Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)
.pdf— передача информации и программного обеспечения.
Öåëü: обеспечить безопасное функционирование компьютеров и
сетей.
7. Контроль доступа
—бизнес-требования для контроля доступа;
—управление доступом пользователя;
—ответственность пользователей;
—контроль и управление удаленным (сетевым) доступом;
—контроль доступа в операционную систему;
—контроль и управление доступом к приложениям;
—мониторинг доступа и использования систем;
—мобильные пользователи.
Öåëü: управлять доступом к деловой информации, предотвращать
НСД и обнаруживать несанкционированную деятельность.
8. Разработка и техническая поддержка вычислительных
систем
—требования по безопасности систем;
—безопасность приложений;
—криптография;
—безопасность системных файлов;
—безопасность процессов разработки и поддержки.
Öåëü: обеспечить выполнение требований безопасности при создании или развитии информационной системы организации, поддер-
живать безопасность приложений и данных.
9. Управление непрерывностью бизнеса
—процесс управления непрерывным ведением бизнеса;
—непрерывность бизнеса и анализ воздействий;
—создание и внедрение плана непрерывного ведения бизнеса;
—тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса.
Öåëü: подготовить план действий в случае чрезвычайных обстоя-
тельств для обеспечения непрерывности работы организации.
10. Соответствие системы основным требованиям
—соответствие требованиям законодательства;
—анализ соответствия политике безопасности;
—анализ соответствия техническим требованиям;
—анализ соответствия требованиям системного аудита.
Öåëü: обеспечить выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.
91
Такая структура позволяет выбрать те средства управления, которые имеют отношение к конкретной организации или сфере ответственности внутри организации. Выделено также десять так называемых ключевых элементов управления, являющихся фундаментальными. Считается, что эти элементы имеют отношение ко всем организациям в самых различных условиях.
Из вышеизложенного видно, что наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.
Особое внимание в ГОСТ Р ИСО/МЭК 17799-2005 уделяется разработке политики безопасности (ПБ) на предприятии.
Политика безопасности — внутренний стандарт, обязательный для всех. ПБ должна быть выработана таким образом, чтоб решить следующие задачи:
—зафиксировать единый перечень требований по информационной безопасности для всей организации;
—распределить зоны ответственности между подразделениями и персоналом организации в части информационной безопасности.
Разработка ПБ позволит обеспечить информационную безопасность с учетом требований национальных и международных стандартов, скоординировать, формализовать и зафиксировать требования и процедуры обеспечения информационной безопасности, обосновать и планировать мероприятия по обеспечению информационной безопасности, зафиксировать ответственность администраторов и пользователей, оценить возможные убытки и соразмерить их с затратами.
Однако следует заметить, что хотя политика безопасности информации и позволит оценить и предупредить многие потенциальные проблемы, она не сможет избавить от проблем полностью, поскольку безопасность оперирует вероятностями и оценивает их с заданной долей вероятности.
Наряду с разработкой ПБ, большое внимание в ГОСТ Р ИСО/ МЭК 17799 уделяется анализу рисков.
Как правило, проблема заключается в отсутствии формализованных, зафиксированных и утвержденных процессов обеспечения информационной безопасности. Эти процессы должны определять единую техническую политику в части выбора мер и средств защиты, а также планы развития системы защиты.
92
Âкачестве инструмента, который, с одной стороны, будет давать возможность руководству компании или организации понимать при- чины, а также последствия изменений в системе защиты, а с другой — принимать обоснованные решения, может использоваться процедура анализа рисков и статистика, накопленная по инцидентам нарушения информационной безопасности.
Âпроцессе анализа риска угрозы и ущерб имуществу организации оценивается в соотношении с ее деловыми перспективами. Таким образом, анализ определяет жизненно важную для организации информацию и создает стратегию для ее сохранения, даже если ключе- вые сотрудники покинут компанию.
Основанный на анализе риска бизнес-план должен обеспечивать безопасность во многих областях, даже при непредвиденных обстоятельствах. Компания должна показать, что установленная практика, процедуры и процессы функционируют.
Âупрощенном виде анализ риска сводится к ответам на следующие вопросы:
1. Что может угрожать нашим информационным ресурсам (компьютерам, средствам связи, данным и т. д.)?
2. Какова подверженность этим угрозам, то есть что может произойти с тем или иным информационным ресурсом?
3. Если это произойдет, то насколько тяжелыми будут последствия? Каков возможный ущерб?
4. Насколько часто следует ожидать подобных происшествий? Механизмы реализации анализа рисков и накопления статистики
должны быть зафиксированы в политике информационной безопасности компании.
Процесс анализа рисков состоит из 6 последовательных этапов: 1. Идентификация и классификация объектов защиты (ресурсов и
сервисов, подлежащих защите). 2. Категорирование ресурсов.
3. Построение модели злоумышленника.
4. Идентификация, классификация и анализ угроз и уязвимостей.
5. Оценка рисков.
6. Выбор организационных мер и технических средств защиты. Результатами анализа рисков являются:
1) перечень ресурсов с указанием параметров конфиденциальности и критичности;
93
2)перечень типов злоумышленников с указанием потенциала (уровня возможностей) по реализации угроз;
3)перечень существующих уязвимостей, перечень угроз с указанием частоты реализации каждой угрозы;
4)перечень рисков с указанием размера ущерба;
5)перечень мер и средств защиты для минимизации каждого риска до допустимого уровня с указанием совокупной стоимости предлагаемого изменения;
6)величина остаточного риска.
Существуют различные способы анализа риска: от простейших таблиц до сложных компьютеризованных методов, требующих специальной подготовки. Выбор применяемого метода зависит от условий организации. После этапа планирования и разработки системы следует длительный период внедрения. Конечно, систему менеджмента информационной безопасностью нельзя просто «установить», как новый компьютер или программный пакет, она является частью системы общего управления предприятием и затрагивает все уровни организации от высшего руководства до исполнителей.
При всей своей обобщенности и отсутствии в некоторых частях стандарта конкретных деталей, сам стандарт разработан именно для применения его в сложных и разветвленных корпоративных системах и, что немаловажно, ГОСТ Р ИСО/МЭК 17799 не противоречит существующим российским стандартам.
Преимущества использования ГОСТ Р ИСО/МЭК 17799-2005
Прежде всего — это «неформальные» преимущества: после проведения аудита информационная система компании становится «прозрачнее» для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления.
В результате компании предлагается комплексный план внесения изменений в СУИБ, как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту.
Сертификация на соответствие стандарту ГОСТ Р ИСО/МЭК 17799-2005 позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь, это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками.
94
3.3.3. ISO/IEC 27001
С 5 сентября 2002 г. в силу вступила вторая часть стандарта BS 7799 — Часть 2. Спецификация системы управления информационной безопасностью. А с 15 октября 2005 г. ISO приняла стандарт BSI BS 7799-2:2002 в качестве международного ISO/IEC 27001:2005.
Этот международный стандарт подготовлен в целях обеспечения модели для создания, настройки, управления, мониторинга, контроля, поддержания и улучшения СУИБ. Принятие СУИБ должно быть стратегическим решением для организации. Разработка и обеспечение СУИБ организации определяется ее потребностями и целями, требованиями безопасности, выполняемыми процессами и размером и структурой организации. Все перечисленное, а также система обеспечения может меняться со временем. Ожидается, что обеспечение СУИБ будет масштабироваться в соответствии с потребностями организации, например простая ситуация требует простого решения СУИБ.
Данный международный стандарт может быть использован в целях оценки соответствия заинтересованными внутренними и внешними сторонами.
Подход к процессу управления информационной безопасностью
Данный международный стандарт устанавливает подход к процессу создания, обеспечения, управления, мониторинга, контроля, поддержания и улучшения СУИБ организации.
Любая задача, использующая ресурсы в целях получения трансформации входящих данных в исходящие, может быть рассмотрена как процесс. Зачастую исходящие данные одного процесса напрямую формируют входящие данные другого (следующего) процесса. Применение системы процессов в рамках организации может рассматриваться как процессионный подход.
Данный подход к управлению информационной безопасностью, представленный в настоящем международном стандарте, подсказывает пользователям значимую важность:
—понимания требований информационной безопасности организации и необходимости создания политики и целей информационной безопасности;
—обеспечения и управления контролем и управлением рисками информационной безопасности организации в контексте всех бизнесрисков организации;
95
—мониторинга и контроля за производительностью и эффективностью СУИБ;
—постоянного улучшения, основанного на пересмотре целей. Данный международный стандарт предлагает процессионную мо-
дель «Планируй-Делай-Проверяй-Действуй» (ПДПД), которая применима к структуре всех процессов СУИБ. Рисунок 1 показывает, как СУИБ принимает в качестве входящих данных требования информационной безопасности и ожидания заинтересованных сторон и путем необходимых действий и процессов воспроизводит выходные данные СУИБ, отвечающие данным требованиям и ожиданиям.
Данный международный стандарт предоставляет модель для обеспечения принципов информационной безопасности в отношении оценки рисков, разработки и обеспечения безопасности, управления и контроля безопасности (рис. 3.1).
Ðèñ. 3.1. Модель информационной безопасности применительно к СУИБ
Планируй (создание СУИБ)
Создание политики СУИБ, целей, процессов и процедур, относящихся к управлению рисками и улучшению информационной безопасности в целях обеспечения результатов в соответствии с общими политиками и целями организации.
96
Делай (обеспечение и управление СУИБ)
Обеспечение и управление политикой СУИБ, средствами контро-
ля, процессами и процедурами.
Проверяй (мониторинг и контроль СУИБ)
Оценка и, по возможности, измерение процесса производительности совместно с политикой СУИБ, целями и практическим опытом и
доклад результатов для контроля.
Действуй (поддержание и улучшение СУИБ)
Принятие коррекционных и превентивных действий, основанных на результатах внутреннего аудита.
СУИБ и управление контрольной или любой иной применимой информацией для достижения постоянного улучшения СУИБ.
Данный международный стандарт охватывает все типы организаций (коммерческие предприятия, государственные структуры, некоммерческие организации и пр.). Стандарт определяет требования по созданию, обеспечению, управлению, мониторингу, контролю, поддержанию и улучшению документированной СУИБ в контексте всех биз- нес-рисков организации. Он определяет требования по обеспечению управления безопасностью, разработанной в соответствии с потребностью конкретной организации или ее части.
СУИБ разработана с целью обеспечения выбора наиболее адекватного и пропорционального управления безопасностью, которое защитит информационные ресурсы и обеспечит конфиденциальность заинтересованным сторонам.
Таким образом, стандарт ISO/IEC 27001:2005 устанавливает требования к СУИБ. С помощью этого стандарта можно определить, минимизировать и управлять опасностями и угрозами, которым обычно подвергается информация. Стандарт разработан с целью помощи в выборе эффективных и адекватных средств контроля и целей по контролю для защиты информационных активов и обеспечения уверенности потребителей и партнеров организации в том, что информация защищена должным образом.
В рамках данного стандарта СУИБ — это часть общей системы управления, основанная на подходе к оценке бизнес-рисков в целях создания, обеспечения, управления, мониторинга, контроля, поддержания и улучшения информационной безопасности.
Система управления включает структуру организации, политики, планируемую деятельность, ответственность, практику, процедуры, процессы и ресурсы.
97
Структура стандарта ISO/IEC 27001
СУИБ — разработка и управление: 1. Разработка СУИБ.
2.Создание и функционирование СУИБ.
3.Мониторинг и пересмотр СУИБ.
4.Поддержка и совершенствование СУИБ. Требования к документации:
1.Общие требования.
2.Контроль над документами.
3.Контроль над записями. Ответственность руководителей компании:
1.Обязанности руководства.
2.Управление ресурсами.
3.Предоставление ресурсов.
4.Обучение, осведомленность и компетентность.
Внутренний аудит СУИБ. Проверки СУИБ руководством ком-
пании:
1. Общие требования.
2.Объекты проверок.
3.Результаты проверок. Совершенствование СУИБ:
1.Постоянное совершенствование.
2.Корректирующие действия.
3.Превентивные действия.
Стандарт может применяться в любой организации независимо от
рода деятельности с целью:
—установления требований и целей в области информационной безопасности;
—получения уверенности в том, что риски в области информационной безопасности управляются рентабельно;
—получения уверенности соответствия деятельности компании законодательству и/или другим нормативным документам;
—реализации процесса внедрения и управления средствами контроля для получения уверенности в достижении специфических целей
âобласти защиты организации;
—идентификации и прослеживаемости существующих процессов управления информационной безопасностью;
—определения руководством компании статуса процессов управления защитой информации;
98
—использования внутренними и внешними аудиторами для определения уровня соответствия ПБ, директивам и стандартам, установленным организацией;
—обеспечения партнеров и поставщиков соответствующей информацией о стандартах, процедурах и политике организации;
—обеспечения потребителей всей соответствующей информацией. Организация, использующая ISO/IEC 27001:2005 в качестве ос-
новы для СУИБ, может быть зарегистрирована в BSI, что продемонстрирует всем заинтересованным сторонам, что СУИБ организации отвечает всем требованиям международного стандарта.
Приложением к данному стандарту является созданный на основе ISO/IEC 17799 перечень требований и соответствующих мер, которые могут быть приняты в компании.
Стандарт на СУИБ ISO/IEC 27001:2005 быстро стал одним из самых популярных и признаваемых во всем мире.
Международный стандарт ISO/IEC 27001:2005 применяется для того, чтобы предоставить модель для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования СУИБ.
Стандарт ISO/IEC 27001:2005 определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т. д. в контексте информационной безопасности. Этот стандарт дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью и сохранностью важного актива компании — информации, и может с одинаковым успехом применяться в компаниях разного размера — от индивидуальных предпринимателей до предприятий с численностью сотрудников в десятки тысяч человек.
Таким образом, основную цель стандарта ISO/IEC 27001:2005 можно сформулировать как создание общей методологии для разработки, внедрения и оценки эффективности СУИБ, применимой как в условиях коммерческих компаний, так и государственных и некоммерческих структур.
3.4.Стандарт ISO/IEC 15408 (ГОСТ Р ИСО/ МЭК 15408)
Ñ1 января 2004 г. в России начал действовать стандарт ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» [17-19].
99
Этот документ представляет собой базовый стандарт, содержащий методологию задания требований и оценки безопасности информационных технологий, а также систематизированный каталог требований безопасности.
3.4.1. История разработки стандарта
Â1990 г. под эгидой ISO были развернуты работы по созданию стандарта в области оценки безопасности информационных технологий [12]. Разработка этого стандарта преследовала следующие основные цели:
— унификация национальных стандартов в области оценки безопасности информационных технологий;
— повышение уровня доверия к оценке безопасности информационных технологий;
— сокращение затрат на оценку безопасности информационных технологий на основе взаимного признания сертификатов.
Âиюне 1993 г. организации по стандартизации и обеспечению безопасности США, Канады, Великобритании, Франции, Германии и Нидерландов объединили свои усилия в рамках проекта по созданию единой совокупности критериев оценки безопасности информационных технологий. Этот проект получил название «Общие критерии». «Общие критерии» были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке информационных технологий.
Разработка версии 1.0 «Общих критериев» была завершена в январе 1996 г. и одобрена ISO в апреле 1996 г. Был проведен ряд экспериментальных оценок на основе версии 1.0, а также организовано широкое обсуждение документа.
Âмае 1998 г. была опубликована версия 2.0 «Общих критериев»,
èна ее основе в июне 1999 г. принят международный стандарт ISO/ IEC 15408. Официальный текст стандарта издан 1 декабря 1999 г. Изменения, внесенные в стандарт на завершающей стадии его принятия, учтены в версии 2.1, идентичной стандарту по содержанию.
Уже после принятия стандарта с учетом опыта его использования появился ряд интерпретаций «Общих критериев», которые после рассмотрения специальным Комитетом по интерпретациям (CCIMB) принимаются, официально публикуются и вступают в силу как действующие изменения и дополнения к «Общим критериям». Параллельно с учетом интерпретаций ведется разработка версии 3.0.
100