Менеджмент информационной безопасности

Работу предприятий в 21 веке трудно представить без информационных и коммуникационных технологий. Информация — неотъемлемый компонент всех сфер деятельности предприятия, средство, без которого невозможно решать множество усложняющихся задач, стоящих перед предприятием.

Информация обладает несколькими характеристками, и одна из важнейших — безопасность. Информационная безопасность напрямую влияет на функционирование бизнеса, конкурентоспособность, имидж на рынке и, в конечном итоге, на финансовые показатели. Достаточно часто под ней понимают ограничение доступа сторонних лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью.

Лучшей мировой практикой в области управления информационной безопасностью признан международный стандарт ISO/IEC 27001:2005 (ISO 27001). Он устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы. Данный стандарт определяет информационную безопасность как «сохранение конфиденциальности, целостности и доступности информации».

Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия.

Целостность — обеспечение точности и полноты информации, а также методов ее обработки.

Доступность — обеспечение доступа к информации авторизованным пользователям в нужный момент времени.

Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба. Чтобы понять суть информационной безопасности необходимо наглядно представить всю цепочку, в которую входят информация, информационные потоки, свойства этих потоков, информационные проблемы. Только после этого можно осознать роль информационной безопасности.

ЖИЗНЕННЫЙ ЦИКЛ И ПОТОКИ ИНФОРМАЦИИ

Начнем с ключевого элемента жизнеобеспечения предприятия — информации.

Информация на предприятии находится в постоянном движении: где-то возникает, где-то накапливается, куда-то передается, кем-то используется на протяжении определенного времени и в конце концов становится ненужной. Таким образом формируется цикл жизни определенной информации. Каждый из этапов данного цикла (или набор этих этапов) можно рассматривать как информационный поток. В такие потоки на предприятии входит информация, необходимая:

  • для принятия управленческих решений (экономические показатели собственного предприятия и конкурентов, данные о функционировании бизнес-процессов, данные о поставщиках, о рынке сбыта);
  • для выполнения оперативных бизнес-целей (результаты управленческих решений, оперативные задания и корректировки, информация о сырье и материалах, требования заказчиков);
  • для обеспечения работы бизнес-процессов (описания процессов и их взаимосвязей, методическая документация, административная документация).

Можно выделить следующие свойства информационных потоков:

  • краткосрочность — информация важна в определенный момент времени,
  • открытость — информация предприятия представляет интерес для третьих лиц (клиентов, поставщиков, конкурентов),
  • склонность к росту — объем информации на предприятии велик и постоянно растет,
  • изменчивость — информационные потоки на предприятии находятся в постоянном движении.

Необходимо заметить, что под информацией следует понимать все данные, представляющие интерес для предприятия и находящиеся в любом виде — в бумажном, электронном, звуковом (телефонные переговоры), графическом (слайды). Выделять электронный вид информации и подходить к нему как-то особенно с точки зрения безопасности не стоит, т. к. информация образует информационные потоки, которые зачастую формируются на бумаге или в устной речи, затем превращаются в электронный документ, пересылаются посредством электронной почты (факса), а затем могут быть распечатаны на бумаге. Вместе с тем электронная информация обладает дополнительными свойствами как положительными:

  • ее можно быстро доставить в любую точку;
  • можно оперативно создавать новые электронные документы на базе существующих;
  • можно накапливать большие объемы информации, предоставляя удобный и оперативный доступ к необходимой ее части;

так и отрицательными:

  • ее достаточно просто повредить или уничтожить;
  • она легко может попасть в руки конкурента.

На каждом из этапов жизненного цикла информации действуют различные факторы, стремящиеся нарушить естественное, то есть бесконфликтное, течение информационных потоков. Обобщающим для различных факторов такого рода (объективных и субъективных) является понятие угроз информационной безопасности. Угрозы не появляются просто так. Возникновение угроз связано с наличием уязвимостей в информационных системах предприятий.

Примеры информационных угроз и уязвимостей, приводящих к возникновению угроз:

  • попадание коммерческой информации к конкурентам (слабая система контроля доступа к информационным ресурсам сторонних лиц);
  • частичная или полная потеря информации по разработке нового продукта (пожар в архиве, уход с работы ключевого сотрудника);
  • несвоевременность получения информации (отсутствие четких правил по предоставлению информации, сбой в работе компьютерного оборудования);
  • некорректность полученной информации для выполнения оперативных бизнес-целей, (ошибка оператора из-за недостаточной квалификации или уровня контроля ввода данных).

Основной задачей СМИБ по требованиям ISO 27001 является предотвращение происшествий, причиняющих ущерб бизнесу, путем эффективного ограничения внутренних и внешних умышленных и неумышленных угроз и уязвимостей.

ИСТОРИЯ РАЗВИТИЯ ISO 27001

Развитие информационных систем в начале 90-х годов привело к необходимости создания стандарта по управлению безопасностью. По запросу британского правительства и промышленности британский департамент торговли и промышленности разработал Практики к СМИБ. В разработке этого документа принимали участие British Telecom, Marks and Spencer, National Westminster Bank, Nationwide, Shell International, Unilever и др. Дальнейший путь развития стандарта был таким:

1995 г. Появление британского стандарта BS 7799-1:1995. Часть 1 описывает принципы и структуру СМИБ.

1998 г. Новая редакция BS 7799-1:1998. Появление стандарта BS 7799-2:1998. Часть 2 — Требования к СМИБ. Позволяет проводить сертификацию СМИБ. С этого момента появилась возможность проводить сертификацию по британскому стандарту.

1999 г. Новая редакция BS 7799-1:1999. Новая редакция BS 7799-2:1999

2000 г. Появление международного стандарта ISO 17799:2000. С этого момента стандарт BS 7799-1:1999 получил международное признание.

2001 г. Новая редакция BS 7799-2:2001.

2002 г. Новая редакция BS 7799-2:2002.

2003 г. Национальный Банк Молдовы выдвинул требования к коммерческим банкам о внедрении СМИБ на основе ISO 17799:2000.

2004 г. Белоруссия приняла национальный ГОСТ 17799. Центробанк РФ на базе ISO 17799:2000 создал стандарт управления информационной безопасностью для банковской сферы.

2005 г. Появление стандарта ISO/IEC 27001:2005, который заменил BS 7799-2:2002. Новая редакция ISO 17799:2005 (вскоре будет переименован в ISO/IEC 27002).

2006 г. Россия работает над переводом стандартов ISO 17799:2005 и ISO 27001:2005. В России и Украине появились специалисты по разработке СМИБ. Предприятия стран СНГ ведут работы по разработке СМИБ. Международные сертифицирующие органы получили аккредитацию на право проведения сертификации.

2007 г. Появление российского государственного стандарта ГОСТ Р ИСО/МЭК 17799:2005 (аналог ISO 17799:2000). Ожидается появление ГОСТ Р ИСО 17799:2007 и ГОСТ Р ИСО 27001:2007. Ожидается начало работ в Украине по выпуску ДСТУ ИСО 17799 и ДСТУ ИСО 27001.

Начальный стандарт BS 7799 прошел долгий путь, с чередой испытаний и корректировок. Важнейшим этапом в его «карьере» стал 2005 г., когда стандарт, позволяющий оценивать СМИБ, был признан международным (то есть подтверждена состоятельность его требований к современной СМИБ). С этого момента передовые предприятия во всем мире начали активно внедрять стандарт ISO 27001 и проводить подготовку к сертификации.

СТРУКТУРА ISO 27001

Знакомство со СМИБ лучше всего начинать с изучения лучших мировых практик в области информационной безопасности, приведенных в стандарте ISO 27001, который отличается логичным и понятным изложением, а лучшие практики сформулированы в качестве четких требований. Стандарт состоит из четырех частей.

Первая часть «Общие положения» содержит информацию о назначении стандарта, его связи с другими стандартами по ИБ, а также термины и определения.

Вторая часть «Требования к СМИБ» является основной. Она выдвигает обязательные для выполнения требования к СМИБ и позволяет на их основе построить эффективную систему. Общие требования занимают всего девять страниц и содержат следующие разделы: «Система менеджмента информационной безопасности», «Обязательства руководства», «Внутренние аудиты СМИБ», «Анализ СМИБ руководством», «Совершенствование СМИБ».

Третья часть «Приложение А. Цели и меры контроля» описывает конкретные требования к каждому направлению информационной безопасности (всего 11 направлений, которые обозначены в соответствии с разделами 5-15 стандарта ISO/IEC 17799:2005).

А5. Политика в области безопасности. Цель: обеспечить четкое управление и поддержку политики в области ИБ со стороны руководства предприятия.

А6. Организация системы безопасности. Цель: создать организационную структуру, которая будет внедрять и обеспечивать работоспособность СМИБ.

А7. Классификация активов и управление. Цель: поддерживать адекватную ИБ путем классификации информационных активов по необходимости и приоритету защиты, распределить ответственность.

А8. Безопасность и персонал. Цель: уменьшить риск человеческих ошибок, хищений и неправильного использования оборудования.

А9. Физическая и внешняя безопасность. Цель: предотвращать несанкционированный доступ, повреждение и нарушение работы информационной системы организации.

А10. Менеджмент компьютеров и сетей. Цель: обеспечить безопасное функционирование компьютеров и сетей.

А11. Управление доступом к системе. Цель: управлять доступом к информации, предотвращать несанкционированный доступ.

А12. Приобретение, разработка и обслуживание информационной системы. Цель: обеспечить выполнение требований безопасности при создании или развитии информационной системы организации, поддерживать безопасность приложений и данных.

А13. Менеджмент инцидентов информационной безопасности. Цель: обеспечить, чтобы сообщение об инцидентах и недостатках ИБ позволяли своевременно предпринять корректирующие действия.

А14. Обеспечение непрерывности бизнеса. Цель: подготовить план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации.

А15. Соответствие законодательству. Цель: обеспечить выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.

Стандарт ISO/IEC 17799:2005 содержит рекомендации по реализации требований «Приложения А» стандарта ISO/IEC 27001:2005. Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить те направления, которые невозможно применить на предприятии.

Четвертая часть стандарта состоит из «Приложения B: связь между принципами OECD и ISO 27001», «Приложения C: связь между ISO 9001:2000, ISO 14001:2004 и ISO 27001» и библиографических ссылок. Эта часть является информативной.

ВЫГОДЫ ВНЕДРЕНИЯ ISO 27001

Приведем выгоды внедрения и сертификации СМИБ на основе стандарта ISO 27001 вместе с требованиями стандарта, которые позволяют получить эти выгоды.

1. Информационные активы станут понятными для менеджмента компании. Организация должна управлять активами

  • Инвентаризация активов.
  • Определение ответственных за активы.
  • Разработать принципы классификации активов по их значимости, правовым требованиям, важности и критичности для организации.
  • Идентифицировать активы в соответствии с принципами классификации.

[Стандарт ISO 27001. Прил. А. Требование А.7]

2. Угрозы и уязвимости безопасности для существующих бизнес-процессов будут регулярно выявляться. Организация должна идентифицировать риски:

  • Идентифицировать активы.
  • Идентифицировать угрозы этим активам.
  • Идентифицировать уязвимости, которые могут быть использованы этими угрозами.
  • Определить воздействие, которое может привести к потере конфиденциальности, целостности и доступности ресурсов.

[Стандарт ISO 27001. Пункт 4.2.1 г)]

3. Риски будут просчитываться и приниматься решения на основе бизнес%целей компании. Организация должна проанализировать и оценить риски:

  • Оценить ущерб бизнесу.
  • Оценить вероятность возникновения нарушения.
  • Оценить уровни рисков.
  • Определить, является ли риск приемлемым или требуется обработка риска с использованием критериев принятия риска.

[Стандарт ISO 27001. Пункт 4.2.1 д)]

4. Управление системой в критичных ситуациях будет эффективным. Организация должна управлять непрерывностью бизнеса:

  • Определить и внедрить процессы для непрерывности бизнеса.
  • Идентифицировать события, которые могут привести к нарушениям бизнес-процессов, определить возможности и степени влияния.
  • Разработать планы восстановления.
  • Определить приоритеты планов для их тестирования и поддержки.
  • Тестировать и регулярно обновлять планы.

[Стандарт ISO 27001. Прил. А. Требование А.14]

5. Будет проводиться процесс выполнения политики безопасности (находить и исправлять слабые места). Руководство должно:

  • Разрабатывать политики СМИБ.
  • Устанавливать цели и планы.
  • Распределять ответственность в области ИБ.
  • Доводить до сведения всех сотрудников.
  • Обеспечивать ресурсами.
  • Принимать решения о допустимости рисков.
  • Обеспечивать проведение внутренних аудитов.
  • Проводить анализ СМИБ.

[Стандарт ISO 27001. Пункт 5.1]

6. Подчеркнется прозрачность и чистота бизнеса перед законом благодаря соответствию стандарту. Организация должна:

  • Определять применимое законодательство.
  • Обеспечить защиту интеллектуальной собственности.
  • Обеспечить защиту записей от потери, разрушения и фальсификации в соответствии с требованиями законодательства.
  • Обеспечить защиту персональных данных и приватной информации.
  • Предотвратить нецелевое использование средств обработки информации пользователем

[Стандарт ISO 27001. Прил. А. Требование А.15.1]

7. Снизится и оптимизируется стоимость поддержки системы безопасности. Стандарт требует идентифицировать и классифицировать активы. Классификацию можно провести в денежном выражении или по качественному признаку. Кроме того, стандарт требует оценить риски. Для принятия объективного решения о финансировании того или иного направления информационной безопасности стандарт требует разработать схему принятия рисков (рис. 1).

Таким образом, объективная оценка сочетаний «ущерб-вероятность» позволить постоянно эффективно финансировать информационную безопасность.

8. Появится надежная защита от рейдерских атак. Рейдеры — специалисты по перехвату оперативного управления или собственности фирмы с помощью специально инициированного бизнес-конфликта. Рейдерство — вывод активов из владения законных собственников. Одна из возможных схем работы рейдера — создать предприятию максимальное количество проблем, а затем забрать у собственников и менеджмента за бесценок с тем, чтобы с тысячекратной прибылью продать предприятие или его имущество третьим сторонам.

Уязвимости предприятия порождают рейдерский захват. Редкие предприятия не имеют «грехов». Эти «грехи», а точнее компрометирующая информация, находится в рамках общей информационной системы предприятия. Закрывая эту информацию от третьих лиц можно избежать инициирования рейдерского захвата.

Сам процесс рейдерского захвата базируется на изучении внутренних процессов предприятия, правил и норм его работы. Эта информация позволяет четко спланировать и провести рейдерский захват в наиболее подходящий момент времени. Закрытие этой информации или дезинформирование рейдеров не позволит осуществить план по захвату предприятия.

9. Подсистема безопасности интегрируется в общую систему менеджмента. СМИБ построена на принципах европейского менеджмента. Требования к общей системе менеджмента нашли свое отражение в стандарте ISO 9001:2000. Стандарт ISO 27001 гармонизирован со стандартом на системы менеджмента качества ISO 9001:2000 и базируется на его основных принципах.

Структура документации по требованиям ISO/IEC 27001:2005 может быть аналогична структуре по требованиям ISO 9001:2000. Большая часть документации, требуемая по ISO/IEC 27001:2005 уже могла быть разработана и использоваться в рамках общей системы менеджмента предприятия.

10. Предприятие получит международное признание и повысит авторитет как на внутреннем, так и на внешних рынках. Для получения этой выгоды необходимо подтвердить соответствие СМИБ требованиям стандарта с помощью третьей независимой стороны. Независимость третьей стороны — ключевой фактор получения вышеуказанных выгод. В качестве третьей стороны выступает сертифицирующий орган. Подтверждение сертифицирующего органа выражается в выдаче сертификата. Уровень доверия клиентов к системе напрямую зависит от доверия клиентов к сертификатам того или иного сертифицирующего органа.

УПРАВЛЕНИЕ РИСКАМИ

Основа стандарта ИСО 27001 — система управление рисками, связанными с информацией.

Система управления рисками позволяет получать ответы на следующие вопросы:

  • Какие риски в данный момент угрожают нашим бизнес-процессам?
  • На каком направлении информационной безопасности требуется сосредоточить внимание?
  • Сколько времени и средств можно потратить на данное техническое решение для защиты информации?

Задача риск-менеджмента — идентификация рисков и управление ими. Риск-менеджмент — это руководство для любых действий как в краткосрочном, так и в долгосрочном разрезе жизнедеятельности организации. Риск-менеджмент уделяет основное внимание превентивным мероприятиям или мероприятиям, смягчающим размеры последствий.

Риск — это комбинация вероятности события и его последствий (ISO/IEC Guide 73).

В пункте 4.2.1 ISO 27001 требуется:

  • в) оценить подход к оценке риска в организации (определить метод оценки риска, определить критерии принятия рисков),
  • г) идентифицировать риски (идентифицировать активы, идентифицировать угрозы, идентифицировать уязвимости, идентифицировать возможные воздействия, которые могут привести к утрате конфиденциальности, целостности и доступности активов),
  • д) проанализировать и оценить риски (оценить ущерб бизнесу, оценить вероятность, оценить уровни рисков, определить приемлемость/неприемлемость рисков),
  • е) определить и оценить варианты обработки рисков,
  • ж) выбрать цели и меры контроля для обработки рисков.

Требования стандарта практически служат руководством к внедрению системы менеджмента рисков.

Алгоритм оценки и принятия рисков приведен на рис. 2. Стандарт позволяет проводить как качественную, так и количественную оценку рисков. На практике многие риски трудно или невозможно оценить в количественном эквиваленте.

Методика анализа рисков подробно описана в методике «ИТ-Грундшутц», в стандарте BSI 100-3, который свободно доступен (www.bsi.de).

МЕТОДИКА ВНЕДРЕНИЯ СМИБ «ИТ-ГРУНДШУТЦ»

Стандарт ISO/IEC 27001:2005 выдвигает требования к СМИБ, но не описывает методику внедрения. Рассмотрим одну из самых простых и надежных в применении методик по созданию СМИБ — «ИТ-Грундшутц». Она разработана германским правительственным федеральным офисом по информационной безопасности (BSI), соответствующие документы находятся в открытом доступе на сайте www.bsi.de. Методика совместима с требованиями ISO/IEC 27001:2005, содержит структурированный и практический подход, а также конкретные, подробно описанные мероприятия по реализации требований ISO/IEC 27001:2005.

Благодаря конкретно сформулированным стандартным мероприятиям (каталоги базовой защиты) для самых разных аспектов информационной безопасности «ИТ-Грундшутц» — наименее затратная методика внедрения. Она базируется на следующих документах.

Стандарты:

  • ISO/IEC 27001:2005 — cистемы менеджмента информационной безопасности (требования);
  • BSI 100-1 — системы менеджмента информационной безопасности (рекомендации);
  • BSI 100-2 — метододика «ИТ-Грундшутц» (как, что и зачем делать, в общем виде);
  • BSI 100-3 — анализ рисков на основе методики «ИТ-Грундшутц» (позволяет внедрить систему управления рисками по требованиям ISO/IEC 27001:2005).

Каталоги (постоянно обновляются):

  • Часть M. Модули — описывает конкретные действия по разработке СМИБ (например, раздел по разработке политики безопасности включает требования к политике, содержание политики, варианты разработки политики, примеры целей по безопасности, которые вытекают из политики);
  • Часть Т. Угрозы. — подробное описание угроз, использованных в Части М (каталог угроз к многочисленным активам);
  • Часть S. Методы защиты — подробное описание методов защиты, использованных в Части М (каталог мероприятий по снижению угроз).

НАЦИОНАЛЬНЫЕ ОСОБЕННОСТИ ВНЕДРЕНИЯ

Ответственность. Первоначальный вопрос в наших условиях — это ответственность за функционирование СМИБ. Наличие соответствующей должности не регламентировано в стандарте ISO/IEC 27001:2005, и европейские консультанты, занимающиеся внедрением СМИБ, настаивают на назначении ответственного лица из числа руководства. В наших условиях полномочия и обязанности такового могут быть возложены на одного из следующих лиц: руководитель службы безопасности, руководитель службы качества, руководитель службы ИТ, руководитель службы ИТ-безопасности, первый руководитель.

Место в общей системе менеджмента. В различных отраслях украинской промышленности место СМИБ будет различным, поскольку в отраслях мы имеем разный уровень развития информационных систем, разные степени автоматизации, разную специфику бизнеса.

Крупные предприятия горно-металлургического комплекса, машиностроительные и химические предприятия могут иметь СМИБ такого вида, как на рис. 3а.

Хочу подчеркнуть, что СМИБ практически полностью содержится внутри общей системы менеджмента, т. к. самые важные аспекты безопасности в этом случае — целостность и доступность информации.

Для предприятий финансовой сферы, телекоммуникационных услуг, авиакомпаний, государственных органов законодательной и исполнительной власти, управлений статистики, МВД и СБУ структура может быть такой, как на рис. 3б. В этом случае СМИБ является основой жизнедеятельности организации.

Для предприятий и организаций среднего размера СМИБ может иметь вид, как на рис. 3в.

Естественно, невозможно точно охарактеризовать место СМИБ в организации только в зависимости от отраслевой принадлежности и размеров. Каждое предприятие — всегда уникальный механизм со своим стилем менеджмента, своими технологическими и информационными механизмами.

Вовлечение персонала — еще один немаловажный фактор успеха внедрения СМИБ в Украине. Для реализация его в наших условиях необходимы следующие мероприятия:

  • обучение ответственных за внедрение системы;
  • разъяснение всем сотрудникам, вовлеченным в СМИБ, необходимости выполнения требований стандарта;
  • исключение (минимизация) системы штрафов;
  • разработка системы мотивации.

Отсутствие этих мер может значительно снизить эффективность СМИБ

Александр Анатольевич ДмитриевАлександр Анатольевич Дмитриев
эксперт по системам
информационной безопасности
ТЮФ Норд Украина (г. Донецк)

2007.02.21
  НОВОСТИ
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.

12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.

05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"

26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...

19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.

12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).

04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".

29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"
 

 
 
Copyright © 1997-2008 ИД "Комиздат".