимость защиты выше возможного ущерба. | Мы не страхуем старый принтер от кражи, так как он стоит дешевле страховки. | | Уклонение (Avoid) | Отказ от деятельности, которая вызывает риск. | Если мы боимся утечки данных через облако, мы запрещаем использование облаков и храним все локально. | | Разделение (Share / Transfer) | Перенос части риска на третью сторону. | Покупка киберстраховки или передача IT-инфраструктуры на аутсорсинг с жестким SLA. |

> Важно понимать: полностью устранить все риски невозможно. Всегда остается так называемый остаточный риск (Residual Risk). Задача СМИБ — снизить его до приемлемого уровня.

Этап 4: Принятие риска (Risk Acceptance)

После того как план обработки составлен (например, «мы купим фаервол и застрахуем сервера»), руководство должно официально согласиться с остаточным риском. Это формальная процедура: директор подписывает документ, подтверждая, что он понимает текущую ситуацию и согласен с ней.

Постоянный мониторинг и пересмотр

Мир меняется. Появляются новые вирусы, сотрудники увольняются, компания покупает новое оборудование. Риск-менеджмент — это не документ, который можно положить на полку.

ISO 27005 требует регулярного пересмотра рисков (обычно раз в год или при значительных изменениях). То, что было безопасным вчера, может стать критической уязвимостью завтра.

Качественная vs Количественная оценка

В примере выше мы использовали баллы (от 1 до 10). Это называется качественной (qualitative) оценкой. Она субъективна, но проста и быстра.

Существует и количественная (quantitative) оценка, где используются реальные деньги и статистика.

Формула для количественной оценки часто выглядит так:

Где: * (Annualized Loss Expectancy) — ожидаемые годовые потери в денежном выражении. * (Single Loss Expectancy) — потери от одного инцидента. * (Annualized Rate of Occurrence) — частота возникновения инцидента в год.

Пример: Если потеря ноутбука стоит компании 2000 долларов (), и статистика говорит, что мы теряем 2 ноутбука в год (), то наши ожидаемые потери () составляют 4000 долларов в год. Если внедрение системы защиты стоит 10 000 долларов в год, то это экономически нецелесообразно.

Связь с ISO 27001 и Приложением А

Как этот процесс связан с тем, что мы обсуждали в прошлой статье?

Вы проводите оценку рисков по ISO 27005.

Вы решаете снизить определенные риски (стратегия Modify).

Вы открываете Приложение А стандарта ISO 27001 (или ISO 27002) и выбираете оттуда конкретные меры защиты (контроли), которые помогут снизить эти риски.

Вы фиксируете это в Декларации о применимости (SoA).

Заключение

Управление рисками по ISO 27005 — это логичный и структурированный способ принятия бизнес-решений. Вместо того чтобы паниковать или слепо скупать средства защиты, организация спокойно анализирует угрозы и инвестирует деньги туда, где это действительно необходимо.

В следующей статье мы перейдем к практике и разберем ISO/IEC 27002 — тот самый каталог мер защиты, из которого мы будем выбирать инструменты для снижения рисков.

Практические меры защиты и средства контроля: Погружение в ISO/IEC 27002

В предыдущих статьях мы проделали большую работу: разобрались с терминологией, изучили требования к системе управления (ISO 27001) и научились оценивать риски (ISO 27005). Теперь мы подошли к самому «прикладному» этапу.

Представьте, что вы врач. Вы провели обследование пациента (аудит), поставили диагноз (оценка рисков) и определили, что нужно лечить. Теперь вам нужно выписать рецепт. Вы открываете справочник лекарств, чтобы выбрать подходящее средство.

В мире информационной безопасности таким «справочником лекарств» является стандарт ISO/IEC 27002. В этой статье мы подробно разберем, как он устроен, какие меры защиты предлагает и как правильно выбрать нужные инструменты для вашей организации.

ISO/IEC 27001 против ISO/IEC 27002: В чем разница?

Многие новички путают эти два стандарта. Давайте закрепим разницу раз и навсегда.

* ISO/IEC 27001 — это менеджмент. Он говорит: «У вас должен быть процесс управления доступом». Он не говорит, какой длины должен быть пароль или нужно ли использовать сканер отпечатка пальца. Это стандарт требований. * ISO/IEC 27002 — это практика. Он говорит: «Для управления доступом рекомендуется использовать сложные пароли, многофакторную аутентификацию и регулярный пересмотр прав». Это стандарт рекомендаций.

В стандарте ISO 27001 есть Приложение А (Annex A), которое содержит краткий перечень мер безопасности (контролей). ISO 27002 берет этот перечень и для каждого пункта расписывает подробные инструкции по внедрению.

Новая структура: 4 темы вместо 14 доменов

В 2022 году стандарт ISO/IEC 27002 претерпел серьезные изменения. Если раньше меры защиты были разбросаны по 14 доменам (например, «Криптография», «Физическая безопасность», «HR»), то теперь структура стала гораздо проще и логичнее.

Все меры защиты (их теперь 93) сгруппированы в 4 темы:

Организационные меры (Organizational controls) — 37 мер.

Меры, касающиеся людей (People controls) — 8 мер.

Физические меры (Physical controls) — 14 мер.

Технологические меры (Technological controls) — 34 меры.

!Структура тем мер безопасности в обновленном стандарте ISO/IEC 27002

Давайте погрузимся в каждую из этих тем и посмотрим на конкретные примеры.

1. Организационные меры (Organizational controls)

Это самый большой блок. Сюда входит все, что касается правил, политик и процессов управления. Это «бумажная» и административная безопасность, без которой технологии бесполезны.

Примеры мер:

* Политики информационной безопасности. Это фундамент. Документы, утвержденные руководством, которые объясняют всем сотрудникам правила игры. * Разведка угроз (Threat intelligence). Новая мера в версии 2022 года. Организация должна не просто сидеть в глухой обороне, а собирать информацию о том, какие хакерские группировки активны, какие новые вирусы появились и как это может повлиять на бизнес. * Управление активами. Вы не можете защитить то, о чем не знаете. Стандарт требует вести реестр всех ноутбуков, серверов, лицензий ПО и даже важных документов. У каждого актива должен быть владелец. * Классификация информации. Не все данные одинаково важны. Меню в столовой — это открытая информация, а база зарплат — конфиденциальная. Стандарт рекомендует внедрить метки (грифование), например: «Публично», «ДСП», «Секретно».

2. Меры, касающиеся людей (People controls)

Люди часто называют «самым слабым звеном» в безопасности. Этот раздел направлен на то, чтобы сделать их «первой линией обороны».

Примеры мер:

* Скрининг (Screening). Проверка кандидатов перед приемом на работу. Насколько глубоко проверять — зависит от должности. Уборщицу проверяют иначе, чем системного администратора с доступом к базе данных. * Осведомленность и обучение. Нельзя наказывать сотрудника за открытие фишингового письма, если вы не научили его распознавать такие письма. Регулярные тренинги — обязательное требование. * Удаленная работа. Актуальная тема последних лет. Стандарт описывает правила безопасной работы из дома: использование VPN, запрет на работу в публичных кафе без защиты экрана, защита домашних сетей.

3. Физические меры (Physical controls)

Даже самый надежный криптографический алгоритм не поможет, если злоумышленник просто украдет сервер из незапертой комнаты.

Примеры мер:

* Физический периметр безопасности. Заборы, стены, проходные, турникеты. Зоны должны быть разделены: зона для посетителей (ресепшн) не должна пересекаться с зоной обработки данных. * Политика чистого стола и чистого экрана. Когда сотрудник уходит на обед, на его столе не должно быть стикеров с паролями или распечатанных договоров, а компьютер должен быть заблокирован. * Защита от угроз окружающей среды. Это датчики дыма, системы пожаротушения, защита от наводнений и перебоев с электричеством (UPS, генераторы).

4. Технологические меры (Technological controls)

Это то, что обычно ассоциируется с кибербезопасностью у IT-специалистов. Программные и аппаратные средства защиты.

Примеры мер:

* Управление доступом. Логическая защита входа в системы. Принцип минимальных привилегий: давать пользователю только те права, которые нужны для работы. * Защита от вредоносного ПО. Антивирусы, EDR-системы, песочницы. Причем не только на серверах, но и на рабочих станциях пользователей. * Резервное копирование (Backup). Единственное надежное средство от вирусов-шифровальщиков. Копии должны создаваться регулярно, проверяться на возможность восстановления и храниться изолированно. * Маскирование данных. Если разработчикам нужна база данных для тестов, нельзя давать им реальные данные клиентов. Имена и телефоны должны быть заменены на фиктивные (обфусцированы).

Атрибуты мер защиты: Как ориентироваться в каталоге?

В новой версии стандарта к каждой мере добавили систему тегов, или атрибутов. Это позволяет быстро фильтровать меры под разные нужды.

Всего существует 5 типов атрибутов, но самые важные для понимания сути защиты — это Тип контроля и Свойства ИБ.

Тип контроля (Control Type)

Превентивные (Preventive). Предотвращают инцидент до его начала.

Пример:* Забор, шифрование, сложный пароль.

Детективные (Detective). Обнаруживают инцидент, когда он уже происходит или произошел.

Пример:* Камера видеонаблюдения, датчик дыма, логирование событий, антивирус (в режиме сканирования).

Корректирующие (Corrective). Исправляют последствия инцидента.

Пример:* Восстановление из бэкапа, система пожаротушения.

> Идеальная система защиты использует комбинацию всех трех типов. Забор (превентивный) задержит вора, камера (детективный) заметит его, а группа быстрого реагирования (корректирующий) его задержит.

Свойства ИБ (InfoSec Properties)

Каждая мера защищает один или несколько элементов триады КЦД: * Конфиденциальность (например, шифрование). * Целостность (например, цифровая подпись). * Доступность (например, резервное питание).

!Классификация мер защиты по времени воздействия относительно инцидента

Как выбрать нужные меры? (Statement of Applicability)

Вы не обязаны внедрять все 93 меры из ISO 27002. Это было бы слишком дорого и неэффективно для маленькой компании. Процесс выбора выглядит так:

Оценка рисков (из ISO 27005). Вы нашли риск: «Утеря ноутбука с клиентской базой».

Решение по обработке. Вы решили снизить этот риск.

Выбор мер из ISO 27002. Вы смотрите в раздел «Технологические меры» и выбираете «Шифрование информации» и «Управление мобильными устройствами».

Фиксация в SoA. Вы записываете в документ Statement of Applicability (Декларация о применимости), что эти меры применяются.

Если какая-то мера вам не подходит (например, у вас нет физического офиса, все работают удаленно, поэтому «Физическая охрана периметра» неактуальна), вы исключаете ее и пишете обоснование в SoA.

Заключение

ISO/IEC 27002 — это мощный инструмент, который переводит абстрактные требования безопасности на язык конкретных действий. Новая структура 2022 года с разделением на 4 темы (Организационные, Люди, Физические, Технологические) делает работу с ним удобнее и понятнее.

Помните: меры защиты — это не самоцель. Это инструменты для снижения рисков. Не нужно строить бункер, если вы продаете мороженое, но и не стоит хранить золотые слитки в картонной коробке.

В следующей статье мы поговорим о том, как проверить, что все эти меры действительно работают, и обсудим процесс аудита и мониторинга СМИБ.

Жизненный цикл СМИБ: Внедрение, мониторинг, аудит и сертификация

Мы прошли долгий путь. Мы изучили структуру стандарта ISO/IEC 27001, научились оценивать риски с помощью ISO/IEC 27005 и выбрали меры защиты из каталога ISO/IEC 27002. У нас есть план, политики и понимание угроз. Но что дальше?

Написание документов — это лишь начало. Система менеджмента информационной безопасности (СМИБ) — это живой организм, который требует постоянного внимания. Если вы положите папку с политиками в сейф и забудете о ней на год, ваша безопасность устареет уже через месяц.

В этой завершающей статье курса мы разберем, как заставить систему работать, как проверять ее эффективность и как пройти тот самый «страшный» сертификационный аудит, чтобы получить заветный сертификат ISO 27001.

Фаза «Делай» (Do): Внедрение и эксплуатация

После этапа планирования наступает этап реализации. Это момент, когда теория превращается в практику. В цикле PDCA (Plan-Do-Check-Act) это фаза Do.

Внедрение СМИБ — это не только установка фаерволов. Это, прежде всего, работа с людьми и процессами.

1. Управление компетентностью и осведомленностью

Самая лучшая политика безопасности бесполезна, если сотрудники о ней не знают. Стандарт требует, чтобы каждый человек в организации понимал: * Свою роль в системе безопасности. * Последствия нарушения правил. * Как сообщать об инцидентах.

> Обучение должно быть регулярным. Одной лекции при приеме на работу недостаточно. Фишинг-тесты, плакаты в офисе, рассылки с новостями об угрозах — все это элементы программы осведомленности (Security Awareness).

2. Документирование процессов

В ISO есть золотое правило: «Если это не записано, этого не было». Вы должны вести записи (logs, records), подтверждающие работу системы. Это могут быть: * Журналы посетителей серверной. * Протоколы выдачи прав доступа. * Отчеты об инцидентах. * Результаты тестирования резервных копий.

Эти записи станут вашими главными доказательствами (свидетельствами аудита) при проверке.

Фаза «Проверяй» (Check): Мониторинг и Аудит

Как узнать, что ваша система работает эффективно? Нельзя полагаться на ощущения («вроде бы нас не взломали»). Нужны объективные данные.

1. Мониторинг и измерение (KPI)

Вы должны определить метрики эффективности. Просто сказать «мы защищены» нельзя. Нужно измерять конкретные показатели.

Примеры метрик: * Процент сотрудников, прошедших обучение по ИБ. * Среднее время устранения критической уязвимости. * Количество инцидентов безопасности за квартал. * Доступность критических систем (Uptime).

!Дашборд метрик эффективности СМИБ

2. Внутренний аудит (Internal Audit)

Это один из самых важных инструментов самоконтроля. Стандарт ISO 27001 обязывает организацию проводить внутренние аудиты через запланированные интервалы времени (обычно 1–2 раза в год).

Суть внутреннего аудита: Это проверка того, соответствует ли ваша реальная работа вашим же документам и требованиям стандарта ISO.

Кто проводит? Аудитором может быть собственный сотрудник или приглашенный консультант. Главное требование — независимость. Системный администратор не может проводить аудит отдела IT, так как он не может объективно проверить сам себя.

Результат аудита: Аудитор пишет отчет, в котором фиксирует несоответствия (Non-conformities). Например: «В политике сказано, что пароли меняются каждые 90 дней, но проверка показала, что у трех сотрудников пароли не менялись год».

3. Анализ со стороны руководства (Management Review)

Раз в год (или чаще) высшее руководство (Генеральный директор, Совет директоров) должно собираться специально для обсуждения вопросов ИБ.

На этом совещании CISO (директор по безопасности) докладывает: * О статусе рисков. * О результатах аудитов. * Об инцидентах. * О предложениях по улучшению.

Руководство должно принять решения: выделить ли дополнительный бюджет, изменить ли политику или нанять новых людей. Это гарантирует, что безопасность остается бизнес-приоритетом, а не просто технической задачей.

Фаза «Действуй» (Act): Улучшение

Идеальных систем не бывает. В ходе мониторинга и аудитов вы обязательно найдете проблемы. Фаза Act посвящена их устранению.

Коррекции и корректирующие действия

Если найдено несоответствие (например, серверная была открыта), нужно сделать две вещи:

Коррекция: Закрыть дверь прямо сейчас.

Корректирующее действие: Разобраться, почему она была открыта (сломался замок? уборщица забыла ключ?), и устранить причину, чтобы это не повторилось.

Постоянное улучшение (Continual Improvement)

СМИБ должна развиваться. Угрозы меняются, технологии меняются. То, что было надежным вчера, сегодня уже уязвимо. Организация должна постоянно искать возможности для повышения эффективности защиты.

Сертификация: Внешнее признание

Многие компании внедряют ISO 27001 «для себя», чтобы навести порядок. Но часто бизнесу нужен официальный сертификат — для участия в тендерах, для выхода на международные рынки или для повышения доверия клиентов.

Сертификацию проводят специальные аккредитованные органы (Certification Bodies). Процесс получения сертификата строго регламентирован и состоит из нескольких этапов.

!Цикл сертификации ISO 27001

Этап 1: Предварительный аудит (Stage 1 Audit)

Это «документарная проверка». Аудитор приезжает (или подключается удаленно), чтобы проверить, готова ли ваша документация.

Он смотрит: * Есть ли Политика ИБ? * Проведена ли оценка рисков? * Есть ли Декларация о применимости (SoA)? * Проведен ли внутренний аудит и анализ со стороны руководства?

Если документов нет или они грубо нарушают стандарт, аудитор скажет: «Вы не готовы к основному аудиту, идите дорабатывать».

Этап 2: Сертификационный аудит (Stage 2 Audit)

Это основная проверка. Аудитор проверяет, как система работает на практике. Он ходит по офису, опрашивает сотрудников, смотрит в мониторы, просит показать логи и настройки.

Он ищет доказательства того, что процессы, описанные в документах, реально выполняются.

Если найдены критические несоответствия (Major Non-conformities) — сертификат не выдается до их устранения. Если найдены незначительные несоответствия (Minor Non-conformities) — сертификат могут выдать при условии, что вы предоставите план их устранения.

Выдача сертификата и цикл жизни

Если все прошло успешно, компания получает сертификат ISO/IEC 27001.

Важно: Сертификат выдается на 3 года. Но это не значит, что можно расслабиться.

Год 1: Сертификационный аудит (получение сертификата).

Год 2: Надзорный аудит (Surveillance Audit). Проверка меньше по объему, но обязательная.

Год 3: Надзорный аудит.

Конец 3-го года: Ресертификация (полный повторный аудит).

Если вы провалите надзорный аудит, сертификат могут отозвать.

Заключение курса

Поздравляем! Вы прошли курс по основам семейства стандартов ISO 27000.

Мы разобрали:

ISO 27000 — словарь и общие принципы.

ISO 27001 — требования к построению системы управления.

ISO 27005 — методику оценки рисков.

ISO 27002 — лучшие практики и меры защиты.

Аудит и сертификацию — способы проверки и подтверждения соответствия.

Главный вывод, который вы должны сделать: Информационная безопасность — это не состояние, а процесс. Нельзя «сделать безопасность» один раз и навсегда. Это бесконечный цикл планирования, реализации, проверки и улучшения.

Стандарты ISO дают вам карту и компас для этого путешествия. Использовать их или нет — решение за вами, но помните: в цифровом мире выживает не самый сильный, а самый подготовленный.