Менеджмент информационной безопасности
Работу предприятий в 21 веке трудно представить без информационных и коммуникационных технологий. Информация — неотъемлемый компонент всех сфер деятельности предприятия, средство, без которого невозможно решать множество усложняющихся задач, стоящих перед предприятием.
Информация обладает несколькими характеристками, и одна из важнейших — безопасность. Информационная безопасность напрямую влияет на функционирование бизнеса, конкурентоспособность, имидж на рынке и, в конечном итоге, на финансовые показатели. Достаточно часто под ней понимают ограничение доступа сторонних лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью.
Лучшей мировой практикой в области управления информационной безопасностью признан международный стандарт ISO/IEC 27001:2005 (ISO 27001). Он устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы. Данный стандарт определяет информационную безопасность как «сохранение конфиденциальности, целостности и доступности информации».
Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия.
Целостность — обеспечение точности и полноты информации, а также методов ее обработки.
Доступность — обеспечение доступа к информации авторизованным пользователям в нужный момент времени.
Целью информационной безопасности является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба. Чтобы понять суть информационной безопасности необходимо наглядно представить всю цепочку, в которую входят информация, информационные потоки, свойства этих потоков, информационные проблемы. Только после этого можно осознать роль информационной безопасности.
ЖИЗНЕННЫЙ ЦИКЛ И ПОТОКИ ИНФОРМАЦИИ
Начнем с ключевого элемента жизнеобеспечения предприятия — информации.
Информация на предприятии находится в постоянном движении: где-то возникает, где-то накапливается, куда-то передается, кем-то используется на протяжении определенного времени и в конце концов становится ненужной. Таким образом формируется цикл жизни определенной информации. Каждый из этапов данного цикла (или набор этих этапов) можно рассматривать как информационный поток. В такие потоки на предприятии входит информация, необходимая:
-
для принятия управленческих решений (экономические показатели собственного предприятия и конкурентов, данные о функционировании бизнес-процессов, данные о поставщиках, о рынке сбыта);
-
для выполнения оперативных бизнес-целей (результаты управленческих решений, оперативные задания и корректировки, информация о сырье и материалах, требования заказчиков);
-
для обеспечения работы бизнес-процессов (описания процессов и их взаимосвязей, методическая документация, административная документация).
Можно выделить следующие свойства информационных потоков:
-
краткосрочность — информация важна в определенный момент времени,
-
открытость — информация предприятия представляет интерес для третьих лиц (клиентов, поставщиков, конкурентов),
-
склонность к росту — объем информации на предприятии велик и постоянно растет,
-
изменчивость — информационные потоки на предприятии находятся в постоянном движении.
Необходимо заметить, что под информацией следует понимать все данные, представляющие интерес для предприятия и находящиеся в любом виде — в бумажном, электронном, звуковом (телефонные переговоры), графическом (слайды). Выделять электронный вид информации и подходить к нему как-то особенно с точки зрения безопасности не стоит, т. к. информация образует информационные потоки, которые зачастую формируются на бумаге или в устной речи, затем превращаются в электронный документ, пересылаются посредством электронной почты (факса), а затем могут быть распечатаны на бумаге. Вместе с тем электронная информация обладает дополнительными свойствами как положительными:
-
ее можно быстро доставить в любую точку;
-
можно оперативно создавать новые электронные документы на базе существующих;
-
можно накапливать большие объемы информации, предоставляя удобный и оперативный доступ к необходимой ее части;
так и отрицательными:
-
ее достаточно просто повредить или уничтожить;
-
она легко может попасть в руки конкурента.
На каждом из этапов жизненного цикла информации действуют различные факторы, стремящиеся нарушить естественное, то есть бесконфликтное, течение информационных потоков. Обобщающим для различных факторов такого рода (объективных и субъективных) является понятие угроз информационной безопасности. Угрозы не появляются просто так. Возникновение угроз связано с наличием уязвимостей в информационных системах предприятий.
Примеры информационных угроз и уязвимостей, приводящих к возникновению угроз:
-
попадание коммерческой информации к конкурентам (слабая система контроля доступа к информационным ресурсам сторонних лиц);
-
частичная или полная потеря информации по разработке нового продукта (пожар в архиве, уход с работы ключевого сотрудника);
-
несвоевременность получения информации (отсутствие четких правил по предоставлению информации, сбой в работе компьютерного оборудования);
-
некорректность полученной информации для выполнения оперативных бизнес-целей, (ошибка оператора из-за недостаточной квалификации или уровня контроля ввода данных).
Основной задачей СМИБ по требованиям ISO 27001 является предотвращение происшествий, причиняющих ущерб бизнесу, путем эффективного ограничения внутренних и внешних умышленных и неумышленных угроз и уязвимостей.
ИСТОРИЯ РАЗВИТИЯ ISO 27001
Развитие информационных систем в начале 90-х годов привело к необходимости создания стандарта по управлению безопасностью. По запросу британского правительства и промышленности британский департамент торговли и промышленности разработал Практики к СМИБ. В разработке этого документа принимали участие British Telecom, Marks and Spencer, National Westminster Bank, Nationwide, Shell International, Unilever и др. Дальнейший путь развития стандарта был таким:
1995 г. Появление британского стандарта BS 7799-1:1995. Часть 1 описывает принципы и структуру СМИБ.
1998 г. Новая редакция BS 7799-1:1998. Появление стандарта BS 7799-2:1998. Часть 2 — Требования к СМИБ. Позволяет проводить сертификацию СМИБ. С этого момента появилась возможность проводить сертификацию по британскому стандарту.
1999 г. Новая редакция BS 7799-1:1999. Новая редакция BS 7799-2:1999
2000 г. Появление международного стандарта ISO 17799:2000. С этого момента стандарт BS 7799-1:1999 получил международное признание.
2001 г. Новая редакция BS 7799-2:2001.
2002 г. Новая редакция BS 7799-2:2002.
2003 г. Национальный Банк Молдовы выдвинул требования к коммерческим банкам о внедрении СМИБ на основе ISO 17799:2000.
2004 г. Белоруссия приняла национальный ГОСТ 17799. Центробанк РФ на базе ISO 17799:2000 создал стандарт управления информационной безопасностью для банковской сферы.
2005 г. Появление стандарта ISO/IEC 27001:2005, который заменил BS 7799-2:2002. Новая редакция ISO 17799:2005 (вскоре будет переименован в ISO/IEC 27002).
2006 г. Россия работает над переводом стандартов ISO 17799:2005 и ISO 27001:2005. В России и Украине появились специалисты по разработке СМИБ. Предприятия стран СНГ ведут работы по разработке СМИБ. Международные сертифицирующие органы получили аккредитацию на право проведения сертификации.
2007 г. Появление российского государственного стандарта ГОСТ Р ИСО/МЭК 17799:2005 (аналог ISO 17799:2000). Ожидается появление ГОСТ Р ИСО 17799:2007 и ГОСТ Р ИСО 27001:2007. Ожидается начало работ в Украине по выпуску ДСТУ ИСО 17799 и ДСТУ ИСО 27001.
Начальный стандарт BS 7799 прошел долгий путь, с чередой испытаний и корректировок. Важнейшим этапом в его «карьере» стал 2005 г., когда стандарт, позволяющий оценивать СМИБ, был признан международным (то есть подтверждена состоятельность его требований к современной СМИБ). С этого момента передовые предприятия во всем мире начали активно внедрять стандарт ISO 27001 и проводить подготовку к сертификации.
СТРУКТУРА ISO 27001
Знакомство со СМИБ лучше всего начинать с изучения лучших мировых практик в области информационной безопасности, приведенных в стандарте ISO 27001, который отличается логичным и понятным изложением, а лучшие практики сформулированы в качестве четких требований. Стандарт состоит из четырех частей.
Первая часть «Общие положения» содержит информацию о назначении стандарта, его связи с другими стандартами по ИБ, а также термины и определения.
Вторая часть «Требования к СМИБ» является основной. Она выдвигает обязательные для выполнения требования к СМИБ и позволяет на их основе построить эффективную систему. Общие требования занимают всего девять страниц и содержат следующие разделы: «Система менеджмента информационной безопасности», «Обязательства руководства», «Внутренние аудиты СМИБ», «Анализ СМИБ руководством», «Совершенствование СМИБ».
Третья часть «Приложение А. Цели и меры контроля» описывает конкретные требования к каждому направлению информационной безопасности (всего 11 направлений, которые обозначены в соответствии с разделами 5-15 стандарта ISO/IEC 17799:2005).
А5. Политика в области безопасности. Цель: обеспечить четкое управление и поддержку политики в области ИБ со стороны руководства предприятия.
А6. Организация системы безопасности. Цель: создать организационную структуру, которая будет внедрять и обеспечивать работоспособность СМИБ.
А7. Классификация активов и управление. Цель: поддерживать адекватную ИБ путем классификации информационных активов по необходимости и приоритету защиты, распределить ответственность.
А8. Безопасность и персонал. Цель: уменьшить риск человеческих ошибок, хищений и неправильного использования оборудования.
А9. Физическая и внешняя безопасность. Цель: предотвращать несанкционированный доступ, повреждение и нарушение работы информационной системы организации.
А10. Менеджмент компьютеров и сетей. Цель: обеспечить безопасное функционирование компьютеров и сетей.
А11. Управление доступом к системе. Цель: управлять доступом к информации, предотвращать несанкционированный доступ.
А12. Приобретение, разработка и обслуживание информационной системы. Цель: обеспечить выполнение требований безопасности при создании или развитии информационной системы организации, поддерживать безопасность приложений и данных.
А13. Менеджмент инцидентов информационной безопасности. Цель: обеспечить, чтобы сообщение об инцидентах и недостатках ИБ позволяли своевременно предпринять корректирующие действия.
А14. Обеспечение непрерывности бизнеса. Цель: подготовить план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации.
А15. Соответствие законодательству. Цель: обеспечить выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.
Стандарт ISO/IEC 17799:2005 содержит рекомендации по реализации требований «Приложения А» стандарта ISO/IEC 27001:2005. Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить те направления, которые невозможно применить на предприятии.
Четвертая часть стандарта состоит из «Приложения B: связь между принципами OECD и ISO 27001», «Приложения C: связь между ISO 9001:2000, ISO 14001:2004 и ISO 27001» и библиографических ссылок. Эта часть является информативной.
ВЫГОДЫ ВНЕДРЕНИЯ ISO 27001
Приведем выгоды внедрения и сертификации СМИБ на основе стандарта ISO 27001 вместе с требованиями стандарта, которые позволяют получить эти выгоды.
1. Информационные активы станут понятными для менеджмента компании. Организация должна управлять активами
-
Инвентаризация активов.
-
Определение ответственных за активы.
-
Разработать принципы классификации активов по их значимости, правовым требованиям, важности и критичности для организации.
-
Идентифицировать активы в соответствии с принципами классификации.
[Стандарт ISO 27001. Прил. А. Требование А.7]
2. Угрозы и уязвимости безопасности для существующих бизнес-процессов будут регулярно выявляться. Организация должна идентифицировать риски:
-
Идентифицировать активы.
-
Идентифицировать угрозы этим активам.
-
Идентифицировать уязвимости, которые могут быть использованы этими угрозами.
-
Определить воздействие, которое может привести к потере конфиденциальности, целостности и доступности ресурсов.
[Стандарт ISO 27001. Пункт 4.2.1 г)]
3. Риски будут просчитываться и приниматься решения на основе бизнес%целей компании. Организация должна проанализировать и оценить риски:
-
Оценить ущерб бизнесу.
-
Оценить вероятность возникновения нарушения.
-
Оценить уровни рисков.
-
Определить, является ли риск приемлемым или требуется обработка риска с использованием критериев принятия риска.
[Стандарт ISO 27001. Пункт 4.2.1 д)]
4. Управление системой в критичных ситуациях будет эффективным. Организация должна управлять непрерывностью бизнеса:
-
Определить и внедрить процессы для непрерывности бизнеса.
-
Идентифицировать события, которые могут привести к нарушениям бизнес-процессов, определить возможности и степени влияния.
-
Разработать планы восстановления.
-
Определить приоритеты планов для их тестирования и поддержки.
-
Тестировать и регулярно обновлять планы.
[Стандарт ISO 27001. Прил. А. Требование А.14]
5. Будет проводиться процесс выполнения политики безопасности (находить и исправлять слабые места). Руководство должно:
-
Разрабатывать политики СМИБ.
-
Устанавливать цели и планы.
-
Распределять ответственность в области ИБ.
-
Доводить до сведения всех сотрудников.
-
Обеспечивать ресурсами.
-
Принимать решения о допустимости рисков.
-
Обеспечивать проведение внутренних аудитов.
-
Проводить анализ СМИБ.
[Стандарт ISO 27001. Пункт 5.1]
6. Подчеркнется прозрачность и чистота бизнеса перед законом благодаря соответствию стандарту. Организация должна:
-
Определять применимое законодательство.
-
Обеспечить защиту интеллектуальной собственности.
-
Обеспечить защиту записей от потери, разрушения и фальсификации в соответствии с требованиями законодательства.
-
Обеспечить защиту персональных данных и приватной информации.
-
Предотвратить нецелевое использование средств обработки информации пользователем
[Стандарт ISO 27001. Прил. А. Требование А.15.1]
7. Снизится и оптимизируется стоимость поддержки системы безопасности. Стандарт требует идентифицировать и классифицировать активы. Классификацию можно провести в денежном выражении или по качественному признаку. Кроме того, стандарт требует оценить риски. Для принятия объективного решения о финансировании того или иного направления информационной безопасности стандарт требует разработать схему принятия рисков (рис. 1).
Таким образом, объективная оценка сочетаний «ущерб-вероятность» позволить постоянно эффективно финансировать информационную безопасность.
8. Появится надежная защита от рейдерских атак. Рейдеры — специалисты по перехвату оперативного управления или собственности фирмы с помощью специально инициированного бизнес-конфликта. Рейдерство — вывод активов из владения законных собственников. Одна из возможных схем работы рейдера — создать предприятию максимальное количество проблем, а затем забрать у собственников и менеджмента за бесценок с тем, чтобы с тысячекратной прибылью продать предприятие или его имущество третьим сторонам.
Уязвимости предприятия порождают рейдерский захват. Редкие предприятия не имеют «грехов». Эти «грехи», а точнее компрометирующая информация, находится в рамках общей информационной системы предприятия. Закрывая эту информацию от третьих лиц можно избежать инициирования рейдерского захвата.
Сам процесс рейдерского захвата базируется на изучении внутренних процессов предприятия, правил и норм его работы. Эта информация позволяет четко спланировать и провести рейдерский захват в наиболее подходящий момент времени. Закрытие этой информации или дезинформирование рейдеров не позволит осуществить план по захвату предприятия.
9. Подсистема безопасности интегрируется в общую систему менеджмента. СМИБ построена на принципах европейского менеджмента. Требования к общей системе менеджмента нашли свое отражение в стандарте ISO 9001:2000. Стандарт ISO 27001 гармонизирован со стандартом на системы менеджмента качества ISO 9001:2000 и базируется на его основных принципах.
Структура документации по требованиям ISO/IEC 27001:2005 может быть аналогична структуре по требованиям ISO 9001:2000. Большая часть документации, требуемая по ISO/IEC 27001:2005 уже могла быть разработана и использоваться в рамках общей системы менеджмента предприятия.
10. Предприятие получит международное признание и повысит авторитет как на внутреннем, так и на внешних рынках. Для получения этой выгоды необходимо подтвердить соответствие СМИБ требованиям стандарта с помощью третьей независимой стороны. Независимость третьей стороны — ключевой фактор получения вышеуказанных выгод. В качестве третьей стороны выступает сертифицирующий орган. Подтверждение сертифицирующего органа выражается в выдаче сертификата. Уровень доверия клиентов к системе напрямую зависит от доверия клиентов к сертификатам того или иного сертифицирующего органа.
УПРАВЛЕНИЕ РИСКАМИ
Основа стандарта ИСО 27001 — система управление рисками, связанными с информацией.
Система управления рисками позволяет получать ответы на следующие вопросы:
-
Какие риски в данный момент угрожают нашим бизнес-процессам?
-
На каком направлении информационной безопасности требуется сосредоточить внимание?
-
Сколько времени и средств можно потратить на данное техническое решение для защиты информации?
Задача риск-менеджмента — идентификация рисков и управление ими. Риск-менеджмент — это руководство для любых действий как в краткосрочном, так и в долгосрочном разрезе жизнедеятельности организации. Риск-менеджмент уделяет основное внимание превентивным мероприятиям или мероприятиям, смягчающим размеры последствий.
Риск — это комбинация вероятности события и его последствий (ISO/IEC Guide 73).
В пункте 4.2.1 ISO 27001 требуется:
-
в) оценить подход к оценке риска в организации (определить метод оценки риска, определить критерии принятия рисков),
-
г) идентифицировать риски (идентифицировать активы, идентифицировать угрозы, идентифицировать уязвимости, идентифицировать возможные воздействия, которые могут привести к утрате конфиденциальности, целостности и доступности активов),
-
д) проанализировать и оценить риски (оценить ущерб бизнесу, оценить вероятность, оценить уровни рисков, определить приемлемость/неприемлемость рисков),
-
е) определить и оценить варианты обработки рисков,
-
ж) выбрать цели и меры контроля для обработки рисков.
Требования стандарта практически служат руководством к внедрению системы менеджмента рисков.
Алгоритм оценки и принятия рисков приведен на рис. 2. Стандарт позволяет проводить как качественную, так и количественную оценку рисков. На практике многие риски трудно или невозможно оценить в количественном эквиваленте.
Методика анализа рисков подробно описана в методике «ИТ-Грундшутц», в стандарте BSI 100-3, который свободно доступен (www.bsi.de).
МЕТОДИКА ВНЕДРЕНИЯ СМИБ «ИТ-ГРУНДШУТЦ»
Стандарт ISO/IEC 27001:2005 выдвигает требования к СМИБ, но не описывает методику внедрения. Рассмотрим одну из самых простых и надежных в применении методик по созданию СМИБ — «ИТ-Грундшутц». Она разработана германским правительственным федеральным офисом по информационной безопасности (BSI), соответствующие документы находятся в открытом доступе на сайте www.bsi.de. Методика совместима с требованиями ISO/IEC 27001:2005, содержит структурированный и практический подход, а также конкретные, подробно описанные мероприятия по реализации требований ISO/IEC 27001:2005.
Благодаря конкретно сформулированным стандартным мероприятиям (каталоги базовой защиты) для самых разных аспектов информационной безопасности «ИТ-Грундшутц» — наименее затратная методика внедрения. Она базируется на следующих документах.
Стандарты:
-
ISO/IEC 27001:2005 — cистемы менеджмента информационной безопасности (требования);
-
BSI 100-1 — системы менеджмента информационной безопасности (рекомендации);
-
BSI 100-2 — метододика «ИТ-Грундшутц» (как, что и зачем делать, в общем виде);
-
BSI 100-3 — анализ рисков на основе методики «ИТ-Грундшутц» (позволяет внедрить систему управления рисками по требованиям ISO/IEC 27001:2005).
Каталоги (постоянно обновляются):
-
Часть M. Модули — описывает конкретные действия по разработке СМИБ (например, раздел по разработке политики безопасности включает требования к политике, содержание политики, варианты разработки политики, примеры целей по безопасности, которые вытекают из политики);
-
Часть Т. Угрозы. — подробное описание угроз, использованных в Части М (каталог угроз к многочисленным активам);
-
Часть S. Методы защиты — подробное описание методов защиты, использованных в Части М (каталог мероприятий по снижению угроз).
НАЦИОНАЛЬНЫЕ ОСОБЕННОСТИ ВНЕДРЕНИЯ
Ответственность. Первоначальный вопрос в наших условиях — это ответственность за функционирование СМИБ. Наличие соответствующей должности не регламентировано в стандарте ISO/IEC 27001:2005, и европейские консультанты, занимающиеся внедрением СМИБ, настаивают на назначении ответственного лица из числа руководства. В наших условиях полномочия и обязанности такового могут быть возложены на одного из следующих лиц: руководитель службы безопасности, руководитель службы качества, руководитель службы ИТ, руководитель службы ИТ-безопасности, первый руководитель.
Место в общей системе менеджмента. В различных отраслях украинской промышленности место СМИБ будет различным, поскольку в отраслях мы имеем разный уровень развития информационных систем, разные степени автоматизации, разную специфику бизнеса.
Крупные предприятия горно-металлургического комплекса, машиностроительные и химические предприятия могут иметь СМИБ такого вида, как на рис. 3а.
Хочу подчеркнуть, что СМИБ практически полностью содержится внутри общей системы менеджмента, т. к. самые важные аспекты безопасности в этом случае — целостность и доступность информации.
Для предприятий финансовой сферы, телекоммуникационных услуг, авиакомпаний, государственных органов законодательной и исполнительной власти, управлений статистики, МВД и СБУ структура может быть такой, как на рис. 3б. В этом случае СМИБ является основой жизнедеятельности организации.
Для предприятий и организаций среднего размера СМИБ может иметь вид, как на рис. 3в.
Естественно, невозможно точно охарактеризовать место СМИБ в организации только в зависимости от отраслевой принадлежности и размеров. Каждое предприятие — всегда уникальный механизм со своим стилем менеджмента, своими технологическими и информационными механизмами.
Вовлечение персонала — еще один немаловажный фактор успеха внедрения СМИБ в Украине. Для реализация его в наших условиях необходимы следующие мероприятия:
-
обучение ответственных за внедрение системы;
-
разъяснение всем сотрудникам, вовлеченным в СМИБ, необходимости выполнения требований стандарта;
-
исключение (минимизация) системы штрафов;
-
разработка системы мотивации.
Отсутствие этих мер может значительно снизить эффективность СМИБ
Александр Анатольевич Дмитриев
эксперт по системам
информационной безопасности
ТЮФ Норд Украина (г. Донецк)