Файл: Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 555
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
1 2 3 4 5 6 7 8 9 10 ... 16
Глава 5. Построение системы управления информационной
безопасностью информационной системы
Как было отмечено выше, информационная безопасность достигается проведением руководством соответствующего уровня
Политики
организации.Одноименный документ разрабатывается и принимается как официальный руководящий документ, ведомством, организацией.
Политика определяет, что нужно защищать. Поэтому после определения официальной политики безопасности следует определить конкретные меры и средства, реализующие практические процедуры защиты, соответствующие требованиям ПИБ. Процедуры безопасности определяют – как надо
защищать ИС, т. е. как именно необходимо выполнять требования политики безопасности. Таким образом, в организации должны быть разработаны не только политики безопасности, но и ясные процедуры безопасности, соответствующие политике.
Единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в соответствии с принятой политикой безопасности ИС, образует систему информационной безопасности (СИБ) ИС.
Таким образом, СИБ – это совокупность защитных мер, средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение, реализующая требования политики безопасности
Для обеспечения контроля функционирования средств и механизмов защиты СИБ и эффективного их использования, а также для контроля состояния ИБ ИС в целом, предназначена система управления
информационной безопасностью (СУИБ).
СУИБ – часть менеджмента
(руководства и управления) организации и предназначена для создания, эксплуатации, мониторинга, анализа, поддержки и совершенствования СИБ организации.
5.1. Принципы управления информационной безопасностью
организации
5.1.1. Управление информационной безопасностью и международные
стандарты
Управление информационной безопасностью (Information Security
Management, ISM) – это управление людьми, рисками, ресурсами, средствами защиты и т.п. Управление информационной безопасностью заключается в четком выполнении всех процедур по обеспечению ИБ, координации и регулировании процедур, контроле их правильного, а также эффективного выполнения.
Конечной целью создания СУИБ является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного) ИС.
Основной задачей системы является обеспечение необходимого уровня
доступности, целостности и конфиденциальности компонентов (ресурсов)
ИС.
Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право. Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право. Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.
В мировой практике существуют разработанные модели систем управления ИБ, например, «Information Security Management Maturity Model»
(ISM3, разработанная ISECOM), «The Systems Security Engineering Capability
Maturity Model», стандарт NIST SP800–33.
Существует также ряд международных и национальных стандартов оценки ИБ и управления ею. Среди них: ISO/IEC 17799:2005 и первый стандарт новой серии ISO/IEC 27001, пришедший на смену английскому стандарту BS7799–2:2002, BSI. В отечественной практике первым в этой области стал стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» СТО
БР ИББС–1.0–2006, определяющий основные процессы СУИБ для организаций банковской сферы РФ; «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» СТО
БР ИББС-1.0-2014, общие положения; «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» РС
БР ИББС-2.2-2009, методика оценки рисков нарушения информационной безопасности и др.
При построении СУИБ эксперты рекомендуют опираться на международные стандарты ISO 27001/17799. В этом случае, разработанная
СУИБ позволяет достичь необходимого уровня защищенности системы и значительно снизить риск реализации угроз информационной безопасности.
Однако прямое использование моделей и стандартов ISO/IEC 27001 и
ISO/IEC 17799:2005 для построения СУИБ затруднительно. Либо они слишком конкретизированные, а в любой организации, как правило, уже существует определенная система процессов, ролей, организационно–
распорядительных документов информационной безопасности, которые необходимо интегрировать в систему управления ИБ. При этом не определяются приоритеты, так называемые «веса директив», которые обычно применяются в стандартах аудита. Либо, напротив, рекомендации носят слишком общий характер. Например, стандарты содержат либо набор контрольных директив, либо общий подход к управлению ИБ, то есть определяют, что нужно сделать, но не определяют, как это сделать.
В этой связи при разработке СУИБ можно использовать также методические рекомендации ITIL (Information Technology Infrastructure
Library, библиотека лучшего мирового опыта в области организации работы
ИТ–службы), а также модели управления ИТ–ресурсами и ИТ–сервисами
Microsoft Operations Framework (MOF). Целесообразность использования рекомендаций по управлению ИТ–ресурсами и ИТ–услугами (и в первую
очередь процессов управления инцидентами, изменениями) при построении
СУИБ обусловлена тем, что процессы обеспечения информационной безопасности неразрывно связаны с процессами защиты, а значит, и управления информационными системами и должны быть тесно интегрированы с процессами управления ИТ. Библиотека ITIL содержит комплекс необходимых для построения СУИБ рекомендаций. Во–первых, в
ITIL с определенной степенью детализации описан процесс управления безопасностью (Security Management). Во–вторых, предоставление ИТ–услуг, включая сервисы информационной безопасности, относится к ответственности служб информационных технологий и информационной безопасности. Методы эффективной организации деятельности ИТ–служб обобщены в библиотеке ITIL и многократно испытаны. Кроме того, организации предъявляют сегодня жесткие требования по качеству ИТ–услуг
(в том числе и по информационной безопасности), обеспечивающих поддержку базовых бизнес–процессов. Обеспечение гарантированного качества ИТ–услуг — одна из основных задач процессов ITIL.
Важно, что для построения эффективной СУИБ, аналогично управлению ИТ–услугами, необходима четко действующая система оперативного управления изменениями. В ITIL эти задачи решены путем организации процессов управления изменениями (Change Management). В настоящее время библиотека ITIL стала фактически стандартом в области управления ИТ–услугами и вобрала в себя лучшие подходы и методики, обобщающие накопленный мировой опыт. представлены процессы эталонной модели ITIL. Согласно методологии ITIL, в обеспечении информационной безопасности участвуют практически все процессы эталонной модели ITIL.
Интеграция процесса управления безопасностью в систему процессов управления ИТ–ресурсами и ИТ–услугами и применение сервисно–
ресурсного подхода при построении СУИБ (когда обеспечение ИБ рассматривается как сервис с определенным уровнем качества, предоставление которого обеспечивается определенными финансовыми, техническими, трудовыми ресурсами) дают целый ряд преимуществ. В частности, появляется возможность правильной расстановки приоритетов для решаемых задач ИБ, повышения эффективности расходования ресурсов и средств, выделяемых на управление безопасностью, и как следствие — повышение управляемости системы ИБ в целом. Вместе с тем, одних рекомендаций ITIL для построения полнофункциональной СУИБ недостаточно. Во–первых, необходимо поддержание жизнеспособности
СУИБ во времени, обеспечение ее жизненного цикла. Необходимые для этого компоненты и свойства СУИБ («контрольные точки») приведены в используемом стандарте ISO 27001. Во–вторых, в ITIL не содержатся некоторые важные составляющие СУИБ, например, планирование обеспечения непрерывности работы. Необходимо также и более глубокое определение процессов обеспечения ИБ и их взаимосвязей. Например, для обнаружения инцидентов необходимо вести мониторинг подсистем ИБ,
СУИБ обусловлена тем, что процессы обеспечения информационной безопасности неразрывно связаны с процессами защиты, а значит, и управления информационными системами и должны быть тесно интегрированы с процессами управления ИТ. Библиотека ITIL содержит комплекс необходимых для построения СУИБ рекомендаций. Во–первых, в
ITIL с определенной степенью детализации описан процесс управления безопасностью (Security Management). Во–вторых, предоставление ИТ–услуг, включая сервисы информационной безопасности, относится к ответственности служб информационных технологий и информационной безопасности. Методы эффективной организации деятельности ИТ–служб обобщены в библиотеке ITIL и многократно испытаны. Кроме того, организации предъявляют сегодня жесткие требования по качеству ИТ–услуг
(в том числе и по информационной безопасности), обеспечивающих поддержку базовых бизнес–процессов. Обеспечение гарантированного качества ИТ–услуг — одна из основных задач процессов ITIL.
Важно, что для построения эффективной СУИБ, аналогично управлению ИТ–услугами, необходима четко действующая система оперативного управления изменениями. В ITIL эти задачи решены путем организации процессов управления изменениями (Change Management). В настоящее время библиотека ITIL стала фактически стандартом в области управления ИТ–услугами и вобрала в себя лучшие подходы и методики, обобщающие накопленный мировой опыт. представлены процессы эталонной модели ITIL. Согласно методологии ITIL, в обеспечении информационной безопасности участвуют практически все процессы эталонной модели ITIL.
Интеграция процесса управления безопасностью в систему процессов управления ИТ–ресурсами и ИТ–услугами и применение сервисно–
ресурсного подхода при построении СУИБ (когда обеспечение ИБ рассматривается как сервис с определенным уровнем качества, предоставление которого обеспечивается определенными финансовыми, техническими, трудовыми ресурсами) дают целый ряд преимуществ. В частности, появляется возможность правильной расстановки приоритетов для решаемых задач ИБ, повышения эффективности расходования ресурсов и средств, выделяемых на управление безопасностью, и как следствие — повышение управляемости системы ИБ в целом. Вместе с тем, одних рекомендаций ITIL для построения полнофункциональной СУИБ недостаточно. Во–первых, необходимо поддержание жизнеспособности
СУИБ во времени, обеспечение ее жизненного цикла. Необходимые для этого компоненты и свойства СУИБ («контрольные точки») приведены в используемом стандарте ISO 27001. Во–вторых, в ITIL не содержатся некоторые важные составляющие СУИБ, например, планирование обеспечения непрерывности работы. Необходимо также и более глубокое определение процессов обеспечения ИБ и их взаимосвязей. Например, для обнаружения инцидентов необходимо вести мониторинг подсистем ИБ,
который связан с процессом мониторинга ИТ–систем, системами Aasset
Management и т. д. Для устранения инцидентов ИБ необходима организация процесса управления инцидентами ИБ. Для поддержания жизнеспособности
СУИБ необходимы также регулярный внутренний аудит СИБ, что требует обучения сотрудников и, естественно, финансирования. Важными составляющими обеспечения информационной безопасности являются также процессы управления информационными рисками, информирования сотрудников о политике ИБ, правилах работы с конфиденциальной информацией и пр. Кроме того, необходимо наложение на модель процессов ролевой модели СУИБ, то есть определение владельцев процессов, ролей сотрудников, которые эксплуатируют подсистемы ИБ и отвечают за соответствующие сегменты системы. Тогда в случае инцидента ИБ, например, нарушения сетевой защиты, можно будет проследить его влияние на другие процессы и подсистемы ИБ, определить ответственных за устранение таких инцидентов, оценить экономические параметры (какой ущерб нанесен, какие средства понадобятся для предотвращения такого рода инцидентов и т. д.). Некоторые рекомендации по построению ролевой модели содержатся в документах Microsoft Service Management function.
5.1.2.
Принципы построения архитектурных решений СУИБ
В качестве базиса для построения архитектурных решений СУИБ выбраны следующие основные общие принципы [41]:
– масштабируемость;
– иерархичность построения;
– функциональная полнота;
– методологическое единство функциональных спецификаций ИС на всех уровнях архитектуры СУИБ;
– открытость архитектуры;
– ориентация на использование открытых стандартов;
– использование преимущественно готовых решений;
– ориентация на процессные принципы организации системы эксплуатации;
– эволюционность и сохранение ранее сделанных инвестиций.
Кроме того, при разработке архитектуры СУИБ необходимо соблюдать следующие специфичные принципы.
1. Централизация и специализация управления. Структура СУИБ должна быть ориентирована на структуру основных бизнес процессов организации и структуру подконтрольных объектов СУИБ.
2. Необходимость и достаточность контроля*. Ни один из информационных активов и элементов инфраструктуры ИС области действия
СУИБ не должен оставаться без контроля.
*Под контролем подразумевается механизм периодического сбора
информации об подконтрольном объекте, ее структурирования и
интерпретации в согласованных терминах, а также построения истории
эволюции свойств.
Management и т. д. Для устранения инцидентов ИБ необходима организация процесса управления инцидентами ИБ. Для поддержания жизнеспособности
СУИБ необходимы также регулярный внутренний аудит СИБ, что требует обучения сотрудников и, естественно, финансирования. Важными составляющими обеспечения информационной безопасности являются также процессы управления информационными рисками, информирования сотрудников о политике ИБ, правилах работы с конфиденциальной информацией и пр. Кроме того, необходимо наложение на модель процессов ролевой модели СУИБ, то есть определение владельцев процессов, ролей сотрудников, которые эксплуатируют подсистемы ИБ и отвечают за соответствующие сегменты системы. Тогда в случае инцидента ИБ, например, нарушения сетевой защиты, можно будет проследить его влияние на другие процессы и подсистемы ИБ, определить ответственных за устранение таких инцидентов, оценить экономические параметры (какой ущерб нанесен, какие средства понадобятся для предотвращения такого рода инцидентов и т. д.). Некоторые рекомендации по построению ролевой модели содержатся в документах Microsoft Service Management function.
5.1.2.
Принципы построения архитектурных решений СУИБ
В качестве базиса для построения архитектурных решений СУИБ выбраны следующие основные общие принципы [41]:
– масштабируемость;
– иерархичность построения;
– функциональная полнота;
– методологическое единство функциональных спецификаций ИС на всех уровнях архитектуры СУИБ;
– открытость архитектуры;
– ориентация на использование открытых стандартов;
– использование преимущественно готовых решений;
– ориентация на процессные принципы организации системы эксплуатации;
– эволюционность и сохранение ранее сделанных инвестиций.
Кроме того, при разработке архитектуры СУИБ необходимо соблюдать следующие специфичные принципы.
1. Централизация и специализация управления. Структура СУИБ должна быть ориентирована на структуру основных бизнес процессов организации и структуру подконтрольных объектов СУИБ.
2. Необходимость и достаточность контроля*. Ни один из информационных активов и элементов инфраструктуры ИС области действия
СУИБ не должен оставаться без контроля.
*Под контролем подразумевается механизм периодического сбора
информации об подконтрольном объекте, ее структурирования и
интерпретации в согласованных терминах, а также построения истории
эволюции свойств.