Включить анимированную навигациюВключить анимированную навигацию
Включить анимированную навигациюВключить анимированную навигацию

  • Лекция №5

    • [[activityicon]]
      Тема 5: "Создание СУИБ на предприятии"

      5.1. Этапы создания системы управления 

      ИБ Для начала отметим, что создание СУИБ на предприятии и подготовка к ее сертификации на соответствие требованиям стандарта ISO27001, как правило, делится на два основных этапа: 

      • разработку системы управления (и всех необходимых процедур); 

      • внедрение системы управления. 

      Для выполнения первого этапа рекомендуется приглашать консультантов. Второй этап (внедрение) выполняется самой компанией (специалисты компании должны ознакомиться с необходимыми процедурами, наладить их четкое выполнение, проверять и контролировать их эффективность и пр.).

       Можно выделить следующие основные этапы разработки системы управления ИБ: 

      1) инвентаризация активов; 

      2) категорирование активов; 

      3) оценка защищенности информационной системы; 

      4) оценка информационных рисков; 

      5) обработка информационных рисков (в том числе определение конкретных мер для защиты ценных активов); 

      6) внедрение выбранных мер обработки рисков; 

      7) контроль выполнения и эффективности выбранных мер.

      Роль руководства компании в системе управления ИБ 

      Одним из основных условий эффективного функционирования системы управления ИБ является вовлеченность руководства компании в процесс управления ИБ. Все сотрудники должны понимать, что, во-первых, вся деятельность по обеспечению ИБ инициирована руководством и обязательна для выполнения, во-вторых, руководство компании лично контролирует функционирование системы управления ИБ, в-третьих, само руководство выполняет те же правила по обеспечению ИБ, что и все сотрудники компании.

      Выбор области сертификации 

      Систему управления ИБ, как правило, целесообразно разрабатывать для всей компании в целом. Другими словами, процедуры системы управления в большинстве случаев необходимы для выполнения во всей компании. Однако внедрить систему управления сразу во все бизнес-процессы часто непросто, поэтому лучше, если ее внедрение будет осуществляться последовательно. Таким образом, внедрив систему управления в каком-то одном бизнес-процессе компании, мы можем получить сертификат на нее в рамках данного бизнеспроцесса, а затем расширять область сертификации по мере внедрения в остальные процессы компании. Следовательно, при подготовке к сертификации требуется определить область сертификации (описать, в какой конкретно подсистеме компании будет внедрена система управления). Аудиторы сертификационных органов проверяют выполнение всех процедур системы управления только в рамках выбранной области сертификации. Важно иметь в виду, что описание области сертификации необходимо выполнить максимально подробно, то есть требуется точно определить активы, входящие в область сертификации.

      2. Содержание этапов разработки и внедрения системы управления ИБ. 

      1.Инвентаризация активов компании 

      Прежде всего, следует определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов: 

      • информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);

       • программное обеспечение, 

      • материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);

       • сервисы (поддерживающая инфраструктура);

       • сотрудники компании, их квалификация и опыт, 

      • нематериальные ресурсы (репутация и имидж компании). 

      Следует определить, нарушение информационной безопасности, каких активов может нанести ущерб компании. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при анализе информационных рисков. 

      Инвентаризация заключается в составлении перечня ценных активов компании. Как правило, данный процесс выполняют владельцы активов.

      5.2 Категорирование активов компании 

      В процессе категорирования активов необходимо оценить их критичность для бизнес-процессов компании или, другими словами, определить, какой ущерб понесет компания в случае нарушения информационной безопасности активов. Данный процесс вызывает наибольшую сложность, так как ценность активов определяется на основе экспертных оценок их владельцев. В процессе данного этапа часто проводятся обсуждения между консультантами по разработке системы управления и владельцами активов. Это помогает последним понять, каким образом следует определять ценность активов с точки зрения информационной безопасности (как правило, процесс определения критичности активов является для владельца новым и нетривиальным). Кроме этого, для владельцев активов разрабатываются различные методики оценки. В частности, такие методики могут содержать конкретные критерии (актуальные для данной компании), которые следует учитывать при оценке критичности. Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности (следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов).

      Рассмотрим подробнее принципы оценки критичности каждого указанного актива. 

      • Информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия, модификации или недоступности в течение определенного времени. 

      • Программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности.

       То есть требуется определить, какой ущерб понесет компания при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов компании, к ним будет нарушен доступ, и вследствие этого компания понесет убытки.

       • Сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Доступность сотрудников оценивается с точки зрения их отсутствия на рабочем месте. Другими словами, оценивается, какой ущерб понесет компания при отсутствии сотрудника в течение определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфических операций.

      • Репутация компании оценивается в связи с информационными ресурсами: какой ущерб репутации компании будет нанесен в случае нарушения безопасности информации компании. 

      Заметим, что процесс категорирования активов должен подчиняться четким документированным процедурам компании. Аудиторам сертификационного органа будет недостаточно формального документа, отражающего результаты категорирования. От владельцев активов требуется, чтобы они могли объяснить, какие методики они использовали при оценке, на основании каких данных были получены результаты оценки.

      5.3 Оценка защищенности информационной системы компании 

      Очевидно, что для анализа информационных рисков необходимо оценить не только критичность активов, но и уровень их защищенности. В процессе оценки защищенности информационной системы определяются угрозы, действующие на активы, а также уязвимости информационной системы, в которой обрабатываются активы и которые могут привести к реализации угроз. Угрозы и уязвимости рассматриваются только во взаимосвязи друг с другом. Уязвимость, через которую невозможно реализовать ни одну из угроз, не имеет смысла. Аналогично, угроза, которую невозможно реализовать ввиду отсутствия уязвимости, также неактуальна. Не вызывает сомнения, что различные угрозы и уязвимости имеют разное значение (разный вес) для информационной системы. Например, злоумышленник скорее решит воспользоваться открытой дверью, чем открытым окном, если офис компании расположен на семнадцатом этаже 34-этажного здания (однако совсем исключать вторую возможность не стоит). Следовательно, необходимо определить, какие угрозы и уязвимости наиболее актуальны, а какие менее значимы, или, другими словами, определить вероятность реализации угрозы через уязвимость. Вероятность реализации уязвимостей (как и любая другая вероятность) определяется в пределах от 0 до 1 (или от 0 до 100 %). Угрозы, уязвимости, а также их вероятности определяются в результате проведения технологического аудита защищенности информационной системы компании. Такой аудит может быть выполнен как специалистами компании (так называемый, внутренний аудит), так и сторонними консультантами (внешний аудит).

      5.4 Оценка информационных рисков 

      Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей. 

      Классическая формула оценки рисков: 

      R=D * Р( V) 

      где R - информационный риск; 

      D - критичность актива (ущерб);

      Р(V) - вероятность реализации уязвимости. 

      Результаты оценки рисков, как правило, представляются в «Отчете об оценке информационных рисков компании».