Мошак_Птицына_ Учебное пособие. Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский

доступности, целостности и конфиденциальности компонентов (ресурсов)
ИС.
Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право. Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право. Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.
В мировой практике существуют разработанные модели систем управления ИБ, например, «Information Security Management Maturity Model»
(ISM3, разработанная ISECOM), «The Systems Security Engineering Capability
Maturity Model», стандарт NIST SP800–33.
Существует также ряд международных и национальных стандартов оценки ИБ и управления ею. Среди них: ISO/IEC 17799:2005 и первый стандарт новой серии ISO/IEC 27001, пришедший на смену английскому стандарту BS7799–2:2002, BSI. В отечественной практике первым в этой области стал стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» СТО
БР ИББС–1.0–2006, определяющий основные процессы СУИБ для организаций банковской сферы РФ; «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» СТО
БР ИББС-1.0-2014, общие положения; «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» РС
БР ИББС-2.2-2009, методика оценки рисков нарушения информационной безопасности и др.
При построении СУИБ эксперты рекомендуют опираться на международные стандарты ISO 27001/17799. В этом случае, разработанная
СУИБ позволяет достичь необходимого уровня защищенности системы и значительно снизить риск реализации угроз информационной безопасности.
Однако прямое использование моделей и стандартов ISO/IEC 27001 и
ISO/IEC 17799:2005 для построения СУИБ затруднительно. Либо они слишком конкретизированные, а в любой организации, как правило, уже существует определенная система процессов, ролей, организационно–
распорядительных документов информационной безопасности, которые необходимо интегрировать в систему управления ИБ. При этом не определяются приоритеты, так называемые «веса директив», которые обычно применяются в стандартах аудита. Либо, напротив, рекомендации носят слишком общий характер. Например, стандарты содержат либо набор контрольных директив, либо общий подход к управлению ИБ, то есть определяют, что нужно сделать, но не определяют, как это сделать.
В этой связи при разработке СУИБ можно использовать также методические рекомендации ITIL (Information Technology Infrastructure
Library, библиотека лучшего мирового опыта в области организации работы
ИТ–службы), а также модели управления ИТ–ресурсами и ИТ–сервисами
Microsoft Operations Framework (MOF). Целесообразность использования рекомендаций по управлению ИТ–ресурсами и ИТ–услугами (и в первую

очередь процессов управления инцидентами, изменениями) при построении
СУИБ обусловлена тем, что процессы обеспечения информационной безопасности неразрывно связаны с процессами защиты, а значит, и управления информационными системами и должны быть тесно интегрированы с процессами управления ИТ. Библиотека ITIL содержит комплекс необходимых для построения СУИБ рекомендаций. Во–первых, в
ITIL с определенной степенью детализации описан процесс управления безопасностью (Security Management). Во–вторых, предоставление ИТ–услуг, включая сервисы информационной безопасности, относится к ответственности служб информационных технологий и информационной безопасности. Методы эффективной организации деятельности ИТ–служб обобщены в библиотеке ITIL и многократно испытаны. Кроме того, организации предъявляют сегодня жесткие требования по качеству ИТ–услуг
(в том числе и по информационной безопасности), обеспечивающих поддержку базовых бизнес–процессов. Обеспечение гарантированного качества ИТ–услуг — одна из основных задач процессов ITIL.
Важно, что для построения эффективной СУИБ, аналогично управлению ИТ–услугами, необходима четко действующая система оперативного управления изменениями. В ITIL эти задачи решены путем организации процессов управления изменениями (Change Management). В настоящее время библиотека ITIL стала фактически стандартом в области управления ИТ–услугами и вобрала в себя лучшие подходы и методики, обобщающие накопленный мировой опыт. представлены процессы эталонной модели ITIL. Согласно методологии ITIL, в обеспечении информационной безопасности участвуют практически все процессы эталонной модели ITIL.
Интеграция процесса управления безопасностью в систему процессов управления ИТ–ресурсами и ИТ–услугами и применение сервисно–
ресурсного подхода при построении СУИБ (когда обеспечение ИБ рассматривается как сервис с определенным уровнем качества, предоставление которого обеспечивается определенными финансовыми, техническими, трудовыми ресурсами) дают целый ряд преимуществ. В частности, появляется возможность правильной расстановки приоритетов для решаемых задач ИБ, повышения эффективности расходования ресурсов и средств, выделяемых на управление безопасностью, и как следствие — повышение управляемости системы ИБ в целом. Вместе с тем, одних рекомендаций ITIL для построения полнофункциональной СУИБ недостаточно. Во–первых, необходимо поддержание жизнеспособности
СУИБ во времени, обеспечение ее жизненного цикла. Необходимые для этого компоненты и свойства СУИБ («контрольные точки») приведены в используемом стандарте ISO 27001. Во–вторых, в ITIL не содержатся некоторые важные составляющие СУИБ, например, планирование обеспечения непрерывности работы. Необходимо также и более глубокое определение процессов обеспечения ИБ и их взаимосвязей. Например, для обнаружения инцидентов необходимо вести мониторинг подсистем ИБ,

который связан с процессом мониторинга ИТ–систем, системами Aasset
Management и т. д. Для устранения инцидентов ИБ необходима организация процесса управления инцидентами ИБ. Для поддержания жизнеспособности
СУИБ необходимы также регулярный внутренний аудит СИБ, что требует обучения сотрудников и, естественно, финансирования. Важными составляющими обеспечения информационной безопасности являются также процессы управления информационными рисками, информирования сотрудников о политике ИБ, правилах работы с конфиденциальной информацией и пр. Кроме того, необходимо наложение на модель процессов ролевой модели СУИБ, то есть определение владельцев процессов, ролей сотрудников, которые эксплуатируют подсистемы ИБ и отвечают за соответствующие сегменты системы. Тогда в случае инцидента ИБ, например, нарушения сетевой защиты, можно будет проследить его влияние на другие процессы и подсистемы ИБ, определить ответственных за устранение таких инцидентов, оценить экономические параметры (какой ущерб нанесен, какие средства понадобятся для предотвращения такого рода инцидентов и т. д.). Некоторые рекомендации по построению ролевой модели содержатся в документах Microsoft Service Management function.
5.1.2.
Принципы построения архитектурных решений СУИБ
В качестве базиса для построения архитектурных решений СУИБ выбраны следующие основные общие принципы [41]:
– масштабируемость;
– иерархичность построения;
– функциональная полнота;
– методологическое единство функциональных спецификаций ИС на всех уровнях архитектуры СУИБ;
– открытость архитектуры;
– ориентация на использование открытых стандартов;
– использование преимущественно готовых решений;
– ориентация на процессные принципы организации системы эксплуатации;
– эволюционность и сохранение ранее сделанных инвестиций.
Кроме того, при разработке архитектуры СУИБ необходимо соблюдать следующие специфичные принципы.
1. Централизация и специализация управления. Структура СУИБ должна быть ориентирована на структуру основных бизнес процессов организации и структуру подконтрольных объектов СУИБ.
2. Необходимость и достаточность контроля*. Ни один из информационных активов и элементов инфраструктуры ИС области действия
СУИБ не должен оставаться без контроля.
*Под контролем подразумевается механизм периодического сбора
информации об подконтрольном объекте, ее структурирования и
интерпретации в согласованных терминах, а также построения истории
эволюции свойств.

3. Безопасность и эффективность применения средств мониторинга ИБ.
Для подконтрольных объектов, которые не поддерживают стандартные протоколы (например, SMNPv.3), либо если на уровне стандартных протоколов не обеспечивается сбор нужных первичных сообщений ИБ
(например, для приложений прикладного уровня) возможно применение специализированных средств мониторинга ИБ (программных агентов).
Применение средств мониторинга ИБ не должно приводить к деградации работы подконтрольных объектов и нарушать их функциональные свойства.
Эффективность средств мониторинга ИБ должна определяться не только способностью контролировать состояние ИБ подконтрольных объектов, но и безопасностью этого контроля для их работы.
4. Консолидация мониторинга ИБ. При создании элементов СУИБ необходимо, чтобы осуществлялась:
– консолидация обработки событий (все события мониторинга ИБ, получившие качественную оценку угрозы ИБ, должны проходить через единую систему обработки и анализа, что позволит поддержать единый временной контекст состояния ИБ организации);
– консолидация представления состояния (большое количество события мониторинга ИБ необходимо консолидировать в виде оценки обобщенного состояния ИБ организации, что повысит информированность пользователей об уровне угрозы ИБ и ответственность служб СУИБ при реализации соответствующих регламентов безопасности. Обобщенная оценка состояния
ИБ должна предусматривать иерархичность предоставляемой информации о состоянии ИБ организации для различных уровней архитектуры СУИБ
(первичное сообщение ИБ – сообщение мониторинга ИБ – коррелированное сообщение мониторинга ИБ).
5.
Унификация. Принцип унификации должен распространяться на:
– применяемые средства администрирования для типовых СУИБ;
– способы сбора первичных сообщений ИБ от типовых контролируемых объектов ИС;
– применяемые критерии классификации и категорированию первичных событий ИБ;
– универсальный классификатор коррелированных событий мониторинга
ИБ организации;
– способы оценки и представления состояния ИБ;
– типовые регламенты по обработке и реагированию на коррелированные события мониторинга ИБ в ИС;
– способы передачи данных между компонентами СУИБ.
6.
Непрерывность мониторинга ИБ. Мониторинг состояния ИБ организации должен осуществляться непрерывно (постоянно).
7.
Разделение функций управления и администрирования СУИБ. В СУИБ на уровне функциональных компонент должны быть разделены задачи управления ИБ и администрирования СУИБ (прежде всего, настройка, конфигурационное управление на уровне аппаратно–программных комплексов).

8.
Принцип сервисного подхода к управлению ИБ. Требования к управлению и контролю СУИБ задаются процессами СУИБ. Для обеспечения обратной связи с процессами СУИБ должны быть определены спецификации структурированных сообщений мониторинга ИБ, которые описывают параметры/метрики штатного состояния ИБ.
5.1.3. Модель Демнинга (PDCA)
Стандарт ISO 27001 декларирует два основных принципа управления безопасностью.
1. Процессный подход к управлению безопасностью, который рассматривает управление как процесс
(набор взаимосвязанных непрерывных действий), акцентирует внимание на достижении поставленных целей, а также на ресурсах, затраченных для достижения целей.
2. Применение модели Демнинга или модели PDCA (Планируй, Plan —
Выполняй, Do — Проверяй, Check — Действуй, Act) как основы для всех процедур (процессов) управления ИБ.
Стандарт ISO определяет РDСА–модель как основу функционирования всех процессов (процедур) СОИБ (рис.5.1).
Рис. 5. 1. Этапы жизненного цикла процедур PDCA
–
модели СУИБ организации
Для каждой процедуры системы управления информационной безопасностью определяются правила выполнения, необходимые ресурсы, график выполнения, процедуры контроля, критерии оценки эффективности.
Различные процедуры СУИБ должны последовательно и непрерывно выполняться на следующих этапах модели PDCA:
–планирование процедур (этап «ПЛАНИРОВАНИЕ»);
– внедрение процедур (этап «ВЫПОЛНЕНИЕ»);

– проверка эффективности выполнения ИБ (этап «ПРОВЕРКА»);
– совершенствование процедур - внесение необходимых изменений в
СИБ и СОИБ в целом (этап «СОВЕРШЕНСТВОВАНИЕ»).
Далее через определенный период времени требуется заново пересматривать цели и задачи выполнения процедур, то есть заново приступать к выполнению первого этапа модели РDСА.
Основная сложность при реализации жизненного цикла СУИБ заключается в проверке эффективности ее процедур. Для каждой процедуры необходимо разработать критерии эффективности, по которым будет проверяться ее эффективность. Такие критерии требуется разработать также и
для всей СУИБ в целом. Критериями оценки эффективности СУИБ могут быть, например, изменение количества инцидентов
ИБ, квалификация пользователей в области ИБ и пр.
Целью СУИБ является обеспечение снижения риска ИБ (ущерба) и поддержание его уровня до приемлемой руководством организации величины при осуществлении бизнес-процесса. Процессы управления рисками являются одними из основных процессов СУИБ и включают в себя
1) анализ рисков (идентификация ценных активов, оценка рисков – расчет ожидаемого ущерба);
2) обработка рисков (выбор метода управления рисками, подготовка плана мероприятий по снижению рисков с указанием контрмер, расчет эффективности выбранных контрмер по снижению рисков, определение ответственных и сроки реализации контрмер, контроль выполнения);
3) разработка требований к системе мониторинга ИБ и контроля защитных мер СОИБ;
4) внедрение контрмер и системы мониторинга ИБ;
5) организация процесса мониторинга эффективности ИБ (сбор и анализ событий ИБ и выявление инцидентов ИБ);
6) принятие мер по усовершенствованию ИБ организации.
Пункты 1-3 относятся к этапу «ПЛАНИРОВАНИЕ», п.4 – к этапу
«ВЫПОЛНЕНИЕ», п.5 – к этапу «ПРОВЕРКА», п.6 – к этапу
«СОВЕРШЕНСТВОВАНИЕ»
Рассмотрим более подробно э тапы жизненного цикла процедур PDCA
–
модели СУИБ организации
5.2. Этап «ПЛАНИРОВАНИЕ» процедур СУИБ
Целью выполнения деятельности в рамках группы процессов
«ПЛАНИРОВАНИЕ» является запуск «цикла» СУИБ путем определения первоначальных планов построения, ввода в действие и контроля СОИБ, а также определения планов по совершенствованию СОИБ на основании решений, принятых на этапе «СОВЕРШЕНСТВОВАНИЕ».
Выполнение деятельности на стадии «ПЛАНИРОВАНИЕ» заключается в определении/корректировке области действия СОИБ и предусматривает проведение следующих работ:

– планировании системы управления рисками (СУР) ИС организации;
– планировании системы мониторинга ИБ и контроля защитных мер
СОИБ.
В состав работ по планированию системы управления рисками ИС организации на этапе «ПЛАНИРОВАНИЕ» входят
– анализ рисков;
– обработка рисков.
В состав работ по планированию системы мониторинга ИБ и контроля защитных мер СОИБ входят
– планирование организационно-технических решений по мониторингу
состояния информационной безопасности ИС и контролю защитных мер;
– планирование системы самооценки ИБ организации;
– планирование типовой программы аудита ИБ;
– планирование системы непрерывности бизнеса организации.
5.2.1. Планирование СУР ИБ организации. Анализ рисков в ИС
В процессе анализа рисков проводятся следующие работы:
– идентификация и определение ценности всех активов в рамках
выбранной области деятельности;
– оценка защищенности ИС;
– оценка рисков для возможных случаев успешной реализации угроз
информационной безопасности в отношении идентифицированных активов.
5.2.1.1. Идентификация и определение ценности активов
Необходимо идентифицировать только те активы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности. Важность (или стоимость) актива определяется величиной ущерба, наносимого в случае нарушения его конфиденциальности, целостности или доступности. В ходе оценки стоимости активов определяется величина возможного ущерба для каждой его категории при успешном осуществлении угрозы. В ИС предприятия хранятся и обрабатываются различные виды открытой и служебной конфиденциальной информации. Прежде всего, следует определить