ГОСТ Р ИСО/МЭК 27013-2014. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1

6.3 Потенциальные выгоды

6.3.1 Использование цикла Планирование-Осуществление-Проверка-Действие

ИСО/МЭК 27001 и ИСО/МЭК 20000-1 явно ссылаются на цикл Планирование-Осуществление-Проверка-Действие (Plan-Do-Check-Act - PDCA). Это может быть удобно, так как организация сможет следовать одним и тем же принципам независимо от того, какой стандарт будет реализован в первую очередь.

PDCA является основой постоянного совершенствования в обоих стандартах, таким образом, постоянное совершенствование должно быть основой деятельности по применению любого из двух или обоих стандартов. Следует отметить, что циклы PDCA могут действовать в разных отрезках, но если такое возможно, то организация должна использовать единый интегрированный цикл для обеспечения общего периода проверки или внутреннего аудита.

6.3.2 Отчетность и менеджмент уровня услуг

Отчетность по услугам охватывает больше основных деятельностей, чем требуется для менеджмента уровня услуг. Однако отчетность по услугам может поддерживать менеджмент информационной безопасности исходя из целей услуг для инцидентов информационной безопасности, которые оцениваются, прогнозируются и используются в отчетности по услугам.

В перечислении b) подраздела 6.2 ИСО/МЭК 20000-1:2011 изложено, что в процессе составления отчетов по услугам следует учитывать соответствующую информацию о значимых событиях, таких как серьезные инциденты и несоответствия. Данные, полученные в процессе составления отчетов по услугам в соответствии с ИСО/МЭК 20000-1, могут дать большое преимущество для поддержки и совершенствования информационной безопасности.

При реализации ИСО/МЭК 27001 определяются детали мер и средств контроля и управления информационной безопасности, и должна быть измерена их эффективность, см. пункт 4.2.3 "Мониторинг и анализ СМИБ" ИСО/МЭК 27001:2005. Это делает возможной интеграцию с процессом составления отчетов по услугам согласно требованиям подраздела 6.2 ИСО/МЭК 20000-1:2011, чтобы надлежащая и своевременная информация могла использоваться для поддержки или совершенствования информационной безопасности. Клиенты будут лучше понимать истинное функционирование услуг и СМУ, включая процессы менеджмента услуг, если важная информация об уровнях соответствия применимых мер и средств контроля и управления безопасности и статистические данные по инцидентам будут включены в отчеты.

Отчеты, составленные в соответствии с ИСО/МЭК 27001 и ИСО/МЭК 20000-1, как для внутреннего использования, так и предназначенные для клиентов, должны разрабатываться с учетом этих соображений.

6.3.3 Обязательства руководства

ИСО/МЭК 27001 описывает обеспечение информационной безопасности по отношению к причастным сторонам. Упоминаемыми причастными сторонами являются стороны, обладающие определенными правами в организации, реализующей СМИБ. Эти стороны могут включать персонал, акционеров, клиентов и, возможно, даже регулирующие органы или общественность. В ИСО/МЭК 20000-1 дается ссылка на клиентов и заинтересованные стороны. Заинтересованными сторонами являются человек или группа людей, особо заинтересованных в эффективности или успехе деятельности или деятельностей поставщика услуг. Вследствие этого термин "заинтересованные стороны" сходен с термином "причастные стороны", используемым в ИСО/МЭК 27001.

Обязательства высшего руководства необходимы, чтобы сделать СМУ эффективной. Это добавляет уверенности в том, что взаимоотношения с клиентом и другими заинтересованными сторонами являются успешными. Как таковые, обязательства руководства, сформулированные в ИСО/МЭК 27001, поддерживают ориентированный на клиента подход, изложенный в ИСО/МЭК 20000-1.

ИСО/МЭК 20000-1:2011 включает конкретные требования к обязательствам руководства и ответственности руководства, например, требования пунктов 4.1.1 и 4.1.4. В отличие от этого ИСО/МЭК 27001:2005 является менее конкретным в определении ответственности и подотчетности ролей в отношении СМИБ, например, требования подраздела 5.1 и пункта 5.2.2. Интегрированная система менеджмента должна выиграть от специфики стандарта ИСО/МЭК 20000-1 и использования его требований для обеспечения уверенности в том, что более широкая ответственность за обеспечение информационной безопасности воспринимается так же серьезно, как и ответственность, связанная с менеджментом услуг.

В ИСО/МЭК 20000-1 установлено, что при существовании менеджмента улучшений, организации следует возложить ответственность по управлению процессом совершенствования на определенную роль. В сравнении с этим ИСО/МЭК 27001:2005 ссылается в пункте 4.2.4 и подразделе 8.1 на организацию выполнения этой задачи, хотя в подраздел 5.1 включены требования, в соответствии с которыми организация устанавливает роли и ответственности по обеспечению информационной безопасности. Требование ИСО/МЭК 20000-1 по четкому распределению ответственности в отношении обеспечения менеджмента улучшений должно быть использовано для обеспечения уверенности в том, что для менеджмента улучшений информационной безопасности также установлена определенная роль.

6.3.4 Менеджмент возможностей

Менеджмент возможностей в подразделе 6.5 ИСО/МЭК 20000-1:2011 включает более широкий круг возможностей, чем ИСО/МЭК 27001, так что некоторые требования ИСО/МЭК 20000-1 могут использоваться для поддержки реализации ИСО/МЭК 27001. Например, описанный в ИСО/МЭК 20000-1 менеджмент возможностей использует технические возможности и возможности персонала. Кроме того, подраздел 5.2 "Управление ресурсами" в ИСО/МЭК 27001:2005 можно считать связанным с менеджментом возможностей, так как возможность является выражением доступа к достаточному количеству ресурсов, чтобы принимать разумные меры в предсказуемых обстоятельствах.

В подразделе 3.2 ИСО/МЭК 27001:2005 доступность определяется для обозначения, как досягаемости, так и используемости. Процесс менеджмента возможностей в подразделе 6.5 ИСО/МЭК 20000-1:2011 поддерживает аспект доступности. Например, если недостаточно возможностей, то услуга или компонент услуги могут быть недоступны, т.е., когда невозможно сохранить файл, поскольку слишком мало памяти. Кроме того, услуга или компоненты услуги могут быть слишком медленными, что непригодно для использования, например, время отклика, из-за недостаточной пропускной способности сети.

Организация должна осознавать различия, когда требуются перекрестные ссылки между двумя стандартами. Организация должна учитывать необходимость перекрестных ссылок между подразделом 4.3 и подразделом 6.5 ИСО/МЭК 20000-1:2011 и соответствующими разделами ИСО/МЭК 27001:2005, см. приложение A настоящего стандарта. Например, требование по включению возможных влияний законодательных, нормативных, договорных или организационных изменений в план возможностей, изложенное в подразделе 6.5 ИСО/МЭК 20000-1:2011, следует сопровождать перекрестной ссылкой с подразделом A.10.1 ИСО/МЭК 27001:2005.

6.3.5 Менеджмент риска третьей стороны

Согласно ИСО/МЭК 27001 третья сторона, такая как клиент, поставщик или независимая внутренняя группа, находится вне области действия СМИБ и рассматривается как потенциальный источник риска. В приложении B настоящего стандарта содержится сравнение этих терминов, а в пунктах A.6.2.1 и A.6.2.3 ИСО/МЭК 27001 описываются меры и средства контроля и управления, которые могли бы быть использованы для менеджмента безопасности в отношении этих третьих сторон.

В отличие от ИСО/МЭК 20000-1, другие стороны являются сущностями, не находящимися под непосредственным контролем поставщика услуг, но способствующими предоставлению услуги в области действия СМУ. Другими сторонами являются поставщики, внутренние группы или клиенты (исполняющие обязанности поставщиков). Другие стороны могут вносить свой вклад в основную часть услуги, см. подраздел 4.2 "Менеджмент услуг, осуществляемых другими сторонами" ИСО/МЭК 20000-1:2011. В подразделе 6.6 ИСО/МЭК 20000-1 изложены требования менеджмента информационной безопасности. К нему относится менеджмент риска, связанный с поставщиком, который может непосредственно воздействовать на информационную безопасность клиентской организации. Подраздел 8.1 ИСО/МЭК 20000-1:2011 также касается инцидентов и процесса запроса услуг для менеджмента инцидентов информационной безопасности, а также оценки всех изменений с целью проверки влияния на меры и средства контроля и управления информационной безопасности.

При проектировании интегрированной системы менеджмента существуют два основных фактора, влияющих на отношения бизнеса и процессы управления поставщиками в отношении осуществления менеджмента рисков третьей стороны. Эти два фактора изложены ниже:

a) договорные обязательства по обеспечению информационной безопасности должны служить исходными данными для процесса оценки риска. Этот процесс должен способствовать выполнению требований ИСО/МЭК 20000-1 к поставщику услуг в отношении реагирования на потребности бизнеса;

b) информационная безопасность должна быть учтена в процессе деловых отношений с другими сторонами, включая клиентов, исполняющих обязанности поставщиков. Ее следует учитывать при проектировании новых или изменении существующих услуг и при обсуждении SLA.

Другие охваченные подразделом 7.1 ИСО/МЭК 20000-1:2011 концепции, такие как проверки качества деятельности, изменения услуг, менеджмент удовлетворения потребностей клиента и рассмотрение претензий, могут быть применены к интегрированной системе менеджмента для усиления ее в целом.

Таким образом, интегрированная система менеджмента должна следовать подходу к управлению взаимоотношениями с поставщиками, согласно ИСО/МЭК 27001, а также соблюдать требования пункта 6.6.2 "Меры и средства контроля и управления информационной безопасности" ИСО/МЭК 20000-1:2011 в отношении риска поставщика. В тех случаях, когда активы организации находятся в рамках области действия СМИБ, но некоторые или все эти активы контролируются другой стороной, организация должна согласовывать это адекватными договорами, SLA или другими документированными соглашениями. Этот подход должен обеспечить уверенность в том, что другая сторона применяет соответствующие меры и средства контроля и управления.

6.3.6 Менеджмент непрерывности и доступности

В подразделе 6.3 "Менеджмент непрерывности и доступности услуг" ИСО/МЭК 20000-1:2011 подробно рассматривается только одна из проблем по обеспечению информационной безопасности. Деятельности по обеспечению непрерывности и доступности в рамках существующей системы менеджмента следует проанализировать, чтобы понять, могут ли они быть соответствующим образом расширены для охвата менеджмента целостности и конфиденциальности и, следовательно, осуществления менеджмента информационной безопасности любой услуги. Подробности можно почерпнуть из ИСО/МЭК 20000-1, а общие принципы - из A.14 ИСО/МЭК 27001:2005.

6.3.7 Менеджмент отношений с поставщиками

ИСО/МЭК 27001:2005 рассматривает менеджмент отношений с поставщиками в различных пунктах, например, в A.6.2.1, A.6.2.3, A.10.2, A.8 для кадровых ресурсов, включая подрядчиков. Подраздел 4.2 ИСО/МЭК 20000-1:2011 содержит требования к управлению процессами, выполняемыми другими сторонами, а подраздел 7.2 содержит требования для менеджмента отношений с поставщиками. Менеджмент отношений с поставщиками, отвечающий требованиям обоих стандартов, может быть очень эффективным.

В 6.3.5 настоящего стандарта содержится дополнительная информация по менеджменту рисков, связанных с поставщиками. Например, оценка риска в ИСО/МЭК 20000-1 может быть расширена с использованием концепции ИСО/МЭК 27001 для рассмотрения того, не будет ли безопасность организации скомпрометирована при добавлении или отказе от услуги поставщика или при конкретном изменении услуги, предоставляемой поставщиком.

Это следует рассматривать даже в том случае, если организация решает реализовать только один из стандартов.

6.3.8 Управление конфигурацией

Реестр активов в ИСО/МЭК 27001 представляет собой репозиторий всего, что имеет ценность (денежную или иную) для организации и находится в области действия СМИБ, например, информация, базы данных или процессы.

Понятие базы данных управления конфигурацией (configuration management database - CMBD) стандарта ИСО/МЭК 20000-1 очень сходно с реестром активов стандарта ИСО/МЭК 27001, однако области применения и, как следствие, перспективы различны. Установление области применения обсуждается в пункте 4.5.1 ИСО/МЭК 20000-1:2011.

Требования подраздела 9.1 ИСО/МЭК 20000-1:2011 могут быть использованы при создании и управлении СМИБ. С точки зрения ИСО/МЭК 27001, организация должна осуществлять менеджмент безопасности CMBD, так как ее следует рассматривать в качестве информационного актива.

Подраздел 9.1 ИСО/МЭК 20000-1 также требует безопасности для CMBD, чтобы защитить точность содержащихся в ней данных. Сюда входит требование поддержки целостности услуг и компонентов услуг. Однако ИСО/МЭК 20000-1 не проводит различия между разными уровнями целостности. Здесь может быть полезен стандарт ИСО/МЭК 27001, требующий, чтобы оценивались риски для систем, услуг и компонентов услуг и определялись допустимые уровни риска. Основной вопрос заключается в том, могут ли изменения менять уровень риска и, если да, то какие изменения повысят риск до недопустимого уровня.

Требования ИСО/МЭК 20000-1 в отношении базовых уровней конфигурации и эталонных копий конфигурации, фактически являются мерами и средствами контроля и управления с точки зрения ИСО/МЭК 27001. Эти требования следует учитывать при интегрированном подходе к менеджменту риска. Некоторые из них будут влиять на решения о том, реализовывать или нет некоторые меры и средства контроля и управления.

6.3.9 Менеджмент выпуска изменений и их использования

Соответствие требованиям ИСО/МЭК 20000-1:2011 к менеджменту выпуска изменений и их использованию не обеспечивает уверенности в соответствии требованиям ИСО/МЭК 27001 к выпуску изменений. Если не следовать требованиям ИСО/МЭК 27001, на этом этапе могут быть случайно внесены проблемы с обеспечением безопасности. Например:

a) в работе действующей системы (систем) могут быть произведены изменения, вносящие недостатки в обеспечение информационной безопасности, если менеджмент выпуска изменений и их использования не учитывает возможности вредоносных действий;

b) управление тестовой и производственной средой часто может осуществляться различными группами, вследствие этого процесс выпуска изменений должен обеспечивать уверенность в том, что данные от группы тестирования получает соответствующая производственная роль, чтобы избежать рисков нарушения конфиденциальности данных.

Это особенно важно во время выпуска экстренных изменений. В таких ситуациях из-за ограничений и (или) ограничений ресурсов часто используется иной и, возможно, упрощенный процесс выпуска и использования изменений. Соответственно, возрастают риски компрометации информационной безопасности. Всегда необходимо осуществлять надлежащий менеджмент рисков информационной безопасности, следуя утвержденным процессам обеспечения информационной безопасности, независимо от используемого процесса выпуска и использования изменений.

Менеджмент выпуска и использования изменений может быть усовершенствован в результате выбора мер и средств контроля и управления из пункта A.10.1.4 "Разделение средств разработки, тестирования и функционирования" и пункта A.10.3.2 "Приемка систем" ИСО/МЭК 27001:2005.

6.3.10 Составление бюджета и учет

Требования по составлению бюджета и учету в подразделе 6.4 ИСО/МЭК 20000-1:2011 не могут быть непосредственно сопоставлены с каким-либо требованием ИСО/МЭК 27001. В ИСО/МЭК 27001 требование "предоставления ресурсов" и выходные данные от проводимой руководством проверки (которые требуют принятия решения о "потребностях в ресурсах"), могут быть полезны в процессе рассмотрения финансовых ресурсов и определенного бюджета.