ГОСТ Р ИСО/МЭК 27013-2014. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1

6.2 Возможные проблемы

6.2.1 Использование и значение актива

Актив, рассматриваемый в ИСО/МЭК 20000-1, отличается от информационного актива ИСО/МЭК 27001. В ИСО/МЭК 20000-1 актив не определяется как термин, поэтому он употребляется в значении обычном для английского языка, означающем нечто ценное. В некоторых пунктах ИСО/МЭК 20000-1:2011 использование активов связано с финансовыми активами, такими как лицензии на программные средства. В отличие от этого стандарт ИСО/МЭК 27001 основывается на концепции защиты информации и имеет формальное определение информационного актива. В последующей части 6.2 настоящего стандарта обсуждаются сходства и различия использования понятий двух стандартов. Включены предложения, касающиеся того, как привести в соответствие два стандарта.

В стандарте ИСО/МЭК 20000-1 используется термин "элемент конфигурации (configuration item - CI)", определяемый как элемент, подлежащий управлению, для предоставления услуги или услуг. Организации следует определить, что такое CI для ее собственных целей с учетом ее потребностей в эффективности. "Информационный актив" может быть включен в это определение. В ИСО/МЭК 20000-1 база данных управления конфигурацией является хранилищем данных всех CI и их взаимосвязей. Некоторые организационные активы не могут входить в базу данных управления конфигурацией (например, персональные компьютеры, не используемые для поставки услуг). Равным образом, в рамках стандарта ИСО/МЭК 20000-1 некоторые CI не могут рассматриваться как активы, например, люди. Обычно активы в ИСО/МЭК 20000-1 обладают денежной ценностью.

В ИСО/МЭК 27001 информационные активы определены как знания или данные, имеющие ценность для организации независимо от их формы, например, бумажная, электронная и т.д. В результате информационные активы могут быть CI, но CI необязательно являются информационными активами. Например, кабель для передачи данных может быть CI, хотя обычно он не является информационным активом. На рисунке 2 представлены взаимосвязи CI и информационных активов. Для интегрированной системы менеджмента информационный актив по ИСО/МЭК 27001 может быть использован в услуге или может являться частью услуги по ИСО/МЭК 20000-1.

 

 

Рисунок 2 - Взаимосвязь информационных активов

в ИСО/МЭК 27001 и CI в ИСО/МЭК 20000-1

 

Ни один из указанных стандартов не требует перечисления каждого CI или информационного актива в отдельности. Они могут быть сгруппированы по типам, таким как аппаратные средства или документы. В рамках этого процесса их описание должно быть как можно более согласованным, упрощая соответствие обоим стандартам. Например, в начале любой деятельности по интеграции должно быть принято решение о способе идентификации и классификации активов. Это необходимо для обеспечения уверенности в том, что на активы могут быть сделаны однозначные ссылки. Если термин "информационные активы" используется в изложении ИСО/МЭК 27001, то особые активы должны быть дополнительно помечены, чтобы обеспечить уверенность в признании их статуса в качестве CI или финансовых активов по ИСО/МЭК 20000-1, см. приложение B настоящего стандарта.

6.2.2 Планирование и развитие услуг

Раздел 5 ИСО/МЭК 20000-1 включает требования к планированию и развитию новых или измененных услуг. В ИСО/МЭК 27001 полностью эквивалентного раздела нет, хотя некоторые аспекты, связанные с планированием, развитием и предоставлением услуг, охвачены приложением A ИСО/МЭК 27001:2005. Однако интегрированная система менеджмента должна обеспечивать уверенность в том, что информационная безопасность детально рассматривается на запланированных этапах проектирования и развития новых или измененных услуг. Требующие рассмотрения вопросы включают оценку влияния новой или измененной услуги, как на услугу, так и меры и средства контроля и управления информационной безопасности, см. пункт 6.6.2 ИСО/МЭК 20000-1:2011. Также это должно быть выполнено для прекращения предоставления услуги.

Планирование всех новых или измененных услуг должно включать рассмотрение последствий для информационной безопасности. Это должно быть выполнено независимо от того попадает ли услуга в область действия СМИБ.

6.2.3 Оценка риска и менеджмент

Пункты 4.5.2 и 4.5.3 ИСО/МЭК 20000-1:2011 содержат требования к оценке риска и к обработке рисков, связанных со СМУ.

Пункт 4.2.1 ИСО/МЭК 27001:2005 содержит требования для менеджмента всех аспектов рисков, связанных с информационной безопасностью. Требования не ограничиваются рисками, связанными с самой СМИБ, и включают оценку рисков, их обработку и иные аспекты, связанные с менеджментом риска информационной безопасности.

Даже если риски рассматриваются как в ИСО/МЭК 27001, так и в ИСО/МЭК 20000-1, природа этих рисков различна. В ИСО/МЭК 20000-1 рассматриваются риски, касающиеся СМУ и услуг, тогда как в ИСО/МЭК 27001 рассматриваются риски информационной безопасности и их влияние на организацию. Критерии оценивания и обработки рисков могут быть различны в зависимости от того, связаны ли риски с предоставлением услуг, или конкретно с информационной безопасностью. Тем не менее, метод, использованный для идентификации рисков, может быть одним и тем же в обоих случаях. Некоторые риски, рассматриваемые в ИСО/МЭК 20000-1, например, риски поставщика, не касающиеся затрат связанных со SLA <1>, не будут считаться рисками с точки зрения ИСО/МЭК 27001. Таким образом, риски, идентифицированные при использовании ИСО/МЭК 20000-1, нельзя считать имеющими отношение к информационной безопасности, и наоборот.

--------------------------------

<1> SLA - service level agreement (соглашение об уровне услуг).

 

Владение риском может различаться для двух подходов. Например, согласно ИСО/МЭК 20000-1, организация очень редко владеет всеми рисками. От клиента могут ожидать одобрения остаточных рисков, как часть своего SLA или плана обеспечения непрерывности услуг. В ИСО/МЭК 27001 вопрос владения риском подробно не обсуждается, но на практике организация считается владельцем всех рисков информационной безопасности.

Несовпадение вариантов менеджмента риска происходит по причине различий между двумя стандартами относительно требований к менеджменту риска. Когда планируется совместная реализация обоих стандартов, организации должны быть внимательны к любым различиям критериев риска и к влиянию, которое эти различия будут оказывать на обработку риска.

Организация должна принять один из двух подходов, представленных ниже:

a) использование для обоих стандартов единого подхода к менеджменту риска, включая оценку риска, избегая при этом дублирования. Например, риск потери пригодности информационного актива может быть общим для различных частей интегрированной системы менеджмента. Это является наиболее эффективным подходом, поскольку он избегает дублирования попыток;

b) использование отдельных методик оценки риска для двух стандартов. Если выбирается этот вариант, то организация должна использовать терминологию, которая отличает оценку риска СМУ и услуг от оценки риска информационной безопасности и СМИБ.

Там, где оценка риска и менеджмент риска являются определяющими для организации, приоритетной должна быть реализация ИСО/МЭК 27001, чтобы воспользоваться его оценкой риска и руководством по менеджменту риска. Какой бы вариант не использовался, организации следует использовать согласованную и четкую терминологию. Это может потребовать формулирования требований одного или обоих стандартов иначе, чем в опубликованной(ых) версии(й). Тем не менее, организация по-прежнему должна обеспечивать уверенность в прослеживаемости требований обоих стандартов.

6.2.4 Различия в уровнях принятия риска

Если клиент доверил свои данные или системы заботам третьей стороны, то будут существовать различия между уровнем допустимого риска клиента и третьей стороны. Детально этот вопрос не рассматривается ни одним стандартом, но организации необходимо осознавать проблемы и принимать четкое решение об уровнях риска, которые могут контролироваться разными сторонами.

Ниже описываются базовые проблемы:

a) клиент имеет мнение об уровне безопасности, приемлемом для его информации, находящейся под контролем третьей стороны. Это может не совпадать с уровнем безопасности, который третья сторона считает достаточным;

b) третья сторона также имеет собственную информацию, например, финансовую документацию. Третья сторона имеет мнение об уровне безопасности, приемлемом для этой информации;

c) клиент и третья сторона, возможно, будут вовлечены в разные обязательные к применению правовые и нормативные условия, которые будут различаться в зависимости от страны или сектора рынка. Это может приводить к различиям в их ожиданиях относительно информационной безопасности или риска.

Связанные с информационной безопасностью ожидания и обязанности клиентов организации и третьих сторон следует обсудить при первом возможном случае. Такие обсуждения важны как для согласования области действия реализуемого проекта, так и для установления эксплуатационных мер и средств контроля и управления для существующих услуг. В идеальном случае любые потенциальные конфликты должны быть идентифицированы, а решения приняты и согласованы до их реализации.

6.2.5 Менеджмент инцидентов и проблем

Первым, что требуется обсудить, является терминология. В ИСО/МЭК 27001 существует единственный термин для значимых нежелательных событий: инцидент информационной безопасности. В отличие от этого в ИСО/МЭК 20000-1 существует несколько специальных терминов, связанных с менеджментом инцидентов. Например, инцидент, инцидент информационной безопасности, проблема, известная ошибка и серьезный инцидент, см. приложение B настоящего стандарта. Согласно ИСО/МЭК 27001 каждый из них может означать инцидент информационной безопасности в зависимости от их характеристик.

В ИСО/МЭК 27001 определен единый процесс, рассматривающий все инциденты информационной безопасности.

В ИСО/МЭК 20000-1 приведены не только различные термины, но и различные механизмы осуществления менеджмента событий, например, менеджмент запроса услуг и менеджмент инцидентов, менеджмент процедур серьезных инцидентов и менеджмент проблем. В ИСО/МЭК 20000-1 одно событие в течение его жизненного цикла может управляться посредством более чем одного из этих процессов и процедур. В ИСО/МЭК 20000-1 использован термин "процедура" из ИСО 9000:2005, определенный как "специфицированный способ выполнения действия или процесса". Для ИСО/МЭК 20000-1 процесс относится к более высокому уровню в сравнении с процедурой, причем процедуры поддерживают процесс.

На рисунке 3 показана взаимосвязь между менеджментом инцидентов информационной безопасности в ИСО/МЭК 27001 и менеджментом инцидентов в ИСО/МЭК 20000-1.

 

 

Рисунок 3 - Иллюстрация взаимосвязи между стандартами,

касающаяся менеджмента инцидентов

 

Существуют события, которые в ИСО/МЭК 27001 будут классифицированы как инциденты информационной безопасности, но которые не будут классифицированы как инциденты в ИСО/МЭК 20000-1. Ниже приведены два примера:

a) после окончания рабочего дня на столе обнаружен конфиденциальный документ по продаже продукта в нарушение политики информационной безопасности. В любом случае этот документ не имеет отношения к предоставлению услуг;

b) обнаружен взлом замка двери в офисе клиента. Согласно ИСО/МЭК 27001 это событие можно рассматривать как инцидент. Однако оно вообще не будет подпадать под область действия ИСО/МЭК 20000-1, если не было доступа к информации, имеющей отношение к требованиям подраздела 6.6 ИСО/МЭК 20000-1:2011.

В равной степени существуют события, которые в ИСО/МЭК 20000-1 будут классифицированы как инцидент, но которые находятся вне области действия ИСО/МЭК 27001. Например:

a) ограничения SLA, выходящие за пределы запланированной поддержки;

b) отчеты пользователя об инцидентах, обусловленных медленным выполнением услуги.

Основное частичное совпадение между определениями инцидента заключается в том, что ИСО/МЭК 20000-1 может отнести их к "инциденту информационной безопасности", который может привести к потере конфиденциальности, целостности и доступности, связанных с определенной услугой.

Чтобы согласовать эти точки зрения, организация должна решить, как осуществлять менеджмент инцидентов, которые находятся в области действия обеих систем менеджмента.

Менеджмент проблем определяется в ИСО/МЭК 20000-1 как процесс определения основной причины возникновения одного или нескольких инцидентов, чтобы свести к минимуму влияние инцидентов или избежать его. В ИСО/МЭК 20000-1 это является отдельным процессом. В ИСО/МЭК 27001 менеджмент проблем явно не раскрыт, хотя на него ссылаются в требованиях к менеджменту инцидентов информационной безопасности, обработке риска и корректирующим мерам.

В интегрированной системе менеджмента процесс менеджмента проблем должен быть надлежащим образом определен. Если СМИБ реализуется до интеграции со СМУ, то может быть полезна, по возможности, самая ранняя интеграция лучших практических приемов менеджмента проблем СМУ, как части СМИБ, благодаря ее пользе для всех систем менеджмента.

Оба стандарта требуют от организации анализа данных и изменений по инцидентам.

Инциденты, которые вызывают риск информационной безопасности, должны классифицироваться как инциденты информационной безопасности. Не менее важно для соответствия обоим стандартам, чтобы процесс менеджмента инцидентов отражал необходимое соответствие дополнительным требованиям информационной безопасности в ИСО/МЭК 27001.

Следует отметить, что мера и средство контроля и управления из A13.2.2 ИСО/МЭК 27001:2005 охватывает изучение инцидентов безопасности, и это частично совпадает с менеджментом проблем из подраздела 8.2 ИСО/МЭК 20000-1:2011. Кроме того, идентификацию и оценку уязвимостей, необходимую по ИСО/МЭК 27001 для оценки риска информационной безопасности, следует рассматривать как процесс анализа данных, которые могут быть использованы в качестве входной информации для менеджмента проблем.

Следующей проблемой, требующей описания, является проблема реагирования на инциденты. Целью любой организации должно быть быстрое восстановление услуги после инцидента информационной безопасности, затронувшего услугу. Однако это может уменьшить вероятность расследования инцидента безопасности с целью выяснения его причины. При интеграции СМУ и СМИБ следует заботиться об обеспечении уверенности в соответствии требованиям менеджмента инцидентов информационной безопасности. Например, меры и средства контроля и управления информационной безопасности могут включать сбор, хранение и предоставление свидетельств для дисциплинарных и правовых целей. Более того, оба стандарта требуют соответствия правовым и нормативным требованиям.

Необходимо осознавать, что в случае инцидента информационной безопасности требование получения свидетельств может означать, что затронутая услуга может быть не восстановлена в запланированные сроки. ИСО/МЭК 20000-1 требует от поставщика услуг учитывать срочность обработки инцидента и его последствия. Это может означать, что потребуется дополнительное время, прежде чем будет принято решение в отношении инцидента информационной безопасности. При определении приоритетности разрешения проблемы следует учитывать важность получения свидетельств информационной безопасности, иначе они могут быть утрачены при восстановлении услуги.

В некоторых случаях инциденты информационной безопасности могут быть отнесены к серьезным инцидентам, на основании определения серьезного инцидента, согласованного с клиентом в соответствии с подразделом 8.1 ИСО/МЭК 20000-1:2011. Согласно требованиям отчетности по услугам, приведенным в подразделе 6.2 ИСО/МЭК 20000-1:2011 и требованиям менеджмента серьезных инцидентов в подразделе 8.1 ИСО/МЭК 20000-1, высшее руководство должно быть информировано обо всех серьезных инцидентах. К ним относят также и инциденты информационной безопасности. Это обеспечивается надлежащей подготовкой ответственного лица, назначенного для осуществления менеджмента инцидентов информационной безопасности. Следовательно, в рамках интегрированной системы менеджмента таким происшествием следует управлять, как серьезным инцидентом.

О серьезных инцидентах не следует заявлять, как о допускающих задержку принятия решения о сборе свидетельств в отношении инцидентов информационной безопасности. Например, если установлено, что через веб-сайт осуществляется обработка платежей клиентов, то он может быть скомпрометирован. Время сбора свидетельств и восстановления услуг должно быть адекватным образом включено в требования услуг, каталог услуг и в соглашения об уровне услуг (SLA).

В определении информационной безопасности ИСО/МЭК 20000-1 использует понятие "досягаемость (accessibility)", а ИСО/МЭК 27001 использует понятие "доступность (availability)". Это различие существует, потому что понятие "доступность" определено по-разному в двух стандартах (см. приложение B).

6.2.6 Менеджмент изменений

В пунктах A.10.1.2 и A.12.5.1 ИСО/МЭК 27001:2005 рассматривается менеджмент изменений. Пункты A.10.1.2 и A.12.5.1 позволяют организации разрабатывать процедуры для удовлетворения своих конкретных потребностей.

Пункт 9.2 "Менеджмент изменений" ИСО/МЭК 20000-1:2011 содержит требования, относящиеся к риску. Требования дополнены пунктом 6.6.3 "Инциденты и изменения информационной безопасности". Пункт 6.6.3 содержит требования к оценке влияния запрашиваемых изменений для учета их влияния на существующие меры и средства контроля и управления информационной безопасности.

Чтобы обеспечить уверенность в том, что требования менеджмента изменений выполняются, должен быть разработан контрольный перечень оценок влияния или проверок после реализации проекта, как часть интегрированной системы менеджмента на основе ИСО/МЭК 20000-1. Это должно обеспечить уверенность в том, что все типы рисков информационной безопасности анализируются, как часть процесса менеджмента изменений.