Система управления информационной безопасностью: эффективное построение
ДАВНО ПРОШЛИ ТЕ ВРЕМЕНА, КОГДА ИНТЕРНЕТ БЫЛ ОТНОСИТЕЛЬНО СПОКОЙНЫМ МЕСТОМ, И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ НЕ ЯВЛЯЛАСЬ СТОЛЬ ВАЖНОЙ ПРОБЛЕМОЙ, КАК СЕЙЧАС. СЕГОДНЯ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СЕТИ — ОДНА ИЗ НАИБОЛЕЕ ПРИОРИТЕТНЫХ ЦЕЛЕЙ В ОБЩЕМ КОМПЛЕКСЕ ЗАДАЧ ПО УПРАВЛЕНИЮ ИНФОРМАЦИОННО-ТЕХНОЛОГИЧЕСКИМИ РЕСУРСАМИ КОМПАНИИ И, КАК СЛЕДСТВИЕ, ПО ОБЕСПЕЧЕНИЮ ЭФФЕКТИВНОЙ И НЕПРЕРЫВНОЙ РАБОТЫ БИЗНЕС-ПРОЦЕССОВ.
Но меры, выполнение которых необходимо для достижения указанной цели, усложняются, а количество их увеличивается. Что это за меры? Их совокупность/иерархию можно обозначить одной короткой аббревиатурой — СУИБ. О ней мы сейчас и поговорим. А помогать нам будет Скомаровский Дмитрий — менеджер по развитию продуктов компании InfoWatch, в сферу компетенций которого входят исследования в области защиты от утечек конфиденциальной информации, эффективный сбор бизнес-требований рынка и множество других задач.
Эксперт — Скомаровский Дмитрий, менеджер по развитию продуктов компании InfoWatch
Что такое СУИБ
СУИБ (ISMS или Information Security Management System) расшифровывается как система управления информационной безопасностью. Но СУИБ — не класс и не набор программных продуктов. СУИБ позволяет управлять комплексом мер, реализующих некую задуманную стратегию, в данном случае — в отношении информационной безопасности. Отметим, что речь идет не только об управлении уже существующей системой, но и о построении новой/перепроектировке старой.
«Комплекс мер» включает в себя организационные, технические, физические и другие. Следует вывод: управление информационной безопасностью — процесс именно комплексный, что и позволяет реализовывать как можно более эффективное и всестороннее управление ИБ в компании.
Основная задача данной стратегии — обеспечение непрерывности бизнес-процессов. Если конкретнее - обеспечение конфиденциальности, целостности и доступности информации, а вернее — информационных ресурсов. Необходимо учитывать, что задач у стратегии очень много, но пытаться реализовать все сразу вряд ли имеет смысл, и важно выделить критичные для конкретного бизнеса/ситуации приоритеты, реализовать их в первую очередь, а уже затем приступить к работе над всем остальным.
Предназначение СУИБ
Каковы предпосылки создания СУИБ? Прежде всего это возросшие/возрастающие требования к безопасности информационных систем компании и достижение такого уровня требований к ИБ, когда уже недостаточно реализации стандартного набора технических мер. Что может дать СУИБ с учетом возросших требований? Во-первых, правильно спроектированная и реализованная СУИБ в состоянии систематизировать существующие (а также планируемые) процессы обеспечения информационной безопасности. Во-вторых, СУИБ может отслеживать выполнение этих процессов, вносимые в них (и вообще во всю систему ИБ) изменения. В-третьих, СУИБ позволяет обеспечить такой немаловажный аспект, как «прозрачность» системы ИБ.
Ошибочно считать, что «заумные» фразы далеки от главной задачи, которую хотят осуществить все без исключения топ-менеджеры, не очень хорошо знакомые с IT, и многие IT-специалисты, узко понимающие проблему «мне/нам нужна система без всяких вирусов и хакеров». В действительности, только такой комплекс высокоэффективных и легко управляемых процессов, относящихся к различным категориям — организационным, физическим и другим — в состоянии реализовать по настоящему качественную систему управления информационной безопасностью как сети компании, так и других ресурсов.
Мнение эксперта
Скомаровский Дмитрий:
Вопрос о необходимости СУИБ — из серии «быть или не быть», нужно или не нужно заниматься информационной безопасностью. Владелец бизнеса решает сам. Все зависит, во-первых, от ценности информационных ресурсов, а во-вторых — от зрелости информационной системы и принятых политик работы с критическими данными. Поэтому однозначно ответить на этот вопрос нельзя. Одно могу сказать точно: что если компания начала внедрять средства ИБ, то рано или поздно настанет день, когда разросшуюся систему нужно будет укрощать, и делать это придется с помощью создания СУИБ.
Компоненты СУИБ
СУИБ, ее реализация и поддержка — задача широкомасштабная. Помня о том, что «слона надо есть по частям», разобьем СУИБ на компоненты и посмотрим, как приступить к их реализации.
Документ ISO 27001 — стандарт, регламентирующий различные аспекты СУИБ, такие как управление ресурсами, обеспечение физической безопасности, контроль доступа и прочее.
После того, как было принято решение о создании СУИБ, выделим четыре этапа: подготовка, анализ рисков, разработка и внедрение.
Этап подготовки включает в себя определение области внедрения СУИБ, выявление несоответствий имеющихся процессов обеспечения ИБ требуемым и т.д. То есть необходимо провести все подготовительные меры, собрать и проанализировать имеющуюся в распоряжении информацию о стратегии, процессах или же отсутствии того и другого... Обязательно нужно уделить внимание и формированию рабочей группы, отвечающей за внедрение системы управления ИБ.
Следующий этап — анализ рисков. Здесь несколько промежуточных этапов: инвентаризация имеющихся активов (с учетом ранее очерченной области внедрения), определение их ценности, угроз, которым они подвержены, оценка рисков (рассматривающая выполнение соотношения актив, ценность/реализованная угроза) и, наконец — их принятие/отклонение с учетом выработанных критериев и составление плана работы/устранения (или, скорее, адекватной минимизации) рисков.
Под словом «разработка» подразумевается работа над политиками (подполитиками) и процедурами. Есть общая политика СУИБ и есть подполитики, определяющие различные процессы обеспечения ИБ. Процедуры – это так называемые «составляющие» СУИБ (например, процедура управления документацией).
В процессе внедрения происходит «запуск» и «отладка» ранее созданных процессов и компонентов.
Далее следуют этапы поддержки и сопровождения функционирующей системы и постоянный аудит информационной безопасности.
«В общем виде СУИБ можно представить как «слоеный пирог»
Мнение эксперта
Скомаровский Дмитрий:
Опыт показывает, что основной движущей силой создания и развития СУИБ является периодическая оценка рисков ИБ на основе результатов внутренних и внешних аудитов. Слово «риск» и «оценка рисков» очень любят топ-менеджеры, и поэтому высшее руководство организации зачастую инициирует и с удовольствием вовлекается в процесс управления СУИБ.
С точки зрения процессов управления, СУИБ на равных условиях входит в общую систему менеджмента организации и дает топ-менеджерам необходимые механизмы обеспечения защиты критичной информации. Фактически, СУИБ находится на одной линейке по значимости со стандартом управления качеством (ISO 9001) и управления окружающей средой (ISO 14001).
Относительно того, как и кем должно осуществляться внедрение СУИБ, можно дать несколько практических рекомендаций:
- Во-первых, должна быть четко определена область применения СУИБ, что особенно важно для организаций с развитой сетью филиалов. Нужно провести анализ среды внедрения и детально уточнить требования к СУИБ — в этом случае шансы проекта на успех велики. Следует внимательно изучить как общую организационную структуру и IT-архитектуру организации, так и уровень зрелости менеджмента в целом.
- Одним из главных факторов успеха является обеспечение поддержки руководства организации на максимально высоком уровне.
- Должен быть создан постоянно действующий комитет по координации работ в области ИБ. В него должны входить руководитель по ИБ, представители подразделений, отвечающие за IT, работу с персоналом, физическую безопасность, а также представители различных бизнес-подразделений.
- Следует тщательно планировать этапы разработки и внедрения СУИБ с учетом имеющихся и планируемых проектов IT.
- Необходимо информировать всех сотрудников организации о возложенных на них обязанностях в области ИБ, обучать их.
Таким образом, успешное построение крепкого «каркаса» СУИБ возможно только на основе совместного участия всех подразделений.
Несколько слов о стандартах
Второй стандарт (точнее, рекомендации) — ITIL (Information Technology Infrastructure Library), библиотека, набор документов, включающих в себя рекомендованные к использованию практики построения процессов работы компаний (подразделений), занимающихся дейтельностью в сфере IT.
Библиотека ITIL если и не всеобъемлюща, то обширна и включает в себя 7 разделов: от поддержки и доставки услуг до работы с бизнес-перспективами. Но нас интересует ITIL Security Management, где содержится информация, которая может помочь качественному построению СУИБ во всех аспектах этой непростой задачи. Документы библиотеки позволяют получить понимание процессов системы управления информационной безопасностью, их нюансов, места СУИБ в единой инфраструктуре процессов компании, влиянии и значении последних для СУИБ и прочее.
Материал очень обширен, поэтому мы ограничимся лишь кратким рассмотрением ITIL Security Management.
ITIL Security Management
Каковы основные вопросы, затрагиваемые ITIL SM? Проблематика разграничения доступа к различным информационным ресурсам, нюансы полного цикла управления рисками, процедуры работы с инцидентами и т.д. Построение СУИБ на основе рекомендаций ITIL SM обеспечит реализацию требований по безопасности в соответствии с SLA (Service Level Agreement — соглашение об уровне сервиса), а также реализацию начального уровня ИБ. SLA — это главный документ (по ITIL), определяющий взаимодействие и взаимоотношения провайдера сервиса(ов) и его(их) пользователей или клиентов.
Управление рисками в ITIL ассоциировано с CORBA (Consultative, Objective and Bi-functional Risk Analysis, не путайте с Common Object Request Broker Architecture), инструментом, позволяющим реализовывать анализ рисков и оценку соответствия ИС стандарту ISO 17799. Работа с политиками безопасности также реализовывается в соответствии с ISO17799. Данный документ во многом коррелирует с уже упоминавшимся ISO 27001, различия касаются главным образом вопросов сертификации.
Говоря о различных рекомендациях и документах, вспомним де-факто стандарты CobiT, MOF и другие, которые прямо или косвенно помогают в организации СУИБ. Указанные стандарты во многом дополняют друг друга.
Самое главное — четкое понимание того, что все ISO и ITIL`ы представляют собой всего лишь клише, и использование этих «болванок» без адаптации к конкретной компании, ситуации и конкретным бизнес-процессам вряд ли приведет к хорошему результату. Стандарты — это прекрасная основа для дальнейшей работы, но не более того.
Мнение эксперта
Скомаровский Дмитрий:
Главным международным стандартом, где сформулированы требования к СУИБ, является британский стандарт BS ISO/IEC 27001:2005. В настоящее время наблюдается закономерный интерес к британскому стандарту со стороны крупных компаний. Соответствие ему становится важным фактором коммерческого успеха организации благодаря целому ряду преимуществ, которые она получает:
- Конкурентные преимущества;
- Повышение положения компании в международных рейтингах, необходимое для привлечения зарубежных инвестиций и выхода на международные рынки;
- Повышение стоимости акций компании;
- Демонстрация партнерам и клиентам высокого уровня своей надежности за счет адекватной защиты своей и их информации ;
- Снижение рисков, связанных с возможными ущербами для активов компании;
- Повышение прозрачности процесса управления информационной безопасностью в организации, в частности за счет четкого разделения полномочий и ответственности за обеспечение информационной безопасности;
- Обоснование затрат на информационную безопасность.
Относительно стандарта ITIL нужно понимать, в то время как СУИБ относится к уровню стратегического управления, то ITIL относится к оперативному управлению и, в общем-то, играет вспомогательную роль в построении эффективной СУИБ.
Для полноты картины нужно вспомнить о сертификации СУИБ. После построения СУИБ сертификация в соответствии с определенными стандартами и подготовка к ней позволят «довести до ума» уже сделанное: повысить корреляцию со стандартами и действительный уровень защищенности системы. Сертифицировать СУИБ непросто и трудоемко, но с большой долей вероятности это окупится.
Мнение эксперта
Скомаровский Дмитрий:
На мой взгляд, сертификация — далеко не самоцель, но если уж компания решила реализовать СУИБ, то в качестве стратегической цели СУИБ рекомендуется рассматривать проведение сертификации на соответствие требованиям стандарта ISO27001:2005. Это необходимо, прежде всего, для получения обоснованных гарантий качества СУИБ.
Итог
Мы обратили внимание на актуальные проблемы управления безопасностью всех информационных ресурсов компании. Во многих случаях удивляет отсутствие серьезного внимания специалистов к этому вопросу, но нет никаких сомнений в том, что это чрезвычайно важно для безопасности сети компании и прочих ее информационных активов.
WWW
 |
|
Валерия Комиссарова
|
|
Имеет статус Microsoft Student Partner, сертификаты специалиста
Microsoft и разработчика решений на C# под .NET. Постоянный консультант нескольких ведущих компьютерных изданий.
|
|
|
Обсуждение статьи
|
|
|
|
RE: Система управления информационной безопасностью: эффективное построение
помогите сломать систенму |
|
RE: Система управления информационной безопасностью: эффективное построение
Very nice site! Best wishes to your black lung replica watches es At Our Store rado watch The high quality |
|
RE: Система управления информационной безопасностью: эффективное построение
With the development of science and technology, home theater has become the general population, dvd box set market more active, DVD and CD look similar, they are the diameter of 120 millimeter, usually used to broadcast TV film, the standard definition of high quality music with great capacity data storage usage. |
|
|
Keywords: zPOSTz zSECURITYz z10075z
Для Авторов: edit  delete
Автор: Валерия Комиссарова
Дата: 02.04.2009 8:42:57©
| 
Архив номеров
