Файл: Учебник для вузов В. Г. Олифер, Н. А. Олифер 2е изд. Спб. Питер 2009 669 с ил. Межсетевое экранирование учеб пособие О. Р. Лапонина М. Интернет Ун т Информ. Технологий бином. Лаб знаний 2007 343 с ил.pdf

16
• Соответствие требованиям. Обеспечение соответствия требованиям регуляторов, законодательства, условиям договоров и другим предписанным требованиям, посредством технических средств контроля и аудита.
CobiT и COSO говорят о том, что должно быть достигнуто, но не говорят как. На помощь здесь приходят ITILи серия ISO/IEC 27000. ITIL (Information Technology
Infrastructure Library) фактически является стандартом оптимального управления ИТ- службой. ITIL был создан для удовлетворения потребностей бизнеса, в связи с его растущей зависимостью от ИТ. К сожалению, слишком часто в компаниях существует целая пропасть между персоналом бизнес-подразделений и ИТ-подразделений, поскольку они используют различную терминологию и имеют разные цели в компании. Отсутствие понимания между бизнесом и ИТ ведет к неправильному (неэффективному) сочетанию целей бизнеса и функций ИТ, что, в свою очередь, ведет к путанице, нарушению сроков, упущенным возможностям, увеличению затрат времени и сил, а также разочарованиям с обеих сторон.
Для решения этой проблемы предназначен ITIL. Там, где CobiT определяет ИТ- цели, ITIL указывает шаги на уровне процессов, предназначенные для достижения этих целей. Хотя в ITIL есть раздел, связанный с безопасностью, его внимание в основном сконцентрировано на внутренних соглашениях об уровне обслуживания (SLA– Service
Level Agreement) между ИТ-департаментом и другими подразделениями компании, которые он обслуживает.
В РФ перечисленные стандарты появились в виде следующих стандартов (по сути переводы аналогичных стандартов):
ГОСТ Р ИСО/МЭК. 17799 - 2005. Информационная технология. Практические правила управления информационной безопасностью.
ГОСТ Р ИСО/МЭК 27001 – 2005. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности.
Требования.
3.3. Управление безопасностью на стратегическом уровне
Стратегическое управление безопасностью - очень похоже по своему характеру на корпоративное управление и управление ИТ на том же уровне, поскольку существуют дублирующиеся функции и задачи во всех трех. Все три вида управления работают в рамках организационной структуры компании, и имеют одни и те же цели – обеспечение выживания и процветания компании, просто каждый вид управления фокусируется на своей части.
Количество требований, которым должны удовлетворять компании, постоянно растет. Советы Директоров компаний несут все больше и больше ответственности за работу бизнеса и эффективность всей компании. В связи с этим, более важную роль начинает играть стратегическое управление безопасностью и защитой информации, что обеспечивает использование надлежащих механизмов и предоставление Совету
Директоров (и руководству компании) возможности эффективного надзора с целью управления рисками, поддержания их на приемлемом для компании уровне и ограничения потенциального ущерба.
Существует множество различных определений стратегического управления безопасностью. Вот вариант определения, подготовленного ITGI: "Стратегическое управление (governance) – это набор функций, выполняющихся Советом Директоров и высшим руководством, которые задают стратегическое направление, контролируют достижение целей, надлежащее управление рисками и ответственное использование ресурсов компании".
Это абсолютно правильное определение, но оно очень высокоуровневое и его трудно понять. Чтобы упростить понимание, давайте сравним две компании. Компания

17
"А" внедрила эффективную программу стратегического управления безопасностью, а компания "Б" нет. Обе компании имеют политику безопасности, процедуры, стандарты, одинаковые технологии управления безопасностью (межсетевые экраны, системы выявления вторжений, системы управления идентификацией и т.д.), подразделение безопасности, которой руководит CISO. Может показаться, что уровень безопасности компаний "А" и "Б" одинаков... Но это не так. Посмотрите на некоторые критические различия, приведенные в таблице 1.
Таблица 1. – Сравнение подходов к информационной езопасности.
Компания «А»
Компания «Б»
Члены совета директоров понимают, что информационная безопасность имеет решающее значение для компании, и требуют ежеквартально предоставлять сведения об эффективности безопасности и выявленным недостаткам.
Члены Правления не понимают, что информационная безопасность находится в их сфере ответственности, и сосредотачиваются исключительно на корпоративном управлении и прибыли.
CEO, CFO,CIO и руководители бизнес- подразделений участвуют в работе комитета по управлению рисками, который собирается каждый месяц, тема информационной безопасности всегда является одной из тем повестки дня.
CEO, CFO и руководители бизнес- подразделений считают, что информационная безопасность находится в сфере ответственности CIO, CISO и ИТ- департамента. И поэтому не вмешиваются.
Высшее руководство устанавливает приемлемый уровень риска, что является основой для политики безопасности компании и всей деятельности в области безопасности
CISO использует шаблонные политики безопасности, включая в них название компании и подпись CEO.
Высшее руководство делегировало руководителям бизнес-подразделений обязанности по управлению рисками, относящиеся непосредственно к их подразделениям.
Вся деятельность, касающаяся безопасности, осуществляется департаментом безопасности. Таким образом, безопасность остается не интегрированной в работу компании.
Критичные бизнес-процессы документированы с учетом рисков, которые им присущи на различных шагах.
Бизнес-процессы не документированы, не проанализированы на наличие потенциальных рисков, которые могут повлиять на операции, производительность и рентабельность.
Сотрудники несут ответственность за любые нарушения безопасности, произошедшие по их вине умышленно или случайно.
Политики и стандарты разработаны, но не исполняются или не осуществляется контроль, так как он не был предусмотрен или внедрен.
Средства безопасности и различные услуги покупаются и внедряются эффективными способами. Их применение постоянно анализируется, чтобы убедиться, что они остаются экономически целесообразными.
Средства безопасности и различные услуги покупаются и внедряются без каких-либо исследований, позволяющих определить отдачу от инвестиций и эффективность.
Компания постоянно пересматривает свои процессы, включая вопросы обеспечения безопасности, с целью их постоянного совершенствования.
Компания не анализирует свою деятельность с целью ее улучшения, но постоянно движется вперед, совершая одни и те же ошибки снова и снова.
Большинство компаний на сегодняшний день имеют множество частей программы безопасности (политики, стандарты, межсетевые экраны, подразделение безопасности,

18
системы выявления вторжений и т.д.), но руководство в обеспечении безопасности не участвует, а безопасность не интегрирована в деятельность компании. За обеспечение безопасности компании отвечает исключительно подразделение безопасности, что является невозможным практически. Безопасность в таких компаниях является вопросом техники. Но сегодня в мире информационной безопасности такой подход не работает.
Сегодняшняя безопасность – это намного большее, чем чисто техническое решение.
Специалисты по безопасности должны понимать, что безопасность должна соблюдаться в рамках всей компании, и крайне важно иметь несколько центров ответственности и подотчетности. Стратегическое управление безопасностью является целостной системой, состоящей из различных компонентов (технических средств, персонала, процессов, политик и т.д.), которые существуют для выживания и процветания компании.
ПРИМЕЧАНИЕ. Следует также учитывать такой важнейший фактор, как корпоративная культура компании. Даже если компания использует самые современные и передовые решения на рынке, она не сможет обеспечить необходимый уровень безопасности, если эти решения используются необученным, апатичным и беззаботным персоналом. Оценка культуры компании, очень важна при оценке положения безопасности в ней.
Для того, чтобы обеспечить управление безопасностью, должно быть нечто такое, чем можно управлять. Набор объектов управления, которыми должна обладать компания, в общем виде называется программой безопасности. Разработка программы безопасности
Важно понимать, что программа безопасности имеет непрерывный жизненный цикл, т.к. она должна постоянно оцениваться и совершенствоваться. Для описания жизненного цикла программы безопасности, будем использовать следующие шаги.
1. Планирование и Организация.
2. Реализация (внедрение).
3. Функционирование и Поддержка.
4. Мониторинг и Оценка.
Однако многие компании не применяют подход жизненного цикла при разработке, внедрении и поддержании своей программы управления безопасностью. Они не знают, как это делать, или считают, что это слишком сложно и бесполезно. В результате это, как правило, приводит к следующим последствиям:
• Написанные политики и процедуры, не отражаются на деятельности по обеспечению безопасности и не поддерживают ее.
• Отсутствует взаимодействие и координация между различными сотрудниками компании, задействованными в обеспечении защиты ее активов.
• Не проводится оценка результатов, отдачи от инвестиций и распределения ресурсов.
• Отсутствует понимание недостатков программы безопасности, не применяются единообразные способы исправления недостатков.
• Нет гарантий соответствия требованиям законодательства, регуляторов, требованиям политик.
• Компания полностью полагается на технологии для решения всех вопросов безопасности.
• Отсутствует единый орган принятия решений в компании.
• К любым нарушениям применяется подход "пожарной тревоги", а не спокойный проактивный, детективный подход.
• Появляется ложное чувство безопасности.
Также, отсутствие жизненного цикла программы безопасности и управления безопасностью приводит к тому, что безопасность рассматривается просто как еще одна задача. А все задачи имеют дату начала и дату завершения, которая означает, что все участники переключаются на другую задачу. В результате компания с течением времени

19
выполняет одни и те же задачи, на них расходуются большие средства, но результат при этом минимален.
Основные элементы каждой фазы жизненного цикла программы безопасности представлены ниже:
Планирование и Организация
• Получение одобрения от руководства.
• Создание руководящего комитета по надзору (oversight steering committee).
• Оценка бизнес-драйверов (бизнес-драйверы – это люди, информация или задачи, которые обеспечивают реализацию бизнес-целей компании).
• Создание профиля угроз компании.
• Проведение оценки рисков.
• Разработка архитектуры безопасности на организационном, прикладном, сетевом и компонентном уровнях.
• Определение решений на каждом уровне архитектуры.
• Получение согласия руководства на дальнейшие действия.
Реализация (внедрение)
• Распределение ролей и обязанностей
• Разработка и внедрение политик безопасности, процедур, стандартов, базисов и руководств
• Выявление критичных данных на этапах хранения и передачи
• Реализация следующих проектов:
• Идентификация и управление активами
• Управление рисками
• Управление уязвимостями
• Соответствие требованиям
• Управление идентификацией и доступом
• Управление изменениями
• Жизненный цикл разработки программного обеспечения
• Планирование непрерывности бизнеса
• Обучение и повышение осведомленности
• Физическая безопасность
• Реакция на инциденты
• Внедрение решений (административных, технических, физических) по каждому проекту
• Разработка решений по аудиту и мониторингу для каждого проекта
• Установка целей, соглашений об уровне обслуживания (SLA) и метрик по каждому проекту
Эксплуатация и Сопровождение
• Соблюдение установленных процедур для обеспечения соблюдения базисных уровней в каждом реализованном проекте.
• Проведение внутренних и внешних аудитов.
• Выполнение задач, намеченных в каждом проекте.
• Управление соглашениями об уровне обслуживания по каждому проекту.
Мониторинг и Оценка
• Анализ лог-файлов, результатов аудита, собранных значений метрик и SLA по каждому проекту
• Оценка достижения целей по каждому проекту
• Проведение ежеквартальных встреч с руководящими комитетами
• Совершенствование действий каждого этапа и их интеграция в фазу
Планирования и Организации
ПРИМЕЧАНИЕ. Различные компании, консультанты и специалисты по безопасности могут использовать различные подходы к созданию программы

20
безопасности, но в общем они охватывают те же разделы. Каждая компания имеет различные приемлемые для нее уровни риска, внедренные защитные меры, угрозы и бизнес-драйверы, однако их программы безопасности в основном содержат похожие элементы – просто одна компания больше внимания уделяет одним элементам, а другая – другим. Это связано с деятельностью компаний и их потребностях в безопасности.
Модели и структуры весьма полезны, но они находятся на очень высоком уровне.
Для воплощения их в жизнь необходимо разработать соответствующие проекты
(blueprint). Проекты должны соответствовать требованиям безопасности компании, основанным на обязательствах компании, бизнес-драйверах и внутренних требованиях.
Например, компания "В" имеет политику конфиденциальности, подразделение безопасности компании разработало стандарты и процедуры, реализующие стратегию обеспечения конфиденциальности, которым все сотрудники компании должны следовать.
Затем разрабатывается проект, в проектной документации к которому указывается больше деталей, учитываются процессы и компоненты, к которым относятся требования политики, стандартов и процедур. В проектной документации должно быть, как минимум, следующее:
• Схема сети компании
• Места в сети, где находятся критичные данные
• Сегменты сети, через которые проходят критичные данные
• Различные применяемые решения по безопасности (VPN, SSL, PGP), которые защищают критичные данные
• Подключения третьих сторон, с которыми совместно используются критичные данные
• Используемые меры безопасности в отношении подключений третьих сторон.
Проекты должны соответствовать потребностям компании. Если компания "В" использует систему управления идентификацией ( identity management), у нее должен быть соответствующий проект, проектная документация к которому содержит описание ролей, управления регистрацией, источников авторизации, хранения идентификационных данных, применения решений единого входа ( single sign-on) и т.д. Если компания "В" не использует систему управления идентификацией, то ей не нужен проект для этой системы. Ряд проектов, которые следует разработать большинству компаний, приведен ниже:
• Управление безопасностью
• Непрерывность бизнеса
• Журналирование и мониторинг
• Управление идентификацией
• Целостность приложений
• Инфраструктура
• Управление активами
• Физическая безопасность и безопасность окружения
Таким образом, проект должен учитывать решения безопасности, процессы и компоненты, которые использует компания на основании своих потребностей в безопасности. Эти проекты имеют отношение к различным бизнес-подразделениям компании. Например, использование системы управления идентификацией предусматривает участие каждого подразделения компании. Четкое выполнение компанией этих проектов позволяет обеспечить стандартизацию, упростить сбор метрик и управление. Проекты следует разрабатывать с учетом лучших практик (как правило, с учетом ISO 17799). На рисунке 6 показано, где эти проекты вступают в силу при разработке программы безопасности.

21
Рис. 6. – Взаимодействие проектов ИБ в рамках
4. Управление информационными рисками
Риск - это вероятность причинения ущерба и возможные последствия. Управление информационными рисками (IRM - Information Risk Management)представляет собой процесс выявления и оценки рисков, снижения их до приемлемого уровня, а также внедрения адекватных механизмов для поддержания этого уровня. Стопроцентной защиты не существует. Каждая система имеет уязвимости и подвержена угрозам.
Необходимо выявлять эти угрозы, оценивать вероятность их реализации и ущерб, к которому это может привести. Затем нужно предпринимать правильные шаги для снижения общего уровня риска всего окружения до уровня, считающегося в компании приемлемым.
Риски могут иметь различные формы, не обязательно связанные с компьютерами.
С точки зрения информационной безопасности, существует несколько видов рисков, которые компания должна понимать и учитывать. Ниже представлен список основных категорий:
• Физический ущерб. Пожар, затопление, вандализм, отсутствие электроэнергии, стихийные бедствия.
• Действия человека. Случайные или намеренные действия или бездействие, которые могут нарушить работу компании.
• Неисправность оборудования. Неработоспособность систем или периферийных устройств.
• Внутренние и внешние атаки. Хакинг, крекинг и проведение атак.
• Неправильное использование данных. Предоставление совместного доступа к конфиденциальной информации компании, мошенничество, шпионаж, кражи.
• Утрата данных. Преднамеренное или непреднамеренное уничтожение информации.

22
• Ошибки приложений. Ошибки в вычислениях, ошибки ввода информации, переполнения буфера.
Эти угрозы должны быть выявлены, категорированы, и оценены с точки зрения масштабов потенциальных потерь. Реальные риски очень трудно измерить, однако расставить приоритеты в списке потенциальных рисков и выбрать те, которыми следует заняться в первую очередь, вполне достижимо.