Лекции Толстого / Толстой риски
.pdf
Процесс управления ИБ ИТТ начинается с определения целей и стратегии, которые в целях ОИБ и разработки ПолИБ ИТТ устанавливает организация.
ПолИБ ИТТ – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее ИТТ управлять, защищать и распределять активы, в том числе критичную информацию.
Важным этапом процесса является оценка рисков ИБ и методов их снижения до приемлемого уровня. При этом необходимо руководствоваться направленностью бизнеса организации, ее организационной структурой, условиями эксплуатации систем, использующих ИТТ (далее для краткости систем ИТТ), а также специфическими вопросами и видами рисков ИБ, присущими каждой системе ИТТ, требующей ОИБ.
После оценки требований по ОИБ, предъявляемых к системам ИТТ и отдельным видам ИТ-сервисов, выбирается стратегия анализа рисков ИБ. Для определения систем с высоким уровнем рисков ИБ необходимо провести анализ уровня рисков и выбрать для них варианты стратегии ОИБ ИТТ.
Выделенные системы рассматриваются с использованием метода детального анализа рисков ИБ, а для остальных систем может применяться базовый подход с принятием базового уровня рисков.
Для систем с высоким уровнем рисков ИБ подробно изучаются активы, возможные угрозы ИБ и уязвимости и проводится детальный анализ рисков ИБ,
что позволяет выбрать эффективные защитные меры, соответствующие оценкам
уровня рисков ИБ. Использование такого базового подхода позволяет сосредоточить процесс управления рисками ИБ на областях, отличающихся наивысшим уровнем рисков или требующих наибольшего внимания, и разработать программу, характеризующуюся наименьшими затратами времени и средств.
После оценки рисков ИБ для каждой системы ИТТ определяют соответствующие защитные меры, снижающие уровень рисков до приемлемого. Под защитными мерами здесь традиционно понимаются действия, процедуры и механизмы, способные обеспечить ИБ при возникновении угрозы ИБ, уменьшить уязвимость, ограничить воздействие инцидента ИБ, обнаружить инциденты и облегчить восстановление защищаемых систем ИТТ. Эти меры реализуются в соответствии с планом ОИБ ИТТ.
Данный этап сопровождается выполнением программ информирования и обучения использованию защитных мер, что является важным показателем эффективности принятых защитных мер.
Кроме того, управление ИБ ИТТ требует решения текущих задач, связанных с проведением различных последующих действий, что может привести к корректировке полученных ранее результатов и принятых решений. Последующие действия включают в себя обслуживание и проверку соответствия уровня ИБ, управление изменениями, мониторинг и обработку инцидентов ИБ.
В рамках управления ИБ ИТТ на уровне организации для каждой отдельной системы ИТТ на всем ее жизненном цикле необходимо решать вопросы, связанные с управлением ее ИБ – начиная с определения требований по ОИБ при проектировании системы и заканчивая снятием ее с эксплуатации и ликвидацией «следов функционирования» этой системы с жестких дисков и т.д.
56. Что является хорошей практикой при выборе области действия СУИБ? Какие стратегии выбора области действия СУИБ существуют?
Хорошей практикой при определении области действия будущей СУИБ является выбор одного из ключевых бизнес-процессов организации. Это объясняется тем, что в рамках наиболее критичных бизнес-процессов можно наиболее полно ощутить преимущества построения СУИБ, так как основной из целей ее создания является обеспечение адекватных и соразмерных средств управления ИБ, которые защищают активы и обеспечивают конфиденциальность для всех заинтересованных сторон, включая владельцев бизнеса. Также появляется возможность постоянного мониторинга ОИБ в рамках выбранной области действия СУИБ, что позволяет своевременно принимать оперативные решения, затрагивающие все аспекты ОИБ, и повысить доверие к организации в целом.
При выборе области действия СУИБ, в которой силами специально созданной рабочей группы будут внедряться процессы СУИБ, учитываются следующие факторы:
• деятельность и услуги (продукция), предоставляемые организацией своим партнерам и клиентам;
•целевая информация, ИБ которой должна быть обеспечена;
•бизнес-процессы, обеспечивающие обработку целевой информации;
•подразделения и сотрудники организации, задействованные в данных бизнеспроцессах;
•программно-аппаратные и технические средства, обеспечивающие функционирование данных бизнес-процессов;
•территориальные площадки организации, в рамках которых происходят сбор, обработка и передача целевой информации.
Довольно часто в качестве области действия СУИБ выбирается процесс поддержки работоспособности какой-либо автоматизированной системы (АС). Обобщая имеющиеся лучшие практики разработки эффективных СУИБ, важно понимать, что для области действия СУИБ ключевыми (базовыми) понятиями являются процессы, а не АС (это одно из важнейших отличий существующих стандартов по СУИБ от требований по ОИБ АС, например, руководящих документов ФСТЭК). Тогда для построения СУИБ необходимо идентифицировать процессы, которые войдут в область действия СУИБ и в которых участвует АС.
Вслучае если существует необходимость охватить СУИБ более одного подразделения организации, то ее администрирование, управление и аудит все равно осуществляется централизованным образом – СУИБ подвергается анализу со стороны высшего руководства организации.
Особое внимание следует уделить тому, чтобы соответствующим образом определить интерфейсы и зависимости, учесть их при оценке рисков ИБ, а результаты этой оценки надлежащим образом отразить в системе реализуемых процессов управления ИБ. Но можно поступить иначе и для каждого подразделения построить разные СУИБ, которые будут управляться локально.
Врамках большой организации, предоставляющей внешние услуги своим заказчикам, для выбора области действия может потребоваться ведение отдельного проекта. В основе этого проекта будет лежать глубокий анализ существующих бизнес-процессов организации, их взаимосвязей, выходных результатов каждого из процессов и заинтересованных сторон в рамках каждого
из процессов.
Даже в небольшой организации, где, казалось бы, есть всего несколько ключевых бизнес-процессов, подобный анализ очень полезен, т.к. в результате может быть получена непредвиденная заранее картина, в которой проявятся неочевидные взаимосвязи между процессами, и фокус критичности бизнеспроцессов может быть смещен в другую сторону.
57.Какие факторы необходимо учитывать при выборе области действия СУИБ?
При выборе области действия СУИБ, в которой силами специально созданной рабочей группы будут внедряться процессы СУИБ, учитываются следующие факторы:
· деятельность и услуги (продукция), предоставляемые организацией своим партнерам и клиентам;
·целевая информация, ИБ которой должна быть обеспечена;
·бизнес-процессы, обеспечивающие обработку целевой информации;
·подразделения и сотрудники организации, задействованные в данных бизнес-процессах;
·программно-аппаратные и технические средства, обеспечивающие функционирование данных бизнес-процессов;
·территориальные площадки организации, в рамках которых происходят сбор, обработка и передача целевой информации.
Встандарте ISO/IEC 27003:2010 приведены примеры возможных целей управления ИБ, которые могут быть использованы в качестве входных данных для определения первоначальной области действия СУИБ:
·содействие ОНБ и восстановлению после сбоев;
·повышение устойчивости к инцидентам ИБ;
·соответствие правовым требованиям и договорным обязательствам;
·создание условий для сертификации по стандартам ISO/IEC;
·создание благоприятных условий для эволюции организации и укрепления ее позиции;
·сокращение расходов на средства управления ИБ;
·защита активов, имеющих стратегическое значение;
·создание жизнеспособной и эффективной системы внутреннего
контроля;
·обеспечение гарантий для заинтересованных сторон того, что информационные ресурсы защищены надлежащим образом.
58.Какие параметры процессов являются наиболее значимыми при выборе области действия проектируемой СУИБ?
Довольно часто в качестве области действия СУИБ выбирается процесс поддержки работоспособности какой-либо автоматизированной системы (АС). Обобщая имеющиеся лучшие практики разработки эффективных СУИБ, важно понимать, что для области действия СУИБ ключевыми (базовыми) понятиями являются процессы, а не АС (это одно из важнейших отличий существующих стандартов по СУИБ от требований по ОИБ АС, например, руководящих документов ФСТЭК). Тогда для построения СУИБ необходимо идентифицировать процессы, которые войдут в область действия СУИБ и в которых участвует АС.
Выбор области действия будущей СУИБ – не такая простая задача, как кажется с первого взгляда.
В рамках большой организации, предоставляющей внешние услуги своим заказчикам, для выбора области действия может потребоваться ведение отдельного проекта. В основе этого проекта будет лежать глубокий анализ существующих бизнес-процессов организации, их взаимосвязей, выходных результатов каждого из процессов и заинтересованных сторон в рамках каждого из процессов.
Даже в небольшой организации, где, казалось бы, есть всего несколько ключевых бизнес-процессов, подобный анализ очень полезен, т.к. в результате может быть получена непредвиденная заранее картина, в которой проявятся неочевидные взаимосвязи между процессами, и фокус критичности бизнес-процессов может быть смещен в другую сторону.
Основной результат деятельности по определению области действия СУИБ – это документ, включающий следующее:
•сводка поручений по управлению ИБ, установленных руководством организации, и обязательства, налагаемых на внешних организации;
•описание того, как части области действия взаимодействуют с другими системами управления;
•список бизнес-целей управления ИБ;
•список критических бизнес-процессов, систем, информационных активов, организационных структур и географических районов, где будет применяться СУИБ;
•взаимоотношения существующих систем управления, регулирующих и надзорных органов, и целей организации;
•характеристики бизнеса, самой организации, ее местонахождение, активов и используемых технологий.
59.Что входит в документальное обеспечение СУИБ? Каковы этапы его
жизненного цикла?
Объем документации СУИБ может отличаться у разных организаций вследствие их разного размера и вида деятельности, сложности процессов управления ИБ и их взаимодействия, а также компетенции создававшего их персонала.
Вдокументацию СУИБ обычно включаются следующее документы: ·политика СУИБ; ·руководства по процессам управления ИБ;
·документированные процедуры; ·рабочие инструкции; ·формы и шаблоны; ·планы работ; ·спецификации;
·внешние документы (международные стандарты, ГОСТы и т.п.); ·отчетные документы и т.п.
Всвязи с этим необходимо определить иерархию документации СУИБ. Для этого воспользуемся примером, описанным в рекомендациях РС БР ИББС-2.0–2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» [78], где определяется состав внутренних документов (документированной информации) по ОИБ. Наполнение каждого уровня иерархии документов по ОИБ организаций БС РФ приведено на рисунке.
Все документальное обеспечение СУИБ проходит несколько стадий жизненного цикла:
·начальная оценка необходимости разработки документа исходя из намеченных целей,
·собственно его разработка специально определенной группой лиц с соответствующими полномочиями и предоставленными для этого ресурсами,
·утверждение уполномоченным лицом и установление дат его введения и пересмотра,
·публикация внутри организации (доведение до сведения всех заинтересованных лиц и лиц, на которых его действие распространяется),
·использование документа и непосредственное исполнение его положений, ·сопровождение с последующим внесением изменений или изъятием из
обращения после процедуры пересмотра.
Если принято решение о внесении изменений и выпуске следующей редакции, то новый цикл традиционно начитается со стадии разработки