 |
Порядок разработки политик безопасности
|
|
|
|
В стандарте затронуты общие вопросы, связанные с порядком разработки политик ИБ. В частности указано, что в разработке политики безопасности должны принимать участие специалисты, связанные с различными направлениями деятельности, включая аудит, право, финансы, коммунальные и другие службы. Организация должна оценить свои требования, окружающую среду и уровень развития и определить проблемы безопасности. Эти проблемы включают в себя: − требования безопасности ИТТ, например, требования конфиденциальности, целостности, доступности, неотказуемости, аутентичности и достоверности, особенно с учетом мнений владельцев активов; − организационную инфраструктуру и распределение обязанностей; − определение методов и уровней классификации информации; − стратегию управления рисками; − планирование непрерывности бизнеса; − вопросы, связанные с персоналом; − осведомленность и обучение персонала; − управление инцидентами информационной безопасности.
Для обеспечения адекватной поддержки всех связанных с безопасностью мер политика безопасности ИТТ должна быть одобрена руководством организации. На основе политики безопасности ИТТ должны быть подготовлены директивные указания, обязательные для всех руководителей и сотрудников организации. Это может потребовать подписания каждым сотрудником документа, подтверждающего его обязанности в рамках безопасности данной организации. Далее следует развивать и осуществлять программу осведомленности о безопасности, разъясняющую эти обязанности. Должен быть назначен ответственный за политику безопасности ИТТ, который должен обеспечивать соответствие политики требованиям и статусу данной организации. Обычно им является сотрудник службы безопасности, который несет ответственность за следующие действия: проверку соответствия безопасности, ревизию, аудит, обработку инцидентов, выявление слабых мест в безопасности и внесение изменений в политику безопасности ИТТ. Для разработки политики безопасности должны быть сформулированы цели и стратегия безопасности организации. Они содействуют деятельности организации и обеспечивают согласованность всех защитных мер. Для того, чтобы обеспечить подобную согласованность, особенно важно, чтобы цели, стратегия и политика безопасности были интегрированы в программы обучения и повышения квалификации в области безопасности.
|
|
|
Цели, стратегии (способы достижения цели), политика (правила, которые следует соблюдать при реализации стратегий) и процедуры (методы осуществления политики) могут быть определены и раскрыты в соответствующих подразделениях и на соответствующих уровнях организации. Руководящие документы должны отражать организационные требования и учитывать организационные ограничения. Важна согласованность между всеми документами. Общие цели, стратегии и политика должны быть отражены и уточнены в детальных и специфических целях, в политике и во всех сферах интереса организации, таких, как управление финансами, персоналом и безопасностью. Иерархия документации должна поддерживаться и актуализироваться по результатам периодического анализа безопасности (например, по результатам оценки рисков, внешнего и внутреннего аудита безопасности) и в связи с изменениями целей деятельности организации. Цели, стратегии, политика и методы безопасности ИТТ должны отображать то, что ожидается от ИТТ в сфере безопасности. Как правило, их излагают на общепринятом языке, однако в некоторых случаях может возникнуть и потребность изложить их более формально с использованием специфической терминологии. Цели, стратегия, политика определяют уровень безопасности для организации и уровень приемлемого риска. После установления целей безопасности должна быть разработана стратегия безопасности, являющаяся фундаментом развития политики безопасности. Важно, чтобы политика безопасности учитывала цели и особенности данной организации. Для решения задач обеспечения безопасности нужно идентифицировать активы организации и провести оценку их ценности. При идентификации и оценке ценности активов необходимо учитывать роль, которую они играют в поддержании деятельности организации. Чтобы оценить, в какой мере бизнес организации зависит от ИТТ, необходимо рассмотреть следующие вопросы: − какие важные составляющие бизнеса не могут осуществляться без ИТТ; − какие задачи могут быть решены только при помощи ИТТ; − какие важные решения зависят от конфиденциальности, целостности, доступности и аутентичности информации, хранимой или обрабатываемой ИТТ, или от того, насколько эта информация актуальна; − какая хранимая или обрабатываемая информация должна защищаться; − каковы для организации последствия инцидента безопасности. Ответы на эти вопросы позволят установить задачи информационной безопасности организации. Если, например, некоторые важные составляющие деятельности организации зависят от актуальности информации, то одной из задач безопасности организации может стать обеспечение доступности и своевременной обновляемости информации. Определяя задачи безопасности, необходимо рассмотреть задачи бизнеса и их связь с безопасностью. Необходимо разработать стратегию достижения целей безопасности. Выбранная стратегия должна соответствовать ценности защищаемых активов. Если, например, ответ на один или более вопросов, рассмотренных выше, выявляет сильную зависимость от
|
|
|
ИТТ, то организация, скорее всего, должна предъявлять высокие требования к безопасности ИТТ. При этом необходимо выбирать стратегию, достаточную для выполнения этих требований.
Основные положения стратегии безопасности ИТТ сводятся к тому, как организация будет достигать своих целей в области безопасности ИТТ. Вопросы, к которым должна обращаться стратегия, будут зависеть от числа, вида и важности этих целей, например: − стратегия оценки риска; − комплексная политика безопасности ИТТ для каждой системы; − организационные методы безопасности для каждой системы; − схема классификации ИТТ систем; − осознание необходимости безопасности и повышение квалификации в области безопасности; − условия безопасности соединений, которые должны выполняться и проверяться перед осуществлением соединения с другими устройствами; − стандартные схемы управления инцидентами информационной безопасности в рамках всей организации. После определения стратегия безопасности все ее составляющие должны быть включены в политику безопасности ИТТ организации.
|
|
|
Рис. 5 - Схема управления безопасностью информационных технологий Управление безопасностью информационных технологий начинается с определения целей и стратегии, которые устанавливает для себя организация в целях обеспечения безопасности и разработки политики безопасности информационных технологий. На этом этапе определяются основные варианты стратегии анализа риска, которые определяют стратегию управления информационной безопасности. Возможны следующие варианты стратегии анализа риска:
1. Базовый подход.
2. Неформальный подход.
3. Детальный анализ риска.
4. Комбинированный подход.
ПОМКТИТЬ ПЛЮСЫ И МИНУСЫ
Используя указанные стратегии, риск поддерживается на приемлемом уровне. Для этого выявляются системы и технологии с высоким уровнем риска, для которых определяются защитные меры, понижающие риск до приемлемого уровня. После этого остаточный риск принимается. Для реализации выбранных мер разрабатывается план безопасности. Рассматриваемые ниже варианты стратегии представляют собой четыре разных подхода к анализу риска. Основное различие между ними состоит в степени глубины проводимого анализа. Поскольку обычно проведение детального анализа риска для всех систем информационных технологий сопряжено со слишком большими затратами, тогда как поверхностное рассмотрение проблем, связанных с серьезным риском, не дает нужного эффекта. На практике необходимо найти баланс между рассматриваемыми ниже вариантами.
|
|
|
1.2.2.2 Базовый подход к управлению информационной безопасностью
Цель обеспечения безопасности с помощью базового подхода состоит в том, чтобы подобрать для организации минимальный набор защитных мер для защиты всех или отдельных систем информационных технологий. Использование базового подхода позволяет снизить инвестиции организации на исследование результатов анализа риска. Если все используемые в организации системы информационных технологий характеризуются низким уровнем требований к обеспечению безопасности, то базовый уровень безопасности должен выбираться так, чтобы он соответствовал уровню защиты, необходимому для большинства систем информационных технологий. Для большинства организаций существует необходимость использования некоторого стандартного уровня для соответствия законодательным требованиям. Однако в случаях, если отдельные системы организации характеризуются различной степенью чувствительности, разными объемами и сложностью деловой информации, использование общих стандартов применительно ко всем системам будет логически неверным, экономически неоправданным. Удовлетворительная защита с помощью базового подхода может быть обеспечена путем использования справочных материалов (каталогов) по защитным мерам безопасности, где можно подобрать набор средств для защиты системы информационных технологий от наиболее часто встречающихся угроз. Базовый уровень безопасности может быть установлен в соответствии с потребностями организации, при этом в проведении детальной оценки угроз, рисков и уязвимостей систем не будет необходимости. Все, что нужно сделать, применяя базовый подход, - выбрать из справочных материалов (каталогов) по защитным мерам безопасности соответствующие пункты, которые подходят для рассматриваемой системы информационных технологий. Защитные меры, которые отсутствуют в системе, но могут быть в ней использованы, должны быть реализованы. Справочные материалы (каталоги) по защитным мерам безопасности могут содержать, во-первых, подробное описание рекомендуемых защитных мер, во-вторых, рекомендации с набором требований по обеспечению безопасности, которыми можно воспользоваться при выборе рекомендуемых мер для данной системы. Оба варианта имеют свои преимущества. Справочные материалы для обоих вариантов можно найти в приложениях к стандарту
|
|
|
ИСО/МЭК ТО 13335-4. Одной из целей базового подхода является согласование защитных мер в масштабе всей организации, что может быть достигнуто при использовании каждого из указанных выше вариантов. В настоящее время существует несколько справочников, содержащих перечни базовых защитных мер. Кроме того, в ряде случаев среди компаний, занятых в одной отрасли производства, можно найти компании со схожими условиями ведения деловой деятельности. После изучения их основных потребностей может оказаться, что справочники с перечнем базовых мер безопасности могут быть использованы несколькими различными организациями. Любая организация может выработать свой базовый уровень безопасности в соответствии с собственными условиями деловой деятельности и деловыми целями. Преимущества базового подхода: − возможность обойтись минимальным количеством ресурсов при проведении анализа и контроля риска для каждого случая принятия защитных мер и, соответственно, потратить меньше времени и усилий на выбор этих мер; − можно принять экономически эффективное решение, поскольку те же или схожие базовые защитные меры безопасности могут быть без особых проблем применены во многих системах, если большое число систем в рамках организации функционирует в одних и тех же условиях и предъявляемые к обеспечению безопасности требования соизмеримы. В то же время этот вариант оценки риска имеет следующие недостатки: − если принимается слишком высокий базовый уровень, то для ряда систем информационных технологий уровень обеспечения безопасности будет завышен; − если базовый уровень будет принят слишком низким, то для ряда систем информационных технологий уровень обеспечения безопасности будет недостаточен, что увеличит риск ее нарушения; − могут возникнуть трудности при внесении изменений, затрагивающих вопросы обеспечения безопасности. Так, если была проведена модернизация системы, то могут возникнуть сложности при оценке способностей первоначально примененных базовых защитных мер безопасности и далее оставаться достаточно эффективными.
1.2.2.3 Неформальный подход к управлению информационной безопасностью
Неформальный подход к управлению информационной безопасностью предусматривает проведение неформального анализа риска, основанного на практическом опыте конкретного эксперта. Этот подход предполагает использование знаний и практического опыта экспертов. Этот подход не требует использования значительных средств или времени. При его использовании эксперт не должен приобретать дополнительные знания по своей специальности, а затраты времени на анализ риска при этом меньше, чем при проведении детального анализа риска. Недостатки этого подхода заключаются в возможности пропуска ряда важных деталей, например, отсутствие важных элементов из базового перечня операций. Могут возникнуть трудности при обосновании необходимости реализации защитных мер, определенных по результатам анализа риска, проведенного подобным подходом. Для экспертов, не обладающих значительным опытом работы в области анализа риска, не существует готовых рекомендаций, которые могли бы облегчить их работу. Метод не гарантирует, что будут проанализированы угрозы, способные использовать имеющиеся уязвимости. Результаты проведения анализа в большой степени носят субъективный характер. Могут возникнуть проблемы в случае, если специалист, который проводил неформальный анализ, покидает организацию.
1.2.2.4 Детальный анализ рисков
Детальный анализ рисков предполагает подробную идентификацию и оценку активов, оценку возможных угроз, которым могут подвергнуться эти активы, а также оценку уровня их уязвимости. Схема управления информационной безопасностью на основе детального анализа рисков представлена на рисунке 6. Как показано на рисунке, управление ИБ на основе анализа рисков начинается с установления границ анализируемой системы. Далее выполняется собственно анализ рисков. Детальный анализ рисков включает: − идентификацию активов; − оценку активов; − оценку угроз; − оценку уязвимостей; − идентификацию существующих мер безопасности; − вычисление рисков. Далее, как и при других подходах к анализу рисков, выполняется анализ приемлемости рисков, выбор защитных мер, разработка политики и плана безопасности. Подход на основе детального анализа рисков имеет следующие преимущества: − весьма вероятно, что для каждой из систем будут определены адекватные защитные меры обеспечения безопасности; − результаты могут быть использованы при управлении изменениями в системе обеспечения безопасности.
В то же время этот подход требует больших затрат средств, времени и квалифицированного труда.
1.2.2.5 Комбинированный подход
При комбинированном подходе детальный анализ рисков (рис. 6) проводится только для критических систем, которые связаны с высоким потенциальным ущербом. Для остальных систем используется базовый подход. Комбинированный подход при минимуме времени и усилий, обеспечивает необходимую защиту систем с высоким уровнем риска. Комбинированный подход обеспечивает наиболее эффективное вложение ресурсов, поскольку вложения направлены туда, где они принесут максимальный эффект. Недостаток данного варианта подхода состоит в следующем: поскольку предварительный анализ риска проводят исходя из предположения о его возможном высоком уровне, отдельные системы могут быть ошибочно отнесены к системам, не требующим проведения детального анализа риска. К этим системам в дальнейшем будут применены базовые методы обеспечения безопасности. Использование комбинированного подхода в сочетании с базовым подходом и (если необходимо) детальным анализом риска обеспечивает большинству организаций наиболее эффективное решение проблем.
1.2.3 ГОСТ Р ИСО/МЭК ТО 13335-4-2007
ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор мер защиты» является руководством по выбору защитных мер. Стандарт устанавливает способы достижения необходимого уровня
Материалы к курсу «Защита компьютерной информации» Кузнецова Г.В.
безопасности на основе базового уровня безопасности. Цель данного стандарта – дать руководство по выбору защитных мер. В рассмотрены различные пути выбора защитных мер, которые могут быть использованы для достижения базового уровня обеспечения безопасности и в качестве дополнительной информации к методам, описанным в ИСО/МЭК ТО 13335-3. Стандарт содержит обзор общепринятых защитных мер, которые могут быть выбраны, исходя из упомянутых выше подходов. Стандарт содержит ссылки на руководства по базовой безопасности с более подробным описанием защитных мер. В нем также приведено описание различных путей разработки базовой безопасности организации, преимущества и недостатки различных подходов по обеспечению безопасности. Стандарт может применяться любыми организациями малого и крупного бизнеса, выбирающих защитные меры для своих систем информационных технологий. Обычно применяются следующие первоочередные базовые категории защитных мер: − политика и управление безопасностью ИТ; − проверка соответствия безопасности установленным требованиям; − обработка инцидента; − управление персоналом; − эксплуатационные вопросы; − планирование непрерывности бизнеса; − физическая безопасность; Защитные меры этих категорий формируют основу для успешного управления безопасностью ИТ. В этом смысле их не следует недооценивать. Важно также обеспечить рабочее взаимодействие этих защитных мер с технической защитой, рассмотренной ниже. Деятельность организации в этой области зависит от ее потребностей обеспечения безопасности и выделенных ресурсов. Организация может применять и другие категории защитных мер, но способ их реализации зависит от конкретных условий (например защитные меры, обеспечивающие управление доступом к сети, отличаются от управления доступом к автономной рабочей станции). При выборе защитных мер должны учитываться размер организации и потребности в обеспечении ее безопасности, так как они могут повлиять на степень реализации защитных мер. Например, у небольшой организации не существует ни потребности, ни необходимого персонала для создания группы по обеспечению безопасности ИТ. Тем не менее, в организации должен быть назначен ответственный за выполнение этих функций. В дополнение к обычно применяемым защитным мерам, должны быть выбраны специальные защитные меры для каждого типа компонента системы. Алгоритм выбора специальных защитных мер системы ИТ приведен в качестве примера в таблице П-1. В этом примере знак " " обозначает защитные меры, которые должны быть применены в нормальных условиях, а "()" - защитные меры, которые могут потребоваться в особых случаях.
Материалы к курсу «Защита компьютерной информации» Кузнецова Г.В.
Таблица П-1. Алгоритм выбора специальных защитных мер системы ИТ
Для выбора дополнительных защитных мер должен быть применен более детальный их анализ. Если защитные меры выбирают по разным критериям (базовые защитные меры и дополнительная защита), то окончательный пакет защитных мер должен быть согласован.
После анализа нескольких систем ИТ должна быть рассмотрена возможность развертывания базовой безопасности в масштабе всей организации. Выбор защитных мер в соответствии с проблемами и угрозами безопасности может быть использован следующим образом: − на первом этапе должна быть проведена идентификация и оценка проблем безопасности. Организация должна рассмотреть требования по обеспечению конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности. Прочность защиты и число выбранных защитных мер должны соответствовать оценкам проблем обеспечения безопасности; − на втором этапе для каждой из выявленных проблем безопасности должны быть перечислены типичные угрозы и для каждой угрозы в зависимости от рассматриваемой системы ИТ должны быть предложены соответствующие защитные меры. В случае, если организация принимает решение о применении базовой безопасности ко всей организации или к ее части, то должны быть рассмотрены следующие вопросы: − на какой уровень обеспечения безопасности должна быть нацелена базовая безопасность; − как могут быть определены защитные меры, образующие базовую безопасность; − какие части организации или систем могут быть защищены на одном и том же базовом уровне, а какие требуют разного уровня безопасности, или должен ли применяться один и тот же базовый уровень для всей организации. Схема различных базовых уровней обеспечения безопасности представлена на рисунке П-4.
Рисунок 4 - Различные базовые уровни
Преимущество применения различных уровней базовой безопасности в организации заключается в том, что большинство систем будут соответствующим образом защищены, т.е. им будет обеспечен не слишком низкий и не слишком высокий уровень безопасности (например для систем ИТ 1, 2, 6 и 8 с уровнем базовой безопасности 1 и для систем ИТ 3, 4 и 5 с уровнем базовой безопасности 2 (рис. 4). Если системы ИТ с различными требованиями безопасности действительно отличаются (большинство требуемых защитных мер различны для каждой системы ИТ), тогда для данной организации рекомендуется применять различные базовые уровни безопасности. Если единственным различием между различными базовыми уровнями безопасности является потребность в некоторых дополнительных защитных мерах для повышения базового уровня безопасности, то возможно отсутствует необходимость во внедрении нескольких различных базовых уровней. Если реализуется только один базовый уровень безопасности, то непроизводительные издержки организации могут быть значительно снижены, и персонал организации может ориентироваться на один и тот же существующий уровень обеспечения безопасности.
Стандарт COBIT
Стандарт COBIT не является стандартом по безопасности, но он имеет фундаментальное значение для понимания архитектуры информационной инфраструктуры и самих стандартов по информационной безопасности.
Общие сведения
COBIT (Control Objectives for Information and related Technology) - международный стандарт, определяющий набор универсальных задач управления ИТ, ориентированных, прежде всего, на руководство организации и на ИТ-аудиторов. COBIT является результатом обобщения международных и национальных стандартов и руководств в области управления ИТ. В состав интернациональной команды разработчиков COBIT входят специалисты государственных и коммерческих предприятий, учебных заведений и фирм, специализирующихся на вопросах управления ИТ. Первая версия стандарта была выпущена в 1996 году Организацией аудита и контроля информационных систем (Information Systems Audit and Control Foundation –ISACF). Она включала в себя концептуальное ядро (COBIT Framework), определяющее набор основополагающих принципов и понятий в области управления ИТ, описание задач управления (Control Objectives) и «Руководство по аудиту» (Audit Guideline). Вторая версия COBIT была опубликована в 1998 году. Она содержала переработанную версию высокоуровневых и детальных задач управления, дополненных «набором инструментов внедрения» (Implementation Tool Set). Третья редакция стандарта была выпущена Институтом управления ИТ (IT Governance Institute), учрежденным Ассоциацией аудита и контроля ИС (Information Systems Audit and Control Association (ISACA)) совместно с ISACF с целью дальнейшего развития и популяризации принципов управления ИТ. Институт управления ИТ в настоящее время является основным разработчиком COBIT. В третьей версии стандарта появилось «Руководство для менеджеров» (Management Guidelines) в основе которого лежит понятие «Система управления ИТ» (IT Governance). В настоящее время действует четвертая редакция стандарта Основной стратегической задачей стандарта является ликвидация разрыва между руководством организации с их видением бизнес целей и ИТ департаментом, осуществляющим поддержку важнейшей для любой современной организации информационной инфраструктуры, которая должна работать на достижение этих целей. Таким образом, COBIT является связующим звеном между бизнес процессами и технической инфраструктурой. Он представляет обобщение лучших достижений по управлению информационными технологиями. Миссия COBIT состоит в распространении этого опыта для повседневного использования. Стандарт COBIT ориентирован прежде всего на ИТ менеджеров, руководителей предприятий и владельцев бизнес процессов, которые должны убедиться в наличие системы внутреннего контроля, поддерживающей бизнес процессы и устанавливающей роль каждого механизма управления в работе по удовлетворению требований к информационному обеспечению бизнеса. Механизмы управления включают в себя политики, функциональные организационные структуры, процедуры и регламенты. Задачей управления ИТ (IT Control Objective) является формулировка желаемого результата или цели, которые должны быть достигнуты путем реализации механизмов управления в рамках ИТ процесса.
1.3.2 Концептуальное ядро
Основой для понимания всех основных положений стандарта является «Концептуальное ядро «COBIT Framework». Концептуальное ядро COBIT – это набор основополагающих принципов и понятий, высокоуровневых задач управления, а также модель управления ИТ, на базе которых строятся все положения стандарта. Концептуальное ядро COBIT (COBIT Framework) представляет собой набор основополагающих принципов и понятий, а также модель управления ИТ, на базе которых строятся все положения COBIT. Основная концепция COBIT предполагает построение механизмов управления в ИТ исходя из того, какая информация необходима для поддержания бизнес целей и удовлетворения требованиям бизнеса. При этом информация рассматривается как результат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов. Концептуальное ядро COBIT предоставляет владельцу бизнес процесса инструмент для реализации стратегии управления ИТ. Отправным пунктом является следующее утверждение: «Для своевременного и полного получения информации, необходимой для достижения бизнес целей, управление ИТ ресурсами должно осуществляться при помощи набора естественным образом сгруппированных процессов». Концептуальное ядро COBIT включает: 1) ИТ процессы; 2) ИТ ресурсы; 3) информационные критерии. Эти три грани управления ИТ могут быть представлены в виде «Модели куба» (COBIT Cube), изображенной на рисунке 5.
Первую грань куба составляют домены (domains), процессы (process) и задачи (activities). Основу этой иерархической структуры составляют 34 ИТ-процесса – высокоуровневые задачи управления, сгруппированных в четыре домена: 1) планирование и организация, 2) комплектование и внедрение, 3) предоставление и поддержка, 4) мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех задач управления, позволяет гарантировать владельцу бизнес процесса, что система управления ИТ является адекватной задачам бизнеса. Для каждого из 34 ИТ процессов, описанных в концептуальном ядре COBIT, определяется набор детальных задач управления (Detailed Control Objectives) – их насчитывается 318. Каждая задача управления содержит формулировку ожидаемых результатов или целей, которые необходимо достигнуть путем реализации конкретных процедур управления в рамках ИТ процесса. Формулировки задач управления в COBIT носят в максимальной степени абстрактный характер, что делает их независимыми от конкретных программно-аппаратных платформ и характера деятельности организации. Задачи управления ориентированы на руководство организации, персонал ИТ департамента, подразделения внутреннего контроля и аудита, а также на владельцев бизнес процессов. Вторую грань куба образуют ИТ ресурсы. В COBIT определены следующие классы ИТ ресурсов:
1). Приложения (applications).
2). Информация (information).
3). Инфраструктура (infrastructure).
4). Люди (people). Третью грань куба COBIT образуют критерии управления ИТ ресурсами. Критерии управления ИТ включают:
1) эффективность,
2) продуктивность,
3) конфиденциальность,
4) целостность,
5) доступность,
6) соответствие требованиям,
7) надежность.
Концептуальное ядро COBIT – великолепный пример для построения аналогичной структуры для большинства рассматриваемых стандартов.
Стандарт ГОСТ Р ИСО/МЭК 27001-2006
Общие сведения
Данный международный стандарт предназначен для разработки модели системы менеджмента информационной безопасности (СМИБ). Он регламентирует все этапы жизненного цикла СМИБ: разработку, внедрение, анализ и улучшение. Решение о разработке СМИБ является стратегическим решением для организации. Это решение влияет на облик всей организации. При этом ожидается, что и СМИБ и сама организация будут меняться со временем. Для этого СМИБ должна быть адекватной организации. Международный стандарт ГОСТ Р ИСО/МЭК 27001-2006 предназначен для всех типов организаций. Он определяет требования к СМИБ в контексте полного риска бизнеспроцессов. СМИБ разрабатываются, чтобы гарантировать выбор адекватного и пропорционального контроля безопасности, который защищает информационные активы и обеспечивает заданный уровень уверенности заинтересованным сторонам. Этот международный стандарт использует процессный подход к построению СМИБ. Процессом называется любая деятельность, преобразующая входы в выходы. Выход одного процесса может быть входом другого. Процессный подход в СМИБ позволяет: − обосновать структуру СМИБ;
− управлять ИБ в контексте полных деловых рисков. − осуществлять полный мониторинг и анализировать работу СМИБ (по процессам). − осуществлять непрерывное улучшение, основанное на объективных измерениях. Концептуальной моделью стандарта является модель развития процесса управления (PDCA модель - Plan-Do-Check-Act), представленная на рисунке 8.
Модель включает 4 этапа жизненного цикла:
− разработка СМИБ (establish the ISMS);
− внедрение и использование СМИБ (implement and operate the ISMS;
− мониторинг и анализ СМИБ (monitor and review the ISMS);
− поддержка и развитие СМИБ (maintain and improve the ISMS).
Разработка СМИБ
Разработка СМИБ предполагает: 1. Определение возможностей и границ СМИБ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологии. 2. Определение политики, которая: − включает параметры для описания целей, устанавливает позицию руководства и принципов ИБ; − принимает во внимание бизнес-тебования, требования законодательства и руководящих документов, а также договорные обязательства в отношении ЗИ; − учитывает стратегический риск организации; − устанавливает критерии оценки риска; − одобряется Руководством организации. Политику СМИБ следует рассматривать как дополнение политики ИБ организации. Важнейшей частью политики СМИБ является определение подхода к оценке рисков организации. Для этого необходимо: − идентифицировать методологию оценки риска, которая подходит для организации; − работать критерии, позволяющие принять риск и определить приемлемые уровни риска. Выбранная методология оценки риска должна гарантировать, что оценки риска дает сопоставимые и повторяемые результаты. Оценка рисков предполагает:
− идентификацию активов и владельцев этих активов; − идентификацию угроз активам;
− идентификацию уязвимостей, через которые могут воздействовать выделенные угрозы;
− идентификацию ущербов от потери конфиденциальности, целостности и доступности, которые связаны с активами. Для оценки рисков необходимо:
− оценить общее воздействие на организацию сбоев в защите, принимая во внимание последствия потери конфиденциальности, целостности и доступности активов;
− оценить реалистическую вероятность сбоев защиты в свете преобладающих угроз, выявленных уязвимостей и принятых мер защиты;
− вычислить уровни рисков;
− определить, приемлем ли риск или требует принятия мер, используя критерий принятия риска. Определение способов управления рисками включает:
− применение соответствующих мер (элементов контроля) понижающих риск;
− принятие рисков, если они удовлетворяют политике ИБ и критериям для принятия риска;
− уход от рисков (отказ от действий);
− передача рисков другим сторонам, например страховщикам или поставщикам.
Меры по уменьшения риска представлены в систематизированном виде в приложении к данному стандарту.
27000 термины и структура посмотреть
|
|
|
