4 Система управления иб организации

Скачать 96.59 Kb. Название 4 Система управления иб организации Дата 16.05.2021 Размер 96.59 Kb. Формат файла Имя файла osnovy_upravlenia_informacionnoj_bezopasnostu_seria_voprosy_upra.docx Тип Документы #205682

4. Управление и система управления ИБ Рис. 4.7. Управление ИБ отдельной системы ИТТ на стадии ее эксплуатации 4.5. Система управления ИБ организации Процесс управления ИБ организации реализуется СУИБ, включаю­щей в себя помимо самого управляемого (защищаемого) объекта сред­ства управления его состоянием, механизм сравнения текущего состоя­ния с требуемым и средства формирования управляющих воздействий для локализации и предотвращения ущерба вследствие реализации уг­роз ИБ. Критерием управления в данном случае целесообразно считать минимум ущерба для активов организации при минимальных затратах на обеспечение их ИБ, а целью управления - обеспечение требуемого состояния активов (управляемого объекта) в смысле защищенности. Определим СУИБ (англ, informationsecuritymanagementsystem) как часть общей системы управления организации, основанную на под­ходе оценки и анализа бизнес-рисков, предназначенную для разра­ботки, внедрения, эксплуатации, постоянного контроля, анализа, поддержания и улучшения ИБ, и включающую организационную структуру, политику, планирование действий, обязанности, уста­новившийся порядок, процедуры, процессы и ресурсы в области ИБ [14,21]. СУИБ в организации выполняет следующие важнейшие функции: " реализует целенаправленный, систематический и комплексный под- ход к управлению ИБ защищаемых активов, что приводит к повы­шению текущего уровня их защищенности; " объединяет все применяемые в организации защитных и организа­ционных меры в единый, адекватный реальным угрозам ИБ и управ­ляемый комплекс, позволяющий достигать целей ОИБ на уровне всей организации; позволяет четко установить, как взаимосвязаны процессы и подсис­темы ОИБ, кто за них отвечает, какие финансовые и трудовые ресур­сы необходимы для их эффективного функционирования и т. д.; " проводит процесс выполнения ПолИБ и позволяет находить и устра­нять слабые места в ОИБ; охватывает людей, процессы и ИТ-структуру организации. Систематизируя представленные в различных источниках отрывоч­ные сведения об отдельных элементах СУИБ, подчеркнем, что для вы­полнения перечисленных выше функций. СУИБ конкретной организа­ции должна включать в себя следующие важнейшие компоненты' соответствующую организационную структуру с поддерживаю­щими ее подсистемами автоматизации функционирования СУИБ (до­кументооборотом, обработкой, хранением и передачей данных и т. п.), организации управления и собственной защиты; модель функционирования СУИБ (например, процессно-ролевая); методики и методы управления ИБ (методика управления ИБ - общий свод правил, алгоритм, приемы управления ИБ; метод управле­ния ИБ - путь практического осуществления деятельности по управле­нию ИБ, способ достижения определенной цели в рамках ОИБ); документальное обеспечение функционирования СУИБ - Полити­ка СУИБ, планы СУИБ, процедуры, регламенты и т. д.; деятельность по планированию, реализации, проверке и совер­шенствованию СУИБ с соответствующими средствами выполнения конкретной деятельности; ответственность всех участвующих в процессе управления ИБ, и тех, кто попадает в область действия СУИБ; процессы управления ИБ, выполняемые на основе СУИБ; средства управления ИБ; необходимые ресурсы. Средства управления ИБ организации, используемые в рамках СУИБ, выбираются на основе результата оценки рисков ИБ как части более общего процесса управления рисками ИБ и снижают риск до при­емлемого уровня, при этом принимая во внимание и другие бизнес- риски организации. Обязательно должны быть определены, документи­рованы, реализованы и поддерживаемы в рабочем состоянии техниче­ские средства управления ИБ. Но со временем действие различных внутренних и внешних обстоятельств (например, изменение ИС, рекон­фигурирование функций защиты, изменения окружающей среды, появ­ление новых атак) может негативно сказаться на эффективности ис­пользуемых в организации средств управления ИБ и, в конечном счете, потребовать пересмотра стандартов ИБ организации. Поэтому так важ­но адекватно изменять средства управления ИБ, что делается на основе постоянного анализа и технической проверки (осуществляемой вруч­ную или с использованием инструментальных средств) правильности их реализации и функционирования. Более упрощенно наглядное представление основных компонент СУИБ приведено в [16] (рис. 4.8). Процессы ОИБ поддерживаются По- лИБ и концепцией ОИБ, в которых сформулированы цели и стратегия ОИБ, а также организация самих процессов ОИБ. Следовательно, СУИБ является неотъемлемой частью СОИБ. Рис. 4.8. Основные компоненты СУИБ Область действия СУИБ, ее администрирование и ресурсы зависят от размеров организации и ее защищаемых активов. Чтобы быть действительно полезной для организации, СУИБ должна быть эффективной. Правильно разработанная, должным образом реали­зованная и применяемая СУИБ позволяет не только вернуть затрачен­ные на нее средства, но и внесет положительный вклад в успех бизнеса организации. Как показывает накопленный в данной области мировой и отечест­венный опыт, эксплуатация СУИБ дает организации ряд бесспорных выгод от ее использования: обеспечение соответствия уровня ИБ законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса; " доказательство стремления высшего руководства к ОИБ в необходи­мом объеме для всей организации в соответствии с установленными требованиями; " повышение доверия партнеров, клиентов, заказчиков за счет демон­страции высокого уровня ОИБ всем заинтересованным сторонам; " управляемое ОИБ и контролируемое управление ИБ (особенно в критичных ситуациях); " систематизация процессов ОИБ; расстановка приоритетов в области ИБ; достижение «прозрачности» в ОИБ; обеспечение понятности защищаемых активов для руководства; выявление угроз ИБ для бизнес-процессов; достижение адекватности ОИБ существующим рискам; " предупреждение возникновения инцидентов ИБ и снижение ущерба в случае их возникновения; " повышение культуры ИБ в организации; " интеграция защитных мер в бизнес-процессы; оптимизация (за счет формализации всех процессов ОИБ) и обосно­вание расходов на ИБ; снижение финансовых рисков и рисков прямых потерь; снижение операционных рисков за счет повышения экономической эффективности ОИБ; снижение рисков для инвесторов за счет повышения прозрачности процессов внутри организации; " экономия времени, ресурсов и затрат на начальной стадии сбора ин­формации при проведении любых аудитов ИБ; " создание информации, порождаемой в процессе использования СУИБ, для всех заинтересованных сторон и т. д. Поскольку внедрение СУИБ требует значительных ресурсов, все ор­ганизации должны четко осознавать преимущества ее использования. Различные организации имеют разные бизнес-стимулы для этого, вклю­чая нормативную и правовую базу, статус (крупный или малый бизнес, общественная или правительственная организация), географическое расположение, сферу деятельности (вид бизнеса) и предоставляемые ею услуги (или производимую продукцию) и т. п. Ранее уже подчеркива­лось, что внедрение СУИБ должно стать стратегическим решением ру­ководства организации. На ее проектирование и использование оказы­вают влияние потребности и цели, требования по ОИБ, применяемые процессы, а также размер и структура организации. Все эти элементы и поддерживающие их системы изменяются во времени. Поэтому и СУИБ будет также меняться соответственно потребностям организации. Дело­вая аргументация для внедрения СУИБ должна быть четко документи­рована и должна подробно излагать ожидаемые затраты в сравнении с вы­годами, которые могут быть получены от увеличения возможностей управ­ления ИБ. СУИБ не должна создаваться в изоляции. Она должна учитывать все бизнес-риски и общие бизнес-стратегии организации [30]. Область действия СУИБ Стандарты по управлению ИБ, в частности ГОСТ Р ИСО/МЭК 27001, оперируют понятием области действия СУИБ. Это область и границы применения СУИБ в терминах характеристик бизнеса, органи­зации, ее расположения, ресурсов и технологий [14, 21]. Область дейст­вия СУИБ должна соответствовать как возможностям организации, так и ее ответственности за ОИБ в соответствии с требованиями, опреде­ленными в применимых к данной организации законодательных, норма­тивных и иных документах и соотнесенными с проведенной для нее оценкой рисков ИБ. Установление области действия СУИБ полностью зависит от орга­низации. Необходимо, чтобы она была правильно определена, была полной и реально применимой, учитывала все зависимости, например, требования по ОИБ, которые должны быть выполнены при функциони­ровании данной СУИБ, и интерфейсы с другими частями организации, находящимися вне области действия, а также другими системами, орга­низациями, сторонними поставщиками. В этом случае другие части ор­ганизации, которые необходимы СУИБ для повседневного функциони­рования (например, кадровые ресурсы, финансы, продажи и маркетинг или коммунальные службы), являются интерфейсами и зависимостями, в дополнение к любым другим существующим интерфейсам и зависи­мостям. Как видно из определения, в область действия СУИБ организации включаются: " бизнес-процессы; " технологии; активы (кадры, финансовые (денежные) средства, средства вычисли­тельной техники, телекоммуникационные средства, различные виды информации, процессы, продукты и услуги, предоставляемые всем заинтересованным сторонам — клиентам, партнерам и т. д.); " расположение (ограниченная и определяемая независимо часть ор­ганизации, то есть перечисление конкретных офисов, входящих в область действия, или вся организация в целом); " обоснование выбора данной области действия. При выборе области действия СУИБ, в которой силами специально созданной рабочей группы будут внедряться процессы СУИБ, учиты­ваются следующие факторы: " деятельность и услуги (продукция), предоставляемые организацией своим партнерам и клиентам; " целевая информация, ИБ которой должна быть обеспечена; " бизнес-процессы, обеспечивающие обработку целевой информации; " подразделения и сотрудники организации, задействованные в дан­ных бизнес-процессах; программно-аппаратные и технические средства, обеспечивающие функционирование данных бизнес-процессов; территориальные площадки организации, в рамках которых проис­ходят сбор, обработка и передача целевой информации. В стандарте ISOZIEC 27003:2010 приведены примеры возможных целей управления ИБ, которые могут быть использованы в качестве входных данных для определения первоначальной области действия СУИБ [23]: содействие ОНБ и восстановлению после сбоев; повышение устойчивости к инцидентам ИБ; соответствие правовым требованиям и договорным обязательствам; " создание условий для сертификации по стандартам ISO/IEC; " создание благоприятных условий для эволюции организации и укре­пления ее позиции; " сокращение расходов на средства управления ИБ; защита активов, имеющих стратегическое значение; создание жизнеспособной и эффективной системы внутреннего кон­троля; " обеспечение гарантий для заинтересованных сторон того, что ин­формационные ресурсы защищены надлежащим образом. Хорошей практикой при определении области действия будущей СУИБ является выбор одного из ключевых бизнес-процессов организа­ции. Это объясняется тем, что в рамках наиболее критичных бизнес- процессов можно наиболее полно ощутить преимущества построения СУИБ, так как основной из целей ее создания является обеспечение адекватных и соразмерных средств управления ИБ, которые защищают активы и обеспечивают конфиденциальность для всех заинтересован­ных сторон, включая владельцев бизнеса. Также появляется возмож­ность постоянного мониторинга ОИБ в рамках выбранной области дей­ствия СУИБ, что позволяет своевременно принимать оперативные ре­шения, затрагивающие все аспекты ОИБ, и повысить доверие к организации в целом. Основной результат деятельности по определению области действия СУИБ - это документ, включающий следующее: сводка поручений по управлению ИБ, установленных руководством организации, и обязательства, налагаемых на внешних организации; описание того, как части области действия взаимодействуют с дру­гими системами управления; и список бизнес-целей управления ИБ; " список критических бизнес-процессов, систем, информационных ак­тивов, организационных структур и географических районов, где бу­дет применяться СУИБ; " взаимоотношения существующих систем управления, регулирую­щих и надзорных органов, и целей организации; характеристики бизнеса, самой организации, ее местонахождение, активов и используемых технологий. Выбор области действия будущей СУИБ - не такая простая задача, как кажется с первого взгляда. В рамках большой организации, предос­тавляющей внешние услуги своим заказчикам, для выбора области дей­ствия может потребоваться ведение отдельного проекта. В основе этого проекта будет лежать глубокий анализ существующих бизнес-процессов организации, их взаимосвязей, выходных результатов каждого из про­цессов и заинтересованных сторон в рамках каждого из процессов. Да­же в небольшой организации, где, казалось бы, есть всего несколько ключевых бизнес-процессов, подобный анализ очень полезен, так как в результате может быть получена непредвиденная заранее картина, в ко­торой проявятся неочевидные взаимосвязи между процессами, и фокус критичности бизнес-процессов может быть смещен в другую сторону. Довольно часто в качестве области действия СУИБ выбирается про­цесс поддержки работоспособности какой-либо АС. Обобщая имею­щиеся лучшие практики разработки эффективных СУИБ, важно пони­мать, что для области действия СУИБ ключевыми (базовыми) понятия­ми являются процессы, а не АС (это одно из важнейших отличий существующих стандартов по СУИБ от требований по ОИБ АС, напри­мер, руководящих документов ФСТЭК). Поэтому выделяется некий процесс, например, поддержки работоспособности рассматриваемой АС (если стоит такая задача). Тогда в данном случае для построения СУИБ необходимо идентифицировать процессы, которые войдут в область деятельности СУИБ и в которых участвует АС. В случае если существует необходимость охватить СУИБ более чем одно подразделение организации, то ее администрирование, управление и аудит все равно осуществляется централизованным образом - СУИБ подвергается анализу со стороны высшего руководства организации. Для всех подразделений, для которых функционирует СУИБ, аудит ИБ проводится в соответствии с внутренними процедурами организации. Особое внимание следует уделить тому, чтобы соответствующим обра­зом определить интерфейсы и зависимости, учесть их при оценке рис­ков ИБ, а результаты этой оценки надлежащим образом отразить в сис­теме реализуемых процессов управления ИБ. Но можно поступить ина­че и для каждого подразделения построить разные СУИБ, которые будут управляться локально. Впоследствии при росте уровня зрелости всех локальных СУИБ и при постановке соответствующей задачи со стороны высшего руководства возможно их объединение в единую СУИБ, область деятельности которой будет распространяться сразу на несколько территориально распределенных подразделений организации. Результаты определения применимой области действия СУИБ ока­зывают существенное влияние на объемы работ, которые необходимо будет выполнить при планировании СУИБ. Документальное обеспечение СУИБ Любые процессы управления базируются на поддерживающем их документальном обеспечении (далее для краткости называемым доку­ментацией). Управленческие процессы СУИБ не являются исключени­ем. Все выше перечисленные национальные и международные стандар­ты для СУИБ требуют, чтобы в процессе внедрения СУИБ был разрабо­тан объемный пакет документации. Неправильно организованный процесс ее разработки может привести к серьезному перерасходу ресур­сов и, более того, может снизить эффект от внедрения СУИБ. В рамках СУИБ используется достаточно большое количество раз­личных документов, которые имеют свой жизненный цикл - они созда­ются, согласуются, пересматриваются, исполняются, хранятся и т. д. По отдельным процессам управления ИБ создаются документы, содержа­щие записи, свидетельствующие о работе этих процессов (примерами записей являются протокол аудита ИБ и заполненные формы разреше­ния доступа). Регистрация таких записей предусматривает идентифика­цию, сбор, заполнение, хранение и ведения зарегистрированных дан­ных. Все документы, относящиеся к СУИБ, должны находиться под ее управлением, а именно: учитываться, легко идентифицироваться, кон­тролироваться с точки зрения версий и актуальности [5, 14,21]. Существующие стандарты по управлению ИБ определяют совокуп­ность обязательных требований по управлению документами и запися­ми, которые должны обеспечить их адекватную защищенность и управ­ляемость и использоваться соответствующие процедуры и процессы [14,21]. Эти требования согласованы с требованиями, содержащимися в других стандартах по системам управления, например, в ГОСТ Р ИСО 9000-2001 [5]. Соблюдение данных требования дает организации ряд преимуществ (включая возможность проведения совместных/ком- плексных аудитов), позволяет сэкономить средства, необходимые для управления и сопровождения документации СУИБ, помогает лучше кон­тролировать бизнес-активы и в результате обеспечить комплексное управ­ление ИБ. Кроме этого управление документами и записями составляет важную часть процесса управления рисками ИБ, которая должна реализо­ваться параллельно с другими процессами управления ИБ. Цели и выгоды наличия документации СУИБ для организации оче­видны - детальное описание СУИБ и предоставление информации о ней всем заинтересованным и попадающим в область действия СУИБ лицам для лучшего понимания деятельности по управлению ИБ и своего места в этой деятельности. Объем документации СУИБ может отличаться у разных организаций вследствие их разного размера и вида деятельности, сложности процес­сов управления ИБ и их взаимодействия, а также компетенции созда­вавшего их персонала. В документацию СУИБ обычно включаются следующее документы: " политика СУИБ; " руководства по процессам управления ИБ; " документированные процедуры; " рабочие инструкции; формы и шаблоны; планы работ; спецификации; внешние документы (международные стандарты, ГОСТы и т. п.); отчетные документы и т. п. В связи с этим необходимо определить иерархию документации СУИБ. Для этого воспользуемся примером, описанным в рекомендаци­ях PC БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методиче­ские рекомендации по документации в области обеспечения информа­ционной безопасности в соответствии с требованиями СТО БР ИББС- 1.0» [75], где определяется состав внутренних документов (документи­рованной информации) по ОИБ. Наполнение каждого уровня иерархии документов по ОИБ БС РФ, приведенного ранее на рис. 3.1, можно представить так, как это показано на рис. 4.9. КПИБ ЧПИБ. ' Планы работ по обеспечению ИБ. Стандарты технологий по обеспечению ИБ / Инструкции по обеспечению ИБ. X ' Руководствапо обеспечению ИБ. ' Методические указания по обеспечению ИБ. Документы, содержащие требования к конфигурациям. Реестры и описи; регистрационые журналы; протоколы; листы ознакомления; обязательства; акты; договоры; отчеты Рис. 4.9. Иерархия документов по ОИБ БС РФ Тогда по аналогии иерархия документов СУИБ может быть пред­ставлена рис. 4.10. Документы СУИБ первого уровня включают Политику СУИБ и, возможно, детализирующие ее подполитики (например, обработки рис­ков ИБ, обработки инцидентов ИБ и т. п.). Второй уровень представлен документами СУИБ: 1. Планы работ по управления ИБ. В состав планов входят планы меро­приятий по обеспечению деятельности в рамках управления ИБ, реализа­ции и внедрению процедур, требований и мер по ОИБ, управлению доку­ментами, связанными с СУИБ; планы обработки рисков ИБ; планы меро­приятий на случаи возможных инцидентов ИБ; планы работ по обслуживанию аппаратных средств и программных систем, используемых для ОИБ, обучению и повышению осведомленности работников организа­ции и т. д. В них описывается перечень, порядок (последовательность), объем (в той или иной форме), сроки выполнения работ, а также руководи­тели, исполнители и ответственность за выполнение работ. 2. Описания (стандарты) технологий ОИБ. Эти документы устанав­ливают требования и характеристики, предназначенные для всеобщего и многократного использования, касающиеся деятельности по ОИБ, осуществляемой в рамках и на основе СУИБ. Они могут разрабатывать­ся как в отношении специализированных технологий ОИБ, так и в от­ношении технологий, реализуемых ИС, применяемыми в организации для ведения бизнеса. Третий уровень - наиболее объемная часть документации, описы­вающая конкретные действия каждого участника процесса управления ИБ. Этот уровень составляют документы СУИБ, содержащие требова­ния к процедурам управления ИБ, выполняемым как структурными подразделениями организации, так и ее сотрудниками в рамках техно­логических процессов, реализующих технологии, требования по ОИБ к которым определены в различных ПолИБ организации и Политике СУИБ. В этих документах даются детализированные описания, приво­дятся конкретные приемы и порядки выполняемых действий и/или вво­димых ограничений, что должно позволить четко определить правила выполнения задач управлении ИБ на каждом рабочем месте, для каждой роли ИБ, а также установить конкретную ответственность за выполне­ние предписанных требований. В разработке документов принимают участие специалисты по ИБ, отдела кадров, управления ИТ, службы фи­зической защиты, юридического отдела и т. п. Основными пользовате­лями данной группы документов являются руководители подразделе­ний, системные администраторы, ответственные за ОИБ конкретных ак­тивов. Документы СУИБ третьего уровня могут быть утверждены лицами, от­ветственными за реализацию соответствующих видов деятельности по управлению ИБ. К этой группе документов СУИБ относятся, например: инструкции, в том числе и должностные; руководства, например, по классификации защищаемых активов; методические указания; документы, содержащие требования к конфигурациям программ­но-аппаратных СЗИ с указанием конкретных значений параметров сис­тем и их компонентов, а также способы их настройки, позволяющие обеспечить требуемый уровень ИБ. Инструкции, руководства, методические указания по управлению ИБ, к которым предъявляются повышенные требования четкости и яс­ности изложения текста, содержат свод правил, устанавливающих поря­док и способ выполнения отдельных операций по управлению ИБ. Эти документы обычно определяют следующее: ■ субъект (субъектов), деятельность которых регламентируется доку­ментом, и/или наименование этой деятельности; " ресурсы, необходимые для выполнения деятельности; " детальное описание выполняемых операций, включая накладывае­мые ограничения, и результат выполнения операций; " обязанности субъекта (субъектов) в рамках выполнения регламенти­руемой деятельности; " права и ответственность субъекта (субъектов). Более подробно документирование по отдельным процессам управ­ления ИБ рассмотрено в п. 4.7.3. Четвертый уровень составляют документы СУИБ, содержащие сви­детельства - записи о результатах реализации деятельности по управле­нию ИБ, регламентированной документами верхних уровней иерархии. Все эти документы СУИБ вместе могут служить документированным доказательством реализации деятельности по управлению ИБ при про­ведении внутреннего контроля и аудитов ИБ организации. К этой груп­пе документов относятся, например, реестры и описи (например, опись активов), регистрационные журналы (включая журналы регистрации инцидентов ИБ), протоколы (например, протокол проведения испыта­ний), листы ознакомления, обязательства (например, обязательства о неразглашении), акты, договоры, отчеты. Наличие документов СУИБ этого уровня определяется требованиями, зафиксированными в документах СУИБ ИБ верхних уровней иерархии. Должно обеспечиваться их архивное хранение, время которого может определяться как требованиями законода­тельных актов РФ, так и требованиями самой организации. Согласно [75] в состав документов по управлению ИБ организации рекомендуется включить документ (классификатор), содержащий пере­чень и назначение всех документов СУИБ для каждого из вышеопреде- ленных уровней иерархической структуры. При наличии у организации сети филиалов, в каждом из них реко­мендуется иметь единый для организации, утвержденный комплект до-