Обеспечение информационной безопасности бизнеса
Шрифт:
Выработанные на этапе планирования решения должны составить основу основным работам по внедрению/совершенствованию операционной деятельности организации в сфере обеспечения информационной безопасности (естественно, что это касается сферы действия СМИБ). В общем случае это может включать следующие 7 шагов, представленных на рис. 39, выполнение которых уже не предполагает строгую последовательную реализацию, когда последующий шаг не может быть выполнен, так как потребляет (использует) результаты предыдущего (см. шаги этапа «Планирование СМИБ»). Названия документов, представленных на рис. 39, являются примерными.
Отдельные шаги реализации СМИБ могут быть организованы как целевые (профильные) процессы деятельности, инициируемые и завершаемые по принятым для них критериям (по времени или событию), имеющие собственные самодостаточные регламентирующие нормы в организации, включая организационную и ресурсную поддержку. Это может быть также следствием решений организации в результате реализации требований нескольких стандартизированных систем менеджмента (не только стандартной СМИБ, но и иных стандартизированных менеджментов). Как отмечалось ранее, практически все международные стандарты на системы менеджмента методологически совместимы, что позволяет выделять и поддерживать унифицированные задачи, например, в части работы с персоналом организации, регистрации и сбора индентов и т. п. Процедуры для реализации и управления системой менеджмента информационной безопасности могут быть организованы как система (дерево) процессов (в нотации процессного подхода). При принятии организацией решений о выборе нотации процессного подхода целесообразно обратиться к рекомендациям поддерживающего стандартные требования к СМИБ документа (см. рис. 30): ISO/IEC 27003 «Руководство по реализации СМИБ» [14]. Положения данного международного стандарта основываются на методологии процессного подхода, включая спецификацию всех формальных атрибутов возможных процессов, вытекающих из стандарта требований к СМИБ [11].
Вопросы реализации СМИБ на практике неотделимы от соответствующих процедур контроля, организованных в отдельном блоке требований СМИБ, что часто вводит в заблуждение пользователей стандарта. Шаги задач контроля и проверки иллюстрирует рис. 40. Названия документов, представленных на рис. 40, являются примерными.
Формально в содержание работ контроля входят следующие задачи:
— осуществление мониторинга и проверки процедур и других средств контроля рисков (защитных мер) для быстрого обнаружения ошибок в результатах обработки, быстрой идентификации нарушений безопасности и инцидентов, предоставления руководству информации контроля, содействия обнаружению событий безопасности и предотвращения таким образом инцидентом безопасности посредством использования соответствующей системы признаков, определения, были ли эффективными действия, предпринимаемые для ликвидации нарушения безопасности;
— регулярные проверки эффективности СМИБ (включая исполнение политики и целей СМИБ, проверку средств контроля безопасности), учитывая результаты аудитов безопасности, инциденты, результаты измерений эффективности, предложения и мнения от всех заинтересованных сторон;
— пересматривать оценки риска через запланированные интервалы времени, а также остаточные риски и идентифицированные приемлемые уровни риска в соответствии с изменениями вовне организации и в ее операционной и бизнес-среде;
— осуществлять внутренние аудиты СМИБ;
— осуществлять проверки руководством СМИБ для целей подтверждения адекватности сферы действия СМИБ и эффективности мер по совершенствованию СМИБ и т. п.
Все это должно сформировать основу решений по совершенствованию СМИБ. Шаги задач поддержка и совершенствования СМИБ иллюстрирует рис. 41.
В операционной среде организации требования стандартной СМИБ имеют более сложную конфигурацию, формирующую целевые (профильные) виды деятельности, требующие своего менеджмента (обозначим как «частный менеджмент»). Рис. 42 иллюстрирует возможный состав таких частных менеджментов, поддерживаемых задачи СМИБ.
В то же время информационные потоки в среде организации (операций и функций управления) могут содержать критерии, требующие реализации согласованных действий, формально относящихся к различным видам деятельности в организации (различным частным менеджментам). Рис. 43 иллюстрирует работу событийной модели текущей деятельности, порожденной выявленным событием ИБ (от блока «Процессы мониторинга»).
Далее более подробно рассмотрим вариант (пример) взаимодействия различных видов деятельности в организации (совместную работу «частных менеджментов» СМИБ) на примере процессов мониторинга и обработки инцидентов информационной безопасности.
2.2.4. Реализация моделей менеджмента в целевых задачах организации («частные менеджменты»)
При рассмотрении примера будем исходить из взаимосвязанной деятельности по менеджменту инцидентов и мониторингу, показанной на рис. 44. При этом процессы цикла Деминга — Шухарта применительно к менеджменту инцидентов называются в соответствии с международным документом [15].
В процессе реагирования на инцидент ИБ в соответствии с документом [15] предусматриваются процедуры пересмотра и улучшения процессов менеджмента инцидентов ИБ как на регулярной основе (периодически), так и по результатам обработки любого существенного инцидента ИБ. Завершающий отчет по каждому инциденту ИБ сохраняется в базе данных инцидентов ИБ (см. рис. 44, 43) и включает данные, которые могут быть использованы в будущем при обработке подобных инцидентов, включая их предвестники и признаки.
Предложения по улучшению должны отражать вопросы о дополнительном инструментарии или ресурсах, обучении персонала и т. п., т. е. все, что необходимо для принятия решений, направленных на выбор и реализацию мер по совершенствованию:
— менеджмента инцидентов ИБ;
— оценки рисков ИБ;
— инициирования улучшений безопасности, обновления и (или) реализации новых защитных мер ИБ и в итоге совершенствования СМИБ.
Документы, выпускаемые в процессе менеджмента инцидентов, фактически являются событиями, инициирующими процессы в других частных менеджментах, поскольку служат источниками сигнала для инициирования иных работы. Например, в процессе менеджмента информационных активов будет определена структура активов, их ценность, важность, приоритеты свойств безопасности, уязвимости и другие свойства. Однако большая часть этих свойств определяется экспертным путем или получается в результате опроса, т. е. может носить неточный или субъективный характер. Один из путей проверки объективности этих данных — использование фактического материала, сопровождающего факты инцидентов или содержащегося в периодических аналитических отчетах. Документы, появляющиеся в процессе менеджмента инцидентов, являются входными для процесса проверки при менеджменте активов (см. рис. 43, поток от процесса «Пересмотр» в менеджменте инцидентов к процессу «Проверка» в менеджменте активов). При проверке будет выяснено, какая конкретно уязвимость была использована в инциденте, какие еще информационные активы были затронуты, были ли предвестники, насколько быстро удалось выделить все признаки инцидента и понять, как его сдерживать, каков ущерб в результате произошедшего инцидента, насколько быстро восстановлена функциональность, связанная с активом, и т. п. Эти данные позволят скорректировать (процесс «Совершенствование») свойства вовлеченных в инцидент активов и, возможно, их структуру, реальную ценность и важность.
По результатам менеджмента инцидентов корректируются также и перечень факторов риска, менеджмент которых на рис. 43 включен в менеджмент риска. Однако изменение актуальности факторов риска или появление новых источников рисков, методов атак и т. п. должно приводить к переоценке риска.
Изменение защитных мер, регламентов и ролей неизбежно отражается на менеджменте инцидентов. Таким образом, цикл замкнулся. Если, к примеру, в процессе «Пересмотр» менеджмента инцидентов появилась рекомендация о включении дополнительного параметра мониторинга на сервере системы, то этот вопрос, скорее всего, нельзя решить в рамках менеджмента инцидентов.
Описанная событийная схема инвариантна к организационной структуре операционной среды. Она отражает основной смысл «процессного подхода» — ориентацию на результат. В практике наибольшую сложность вызывает вопрос отображения необходимых работ на должностные обязанности персонала. Например, совсем не обязательно, чтобы менеджмент защитных мер осуществлялся в рамках деятельности службы информационной безопасности компании. Более того, он может быть разнесен по нескольким подразделениям службы информатизации в соответствии с функционалом этих защитных мер (антивирусная защита, телекоммуникации, серверное хозяйство и т. п.).
На практике организационная составляющая обеспечения информационной безопасности бизнеса чрезвычайно разнообразна. Профильные структуры и подразделения, за которыми формально закреплены обязанности по обеспечению информационной безопасности бизнеса, могут быть организованы как:
— самостоятельное подразделение в структуре службы безопасности организации;
— отдел в подразделении экономической безопасности;
— отдел в структуре службы информатизации банка;
— отдельная группа в составе подразделения риск-менеджмента компании.