Агентство Активного Аудита

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

Экономическое обоснование сертификации по стандарту ISO 27001

Valeriy Sysoev
Project manager at Active Audit Agency
Certified ISO 27001 auditor

1.История

ISO 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной Организацией по Стандартизации (ISO) и Международной электротехнической комиссии (IEC). Серия стандартов ISO 27000 развилась из британского стандарта BS 7799, практические правила управления информационной безопасностью и является основой стандарта ISO 27001, впервые опубликованным в 1998 году. Существуют и другие стандарты в этой серии, как опубликованные, так и на стадии разработки: ISO/IEC 27003 —руководство по созданию СУИБ; ISO/IEC 27004 — стандарт для измерений в области информационной безопасности; ISO/IEC 27005 — стандарт для управления рисками на основе BS7799-3; ISO/IEC 27006 — руководство по аккредитации сертификационных организаций; ISO/IEC 27007 — стандарт для аудита СУИБ;

2.Применнение

Стандарт ISO 27001 предназначен для обеспечения руководства по вопросам управления информационной безопасности для организации. Для решения этого, стандарт ISO сосредоточен на организации в целом, включая все типы информации, системы, персонал, политики, процессы и технологи. Система управления информационной безопасностью в дополнение к своей внутренней выгоды для организации, является также доказательством надежности вашего бизнеса для потенциальных клиентов, пользователей, или других сторон. В следующих разделах этого документа будут продемонстрированы выгоды от внедрения системы.

3.Почему необходима система управления информационной безопасностью (СУИБ)

Наш бизнес полагается на информацию

Информация и информационные системы являются жизненно важными для работы нашего бизнеса. От создания новых продуктов до выполнения заказа клиента необходима актуальная, точная и достоверная информация, чтобы позволить нам эффективно работать. В условиях все более враждебного мира, защита этой информации является жизненно важным, если мы хотим избежать разрушительных и пагубных последствий инцидентов в области безопасности.

Инциденты могут нанести серьезный ущерб бизнесу

Когда мы не обеспечиваем адекватную защиту информационных систем от таких угроз, как внешние хакеры, вредоносные действия внутренних сотрудников и неработоспособность приложений, последствия могут быть крайне разрушительным, как показывают реальные примеры ниже.

Согласно the Information Security Status Survey 2010 более чем на две трети предприятий, принявших участие в исследовании (67%) представили данные об инцидентах. Во всех этих предприятиях произошел, по крайней мере, один инцидент безопасности, и в более половины из них (55%) произошел, по крайней мере, один серьезный инцидент. Анализ основных инцидентов приведен ниже.

Финансовые потери ИБ

  • Почти три четверти опрошенных предприятий (73%) сталкивались со всеми семью видами инцидентов. 
  • Более 28000 отдельных инцидентов в год. Это эквивалентно в среднем 472 инцидентам в год в каждом отдельном предприятии  -  больше, чем в предыдущем году на 10 %
  • Как и в предыдущем отчете, внешние нападения  (в частности, распространение вирусов) все еще является наиболее распространенным типом инцидента, хотя  прерывание в обслуживании и сбой в программном обеспечении снова в большинстве крупных инцидентов.

4.Финансовые потери из-за инцидентов информационной безопасности

Согласно The Global Economic Crime Survey 2009 опубликованному компанией PricewaterhouseCoopers , в прошлом году 55% украинских организаций, потеряли более 100 000 долларов непосредственно через инциденты, связанные с экономической преступностью. Уровень экономических преступлений увеличился:

  • 35% опрошенных подтверждают увеличение расходов вследствие из-за мошенничества в течение последних 12 месяцев;
  • 48% респондентов подтверждают увеличение количества случаев мошенничества.

Согласно The Information Security Status Survey 2010, респондентам предлагалось представить дополнительную информацию о "наиболее серьезных" инцидентах. Анализ десятки самых серьезных инцидентов представлен ниже.

Максимальный финансовый ущерб (дол) Причина инцидента Описание инцидента Инцидент был связан с потерей
60 млн. Внутренние злоупотребления Саботаж администраторами системы. Доступности
12 млн. Внутренние злоупотребления Большой сервисный центр неоднократно отключен от глобальной сети из-за перегрузки, вызванной сотрудниками, которые обменивались мультимедийными файлами через сеть компании. Доступности
7,7 млн. Внешняя атака
Человеческие ошибки
Заражение вирусом Conficker Доступности
2,5 млн. Внешняя атака Чрезвычайно высокие нагрузки сети извне – атака отказ в обслуживании Доступности
1,4 млн. Сбои в работе системы
Человеческие ошибки
Непредвиденные последствия изменений
Кэш-память устройства в SAN вышла из строя. Затронуло несколько сотен серверов. Восстановление системы в целом заняло одну неделю и данные были утрачены из-за неудачного резервного копирования Целостности
Доступности
1,4 млн. Человеческие ошибки
Непредвиденные последствия изменений
Неправильная настройка системы, обусловлена потерей управления половины
кластера, в результате чего длительный простой приложений сотрудников.
Целостности
Доступности
1 млн Внешняя атака Использование учетной записи сотрудника злоумышленником и использование уязвимостей сети для кражи данных Конфиденциальности
970 000 Прерывания сервисов
Непредвиденные последствия изменений
Низкая производительность инцидента, вызванного непредвиденными последствиями
изменения и прерывания процесса.
Доступности
660 000 Внешняя атака
Человеческие ошибки
Вирусное заражение Доступности
560 000  Прерывания сервисов Потеря питания на всех серверах на 24 часа Доступности

  • Внутренние злоупотребления привели к наибольшему ущербу.
  • Большинство из десяти самых серьезных инцидентов, были вызваны внешними нападениями или человеческими ошибками.
  • Девять из десяти наиболее серьезных инцидентов связано с потерей доступа к информации и восемь были зарегистрированы как непреднамеренные.
  • Общий средний показатель максимальных расходов для всех наиболее серьезных инцидентов был 3,1 млн. долл. США.

5.Система управления информационной безопасностью

Как показывают эти примеры, угрозы информационной безопасности являются реальными и последствия  могут быть очень серьезными. Для того, чтобы защитить нашу информацию эффективно, мы должны иметь возможность выбирать наиболее подходящие меры безопасности. Это может быть достигнуто путем определения основных рисков информации в системе, а затем внедрения соответствующих мер защиты.

 6.Выгоды cертификации

ISO 27001

6.1 Разграничение рынка

Сертификация по  ISO 27001 принимается во всем мире. Существует все большее давление со стороны текущих клиентов, потенциальных клиентов и регуляторов принять оправданную, основанную на оценке рисков, систему управления информационной безопасностью, а не просто полагаться на текущие расплывчатые "наилучшие практики" и другие стандарты, которые относятся не только к информационной безопасности. Усилия, затраченные на повышение зрелости системы безопасности,  являются доказательством для клиентов и потенциальных клиентов, что ваша организация активно управляет и поддерживает свою информационную безопасность.

Выгоды:  Возможность выделиться среди конкурентов. Получение сертификата ISO 27001 означает объединение в малую и эксклюзивную группу компаний и является весьма эффективным рыночным отличием для Вашей компании. Ваши конкуренты, скорее всего, уже думают  о сертификации ISO 27001. Вы можете сделать это первыми.

Итоговое влияние: Увеличение продаж путем предоставления зрелой и дееспособной СУИБ,  сертифицированной по международному стандарту. Более широкие возможности для бизнеса, где  реклама безопасности вашей компании является одним из важнейших элементов, в том числе возможности для работы с клиентами, желающими делать бизнес с компанией, которая имеет сертификат по безопасности.

6.2 Управление информационными рисками

ISO 27001 на основе  риск-ориентированного подхода, обеспечивает механизм для интеграции информационной безопасности в общую стратегию управления рисками компании. Использование общего языка по управлению рисками, руководителей бизнеса теперь могут быть представлены с информационной безопасностью в надлежащем контексте защиты активов и снижения рисков.

Выгоды:  В принятии решений по информационной безопасности на основе оценки рисков, специалист по информационной безопасности и бизнес-менеджер может использовать единую терминологию. Кроме того, функции информационной безопасности все более интегрируется с организацией в целом.

Итоговое влияние: Более широкое понимание и признание роли информационной безопасности в рамках общей стратегии управления рисками организации.

6.3 Работа с третьими сторонами

Согласованность между внутренними и внешними сторонами, является еще одной проблемой, с которой сегодня  сталкиваются организации, и проблема только усугубляется. Как вы можете убедиться, что ваши требования выполняются? Контракт или  соглашение зачастую не рассматривает конкретные требования по сохранению конфиденциальности, целостности и доступности информации. В СУИБ на основе ISO 27001, требования, спецификации, расширение возможности и связи с третьими сторонами являются неотъемлемой частью системы. Эти элементы могут быть предоставлены третьим лицам. Что это значит? Это означает, что вы можете поднять свой уровень гарантии, зная, что третьи стороны "на том же уровне", что и Ваша компания. Поставщики могут предоставлять услуги на желаемом уровне  с процессами и мерами безопасности, которые определяются вами.

Выгоды:  Открытые  требования безопасности к третьим сторонам и запланированное проведение периодических аудитов соблюдения таких требований.

Итоговое влияние: Третьи стороны, с полным пониманием требований могут обеспечить более точное установление цен на услуги.  Периодические оценки третьих сторон на соответствие требований и усиление внимания на определенных задачах восстановления в случае необходимости.

6.4 Обороноспособность

ISO 27001 требует от организаций определения методологии оценки рисков. С оценкой рисков, информационная безопасность и управления совместно сделают осознанный выбор о том, какие элементы управления должны быть применены, и обосновать этот выбор. Список контролей в приложении А стандарта не просто "лучшие практики", а скорее набор независимых требований, сформулированных и признаваемых в более чем 170 странах мира. В рамках СУИБ, каждый выбор может быть защищен на основе оценки рисков и определении контролей. Не существует  "серой зоны", и не зависит от индивидуальных интерпретаций практик безопасности, независимо от того, насколько хорошо предполагалось

Выгоды: Ссылки на принятие решений, которые основаны на независимом стандарте и оценки рисков означает, что организация может легко защитить и обосновать свой выбор менеджмента, клиентов и регуляторов.

Итоговое влияние:  Использование определенных и оправданных наборов средств управления информационной безопасности означает снижение усилий и путаницы в объяснении безопасности выбора. Это может привести к сокращению циклов проведения ревизий, и  дают уверенность руководству и клиентам, что информационная безопасность основана на осознанном выборе решений, а не только на основе общих практик.

7.Заключение

 Внедряя оправданную, риск-ориентированную систему управления информационной безопасностью на основе международного стандарта ISO 27001, организация может достичь многих целей, таких как:

  • Расширение возможностей зарабатывать и поддерживать бизнес от своих клиентов
  • Способность дифференцировать свои услуги от тех своих конкурентов
  • Скорость в режим соблюдения нормативно-правовой базы
  • Лучше соответствие с требованиями управления и выделенных ресурсов
  • Более полное управление над третьим сторонами
  • Метрики для оправдания безопасности бюджетов

Внедрение СУИБ на основе стандарта ISO 27001 обеспечит Вашей организации:

  • Надежность и безопасность информационных систем:
  • обеспечение целостности, доступности и конфиденциальности критических для бизнеса информационных ресурсов;
  • обеспечение централизованного контроля уровня защиты информации в рамках всего предприятия;
  • повышение надежности бизнес-процессов (непрерывность ИТ-услуг).
  • Уменьшение потерь от операционных рисков и инцидентов:
  • угрозы и уязвимости безопасности для существующих бизнес процессов будут регулярно проявляться;
  • риски будут просчитываться, и решения будут приниматься на основе бизнес-целей компании, в первую очередь финансовых целей;
  • управление информационными активами предприятия в критических ситуациях будет эффективным благодаря разработке, внедрению и тестированию планов по восстановлению бизнеса.
  • Уменьшение затрат на информационную безопасность благодаря:
  • рациональному подходу к выбору необходимых мер безопасности, основанному на оценке возможных убытков, классификации критических систем и приоритезации заданий безопасности
  • рациональному использованию имеющихся ресурсов (персонала, технологий, инфраструктуры, данных, программного обеспечения)

8.Пример Успешного Внедрения СУИБ

Это пример показывает реальные выгоды успешного внедрения СУИБ в большом международном банке:

  • В результате проведения оценки информационных и операционных рисков и своевременному внедрению соответствующих мер безопасности, фактические потери от инцидентов в 2009 году составили менее 2% от операционного капитала банка.
  • Потенциальные потери от операционных инцидентов в 2009 году составили более $ 1 млн. Но благодаря своевременному выявлению и реагированию на инциденты, потери удалось сократить более чем на 98%.
  • Оценка ущерба и классификация информационных активов при построении плана бесперебойной работы предприятия позволяет экономить более чем $ 30'000 ежегодно.

Экономическое обоснование сертификации по стандарту ISO 27001

 

Читайте также:

Аудит ISO 27001

Оцінка ризиків

Тест мереж і систем на стійкість до злому

Тест на стійкість до методів соціальної інженерії

Розробка та впровадження програми інформаційної безпеки

Розробка вимог до інформаційної системи

Аудит PCI DSS

Аудит аутсорсингу